17. Juli 2012
Und wieder versuchen es die Virenverbreiter mit einer Mail, die den Empfänger in Angst versetzen soll.
Es dürfte sich um die selben Verursacher handeln, die schon für die letzten beiden ähnlichen Mails verantwortlich sind. Denn sie schreiben direkt an einen namentlich genannten Empfänger…
Das Betreff der Mail lautet z.B.
Abmahnung für Erwin Perwin 16.07.2012
Doch im Folgetext wird dann kein Name mehr genannt. Der sieht z.B. wie folgt aus:
Sehr geehrte Damen und Herren,
schon in in unserem Brief vom 19.06.2012 wurden Sie benachrichtigt, dass die nicht beglichene Forderung von 1627,99 Euro leider nicht überwiesen wurde. Mit diesen Schreiben bitten wir Sie Ihrer Zahlungsverpflichtung nachzukommen.
Da dies die zweite Mahnung ist, die Sie über Ihre Schulden warnt, sind wir gezwungen Ihnen leider die Kosten von 12,00 Euro ebenfalls zu der noch offenen Forderung als Mahnung in Rechnung stellen.
Wir bitten Sie, die nicht bezahlten Kosten bis zum 21.07.2012 auf das angegebene Konto zu begleichen.
Andernfalls wird, unsere Forderung durch ein Inkassobüro geltend zu machen.
Zahlschein und Produkten Liste finden Sie in dem beigefügtem Schreiben.
Mit besten Grüßen
HerrmannOnlineShop GmbH
Gesellschaftssitz ist Annaburg
Steuer-Nummer DE882059187
Verwaltung: Lennox Schubert
Der erwähnte Zahlschein ist die Falle. Es handelt sich nämlich um eine ZIP-Datei, die 20.936 Byte groß ist und wieder den namen des Empfängers enthält. Wie etwa: Mahnung 16.07.2012 Erwin Perwin.zip
Darin dann ist eine ZIP-Datei Namens Abmahnung Rechnung 16.07.2012.zip.
Und darin das eigentliche Virusprogramm Abmahnung Rechnung 16.07.2012.com
Wie kaum noch ein Windowsmäuseschubser weiß, ist COM die Endung für ein ausführbares Programm. da aber jedes Windows im Auslieferungszustand so eingestellt ist, dass „bekannte Endungen“ ausgeblendet werden, bleibt dort nur noch ein „Abmahnung Rechnung 16.07.2012“. Da klickt man dann schon mal drauf.
Doch genau das darf man nicht!
Microsofts Security Essentials erkennen das Ding. Ansonsten laut Jotti nur noch Panda Antivirus.
Doch der Onlinescanner von Virustotal tröstet uns ein wenig. 17 von 42 Scannern erkennen ihn wenigstens schon.
Aktuelle Virenwarnungen gibt es immer auch per Newsletter oder auf Facebook
Eine seltsame Mail erschreckt seit kurzem seine Empfänger und das perfide daran ist, dass sie so schlüssig erscheint… bis auf die Tatsache, dass man nichts bestellt hat.
Zuerst liest man
Mahnung für Max Mustermann Artikel 3502027930605
Max Mustermann steht da allerdings nicht, sondern tatsächlich der richtige Name des Mailkontoinhabers. Es deutet also einiges darauf hin, dass da eine Kundendatenbank irgendwo geknackt wurde.
Dann folgt eine Art Mahnschreiben, nochmal mit richtigem Namen.
Hallo Benutzer Max Mustermann,
diese E-Mail wurde bei der Eröffnung von 1 Vodafone Mobilfunk Verträgen angegeben. Die Simkarten wurden bei der Eröffnung abgegeben. Sicher ist es Ihnen entgangen, dass die Bezahlfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie ebenfalls nicht reagiert.
Betrag Mai: 518,52 Euro
Wir bitten Sie, den Gesamtbetrag in den nächsten 3 Tagen zu überweisen.
Die Mobilfunkgeräte sollten an Ihre Adresse versendet werden. Leider waren mehrfache Zustellversuche nicht erfolgreich. Wir bitten Sie uns mitzuteilen was mit den beiden Handys (iPhone 4S) gemacht werden soll.
In beigefügter Datei senden wir Ihnen die Kopie des Vertrags, die Ausweis Kopie des Vertrages, Rechnungen so wie die Gesprächsauflistung.
Teilen Sie uns bitte mit an welche Adresse die Handys versendet werden sollen.
Mit besten Grüßen
Arnold GmbH
Bleckering 63
Bielefeld
Telefon: (0900) 273 2219649
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Bad Berleburg
Umsatzsteuer-ID: DE191327626
Geschäftsfuehrer: Lenny Pfeiffer
Tatsächlich hängt eine Datei an der Mail und sie heißt 2012.zip (89.499 Byte)
Auf keinen Fall speichern oder öffnen. Sie enthält u.a. einen Trojaner
In der Datei befindet sich ein Bild namens Personalausweis.jpg, das sieht so aus:
Außerdem eine Datei namens Handy-Verbindungen 2012.zip
Die wiederum enthält die Datei Handy-Verbindungen 2012.com
Wenn man sein Windows in der dummen Standardeinstellungen fährt, die alle Dateiendungen ausblendet, ist das .com nicht zu sehen. Aber auch so wissen nur noch Computernutzer aus DOS-Zeiten, dass es sich dabei um ein Programm handelt.
Um genau zu sein, um einen Trojaner.
Startet man ihn, gibt er nur ein Fenster aus:
Außerdem legt sie aber mehrere Dateien an, modifiziert die Registry massiv und kontaktiert mehrere Server.
Erkannt wird das Ding von etwa der Hälfte der bekannten Virenscanner und zwar als
http://www.threatexpert.com/threats/trojan-spy-agent.html
Es ist mal wieder ein kleines Ding, das jeder anders nennt.
kann man den Onlinescannern trauen, sind im Moment z.B. die Nutzer von AVG, Avast, Comodo, F-Prot, Kaspersky und G-Aata und Microsoft ohne Schutz. Antivir erkennt ihn. Ebenso Trendmirco, McAffee oder Bitdefender.
