Rechnungs-Trojaner machen die Runde

[Captain Picard]

http://www.heise.de/newsticker/meldung/68493

Erneut füllen sich die Mailboxen von Internetnutzern mit Rechnungstrojanern, die von Viren-Scannern teilweise noch nicht erkannt werden. Eine häufig anzutreffende gibt vor, eine Rechnung der Grewe Computertechnik GmbH zu enthalten und fordert den Nutzer zur Zahlung eines dreistelligen Betrages auf. Die Mail stammt jedoch nicht von Grewe, es hat auch keinen Sinn, sich an die in der Mail aufgeführten Telefon- oder Faxnummern zu wenden.

wie immer

Den Dateianhang der Mail sollte man keinesfalls öffnen. Erste Tests von heise Security haben ergeben, dass die meisten Viren-Scanner die enthaltenen Schädlinge (noch) nicht kennen. Berichten von Betroffenen zufolge legt die EXE-Datei nach ihrem Start unter anderem Personal-Firewalls und Antiviren-Software lahm.

Grundsätzlich sollte man überhaupt keine Dateianhänge in E-Mails öffnen, wenn diese unaufgefordert zugesandt wurden. Je mehr psychischen Druck eine E-Mail aufzubauen versucht, desto vorsichtiger sollten Anwender sein.

http://www.handelsblatt.com/pshb?fn=tt&sfn=go&id=1168980

In der gefälschten Mail werden die Empfänger aufgefordert, die per Zufallsgenerator ermittelten Beträge innerhalb der nächsten 5 bis 7 Tage auf das angegebene Konto zu überweisen, andernfalls würde der Empfänger vom Handel ausgeschlossen: „wir moechten Sie freundlich daran erinnern, dass Ihre eBay-Gebuehren in Hoehe von 442,96 EUR gemaess unserer letzten Rechnung in den naechsten 5 - 7 Tagen zum Ende dieses Rechnungszyklus faellig werden.“ Auffällig ist, dass in dem Text keine Umlaute verwendet werden, da es sich offensichtlich um eine ausländische Quelle handelt.

cp

 

[stieglitz]

Und Mulis für den Geldtransport, werden auch schon fleissig gesucht:

--------------------------------------------------------------------------------
Sehr geehrter zukünftiger Mitarbeiter!


StepManagement N.V. - ist eine führende Firma auf internationales Gesetz und Geschaftsverfahren. Sie sucht nach den verantwortungsvollen Personen im Bereich der Zustellung, Bedienung, Kundenservice und Bankoperationen.

Zur Zeit haben wir folgende Arbeitsstellen frei: Manager für Transaktionen.
Sie werden die Überweisungen für unsere Gesellschaft bekommem. Sie müssen eine Bankstelle in der Nähe haben, damit Sie jederzeit die Möglichkeit hätten im Laufe von einigen Stunden, die Gelder vom Konto abzuheben. Sie müssen ein Privat-, Arbeitstelefon oder Handy haben, damit wir mit Ihnen unverzüglich den Kontakt aufnehmen können.


Anforderungen:

* Die Möglichkeit haben, Ihr E-mail mehrmals am Tage zu kontrollieren.
* Die Möglichkeit haben, unverzüglich die Briefe zu beantworten.
* Die Möglichkeit haben, bei der Gelegenheit die Überstunden zu machen.
* Verantwortlich und arbeitsam sein.

Wenn Sie für das Amt eignen, so bitten wir Sie hier zu registrieren: Unsere Freien Stellen

Die Registrierung ist gratis!
msg-id: 31734


--------------------------------------------------------------------------------

© Copyright 2005 StepManagement N.V. Alle Rechte sind vorbehalten.

Heute um 12.50 h eingegangen.

 

[Anonymous]

http://www.heise.de/newsticker/meldung/68493

Erneut füllen sich die Mailboxen von Internetnutzern mit Rechnungstrojanern, die von Viren-Scannern teilweise noch nicht erkannt werden. Eine häufig anzutreffende gibt vor, eine Rechnung der Grewe Computertechnik GmbH zu enthalten und fordert den Nutzer zur Zahlung eines dreistelligen Betrages auf. Die Mail stammt jedoch nicht von Grewe, es hat auch keinen Sinn, sich an die in der Mail aufgeführten Telefon- oder Faxnummern zu wenden.

wie immer

Den Dateianhang der Mail sollte man keinesfalls öffnen. Erste Tests von heise Security haben ergeben, dass die meisten Viren-Scanner die enthaltenen Schädlinge (noch) nicht kennen. Berichten von Betroffenen zufolge legt die EXE-Datei nach ihrem Start unter anderem Personal-Firewalls und Antiviren-Software lahm.

Hatte web.de heute mittag auch noch nicht erkannt.

http://www.handelsblatt.com/pshb?fn=tt&sfn=go&id=1168980

In der gefälschten Mail werden die Empfänger aufgefordert, die per Zufallsgenerator ermittelten Beträge innerhalb der nächsten 5 bis 7 Tage auf das angegebene Konto zu überweisen, andernfalls würde der Empfänger vom Handel ausgeschlossen: „wir moechten Sie freundlich daran erinnern, dass Ihre eBay-Gebuehren in Hoehe von 442,96 EUR gemaess unserer letzten Rechnung in den naechsten 5 - 7 Tagen zum Ende dieses Rechnungszyklus faellig werden.“ Auffällig ist, dass in dem Text keine Umlaute verwendet werden, da es sich offensichtlich um eine ausländische Quelle handelt.

cp

Letzteres trifft auch auf das Grewe-Schreiben zu.
Fällt ja auch gar nicht auf - wer da nicht gleich hellhörig wird?

Sehr geehrte Damen und Herren,

Wir bestÄtigen den Eingang Ihres unten aufgefÝhrten Auftrages.

Sie haben sich fÝr die Zahlung per Vorkasse entschieden.
Bitte Ýberweisen Sie nun den Gesamtbetrag von 219 EUR auf unser
Konto (...)
Bitte beachten Sie das in diesem Brief ihre Rechung im Anhang mitgeschickt wurde. (Rechnung.pdf) Bitte drucken Sie Ihre Rechnung aus und uberweisen Sie den anfallenden Betrag innerhalb von 7 Tagen an die angegebenen Kontodaten.

 

[rolf76]

Hier mal ein Original, das bei einer Bekannten angelangt ist:

From support[at]ebay.de Fri Feb 3 16:38:24 2006
Return-Path: <support[at]ebay.de>
X-Flags: 1111
Delivered-To: GMX delivery to [email protected]
Received: (qmail invoked by alias); 03 Feb 2006 16:38:13 -0000
Received: from unknown (HELO -1209912040) [218.29.92.69]
by mx0.gmx.net (mx051) with SMTP; 03 Feb 2006 17:38:13 +0100
Received: from ebay.de (-1233815920 [-1238704176])
by usa.net (Qmailv1) with ESMTP id 3948858E5C
for <[email protected]>; Fri, 03 Feb 2006 09:05:06 -0500
Date: Fri, 03 Feb 2006 09:05:06 -0500
From: eBay Auktionen <[email protected]>
X-Mailer: The Bat! (v2.00.3) Personal
X-Priority: 3
Message-ID: <[email protected]>
To: Margarete <[email protected]>
Subject: Ihre Gebuehren
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----------F98EEC24ABF7F8C"
X-Virus-Scanned: by AMaViS perl-11 mion
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 4 (From SPF protected domain over unauthorized server)
X-GMX-UID: V+KRY+1BeSEkQdHa53UhaXN1IGRvb4Cx

eBay hat diese Mitteilung an Sie gesendet.
Ihr Mitgliedsname ist in der von eBay gesendeten Mitteilung enthalten.
Mehr zum Thema.

Die Zahlung Ihrer eBay-Gebuehren ist demnaechst faellig


Hallo sehr geehrter Ebay Nutzer,

wir moechten Sie freundlich daran erinnern, dass Ihre eBay-Gebuehren in Hoehe von 446,97 EUR gemaess unserer letzten Rechnung in den naechsten 5 - 7 Tagen zum Ende dieses Rechnungszyklus faellig werden.

Bis zum Zeitpunkt des Versands dieser E-Mail haben wir Ihre Zahlung noch nicht (vollstaendig) verbuchen koennen. Wenn Sie die Zahlung bereits veranlasst haben, betrachten Sie diese Nachricht bitte als gegenstandslos.

Um zu vermeiden, dass Sie nach Verstreichen des Faelligkeitstermins vom Handel bei eBay ausgeschlossen werden, bitten wir Sie, umgehend eine Zahlung zu veranlassen.

Gehen Sie hierzu bitte wie folgt vor:
1. Drucken Sie bitte die mitgesandte Rechnung aus (Ebay-Rechnung.pdf)
2. Überweisen Sie den gesamten Betrag auf die in Rechnung genannten Kontodaten.

Sie haben derzeit keine automatische Zahlungsmethode gewaehlt. Dabei sind das Lastschriftverfahren oder die monatliche Zahlung per Kreditkarte die schnellsten und bequemsten Wege, Ihre eBay-Gebuehren zu zahlen. Wenn Sie sich jetzt fuer eine dieser beiden Zahlungsmethoden anmelden moechten, folgen Sie bitte ebenfalls den oben beschriebenen vier Schritten.

Bitte antworten Sie nicht direkt auf diese automatisch versendete E-Mail. Antworten auf System-E-Mails erreichen uns leider nicht.

Mit freundlichen Gruessen,
eBay International AG
Fragen und Antworten:

Wie kann ich meinen letzten Rechnungsbetrag einsehen?
Gehen Sie bitte wie folgt vor:
1. Oeffnen Sie die eBay-Startseite unter w*w.ebay.de
2. Klicken Sie in der Navigationsleiste auf Uebersicht
3. Klicken Sie links unten unter Hilfe auf den Link Mein Verkaeuferkonto
4. Klicken Sie auf den Link Kontostand

Wohin kann ich mich mit Fragen zu meiner Rechnung wenden?
Gehen Sie bitte wie folgt vor:
1. Oeffnen Sie die eBay-Startseite unter w*w.ebay.de
2. Klicken Sie in der Navigationsleiste auf Hilfe
3. Klicken Sie auf den Link Kontakt
4. Waehlen Sie als Betreff Fragen zum Verkaufen und zur Gebuehrenberechnung und dann Fragen zur Gebuehrenberechnung und Verkaeufergebuehren




Diese E-Mail wurde von der eBay International AG im Zusammenhang mit Ihrem Konto bei h**p://my.ebay.de/ws/www.ebay.de gesendet.

Es handelt sich hierbei um eine einmalige Mitteilung. Eine Änderung Ihrer Benachrichtigungseinstellungen ist nicht erforderlich. Die eBay International AG fragt niemals per E-Mail nach persönlichen Daten (wie z.B. Passwort, Kreditkarten- oder Bankkontonummern).

Copyright 2005 eBay Inc. Alle Rechte vorbehalten.
Die ausgewiesenen Marken gehören ihren jeweiligen Eigentümern.
eBay und das eBay-Logo sind Marken von eBay Inc.

Als Anhang ist eine Datei Ebay-Rechnung.pdf.exe angehängt. Meine Bekannte hat bei gmx online "die Datei angeklickt, aber es ist nichts passiert" (O-Ton). Weiß jemand, was sich hinter der Datei verbirgt?
AVG sagt: Warning: Hidden extension .exe

 

[Heiko]

Ich habe diese Datei gestern bei diversen AV-Herstellern eingereicht weil die von den wenigsten erkannt wurde.
Es handelt sich um einen typischen Downloader, der zum Beispiel von F-Secure als Trojan-Downloader.Win32.Small.cig erkannt wird.
Nach wie vor haben den noch nicht alle AV-Hersteller in den Signaturen drin. Also bitte Vorsicht!

Ich gehe davon aus, dass sich bei Deiner Bekannten jetzt ein Trojaner wohl fühlt.

 

[rolf76]

zum Beispiel von F-Secure als Trojan-Downloader.Win32.Small.cig erkannt wird.

Genau der, in der Datei A0057079.EXE, und zwar bei mir, nachdem ich von meiner Bekannten die besagte E-Mail zur Ansicht erhalten hatte. Eingenistet hat sich der Trojaner offenbar, als ich zu "Untersuchungszwecken" die Datei pdf.exe von der E-Mail abgetrennt habe. Dabei hat AVG Alarm geschlagen und dennoch hat sich der Trojaner eingenistet - also in der Tat höchste Vorsicht!

 

[Anonymous]

Das is heute in meinem Postfach gelandet:
header:

Received: from [211.110.23.156] (helo=-1228564296)
by mx33.web.de with smtp (WEB.DE 4.105 #340)
id 1F6I6m-0004p9-00
for ******@web.de; Tue, 07 Feb 2006 02:57:33 +0100
Received: from t-com.net (-1211891632 [-1221645592]) by belice.com (Qmailv1) with ESMTP id 0531C024DE
for <******@web.de>; Mon, 06 Feb 2006 18:25:58 -0500
Date: Mon, 06 Feb 2006 18:25:58 -0500
From: Deutsche Telekom AG <[email protected]>
X-Mailer: The Bat! (v2.00.4) Personal
X-Priority: 3
Message-ID: <[email protected]>
To: ***** <******@web.de>
Subject:[Virus entfernt] Rechnung Telekom
MIME-Version: 1.0
X-GMX-Antivirus: 0 (no virus found)
Sender: [email protected]
From: Deutsche Telekom AG <[email protected]>
To: ***** <******@web.de>
Subject: [Virus entfernt] Rechnung Telekom
Date: Tue, 07 Feb 2006 02:57:53 +0100
Content-Type: multipart/mixed; boundary="DORIS07B5AEDC"

und der Inhalt

Guten Tag,

die Gesamtsumme für Ihre Rechnung im Monat Januar beträgt: 312.05 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten elektronischen Signatur zu erhalten. Sie können diese im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines "Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass T-Com mehrere Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
===============================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
===============================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".


Mit freundlichen Grüßen
Ihre T-Com

----------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden Sie unter www.t-com.de/aktuell-agb.

Das ganze is durch zwei spam filter gegangen, einmal bei GMX.DE, und einmal bei WEB.DE.

Angehäng war noch eine Rechnung.pdf.exe , die aber vom web.de virenscanner gelöscht wurde.

bleibt die Frage, was, außer dem Virus diese mail erreichen soll...

 

[rolf76]

Meiner Meinung nach nur die Aktivierung der hinter "Rechnung.pdf.exe" stehenden Prozesse. Wenn es die gleiche Datei wie "ebay-rechnung.pdf.exe" ist, dann ist höchste Vorsicht angesagt, wie ich leider feststellen musste.

Denn die darin versteckten Trojaner werden offenbar schon dann aktiv, wenn man die Datei mit einem Antiviren-Programm untersuchen will, das - wie offenbar momentan noch die meisten Antivirenprogramme - mit dem Trojaner noch nicht umgehen kann.

 

[fairchild]

Da die Datei netterweise von web.de entfernt wurde, kann ich leider nicht nachsehen, was da drinn war.

[edit]

aber wie kann ein irgendwie geartes programm aktiv werden, ohne ausgeführt zu werden?

 

[IT-Schrauber]

Denkbar sind da vor allem diverse buffer-overflow-Angriffe. Windows schaut sich Dateiinhalte viel öfter an, als man sich so im allgemeinen vorstellt. Wenn die Datei im Explorer (als Inhalt eines Ordners z.B.) angezeigt wird, greift Windows mehrfach auf die Datei zu. Und wenn es nur zum Anzeigen des Programmicons ist. Wenn es da irgendwo eine Sicherheitslücke gibt, lässt sich damit schon unter Umständen Schadcode einschleusen und ausführen - der Rest ist dann nur noch eine Fingerübung. Gerade kürzlich bei der WMF-Lücke konnte man eindrucksvoll sehen, wie wenig man tun muss, um Opfer so einer Lücke zu werden. Dagegen hilft regelmäßig nur eins: Nicht das neueste Antivirenprogramm, auch nicht die teuerste Firewall, sondern in erster Linie die knapp drei Pfund grauer Masse im Kopf vor dem Bildschirm.