Virenkiller.de

August 2011

Mal überlegen: Haben Sie Firefox mal Ihre Email gegeben? Hat irgendwer Firefox seine Email gegeben?

Nicht? Warum fallen dann trotzdem Leute auf eine Email von (angeblich) Firefox herein, die sie zu einem Update des Browsers auffordert und dazu einen Link mitschickt?

Vielleicht sind das dieselben Leute, die nicht darüber nachdenken, dass sie ihrer Bank nie eine Emailadresse gegeben haben und deren angeblichen Emails trotzdem für echt halten…

Derzeit erreichen uns also Updateaufforderungen von Firefox. Deren Zweck ist es aber höchstens, Passworte zu stehlen.

Betreff: New version released.

Mailtext:

Important notice
A Firefox software update is a quick download of small amounts of new code to your existing Firefox browser. These small patches can contain security fixes or other little changes to the browser to ensure that you are using the best version of Firefox available. Firefox is constantly evolving as our community finds ways to make it better, and as we adjust to the latest security threats. Keeping your Firefox up-to-date is the best way to make sure that you are using the smartest, fastest and . most importantly . safest version of Firefox available. A Firefox update will not make any changes to your bookmarks, saved passwords or other settings. However, there is a possibility that some of your Add-ons won.t be immediately compatible with new updates.
For security reasons please update your firefox version now
[LINK]

Mit dem Link wird eine ausführbare Datei zum Download angeboten. Raffinierterweise wird tatsächlich eine Firefoxinstallation der Version 5.0.1 angeboten. Und darin eigeflochten ein Trojaner, welcher Passwörter ausschnüffelt.

Eine Mail die angeblich von einem Ebay-Shop stammt, versucht mal wieder auf eine virenverseuchte Seite bei Geocities zu locken.

Betreff:
Das spezielle Geschenk zum Kauf.

Mailtext:

Unsere herzlichsten Glückwünsche. Sie sind der Käufer #10.000 in unserem Geschäft, deshalb schenken wir Ihnen ein Geschenk. Welcher? Bitte, folgen Sie dem Link http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&Item=220133405551&Category=133515 und erfahren Sie das. Wir danken Ihnen für die Benutzung der Dienstleistungen unseres Geschäftes. Kaufen Sie bitte noch.

Soweit der „normale“ Mailtext. In der HTML-Version versucht man den Leser auf eine Virenverseuchte Seite zu locken.

Vorsicht, auf keinen Fall ansurfen!!!

Es kursiert eine virenverseuchte Mail, die vorgibt, aufgrund einer Durchsuchung des Rechners mit dem sogenannten Bundestrojaner illegale Daten aus Tauschbörsennutzung gefunden zu haben.

Betreff:

Aktenzeichen [57940995]
Aktenzeichen [08038143]
Onlinedurchsuchung NR-[90587231]
Aktenzeichen [zufällige Zahl]

Mailtext:

Sehr geehrter Internetnutzer,im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: 81.187.113.176

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt. Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – 970738
Fax: 06131 – 970731
Mobil: 0171 – 7504699
Mail: Hcklein51@aol.com

An der Mail befindet sich ein Anhang namens

nr-[57940995].zip (NR-[08038143].zip) (Die Zahl korrespondeirt immer mit der im Betreff)der wiederum die Datei „Aktenzeichen.exe“ beinhaltet (mit Icon einer PDF-Datei)

Antivir kennt ihm am 5.5.07 nicht… Während die Onlineversion einen Trojaner erkennt.Jotti sagt:

Virustotal sagt: