Virenkiller.de

Man kanns ja mal probieren, dachte sich offensichtlich der Verbreiter eines neuen Virus und tarnte diesen als angebliche Rechnung für ein angeblich gekauftes Antivirenprodukt der Firma Avira.

Das Betreff lautet:

Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten

Absender der Mail ist angeblich:

cleverbridge / Avira GmbH. (mailer@cleverbridge.com)

Auch als:
auto@cleverbridge.com
mailer@cleverbridge.com
automailer@cleverbridge.com
lists@cleverbridge.com
support@cleverbridge.com
tech@cleverbridge.com
cle@cleverbridge.com
maillist@cleverbridge.com

Anhänge an der Mail heißen z.B. 595169.zip und enthalten dann eine ausführbare Datei namens

HBEDV.KEY.exe

Bei dieser hat sich der Programmierer dieses Mal nicht einmal die Mühe gemacht, sie mit einem passenden Icon zu tarnen. Es soll sich hierbei um einen Vollversionskey für „Avira AntiVir PersonalEdition Premium“ handeln.

In der Mail befindet sich auch ein Link auf eine PDF-Datei. Dabei handelt es sich tatsächlich um eine PDF-Datei, die eine Rechnung für einen Amerikaner darstellt. (Originallink von Virenkiller.de geändert!)

https://avira.cleverbridge .com/inv oice/4T 602 JI1W TV04A 284FD1/CB -30-94308.pdf

Ganz offensichtlich handelt es sich mal wieder um einen Vertreter der Nurech-Trojanerfamilie.

Der Mailtext:

Vielen Dank für Ihre Bestellung bei cleverbridge.

cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.

Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.

Ihre cleverbridge Referenznummer: 595169

Zahlungsinformationen

Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von „www.avira.com“ erscheinen wird.

Ihre Produkte

Menge Produktname Auslieferung
1 Avira AntiVir PersonalEdition Premium – 5 JahreLizenzlaufzeit 5 Jahre elektronisch
Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner „Eigene Dateien“
Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren. Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:

 – Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
 – Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter: Avira AntiVir PersonalEdition Premium herunterladen
 – Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner „Eigene Dateien“. Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
 – Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen: Installationsanleitung anzeigen

WICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.

1 Zuwendung an die Auerbach Stiftung

Ihre Rechnung

Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:

Ihre Rechnung

Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den „Adobe Acrobat Reader“, um es öffen zu können. Sollte der „Adobe Acrobat Reader“ nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.

Fragen oder Anregungen?

Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.

Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.html

Mit freundlichen Grüßen,
Ihr cleverbridge Kundenserviceteam

Pikanterweise kann Antivir selbst derzeit (23.4.2007) den Virus selbst nicht erkennen.

Der Onlinescan bei Jotti ergab:

Und Virustotal fand folgendes:

Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de

Update, 23.4.2007 / 10:20 Uhr
Avira hat schnell mit einem Update reagiert

Update vom 24.5.2007:Eine Kopie des untenstehenden Schreibens kommt nun angeblich von einer „Rechtsanwaltsgesellschaft Thieler “ . Der Anhang ist wieder mit einem Trojaner verseucht, den aber die aktuellen Virenscanner problemlos entdecken. Dämlicherweise ist die Kopie dieses Schreibens so schlecht, dass es sogar noch mit „Olaf Tank“ – dem Namen des angeblichen Absenders der vorherigen Mail – unterschrieben ist.

Kleine Ironie am Rande:
Rechtsanwalt Tank konnte den beiden Gebrüdern Schmidtlein offensichtlich nicht vor dem Landgericht Darmstadt helfen: http://www.heise.de/newsticker/meldung/90126

Mit dem Betreff

Forderung AZ: 264812/09

kommt von einem Absender

Anwaltskanzlei Tank (anwalt@forderungseinzug.de)

eine gefälschte Rechnung ins Haus geflattert. Ein Anhang namens Rechnung.zip einthält eine ausführbare Virusdatei namens O_rechnung.pdf.exe.

Der Inhalt der Email ist aus vielen Gründen unsinnig. Wengleich es den Absender sowie die angeblichen Rechnungssteller wirklich gibt. Für Rechtsanwalt Tank und die Gebrüder Schmidtlein findet das Internet und die Presse nur harte Worte (Beispiele:
http://www.verbraucherzentrale-bremen.de/themen/verbraucherrecht/schmidtlein.html
http://www.verbraucherzentrale-bremen.de/themen/verbraucherrecht/kostenfallen-im-internet.html
)

Hier kam die Mail am 11.4.2007 an, abgeschickt wurde sie laut Emailtext aber erst am 31.4.2007 (der April hat nur 30 Tage :-) )

Solche Anwaltsrechnungen dürfen natürlich um gültig zu sein NICHT per Email versandt werden. Die angebliche Verursacher-IP ist in Nigeria.

Sehr geehrte Kunde,hiermit zeige ich die Interessenvertretung der Firma Andreas & Manuel Schmidtlein GbR, Vor der Hube 3, D 64572 Büttelborn an. Ordnungsgemäße Bevollmächtigung wird anwaltlich versichert. Meine Mandantschaft macht gegen Sie folgende Forderung geltend:Rechnung vom 15,08,2006 aus Dienstleistungsvertrag mit der Rechnungsnummer R270665 für die Anmeldung vom 29,07,2006 um 14:33 Uhr auf der Internetseite P2P-heute.com mit folgender Anmelde-IP: 217.083.187.57. Sie schulden meiner Mandantschaft daher 110,00 EUR. Da Sie sich in Verzug befinden, sind Sie gegenüber meiner Mandantschaft verpflichtet, die durch meine Tätigkeit entstandenen Gebühren zu erstatten.Das Originalrechnung finden Sie im Anhang als signierte PDF Datei.
Bitte behalten Sie das Original Rechnung unbedingt für Ihre Unterlagen. Liquidation:1,3 Geschäftsgebühr, Nr. 2300 VV 965,50 EURAuslagenpauschale, Nr. 7002 VV X,50 EURGesamtsumme 302,00 EURDer von Ihnen zu zahlende Gesamtbetrag beläuft sich somit auf 335,00 EUR.Ich fordere Sie auf, den Gesamtbetrag, innerhalb einer Frist von 10 Tagen, also bis zum09.04.2007 (hier eingehend)

Wieder mal versuchen die Bot-Netz-Betreiber, uns einen Trojaner mittels einer gefälschten Rechnung unterzujubeln.

Anhang: T-Com.zip

In der Zip-Datei befindet sich eine: Telekom.pdf.exe, die sich mit einem PDF-Icon zu tarnen versucht. 

Jotti meint dazu:

Und wieder versuc ht jemand, uns mit dem Namen eines großen Konzerns einen Virus unterzuschieben.

Im Betreff heißt es: „Ihre IKEA Bestellung“

Dann folgt ein harmlos klingender Text:

IKEA
            Ihre detaillierte IKEA Rechnung 
    
    

      Rechnungsnummer
      Kundennummer
      Datum 
      561 152 855 6683
      175 669 2886
      10 Februar 2006
    

      Sehr geehrter IKEA Kunde,

      die Gesamtsumme für Ihre Rechnung beträgt: 422,17 Euro.
      Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.

      Kopie dieses Schreibens wird Ihnen gleichzeitig auch per Post zugeschickt.
      Die Unterlassung rechtzeitiger Einwände gilt als Genehmigung. Weitere Informationen zum Widerspruch finden ebenfalls im beigefügten Dokument.

      Gemäß der erteilten Einzugsermächtigung werden wir den Rechnungsbetrag in den nächsten Tagen von Ihrem Konto einziehen.
      Ihre Rechnung ist im PDF-Format erstellt und mit einer „Digitalen Signatur“ unterzeichnet worden. Den entsprechenden
      Verifikationsbericht finden Sie im Anhang dieser E-Mail.
      Durch die „Digitale Signatur“ wird Ihre Rechnung nach dem Signatur-Gesetz (SigG) anerkannt.

      Um sich die Rechnung anschauen und die Signatur prüfen zu können, benötigen Sie den Adobe Reader, Version 7.0 (oder höher).
      Sollten Sie keinen Adobe Reader besitzen, können Sie diesen kostenfrei auf der Homepage von Adobe downloaden: http://www.adobe.de/products/acrobat/readstep2.html

      Nach der erfolgreichen Installation des Adobe Readers wird es Ihnen möglich sein, die Rechnungsdatei zu öffnen
      und die Signatur zu prüfen.

      Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort „Digitale Signatur“.
      ==================================
      Das IKEA FAMILY LIVE
      Einrichtungsmagazin: 100 Seiten Inspiration und Information.
      4 -mal im Jahr kostenlos zum Mitnehmen in deinem IKEA FAMILY Shop.

      Transportsicherheit:
      Zeig einfach deine IKEA FAMILY CARD an der Kasse vor.
      Wird dein Einkauf auf dem Eigentransport nach Hause beschädigt,
      erhälst du gegen Vorlage des Kassenbons einen kostenlosen Ersatz der Ware.
      ==================================

      Mit freundlichen Grussen
      Ihre IKEA Team
      i.A. Sandy Steinicke
      —————————————————

      Inter IKEA Systems B.V. 1999 – 2006
    
      Aufsichtsrat:
      Handelsregister:
     Dr.Klaus Zumwinkel (Vorsitzender)
      Amtsgericht Koblenz HRB 12903, Sitz der Gesellschaft Bonn

Der Anhang, die angebliche Rechnung hieß bei mir IKEA218Rechnung.zip und diese Datei enthielt eine ausführbare Datei namens RG_unYH8nfi32in.pdf.exe.

Schon das sowie die Tatsache, gar nichts bei IKEA bestellt zu haben, sollte Warnung genug sein. 

Jotti erkennt zum heutigen Datum (19.2.2007) nicht viel:

Update vom 20.2.2007:
Scheinbar gibt es Trittbrettfahrer. Nun erschien eine neue Variante, diesmal mit einem Anhang im RAR-Format. (z.B.: ikea411Rechnung.rar). Auch das Betreff ist leicht geändert: „Detaillierte IKEA Rechnung3“.

Zu dieser Variante, fällt Jotti mehr ein:

ACHTUNG Update vom 17.4.2007
Es gibt eine neue Variante der Mail
Siehe http://www.virenkiller.de/archives/34 

Und wieder versuchen es die Trojanerverbreiter mit einer neuen Masche. Wie kürzlich erst bei dem „BKA-Virus“, versuchen Sie jetzt Ebaykunden einen Virus unterzujubeln.

Die Email enthält immer ein Betreff ähnlich wie „EBay neue E-Mail-Adresse“ und als Absender „eBay.de“ mit der Emailadresse meinestory@ebay.de

Sie hat einen Anhang mit Namen wie „Ebay-99381412.zip“ und diese ZIP-Datei enthält dann den Trojaner mit der Bezeichnung „Ebay.pdf.exe“.

Hier der Emailtext:

eBay-Hinweis zu geänderter E-Mail-Adresse
Hallo sehr geehrter Ebay Mitglied,

Vielen Dank für Ihren Antrag auf Änderung Ihrer E-Mail-Adresse. Anleitungen zur Durchführung der Änderung wurden an Ihre neue E-Mail-Adresse gesendet.

Falls die Email Adressen nicht von Ihnen geändert wurde dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!

Sobald der Vorgang abgeschlossen ist, werden Ihre E-Mails bezüglich eBay nicht mehr an diese E-Mail-Adresse weitergeleitet.

Wenn Sie diese Änderung nicht vorgenommen haben, fragen Sie bitte zuerst Familienmitglieder und andere Personen, die evtl. Zugang zu Ihrem
Mitgliedskonto haben. Wenn Sie glauben, dass eine nicht autorisierte Person Ihre E-Mail-Adresse geändert hat dann führen Sie sofort Schritte aus die in dem beigelegtem PDF Dokument beschrieben sind!

Vielen Dank,
eBay
——————————————————————–

Wenn Sie Fragen zu den eBays-Grundsätzen haben, lesen Sie bitte unsere Datenschutzerklärung und die Allgemeinen Geschäftsbedingungen.
Datenschutzerklärung:
http://pages.ebay.de/help/policies/privacy-policy.html

Allgemeine Geschäftsbedingungen:
http://pages.ebay.de/help/policies/user-agreement.html

Copyright   2006 eBay Inc. Alle Rechte vorbehalten.
Die genannten Marken sind das Eigentum ihrer jeweiligen Inhaber.
eBay und das eBay-Logo sind eingetragene Marken bzw. Marken von eBay Inc.
——————————————————————–
Bitte beachten Sie, dass es sich bei dieser E-Mail um eine vom System versendete Mitteilung handelt. Eine Antwort auf diese E-Mail über die Antwortfunktion Ihres Mail Programms ist daher nicht möglich. Bei Fragen an unseren Kundenservice klicken Sie bitte auf den folgenden Link oder kopieren Sie ihn in Ihren Browser:
http://pages.ebay.de/help/basics/select-support.html

Ich persönlich finde ja am schönsten das „sehr geehrter Ebay Mitglied“ ;-)

Auch diverse andere Rechtschreibfehler und Unregelmäßigkeiten im Mailtext deuten darauf hin, dass es sich bei dem Verbreiter um jemanden handelt, bei dem dieser Trick den letzten Versuch darstellt, mit geringem Intelligenzquotienten an Geld zu kommen.

Bei http://virusscan.jotti.org/de/ gibt es jetzt hier immerhin 7 Trojanerwarnungen.

Am Montag morgen schlug er hier auf, wurde von mir an Sophos weitergeleitet und hat seit Montag vormittag einen Namen: Der Trojaner-Virus Troj/Clagger-AB

Er kündigte sich bei mir in einer ziemlich gutaussehenden, aber völlig hirnrissigen Rechnungsankündigung an, die mir mitteile, ich hätte über 8.000 Euro zu zahlen. Die Rechnung würde an der Mail anhängen.

Da hing dann eine Datei namens Rechnung.pdf.zip dran, welche als Rechnung.pdf. exe den ausführbaren Trojaner enthielt.

Dieser nistet sich laut Sophos auf dem Rechner ein, lädt Dateien aus dem Internet nach und verwandelt somit den Rcehner in einen „Bot“, mit dessen Hilfe Spammails versendet werden können.

Die meisten Scanner erkennen ihn angeblich. Ewido kanns noch nicht und der Grisoftscanner auch nicht.

Was tun?

Wie immer: Kopf einschalten, mail löschen, keine Anhänge öffnen, keine ausführbaren Dateien starten :-)

Nachtrag 30.8./14:00 Uhr)
AVG-Free von Grisoft hat ein Update geliefert und erkennt ihn jetzt als „Downloader.Generic2.MRP