Virenguard – Weblog

Heute tauchte in unserem Posteingang eine sensationelle Nachricht auf. Den ganzen Beitrag lesen »

Eine neue Trojaner-eMail ist im Umlauf, die mitteilt, das das ebay-Konto gesperrt wurde. Wenn man allerdings die angegebene Adresse aufruft, die wie schon so oft nicht außer einer Fehlermeldung und einem Iframe enthält, wird versucht einen Trojaner zu installieren. Beim Aufruf meldet sich Kaspersky Antivirus und meldet den Trojan-Downloader.VBS.Psyme.fc und empfiehlt, die Verbindung zu blockieren. Dies sollte man auch tun. Also auf keinen Fall den Link der nicht zu ebay sondern zu einer Adresse bei geocities.com führt, anklicken!

Betreff: Ihr Konto wurde gesperrt

Guten Tag! Beim Kaufen in unserem Internet-Shop war ein Fehler vorgekommen, weswegen Ihr Konto gesperrt wurde. Um das Konto wieder freizugeben, folgen Sie bitte diesen Link http://ebay.de/online/

Zur Zeit wird mal wieder eBay als Absender genutzt, um Trojaner auf den PC zu schleusen. Es wird auf ein eBay-Layout verzichtet, so dass man quasi gezwungen ist, auf den Link zu klicken. Verlinkt ist aber nicht eBay sondern www. eandi .co .kr. In dieser Seite ist ein Iframe eingebunden, welches auf die Adresse 203 .223. 158. 26/ produkt/ führt. Und hier sind, wie schon in den vielen anderen Mails, Exploits enthalten, die einen Trojaner auf den PC einschleusen.

Also auch hier gilt: Nicht auf den Link klicken!

Thunderbird kennzeichnet die eMail als möglichen Betrugsversuch und hat ihn auch gleich in den Junkordner geschoben. Der Provider hat die eMail als SPAM erkannt und entsprechend markiert.

eBay spricht die Mitglieder auch immer mit dem Mitgliedsnamen an. Also wenn er fehlt, dann ist das schon ein Indiz, das etwas mit der Mail nicht stimmt.

Betreff: Ihr Konto wurde gesperrt

Guten Tag! Beim Kaufen in unserem Internet-Shop war ein Fehler vorgekommen, weswegen Ihr Konto gesperrt wurde. Um das Konto wieder freizugeben, folgen Sie bitte diesen Link http:// ebay.de/ online/

Kaum habe ich den Beitrag über günstige Flüge eingegeben, sind schon wieder neue Mails im Postfach. Diesmal haben wir ein Nokia-Handy gekauft und sollen uns die Quittung auf einer koreanischen Seite abholen.

Dort ist natürlich nichts ausser ein Serverfehler 500 zu sehen. Auch hier ist ein Iframe mit JavaScript-Exploit eingebunden, der Schwachstellen im Browser angreift und einen Trojaner auf dem PC herunterlädt. Die IP der Servers wo der Exploit abgelegt ist, ist dieselbe, wie bei der vorherigen Mail.

Nicht auf den Link klicken!

Hallo! Vielen Dank fuer den Kauf von NOKIA 8800. Die Quittung sollten Sie per Mail bekommen haben. Falls bei Ihnen nichts eingetroffen ist, so bitte folgen Sie den nachfolgenden Link und bekommen Sie die Quittung im HTML Format. http:// linksysvoip.co .kr/bbs /admin.htm
Sie koennen uns auch eine Anfrage senden, so dass wir Ihnen diese Quittung nochmals  zukommen lassen.
Vielen Dank fuer Ihr Verstaendnis!

Eine Neuauflage der IFrame-Trojaner-Mails ist heute bei uns im Postfach gelandet. Diesmal ist es kein mordender Asiate in Münschen oder Ufos in der Berliner U-Bahn, sondern günstige Flugreisen durch ganz Europa.

Diesmal wird auf die schon öfters verwendete Domain overturekorea.biz verlinkt, die den Iframe zum Exploit beinhaltet.

Also, wie immer gilt: Nicht auf den Link klicken!

Achtung! In diesem Sommersaison fuehrt die Gesellschaft  “Berliener Airlines” eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen. Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich! Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter http:// overturekorea .biz/

Passend zu dem Amoklauf in Blacksburg, wo der 23jährige Asiate Cho Seung Hui aus Südkorea 32 Menschen ermordet hat, kommen jetzt ähnlich klingende eMails, die von einem Asiaten in Münschen berichten, der 6 Morde begangen haben soll.

Die verlinkte Adresse zeigt wie bei den letztens Mails einen Serverfehler, beinhaltet aber ein Iframe. In der verknüpften Seite ist wieder schädlicher JavaScript-Code mit Exploits enthalten.

Wie immer gilt: Nicht die URL aufrufen. Die URL variiert von Mail zu Mail.

Innerhalb von einer Stunde beging ein Asiater 6 brutale Morde und verschwand in der unbestimmten Richtung. Der Moerder schlich sich in ein Wohnhaus ein und schlachtete all seine Bewohner inklusive 2 kleiner zehnjaehrigen Maedchen, die heimgegangen sind. Ermordet waren auch alle Haustiere. Die Polizei ist schockiert und macht nun alles Moegliche, um diesen Taeter so schnell wie moeglich finden zu koennen. Dank einiger Passanten gibt es nun eine kurze Beschreibung des Verbrechers. Es wurde eine Belohnung angekuendigt, wenn jemand etwas zu diesem Fall mitteilen kann. Naeheres dazu sowie ein Roboterbild unter http:// geocities .com/ Provo Wolfie 7757

Seien Sie bitte vorsichtig! Danke fuer ihre Aufmerksamkeit

Die Trojaner-Versender lassen sich immer neue Sachen einfallen, um den eMail-Leser zum öffnen von Zip-Dateien oder wie heute wieder zum anklicken eines Links zu bewegen. Auf der verlinkten Seite stehen keine weiteren Informationen sondern nur “500 Internal Server error.” Also scheinbar ein Serverproblem. Aber, so wie bei früheren Mails, ist in der Seite ein iframe enthalten, in dem eine Adresse eingebunden ist, die einen schädlichen JavaScript-Code mit Exploits enthält. Der Ordnername hinter geocities.com kann auch ein anderer sein, hier haben die Versender nicht die Mühe gescheut, mehrere Ordner bzw. Accounts anzulegen.

Also auf keinen Fall Links in eMails unbekannter Herkunft anklicken.

Die Berliner U-Bahn Mitarbeiter fanden die Reste eines unbekannten Flugkoerpers.
Interessant findet man auch die Ermittlung von moeglichen Gruenden des Unwohlseins einiger U-Bahn Angestellten. Nach etlichen Inspektionen wurde ein Fremdkoerper gefunden. Wie Wissenschaftler behaupten, koennte der Koerper so gross wie ein Bus sein. Es wurde auch vermutet, er haette seltsame Strahlen aussenden koennen und das wegen rund um dem Rumpf gebildeter “Totzone”.
Naeheres dazu unter http:// geocities. com/ Mai sieSyn ge9716

Weitere Informationen erhalten Sie auch bei PC Welt.

Die angeblichen Reisebuchungsbestätigungen von last-minute.com kommen nun in etwas abgewandelter Form. In der Mail ist nun auch die URL aus den in den letzten Tagen versandten Wetterdienst-Mails enthalten.

Weiterhin gilt. Auf keinen Fall die Links in den Mails anklicken.

Sehr geehrter Kunde,

wir freuen uns, dass Sie bei www .last-minute .com gebucht haben – vielen Dank fur Ihren Auftrag!
Unten finden Sie Ihre verbindliche Buchungsbestatigung mit allen wichtigen Informationen zu den von Ihnen gebuchten Leistungen. Bitte drucken Sie diese Bestatigung aus und bewahren Sie sie auf. Die Buchungsbestatigung erhalten Sie auch noch einmal per E-Mail an die von Ihnen angegebene E-Mail-Adresse.

Sollten Sie Fragen zu Ihrer Buchung haben, dann schreiben Sie uns eine E-Mail http:// overturekorea .biz/ oder wenden sich telefonisch an unsere Reise-Experten.
Unter 01815-333 527 (0,14 EUR/Min.) oder aus dem Ausland unter +49-75-4446531 helfen wir Ihnen gerne weiter. Sie erreichen uns werktags von 8.00 bis 20.00 Uhr, am Wochenende sowie an Feiertagen von 10.00 bis 18.00 Uhr.
Buchungsbestaetigung zum asudrucken erhalten Sie unter: http:// overturekorea .biz/

www. last-minute .com wunscht Ihnen eine schone Reise – wir freuen uns, wenn Sie uns weiterempfehlen!

Deutscher SPAM wirbt für koreanische Seite. Dahinter verbirgt sich allerdings wieder der Versuch durch Aufruf der Seite schädlichen Code auf den heimischen PC einzuschleusen. Im Quelltext ist nämlich folgender Code zu finden:

< iframe style = 'visibility: hidden;' width = '1' height = '1' src = 'http://58.65.239.106/ cosmos /mrm_x/'>

Die im IFrame aufgerufene Seite beinnhaltet einen JavaScript-Code mit Exploits, wie schon in den vergangenen Mails wie z.B. von Lastminute.com oder TMS Logistik. Also auf keinen Fall den Link in der eMail anklicken. Auch ein bei Firefox funktionierender Exploit könnte darin enthalten sein. Der Internet Explorer ist aber auf alle Fälle anfällig.

Sehr geehrte Damen und Herren,
wie der Wetterdienst zum 7.04.2007 berichtet, werden in Deutschland in der naechsten Zeit Ueberschwemmungen erwartet. Besonders gefaehrliche Situation bildet sich fuer die am Ufer der Elbe gelegenen Orten.
Der westliche Teil Deutschland sollte aber auch auf der Hut sein, denn eventuelle Hochwasser-Situationen koennen auch dort entstehen. Infolge all dessen bitten wir Sie entsprechende Massnahmen zu ergreifen. Naeheres dazu sowie auch notwendige Sicherheitsmassnahmen kann man hier  http:// overturekorea .biz/ abrufen

Vielen Dank fuer Ihre Aufmerksamkeit