Virenkiller.de

In letzter Zeit versuchen es mehrere, ihre Trojaner mittels gefälschter Rechnungen unter die Leute zu bringen. Ein relativ primitiver Versuch schlug jetzt hier auf, eine Art „Amazon-Trojaner“.

Das Betreff der Nachricht lautet: Ihre Bestellung 6719548 bei Amazon (oder andere Nummern, wie etwa 4958175).

Als Anhang bringt die Mail die Zipdatei 13915.ZIP mit.

Der Mailtext:

Vielen Dank fur Ihre Bestellung bei Amazon.de!

Das Sony VAIO VGN-1391517 Zoll WXGA Notebook
wird in kurze versendet. Die Kosten von 1215,- Euro
werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer
Bestellung entnahmen Sie bitte der angefugten Rechnung.  Falls Sie
die Bestellung stornieren mochten, bitte den in der Rechnung angegebenen,
kostenlosen Kundenservice anrufen und Ihre Bestellnummer bereit halten.
Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen schriftlich zugestellt.
Beachten Sie bitte: Diese E-Mail wurde von einer nur fur Benachrichtigungen
verwendeten Adresse gesendet. Eingehende E-Mails konnen nicht angenommen
werden. Antworten Sie nicht auf diese Nachricht.

Vielen Dank fur Ihren Einkauf bei Amazon Marketplace.

Amazon.de Kundenservice
http://www.amazon.de

Die Zip-Datei enthält eine ausführbare Datei namens 13915.exe.

Der Onlinescan mit Jotti meint dazu:

Status:	INFIZIERT/MALWARE
Entdeckte Packprogramme:	PE_PATCH, MEW
AntiVir	HEUR/Crypted gefunden
ArcaVir	Keine Viren gefunden
Avast	Keine Viren gefunden
AVG Antivirus	Keine Viren gefunden
BitDefender	Keine Viren gefunden
ClamAV	Keine Viren gefunden
Dr.Web	Keine Viren gefunden
F-Prot Antivirus	Keine Viren gefunden
F-Secure Anti-Virus	Keine Viren gefunden
Fortinet	Keine Viren gefunden
Kaspersky Anti-Virus	Keine Viren gefunden
NOD32	Keine Viren gefunden
Norman Virus Control	W32/Suspicious_M.gen gefunden
VirusBuster	novirus:Packed/MEW gefunden
VBA32	Keine Viren gefunden

Diesmal haben sich die verbreiter nicht viel Mühe gemacht. Kurzer Mailtext, keine Änderung beim dateinamen und dann noch eine sofort erkennbare Exe-Datei. Es sollten nicht viele darauf hereinfallen.

Außerdem fehlen in der Mail die Umlaute. Buchstaben wie das ü werden einfach als u ausgegeben. Das deutet darauf hin, dass die Mail aus einem Gebiet ohne Umlaute (englischsprachig) kommt. Darauf deuten auch dei Rechtschreibfehler hin.

Und wieder versuc ht jemand, uns mit dem Namen eines großen Konzerns einen Virus unterzuschieben.

Im Betreff heißt es: „Ihre IKEA Bestellung“

Dann folgt ein harmlos klingender Text:

IKEA
            Ihre detaillierte IKEA Rechnung 
    
    

      Rechnungsnummer
      Kundennummer
      Datum 
      561 152 855 6683
      175 669 2886
      10 Februar 2006
    

      Sehr geehrter IKEA Kunde,

      die Gesamtsumme für Ihre Rechnung beträgt: 422,17 Euro.
      Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.

      Kopie dieses Schreibens wird Ihnen gleichzeitig auch per Post zugeschickt.
      Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.

      Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen.
      Ihre Rechnung ist im PDF-Format erstellt und mit einer „Digitalen Signatur“ unterzeichnet worden. Den entsprechenden
      Verifikationsbericht finden Sie im Anhang dieser E-Mail.
      Durch die „Digitale Signatur“ wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.

      Um sich die Rechnung anschauen und die Signatur prüfen zu können, benötigen Sie den Adobe Reader, Version 7.0 (oder höher).
      Sollten Sie keinen Adobe Reader besitzen, können Sie diesen kostenfrei auf der Homepage von Adobe downloaden: http://www.adobe.de/products/acrobat/readstep2.html

      Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen möglich sein, die Rechnungsdatei zu öffnen
      und die Signatur zu prüfen.

      Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort „Digitale Signatur“.
      ==================================
      Das IKEA FAMILY LIVE
      Einrichtungsmagazin: 100 Seiten Inspiration und Information.
      4 -mal im Jahr kostenlos zum Mitnehmen in deinem IKEA FAMILY Shop.

      Transportsicherheit:
      Zeig einfach deine IKEA FAMILY CARD an der Kasse vor.
      Wird dein Einkauf auf dem Eigentransport nach Hause beschädigt,
      erhälst du gegen Vorlage des Kassenbons einen kostenlosen Ersatz der Ware.
      ==================================

      Mit freundlichen Grussen
      Ihre IKEA Team
      i.A. Sandy Steinicke
      —————————————————

      Inter IKEA Systems B.V. 1999 – 2006
    
      Aufsichtsrat:
      Handelsregister:
     Dr.Klaus Zumwinkel (Vorsitzender)
      Amtsgericht Koblenz HRB 12903, Sitz der Gesellschaft Bonn

Der Anhang, die angebliche Rechnung hieß bei mir IKEA218Rechnung.zip und diese Datei enthielt eine ausführbare Datei namens RG_unYH8nfi32in.pdf.exe.

Schon das sowie die Tatsache, gar nichts bei IKEA bestellt zu haben, sollte Warnung genug sein. 

Jotti erkennt zum heutigen Datum (19.2.2007) nicht viel:

AntiVir	Keine Viren gefunden
ArcaVir	Keine Viren gefunden
Avast	Keine Viren gefunden
AVG Antivirus	Keine Viren gefunden
BitDefender	Keine Viren gefunden
ClamAV	Keine Viren gefunden
Dr.Web	Keine Viren gefunden
F-Prot Antivirus	Possibly a new variant of W32/Document-disguised-based!Maximus gefunden
F-Secure Anti-Virus	Keine Viren gefunden
Fortinet	Keine Viren gefunden
Kaspersky Anti-Virus	Keine Viren gefunden
NOD32	Keine Viren gefunden
Norman Virus Control	Keine Viren gefunden
VirusBuster	Keine Viren gefunden
VBA32	Trojan-Spy.BZub.1 (paranoid heuristics) gefunden (mögliche Variante)

Update vom 20.2.2007:
Scheinbar gibt es Trittbrettfahrer. Nun erschien eine neue Variante, diesmal mit einem Anhang im RAR-Format. (z.B.: ikea411Rechnung.rar). Auch das Betreff ist leicht geändert: „Detaillierte IKEA Rechnung3“.

Zu dieser Variante, fällt Jotti mehr ein:

AntiVir	TR/Dldr.iBill.T.1 gefunden
ArcaVir	Keine Viren gefunden
Avast	Keine Viren gefunden
AVG Antivirus	Keine Viren gefunden
BitDefender	Keine Viren gefunden
ClamAV	Trojan.Fakebill gefunden
Dr.Web	Keine Viren gefunden
F-Prot Antivirus	Possibly a new variant of W32/Document-disguised-based!Maximus gefunden
F-Secure Anti-Virus	Trojan-Downloader:W32/Nurech.AS, Trojan-Downloader.Win32.Agent.bhc gefunden
Fortinet	W32/Agent gefunden
Kaspersky Anti-Virus	Trojan-Downloader.Win32.Agent.bhc gefunden
NOD32	Keine Viren gefunden
Norman Virus Control	Keine Viren gefunden
VirusBuster	Keine Viren gefunden
VBA32	Trojan-Spy.BZub.1 (paranoid heuristics) gefunden (mögliche Variante)

ACHTUNG Update vom 17.4.2007
Es gibt eine neue Variante der Mail
Siehe http://www.virenkiller.de/archives/34 

Und wieder versuchen es die Trojanerverbreiter mit einer neuen Masche. Wie kürzlich erst bei dem „BKA-Virus“, versuchen Sie jetzt Ebaykunden einen Virus unterzujubeln.

Die Email enthält immer ein Betreff ähnlich wie „EBay neue E-Mail-Adresse“ und als Absender „eBay.de“ mit der Emailadresse meinestory@ebay.de

Sie hat einen Anhang mit Namen wie „Ebay-99381412.zip“ und diese ZIP-Datei enthält dann den Trojaner mit der Bezeichnung „Ebay.pdf.exe“.

Hier der Emailtext:

eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,

Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.

Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!

Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.

Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!

Vielen Dank,
eBay
——————————————————————–

Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.html

Allgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.html

Copyright   2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
——————————————————————–
Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html

Ich persönlich finde ja am schönsten das „sehr geehrter Ebay Mitglied“ ;-)

Auch diverse andere Rechtschreibfehler und Unregelmäßigkeiten im Mailtext deuten darauf hin, dass es sich bei dem Verbreiter um jemanden handelt, bei dem dieser Trick den letzten Versuch darstellt, mit geringem Intelligenzquotienten an Geld zu kommen.

Bei http://virusscan.jotti.org/de/ gibt es jetzt hier immerhin 7 Trojanerwarnungen.

AntiVir	TR/Dldr.iBill.P gefunden
ArcaVir	Keine Viren gefunden
Avast	Win32:Agent-EKG gefunden
AVG Antivirus	Keine Viren gefunden
BitDefender	Keine Viren gefunden
ClamAV	Trojan.Downloader-1334 gefunden
Dr.Web	DLOADER.Trojan gefunden (mögliche Variante)
F-Prot Antivirus	Possibly a new variant of W32/Document-disguised-based!Maximus gefunden
F-Secure Anti-Virus	Trojan-Downloader:W32/Nurech.AL gefunden
Fortinet	Keine Viren gefunden
Kaspersky Anti-Virus	Trojan-Downloader.Win32.Agent.bgd gefunden
NOD32	Keine Viren gefunden
Norman Virus Control	Keine Viren gefunden
VirusBuster	Keine Viren gefunden
VBA32	Keine Viren gefunden

Haben Sie in letzter Zeit Email vom BKA bekommen? Es wird auf ein Ermittlungsverfahren Nr. xxxxxx hingewiesen.

Das allein verleitet vermutlich schon so manchen Zeitgenossen, sich die Email einmal anzuschauen.

---

   Der Text in der Mail ist auch besorgniserregend:   

Sehr geehrte Damen und Herren,das Herunterladen von Filmen, Software und MP3s ist illegal und wird mit bis zu 5 Jahren Freiheitsentzug bestraft.
Wir möchten Sie darauf hinweisen, dass Ihr Rechner unter der IP 212.227.116.110 erfasst wurde.
Ihre Daten wurden uns von Ihrem Provider zu Verfügung gestellt und eine Strafanzeige wurde erlassen.
In dem angeführten Anhang finden Sie die Strafanzeige mit dem Aktenzeichen Nr.:# 130067
Drucken Sie diese bitte aus und faxen Sie diese mit einer Stellungname an uns zu.
Eine Kopie der Strafanzeige wird Ihnen in den nächsten Tagen schriftlich zugestellt.Hochachtungsvoll
i.A. Jürgen StockBundeskriminalamt BKA
Referat LS 2
65173 Wiesbaden
Tel.: +49 (0)611 – 55 – 12331
Fax.: +49 (0)611 – 55 – 0

---

Die Email hat als Anhang eine Datei mit Namen wie 7837661.exe
Dieser Anhang enthält einen Trojaner. NICHT ÖFFNEN!!!     Nun ja, bei mir konnte er nicht fruchten… Zuerst einmal hat Ihn der Spamfilter Spamihilator aufgehalten. Der Text hat mich in mehrfacher Hinsicht amüsiert. Es fängt damit an, dass sich das Aktenzeichen im Betreff sowie das Aktenzeichen in der Mail unterscheiden.Außerdem habe ich keine Filme und MP3-Dateien geladen, nur frei verfügbare Software (Freeware tec.)

Und schließlich ist die IP-Adresse völliger Unsinn und hat mit meinem Provider nichts zu tun.

Doch vor allem: Das BKA versendet keine Strafanzeigen per Email. Außerdem: Wer füllt Strafanzeigen selbst aus? ;-)

Also… was tun? Spamfilter anschaffen, und ungelesen löschen.

Nachtrag am 2.2.2007

Statt als ausführbare EXE-Datei kam gerade eine Mail mit einem gezippten Anhang hier an.

„Akte58391.zip“, die wiederum eine „Akte.pdf.exe“ enthält.

AVG-Free erkennt da nix gefährliches, bei http://virusscan.jotti.org/de/ schlagen nur 3 Scanner Alarm.

Die halten das Teil für eine Trojanervariante.

Das kann jedem passieren: Man hat immer den Virenscanner im Hintergrund und hält seinen rechner für sicher. Plötzlich trudelt per Email ein bis dato noch unbekannter Virus ein und das System ist befallen.

Die Virenscanner laufen den Virenprogrammierern eben immer ein paar Schritte hinterher. Ein guter Teil der rechnersicherheit muss deswegen zwischen den Ohren des Benutzers stattfinden.

Was aber, wenn die Datei sicher zu sein scheint, man sich aber dennoch ein gutes Stück Skepsis bewahrt hat, und der Scanner keinen Alarm schlägt? Dann sollte man es wie bei einer schwierigen Arztdiagnose halten und einfach noch weitere Meinungen einholen.

Natürlich ist es Unsinn, auf seinem Rechner gleich mehrere Virenscanner laufen zu lassen, zumal die sich meist gegenseitig ins Gehege kämen. Für solche Fälle gibt es den Onlinescan!

Gibs Jotti!

Unter der Adresse http://virusscan.jotti.org/de/ befindet sich eine Seite, auf der man in Echtzeit eine hochgeladene Datei gleichzeitig von 15 namhaften und jederzeit aktuellen Scannern überprüfen lassen kann.

Einfach die Datei hochladen und auf das Ergebnis warten.

Zwar widersprechen sich die Scanner häufig in der Bezeichnung der Viren und Trojaner, aber zumindest ist eine Tendenz erkennbar. Selten passiert es, dass eine gefährliche Datei selbst dort nicht erkannt wird,

Man sollte sich nicht davon verwirren lassen, wenn nur ein oder zwei Scanner einen Virus erkennen, die anderen aber die Datei aber für harmlos halten. Da sind die die einen einfach schneller als die anderen.

Der Service ist kostenlos und zuverlässig. Nur in Hochlastzeiten kann es manchmal dauern, bis wieder eine Datei hochgeladen werden darf. Doch diese Zeit ist gut investiert.