Trojaner: Abmahnung

[vgwort line=“64″ server=“vg05″ openid=“7115e6ea72ce4ca39932293a0c2f6ccb“]

Werdermann | von Rüden
(wvr-law.de)
versenden keine Abmahnungen per E-Mail!

Heute habe ich endlich auch einen Abmahn-Trojaner bekommen. Die Rechtsanwaltskanzlei Werdermann | von Rüden, von der die E-Mail vorgibt zu sein, weist darauf hin, dass sie keine Abmahnmails versendet.

Dies macht zur Zeit keine Rechtsanwaltskanzlei! Dies kann sich allerdings mit DE-Mail ändern.

Möglicherweise sind auch andere Kanzleien als Absender benannt. Ich habe allerdings nur eine E-Mail bekommen und kann daher zu anderen Betroffenen (Kanzleien, Bands, Alben) nichts sagen.

Quelle und Lebenslauf des Trojaners

Trojaner auf directlinkupload.com
Trojaner auf directlinkupload.com
Nicht sonderlich einfallsreich; kein großer Unterschied zu den anderen Trojanern, die sich als Rechnung, FAX oder MMS tarnen. Der Trojaner wird jedoch über www.directlinkupload.com bereitgestellt. Aus dem Dateiname und der Übersicht bei directlinkupload ergibt sich, dass der Trojaner von einem Rechner aus den Niederlanden mit der dynamischen IP Adresse 84.25.13.142 heute (16.07.2014 10:19) hochgeladen wurde. Von diesem Rechner wurde die E-Mail allerdings nicht verschickt. Hier ist offensichtlich ein Botnetz am Werk. Auf meinem Server traf die dazugehörige Mail um 10:40:47 Uhr, also etwa 20 Minuten später ein.

Um 10:46:33 Uhr (27 Minuten nach dem Hochladen, und 6 Minuten nachdem der Trojaner bei mir im Postfach ankam) wurde der Trojaner erstmals bei VirusTotal zur Analyse eingereicht. Auch jetzt um 21:16 melden nur 6 von 57 Scanner bei Virustotal diese Seite als Schadsoftwareseite ; nur 26 von 57 Scanner erkennen den Trojaner. Auch Google Safebrowsing bieten noch keinen Schutz.

Die E-Mail

Die E-Mail selbst enthält keinen Anhang; der angebliche Anhang ist ein Link auf eine Datei Dokument_980780911.pdf.zip (beachte die doppelte Dateiendung .pdf.zip) bei directlinkupload.com. In dieser ZIP-Datei ist wiederum eine Datei Dokument_980780911.pdf.pif, ebenfalls mit doppelter Dateiendung .pdf.pif , enthalten. Eine pif-Datei (siehe WikiPedia) ist ein Überbleibsel aus der MS-DOS Welt und gehört zu den unter MS-Windows ausführbaren Dateien. Leider erkennen erst wenige VirenScanner diese Datei oder URL als Schadsoftware.

Die Plain-Text Version ist harmlos, denn der Schreiber hat den Link im Text vergessen. Gefährlich ist nur die HTML-Version. Hier die HTML Version der E-Mail inklusive Link – zu VirusTotal 😉 :

Date: Wed, 16 Jul 2014 09:40:47 +0100
From: CGM Rechtsanwaltsgesellschaft mbH <service@wvr-law.de>
To: thomas@example.com
Subject: Abmahnung
Guten Tag,
Dies ist eine Abmahnung wegen Ihres Verstoßes gegen §19a UrhG am 06.07.2014. Das Musikalbum [Ghost Stories – Coldplay\
wurde von Ihrer IP 8.210.78.111 gegen 6:42:18 heruntergeladen. Dies verstößt gegen § 19a UrhG und muss zum verantwortlichen Amtsgericht
gemeldet werden. Nur die schnellstmögliche Zahlung eins Bußgeldes von 137.95 Euro kann dies verhindern. Wir erwarten den Zahlungseingang
innerhalb der nächsten 48 Stunden. Details finden Sie im angehängten Dokument

Hochachtungsvoll, Philipp Marquort

Es fehlt eine persönliche Anede und es fällt sofort auf, dass die angebliche IP Adresse 8.210.78.111 meines Rechners nicht stimmen kann. Ich bin nicht Kunde bei Level 3 Communications, Inc. Das Kürzel „CGM“ in der Mailadresse passt nicht zu „wvr“ im Domainnamen wvr-law.de.

Die Mail verwendet den Zeichensatz ISO 8859-2. Der Schreiber kennt sich mit deutschen Umlauten aus, für den zu zahlende Betrag nutzt er aber den Punkt statt des Komma als Dezimalzeichen, was zwei Möglichkeiten offen lässt: Der Schreiber ist nicht dem deutschen Sprachraum zuzuordnen oder der Betrag wird vom absendenden Rechner mit englischer Spracheinstellung erzeugt, worauf berichte über andere Beträge hindeuten. Wenn ich von Feinheiten („dies“ wird nach dem Komma in der Anrede klein geschrieben) absehe, ist diese Version schon nicht ganz schlecht. Hier fehlt aber noch der übliche Brimborium einer E-Mail im Geschäftsverkehr.

Genug für heute.

PS: Siehe auch PC Games Hardware Online: Gefälschte E-Mail-Abmahnungen im Umlauf. Offenbar werden auch die Angaben der Alben und abmahnende Kanzleien zufällig gewählt.

2 Kommentare

  1. Habe die gleiche Mail bekommen (16.07.2014, 10:41 Uhr) Danke für Deine Veröffentlichung. Es beruhigt ungemein. Tolle Recherche deinerseits.
    Mir ist aufgefallen, dass die e-Mail laut Header von Russland kommt:
    Message-ID:

Kommentare sind geschlossen.