Man kanns ja mal probieren, dachte sich offensichtlich der Verbreiter eines neuen Virus und tarnte diesen als angebliche Rechnung für ein angeblich gekauftes Antivirenprodukt der Firma Avira.
Das Betreff lautet:
Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten
Absender der Mail ist angeblich:
cleverbridge / Avira GmbH. (mailer@cleverbridge.com)
Auch als:
auto@cleverbridge.com
mailer@cleverbridge.com
automailer@cleverbridge.com
lists@cleverbridge.com
support@cleverbridge.com
tech@cleverbridge.com
cle@cleverbridge.com
maillist@cleverbridge.com
Anhänge an der Mail heißen z.B. 595169.zip und enthalten dann eine ausführbare Datei namens
HBEDV.KEY.exe
Bei dieser hat sich der Programmierer dieses Mal nicht einmal die Mühe gemacht, sie mit einem passenden Icon zu tarnen. Es soll sich hierbei um einen Vollversionskey für „Avira AntiVir PersonalEdition Premium“ handeln.
In der Mail befindet sich auch ein Link auf eine PDF-Datei. Dabei handelt es sich tatsächlich um eine PDF-Datei, die eine Rechnung für einen Amerikaner darstellt. (Originallink von Virenkiller.de geändert!)
https://avira.cleverbridge .com/inv oice/4T 602 JI1W TV04A 284FD1/CB -30-94308.pdf
Ganz offensichtlich handelt es sich mal wieder um einen Vertreter der Nurech-Trojanerfamilie.
Der Mailtext:
Vielen Dank für Ihre Bestellung bei cleverbridge.
cleverbridge ist als Partner von Avira GmbH für den Bestellprozess und die Zahlungsabwicklung zuständig.
Anbei finden Sie Ihre cleverbridge Referenznummer. Um unverzüglichen und sorgfältigen Kundenservice zu erhalten, geben Sie diese Referenznummer bitte immer in jeglicher Kommunikation bezüglich Ihres Auftrags mit uns an.
Ihre cleverbridge Referenznummer: 595169
Zahlungsinformationen
Ihre Kreditkarte wurde erfolgreich autorisiert. Bitte beachten Sie, dass die Belastung auf Ihrer Kreditkarte im Namen von „www.avira.com“ erscheinen wird.
Ihre Produkte
Menge Produktname Auslieferung
1 Avira AntiVir PersonalEdition Premium – 5 JahreLizenzlaufzeit 5 Jahre elektronisch
Speichern Sie den im Anhang eingefügten Archiv mit der Lizenzdatei in Ihrem Ordner „Eigene Dateien“
Danach lesen Sie bitte folgende Anweisungen durch, um Ihre neue Software erfolgreich zu installieren. Bitte gehen Sie wie folgt vor, um Ihr Produkt zu installieren:– Sofern Sie die kostenlose Classic Version auf Ihrem Computer installiert haben, deinstallieren Sie diese bitte zuerst.
– Wenn Sie die PersonalEdition Premium noch nicht installiert haben, laden Sie diese bitte unter folgendem Link herunter: Avira AntiVir PersonalEdition Premium herunterladen
– Bitte speichern Sie dann diesen ZIP-Archiv mit der Lizenzdatei (HBEDV.KEY) in Ihrem Ordner „Eigene Dateien“. Danach öffnen Sie bitte das Installationsprogramm und HBEDV.KEY wird automatisch auf Ihrem Rechner ausgepackt.
– Bitte spielen Sie die Lizenzdatei in die Software ein, so wie in der Installationsanleitung beschrieben. Bitte verwenden Sie den folgenden Link, um die Installationsanleitung anzuzeigen: Installationsanleitung anzeigenWICHTIG! Um eine erfolgreiche Installation durchzuführen, lesen Sie bitte die Installationsanleitung ausführlich durch.
1 Zuwendung an die Auerbach Stiftung
Ihre Rechnung
Bitte verwenden Sie den folgenden Link, um Ihre Rechnung herunter zu laden:
Ihre Rechnung
Bitte beachten Sie, dass dieses Dokument im Adobe PDF Format ist. Sie benötigen den „Adobe Acrobat Reader“, um es öffen zu können. Sollte der „Adobe Acrobat Reader“ nicht auf Ihrem Computer installiert sein, so können Sie sich hier eine kostenlose Version herunterladen.
Fragen oder Anregungen?
Wenn Sie noch Fragen oder Anregungen haben, kontaktieren Sie bitte unser Kundenserviceteam.
Achtung: Wir können keine technischen Fragen zu Produkten beantworten. Wenn Sie inhaltliche oder technische Fragen haben verwenden Sie dazu bitte folgenden Kontaktinformationen:Avira GmbH
Wie Sie Unterstützung bei technischen Problem erhalten, erfahren Sie hier: http://avira.cleverbridge.com/client/30/install/de/support.htmlMit freundlichen Grüßen,
Ihr cleverbridge Kundenserviceteam
Pikanterweise kann Antivir selbst derzeit (23.4.2007) den Virus selbst nicht erkennen.
Der Onlinescan bei Jotti ergab:
| Datei: | HBEDV.KEY.exe | ||||
| Auslastung: |
|
||||
| Status: |
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
|
||||
| Entdeckte Packprogramme: |
–
|
||||
| A-Squared |
Keine Viren gefunden
|
||||
| AntiVir |
TR/Dldr.iBill.AJ gefunden
|
||||
| ArcaVir |
Keine Viren gefunden
|
||||
| Avast |
Win32:Tiny-GM gefunden
|
||||
| AVG Antivirus |
Keine Viren gefunden
|
||||
| BitDefender |
Trojan.Downloader.Tiny.GF gefunden
|
||||
| ClamAV |
Trojan.Downloader-5651 gefunden
|
||||
| Dr.Web |
Keine Viren gefunden
|
||||
| F-Prot Antivirus |
Keine Viren gefunden
|
||||
| F-Secure Anti-Virus |
Trojan-Downloader:W32/Nurech.BI, Trojan-Downloader.Win32.Nurech.bh gefunden
|
||||
| Fortinet |
Keine Viren gefunden
|
||||
| Kaspersky Anti-Virus |
Trojan-Downloader.Win32.Nurech.bh gefunden
|
||||
| NOD32 |
Win32/TrojanDownloader.Nurech.BH gefunden
|
||||
| Norman Virus Control |
Keine Viren gefunden
|
||||
| Panda Antivirus |
Generic gefunden
|
||||
| Rising Antivirus |
Keine Viren gefunden
|
||||
| VirusBuster |
Keine Viren gefunden
|
||||
| VBA32 |
Keine Viren gefunden
|
||||
Und Virustotal fand folgendes:
| Antivirus | Version | Update | Result |
| AhnLab-V3 | 2007.4.21.0 | 04.23.2007 | no virus found |
| AntiVir | 7.3.1.53 | 04.23.2007 | TR/Dldr.iBill.AJ |
| Authentium | 4.93.8 | 04.20.2007 | no virus found |
| Avast | 4.7.981.0 | 04.21.2007 | Win32:Tiny-GM |
| AVG | 7.5.0.464 | 04.22.2007 | no virus found |
| BitDefender | 7.2 | 04.23.2007 | Trojan.Downloader.Tiny.GF |
| CAT-QuickHeal | 9.00 | 04.21.2007 | no virus found |
| ClamAV | devel-20070416 | 04.23.2007 | Trojan.Downloader-5651 |
| DrWeb | 4.33 | 04.23.2007 | no virus found |
| eSafe | 7.0.15.0 | 04.22.2007 | no virus found |
| eTrust-Vet | 30.7.3589 | 04.23.2007 | no virus found |
| Ewido | 4.0 | 04.22.2007 | no virus found |
| FileAdvisor | 1 | 04.23.2007 | no virus found |
| Fortinet | 2.85.0.0 | 04.23.2007 | suspicious |
| F-Prot | 4.3.2.48 | 04.20.2007 | no virus found |
| F-Secure | 6.70.13030.0 | 04.23.2007 | Trojan-Downloader.Win32.Nurech.bh |
| Ikarus | T3.1.1.5 | 04.23.2007 | Trojan-Downloader.Win32.Nurech.bh |
| Kaspersky | 4.0.2.24 | 04.23.2007 | Trojan-Downloader.Win32.Nurech.bh |
| McAfee | 5014 | 04.20.2007 | no virus found |
| Microsoft | 1.2405 | 04.23.2007 | no virus found |
| NOD32v2 | 2211 | 04.23.2007 | Win32/TrojanDownloader.Nurech.BH |
| Norman | 5.80.02 | 04.21.2007 | no virus found |
| Panda | 9.0.0.4 | 04.23.2007 | Generic Trojan |
| Prevx1 | V2 | 04.23.2007 | no virus found |
| Sophos | 4.16.0 | 04.20.2007 | no virus found |
| Sunbelt | 2.2.907.0 | 04.19.2007 | no virus found |
| Symantec | 10 | 04.23.2007 | Downloader.Bzup |
| TheHacker | 6.1.6.095 | 04.15.2007 | no virus found |
| VBA32 | 3.11.4 | 04.23.2007 | no virus found |
| VirusBuster | 4.3.7:9 | 04.22.2007 | no virus found |
| Webwasher-Gateway | 6.0.1 | 04.23.2007 | Trojan.Dldr.iBill.AJ |
Diese und andere Virenwarnungen kostenlos per Email bekommen?
Der Virennewsletter von Virennewsletter.de
Update, 23.4.2007 / 10:20 Uhr
Avira hat schnell mit einem Update reagiert
Hallo, meine Frau hat leider den Link gewählt und den Trojaner installiert. Seitdem geht kein Browser, weder Firefox, noch IE, mehr. Antivir und Spybot haben nichts gefunden. Könnt ihr mir sage wie ich dieses Ding weg bekomme?
Vielen, vielen Dank für die Hilfe.
Kommentar by Andreas — 21. Oktober 2013 @ 18:22
Nicht, ohne zu wissen, um welche Trojanervariante es sich handelt. Und wenn Du das weißt, kannst Du ohnehin danach googeln.
Kommentar by virenkiller — 21. Oktober 2013 @ 21:25
Wie kann ich das herausfinden? Antivir und Spybot erkennen (noch) nix.
Kommentar by Andreas — 23. Oktober 2013 @ 07:58
Wenn Du die Mail noch nicht gelöscht hast, dann nimm den Anhang und schicke ihn zu einem Onlinevirenscanner.
http://www.virenkiller.de/onlinevirenscanner/
Kommentar by virenkiller — 23. Oktober 2013 @ 08:01
Vielen vielen Dank für deine Hilfe. Bin eine Neuling deines Blogs und habs daher noch nicht gewußt.
PS.: Ich finde virenkiller.de echt SUPER!!!
Kommentar by Andreas — 23. Oktober 2013 @ 09:31
Habe ebenfalls eine gefakte amazon Mail erhalten und bereits wie und an Amazon weitergeleitet.
Leider habe ich nicht aufgepasst und auf den Link in der Mail ‚hier können Sie Ihre Rechnung einsehen‘ geklickt.
Es öffnete sich zwar ein Fenster mit einer .tk Kennung, aber ohne Inhalt.
Die Mail wurde via iphone geöffnet. Habe ich damit nun einen Virus o.ä.?
Ich habe zur Sicherheit sofort mein amazon Passwort geändert und meine Daten gelöscht, aber ich vermute mal, dass ein datenzugriff wenn eh automatisiert durch die Nutzung des Links erfolgt wäre…
S.o.S!
Kommentar by Scully — 5. Januar 2014 @ 07:14
Wenn der Link mit einem iPhone geöffnet wurde, besteht wohl eher keine Gefahr.
Kommentar by virenkiller — 5. Januar 2014 @ 12:13
Hallo virenkiller,
ich habe leider auch den Link mit zip geöffnet noch am Montag und sofort mein Virusscanner McAfee gestarrtet. Am Montag hat der scanner noch nichts gefunden. Aber heute am Mittoch habe ich noch mal den scanner laufen lassen und scheinbar hat er den Virus mit dem Name Artemis!A7FA698FA912 gefunden und schon gelöscht. Muss ich noch etwas machen? Vielen Dank für Ihre antwort.
Kommentar by Anna — 4. Juni 2014 @ 16:34
Hallo Anna,
ich würde empfehlen, den Virenscan zu wiederholen. Wenn er nichts mehr findet, dann dürfte alles sauber sein.
Kommentar by virenkiller — 4. Juni 2014 @ 18:27