Virenkiller.de

17. Juli 2012

Und wieder versuchen es die Virenverbreiter mit einer Mail, die den Empfänger in Angst versetzen soll.

Es dürfte sich um die selben Verursacher handeln, die schon für die letzten beiden ähnlichen Mails verantwortlich sind. Denn sie schreiben direkt an einen namentlich genannten Empfänger…

Das Betreff der Mail lautet z.B.

Abmahnung für Erwin Perwin 16.07.2012

Doch im Folgetext wird dann kein Name mehr genannt. Der sieht z.B. wie folgt aus:

Sehr geehrte Damen und Herren,

schon in in unserem Brief vom 19.06.2012 wurden Sie benachrichtigt, dass die nicht beglichene Forderung von 1627,99 Euro leider nicht überwiesen wurde. Mit diesen Schreiben bitten wir Sie Ihrer Zahlungsverpflichtung nachzukommen.

Da dies die zweite Mahnung ist, die Sie über Ihre Schulden warnt, sind wir gezwungen Ihnen leider die Kosten von 12,00 Euro ebenfalls zu der noch offenen Forderung als Mahnung in Rechnung stellen.

Wir bitten Sie, die nicht bezahlten Kosten bis zum 21.07.2012 auf das angegebene Konto zu begleichen.

Andernfalls wird, unsere Forderung durch ein Inkassobüro geltend zu machen.

Zahlschein und Produkten Liste finden Sie in dem beigefügtem Schreiben.

Mit besten Grüßen

HerrmannOnlineShop GmbH
Gesellschaftssitz ist Annaburg
Steuer-Nummer DE882059187
Verwaltung: Lennox Schubert

Der erwähnte Zahlschein ist die Falle. Es handelt sich nämlich um eine ZIP-Datei, die 20.936 Byte groß ist und wieder den namen des Empfängers enthält. Wie etwa: Mahnung 16.07.2012 Erwin Perwin.zip

Darin dann ist eine ZIP-Datei Namens Abmahnung Rechnung 16.07.2012.zip.

Und darin das eigentliche Virusprogramm Abmahnung Rechnung 16.07.2012.com

Wie kaum noch ein Windowsmäuseschubser weiß, ist COM die Endung für ein ausführbares Programm. da aber jedes Windows im Auslieferungszustand so eingestellt ist, dass „bekannte Endungen“ ausgeblendet werden, bleibt dort nur noch ein „Abmahnung Rechnung 16.07.2012“. Da klickt man dann schon mal drauf.

Doch genau das darf man nicht!

Microsofts Security Essentials erkennen das Ding. Ansonsten laut Jotti nur noch Panda Antivirus.

Doch der Onlinescanner von Virustotal tröstet uns ein wenig. 17 von 42 Scannern erkennen ihn wenigstens schon.

Aktuelle Virenwarnungen gibt es immer auch per Newsletter oder auf Facebook

Und wieder eine angebliche Paketdienstbenachrichtigung, die einen Trojaner als Anhang hat.

Der Betreff lautet:
DHL Express Tracking Prealert : Wed, 4 Jul 2012 15:47:42 +0900

Die Mail selbst sieht ziemlich zusammengeschustert aus. So ein ähnliches Ding hatten wir schon mal im Mai.

Custom Reference: 587182-542TVMOJWWIJ
Tracking Number: H1AB3-2381060763
Pickup Date: Wed, 4 Jul 2012 15:47:42 +0900
Service: GROUND / AIR
Pieces: 2

---

Wed, 4 Jul 2012 15:47:42 +0900 – Processing complete successfully
PLEASE REFER TO ATTACHED FILE

---

---

Shipment status may also be obtained from our Internet site in USA under http://track.dhl-usa.com or Globally under http://www.dhl.com/track

Please do not reply to this email. This is an automated application used only for sending proactive notifications

Thanks in advance,
DHL Express @ 2012

Kein Name, keine Anrede. Nicht mal ein deutlicher verweis auf den Anhang, welcher einen seltsamen Namen trägt:

DHL_ONLINE_SHIPPING_PREALERT_03XNGO2K2F.zip

Darin die Datei  DHL-Notification.exe (112.128 Byte)

Microsofts Security Essentials haben sofort Alarm geschlagen. Doch laut Jotti sieht die Erkennung noch miserabel aus.

Scan abgeschlossen. 0 von 19 Scannern haben Malware gemeldet.

Link

Bei Virustotal sieht das schon etwas besser aus. Microsoft und Panda finden ihn als einzige. Als Einzige von 42 Virenscannern!

Microsoft nennt das Ding Trojan:Win32/Bublik.B

Die Gefahr ist also hoch.

Anweisung:

Mail löschen, nichts downloaden. Keine Anhänge öffnen. DHL hat Ihre Emailadresse nicht!

Solche Warnungen bekommen Sie zeitnah über meinen Newsletter oder die Facebookseite von Virenkiller.de