Liebe Empfänger unseres Newsletters mit Emailadressen bei T-Online,
bitte lesen Sie den Hinweis unter
T-Online blockt unseren Newsletter! [KLICKEN]
Ich bekomme vom T-Online-Spamfilter die Newsletter mit den Virenwarnungen zurückgeschickt, weil sie angeblich Spam sind.
Wieder mal versuchen die Bot-Netz-Betreiber ihre Trojaner loszuwerden. Zuletzt haben Sie es mit angeblichen Grußkarten zum Valentinstag versucht. Jetzt ist mal wieder die Grußkartenmasche dran.
Immer die selbe Methode verwenden sie beim Verbreiten Ihrer Dateien. Eine Spam-Email lockt mit relativ primitiven Einzeilern zu einer IP-Adresse, statt zu einer Domain.
Beispiel:
Betreff: Ecard greeting inside
Text: Someone sent you this Funny Ecard. It is Hilarious! http://xxx.yyy.zzz.aaa/
Dieses Mal wird die Datei e-card.exe (Größe 121.345 Byte) verteilt. Besonders hinterhältig an der eigentlich recht primitiv gemachten Lockseite:
Sie gibt sich als der (unschuldige) ECard-Versender FunnyPostCard.com aus und versucht 5 Sekunden nach Betreten der Webseite, die Datei zu downloaden.
Der Trojaner selbst ist nicht so wahnsinnig gefährlich – vorausgesetzt, man benutzt einen aktuellen Virenscanner! Denn so ziemlich alle Virenkiller erkennen ihn als Variante des zumeist als “Zhelatin” benannten Trojaners. Dieser Trojaner durchsucht den gesamten Computer nach Emailadressen und versendet wiederum verseuchte Emails an alle gefundenen Adressen.
Betreffs:
Your ecard joke is waiting
You have an ecard
We have a ecard surprise
Someone Just sent you an ecard
Did you open your ecard yet
ecard waiting for you
Open your ecard
new ecard waiting
Now this is funny
online greeting waiting
sent you an ecardMailtexte:
laughing Funny Card
You have been sent a Funny Postcard
You have been sent the Funny Ecard
original Funny Card
Someone Sent you this Funny Ecard
your funny postcard
original Funny Postcard
sent a Funny Postcard
personal funny postcard
FunnyPostcard
laughing funny postcard
AntiVir
Worm/Zhelatin.pc
AVG
I-Worm/Nuwar.N
BitDefender
Trojan.Peed.IWX
CAT-QuickHeal
Win32.Email-Worm.Zhelatin.vg
ClamAV
Trojan.Peed-130
DrWeb
Trojan.Packed.357
eSafe
Suspicious File
eTrust-Vet
Win32/Sintun!generic
Fortinet
W32/PackTibs.M
F-Prot
W32/Zhelatin.F.gen!Eldorado
F-Secure
Email-Worm.Win32.Zhelatin.vg
Ikarus
Trojan.Peed.IWV
Kaspersky
Email-Worm.Win32.Zhelatin.vg
McAfee
W32/Nuwar@MM
Microsoft
TrojanDropper:Win32/Nuwar.gen!B
NOD32v2
probably a variant of Win32/Nuwar.Gen
Sophos
W32/Dorf-AX
Symantec
Trojan.Peacomm
VBA32
Email-Worm.Win32.Zhelatin.vg
VirusBuster
Worm.DR.Zhelatin.Gen.4
Webwasher-Gateway
Worm.Zhelatin.pc
Das Jahr hat gerade begonnen und schon versucht man wieder, Sparkassenkunden die Zugangsdaten zu klauen.
Betreff:
Anleitung (nachrichtenzahl: hv89498592n)
Text der Mail:
Sehr geehrter Kunde, sehr geehrte Kundin,
Die Technische Abteilung der Sparkasse führt zur Zeit eine vorgesehene Software-Aktualisierung durch, um die Qualität des Online-Banking-Service zu verbessern.
Wir möchten Sie bitten, unten auf den Link zu klicken und Ihre Kundendaten zu bestätigen.
http://sparkasse.de/datenbank/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455
Wir bitten Sie, eventuelle Unannehmlichkeiten zu entschuldigen, und danken Ihnen für Ihre Mithilfe.
=================================================
© sparkasse.de 2007. Alle Rechte vorbehalten.
4XCT: 0×6315, 0×77, 0×87763137, 0×3280, 0×24, 0×80261008, 0×69, 0×3, 0×8 E8W function define 0×98, 0×0, 0×060, 0×560, 0×70026067, 0×97223230, 0×18680233, 0×0220 revision: 0×1, 0×93, 0×93, 0×624 7885: 0×0, 0×6803, 0×41795341, 0×28, 0×4539, 0×43108747, 0×38831787, 0×34346765, 0×0, 0×23334535, 0×6174, 0×6757 0×8, 0×031, 0×515, 0×88754971, 0×01, 0×7, 0×1256, 0×18, 0×2, 0×6, 0×1, 0×84175762 HY7C: 0×82, 0×07, 0×026, 0×985, 0×92965103, 0×4839, 0×84746818, 0×3, 0×65489813 rcs: 0×983, 0×1372, 0×93 7KQ: 0×6, 0×29520312, 0×4, 0×5615, 0×317
0×759, 0×63377769, 0×36, 0×83092159, 0×69, 0×2, 0×9, 0×58320156, 0×18, 0×578, 0×30, 0×63287570, 0×63, 0×96 0×5519, 0×4473, 0×125, 0×6, 0×35, 0×18, 0×6220, 0×1, 0×09339475, 0×0433, 0×48, 0×59783264, 0×336, 0×8176 include: 0×5708, 0×372 source revision CJSQ dec: 0×4, 0×54631848, 0×3, 0×43325787, 0×325, 0×9, 0×043, 0×09782923 0×035, 0×1, 0×151, 0×17, 0×577, 0×22144808, 0×63 NLJ, revision 5UI, tmp. hex: 0×16892796, 0×756, 0×99707437, 0×676, 0×8326, 0×5175, 0×2, 0×92, 0×2102 rcs: 0×4, 0×3567, 0×4, 0×9803, 0×3, 0×2, 0×3, 0×5, 0×29341735, 0×80, 0×22, 0×0459 0×1, 0×5197, 0×87734237, 0×5244, 0×76795692, 0×98602962, 0×463, 0×287, 0×83
0N4: 0×254, 0×0578, 0×81, 0×1680, 0×141, 0×9415, 0×9744 media: 0×86950362, 0×16441593, 0×0, 0×76, 0×71105520, 0×53647734, 0×705, 0×3536, 0×26084869 0×64, 0×935, 0×4, 0×344, 0×1109, 0×565, 0×086, 0×7624, 0×469, 0×8831, 0×42420734, 0×2, 0×99, 0×4630, 0×3 create: 0×98447281, 0×313, 0×1, 0×855, 0×9 api I812 ZX5L 3SR CY12 Z5IG AIOF revision NUChex: 0×8, 0×402, 0×2218, 0×25 hex: 0×8960, 0×9842, 0×3, 0×0, 0×4, 0×2, 0×76608189, 0×755, 0×42222397, 0×36854223, 0×29491868, 0×1794 KJ2Y: 0×54, 0×2, 0×05350041, 0×75988467, 0×71417153 CHD, 3M2, P3TV. 0×168, 0×8, 0×4749, 0×6359, 0×4, 0×9, 0×9728, 0×76, 0×6, 0×658, 0×879, 0×19454437, 0×5264
Das es sich um eine Mail im HTML-Format handelt, versteckt sie den tatsächlichen Link. Dieser verweist auf:
http://sparkasse.de.datenbank.kjhds5.cn/kundendienst/anfang.cgi?id=2432552900946911335482408536132990803378657901353257455
also auf die Domain kjhds5.cn, eine chinesische Adresse!
Es präsentiert sich dann eine auf den ersten Blick einleuchtende, aber eigentlich primitiv gemachte Seite, die den Besucher auffordert, seine sämtlichen verbleibenden TAN-Nummern einzugeben.
Offensichtlich hapert es bei den Verursachen mit der deutschen Sprache, denn auf der Seite steht sie abenteuerliche Satzkonstruktion:
Wir bitten Sie, alle obligatorischen Felder auszufüllen. Wenn Sie ein obligatorisches Feld frei lassen, wird ein Hinweis angezeigt, in dem Sie aufgeführt werden, die fehlenden Felder auszufüllen.