Virenkiller.de

Mit der Email erreicht und derzeit eine angebliche Rechnung von 1&1.

Die Absenderadresse stammt vermutlich aus derselben gestohlenen Liste wie unsere Mailadresse und hat mit 1&1 nichts zu tun. Der komplette Text lautet beispielsweise:

Sehr geehrte Damen und Herren,

heute erhalten Sie Ihre Rechnung vom 21.11.2014. Sie finden diese im Anhang als PDF-Datei.

Ihre Rechnung für November 2014

.

Den Betrag von 313,86 EUR buchen wir am 27.11.2014 von Ihrem Konto ab.

Ich wünsche Ihnen weiterhin viel Freude mit den Leistungen von 1&1.

Mit freundlichen Grüßen

Der Link geht zu einer Seite, die einen automatischen Download einer Datei mit Namen wie

1_1_kundencenter_mobilfunk.zip

enthält.

Darin befindet sich dann eine Datei mit einem extrem langen Namen, die sich mit einem PDF-Icon tarnt. Der Name lautet z.B.:

1_1_kundencenter_mobilfunk_2014_11_de_0209_0000328362_2761287_12_78_009_2876237820002.exe

Wie man sieht, soll hier der Eindruck einer Mobilfunk-Rechnung erweckt werden. Die Größe der Datei beträgt 176.128 Byte.

Virustotal meldet einen Trojaner-Befall. Die Scanner haben mal wieder verschiedene Namen für das Ding.

AVG	Generic_s.EAK
Ad-Aware	Trojan.Agent.BGPB
Avira	TR/Crypt.176128
Baidu-International	Trojan.Win32.Emotet.BAB
BitDefender	Trojan.Agent.BGPB
Bkav	HW32.Packed.9F33
Cyren	W32/Trojan.QTWX-8483
DrWeb	Trojan.Emotet.50
ESET-NOD32	Win32/Emotet.AB
Emsisoft	Trojan.Win32.Emotet (A)
F-Prot	W32/Trojan3.MHG
F-Secure	Trojan.Agent.BGPB
GData	Trojan.Agent.BGPB
Kaspersky	Backdoor.Win32.Androm.flqy
McAfee	Artemis!7AE552B119E7
McAfee-GW-Edition	BehavesLike.Win32.Downloader.cc
MicroWorld-eScan	Trojan.GenericKD.1986891
Microsoft	Trojan:Win32/Emotet.D
Panda	Trj/Zbot.AC
Sophos	Troj/Farfli-CA
Symantec	Downloader.Ponik
Tencent	Win32.Trojan.Inject.Auto
TrendMicro	TSPY_EMOTET.XXPT
TrendMicro-HouseCall	TSPY_EMOTET.XXPT

Immer daran denken:

• Rechnungen von 1&1 haben den AbsenderRechnungsstelle 1&1 Internet AG rechnungsstelle@1und1.de
• Rechnungen der Firma sprechen den Empfänger mit seinem Namen an.
• 1&1 Rechnungen kommen als PDF-Datei. Diese Endung ist auf Standard-Windows-Systemen nicht zu sehen.

ThreatExpert hat den Trojaner analysiert. Er legt eine Datei an, die wwcuhldh.exe heißt. Dieser Prozess versucht eine Internetverbindung zu öffnen. Neue Registry-Keys werden angelegt:

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tif.Document
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tif.Document\DefaultIcon
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tif.Document\shell
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tif.Document\shell\open
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tif.Document\shell\open\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tif.Document\shell\print
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tif.Document\shell\print\command
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tif.Document\shell\printto
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tif.Document\shell\printto\command
• HKEY_CURRENT_USER\Software\Netscape\5.0
• HKEY_CURRENT_USER\Software\Netscape\5.0\e5792afa
• HKEY_CURRENT_USER\Software\Netscape\5.0\e5792afa\ee5792afa
• HKEY_CURRENT_USER\Software\Netscape\5.0\e5792afa\qe5792afa
• HKEY_CURRENT_USER\Software\Netscape\5.0\e5792afa\we5792afa
• HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications
• HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Tif
• HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\Tif\Settings

Der Trojaner will Kontakt zur IP 162.144.106.152 aufnehmen.

Der Virenverbreiter übt gerade noch. Vom chinesischen Server 117.103.60.250 kommt eine seltsame Mail, bei der noch der Ansprechpartner und der Virenanhang fehlen.

Ein bisschen blöde ist auch, dass der Großteil der Empfänger sofort misstrauisch werden wird, weil er weder ein Ticker online gekauft hat – noch eine Bahncard besitzt.

Falls demnächst eine solche Mail kommt: Einfach löschen!

 Buchungsbestätigung (Auftrag TO3E2W)

  Sehr geehrte,    vielen Dank für Ihren Fahrkartenkauf.        Ihre=
 Buchungsdaten:  Auftragsnummer: FV253P Identifizierungskarte: BahnCard *=
***1053  Kundennummer: 93026724         Das sollten Sie wissen: Bitte dru=
cken Sie Ihr Online-Ticket im DIN A4 Format aus!

Juni 2013

Nach dem üblichen Muster arbeitet der Versuch, die Anwender so zu erschrecken, dass sie einen virusverseuchten Mailanhang öffnen.

Offenbar hat dort jemand zusammengestohlene deutsche Emailadressen mit Vor- und Nachnamen gekauft (oder geklaut) und sich dann ein Script gebastelt, das einen Dropper-Trojaner verbreitet.

Vor- und Nachname des Empfängers befinden sich in der Betreffzeile, in der Emailanrede sowie in den Namen des gezippten Trojaners.

Betreffzeile:
Inkasso Aufforderung für Hubert Beispiel

Emailtext des Trojaners

Sehr geehrte/r Hubert Beispiel,

wir wurden von Bonprix Online Store GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die Bevollmächtigung wurde anwaltlich schriftlich versichert.

Mit der Bestellung vom 28.05.2013 haben Sie sich vertraglich verpflichtet den Betrag von 789,00 Euro an unseren Mandanten zu überweisen. Dieser Pflicht sind Sie bis jetzt nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges verpflichtet die Ausgaben unserer Leistung zu tragen.

Diese belaufen sich nach folgender Kostenrechnung:

EUR 19,00 (nach Nr. 556 RGV}
EUR 31,00 (Pauschalvergütung gemäß § 4 Abs. 1 und 2 RVG}

Wir verpflichten Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Bankkonto unseren Mandanten zu überweisen. Die Bankdaten und die Einzelheiten Ihrer Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung setzten wir Ihnen eine gesetzliche Frist bis zum 16.06.2013.

Das Einhalten dieser zeitlichen Frist liegt auf jedem Fall in Ihrem Interesse. Falls Sie diese Frist fruchtlos verstreichen, werden ohne weitere Aufforderung gerichtliche Schritte einleitet. Dadurch werden Ihnen weitere, beträchtliche Mahnkosten entstehen.

Mit freundliche Grüßen Henri Schmitz Inkasso-Büro

Nett gemacht. Name stimmt, ein paar Paragraphen eingestreut. Etwas unsauber gearbeitet bei den abschließenden Klammern. Auch Umlaute sind da… Nichtsdestotrotz ein Fake!

Keine Adressnennung des angeblichen Inkassobüros. Mal abgesehen davon, dass das sowieso Unsinn ist, sollte man such klarmachen, dass „offizielle Schreiben“ dieser Art sehr umfangreiche Pflichtvorgaben erfüllen müssen. Da müssen Kontaktadressen und Telefonnummern genannt werden. Die Gesellschaftsform, der Verantwortliche sowie die Nummer des Handelsregistereintrags und die Steuernummer.

So wird das nix…

Der Anhang heißt dann z.B.:

Mahnung fur Hubert Beispiel Inkasso Bonprix Online Store GmbH.zip

Darin befindet sich:
Dritte Mahnung 11.06.2013 Inkasso Anwaltschaft.zip

Und darin dann der Trojaner namens:

Dritte Mahnung 11.06.2013 Inkasso Anwaltschaft.com

Man achte auf die Endung COM. Ein ausführbares Programm. Doch wenn man nicht seine Windowsgrundeinstellungen für Dateinamen geändert hat, wird man das nicht zu sehen bekommen.

Schlampig gearbeitet haben die Gauner beim Icon. Sie hätten wenigstens ein Word- oder PDF-Icon einbauen können.

Doch es werden auch so genug Blödel draufklicken. Dann wird der eigentliche Trojaner nachgeladen und installiert.

Übrigens erkennen rund 50% der aktuellen Virenscanner die Bedrohung bereits.

Update

Eine neue Variante:

Sehr geehrter Logitech Shop Online GmbH Kunde Hubert Beispiel,

mit der Bestellung vom 12.05.2013 haben Sie sich gesetzlich verpflichtet den Betrag von 190,00 Euro an unseren Mandanten zu zahlen.

Die Summe ist bis jetzt nicht bei Logitech Shop Online GmbH eingegangen.

Weiterhin sind Sie aus Gründen des Verzuges gezwungen die Kosten unserer Leistung zu tragen.

Unsere Anwaltskanzlei wurden von Logitech Shop Online GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde anwaltlich schriftlich versichert.

Die zusätzlichen Kosten unserer Beauftragung errechnen sich nach dieser Abrechnung:

—————-
14,00 Euro (nach Nummer 9613 RGV)
8,00 Euro (Pauschale gemäß RVG § 4 Abs. 1 und 2)
—————-

Wir verpflichten Sie mit Kraft unserer Mandantschaft den gesamten Betrag auf das Konto unseren Mandanten zu übersenden. Die Kontodaten und die Lieferdaten Ihrer Bestellung finden Sie im Anhang. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche Frist bis zum 26.06.2013.

Mit freundliche Grüßen Michelle Schulz Inkasso-Büro

Und wieder eine angebliche Paketdienstbenachrichtigung, die einen Trojaner als Anhang hat.

Der Betreff lautet:
DHL Express Tracking Prealert : Wed, 4 Jul 2012 15:47:42 +0900

Die Mail selbst sieht ziemlich zusammengeschustert aus. So ein ähnliches Ding hatten wir schon mal im Mai.

Custom Reference: 587182-542TVMOJWWIJ
Tracking Number: H1AB3-2381060763
Pickup Date: Wed, 4 Jul 2012 15:47:42 +0900
Service: GROUND / AIR
Pieces: 2

---

Wed, 4 Jul 2012 15:47:42 +0900 – Processing complete successfully
PLEASE REFER TO ATTACHED FILE

---

---

Shipment status may also be obtained from our Internet site in USA under http://track.dhl-usa.com or Globally under http://www.dhl.com/track

Please do not reply to this email. This is an automated application used only for sending proactive notifications

Thanks in advance,
DHL Express @ 2012

Kein Name, keine Anrede. Nicht mal ein deutlicher verweis auf den Anhang, welcher einen seltsamen Namen trägt:

DHL_ONLINE_SHIPPING_PREALERT_03XNGO2K2F.zip

Darin die Datei  DHL-Notification.exe (112.128 Byte)

Microsofts Security Essentials haben sofort Alarm geschlagen. Doch laut Jotti sieht die Erkennung noch miserabel aus.

Scan abgeschlossen. 0 von 19 Scannern haben Malware gemeldet.

Link

Bei Virustotal sieht das schon etwas besser aus. Microsoft und Panda finden ihn als einzige. Als Einzige von 42 Virenscannern!

Microsoft nennt das Ding Trojan:Win32/Bublik.B

Die Gefahr ist also hoch.

Anweisung:

Mail löschen, nichts downloaden. Keine Anhänge öffnen. DHL hat Ihre Emailadresse nicht!

Solche Warnungen bekommen Sie zeitnah über meinen Newsletter oder die Facebookseite von Virenkiller.de

Offensichtlich nicht der deutschen Sprache mächtig, sind die Verbreiter dieses Tojaners.

Das Betreff lautet tatsächlich
„Deutsche Post. Sie mussen eine Postsendung abholen.“

Umlaute besitzt die Tastatur dieses Pfeife also schon einmal nicht.

Das merkt man auch im weiteren Text:

Lieber Kunde,
Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen.
Grund: Ein Fehler in der Leiferanschrift.
Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen.
Anbei finden Sie einen Postetikett.
Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.
Vielen Dank!
Deutsche Post AG.

Der hat nicht nur in der „Leiferanschrift“ einen Fehler.

Der Anhang ist wieder einmal eine ZIP-Datei. Dieses Mal heißt sie Postetikett_DE_#825638689.zip

Darin befindet sich eine ausführbare Exe-Datei namens Postetikett_DE_#825638689.exe, welche mit einem PDF-Icon getarnt ist. Wer also sein Windows (dummerweise) immer noch in der Standardeinstellung betreibt, welche bekannte Dateiendungen ausblendet, kann da schnell mal in die Falle tappen.

Allerdings erkennen die meisten Virenscanner die Bedrohung schon, wie die Onlinescanner bei Virustotal und Jotti zeigen.

Empfehlung: Email ungelesen löschen!

Das Ding legt eine Datei namens nmhbauto.exe an. Laut McAffee ist das der Generic Downloader.nx. Außerdem wird die Datei svchost.exe im Windowsverzeichnis überschrieben.

August 2011

Mal überlegen: Haben Sie Firefox mal Ihre Email gegeben? Hat irgendwer Firefox seine Email gegeben?

Nicht? Warum fallen dann trotzdem Leute auf eine Email von (angeblich) Firefox herein, die sie zu einem Update des Browsers auffordert und dazu einen Link mitschickt?

Vielleicht sind das dieselben Leute, die nicht darüber nachdenken, dass sie ihrer Bank nie eine Emailadresse gegeben haben und deren angeblichen Emails trotzdem für echt halten…

Derzeit erreichen uns also Updateaufforderungen von Firefox. Deren Zweck ist es aber höchstens, Passworte zu stehlen.

Betreff: New version released.

Mailtext:

Important notice
A Firefox software update is a quick download of small amounts of new code to your existing Firefox browser. These small patches can contain security fixes or other little changes to the browser to ensure that you are using the best version of Firefox available. Firefox is constantly evolving as our community finds ways to make it better, and as we adjust to the latest security threats. Keeping your Firefox up-to-date is the best way to make sure that you are using the smartest, fastest and . most importantly . safest version of Firefox available. A Firefox update will not make any changes to your bookmarks, saved passwords or other settings. However, there is a possibility that some of your Add-ons won.t be immediately compatible with new updates.
For security reasons please update your firefox version now
[LINK]

Mit dem Link wird eine ausführbare Datei zum Download angeboten. Raffinierterweise wird tatsächlich eine Firefoxinstallation der Version 5.0.1 angeboten. Und darin eigeflochten ein Trojaner, welcher Passwörter ausschnüffelt.

Wenn Sie in letzter Zeit eine Mail eines Anwaltes namens Florian Giese bekommen haben, die Sie darüber unterrichtet, dass Sie angeblich illegal MP3-Dateien gesaugt haben, dann löschen Sie den Mist.

Anwalt Giese ist nicht der Versender dieser gefälschten Mails.
Er hat damit nichts zu tun und die Domain
rechtsanwalt-giese.info
ist nicht die seine.
Korrekt ist rechtsanwalt-giese.de

Dort wird derzeit auch extra auf diesen Fall hingewiesen.

Zahlen Sie auf keinen Fall!

Vielmehr versteckt sich der Besitzer dieser .info-Domain hinter einem Protectservice und der Server steht in Russland!

Es geht in dieser Mail darum, den Empfänger einzuschüchtern und dazu zu bringen, eine Geldsumme an einen seltsamen Zahlservice zu senden. Vermutlich will man jene Leute erreichen, die tatsächlich mal eine MP3-Datei geladen haben oder Angst haben, dass ihre Kinder eventuell in sowas verwickelt sind.

Inhalt der Mail:
Mit Kommentaren

Guten Tag,
in obiger Angelegenheit zeigen wir die anwaltliche Vertretung und Interessenwahrung der Firma Videorama GmbH,
Munchener Str. 63, 45145 Essen, an.
Gegenstand unserer Beauftragung ist eine von Ihrem Internetanschluss aus im sogenannten Peer-to-Peer-Netzwerk
begangene Urheberrechtsverletzung an Werken unseres Mandanten. Unser Mandant ist Inhaber der ausschliesslichen
Nutzungs- und Verwertungsrechte im Sinne der §§ 15ff UrhG bzw. § 31 UrhG an diesen Werken, bei denen es sich um
geschutzte Werke nach § 2 Abs 1 Nr. 1 UrhG handelt.
Durch das Herunterladen urherberrechtlich geschutzer Werke haben sie sich laut § 106 Abs 1 UrhG i.V. mit
§§ 15,17,19 Abs. 2 pp UrhG nachweislich strafbar gemacht.
Bei ihrem Internetanschluss sind mehrere Downloads von musikalischen Werken dokumentiert worden.
Aufgrund dieser Daten wurde bei der zustandigen Staatsanwaltschaft am Firmensitz unseres Mandanten Strafanzeige
gegen Sie gestellt.
Aktenzeichen: 230 Js 413/10 Sta Stuttgart

Hmm, laut den obigen Angaben ist der Firmensitz in ESSEN!

Ihre IP Adresse zum Tatzeitpunkt: 84.190.31.155

Lustig, die IP ist in Berlin… ich aber nicht…

Illegal heruntergeladene musikalische Stucke (mp3): 13
Illegal hochgeladene musikalische Stucke (mp3): 21

Habe ich nicht getan, also warum Angst haben?

Wie Sie vielleicht schon aus den Medien mitbekommen haben, werden heutzutage Urheberrechtverletzungen
erfolgreich vor Gerichten verteidigt, was in der Regel zu einer hohen Geldstrafe sowie Gerichtskosten fuhrt.
Link: Urheberrecht: Magdeburger muss 3000 Euro Schadensersatz zahlen
Genau aus diesem Grund unterbreitet unsere Kanzlei ihnen nun folgendes Angebot:
Um weiteren Ermittlungen der Staatsanwaltschaft und anderen offiziellen Unannehmlichkeiten wie Hausdurchsuchungen,
Gerichtsterminen aus dem Weg zu gehen, gestatten wir ihnen den Schadensersatzanspruch unseres Mandanten
aussergerichtlich zu loesen.

Schon gemerkt? Unser Abzocker hat keine Tastatur mit deutschen Umlauten?

Wir bitten Sie deshalb den Schadensersatzanspruch von 100 Euro bis zum 22.10.2010 sicher und unkompliziert
mit einer UKASH-Karte zu bezahlen. Eine Ukash ist die sicherste Bezahlmethode im Internet und
fur Jedermann anonym an Tankstellen, Kiosken etc. zu erwerben.
Weitere Informationen zum Ukash-Verfahren erhalten Sie unter: http://www.ukash.com/de
Senden Sie uns den 19-stelligen Pin-Code der 100 Euro Ukash an folgende E-Mailadresse videorama@rechtsanwalt-giese.info
* alternativ konnen Sie auch mit Paysafecard zahlen
Link: http://www.paysafecard.com/de
Geben Sie bei Ihre Zahlung bitte ihr Aktenzeichen an!
Sollten sie diesen Bezahlvorgang ablehnen bzw. wir bis zur angesetzten Frist keinen 19- stelligen
Ukash PIN-Code im Wert von 100 Euro erhalten haben(oder gleichwertiges Paysafecard Coupon), wird der Schadensersatzanspruch offiziell
aufrecht erhalten und das Ermittlungsverfahren mit allen Konsequenzen wird eingeleitet. Sie erhalten
dieses Schreiben daraufhin nochmals auf dem normalen Postweg.
Hochachtungsvoll,
Rechtsanwalt Florian Giese

• Infolinks:
  http://www.jurablogs.com/de/falsche-abmahnungen-namen-videorama-gmbh
• http://www.123recht.net/article.asp?a=54128&ccheck=1
• http://www.heise.de/newsticker/meldung/Abmahn-Masche-zielt-auf-Porno-Sauger-1021874.html

Was tun?

Sie müssen nichts tun. Löschen Sie diese Fälschung. Der Anwalt hat bereits Anzeige erstattet.

Update:

Auf der Seite ra-giese.info funktionieren die Links nicht und verweisen auf die nicht konnektierte Domain rechtsanwalt-giese.info. Diese wiederum ist auf einen Russen (Mihail S Larimov) in Moskau registriert.

Dieser Betrüger ist wegen ähnlicher Fälle bereits bekannt.

http://irights.info/index.php?q=node/1931

Wieder mal ist ein Virus unterwegs, der sich als Mail vom Paketdienst UPS in den USA tarnt. An der Mail, die dann Absender haben die mit UPS nichts zu tun haben, hängt ein ZIP-Archiv. Darin befindet sich eine ausführbare Datei, die sich noch mit einem Excel-Icon tarnt.

Betreff der Mail:
Postal Tracking #0DTZK13381QLTL9

Text der Mail:
Hello!
We were not able to deliver postal package you sent on the 14th of March in time
because the recipient?s address is not correct.
Please print out the invoice copy attached and collect the package at our office.
Your United Parcel Service of America

Name der Virusdateien:
Eine Datei namens UPS_DOC_986001.exe (52.224 Byte) befindet sich in einem Archiv namens UPS_DOC_986001.zip (34.506 Byte)

Nochmal zum Mitschreiben!
Auf keinen Fall sollte man sein Windows in der Standardeinstellung belassen, die besagt, dass “bekannte Dateiendungen” ausgeblendet werden. In so einem Fall liest man nämlich nur UPS_DOC_986001, übersieht das “exe” und startet das Ding dämlicherweise.

Diese Einstellungen ändert man in den Ordneroptionen!

Danke für Ihre Aufmerksamkeit… ;-)

Einige Virenscanner kennen das Ding zum Glück schon. Leider nicht alle und nicht mal die weit verbreiteten wie etwa Antivir!

a-squared     4.0.0.101     2009.05.28     Gen.Trojan!IK
Authentium     5.1.2.4     2009.05.28     W32/Zbot.YM
BitDefender     7.2     2009.05.28     Gen:Trojan.Heur.3004FB9EBC
CAT-QuickHeal     10.00     2009.05.27     (Suspicious) – DNAScan
F-Prot     4.4.4.56     2009.05.28     W32/Trojan3.AXD
GData     19     2009.05.28     Gen:Trojan.Heur.3004FB9EBC
McAfee+Artemis     5628     2009.05.27     Artemis!DE90A24F3DFB
Microsoft     1.4701     2009.05.27     VirTool:Win32/Obfuscator.FH
Sophos     4.42.0     2009.05.28     Mal/WaledPak-A

Als UPS-Mail haben die Virenschleudern es schon ein paar Mal versucht. Wundert sich keiner, woher UPS seine Emailadresse hat?!