Spam mit getürkten Rechnungen und kostenlosem Trojaner
Spam von diversen “Rechnungsstellen” wieder im Umlauf: Soeben schlugen massenhaft nette Spam E-Mails in meinem Outlook ein und wurden leider nicht von Bitdefender als solche erkannt… Der Verfasser dieses Spams scheint diesmal aus Deutschland zu kommen, obwohl die Mails natürlich nicht über einen deutschen Server verschickt wurden.
Vorsicht: Spam E-Mail mit Datei Rechnung.zip enthält einen Trojaner:
Auch wenn sich die Texte dieser neuen Attacke inhaltlich fast komplett unterscheiden, so enthalten alle Mails die Datei “Rechnung.zip” als Anlage… Vorsicht: diese Datei NICHT entpacken oder öffnen, da hier 2 Dateien enthalten sind:
- Rechnung.txt (KEINE Textdatei, sondern eine Verknüpfung!)
- zertifikat.sll (der eigentliche Schadcode)
Wer die “Textdatei” Rechnung.txt öffnet ist ebenfalls angeschmiert, denn diese ist lediglich eine Verknüpfung auf die ausführbare SSL-Datei und dann wird: “%windir%\system32\cmd.exe /c zertifikat.ssl” ausgeführt… dumm gelaufen, zumal auch die SSL von offenbar keinem Virenprogramm als schadhaft erkannt wird.
Mehr Informationen zum aktuellen Virenalarm:
- Viren Spam E-Mails und kein Ende Update 2
- Ebay Abmahnung von Gravenreuth ist ein Fake Mahnung.zip enthält Virus!
- Rechnungen mit Trojaner bzw. Wurm im Umlauf Update 1
- Spam mit getürkten Rechnungen und kostenlosem Trojaner
Nachtrag zum Update von heute Nachmittag:
Betreff: [wichtiger hinweis nr46636 proinkasso gmbh] Enthaltener Virus: [Trojan.Agent.AKTB]
Beschreibung: http://www.bitdefender.com/vfind/?q=Trojan.Agent.AKTB und Betreff: [amtsgericht 724417]
Die E-Mails haben derzeit folgende Betreffzeilen:
- Auflistung der Kosten
- 1 Rate
- Lastschrift
- Abbuchung erfolgt
- Amtsgericht Koeln
- Abbuchung
- Forderungsmanagement
- etc.
Hier ein paar Textbeispiele der aktuellen “Rechnungen”:
Sehr geehrte Damen und Herren! Die Anzahlung Nr.470888936337 ist erfolgt Es wurden 1796.00 EURO Ihrem Konto zu Last geschrieben. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung. Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung TESCHINKASSO Forderungsmanagement GmbH Geschaeftsfuehrer: Siegward Tesch Bielsteiner Str. 43 in 51674 Wiehl Telefon (0 22 62) 7 11-9 Telefax (0 22 62) 7 11-806 Ust-ID Nummer: 212 / 5758 / 0635 Amtsgericht Koeln HRB 39598
oder hier:
Hallo Ihr Abbuchungsauftrag Nr.42172436 wurde erfullt. Ein Betrag von 426.62 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Vattenfallabbuchung ” angezeigt. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung. Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung Vattenfall Europe AG Chausseestra?e 23 10115 Berlin Vertretungsberechtigter: Karl Treumeier Umsatzsteuerident-Nummer: DR123052388 Handelsregisternummer HRB 74215B
dann hätte ich noch:
Sehr geehrte Damen und Herren! Die Anzahlung Nr.456824543128 ist erfolgt Es wurden 3274.33 EURO Ihrem Konto zu Last geschrieben. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung. Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung TESCHINKASSO Forderungsmanagement GmbH Geschaeftsfuehrer: Siegward Tesch Bielsteiner Str. 43 in 51674 Wiehl Telefon (0 22 62) 7 11-9 Telefax (0 22 62) 7 11-806 Ust-ID Nummer: 212 / 5758 / 0635 Amtsgericht Koeln HRB 39598
oder diese hier:
Sehr geehrte Damen und Herren! Die Anzahlung Nr.921388005978 ist erfolgt Es wurden 0708.00 EURO Ihrem Konto zu Last geschrieben. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung. Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung TESCHINKASSO Forderungsmanagement GmbH Geschaeftsfuehrer: Siegward Tesch Bielsteiner Str. 43 in 51674 Wiehl Telefon (0 22 62) 7 11-9 Telefax (0 22 62) 7 11-806 Ust-ID Nummer: 212 / 5758 / 0635 Amtsgericht Koeln HRB 39598
und diverse andere Varianten anzubieten… Die Adressangaben innerhalb der E-Mail sind mit Sicherheit gefälscht und die betroffenen Personen ahnen wahrscheinlich noch nichts von ihrem “Glück”… also doppelt ärgerlich!
UPDATE vom 24.10.2008 – 14:30 Uhr:
Rechnungen mit Trojaner Rechnung.zip mit Win32.Worm.Autorun.NT: Update 1
Und da der Tutsi eben gerade noch 24(!) dieser beschissenen Spam E-Mails mit dem Dateianhang Rechnung.zip erhalten hat, hier die neuesten Varianten:
Sehr geehrte Damen und Herren, vielen Dank fur Ihre Anmeldung bei stayfriends.de Sie haben Sich fuer unseren kostenpflichtigen Suchservice entschieden. 182,68- Euro werden Ihrem Konto fur ein Jahresvertrag zu Last gelegt. Wir mailen Ihnen alle Antworten auf Ihre Suchanfrage 2 Mal woechentlich zu, Sie koennen sich auch zu jeder Zeit einloggen und den aktuellen Stand einsehen. Entnehmen Sie Ihre Rechnung und den Zugang zu Ihrem Profil den unten angefuehrten Anhang. Bitte diesen genauestens durchlesen und bei einer Unstimmigkeit uns kontaktieren. Zum Lesen wird kein zusaetzliches Programm benoetigt.Falls die Anmeldung von einer dritten Person ohne Ihre Zustimmung durchgefuehrt wurde, fuehren Sie unverzueglich, den in dem Anhang aufgefuehrten Abmeldevorgang aus.Der Widerspruch ist nach unseren AGB’s innerhalb von 7 Tagen schriftlich zulaessig! Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen per Post zugestellt. mit freundlichen Gruessen StayFriends GmbH Postanschrift StayFriends GmbH Neustaedter Kirchenplatz 1a D-91054 Erlangen USt-IdNr. USt-IdNr. DE228247780 Amtsgericht Fuerth HRB 10669
und dann netterweise auch noch:
Sehr geehrte Damen und Herren, Usenet GmbH – usenext.de 73,44 EUR Beate Uhse GmbH beate-uhse.de 27,64 EUR bisherige Mahnkosten unserer Mandanten: 41,25 EUR vorgerichtliche Inkassogebuehren: 47,25 EUR noch offener Gesamtbetrag inklusive unserer Bearbeitungskosten: 759,51 EUR bislang ist der von uns angemahnte Betrag nicht ausgeglichen worden! Als Vertragspartner der SCHUFA Holding AG weisen wir darauf hin, dass wir Daten ueber aussergerichtliche und gerichtliche Einziehungsmassnahmen bei ueberfaelligen und unbestrittenen Forderungen an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, uebermitteln. Vertragspartner der SCHUFA sind vor allem Kreditinstigute sowie Kreditkarten- und Leasinggesellschaften. Moechten Sie diese Schritte vermeiden, zahlen Sie bitte bis zum 09.12.2008 Ihren Schuldbetrag unter Angabe Ihres Aktenzeichens (siehe Anhang) auf die in der Auflistung genannte Bankverbindung. Die detailierte Auflistung Ihrer Rechnungen, Mahngebuehren und die Zahlungs bzw. Wiederspruchshinweise finden Sie im Anhang. Mit freundlichen Gruessen Ihr Proinkasso Team Dieser Brief wurde maschinell erstellt und ist deshalb ohne Unterschrift gueltig
Alarice Gotze - jhswtjue@blight.mandp.com
- Dalton Glover – akstcvancomnsdgs@vanco.net
- Liza Dahl – dwpridesurveysm@pridesurveys.com
- Annamaria Lenzen – xodvsdav@brainpower-hkg.com
- Sibylle Jungbluth – efnvk@bltin.com
- Katja Stier - fwwynwefl@bmew.com
Aber dies werden wohl nicht die einzigen “Absender” sein, die in der Welt kursieren, deswegen hier noch die technischen Angaben:
- Received: from [123.24.138.235] by cluster8.eu.messagelabs.com
- Received: from [94.75.17.93] by peabody.kelvin.net
- Received: from toji9icka (unknown [94.50.159.180])
- Received: from ???????? (unknown [90.150.43.69])
- Received: from microsof-456f54 (unknown [91.193.33.224])
- Received: from net170.144.91-231.omskdom.ru (net170.144.91-231.omskdom.ru [91.144.170.231])
Offenbar ist der Spammer doch etwas professioneller, oder es ist mal wieder ein ganzes Botnetz am Start… wir werden sehen, was die nächsten Tage bringen, also Vorsicht vor diesen E-Mails!
Siehe hierzu auch folgende Schlagwörter: Abbuchung, Abzocke, E-Mail, Rechnung, Rechnung.txt, Rechnung.zip, Spam, Spam Rechnung, Trojaner, Virus, Zertifikat.sslDer Artikel befindet sich in folgenden Kategorien: böse böse... Computer Internet und DSL Spam und Dreck UseNeXT Dieser Artikel wurde am 24. Oktober 2008 – 10:23 Uhr durch die Redaktion von Tutsi.de veröffentlicht und wer zu allen Themen auf Tutsi.de schnell und aktuell informiert werden möchte, sollte natürlich unseren RSS Newsfeed abonnieren und uns bei Twitter und auf Facebook folgen... Eure Meinung und Erfahrungen zu diesem Thema bitte einfach in die Kommentare schreiben und wir würden uns natürlich auch über Eure Empfehlungen via Twitter, Facebook und anderen sozialen Netzwerken freuen, wobei einer Ausgabe unseres Feeds auf kommerziellen Seiten ausdrücklich widerprochen wird... also erst fragen, dann einbinden! Sobald wir weitere Informationen erhalten, wird der Artikel: Spam mit getürkten Rechnungen und kostenlosem Trojaner nach bestem Wissen und Gewissen akualisiert. Die Redaktion von Tutsi.de ist Mitglied im deutschen Verband der Pressejournalisten. Bitte beachtet, dass jede Publikation nur den Stand der Dinge zum jeweiligen Zeitpunkt der Veröffentlichung wiedergibt. Bei Rückfragen sind wir sowohl telefonisch, als auch via E-Mail jederzeit zu erreichen.
| Twittern |
Derzeit 9 Kommentare zum Artikel:
Spam mit getürkten Rechnungen und kostenlosem Trojaner
Tja mich hats auch erwischt warum wird einem sowas nciht übers fernsehen vermittelt. Nun muss ich den trojaner erstmal wieder loswrden …
Kommentar von: Zip999 geschrieben am: Freitag, 24. Oktober 2008
Solche Mails bekomme ich bestimmt 20-30 Mal am Tag.
Gerade vor knapp einer Minute noch ne Mail von fwwynwefl@bmew.com erhalten.
Kommentar von: Entertainment-Life geschrieben am: Freitag, 24. Oktober 2008
Inkassos verschicken zu 99% keine Emails. Hab selber mal bei einem gearbeitet daher weiß ich das. Hab diese schicken Mails auch schon bekommen. Aber am lustigsten ist der letzte Satz noch ” Dieser Brief wurde maschinell erstellt” bei einer Email?! ;) *lach*
Kommentar von: Starreporter geschrieben am: Freitag, 24. Oktober 2008
Solche besch … Mails landen täglich mehrfach in meinem Postfach. Ich hab den Anhang mal aufgemacht, wohlwissend, dass mein MAc damit nix anfangen kann. Es stimmt, es waren eine Textdatei und ein exe-Datei für den PC. Solche Mails müssten als kriminell eingestuft werden. Meine Eötern bekamen auch so eine Mail und waren sehr besorgt. Zum Glück haben sie mich gleich angerufen und die Mail anschließend gelöscht, die ham nämlich nen PC und wenig AHnung, was im Netz wirklich los ist.
Kommentar von: Thomas Meyer geschrieben am: Freitag, 24. Oktober 2008
Das war mein Kommentar zu der ganzen Angelegenheit:
Da es sich hier ja wohl nur wieder um eine der vollkommen verblödeten Ideen handeln kann anderen Menschen das Geld aus der Tasche zu ziehen, teile ich Ihnen mit das ich zu keinem Zeitpunkt in irgendeiner Art und Weise jemals, weder mündlich noch schriftlich einen Vertrag mit Ihnen, Ihrer Abzockergemeinschaft oder sonst wem geschlossen habe.
Für diese unverschämte Art und Weise erlaube ich mir für diese Belästigung und für die Inbeschlagnahme meiner Kostbaren Zeit Ihnen eine Aufwandentschädigung in Höhe von 2.300,00 € in Rechnung zu stellen. Sollte der Betrag nicht innerhalb 7 Tage auf das Ihnen angeblich bekannte Konto eingegangen sein werde ich unverzüglich meiner Rechtsabteilung davon Kenntnis geben und direkt ohne jede weitere Anmahnung Gerichtlich gegen Sie vorgehen.
Desweiteren setze ich Ihnen den Betrag von 237,60 € In Rechnung um den durch Sie übermittelten Virus beseitigen zu lassen.
Daraus ergibt sich für Sie ein zu zahlender Gesamtbetrag in Höhe von 2.537,60 €, zahlbar innerhalb von 7 Tagen.
Da mir sowohl Ihre IP sowie Standort des Server und der Rechteinhaber bekannt sind ist es hier ein leichtes Ihnen den Riegel vor Ihre Machenschaften zu setzen. Die Daten sind bereits an die Bundesprüfstelle weitergeleitet worden.
Mit freundlichen Grüßen, der den Sie gerade vollkommen verarschen wollen (Hoffe es geht Ihnen genauso)
Kommentar von: Mikimaus geschrieben am: Samstag, 25. Oktober 2008