Vorsicht bei einer gefälschten Amazon-Rechnung per Mail! Die angebliche Rechnung enthält einen Downloadlink in folgendem Text:
Mahnung für ihre Bestellung vom 11.08.2013
Bestellnummer: 302-9324131-9797910
Sie haben Ihre Rechnung für Ihre Bestellung vom 04.07.2013 noch nicht bei uns entrichtet.
Wir bitten sie schnellstmöglich unsere offene Forderung zu begleichen, sonst sind wir gezwungen ein Inkassbüro zu beauftragen.
Hier befindet sich die Rechnung, sollte es sich um ein Missverständniss halten, kontaktieren Sie bitte amazon@support.de mit ihrer Rechnungsnummer,
welche sie der Rechnung entnehmen können.
Mit freundlichen Grüßen,
Ihr Amazon-Team
Der Absender hat gewisse Rechtschreibprobleme bei Worten wie Inkassobüro und Missverständnis. Er ist sich selbst auch nicht klar, ob die Bestellung nun vom 11.8. oder 4.7. war…
Ein Link auf einen US-Server befindet sich auf dem Wort „Hier“.
Dahinter verbirgt sich eine ca. 1.5 MB große Datei namens Rechnung.pdf.exe.
Einige Scanner erkennen die Datei als „Gen:Variant.Kazy.249267 „, „W32/Blocker.CHDA!tr „, „Artemis!935CF460CF1B“ oder „TROJ_GEN.F47V0915 „.
Sehr viele Virenscanner erkennen aber noch gar nichts! Antivir, Avast, Microsoft FProt oder Dr. Web sind z.B. völlig ahnungslos.
Also: Nicht downloaden, auf keinen Fall starten! Mail löschen…
Was der Trojaner macht, um sich zu verstecken, ist hier nachzulesen.
Juni 2013
Nach dem üblichen Muster arbeitet der Versuch, die Anwender so zu erschrecken, dass sie einen virusverseuchten Mailanhang öffnen.
Offenbar hat dort jemand zusammengestohlene deutsche Emailadressen mit Vor- und Nachnamen gekauft (oder geklaut) und sich dann ein Script gebastelt, das einen Dropper-Trojaner verbreitet.
Vor- und Nachname des Empfängers befinden sich in der Betreffzeile, in der Emailanrede sowie in den Namen des gezippten Trojaners.
Betreffzeile:
Inkasso Aufforderung für Hubert Beispiel
Emailtext des Trojaners
Sehr geehrte/r Hubert Beispiel,
wir wurden von Bonprix Online Store GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die Bevollmächtigung wurde anwaltlich schriftlich versichert.
Mit der Bestellung vom 28.05.2013 haben Sie sich vertraglich verpflichtet den Betrag von 789,00 Euro an unseren Mandanten zu überweisen. Dieser Pflicht sind Sie bis jetzt nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges verpflichtet die Ausgaben unserer Leistung zu tragen.
Diese belaufen sich nach folgender Kostenrechnung:
EUR 19,00 (nach Nr. 556 RGV}
EUR 31,00 (Pauschalvergütung gemäß § 4 Abs. 1 und 2 RVG}
Wir verpflichten Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Bankkonto unseren Mandanten zu überweisen. Die Bankdaten und die Einzelheiten Ihrer Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung setzten wir Ihnen eine gesetzliche Frist bis zum 16.06.2013.
Das Einhalten dieser zeitlichen Frist liegt auf jedem Fall in Ihrem Interesse. Falls Sie diese Frist fruchtlos verstreichen, werden ohne weitere Aufforderung gerichtliche Schritte einleitet. Dadurch werden Ihnen weitere, beträchtliche Mahnkosten entstehen.
Mit freundliche Grüßen Henri Schmitz Inkasso-Büro
Nett gemacht. Name stimmt, ein paar Paragraphen eingestreut. Etwas unsauber gearbeitet bei den abschließenden Klammern. Auch Umlaute sind da… Nichtsdestotrotz ein Fake!
Keine Adressnennung des angeblichen Inkassobüros. Mal abgesehen davon, dass das sowieso Unsinn ist, sollte man such klarmachen, dass „offizielle Schreiben“ dieser Art sehr umfangreiche Pflichtvorgaben erfüllen müssen. Da müssen Kontaktadressen und Telefonnummern genannt werden. Die Gesellschaftsform, der Verantwortliche sowie die Nummer des Handelsregistereintrags und die Steuernummer.
So wird das nix…
Der Anhang heißt dann z.B.:
Mahnung fur Hubert Beispiel Inkasso Bonprix Online Store GmbH.zip
Darin befindet sich:
Dritte Mahnung 11.06.2013 Inkasso Anwaltschaft.zip
Und darin dann der Trojaner namens:
Dritte Mahnung 11.06.2013 Inkasso Anwaltschaft.com
Man achte auf die Endung COM. Ein ausführbares Programm. Doch wenn man nicht seine Windowsgrundeinstellungen für Dateinamen geändert hat, wird man das nicht zu sehen bekommen.
Schlampig gearbeitet haben die Gauner beim Icon. Sie hätten wenigstens ein Word- oder PDF-Icon einbauen können.
Doch es werden auch so genug Blödel draufklicken. Dann wird der eigentliche Trojaner nachgeladen und installiert.
Übrigens erkennen rund 50% der aktuellen Virenscanner die Bedrohung bereits.
Update
Eine neue Variante:
Sehr geehrter Logitech Shop Online GmbH Kunde Hubert Beispiel,
mit der Bestellung vom 12.05.2013 haben Sie sich gesetzlich verpflichtet den Betrag von 190,00 Euro an unseren Mandanten zu zahlen.
Die Summe ist bis jetzt nicht bei Logitech Shop Online GmbH eingegangen.
Weiterhin sind Sie aus Gründen des Verzuges gezwungen die Kosten unserer Leistung zu tragen.
Unsere Anwaltskanzlei wurden von Logitech Shop Online GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde anwaltlich schriftlich versichert.
Die zusätzlichen Kosten unserer Beauftragung errechnen sich nach dieser Abrechnung:
—————-
14,00 Euro (nach Nummer 9613 RGV)
8,00 Euro (Pauschale gemäß RVG § 4 Abs. 1 und 2)
—————-
Wir verpflichten Sie mit Kraft unserer Mandantschaft den gesamten Betrag auf das Konto unseren Mandanten zu übersenden. Die Kontodaten und die Lieferdaten Ihrer Bestellung finden Sie im Anhang. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche Frist bis zum 26.06.2013.
Mit freundliche Grüßen Michelle Schulz Inkasso-Büro
Beim letzten Mal hat es den Virenverteilern scheinbar eine Menge gebracht und so versuchen sie es mit derselben Masche noch einmal.
Zuerst kommt eine unverschämte Email eines Inkassounternehmens. Der Ruf dieser Unternehmen und die Furcht vor ihnen ist übel genug, um auch den ruhigsten Zeitgenossen dazu zu veranlassen, das Schreiben zu öffnen.
Unnötig festzustellen, dass die angeblich absendenden Unternehmen mit dieser Mail gar nichts zu tun haben. Keine erntszunehmende Inkassofirma wählt den Weg einer Email als Mahnung.
In diesem Fall droht angeblich eine Firma namens Regel Inkasso GmbH aus Bielefeld mit fehlenden Zahlungen in vierstelliger Höhe.
Über die genaue Höhe soll man sich mittels einer Liste in einer Datei namens Abrechnung.zip informieren können.
Die Datei enthält wieder einmal den eigentlichen Tojaner sowie eine (scheinbare) Textdatei, die aber eigentlich die Endung LNK (Link) hat. Bei Windowslinks werden die Endungen üblicherweise nicht angezeigt, so dass man sie versehentlich für etwas anderes halten kann.
Klickt man sie an, so rufen sie normalerweise ein Programm auf um es zu starten. In diesem Fall den Trojaner.
Beispiel-Mailtext:
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.228267195414 ist erfolgt
Es wurden 6684.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
Regel Inkasso GmbH & Co. KG
Fredeburger Str. 21
33699 Bielefeld
Postfach 51 20 05
33698 Bielefeld
Tel.: 0521 93212-0
Fa x: 0521 92412-15
AG Bielefeld HRA 13169
Steuer-Nummer: 349/5749/0377
Komplementargesellschaft:
Regel Verwaltungs-GmbH
AG Bielefeld HRA 34932
Der eigentliche Trojaner ist die Datei scann.a, welche sich ebenfalls in der gezippten Datei befindet.
Wenn man die Grundregeln des gesunden Menschenverstandes befolgt und solche Dateien ignoriert, ist man auf der sicheren Seite.
Nicht jeder Virenscanner erkennt das Ding. Also Vorsicht!
Analyse
IN der Datei Abrechnung.zip (19.710 Byte) befindet sich die Datei abrechnung.lnk sowie ein Verzeichnis namens scann, welches den eigentlichen Virus enthält: scann.a (26.112 Byte).
Wegen der unüblichen Dateiendung .a schlagen Virenscanner erst an, wenn man auf diese Datei zuzugreifen versucht.
Jotti sagt:
A-Squared Win32.Outbreak!IK gefunden
AntiVir TR/Dldr.iBill.BR gefunden
Avast Win32:Trojan-gen {Other} gefunden
BitDefender Trojan.Agent.ALHD gefunden
ClamAV Trojan.Agent-62899 gefunden
Dr.Web Trojan.DownLoad.16843 gefunden
F-Prot Antivirus W32/Trojan3.LG gefunden
F-Secure Anti-Virus Worm:W32/AutoRun.KD, Worm.Win32.AutoRun.svl gefunden
Kaspersky Anti-Virus Worm.Win32.AutoRun.svl gefunden
NOD32 Win32/AutoRun.FakeAlert.AD gefunden
Norman Virus Control Keine Viren gefunden
Sophos Antivirus Troj/Agent-IIJ gefunden
Und Virustotal findet:
AntiVir – – TR/Dldr.iBill.BR
Authentium – – W32/Trojan3.LG
Avast – – Win32:Trojan-gen {Other}
AVG – – Pakes.ANT
BitDefender – – Trojan.Agent.ALHD
CAT-QuickHeal – – (Suspicious) – DNAScan
ClamAV – – Trojan.Agent-62899
DrWeb – – Trojan.DownLoad.16843
F-Prot – – W32/Trojan3.LG
F-Secure – – Worm.Win32.AutoRun.svl
Fortinet – – W32/Autorun.KD!worm
GData – – Trojan.Agent.ALHD
Ikarus – – Win32.Outbreak
Kaspersky – – Worm.Win32.AutoRun.svl
McAfee – – Spy-Agent.bw
McAfee+Artemis – – Spy-Agent.bw
Microsoft – – TrojanDropper:Win32/Emold.C
NOD32 – – Win32/AutoRun.FakeAlert.AD
Panda – – Generic Trojan
Prevx1 – – Malicious Software
SecureWeb-Gateway – – Trojan.Dldr.iBill.BR
Sophos – – Troj/Agent-IIJ
Symantec – – Downloader
TheHacker – – W32/AutoRun.svl
TrendMicro – – PAK_Generic.001
VirusBuster – – Trojan.Agent.FKIA
Der Trojaner legt die Datei C:\Programme\\Microsoft Common\svchost.exe an. Diese Datei hat dieselbe Größe wie scann.a, es ist also der Trojaner.
Er versucht zwei Server in China zu erreichen und dort die Url
ld.php?v=1&rs=13441600&n=1&uid=1 aufzurufen.
Diese wurden scheinbar von einem Russen registriert. Interessanterweise existiert die zweite Domain nicht einmal.
Vom selben Verursacher wie der gestern gemeldete Virus in einer gefälschten Rechnung von Vattenfall oder einem Inkassobüro stammt die heutige Fälschung. Denn beide versuchen zu denselben Internetseiten Kontakt aufzunehmen, um sich Befehle abzuholen.
Bedenklich daran ist die Tatsache, dass die Virenprogrammierer, die ganz eindeutig auf den deutschsprachigen Markt zielen, sich die Mühe gemacht haben, schnell hintereinander zwei verschiedene Trojaner loszulassen.
Das Betreff der Beispielmail:
Wichtiger Hinweis NR37639 zur Datenuebermittlung an die SCHUFA
Der Mailtext:
Sehr geehrte Damen und Herren,
Usenet GmbH - usenext.de
38,21 EUR
Beate Uhse GmbH beate-uhse.de
64,48 EUR
bisherige Mahnkosten unserer Mandanten:
57,71 EUR
vorgerichtliche Inkassogebuehren:
81,17 EUR
noch offener Gesamtbetrag inklusive unserer Bearbeitungskosten:
793,47 EUR
bislang ist der von uns angemahnte Betrag nicht ausgeglichen worden!
Als Vertragspartner der SCHUFA Holding AG weisen wir darauf hin, dass wir Daten ueber aussergerichtliche und gerichtliche Einziehungsmassnahmen bei ueberfaelligen und unbestrittenen Forderungen an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, uebermitteln. Vertragspartner der SCHUFA sind vor allem Kreditinstigute sowie Kreditkarten- und Leasinggesellschaften.
Moechten Sie diese Schritte vermeiden, zahlen Sie bitte bis zum 09.12.2008 Ihren Schuldbetrag unter Angabe Ihres
Aktenzeichens (siehe Anhang) auf die in der Auflistung genannte Bankverbindung.
Die detailierte Auflistung Ihrer Rechnungen, Mahngebuehren und die Zahlungs bzw. Wiederspruchshinweise finden Sie im Anhang.
Mit freundlichen Gruessen Ihr Proinkasso Team
Dieser Brief wurde maschinell erstellt und ist deshalb ohne Unterschrift gueltig
Im Anhang namens Anhang.zip (21.188 Byte) befindet sich der Trojaner mit der Bezeichnung Rechnung.scr (31.744 Byte).
Nochmal ein Hinweis an alle „Normaluser“: SCR, die Endung für einen Bildschirmschoner (SCReensaver), ist nur eine Umbenennung einer normalen Programmdatei. Windows behandelt sowas wie ein Programm und führt es einfach aus. Ein Doppelklick auf eine SCR-Datei startet ein Programm!
Wie schon gestern versucht der Trojaner, eine Datei anzulegen
C:\Programme\Microsoft Common\svchost.exe
und sie in der Registry zu verankern.
Die Mail sollte bei Empfang gelöscht werden. Schenken Sie solchen Drohungen generell keine Beachtung. Seriöse Firmen würden sowas nie verschicken, weil es keinerlei Bestand vor Gericht hat, wenn es darum geht nachzuweisen, dass Sie unterrichtet wurden.
Scanergebnis bei Jotti
AntiVir TR/Dldr.iBill.BE gefunden
Avast Win32:Downloader-BZT gefunden
BitDefender Trojan.Agent.AKTB gefunden
ClamAV Trojan.Agent-57253 gefunden
Dr.Web Trojan.DownLoad.3735 gefunden
F-Prot Antivirus W32/Trojan3.EM gefunden
F-Secure Anti-Virus Trojan-Downloader:W32/Agent.HWO, Trojan-Downloader.Win32.Agent.algj gefunden
Ikarus Win32.Outbreak gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.algj gefunden
NOD32 Win32/AutoRun.Agent.X gefunden
Sophos Antivirus Troj/Agent-IAO gefunden
Virustotal meint dazu:
AntiVir – – TR/Dldr.iBill.BE
Authentium – – W32/Trojan3.EM
Avast – – Win32:Downloader-BZT
AVG – – Pakes.AKA
BitDefender – – Trojan.Agent.AKTB
ClamAV – – Trojan.Agent-57253
DrWeb – – Trojan.DownLoad.3735
F-Prot – – W32/Trojan3.EM
F-Secure – – Trojan-Downloader:W32/Agent.HWO
GData – – Trojan.Agent.AKTB
Ikarus – – Win32.Outbreak
Kaspersky – – Trojan-Downloader.Win32.Agent.algj
McAfee – – Downloader-AAP
Microsoft – – TrojanDropper:Win32/Emold.C
NOD32 – – Win32/AutoRun.Agent.X
SecureWeb-Gateway – – Trojan.Dldr.iBill.BE
Sophos – – Troj/Agent-IAO
Symantec – – W32.Auraax
Wenn Ihr Virenscanner fehlt, ist er untauglich Sie zu schützen!
Unser kostenloser Newsletter
http://www.virenkiller.de/newsletter/