Offensichtlich nicht der deutschen Sprache mächtig, sind die Verbreiter dieses Tojaners.
Das Betreff lautet tatsächlich
„Deutsche Post. Sie mussen eine Postsendung abholen.“
Umlaute besitzt die Tastatur dieses Pfeife also schon einmal nicht.
Das merkt man auch im weiteren Text:
Lieber Kunde,
Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen.
Grund: Ein Fehler in der Leiferanschrift.
Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen.
Anbei finden Sie einen Postetikett.
Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.
Vielen Dank!
Deutsche Post AG.
Der hat nicht nur in der „Leiferanschrift“ einen Fehler.
Der Anhang ist wieder einmal eine ZIP-Datei. Dieses Mal heißt sie Postetikett_DE_#825638689.zip
Darin befindet sich eine ausführbare Exe-Datei namens Postetikett_DE_#825638689.exe, welche mit einem PDF-Icon getarnt ist. Wer also sein Windows (dummerweise) immer noch in der Standardeinstellung betreibt, welche bekannte Dateiendungen ausblendet, kann da schnell mal in die Falle tappen.
Allerdings erkennen die meisten Virenscanner die Bedrohung schon, wie die Onlinescanner bei Virustotal und Jotti zeigen.
Empfehlung: Email ungelesen löschen!
Das Ding legt eine Datei namens nmhbauto.exe an. Laut McAffee ist das der Generic Downloader.nx. Außerdem wird die Datei svchost.exe im Windowsverzeichnis überschrieben.
Und wieder ein Trojaner, der sich als Rechnung tarnt und in einer ZIP-Datei kommt.
Es sieht so aus, als hätte sich irgendeine deutsche Missgeburt dafür hergegeben, diese Viren zu verbreiten, denn sie sind recht professionell gemacht. Und wieder, wie schon hier, deutet vieles darauf hin, dass irgendeinem Onlinedienst oder -Händler die Kundendaten geklaut wurden, denn wieder wird der Mailempfänger mit dem richtigen Namen angesprochen.
So sieht die Mail aus:
Verehrte(r) Vorname Nachname,
Vielen Dank für Ihren Einkauf bei pixum, nachfolgend finden Sie Ihre Einkaufsbestätigung.
Ihre Transaktionsnummer: 547659688783
Artikel: Opteron 0002116317 5002,05 Euro
Rechnungsname:Vorname Nachname
Zahlungsmethode: Visa
Versandadresse und detaillierte Zahlungsaufforderung finden Sie wegen Securitymassnahmen in beigefügter Datei.
Die Zahlung wurde autorisiert und wird innerhalb 3 Tage entzogen.
Kaufdetails und Widerruf Hinweise finden Sie im zugefügten Ordner.
Ihr Kunden-Support
Vogel GmbH
Bergmannring 24
92290 Keiserslauter
Telefon: (+49) 492 2672183
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Aachen
Umsatzsteuer-ID: DE348847502
Geschäftsfuehrer: Moritz Hoffmann
Dieses Mal befindet sich eine Datei namens Bestelldetails.com in einer ZIP-Datei namens Bestelldetails.zip.
Die Erkennungsrate ist miserabel! Bei Virustotal erkennen die Bedrohung zur Zeit nur 2 Scanner (McAfee-GW-Edition und TheHacker).
Bei Jotti sind’s ebenfalls nur 2 (Kaspersky und ClamAV)
Noch einmal zum Mitschreiben:
Wenn Sie eine Mahnung, Rechnung oder Zahlungsaufforderung über etwas bekommen, dass Sie nicht gekauft haben, dann löschen Sie das Ding.
Auf keinen Fall öffnen Sie irgendwelche Dateianhänge!
Und ganz wichtig: Stellen Sie ihr Windows so ein, dass sämtliche Dateiendungen angezeigt werden.
Solche Warnungen bekommen Sie zeitnah über meinen Newsletter oder die Facebookseite von Virenkiller.de
Eine seltsame Mail erschreckt seit kurzem seine Empfänger und das perfide daran ist, dass sie so schlüssig erscheint… bis auf die Tatsache, dass man nichts bestellt hat.
Zuerst liest man
Mahnung für Max Mustermann Artikel 3502027930605
Max Mustermann steht da allerdings nicht, sondern tatsächlich der richtige Name des Mailkontoinhabers. Es deutet also einiges darauf hin, dass da eine Kundendatenbank irgendwo geknackt wurde.
Dann folgt eine Art Mahnschreiben, nochmal mit richtigem Namen.
Hallo Benutzer Max Mustermann,
diese E-Mail wurde bei der Eröffnung von 1 Vodafone Mobilfunk Verträgen angegeben. Die Simkarten wurden bei der Eröffnung abgegeben. Sicher ist es Ihnen entgangen, dass die Bezahlfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie ebenfalls nicht reagiert.
Betrag Mai: 518,52 Euro
Wir bitten Sie, den Gesamtbetrag in den nächsten 3 Tagen zu überweisen.
Die Mobilfunkgeräte sollten an Ihre Adresse versendet werden. Leider waren mehrfache Zustellversuche nicht erfolgreich. Wir bitten Sie uns mitzuteilen was mit den beiden Handys (iPhone 4S) gemacht werden soll.
In beigefügter Datei senden wir Ihnen die Kopie des Vertrags, die Ausweis Kopie des Vertrages, Rechnungen so wie die Gesprächsauflistung.
Teilen Sie uns bitte mit an welche Adresse die Handys versendet werden sollen.
Mit besten Grüßen
Arnold GmbH
Bleckering 63
Bielefeld
Telefon: (0900) 273 2219649
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Bad Berleburg
Umsatzsteuer-ID: DE191327626
Geschäftsfuehrer: Lenny Pfeiffer
Tatsächlich hängt eine Datei an der Mail und sie heißt 2012.zip (89.499 Byte)
Auf keinen Fall speichern oder öffnen. Sie enthält u.a. einen Trojaner
In der Datei befindet sich ein Bild namens Personalausweis.jpg, das sieht so aus:
Außerdem eine Datei namens Handy-Verbindungen 2012.zip
Die wiederum enthält die Datei Handy-Verbindungen 2012.com
Wenn man sein Windows in der dummen Standardeinstellungen fährt, die alle Dateiendungen ausblendet, ist das .com nicht zu sehen. Aber auch so wissen nur noch Computernutzer aus DOS-Zeiten, dass es sich dabei um ein Programm handelt.
Um genau zu sein, um einen Trojaner.
Startet man ihn, gibt er nur ein Fenster aus:
Außerdem legt sie aber mehrere Dateien an, modifiziert die Registry massiv und kontaktiert mehrere Server.
Erkannt wird das Ding von etwa der Hälfte der bekannten Virenscanner und zwar als
http://www.threatexpert.com/threats/trojan-spy-agent.html
Es ist mal wieder ein kleines Ding, das jeder anders nennt.
kann man den Onlinescannern trauen, sind im Moment z.B. die Nutzer von AVG, Avast, Comodo, F-Prot, Kaspersky und G-Aata und Microsoft ohne Schutz. Antivir erkennt ihn. Ebenso Trendmirco, McAffee oder Bitdefender.
