Virenguard – Weblog

Nachdem es die letzten Tage kaum neues zu berichten gab, kam heute mal wieder eine neue Trojaner-Mail. Wie schon öfters, wird hier eine Mahnung genutzt um den Trojaner, der sich im Anhang in einer zip-Datei befindet, einzuschleusen. Kaspersky Antivirus erkennt allerdings den Inhalt als Trojan-Downloader.Win32.delf.awi und löscht ihn. Auf der erwähnten Seite weist der Inhaber auf die Trojaner-Mail hin.

Thieler Rechtsanwaltsgesellschaft mbH
Am Perlachberg 3
86150 Augsburg
Letzte Mahnung

Aktenzeichen: 103033/54
Osnabrück, den 21.05.2007

Bitte geben Sie Ihr Aktenzeichen bei jeglichem Schriftverkehr und Zahlungen immer an.

Sehr geehrte Mitglied,

hiermit zeige ich die Interessenvertretung der Firma INTcom GmbH, Vor der Hube 3, D 64571 Büttelborn an.
Ordnungsgemäße Bevollmächtigung wird anwaltlich versichert. Meine Mandantschaft macht gegen Sie folgende Forderung geltend:

Rechnung vom 29.04.2007 aus Dienstleistungsvertrag mit der Rechnungsnummer R691182 für die Anmeldung vom 29.04.2007 um 14:51 Uhr auf der Internetseite PayForFun . de mit folgender IP: 217.550.139.43.

Sie schulden meiner Mandantschaft daher 56,16 EUR.

Da Sie sich in Verzug befinden, sind Sie gegenüber meiner Mandantschaft verpflichtet, die durch meine Tätigkeit entstandenen Gebühren zu erstatten.
Dazu kommt noch der Mahnungsgebühr in höhe von 5 Euro

Das Originalrechnung sowie auch die Beweismittel finden Sie im Anhang.
Bitte behalten Sie das Original Rechnung unbedingt für Ihre Unterlagen.

Liquidation:

1,3 Geschäftsgebühr, Nr. 2300 VV 03,50 EUR

Auslagenpauschale, Nr. 7002 VV 8,50 EUR

Der von Ihnen zu zahlende Gesamtbetrag beläuft sich somit auf 41,00 EUR.

Ich fordere Sie auf, den Gesamtbetrag, innerhalb einer Frist von 3 Tagen, also bis zum 27.05.2007 (hier eingehend) auszugleichen.

Bitte überweisen Sie diesen Betrag auf das unten angegebene Konto. Sollte der Gesamtbetrag nicht fristgerecht eingehen, werde ich meiner Mandantschaft empfehlen, die Forderung ohne weitere außergerichtliche Ankündigung, gerichtlich geltend zu machen, wodurch weitere Kosten zu Ihren Lasten entstehen.

Wir möchten in diesem Zusammenhang auf die bereits ergangenen Urteile verweisen, welche Sie auf der Internetseite www . forderungseinzug . de einsehen können.

Bei der Anmeldung auf oben genannter Internetseite wurde die zu diesem Zeitpunkt übermittelte IP-Adresse gespeichert. Die IP-Adresse ermöglicht den Strafverfolgungsbehörden, im Falle einer strafrechtlichen Ermittlung, die Identifikation des PC’s, der zum Zeitpunkt der Anmeldung genutzt wurde.

Als weitere Sicherheitsinstanz ist auf oben genannter Internetseite das Geburtsdatum des Users eingegeben worden. Sollte sich bei einer weiteren überprüfung der Daten herausstellen, dass ein falsches Geburtsdatum eingegeben wurde, ist von einem Betrugsdelikt auszugehen. In diesem Fall hätte sich eine gegebenenfalls minderjährige Person eine Leistung erschlichen, die ihr nicht hätte bereitgestellt werden dürfen. Hier behalte ich mir im Namen meiner Mandantschaft die Erstattung einer Strafanzeige vor. Die dabei anfallenden Kosten und Auslagen sind gegebenenfalls gegen Sie geltend zu machen.

Mit freundlichen Grüßen

Olaf Tank
Rechtsanwalt

Thieler Rechtsanwaltsgesellschaft mbH
Am Perlachberg 3
86150 Augsburg

Bankverbindung Ausland: Postbank Hannover IBAN DE06 2501 0120 0077 6673 07, BIC: PBNKDEFF

Bankverbindung Deutschland: Postbank Hannover Kontonummer: 77 612 307, BLZ 250 100 30

Bitte geben Sie als Zahlungsempfänger unbedingt Thieler Rechtsanwaltsgesellschaft mbH an und Ihr Aktenzeichen als Verwendungszweck.

In letzter Zeit gibt es nicht viel neues zu berichten. Die meisten SPAM- und Trojanermails werden entweder von Kaspersky entschärft oder vom Junkfilter von Thunderbird aussortiert. So kann das ruhig weiter gehen. Vielleicht kapieren es die Hacker dann irgendwann, das es sich nicht mehr lohnt und das sie lieber was ordentliches lernen und arbeiten sollten.

Zur Zeit wird mal wieder eBay als Absender genutzt, um Trojaner auf den PC zu schleusen. Es wird auf ein eBay-Layout verzichtet, so dass man quasi gezwungen ist, auf den Link zu klicken. Verlinkt ist aber nicht eBay sondern www. eandi .co .kr. In dieser Seite ist ein Iframe eingebunden, welches auf die Adresse 203 .223. 158. 26/ produkt/ führt. Und hier sind, wie schon in den vielen anderen Mails, Exploits enthalten, die einen Trojaner auf den PC einschleusen.

Also auch hier gilt: Nicht auf den Link klicken!

Thunderbird kennzeichnet die eMail als möglichen Betrugsversuch und hat ihn auch gleich in den Junkordner geschoben. Der Provider hat die eMail als SPAM erkannt und entsprechend markiert.

eBay spricht die Mitglieder auch immer mit dem Mitgliedsnamen an. Also wenn er fehlt, dann ist das schon ein Indiz, das etwas mit der Mail nicht stimmt.

Betreff: Ihr Konto wurde gesperrt

Guten Tag! Beim Kaufen in unserem Internet-Shop war ein Fehler vorgekommen, weswegen Ihr Konto gesperrt wurde. Um das Konto wieder freizugeben, folgen Sie bitte diesen Link http:// ebay.de/ online/

Die heutige Mail ist nicht neu, kam aber bei uns heute das erste Mal im Postfach an. Angeblich haben wir uns bei einer Pornoseite angemeldet und nun wird mit Schufa-Eintrag und Vollstreckunsgmaßnahmen gedroht, wenn wir nicht die Rechnung bezahlen. Im Anhang befindet sich dann auch gleich eine rechnung.zip. Kaspersky konnte heute noch keinen Schadcode in der Zip-Datei entdecken, es wird aber trozudem mit Sicherheit ein Trojaner enthalten sein. Neben dem Trojanerversand ist es natürlich auch gleich Werbung für die Pornoseite, denn man möchte ja wissen, wo man sich angemeldet haben soll. Es kommt also noch SPAM dazu, welcher ein Joe-Job sein könnte. Mich würde interessieren, ob es Leute gibt, die die geforderten 50 Euro per Post nach München geschickt haben.

Betrifft: Ausstehende Zahlung – Androhung von Vollstreckungsmassnahmen und Schufa-Eintragung

Bitte lesen Sie sich diese Mail VOLLSTAENDIG und GRUENDLICH durch.

Sehr geehrter Kunde,

vor laengerer Zeit wurde unter IHRER EMAIL-ADRESSE ein Jahreszugang zu dem Erwachsenenservice privatamateure.com bestellt. Ihre Zugangsdaten sowie eine Rechnung erhielten Sie daraufhin per Mail. Eine Wiederholung Ihrer Zugangsdaten finden Sie weiter unten in dieser Mail hier.

Durch die Auswertung unserer Logfiles mit Hilfe einer neuen Software und der Verknuepfung mit unseren Buchungsdaten konnten wir nun feststellen, dass TROTZ MEHRFACHER NUTZUNG unseres Angebotes bislang keine Zahlung zu Ihrem Account vorliegt.

Bei JEDER BESTELLUNG und JEDEM ZUGRIFF AUF UNSERE MEMBERSEITEN protokollierten wir die IP-Nummer sowie den Zugangsknotenrechner (bei Ihrem Provider) mit. Mit Hilfe dieser Daten und der zugehoerigen Zeitstempel ist eine EINDEUTIGE IDENTIFIZIERUNG aller Besteller jederzeit moeglich, unabhaengig von den bei der Bestellung gemachten Angaben.

Wir werden diese Ueberpruefung nun aufgrund der ausstehenden Zahlung auch fuer die unter Ihrer Email-Adresse durchgefuehrte Bestellung einleiten. Mit Hilfe dieser Daten werden wir gerichtliche Vollstreckungsmassnahmen gegen Sie bzw. den tatsaechlichen Besteller veranlassen.

Sollten SIE SELBST die Bestellung zu privatamateure.com duchgefuehrt und bislang noch nicht bezahlt haben, empfiehlt es sich fuer sie nun UMGEHEND – spaetestens bis zum 07.06.2007- die Bezahlung zu veranlassen. Alle hierfuer benoetigten Daten finden Sie weiter unten in dieser Mail.

Sollte die Bezahlung ausbleiben und unsere Recherche ergeben, dass von IHREM COMPUTER AUS die Bestellung durchgefuehrt wurde, kommen weitere Kosten fuer die Adressrecherche SOWIE die dann sofort eingeleiteten gerichtlichen Vollstreckungsmassnahmen auf Sie zu. Falls Sie bei der Bestellung zusaetzlich falsche Angaben (Name, Adresse…) gemacht haben, stellen wir bei fortbestehendem Zahlungsverzug ZUSAETZLICH Anzeige wegen Betruges.

Sollten Sie bestellt und nicht bezahlt haben und uns NICHT glauben, dass Ihre Identitaet ermittelbar ist, dann warten Sie einfach ab…

Mit freundlichen Gruessen,

A. Meier
privatamateure.com Billing-Team

————— IHRE ZUGANGSDATEN:

So erhalten Sie Zugang zum Memberbereich:

Bitte gehen Sie auf http ://www. privatamateure. com, klicken Sie ganz unten auf MITGLIEDEREINGANG und verwenden Sie als Userdaten:

Username: wnads
Passwort: 38713

—————————————————————————

————– BEZAHLEN SIE SCHNELLSTMOEGLICH: ———

Bitte per Brief das Geld (50 Euro Schein) umgehend schicken an:

A. Meier
Brienner Str. 50
80333 Muenchen

Betreff: 2007 / hhoal – BD

Nur durch sofortige Zusendung des Bargeldes ist die Vermeidung eines Schufa-Eintrages konkludiert.

Fuer kostenguenstige Ueberweisungen aus dem Euro-Ausland:
IBAN: DE60 5705 0120 0101 6613 12 , SWIFT-BIC: MALADE51KOB

Betrag: 39 Euro Mitgliederbeitrag zzgl. 11 Euro Mahn- und Schufa-Meldegebuehren: 50 Euro
—————————————————————————

SIE GLAUBEN, DIESE MAIL UNBERECHTIGT EMPFANGEN ZU HABEN?
——————————————
Wenn Sie der Meinung sind, diese Mahnung zu Unrecht erhalten zu haben, kann dies die folgenden Gruende haben:

1.) Falls Dritte Ihre Emailadresse zur Bestellung unseres Dienstes verwendet haben, werden wir dies mit Hilfe der Adressrecherche ueber die mitprotokollierten IP-Nummern, Knotenrechner und einige weitere Daten feststellen. Wenn die Bestellung also weder von Ihnen selbst, noch von einer Person in Ihrem Umfeld VON IHREM COMPUTER AUS durchgefuehrt wurde, muessen Sie auf diese Mail hier NICHT reagieren. Wir wenden uns nach der Recherche direkt an den eigentlichen Besteller.

2.) Falls Ihnen in einem frueheren Schriftwechsel eine Stornierung der Forderung zugesagt wurde, senden Sie uns unser Bestaetigungsmail an Sie bitte noch einmal zu.

3.) Falls Sie bereits bezahlt haben, konnten wir offenbar die Bazahlung bisher nicht zuordnen. Dies kommt aufrund von unvollstaendig uebermittelten Betreffangaben bei ueberweisungen aus dem In- und Ausland leider hin und wieder vor. Bitte MAILEN Sie uns in diesem Fall kurz das Datum Ihrer Bezahlung sowie den verwendeten Namen und den Betreff.

Onlinedurchsuchungen sind derzeit ein heisses Thema. Die Trojaner-Versender greifen das Thema auch auf und wollen so zum öffnen der angehängten NR-[89443495].zip verleiten. Bei uns kam die Zip-Datei nicht an, da sie bereits vor dem eintreffen gelöscht wurde.

Nachtrag: Nun kam über eine andere eMail doch die Zip-Datei ins Postfach. Kaspersky hat aber den Inhalt erkannt und gelöscht. Die in der Zip-Datei befindliche aktenzeichen.exe beinhaltet den Trojan-Downloader.Win32.Nurech.bm.

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: 81.163.121.168

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – 970738

Fax: 06131 – 970731
Mobil: 0171 – 7504699
Mail: Hcklein 51 @ aol.com

Heute erhielten wir von Microsoft eine neue Beta Version den Internet Explorer 7 zugesandt. Nun, wer dann wirklich die update.exe herunterlädt hat mit Sicherheit keinen aktuellen Browser sondern ein Trojaner-Problem. In der eMail ist nur eine Grafik zu sehen, im Quelltext allerdings eine Menge Text um wahrscheinlich Spamfilter zu täuschen.

PC-Welt berichtet auf Ihrer Website vom Comeback des Sober-Wurms. Im Anhang befindet sich eine ZIP-Datei mit unterschiedlichen Namen wie “Passw_Data<Zahl>.zip”, “PDaten<Zahl>.zip”, “Mail_Data<Zahl>.zip” oder “Anleitung<Zahl>.zip”. Darin steckt der Wurm als “Winzipped_Data-Files.exe” mit einer Größe von 88 KB.

Das Protokoll von Kaspersky zeigte bei uns noch keine solchen Anhänge, aber ähnlich klingende, die wir in Thunderbird gar nicht erst zu Gesicht bekommen.

Erneut werden angebliche Rechnungsmails verschickt. Diesmal wird als Absender Mindfactory, ein Computer-Onlineshop, verwendet. Auch hier ist keine Datei im Anhang, sondern eine Website verlinkt, die einen Exploit beinhaltet, um einen Trojaner auf den PC zu laden.

Wie immer gilt: Auf keinen Fall auf den Link klicken.

Guten Tag! Vielen Dank für den Kauf in unserem Shop. Es wurde von Ihrem Konto der Betrag in Höhe von EUR 199 abgebucht. Die Kontobilanz sowie den Kaufzettel können Sie hier abrufen: http:// geocities .com/ PrudiSeumas 3666

Kaum habe ich den Beitrag über günstige Flüge eingegeben, sind schon wieder neue Mails im Postfach. Diesmal haben wir ein Nokia-Handy gekauft und sollen uns die Quittung auf einer koreanischen Seite abholen.

Dort ist natürlich nichts ausser ein Serverfehler 500 zu sehen. Auch hier ist ein Iframe mit JavaScript-Exploit eingebunden, der Schwachstellen im Browser angreift und einen Trojaner auf dem PC herunterlädt. Die IP der Servers wo der Exploit abgelegt ist, ist dieselbe, wie bei der vorherigen Mail.

Nicht auf den Link klicken!

Hallo! Vielen Dank fuer den Kauf von NOKIA 8800. Die Quittung sollten Sie per Mail bekommen haben. Falls bei Ihnen nichts eingetroffen ist, so bitte folgen Sie den nachfolgenden Link und bekommen Sie die Quittung im HTML Format. http:// linksysvoip.co .kr/bbs /admin.htm
Sie koennen uns auch eine Anfrage senden, so dass wir Ihnen diese Quittung nochmals  zukommen lassen.
Vielen Dank fuer Ihr Verstaendnis!

Eine Neuauflage der IFrame-Trojaner-Mails ist heute bei uns im Postfach gelandet. Diesmal ist es kein mordender Asiate in Münschen oder Ufos in der Berliner U-Bahn, sondern günstige Flugreisen durch ganz Europa.

Diesmal wird auf die schon öfters verwendete Domain overturekorea.biz verlinkt, die den Iframe zum Exploit beinhaltet.

Also, wie immer gilt: Nicht auf den Link klicken!

Achtung! In diesem Sommersaison fuehrt die Gesellschaft  “Berliener Airlines” eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen. Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich! Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter http:// overturekorea .biz/