Mit einem Schock lassen sich viele dazu verleiten, gefährliche Emails zu öffnen, verseuchte Webseiten zu besuchen. Damit versuchen es auch diese Virenversender.
Mit der Behauptung, man habe einen relativ großen Geldbetrag vom Konto des Mailempfängers abgebucht, wollen sie und dazu bringen, einen angeblichen Kontoauszug zu downloaden.
Dieser ist scheinbar auch ungefährlich. Handelt es sich doch augenscheinlich um eine PDF-Datei.
Tatsächlich aber wird eine Datei mit dem Namen
billing-rechnung-182192711-1.pdf .exe
gedownloadet. Wichtig dabei: Es ist eine (ausführbare) Exe-Programmdatei. Aber die Endung Exe ist nicht zu sehen, wegen der vielen Leerzeichen.
Ebenfalls geschickt ist die Tatsache, dass in der Mail der Empfänger „persönlich“ angesprochen wird. Dazu nutzt der Versender den Teil der Email vor dem @-Zeichen. Aus Mayer@virenkiller.de würde also „Sehr geehrter Mayer“.
Der Absender hat aber Probleme mit den Umlauten und schreibt Zahlen auch in der englischen Notation. Statt – wie im deutschen Sprachraum – 497,50 zu schreiben, schreibt er 497.5, da im englischen Sprachgebiet der Punkt statt des Kommas die Cent von den Euro trennt.
Der Server ist in Hongkong, der Nameserver ist russisch.
Absender: Euro Imperial Casino
Betreff: Es wurden von Ihrer Karte EUR 497.5 abgebucht
Mailtext:
Sehr geehrter [Name des Mailempfängers],Ihre Einzahlung #670821 bei EuroImperial IC wurde erfolgreich ausgeführt.
Ihrem Spielkonto wurden EUR 497.5 gutgeschrieben. Sollten Sie mit der Kreditkarte
bezahlt haben, finden Sie diese Zahlung im Kontoauszug unter ‚0673 EUROIMPERIAL CY‘
Der Auszug kann von unserer Webseite heruntergeladen werden:
http://www.euroimperial.ws/ ab hier gelöscht ab hier gelöschtWir bedanken uns sehr, daß Sie bei unserem Casino gespielt haben.Barbara von Bollendorf
Promotions Manager
EuroImperial CasinoHier leben Sie Luxus!————————————-
Fur AGBs: http://www.euroimperial.ws/en/promotions/general-terms-conditions.html
E-Mail (Allgemein / english): support@euroimperial.ws
E-Mail (Deutsch): support-de@euroimperial.wsEuro Imperial Casino
P.O. Box 3422
Makati Central Post Office 1274
Makati City 18731, Manila, Philippines
Ergebnis des Virenscans
Virustotal:
AhnLab-V3 2007.9.22.0 2007.09.21 –
AntiVir 7.6.0.15 2007.09.21 –
Authentium 4.93.8 2007.09.21 W32/Downloader.gen10
Avast 4.7.1043.0 2007.09.22 –
AVG 7.5.0.485 2007.09.22 Downloader.Generic6.HVY
BitDefender 7.2 2007.09.22 –
CAT-QuickHeal 9.00 2007.09.21 –
ClamAV 0.91.2 2007.09.22 –
DrWeb 4.33 2007.09.22 –
eSafe 7.0.15.0 2007.09.19 –
eTrust-Vet 31.2.5154 2007.09.21 –
Ewido 4.0 2007.09.20 –
FileAdvisor 1 2007.09.22 –
Fortinet 3.11.0.0 2007.09.22 –
F-Prot 4.3.2.48 2007.09.21 W32/Downloader.gen10
F-Secure 6.70.13030.0 2007.09.21 W32/Downloader
Ikarus T3.1.1.12 2007.09.22 –
Kaspersky 4.0.2.24 2007.09.22 –
McAfee 5125 2007.09.21 –
Microsoft 1.2803 2007.09.22 TrojanDownloader:Win32/Small.gen!O
NOD32v2 2544 2007.09.21 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.09.21 W32/Downloader
Panda 9.0.0.4 2007.09.22 Suspicious file
Sophos 4.21.0 2007.09.22 Mal/TinyDL-L
Update:
Avira (Antivir) gab unserer Einsendung den Namen TR/Dldr.Nurech.CE.
Mit dem Update vom 24.9. wird der Trojaner erkannt.
Antivir erkennt ihn nicht und auch bei Jotti (http://virusscan.jotti.org/de/) bzw. Virustotal (http://www.virustotal.com/de/) erkennen ihn nur wenige…
Die Rede ist von einem Trojaner, der seinen weiteren Code aus dem Internet downloadet.
Die Gefahr dürfte zumindest im deutschen Sprachraum relativ gering sein, da die Mail englisch ist und der (angebliche) Absender niemandem bekannt sein dürfte und auch nichts mit dem „Unterzeichner“ der Mail zu tun hat.
Der Betreff lautet:
You ask me about this game, Here is it
Der Mailtext:
Good Day, man!Anna sent you animated card. You can check this in your attachment.Best regards,
Your Funny Cards.
Als Anhang hat die Mail eine Datei namens Card.zip, die wiederum eine card.exe enthält (20.992 Byte).
Laut Jotti und Virustotal enth#ält diese den Pandex.gen
Virustotal hat mehr Treffer:
ClamAV 0.91.2 2007.09.21 Trojan.Downloader-13920
F-Secure 6.70.13030.0 2007.09.21 Pandex.gen
Ikarus T3.1.1.12 2007.09.21 Win32.Outbreak
Norman 5.80.02 2007.09.20 Pandex.gen
Sophos 4.21.0 2007.09.21 Troj/Pushdo-C
Die Mail sollte umgehend gelöscht werden. Keinesfalls die ZIP-Datei öffnen oder die Programmdatei starten!
Diese Warnung gab es ganz aktuell übrigens auch in unserem Virennewsletter von http://www.Virennewsletter.de!
Einfach hier rechts im Menü anmelden!
UPDATE:
Nach unserer Zusendung hat man bei Avia (Antivir) dem Trojaner den Namen Worm/Ntech.I gegeben. Ein aktuelles Update am 21.9.2007 um 10:30 Uhr erkannte den Virus dann auch.
„Phishing“ funktioniert! Damit ist gemeint, wenn man unbedarfte Internetsurfer dazu verleiten kann, auf einer gefälschten – aber verdammt gut gemachten – Seite ihre Kontonummer, Kreditkartennummer, ihr Passwort, Ihr PIN oder TAN einzugeben.
Dabei sind die Mails nicht einmal perfekt gemacht. Allein schon die grammatikalischen Fehler, die fehlenden Umlaute, die fehlerhafte Anrede, der holprige Stil weisen überdeutlich auf die Fälschung hin.
Andrerseits halten die meisten Leute ihre Banken etc. scheinbar ohnehin für unpersönlich und ungebildet. Denn wie anders ist es zu erklären, dass man auf eine Email hereinfällt, in der man mit „Sehr geehrte Kunde“ angesprochen wird? Und die mit „Es ist eine wichtige Mitteilung“ beginnt?
Vor allem dann, wenn man gar nicht Kunde der Bank ist?! :-)
Genau so eine Mail ist derzeit unterwegs. Angeblich von der Volksbank stammend, unterrichtet Sie deren Kunden davon, dass am 1. Oktober eine „Kodekarte iTAN“ eingeführt werden soll. Und weiter: „Das garantiert die hoehere Stufe der Sicherheit beim Nutzen von Ihrem Konto.“
OK, ich gebe zu, ich bin Zyniker. Wer darauf hereinfällt, der hat es verdient!
Jedenfalls solle man doch bitte zur Domain www.volksbankitan.com bzw. volksbankitancard.com oder volksbankitans.com, gehen und dort dann die Karte bestellen (die laut Email eigentlich automatisch kommen soll…)
Und so heißt es also in dümmsten China-Deutsch:
„Nachdem Sie die geschluesselte Zone der Seite betreten, brauchen Sie eine E-Mail und einen Namen einzutragen, an denen die Mitteilung ueber den Sendungszustand kommt.“
Noch Fragen?
Hier der vollständige Mailtext:
Es ist eine wichtige Mitteilung
Sehr geehrte Kunde,
Kodekarte iTAN soll bis zum 1.Oktober aktiviert werden.
Die Volksbank schickt Ihnen per Post eine Kodekarte fuer die Bestaetigung der Operationen, die im fernen Zugang zum Konto per Internet und Telefon durchgefuehrt worden waren. Das garantiert die hoehere Stufe der Sicherheit beim Nutzen von Ihrem Konto.
Die Kodekarte iTAN unterscheidet sich von Ihrer Liste der TAN-Koden. In der Karte der iTAN-Koden finden Sie die Matrixebene mit 10 Spalten und mit 10 Reihen. Fuer die Operationen, die die Bestaetigung brauchen, muss man die TAN-Kode aus der bestimmten Koordinate eintragen, die von der Volksbank angefordert wird.
Wofuer ist es noetig
Die Untersuchung, die von dem Sicherheitsdienst der Volksbank durchgefuehrt worden war, hat gezeigt, dass die Tabellen der TAN-Koden kein sicheres Mittel fuer den Schutz der Konten von dem unbefugten Zugriff sind. Dafuer wurde die sicherere Form der Bestaetigung der Kunden ausgearbeitet.
Wie ist es zu bestellen
Fuer die Bestellung einer Karte muss man persoenlich Ihre Agentur der Volksbank besuchen und ein Bestellungsformular ausfuellen. Wenn Sie persoenlich die Agentur nicht besuchen koennen oder wollen, koennen Sie die Bestellung auch online machen. Die Volksbank hat einen speziellen Portal fuer die Bestellungen gemacht:
Volks Bank Card iTAN
Wie kann man die iTAN-Karte durch den Portal bestellen
Nachdem Sie die geschluesselte Zone der Seite betreten, brauchen Sie eine E-Mail und einen Namen einzutragen, an denen die Mitteilung ueber den Sendungszustand kommt. Das koennte sowohl Ihre E-Mail als auch die E-Mail von Ihrer vertrauten Person sein. Sie brauchen keine Adresse einzutragen, die iTAN-Karte kommt an Ihre angemeldete Adresse. Fuer die Operationbestaetigung brauchen Sie, wie immer, eine unbenutzte Kode TAN einzutragen. Vergessen Sie bitte nicht Ihre korrekte E-Mail Adresse einzutragen, da unser Servicedienst die Bestaetigung und die Pruefung der Bestellungen per E-Mail macht.
Wenn Sie Fragen haben
Viele unsere Kunden haben gesagt, dass Sie auf die Antwort zu ihren Fragen per Telefon sehr lange warten sollen. Da unsere Telefonverbindung stark besetzt ist, dauert ein Anruf durchschnittlich 40 Minuten. Um alle Ihre Fragen zu beantworten, die mit der Einfuehrung der Kodekarten iTAN verbunden sind, haben wir einen speziellen Auskunftdienst rund um die Uhr organisiert. Besuchen Sie unseren Portal, tragen Sie Ihre E-Mail auf der Bestellungsform der Karte ein, und unser Dienst kontaktiert mit Ihnen.
Mit freundlichen Gruessen,
Helmut Gawlik,
Vertreter der Volksbank
Sowas kann man übrigens an die Volksbankportalbetreiber melden:
vr-antiphishing@gad.de
Diese Warnung gab es ganz aktuell übrigens auch in unserem Virennewsletter von http://www.Virennewsletter.de!
Einfach hier rechts im Menü anmelden!
In letzter Zeit versuchen die Virenverbreiter auch noch de dümmsten unter den Internetsurfern zu bekommen.
Dazu reicht scheinbar eine Mail bei der im Betreff Quick, grab this (Schnell, schnapp Dir das) steht.
Die Mail selbst besteht aus nicht mehr als dem Wort Check, gefolgt von einer IP-Adresse.
Keinerlei verlockende Angebote. Keine Hinweise auf das Ziel. Nichts.
Landet man dann dort, sieht man eine einigermaßen professionell gemachte Seite, welche mehr als 1000 kostenlose Spiele verspricht. Ein anständiger Browser wie Firefox warnt sofort davor, dass es sich bei dieser Seite mit ziemlicher Sicherheit um einen Betrugsversuch handelt.
Auffällig ist der dicke Downloadbutton. Und ein Download bringt dann tatsächlich auch etwas:
1. Eine Datei namens ArcadeWorld.exe
2. Einen Trojaner-Virus!
Knapp 147 kb groß ist die Datei, die aktuelle Virenscanner sofort als Trojaner erkennen.
Virustotal sagt dazu:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.19.0 2007.09.19 –
AntiVir 7.6.0.10 2007.09.19 Worm/Storm.tcs
Authentium 4.93.8 2007.09.18 –
Avast 4.7.1043.0 2007.09.18 Win32:Tibser
AVG 7.5.0.485 2007.09.18 Downloader.Tibs
BitDefender 7.2 2007.09.19 Trojan.Peed.IJX
CAT-QuickHeal 9.00 2007.09.18 (Suspicious) – DNAScan
ClamAV 0.91.2 2007.09.19 Trojan.Small-4082
DrWeb 4.33 2007.09.19 Trojan.Packed.142
eSafe 7.0.15.0 2007.09.17 Suspicious Trojan/Worm
eTrust-Vet 31.2.5146 2007.09.19 –
Ewido 4.0 2007.09.18 –
FileAdvisor 1 2007.09.19 –
Fortinet 3.11.0.0 2007.09.19 W32/PackTibs.C
F-Prot 4.3.2.48 2007.09.18 –
F-Secure 6.70.13030.0 2007.09.19 Packed.Win32.Tibs.by
Ikarus T3.1.1.12 2007.09.19 –
Kaspersky 4.0.2.24 2007.09.19 Packed.Win32.Tibs.by
McAfee 5122 2007.09.18 Tibs-Packed
Microsoft 1.2803 2007.09.19 Trojan:Win32/Tibs.EI
NOD32v2 2540 2007.09.19 Win32/Nuwar.Gen
Norman 5.80.02 2007.09.18 Tibs.gen158
Panda 9.0.0.4 2007.09.19 –
Prevx1 V2 2007.09.19 –
Rising 19.41.20.00 2007.09.19 –
Sophos 4.21.0 2007.09.19 Mal/Dorf-D
Sunbelt 2.2.907.0 2007.09.15 VIPRE.Suspicious
Symantec 10 2007.09.19 Trojan.Packed.13
TheHacker 6.2.5.061 2007.09.17 –
VBA32 3.12.2.4 2007.09.18 –
VirusBuster 4.3.26:9 2007.09.18 Trojan.Tibs.Gen!Pac.132
Webwasher-Gateway 6.0.1 2007.09.18 Worm.Storm.tcs
Tipps:
Was soll man da schon für einen Tipp geben? Die Mail kommt von einer unbekannten Emailadresse, einer unbekannten Person. Sie enthält ein englisches Betreff und im Mailtext selbst nur den „Befehl“, eine dubiose IP-Adresse anzusurfen…
So was löscht man sofort!
Und ansonsten: Immer schön die Virenscanner aktuell halten!