Update vom 24.5.2007:Eine Kopie des untenstehenden Schreibens kommt nun angeblich von einer „Rechtsanwaltsgesellschaft Thieler “ . Der Anhang ist wieder mit einem Trojaner verseucht, den aber die aktuellen Virenscanner problemlos entdecken. Dämlicherweise ist die Kopie dieses Schreibens so schlecht, dass es sogar noch mit „Olaf Tank“ – dem Namen des angeblichen Absenders der vorherigen Mail – unterschrieben ist.
Kleine Ironie am Rande:
Rechtsanwalt Tank konnte den beiden Gebrüdern Schmidtlein offensichtlich nicht vor dem Landgericht Darmstadt helfen: http://www.heise.de/newsticker/meldung/90126
Mit dem Betreff
Forderung AZ: 264812/09
kommt von einem Absender
Anwaltskanzlei Tank (anwalt@forderungseinzug.de)
eine gefälschte Rechnung ins Haus geflattert. Ein Anhang namens Rechnung.zip einthält eine ausführbare Virusdatei namens O_rechnung.pdf.exe.
Der Inhalt der Email ist aus vielen Gründen unsinnig. Wengleich es den Absender sowie die angeblichen Rechnungssteller wirklich gibt. Für Rechtsanwalt Tank und die Gebrüder Schmidtlein findet das Internet und die Presse nur harte Worte (Beispiele:
http://www.verbraucherzentrale-bremen.de/themen/verbraucherrecht/schmidtlein.html
http://www.verbraucherzentrale-bremen.de/themen/verbraucherrecht/kostenfallen-im-internet.html
)
Hier kam die Mail am 11.4.2007 an, abgeschickt wurde sie laut Emailtext aber erst am 31.4.2007 (der April hat nur 30 Tage :-) )
Solche Anwaltsrechnungen dürfen natürlich um gültig zu sein NICHT per Email versandt werden. Die angebliche Verursacher-IP ist in Nigeria.
Anwaltskanzlei Tank
RA Olaf Tank
Rheiner Landstraße 197
49078 Osnabrück Aktenzeichen: 051065/86
Osnabrück, den 31.04.2007Bitte geben Sie Ihr Aktenzeichen bei jeglichem Schriftverkehr und Zahlungen immer an.
Sehr geehrte Kunde,hiermit zeige ich die Interessenvertretung der Firma Andreas & Manuel Schmidtlein GbR, Vor der Hube 3, D 64572 Büttelborn an. Ordnungsgemäße Bevollmächtigung wird anwaltlich versichert. Meine Mandantschaft macht gegen Sie folgende Forderung geltend:Rechnung vom 15,08,2006 aus Dienstleistungsvertrag mit der Rechnungsnummer R270665 für die Anmeldung vom 29,07,2006 um 14:33 Uhr auf der Internetseite P2P-heute.com mit folgender Anmelde-IP: 217.083.187.57. Sie schulden meiner Mandantschaft daher 110,00 EUR. Da Sie sich in Verzug befinden, sind Sie gegenüber meiner Mandantschaft verpflichtet, die durch meine Tätigkeit entstandenen Gebühren zu erstatten.Das Originalrechnung finden Sie im Anhang als signierte PDF Datei.
Bitte behalten Sie das Original Rechnung unbedingt für Ihre Unterlagen. Liquidation:1,3 Geschäftsgebühr, Nr. 2300 VV 965,50 EURAuslagenpauschale, Nr. 7002 VV X,50 EURGesamtsumme 302,00 EURDer von Ihnen zu zahlende Gesamtbetrag beläuft sich somit auf 335,00 EUR.Ich fordere Sie auf, den Gesamtbetrag, innerhalb einer Frist von 10 Tagen, also bis zum09.04.2007 (hier eingehend)
auszugleichen. Bitte überweisen Sie diesen Betrag auf das unten angegebene Konto. Sollte der Gesamtbetrag nicht fristgerecht eingehen, werde ich meiner Mandantschaft empfehlen, die Forderung ohne weitere außergerichtliche Ankündigung, gerichtlich geltend zu machen, wodurch weitere Kosten zu Ihren Lasten entstehen.
Wir möchten in diesem Zusammenhang auf die bereits ergangenen Urteile verweisen, welche Sie auf der Internetseite www.forderungseinzug.de einsehen können.
Bei der Anmeldung auf oben genannter Internetseite wurde die zu diesem Zeitpunkt übermittelte IP-Adresse gespeichert. Die IP-Adresse ermöglicht den Strafverfolgungsbehörden, im Falle einer strafrechtlichen Ermittlung, die Identifikation des PC’s, der zum Zeitpunkt der Anmeldung genutzt wurde.
Als weitere Sicherheitsinstanz ist auf oben genannter Internetseite das Geburtsdatum des Users eingegeben worden. Sollte sich bei einer weiteren überprüfung der Daten herausstellen, dass ein falsches Geburtsdatum eingegeben wurde, ist von einem Betrugsdelikt auszugehen. In diesem Fall hätte sich eine gegebenenfalls minderjährige Person eine Leistung erschlichen, die ihr nicht hätte bereitgestellt werden dürfen. Hier behalte ich mir im Namen meiner Mandantschaft die Erstattung einer Strafanzeige vor. Die dabei anfallenden Kosten und Auslagen sind gegebenenfalls gegen Sie geltend zu machen.
Mit freundlichen Grüßen
Olaf Tank
Rechtsanwalt
Anwaltskanzlei Tank
RA Olaf Tank
Postfach 6251
49078 Osnabrück
Tel: 0541-34 97 70-0
Fax: 0541-34 97 70-77
anwalt@forderungseinzug.de
Bankverbindung Ausland: Postbank Hannover IBAN DE06 2501 0030 0077 6673 07, BIC: PBNKDEFF
Bankverbindung Deutschland: Postbank Hannover Kontonummer: 77 667 307, BLZ 250 100 30
Bitte geben Sie als Zahlungsempfänger unbedingt RA Olaf Tank an und Ihr Aktenzeichen als Verwendungszweck.
Virustotal fand im Anhang folgendes:
| Antivirus | Version | Update | Result |
| AhnLab-V3 | 2007.4.10.0 | 04.11.2007 | no virus found |
| AntiVir | 7.3.1.50 | 04.11.2007 | TR/Crypt.CFI.Gen |
| Authentium | 4.93.8 | 04.11.2007 | Possibly a new variant of W32/Document-disguised-based!Maximus |
| Avast | 4.7.936.0 | 04.10.2007 | no virus found |
| AVG | 7.5.0.447 | 04.11.2007 | Downloader.Agent.KEU |
| BitDefender | 7.2 | 04.11.2007 | Trojan.Downloader.Nurech.AZ |
| CAT-QuickHeal | 9.00 | 04.10.2007 | no virus found |
| ClamAV | devel-20070312 | 04.11.2007 | Trojan.Downloader-5254 |
| DrWeb | 4.33 | 04.11.2007 | DLOADER.Trojan |
| eSafe | 7.0.15.0 | 04.10.2007 | no virus found |
| eTrust-Vet | 30.7.3560 | 04.11.2007 | no virus found |
| Ewido | 4.0 | 04.10.2007 | no virus found |
| FileAdvisor | 1 | 04.11.2007 | no virus found |
| Fortinet | 2.85.0.0 | 04.11.2007 | W32/AAP.BF!tr.dldr |
| F-Prot | 4.3.1.45 | 04.11.2007 | W32/Document-disguised-based!Maximus |
| F-Secure | 6.70.13030.0 | 04.11.2007 | Trojan-Downloader.Win32.Nurech.bf |
| Ikarus | T3.1.1.5 | 04.11.2007 | Trojan-Downloader.Win32.Small |
| Kaspersky | 4.0.2.24 | 04.11.2007 | Trojan-Downloader.Win32.Nurech.bf |
| McAfee | 5005 | 04.10.2007 | no virus found |
| Microsoft | 1.2405 | 04.11.2007 | no virus found |
| NOD32v2 | 2178 | 04.10.2007 | no virus found |
| Norman | 5.80.02 | 04.10.2007 | no virus found |
| Panda | 9.0.0.4 | 04.11.2007 | Suspicious file |
| Prevx1 | V2 | 04.11.2007 | no virus found |
| Sophos | 4.16.0 | 04.06.2007 | no virus found |
| Sunbelt | 2.2.907.0 | 04.07.2007 | no virus found |
| Symantec | 10 | 04.11.2007 | Downloader |
| TheHacker | 6.1.6.088 | 04.09.2007 | no virus found |
| VBA32 | 3.11.3 | 04.10.2007 | no virus found |
| VirusBuster | 4.3.7:9 | 04.10.2007 | no virus found |
| Webwasher-Gateway | 6.0.1 | 04.11.2007 | Trojan.Crypt.CFI.Gen |
Jotti meinte dazu:
<>
| Datei: | O_rechnung.pdf.exe | ||||
| Auslastung: |
|
||||
| Status: |
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
|
||||
| Entdeckte Packprogramme: |
–
|
||||
| AntiVir |
TR/Crypt.CFI.Gen gefunden
|
||||
| ArcaVir |
Keine Viren gefunden
|
||||
| Avast |
Keine Viren gefunden
|
||||
| AVG Antivirus |
Downloader.Agent.KEU gefunden
|
||||
| BitDefender |
Trojan.Downloader.Nurech.AZ gefunden
|
||||
| ClamAV |
Trojan.Downloader-5254 gefunden
|
||||
| Dr.Web |
DLOADER.Trojan gefunden (mögliche Variante)
|
||||
| F-Prot Antivirus |
Possibly a new variant of W32/Document-disguised-based!Maximus gefunden
|
||||
| F-Secure Anti-Virus |
Trojan-Downloader:W32/Nurech.BG, Trojan-Downloader.Win32.Nurech.bf gefunden
|
||||
| Fortinet |
W32/AAP.BF!tr.dldr gefunden
|
||||
| Kaspersky Anti-Virus |
Trojan-Downloader.Win32.Nurech.bf gefunden
|
||||
| NOD32 |
Keine Viren gefunden
|
||||
| Norman Virus Control |
Keine Viren gefunden
|
||||
| Panda Antivirus |
Keine Viren gefunden
|
||||
| Rising Antivirus |
Keine Viren gefunden
|
||||
| VirusBuster |
Keine Viren gefunden
|
||||
| VBA32 |
Keine Viren gefunden
|
||||
Diese und ähnliche Warnungen per Email?
http://www.virenkiller.de/newsletter/
Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
Vielen, vielen Dank für die Hilfe.
Kommentar by Andreas — 21. Oktober 2013 @ 18:22
Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.
Kommentar by virenkiller — 21. Oktober 2013 @ 21:25
Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.
Kommentar by Andreas — 23. Oktober 2013 @ 07:58
Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.
http://www.virenkiller.de/onlinevirenscanner/
Kommentar by virenkiller — 23. Oktober 2013 @ 08:01
Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.
PS.: Ich finde virenkiller.de echt SUPER!!!
Kommentar by Andreas — 23. Oktober 2013 @ 09:31
Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
S.o.S!
Kommentar by Scully — 5. Januar 2014 @ 07:14
Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.
Kommentar by virenkiller — 5. Januar 2014 @ 12:13
Hallo virenkiller,
ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.
Kommentar by Anna — 4. Juni 2014 @ 16:34
Hallo Anna,
ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.
Kommentar by virenkiller — 4. Juni 2014 @ 18:27