Vom selben Verursacher wie der gestern gemeldete Virus in einer gefälschten Rechnung von Vattenfall oder einem Inkassobüro stammt die heutige Fälschung. Denn beide versuchen zu denselben Internetseiten Kontakt aufzunehmen, um sich Befehle abzuholen.
Bedenklich daran ist die Tatsache, dass die Virenprogrammierer, die ganz eindeutig auf den deutschsprachigen Markt zielen, sich die Mühe gemacht haben, schnell hintereinander zwei verschiedene Trojaner loszulassen.
Das Betreff der Beispielmail:
Wichtiger Hinweis NR37639 zur Datenuebermittlung an die SCHUFA
Der Mailtext:
Sehr geehrte Damen und Herren,
Usenet GmbH - usenext.de
38,21 EUR
Beate Uhse GmbH beate-uhse.de
64,48 EUR
bisherige Mahnkosten unserer Mandanten:
57,71 EUR
vorgerichtliche Inkassogebuehren:
81,17 EUR
noch offener Gesamtbetrag inklusive unserer Bearbeitungskosten:
793,47 EUR
bislang ist der von uns angemahnte Betrag nicht ausgeglichen worden!
Als Vertragspartner der SCHUFA Holding AG weisen wir darauf hin, dass wir Daten ueber aussergerichtliche und gerichtliche Einziehungsmassnahmen bei ueberfaelligen und unbestrittenen Forderungen an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, uebermitteln. Vertragspartner der SCHUFA sind vor allem Kreditinstigute sowie Kreditkarten- und Leasinggesellschaften.
Moechten Sie diese Schritte vermeiden, zahlen Sie bitte bis zum 09.12.2008 Ihren Schuldbetrag unter Angabe Ihres
Aktenzeichens (siehe Anhang) auf die in der Auflistung genannte Bankverbindung.
Die detailierte Auflistung Ihrer Rechnungen, Mahngebuehren und die Zahlungs bzw. Wiederspruchshinweise finden Sie im Anhang.
Mit freundlichen Gruessen Ihr Proinkasso Team
Dieser Brief wurde maschinell erstellt und ist deshalb ohne Unterschrift gueltig
Im Anhang namens Anhang.zip (21.188 Byte) befindet sich der Trojaner mit der Bezeichnung Rechnung.scr (31.744 Byte).
Nochmal ein Hinweis an alle „Normaluser“: SCR, die Endung für einen Bildschirmschoner (SCReensaver), ist nur eine Umbenennung einer normalen Programmdatei. Windows behandelt sowas wie ein Programm und führt es einfach aus. Ein Doppelklick auf eine SCR-Datei startet ein Programm!
Wie schon gestern versucht der Trojaner, eine Datei anzulegen
C:\Programme\Microsoft Common\svchost.exe
und sie in der Registry zu verankern.
Die Mail sollte bei Empfang gelöscht werden. Schenken Sie solchen Drohungen generell keine Beachtung. Seriöse Firmen würden sowas nie verschicken, weil es keinerlei Bestand vor Gericht hat, wenn es darum geht nachzuweisen, dass Sie unterrichtet wurden.
Scanergebnis bei Jotti
AntiVir TR/Dldr.iBill.BE gefunden
Avast Win32:Downloader-BZT gefunden
BitDefender Trojan.Agent.AKTB gefunden
ClamAV Trojan.Agent-57253 gefunden
Dr.Web Trojan.DownLoad.3735 gefunden
F-Prot Antivirus W32/Trojan3.EM gefunden
F-Secure Anti-Virus Trojan-Downloader:W32/Agent.HWO, Trojan-Downloader.Win32.Agent.algj gefunden
Ikarus Win32.Outbreak gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.algj gefunden
NOD32 Win32/AutoRun.Agent.X gefunden
Sophos Antivirus Troj/Agent-IAO gefunden
Virustotal meint dazu:
AntiVir – – TR/Dldr.iBill.BE
Authentium – – W32/Trojan3.EM
Avast – – Win32:Downloader-BZT
AVG – – Pakes.AKA
BitDefender – – Trojan.Agent.AKTB
ClamAV – – Trojan.Agent-57253
DrWeb – – Trojan.DownLoad.3735
F-Prot – – W32/Trojan3.EM
F-Secure – – Trojan-Downloader:W32/Agent.HWO
GData – – Trojan.Agent.AKTB
Ikarus – – Win32.Outbreak
Kaspersky – – Trojan-Downloader.Win32.Agent.algj
McAfee – – Downloader-AAP
Microsoft – – TrojanDropper:Win32/Emold.C
NOD32 – – Win32/AutoRun.Agent.X
SecureWeb-Gateway – – Trojan.Dldr.iBill.BE
Sophos – – Troj/Agent-IAO
Symantec – – W32.Auraax
Wenn Ihr Virenscanner fehlt, ist er untauglich Sie zu schützen!
Unser kostenloser Newsletter
http://www.virenkiller.de/newsletter/
Liebe Empfänger unseres Newsletters mit Emailadressen bei T-Online,
bitte lesen Sie den Hinweis unter
T-Online blockt unseren Newsletter! [KLICKEN]
Ich bekomme vom T-Online-Spamfilter die Newsletter mit den Virenwarnungen zurückgeschickt, weil sie angeblich Spam sind.
Es scheint, als wolle ein Virenversender gleichzeitig einer Inkassofirma schaden. Angeblich kommt nämlich von der Firma TESCHINKASSO Forderungsmanagement eine Mail mit einem Anhang namens Rechnung.zip. (22.745 Byte)
Der Mailtext:
Betreff: Abbuchung
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.751691600428 ist erfolgt
Es wurden 0405.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung
TESCHINKASSO Forderungsmanagement GmbH
Geschaeftsfuehrer: Siegward Tesch
Bielsteiner Str. 43 in 51674 Wiehl
Telefon (0 22 62) 7 11-9
Telefax (0 22 62) 7 11-806
Ust-ID Nummer: 212 / 5758 / 0635
Amtsgericht Koeln HRB 39598
Man achte auf die nicht vorhandenen Umlaute…
Versandt wurde die Mail in unserem Fall in Istanbul.
Die Datei enthält zwei Dateien, welche einen unbedarften Anwender sicher reinlegen werden.
Eine Datei namens Rechnung.txt.lnk
Die Endung lnk weit darauf hin, dass es keine einfache Textdatei iost, sondern eine Linkdatei, die von Windows besonders behandelt wird. Der darin löiegende Quelltext zeigt auf, dass sie nur dazu dient eine ausführbare Virendatei in Windows zu starten und in der Registry zu verankern.
Diese zweite Datei namens zertifikat.ssl beinhaltet den eigentlichen Trojaner. Der Leser wird ja schon in der Mail künstlich beruhigt, dass das „Sicherheitszertifikat“ für ihn nicht von Bedeutung sei.
Jotti und Virustotal erkennen den Trojaner jedenfalls teilweise:
Jotti:
AntiVir TR/Dropper.Gen gefunden
ClamAV Trojan.Dropper.Rechnung gefunden
Dr.Web Trojan.DownLoad.3735 gefunden
F-Prot Antivirus W32/Trojan3.EJ gefunden
Kaspersky Anti-Virus Worm.Win32.Downloader.wh gefunden
Sophos Antivirus Troj/Agent-IAJ gefunden
Und Virustotal meint dazu:
Authentium – – W32/Trojan3.EJ
ClamAV – – Trojan.Dropper.Rechnung
DrWeb – – Trojan.DownLoad.3735
F-Prot – – W32/Trojan3.EJ
Kaspersky – – Worm.Win32.Downloader.wh
SecureWeb-Gateway – – Trojan.Dropper.Gen
Sophos – – Troj/Agent-IAJ
Symantec – – W32.SillyFDC
Vermutlich will jemand dem Ruf der genannten Firma starten, wenngleich die das auch schon gut allein schaffen, indem sie auf ihrer Webseite Telefonnummern angeben, bei denen die Telekom nur „Kein Anschluss unter dieser Nummer“ sagen kann.
Der Trojaner will zwei Server kontaktieren, von denen einer nicht existiert und der andere wurde in China unter russischem Namen angemeldet.
Er will sich im befallenen System unter
C:\Programme\Microsoft Common\svchost.exe
ablegen.
Da hat so eine Datei nix zu suchen. Im Zweifelsfall LÖSCHEN!
Laut einer Pressemeldung kann auch noch folgender Text enthalten sein:
Die Anzahlung Nr.575165210048 ist erfolgt
Die Anzahlung Nr.696051361946 ist erfolgt
Die Anzahlung Nr.240988920464 ist erfolgt
Die Anzahlung Nr.979548716268 ist erfolgt
Die Anzahlung Nr.023931824185 ist erfolgt
Ihr Abbuchungsauftrag Nr.26434045 wurde erfullt.
Ihr Abbuchungsauftrag Nr.35832860 wurde erfullt.
Es wurden 5778.00 EURO Ihrem Konto zu Last geschrieben.
Es wurden 6970.00 EURO Ihrem Konto zu Last geschrieben.
Es wurden 0699.10 EURO Ihrem Konto zu Last geschrieben.
Es wurden 8502.00 EURO Ihrem Konto zu Last geschrieben.
Es wurden 5544.00 EURO Ihrem Konto zu Last geschrieben.
Ein Betrag von 661.01 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Vattenfallabbuchung ” angezeigt. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Ein Betrag von 438.50 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Vattenfallabbuchung ” angezeigt. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Ich empfehle diese Mail sofort zu löschen und auf keinen Fall der Neugier nachzugeben!
Auch sollten Anhänge mit Endungen wie LNK niemals einfach angeklickt werden.
Die Virenschleudern versuchen es wieder mal wieder mit dem Trick, ausführbare Exe-Dateien als Word-Doc zu tarnen und sie gleich noch zu zippen.
So landen gerade wieder verstärkt Mails in den Postfächern, die extrem einfach gehalten sind und nur einen kleinen Anhang haben. Darin ist die Rede von einem Anhang, der angeblich ein „Statement“ (eine Stellungnahme) enthält.
Da man selbst sowas kaum erwartet wird diese Anhang vermutlich nur von neugierigen (und sehr dummen) Zeitgenossen geöffnet, die mal ein bißchen in den Daten anderer rumschnüffeln wollen.
Betreff: Statement January – October
Der Mailtext:
There is a file attached to this letter. You can find your report in it.
The report was made today. Detailed report you’ve asked for has been adapted successfully.
Feel free to contact us any time.
Mable
Daran hängt eine ZIP-Datei mit einer Größe von 35.927 Byte mit dem seltsamen Namen
statement.jan,oct.zip
Darin wiederum befindet sich eine Datei, die auf den ersten Blick wie ein Word-Dokument aussieht. Das Icon stimmt und die Endung DOC scheinbar auch. Allerdings kommen hinter diesem „Doc“ noch ganz viele Leerzeichen und dann folgt ein „.exe“.
So heißt die Datei also tatsächlich
Statement_January-October.doc .exe
Bei Virustotal kennen 8 von 36 Scannern das Ding:
AntiVir HEUR/Crypted.E
Authentium W32/Trojan-Gypikon-based.DM!Maximus
eSafe Suspicious File
F-Prot W32/Trojan-Gypikon-based.DM!Maximus
Microsoft Trojan:Win32/Emold.gen!C
Panda Suspicious file
NOD32 a variant of Win32/TrojanDownloader.FakeAlert.NA
TrendMicro PAK_Generic.001
Bei Jotti schlagen sogar nur 4 Scanner an:
F-Prot Antivirus W32/Trojan-Gypikon-based.DM!Maximus gefunden (mögliche Variante)
F-Secure Anti-Virus Trojan-Downloader:W32/Agent.HVR gefunden
Ikarus Win32.Outbreak gefunden
NOD32 a variant of Win32/TrojanDownloader.FakeAlert.NA gefunden
Laut Thret-Expert versucht das Ding zwei Adressen auf einem russischen Server zu kontaktieren und unter dem Programmordner eine neue Datei anzulegen
\Microsoft Common\wuauclt.exe (47.616 bytes)