Thema: Virenpost diverses

[SiLæncer]

In dem angehängten
Zip-Archiv befindet sich
eine ausführbare Datei
mit PDF-Icon.

Unbekannte verschicken derzeit massenhaft Virenmails mit dem Betreff "Ein Fehler in der Lieferanschrift", die vermeintlich von der Deutschen Post AG stammen. Wer seinen Rechner damit infiziert, wird damit nicht nur selber sofort zur Virenschleuder, sondern auch zur Angriffsdrohne: Direkt nach der Infektion beginnt der Trojaner, PHP-Seiten im Internet anzugreifen und versucht dort, eine Hintertür zu installieren.

Der Empfänger der Mail wird aufgefordert, mit Hilfe des Mailanhangs ein Postetikett auszudrucken und damit eine Sendung bei der Post abzuholen. Die angehängte gezippte Exe-Datei wird derzeit nur von einer Hand voll Virenscanner erkannt. Bei einem Kurztest in einer Sandbox wurde allerdings sofort klar, dass es sich um einen Schädling handelt.

Der Bot versucht eine Reihe von Webserver
durch eine PHP-Lücke anzugreifen.

Nachdem sich die Malware in den Autostart geklinkt und in einen Ordner innerhalb des Benutzerprofils kopiert hat, verwischt sie ihre Spuren, indem sie die ursprüngliche Exe-Datei löscht. Der Bot startet anschließend vom infizierten System aus einen Massenangriff auf zahlreiche Webseiten: Durch den Aufruf speziell formatierter URLs versucht der Bot festzustellen, ob ein Server anfällig für eine PHP-Lücke anfällig ist, die erst vor wenigen Wochen geschlossen wurde. Die Wahrscheinlichkeit ist hoch, dass der ein oder andere Admin seinen Server noch nicht auf den neuesten Stand gebracht hat. Der Bot versucht dabei, eine Datei namens info3.txt in die aufgerufene Seite einzuschleusen, die folgenden PHP-Code enthält:

Code: [Auswählen]

<?php
echo("830ad4ea3b311795d5a615b9e5fdbb9a");
?>

Während des Angriffs versendet der Bot
Spam-Mails, um neue Bots anzuwerben.

Anscheinend prüft der Bot, ob der Server den Code ausführt und die Zeichenkette zurückliefert; in diesem Fall wäre der Server verwundbar. Wandelt man die URL der eingeschleusten info3.txt leicht ab, findet man weiteren PHP-Code, der offenbar dazu dient, eine PHP-Shell auf dem angegriffenen Server zu installieren. Dadurch hätten die Botnetz-Betreiber schlimmstenfalls die volle Kontrolle über den Server – ein Angriff, der zunächst auf die IP-Adresse des infizierten Rechners zurückfällt. Damit das Botnetz der Kriminellen tüchtig wächst, versendet der Bot während der Angriffs weitere Virenmails, wie sie einst der Besitzer des infizierten Systems empfangen hat.

Quelle : www.heise.de

[SiLæncer]

Kreativ ist es nicht gerade, was tagtäglich an Spam in deutschen E-Mail-Postfächern landet - aber mitunter gefährlich. Die Verbraucherzentrale Rheinland-Pfalz warnt aktuell vor E-Mails, die angeblich von der Erotik-Kontaktseite "MyDirtyHobby" stammen und zur Zahlung einer angeblich abgeschlossenen Mitgliedschaft auffordern.

Trojaner im Gepäck

Brisant ist der als Rechnung deklarierte Anhang im ZIP-Format. Wie in vielen früheren Fällen enthält auch dieser Schadsoftware, die den Computer beim Öffnen der Datei infiltrieren kann. Um den Nutzer zum Entpacken des Archivs zu bewegen, setzen die unbekannten Online-Kriminellen auf Drohungen.

So werde ein Inkassobüro oder Anwalt eingeschaltet, sollte der angeblich offene Betrag nicht beglichen werden, heißt es eindringlich. Als Absender ist die "Finanzabteilung MyDirtyHobby" aufgeführt; die aus Zypern stammende Betreiberfirma des Erotik-Portals distanziert sich auf ihrer Homepage allerdings ausdrücklich von den Mails.

Gleiche Masche, andere Namen

Betroffenen ist in jedem Fall dringend anzuraten, keinesfalls den Anhang zu öffnen und die Nachrichten umgehend zu löschen. Wer dies bereits getan hat, sollte sein System umgehend mit aktuellen Sicherheitsprogrammen überprüfen. Eine Auswahl aktueller Anti-Viren-Tools findet sich etwa auf der Website des Anti-Botnet-Beratungszentrums.

Gleiches gilt bei Varianten der identischen Masche mit anderen Firmennamen. So flatterte onlinekosten.de erst vor kurzem eine ähnlich aufgebaute Spam-Mail ins Postfach, die als Absender einen großen deutschen Computerhändler auswies. Auch hier sollte ein Anhang geöffnet sowie ein dreistelliger Euro-Rechnungsbetrag gezahlt werden. In anderen Fällen wurden Fake-Mails des Schnäppchenportals Groupon oder nachgeahmte Telekom-Rechnungen für die Verbreitung von Malware genutzt.

Quelle : http://www.onlinekosten.de

[SiLæncer]

Wer eine angebliche Zahlungsaufforderung eines Inkasso-Anwalts in seinem Posteingang vorfindet, sollte zwei Mal hinschauen, ehe er den Anhang öffnet: Online-Gauner versendet derzeit gut gemacht Anwaltsschreiben, laut denen der Empfänger eine Rechnung nicht gezahlt und nun mit zusätzlichen Inkassogebühren zu rechnen hat.

Der Empfänger wird mit seinem echten Namen angesprochen, der geforderte Betrag sowie die Namen von Onlineshop und Anwalt variieren. Im Anhang befindet sich – wenig überraschend – ein gezippter Trojaner.

Die aktuell versendeten Mails sind wie folgt aufgebaut:

Betreff: Rechnung Inkasso Mandantschaft an [Vorname Nachname] [Onlineshop]
Sehr geehrte/r [Vorname Nachname],
durch die Bestellung vom [Datum] haben Sie sich gesetzlich verpflichtet die Rechnung von [Betrag] Euro an [Onlineshop] zu zahlen.

Der Betrag ist bis jetzt nicht bei unseren Mandanten eingegangen.

Weiterhin sind Sie aus Gründen des Verzuges gezwungen die Kosten unserer Leistung zu tragen.

Unsere Anwaltskanzlei wurden von [Onlineshop] beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde anwaltlich schriftlich versichert.

Die zusätzlichen Kosten unserer Beauftragung errechnen sich gemäß folgender Kostenrechnung:

----------------
[Betrag] Euro (nach Nummer 3161 RGV)
[Betrag] Euro (Vergütung gemäß RVG § 4 Abs. 1 und 2)
----------------

Wir zwingen Sie mit Kraft unserer Mandantschaft den gesamten Betrag auf das Bankkonto unseren Mandanten zu überweisen. Die Kontodaten und die Lieferdaten Ihrer Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung setzten wir Ihnen eine letzte Frist bis zum [Datum].

Mit freundliche Grüßen [Anwalt]

Wer eine solche Nachricht empfängt und sie die Forderung nicht erklären kann, sollte sie ungesehen löschen. Auf das Virenschutzprogramm sollte man sich in solchen Fällen nicht verlassen. Die Cyber-Ganoven verändern die Schädlinge vor dem Versand häufig so, dass sie nicht von den Virenscannern erkannt werden. Es dauert dann einige Stunden, bis die Antivirenfirmen ihre Signaturdatenbanken angepasst haben.

Quelle : www.heise.de

[Jürgen]

Kam hier auch auf einem meiner Accounts an.

Sehr geehrter Schlecker Online GmbH AG Kunde ***,

durch Ihre Bestellung vom 04.05.2013 haben Sie sich vertraglich verpflichtet=
 den Betrag von 169,00 Euro an unseren Mandanten zu zahlen.

Für wie blöd halten die uns eigentlich?
Ich zitiere mal aus Wikipedia:"Anton Schlecker e.K. i.I. war ein 1975 von Anton Schlecker gegründetes Unternehmen mit Sitz in Ehingen (Donau). Schlecker betrieb bis zum 27. Juni 2012 Drogerie-Filialen (auch unter der Marke Ihr Platz), Versandhandel per Onlineshop und Katalog, Bau- und Möbelmärkte sowie Tankstellen.

Am 23. Januar 2012 stellten Anton Schlecker, der Alleininhaber der Firma Anton Schlecker e.K., sowie die Tochtergesellschaften Schlecker XL GmbH und Schlecker Home Shopping GmbH[4] beim Amtsgericht Ulm Antrag auf Eröffnung eines Insolvenzverfahrens"Also stimmt die Firmenbezeichnung absolut nicht, und die angebliche Bestellung liegt sowieso weit über ein Jahr nach der Insolvenz.

Ganz perfide ist dann der Schluß des Schreibens (ex Quelltext):

Code: [Auswählen]

Mit freundliche Gr=C3=BC=C3=9Fen Aileen Hoffmann Rechtsanwalt

____________
Virus checked by G DATA AntiVirus
Version: AVF 22.734 from 05.06.2012
Virus news: www.antiviruslab.com
Das kann natürlich jeder behaupten.

Den im Format base64 / octet-stream kodierten Anhang vermögen viele Antiviren-Produkte nicht vor dem Öffnen zu erkennen.
Letzteres werde ich aber ganz sicher nicht ausprobieren.

Zum Schluß hier noch ein paar Headerdaten, natürlich um meine E-Mail-Adresse bereinigt:

Code: [Auswählen]

Delivery-Date: Mon, 17 Jun 2013 14:06:29 +0200
Received: from smtpout.mobistar.be (smtpout2.mobistar.be [80.12.17.3])
by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis)
id 0MfosG-1V0ZHN0rAK-00NL6k for ********; Mon, 17 Jun 2013 14:06:29 +0200
Received: from PC20 ([217.237.108.134])
by mwinf8507-out with ME
id pQ6P1l0092u18FM03Q6PYa; Mon, 17 Jun 2013 14:06:25 +0200
Message-ID: <be4bfe6f2f333547d18fb4c5bae31604@mwinf8507-out.me-wanadoo.net>
Date: Mon, 17 Jun 2013 12:06:18 -0000
From:  "Aileen Hoffmann Rechtsanwalt" <sumah.niko@mobistarmail.be>Viel Mühe hat man sich wirklich nicht gegeben.

Kein Anwalt wird je eine dienstliche Mail versenden, bei der sein Name so gar nicht mit der Mail-Adresse zusammen passt.
Und sicher wird er auch keine belgischen Server verwenden.

Im Übrigen sind solche Forderungen per E-Mail sowieso unzulässig, rechtlich wirkungslos und stehen in krassem Widerspruch auch zu den Regeln der Anwaltskammer.
Ach ja, Anwälte, die hierzulande irgendwelche Vertretungsrechte ausüben, können normalerweise auch mit Umlauten umgehen. Dieser Galgenvogel aber nicht.

Mühe geben sollte sich aber jeder Empfänger umso mehr, gerade bei so einer scheinbar heiklen Angelegenheit.
Schließlich rechnet wohl kaum jemand mit
Dazu gehört selbstverständlich, dass man seinen Mailer so konservativ einstellt, dass keinerlei automatische Vorschau erfolgt UND keinerlei externe Komponenten nachgeladen werden.
Und dass man sich erinnert, wo in ihm die Quelltext-Darstellung "versteckt" ist...

Sehr bedenklich ist allerdings, dass ich diese betroffene E-Mail-Adresse überhaupt nur für den Umgang mit einer einzigen deutschen Behörde eingerichtet und verwendet habe, und der jegliche Weitergabe von vornherein auch schriftlich verboten.
Entweder hat also der Datenschutz dieser Behörde ein schweres Leck, oder mein dafür verwendeter E-Mail-Provider  

Jürgen