Eine seltsame Mail erschreckt seit kurzem seine Empfänger und das perfide daran ist, dass sie so schlüssig erscheint… bis auf die Tatsache, dass man nichts bestellt hat.
Zuerst liest man
Mahnung für Max Mustermann Artikel 3502027930605
Max Mustermann steht da allerdings nicht, sondern tatsächlich der richtige Name des Mailkontoinhabers. Es deutet also einiges darauf hin, dass da eine Kundendatenbank irgendwo geknackt wurde.
Dann folgt eine Art Mahnschreiben, nochmal mit richtigem Namen.
Hallo Benutzer Max Mustermann,
diese E-Mail wurde bei der Eröffnung von 1 Vodafone Mobilfunk Verträgen angegeben. Die Simkarten wurden bei der Eröffnung abgegeben. Sicher ist es Ihnen entgangen, dass die Bezahlfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie ebenfalls nicht reagiert.
Betrag Mai: 518,52 Euro
Wir bitten Sie, den Gesamtbetrag in den nächsten 3 Tagen zu überweisen.
Die Mobilfunkgeräte sollten an Ihre Adresse versendet werden. Leider waren mehrfache Zustellversuche nicht erfolgreich. Wir bitten Sie uns mitzuteilen was mit den beiden Handys (iPhone 4S) gemacht werden soll.
In beigefügter Datei senden wir Ihnen die Kopie des Vertrags, die Ausweis Kopie des Vertrages, Rechnungen so wie die Gesprächsauflistung.
Teilen Sie uns bitte mit an welche Adresse die Handys versendet werden sollen.Mit besten Grüßen
Arnold GmbH
Bleckering 63
BielefeldTelefon: (0900) 273 2219649
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Bad Berleburg
Umsatzsteuer-ID: DE191327626
Geschäftsfuehrer: Lenny Pfeiffer
Tatsächlich hängt eine Datei an der Mail und sie heißt 2012.zip (89.499 Byte)
Auf keinen Fall speichern oder öffnen. Sie enthält u.a. einen Trojaner
In der Datei befindet sich ein Bild namens Personalausweis.jpg, das sieht so aus:
Außerdem eine Datei namens Handy-Verbindungen 2012.zip
Die wiederum enthält die Datei Handy-Verbindungen 2012.com
Wenn man sein Windows in der dummen Standardeinstellungen fährt, die alle Dateiendungen ausblendet, ist das .com nicht zu sehen. Aber auch so wissen nur noch Computernutzer aus DOS-Zeiten, dass es sich dabei um ein Programm handelt.
Um genau zu sein, um einen Trojaner.
Startet man ihn, gibt er nur ein Fenster aus:
Außerdem legt sie aber mehrere Dateien an, modifiziert die Registry massiv und kontaktiert mehrere Server.
Erkannt wird das Ding von etwa der Hälfte der bekannten Virenscanner und zwar als
http://www.threatexpert.com/threats/trojan-spy-agent.html
Es ist mal wieder ein kleines Ding, das jeder anders nennt.
kann man den Onlinescannern trauen, sind im Moment z.B. die Nutzer von AVG, Avast, Comodo, F-Prot, Kaspersky und G-Aata und Microsoft ohne Schutz. Antivir erkennt ihn. Ebenso Trendmirco, McAffee oder Bitdefender.