Vorsicht bei einer gefälschten Amazon-Rechnung per Mail! Die angebliche Rechnung enthält einen Downloadlink in folgendem Text:
Mahnung für ihre Bestellung vom 11.08.2013
Bestellnummer: 302-9324131-9797910
Sie haben Ihre Rechnung für Ihre Bestellung vom 04.07.2013 noch nicht bei uns entrichtet.
Wir bitten sie schnellstmöglich unsere offene Forderung zu begleichen, sonst sind wir gezwungen ein Inkassbüro zu beauftragen.
Hier befindet sich die Rechnung, sollte es sich um ein Missverständniss halten, kontaktieren Sie bitte amazon@support.de mit ihrer Rechnungsnummer,
welche sie der Rechnung entnehmen können.
Mit freundlichen Grüßen,
Ihr Amazon-Team
Der Absender hat gewisse Rechtschreibprobleme bei Worten wie Inkassobüro und Missverständnis. Er ist sich selbst auch nicht klar, ob die Bestellung nun vom 11.8. oder 4.7. war…
Ein Link auf einen US-Server befindet sich auf dem Wort „Hier“.
Dahinter verbirgt sich eine ca. 1.5 MB große Datei namens Rechnung.pdf.exe.
Einige Scanner erkennen die Datei als „Gen:Variant.Kazy.249267 „, „W32/Blocker.CHDA!tr „, „Artemis!935CF460CF1B“ oder „TROJ_GEN.F47V0915 „.
Sehr viele Virenscanner erkennen aber noch gar nichts! Antivir, Avast, Microsoft FProt oder Dr. Web sind z.B. völlig ahnungslos.
Also: Nicht downloaden, auf keinen Fall starten! Mail löschen…
Was der Trojaner macht, um sich zu verstecken, ist hier nachzulesen.
In letzter Zeit versuchen es mehrere, ihre Trojaner mittels gefälschter Rechnungen unter die Leute zu bringen. Ein relativ primitiver Versuch schlug jetzt hier auf, eine Art „Amazon-Trojaner“.
Das Betreff der Nachricht lautet: Ihre Bestellung 6719548 bei Amazon (oder andere Nummern, wie etwa 4958175).
Als Anhang bringt die Mail die Zipdatei 13915.ZIP mit.
Der Mailtext:
Vielen Dank fur Ihre Bestellung bei Amazon.de!
Das Sony VAIO VGN-1391517 Zoll WXGA Notebook
wird in kurze versendet. Die Kosten von 1215,- Euro
werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer
Bestellung entnahmen Sie bitte der angefugten Rechnung. Falls Sie
die Bestellung stornieren mochten, bitte den in der Rechnung angegebenen,
kostenlosen Kundenservice anrufen und Ihre Bestellnummer bereit halten.
Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen schriftlich zugestellt.
Beachten Sie bitte: Diese E-Mail wurde von einer nur fur Benachrichtigungen
verwendeten Adresse gesendet. Eingehende E-Mails konnen nicht angenommen
werden. Antworten Sie nicht auf diese Nachricht.
Vielen Dank fur Ihren Einkauf bei Amazon Marketplace.
Amazon.de Kundenservice
http://www.amazon.de
Die Zip-Datei enthält eine ausführbare Datei namens 13915.exe.
Der Onlinescan mit Jotti meint dazu:
| Status: |
INFIZIERT/MALWARE
|
| Entdeckte Packprogramme: |
PE_PATCH, MEW
|
| |
| AntiVir |
HEUR/Crypted gefunden
|
| ArcaVir |
Keine Viren gefunden
|
| Avast |
Keine Viren gefunden
|
| AVG Antivirus |
Keine Viren gefunden
|
| BitDefender |
Keine Viren gefunden
|
| ClamAV |
Keine Viren gefunden
|
| Dr.Web |
Keine Viren gefunden
|
| F-Prot Antivirus |
Keine Viren gefunden
|
| F-Secure Anti-Virus |
Keine Viren gefunden
|
| Fortinet |
Keine Viren gefunden
|
| Kaspersky Anti-Virus |
Keine Viren gefunden
|
| NOD32 |
Keine Viren gefunden
|
| Norman Virus Control |
W32/Suspicious_M.gen gefunden
|
| VirusBuster |
novirus:Packed/MEW gefunden
|
| VBA32 |
Keine Viren gefunden
|
Diesmal haben sich die verbreiter nicht viel Mühe gemacht. Kurzer Mailtext, keine Änderung beim dateinamen und dann noch eine sofort erkennbare Exe-Datei. Es sollten nicht viele darauf hereinfallen.
Außerdem fehlen in der Mail die Umlaute. Buchstaben wie das ü werden einfach als u ausgegeben. Das deutet darauf hin, dass die Mail aus einem Gebiet ohne Umlaute (englischsprachig) kommt. Darauf deuten auch dei Rechtschreibfehler hin.