Virenkiller.de

Das Muster ist immer dasselbe. Sogar der Verursacher ist derselbe, weil er definitiv mit Viren auf dem Server 203.223.158.26 arbeitet.

Im Mailpostfach tauchen scheinbar völlig harmlose Mails auf, die mit Billigangeboten locken. Meist ziemlich zusammengeschustert, aber ganz eindeutig nicht aus Deutschland stammend, wenngleich man die Sprache des Textes als deutsch bezeichnen könnte.

Derzeit lockt beispielsweise eine Mail mit spottbilligen Flügen der Fluggesellschaft Air Berlin. Das Betreff lautet:

Interessanter Angebot von „Berliner Airlines“

So so, DER Angebot, hmm? :-)

Weiter gehts mit der Radebrecherei:

Achtung! In diesem Sommersaison fuehrt die Gesellschaft  „Berliener Airlines“ eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen.
Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich!
Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter http://XXXXXXXXX.biz/

Gut, das alles scheint (und ist) ja soweit ungefährlich. Personen mit einem IQ über 75 erkennen vermutlich auch sofort, dass es sich um Unsinn handelt. Nichtsdestotrotz weckt die Mail vielleicht bei dem einen oder anderen die Neugier. Mal sehen, was die denn wirklich verkaufen wollen…

Die wollen gar nichts verkaufen!

Folgt man dem Link, so landet man bei einer seltsamen, harmlos scheinenden Seite aus Korea. Der Trick liegt in einem eingebetteten Frame (iFrame), der eine Seite nachlädt, die wiederum ein hinterhältiges Javascript enthält. Dieses Javascript versucht, bekannte Exploits des Internetexplorers nachzuladen, um so die Kontrolle über Ihren Rechner zu bekommen.  

OK, was kann man dagegen tun?

Das ist relativ einfach zusammenzufassen:

1. Immer alle aktuellen Updates von Windows/Internet Explorer laden! 
2. Hirn einschalten! Die Air Berlin bietet nichts auf einer Seite an, die eine Topleveldomain biz hat und schon im Namen das Wort Korea.
3. Merken: Nach neusten Untersuchungen sidn 80% aller Seiten unter .INFO bzw. .BIZ Virenschleudern.
4. Javascript abschalten bzw. einen anderen Browser benutzen. Rechts neben diesem Artikel finden Sie die Hinweis-Box mit einem Link zu einem optimierten Firefoxbrwoser mit Googlefunktionen. Auf den wirken diese Exploits gar nicht!
5. Einen Spamfilter benutzen.

Nochmal: Bitte nutzen Sie einen Spamfilter. Folgen Sie niemals Links in Spammails. Entweder holen Sie sich damit Schädlinge in den Rechner oder sie bestätigen den Spammern Ihre Emailadresse.

Nutzen Sie einen Browser wie Firefox (Link dazu rechts in der Hinweisbox)

Nicht besonders fleißig ist der Idiot, der uns gerade mit seinem Versuch überschwemmt, seinen Trojaner loszuwerden.

Mit Absendern, die auf amerikanischen Vornamen und beliebigen Emailadressen bestehen
(z.B. Carly Alvin@c2i.net) und mit spartanischen Betreffs wie

RE: Vertrag
RE: Dokument

schickt er uns eine einzeilige Mail und einen gezippten Anhang, wie etwa 71933.zip.

Mailtext:

Hiermit erhalten Sie die angeforderten Unterlagen
   mfG 

Die gezippte Datei entält den Trojaner (mit eingearbeitetem PDF-Icon) unter dem Namen Vertrag.doc.exe.

Es handelt sich um einen Trojaner der Nurech-Familie, der seinen eigentlichen Schadcode aus dem Internet nachladen will.

Jotti sagt dazu

Man kanns ja mal probieren, dachte sich offensichtlich der Verbreiter eines neuen Virus und tarnte diesen als angebliche Rechnung für ein angeblich gekauftes Antivirenprodukt der Firma Avira.

Das Betreff lautet:

Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten

Absender der Mail ist angeblich:

cleverbridge / Avira GmbH. (mailer@cleverbridge.com)

Auch als:
auto@cleverbridge.com
mailer@cleverbridge.com
automailer@cleverbridge.com
lists@cleverbridge.com
support@cleverbridge.com
tech@cleverbridge.com
cle@cleverbridge.com
maillist@cleverbridge.com

Anhänge an der Mail heißen z.B. 595169.zip und enthalten dann eine ausführbare Datei namens

HBEDV.KEY.exe

Bei dieser hat sich der Programmierer dieses Mal nicht einmal die Mühe gemacht, sie mit einem passenden Icon zu tarnen. Es soll sich hierbei um einen Vollversionskey für „Avira AntiVir PersonalEdition Premium“ handeln.

In der Mail befindet sich auch ein Link auf eine PDF-Datei. Dabei handelt es sich tatsächlich um eine PDF-Datei, die eine Rechnung für einen Amerikaner darstellt. (Originallink von Virenkiller.de geändert!)

https://avira.cleverbridge .com/inv oice/4T 602 JI1W TV04A 284FD1/CB -30-94308.pdf

Ganz offensichtlich handelt es sich mal wieder um einen Vertreter der Nurech-Trojanerfamilie.

Der Mailtext:

Vielen Dank für Ihre Bestellung bei cleverbridge.

cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.

Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.

Ihre cleverbridge Referenznummer: 595169

Zahlungsinformationen

Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von „www.avira.com“ erscheinen wird.

Ihre Produkte

Menge Produktname Auslieferung
1 Avira AntiVir PersonalEdition Premium – 5 JahreLizenzlaufzeit 5 Jahre elektronisch
Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner „Eigene Dateien“
Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren. Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:

 – Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
 – Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter: Avira AntiVir PersonalEdition Premium herunterladen
 – Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner „Eigene Dateien“. Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
 – Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen: Installationsanleitung anzeigen

WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.

1 Zuwendung an die Auerbach Stiftung

Ihre Rechnung

Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:

Ihre Rechnung

Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den „Adobe Acrobat Reader“, um es öffen zu können. Sollte der „Adobe Acrobat Reader“ nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.

Fragen oder Anregungen?

Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.

Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html

Mit freundlichen Grüßen,
Ihr cleverbridge Kundenserviceteam

Pikanterweise kann Antivir selbst derzeit (23.4.2007) den Virus selbst nicht erkennen.

Der Onlinescan bei Jotti ergab:

Und Virustotal fand folgendes:

Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de

Update, 23.4.2007 / 10:20 Uhr
Avira hat schnell mit einem Update reagiert

Ab sofort haben wir unseren bewährten Newsletter (über 6.500 Abonnenten) vom Portal Virenkiller.de getrennt und ihm eine eigene Webseite spendiert.

Wir haben festgestellt, dass die Zahl der Newsletterempfänger zwar stetig angestiegen ist, diese aber nicht zwangsläufig auch die Informationen auf Virenkiller.de nachlesen. Das führte uns zu dem Schluß, dass sich die Leser zwar sehr wohl für die zusammengefassten Informationen der kostenlosen Newsletter-Emails interessieren, damit aber eben auch zufrieden sind.

Darum also haben wir jetzt die Webseite http://www.Virennewsletter.de ins Leben gerufen. Hier erwarten unsere Newsletterempfänger immer die aktuellen Virenwarnungen, sobald wir über neue Informationen verfügen.

Selbstverständlich bleibt das Angebot weiterhin absolut kostenlos!

Die bisherigen Empfänger wurden in die Datenbank der neuen Seite überführt und davon unterrichtet. Hier, auf Virenkiller.de, werden wir auch zukünftig über Virenbedrohungen ausführlicher berichten.

Der Newsletter wird in einem sogenannten OptIn/OptOut-Verfahren versendet. Das bedeutet, dass man dem Empfang der Email anfangs einmal durch einen Klick in der Bestätigungsemail zustimmen muß. In jedem Newsletter wird sich dann ein bequemer Link zum Austragen befinden.

Es kursiert eine neue variante der Ebay-Mail (siehe auch http://www.virenkiller.de/archives/21 ) mit dem Absender

Der Inhalt der Mail ist identisch – inklusive der Fehler. Das Betreff lautet:

Ihre Ebay E-Mail wurde geandert
oder
Ebay: Sie haben Ihre Email Adresse geanderter
oder auch
Ihre Ebay E-Mail wurde geandert 

Allein die Umlautfehler lassen schon darauf schließen, dass der Text der Mail kopiert wurde, der Versender aber versucht, eine gewisse Varianz ins Betreff zu bringen, jedoch über keine Umlaute in der Tastatur verfügt.

Die Namen der gezippten Anhänge (etwa 8 kb) setzen sich aus Ziffern zusammen, wie etwa

2864046.zip
23430093.zip
2803071.zip 

Darin befindet sich eine ausführbare Trojanerdatei namens Ebay.doc.exe (komplett mit Word-Icon)

Der Mailtext:

eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,

Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.

Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!

Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.

Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem Dokument beschrieben sind!

Vielen Dank,
eBay
——————————————————————

Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.html

Allgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.html

Copyright   2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
——————————————————————
Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html

 Nicht alle Scanner kennen die Variante, einige Onlinescanner schlagen Alarm.

Jotti meint:

Und Virustotal meint:

Diese und ähnliche Warnungen per Email?
http://www.virenkiller.de/newsletter/

Update vom 24.5.2007:Eine Kopie des untenstehenden Schreibens kommt nun angeblich von einer „Rechtsanwaltsgesellschaft Thieler “ . Der Anhang ist wieder mit einem Trojaner verseucht, den aber die aktuellen Virenscanner problemlos entdecken. Dämlicherweise ist die Kopie dieses Schreibens so schlecht, dass es sogar noch mit „Olaf Tank“ – dem Namen des angeblichen Absenders der vorherigen Mail – unterschrieben ist.

Kleine Ironie am Rande:
Rechtsanwalt Tank konnte den beiden Gebrüdern Schmidtlein offensichtlich nicht vor dem Landgericht Darmstadt helfen: http://www.heise.de/newsticker/meldung/90126

Mit dem Betreff

Forderung AZ: 264812/09

kommt von einem Absender

Anwaltskanzlei Tank (anwalt@forderungseinzug.de)

eine gefälschte Rechnung ins Haus geflattert. Ein Anhang namens Rechnung.zip einthält eine ausführbare Virusdatei namens O_rechnung.pdf.exe.

Der Inhalt der Email ist aus vielen Gründen unsinnig. Wengleich es den Absender sowie die angeblichen Rechnungssteller wirklich gibt. Für Rechtsanwalt Tank und die Gebrüder Schmidtlein findet das Internet und die Presse nur harte Worte (Beispiele:
http://www.verbraucherzentrale-bremen.de/themen/verbraucherrecht/schmidtlein.html
http://www.verbraucherzentrale-bremen.de/themen/verbraucherrecht/kostenfallen-im-internet.html
)

Hier kam die Mail am 11.4.2007 an, abgeschickt wurde sie laut Emailtext aber erst am 31.4.2007 (der April hat nur 30 Tage :-) )

Solche Anwaltsrechnungen dürfen natürlich um gültig zu sein NICHT per Email versandt werden. Die angebliche Verursacher-IP ist in Nigeria.

Sehr geehrte Kunde,hiermit zeige ich die Interessenvertretung der Firma Andreas & Manuel Schmidtlein GbR, Vor der Hube 3, D 64572 Büttelborn an. Ordnungsgemäße Bevollmächtigung wird anwaltlich versichert. Meine Mandantschaft macht gegen Sie folgende Forderung geltend:Rechnung vom 15,08,2006 aus Dienstleistungsvertrag mit der Rechnungsnummer R270665 für die Anmeldung vom 29,07,2006 um 14:33 Uhr auf der Internetseite P2P-heute.com mit folgender Anmelde-IP: 217.083.187.57. Sie schulden meiner Mandantschaft daher 110,00 EUR. Da Sie sich in Verzug befinden, sind Sie gegenüber meiner Mandantschaft verpflichtet, die durch meine Tätigkeit entstandenen Gebühren zu erstatten.Das Originalrechnung finden Sie im Anhang als signierte PDF Datei.
Bitte behalten Sie das Original Rechnung unbedingt für Ihre Unterlagen. Liquidation:1,3 Geschäftsgebühr, Nr. 2300 VV 965,50 EURAuslagenpauschale, Nr. 7002 VV X,50 EURGesamtsumme 302,00 EURDer von Ihnen zu zahlende Gesamtbetrag beläuft sich somit auf 335,00 EUR.Ich fordere Sie auf, den Gesamtbetrag, innerhalb einer Frist von 10 Tagen, also bis zum09.04.2007 (hier eingehend)