Bundeskriminalamt warnt vor falschen Mails

Der Jurist

Der Jurist

Teammitglied
http://www.spiegel.de/netzwelt/politik/0,1518,386240,00.html


Spiegel online schrieb:
COMPUTERVIREN

BKA warnt vor gefälschten E-Mails

Ausgerechnet den Namen des Bundeskriminalamts missbrauchen Hacker derzeit, um Computerviren zu versenden. Mit Betreffs wie "Sie besitzen Raubkopien" oder "Ermittlungsverfahren wurde eingeleitet" und dem falschen Absender wollen sie die Empfänger überlisten.

Wiesbaden - In den gefälschten E-Mails werde mitgeteilt, dass angeblich "der Inhalt Ihres Rechners" als "Beweismittel sichergestellt" wurde und gegen den Empfänger ein Ermittlungsverfahren eingeleitet worden sei, teilte das Bundeskriminalamt (BKA) mit. Die Behörde warnt dringend davor, den Dateianhang der Nachricht zu öffnen.
.....
Zum Vergrößern anklicken....
 
Unerwünschte Werbung / Spam

Guten Morgen Jurist.

Herzlichen Dank für die Warnung. Gerade eben hatte ich Deinen Beitrag gelesen und schwupps.... promt hatte ich genau diese Pseudo-BKA-Mail in meiner Mailbox. Hast Du eine Ahnung, wo die her kommt?

Gruss Adele
 
Unerwünschte Werbung / Spam

So, nachdem ich jetzt knapp 100 Leuten diesen Spiegel-online-Text "BKA warnt vor gefälschten E-Mails" gemailt habe, kann ich das Wort Virenwarnung auswendig. Den bisherigen Rückmeldungen zu Folge ist das "BKA-Virus" schon fröhlich unterwegs.
 
Adele schrieb:
Guten Morgen Jurist.

Herzlichen Dank für die Warnung. Gerade eben hatte ich Deinen Beitrag gelesen und schwupps.... promt

hatte ich genau diese Pseudo-BKA-Mail in meiner Mailbox. Hast Du eine Ahnung, wo die her kommt?

Gruss Adele
Zum Vergrößern anklicken....
hallo Adele,
die tatsächlichen Absender sind nur sehr schwer bzw. überhaupt nicht zu ermitteln.
Vermutungen richten sich auf osteuropäische Länder.
Poste mal den Header der Mail, irgendwelche Spezialisten können daraus evtl. etwas auslesen.
Oder Schau mal bei www.antispam-ev.de vorbei, dort wird das Thema auch schon behandelt.
Dort findest du auch viele weiteregehende Informationen zu diesen Themen.
Recht spannend.
 
Unerwünschte Werbung / Spam

Mein Hard-und-Software-Entwickler-Lebensgefährte wollte sich das Ding heute Abend mal ansehen. Mal sehen, ob er was raus findet. :roll:
 
Unerwünschte Werbung / Spam

So sieht der Header aus:


Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 64.113.222.68 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#7639 (siehe Anhang)

Hochachtungsvoll
i.A. Juergen Stock



--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 ? 0
 
@Adele
Das ist nicht der Header.
Der header ist die Absenderkennung.
Mit welchem Mailsystem arbeitest du?
Damit dir jemand sagen kann, wie du an den Header rankommst?
Bei Outlock kann ich dir helfe.
 
Ich hab jetzt so ein Ding von der CIA, nicht nur vom popeligen BKA. ;)
Beim Anhang handelt es sich um den Wurm sober.ag.
Virenschutz und Spam-Filter hatten gewirkt. :D
Dear Sir/Madam,

we have logged your IP-address on more than 30 illegal Websites.

Important:
Please answer our questions!
The list of questions are attached.


Yours faithfully,
Steven Allison



++++ Central Intelligence Agency -CIA-
++++ Office of Public Affairs
++++ Washington, D.C. 20505

++++ phone: (703) 482-0623
++++ 7:00 a.m. to 5:00 p.m., US Eastern time
Zum Vergrößern anklicken....
 
Hier ein ausführlicher Bericht:
http://de.internet.com/index.php?id=2039625&section=Security
BKA warnt vor gefälschten E-Mails mit BKA-Absender
"Tausende von besorgten Bürgern rufen an"

Wie dem Bundeskriminalamt heute bekannt wurde, ist derzeit eine E-Mail in Umlauf, die als Absender das BKA vorgibt. Der Betreff dieser E-Mail lautet, dass der Empfänger Raubkopien besitzt. 2Das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 67.64.230.105 erfasst wurde. Der Inhalt Ihres Rechners wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet", versucht die gefälschte Nachricht ihre Empfänger zu schocken. Nicht ohne Wirkung: "Tausende von besorgten Bürgern rufen bei uns an", so ein BKA-Sprecher heute in Wiesbaden. Das Amt warnt dringend davor, den Dateianhang der E-Mails zu öffnen.

Auch die USA sind derzeit von einer ähnlichen Viren-Attacke betroffen. Unterschied: Hier weisen die Mails die US-Bundesbehörde FBI als Absender auf und werfen ihren Empfängern den Besuch illegaler Websites vor. Auch eine Betreff-Zeilen-Variante mit der Ansprache "RTL: Wer wird Millionär, Ihr Passwort, Account Information" existiert.

Das neueste Mitglied der Sober-Wurm-Familie, Sober-Z, verbirgt sich in den gefälschten E-Mails. Die ZIP-Daten "reg_pass.zip" enthalten eine EXE-Datei mit der Bezeichnung: "File-packed_dataInfo.exe". Öffnet man die Datei im Anhang zeigt Sober-Z ein Nachrichten-Fenster mit dem Titel "WinZip Self-Extractor" und dem Text "Error in packed Header" an. Außerdem verschickt der Schädling Kopien der E-Mail-Nachricht mit deutschem Text an alle E-Mail-Adressen, die er auf dem PC findet. Er durchsucht dabei nahezu alle Dateiformate, wie beispielsweise TXT, DOC oder PPT.

Anschließend erstellt Sober-Z den Ordner WindowsWinSecurity und legt dort die Dateien crss.exe, services.exe, smss.exe, socket1.ifo, socket2.ifo und socket3.ifo ab. Die EXE-Dateien sind Kopien des Wurms. Bei den Files mit der IFO-Endung handelt es sich um MIME-kodierte Kopien, die für die Erstellung der E-Mail-Attachments notwendig sind. Sober-Z erstellt auch einige nicht-maligne Dateien, beispielsweise mssock1.dli, starter.run, nexttroj.tro oder nonrunso.ber. Außerdem checkt der Wurm die Netz-Verbindung und die aktuelle System-Zeit des infizierten Computers. (as)
Zum Vergrößern anklicken....
So kann man eine ganze Bundesbehörde durch Anrufe von tausenden besorgten Bürgern still legen.
 
So, jetzt kommt der Mist auch noch aus Polen in polnischer Sprache.
Immer mit dem Anhang SOBER.AG. Hier vorhin eingefallen.
Da scheint eine weltweite Angriffswelle zu laufen.
 
RTL ist auch betroffen. Und hier nun mal ein ganzer Header nebst Mail:
  • Received: from [217.127.148.171] (helo=gepbnj.de)
    by mx32.web.de with smtp (WEB.DE 4.105 #323)
    id 1EeZ1c-0001Rn-00; Tue, 22 Nov 2005 15:21:37 +0100
    From: Kandidat[at]RTLWorld.de
    To: engine[at]web.de
    Date: Tue, 22 Nov 2005 12:28:48 UTC
    Subject:[Virus entfernt] RTL: Wer wird Millionaer
    Importance: Normal
    X-Priority: 3 (Normal)
    Message-ID: <[email protected]>
    MIME-Version: 1.0
    Content-Type: multipart/mixed; boundary="======c7db959.7653e4d7aaa"
    Content-Transfer-Encoding: 7bit
    Sender: Kandidat[at]RTLWorld.de

    Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
    Sie sitzen demnaechst bei Guenther Jauch im Studio!
    Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

    +++ RTL interactive GmbH
    +++ Geschaeftsfuehrung: [Name entfernt]
    +++ Am Coloneum 1
    +++ 50829 Koeln
    +++ Fon: +49(0) 221-780 0 oder
    +++ Fon: +49 (0) 180 5 44 66 99
Der Web.de-Filter identifizierte im Anhang ("Kandidat.zip") dieser Mail den Email-Worm Win32.Sober.y ...
 
Unerwünschte Werbung / Spam

Wenig witzig: Gerade habe ich schon die zweite "Sie besitzen Raupkopien"-Mail erhalten. Kam die erste vom Absender [email protected] de an meine private mailbox, hat die neue Mail mit dem gleichen Inhalt von der Adresse [email protected] und ist adressiert an [email protected]. Was habe ich denn davon zu halten. Ist das möglicherweise ungewollte Post vom infizierten Rechner eines meiner Bekannten oder ist möglicherweise gmx infiziert?
 
Aka-Aka schrieb:
.... Das Video beginnt sehr amüsant, wenn man genau hinschaut...
link zu "heute"-Video
Zum Vergrößern anklicken....
Die Aufnahmen waren aus dem Archiv. Wenn mich nicht alles täuscht, waren die Bilder in München auf der Schwanthaler Straße aufgenommen.

[Sepuklation] Ob da wohl ein Redakteur nach einer gerichtlichen Auseinandersetzung genau über die Frage, ob diese Sequenz gezeigt werden durfte, jetzt belegen wollte, dass er die Auseinandersetzung gewonnen hat und die Bilder zeigen kann?[/Sepuklation]
 
Unerwünschte Werbung / Spam

So, anbei die beiden Header, die sich nur geringfügig unterscheiden.

From [email protected] Tue Nov 22 09:06:19 2005
Return-Path: <[email protected]>
X-Flags: 0000
Delivered-To: GMX delivery to [email protected]
Received: (qmail invoked by alias); 22 Nov 2005 08:12:07 -0000
Received: from xdsl-87-78-22-65.netcologne.de (HELO sdrta.de) [87.78.22.65]
by mx0.gmx.net (mx072) with SMTP; 22 Nov 2005 09:12:07 +0100
From: [email protected]
Date: Tue, 22 Nov 2005 08:06:19 GMT
Subject: Sie besitzen Raubkopien
Importance: Normal
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="======55c8ce7fb5be"
Content-Transfer-Encoding: 7bit
To: [email protected]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: jbfwY5QSeSEkOvL+M3UhaXN1IGRvb8Bf
Status: R
X-Status: N
X-KMail-EncryptionState:
X-KMail-SignatureState:

--======55c8ce7fb5be


From [email protected] Tue Nov 22 15:57:07 2005
Return-Path: <[email protected]>
X-Flags: 0000
Delivered-To: GMX delivery to [email protected]
Received: (qmail invoked by alias); 22 Nov 2005 15:04:37 -0000
Received: from xdsl-84-44-179-86.netcologne.de (HELO jwbhv.de) [84.44.179.86]
by mx0.gmx.net (mx072) with SMTP; 22 Nov 2005 16:04:37 +0100
From: [email protected]
To: [email protected]
Date: Tue, 22 Nov 2005 14:57:07 UTC
Subject: Sie besitzen Raubkopien
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="=====79ad51e02f02"
Content-Transfer-Encoding: 7bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: 3FbxY1UxeSEkOvL+M3UhaXN1IGRvb4Dk
Status: R
X-Status: N
X-KMail-EncryptionState:
X-KMail-SignatureState:

--=====79ad51e02f02

Mit Grüßen vom Computernaivchen
:saint:
 
Unerwünschte Werbung / Spam

Sieht so aus, als funktionierte mein Spamschutz. Im Spamverdachtsordner waren vorhin die nette RTL-Mail ([email protected])--Schade, wo ich doch so gern Millionär wäre -- und was von [email protected] an den lieben Internet-Kunden (Bin ich nicht, ätsch!) Mal schauen, wie viel Fantasie die noch in der Absendergestaltung zeigen.
 
Zurück
Oben