Trojaner: Angebliche GMX-Rechnung

Heute kam eine angebliche Rechnung von GMX herein. Ihr erster Fehler ist, dass ich nicht Pahling heiße. Außerdem geht die Rechnung an eine Mail Adresse, die ich für diese Zwecke nicht verwende. Im ZIP-Anhang findet sich der erwartete Trojaner. Mit 17 von 46 Virenscannern ist die Erkennungsrate sehr schlecht (Stand: 2013-08-20 13:56:55 UTC). Manche melden auch ein verdächtiges File, was sich einfach aus der Tatsache ZIP-Archiv mit einem File mit der Endung .pdf.exe herleiten lässt. Warum nicht alle Scanner diese Warnungen ausgeben, ist mir schleierhaft.

Falsche GMX Rechnung
Falsche GMX Rechnung

„Trojaner: Angebliche GMX-Rechnung“ weiterlesen

Trojaner: Deutsche Post. Sie mussen eine Postsendung abholen

Deutsche Post. Sie mussen eine Postsendung abholen #G2TR82V094
Lieber Kunde,Es ist unserem Boten leider misslungen einen Postsendung an =
Ihre Adresse zuzustellen.Grund: Ein Fehler in der Leiferanschrift.Sie kon=
nen Ihre Postsendung in unserer Postabteilung personlich kriegen.Anbei fi=
nden Sie einen Postetikett.Sie sollen dieses Postetikett drucken lassen, =
um Ihre Postsendung in der Postabteilung empfangen zu konnen.Vielen Dank!=
Deutsche Post AG.

Kam gerade wieder frisch rein.

Wie üblich enthält die Mail einen ZIP-Anhang mit dem Trojaner.

Finger weg vom Anhang

SPAM: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100

Und noch eine Mail aus der Kategorie ZIP-Anhang mit Trojaner.

Auffällig ist, dass eine die Reservierung für ein Datum in der Vergangenheit erfolgt. Aber wer liest schon so eine Mail im Detail. Selbst wenn ich heute ein Zimmer reserviert hätte, gäbe es kaum einen Grund den Anhang zu öffnen.

From: „hotel.de“ &lt>Confirmations@hotel.de>
To: <thomas@t-arend.de>
Date: Mon, 22 Oct 2012 12:50:46 +0100
Subject: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100
Attachment: Reservierung-Hotel-BuchungsnummerM22942359.zip
Reservierung
Buchungsnummer: 3H6768378
Buchungsdatum: Mon, 22 Oct 2012 12:50:46 +0100

Mehr Details in der beigefugten Datei   
Hotelname: Brenner’s Park-Hotel & Spa
Straße: Turracherhohe 325
PLZ/Ort: 8864 Turracherhohe (Osterreich)

Fax: +43/4275/2675670

Anreise: 09.10.2012 Anzahl Nächte: 1
Abreise: 10.10.2012 Gesamtanzahl Personen: 1
Preis: 53,05 EUR
Der Gesamtpreis beinhaltet 3,30 EUR Steuern und Abgaben.

Hinweis: Diese Buchung ist per Bankkarte gesichert.
——————————————————————————–
Mit freundlichen grüßen Ihr hotel.de/hotelinfo-Teamhotel.de AG – www.hotel.de – www.hotel.info
Aufsichtsratsvorsitzender: Tobias Ragge
HRB 22864, Amtsgericht Nurnberg

Anmerkung: Zur besseren Darstellung habe ich die überreichlichen vorhandenen Tabulatoren aus dem Textteil der Mail entfernt und die Zeilenumbrüche etwas geändert.

SPAM: UPS Worldship Sendungsimport Beispieldatei

Ob dieser Text geschickt ist? Wer nicht mit UPS telefoniert hat, wird sich wundern igrend etwas vereinbart zu haben und den Braten riechen. Wer allerdings aus welchen Gründen auch immer mit UPS etwas telefonisch vereinbart hat, könnte auf den Trick hereinfallen. Frage mich. Wie groß ist der Streuverlust. Welches E-Mail Programm erzeugt eine Text/HTML Mail, in der der Textteil alle Absätze und teilweise die Leerstellen verliert? Sehr unprofessionell diese Mail.

From: <no-reply@notification.ups.com>
To: <thomas@example.com>
Date: Mon, 22 Oct 2012 16:49:56 +0700
Subject: UPS Worldship Sendungsimport Beispieldatei
Attachments: Sendungsimport_Beispiel.zip
Sehrgeehrter UPS Kunde,Wie telefonisch vereinbart sende ichIhnen hiermit die Beispieldatei als Anhang zu.Bei eventuellen Fragen rufen Siebitte die folgende Nummer: 0800 100 9079.Das ist eine automatisch generierteNachricht, bitte beantworten Sie es nicht.Mit freundlichen: UPS IntermediateTechnical SupportThe information provided by UnitedParcel Service (UPS) technical support is provided “as is” withoutwarranty of any kind. UPS disclaims all warranties, either express or implied,including the warranties of merchantability and fitness for a particularpurpose. In no event shall United Parcel Service, Inc. or its suppliers beliable for any damages whatsoever including direct, indirect, incidental,consequential, loss of business profits or special damages, even if UnitedParcel Service or its suppliers have been advised of the possibility of suchdamages. Some states do not allow the exclusion or limitation of liability forconsequential or incidental damages so the foregoing limitation may not apply.© 2012 United Parcel Service of America, Inc.

Die Beispieldatei Sendungsimport_Beispiel.zip enthält – wie erwartet – einen Trojaner Sendungsimport_Beispiel.pdf.exe und ist 13 von 43 Virenscannern unter den folgenden Namen bekannt:

  1. FakeAlert
  2. Heur.Dual.Extensions
  3. Mal/BredoZp-B
  4. PWS-Zbot.gen.anm
  5. Suspicious.Cloud.5
  6. Trj/CI.A
  7. Trojan.Zip.Bredozp.b (v)
  8. W32/Crypt.BGHX
  9. W32/EncPk.CWP!tr
  10. W32/Generic!zip-dobleextension
  11. W32/Heuristic-300!Eldorado

Wenn ich mir die „Namen“ Heur.Dual.Extensions und W32/Generic!zip-dobleextension anschaue, frage ich mich, warum andere Virenscanner dies nicht erkennen können.

SPAM: United Postal Service Tracking Number H2243103717

Nichts neues, aber ich finde die Aufmachung der Mail in der HTML Ansicht sehr schöne. Blasse Farbe auf hellem Grund liest sich immer gut.

United Postal Service Tracking Number H2243103717
Attention!, thomas @ example.com.
DEAR CLIENT , We were not able to delivery the post package
Print out the invoice copy attached and collect the package at our department.
With Best Regards , UPS Customer Services.

Nun machen sie sich nicht mal mehr die Mühe, das Programm im angehängten ZIP-Archiv als *.pdf oder Word-Dokument zu tarnen.

  • Artemis!963FE8239C00
  • FakeAlert
  • PWS-Zbot.gen.anq
  • TR/Agent.ZWA
  • Trojan.Necurs.97
  • Trojan-Ransom.Win32.PornoAsset.aoty
  • Trojan-Ransom.Win32.PornoAsset
  • Trojan:W32/Injector.AH
  • Trojan.Win32.A.PornoAsset.84992.M
  • Trojan/Win32.PornoAsset
  • TROJ_GEN.F47V1018
  • Troj/Katusha-BJ
  • UnclassifiedMalware
  • VIRUS_UNKNOWN
  • W32.Cridex
  • W32/FakeAV.BJTL
  • W32/Falab.F18.gen!Eldorado
  • W32/ZeroAccess.B!tr
  • Win32:Kryptik-KGB
  • Win32.Malware!Drop
  • WORM_CRIDEX.FTN
  • ZIP/Bredolab.A!Camelot

SPAM: Deutsche Post. Sie mussen eine Postsendung abholen #9QKVOXDOXS

Gerade habe ich eine SPAM Mail gefunden, die nur einmal in meinem Postfach landete. Dies ist ungewöhnlich, da ich normalerweise aus allen Rohren auf allen Adressen beschossen werde. Entweder ist es nur ein kurzer Versuchsballon oder es kommen demnächst mehr. Bei der VOLKSBANK Spam waren es 13 Stück. Kommt da noch mehr, oder war es das schon?

Dieser Versand mit der Stalinorgel hat für die Absender den Nachteil, dass ich schon allein anhand der Zahl der ähnlichen Eingänge Verdacht schöpfe. Es ist ungewöhnlich, dass eine Mail zweimal kommt. Da ich aber mehrere Mail Adressen verwende, kommen sie Mails natürlich auch mehrfach. Weniger wäre da sicher mehr.

From: Deutsche Post <support-pakete@deutschepost.de>
To: Eigene Adresse
Subject: Deutsche Post. Sie mussen eine Postsendung abholen #9QKVOXDOXS
Attachments: Deutsche_Post_Adresse.zip

Lieber Kunde,

Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen.

Grund: Ein Fehler in der Leiferanschrift.

Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen.

Anbei finden Sie einen Postetikett.

Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.

Vielen Dank!
Deutsche Post AG.

Keine Umlaute, schlechte Rechtschreibung …

„SPAM: Deutsche Post. Sie mussen eine Postsendung abholen #9QKVOXDOXS“ weiterlesen

SPAM: Vodafone Online Rechnung 57487 341247

Gerade flatterte eine Vodafone Online Rechnung in mein Postfach. Komisch. Ich bin nicht bei Vodafone. Der Inhalt war wie erwartet. Eine angebliche Rechnung in einem ZIP-Archive, die sich dürftig als PDF zu tarnen versucht.

Die Mail hat einen Text und einen HTML-Teil. der Text teil ist extrem schlecht formatiert.

Ihre aktuelle Online-Rechnung

==========================================================

Dies ist eine automatisch generierte E-Mail. Bitte senden

Sie keine Antworten an diese Absender-Adresse.

==========================================================

Ihre aktuelle Online-Rechnung steht für Sie bereit.

Die Gesamtsumme für den aktuellen Abrechnungszeitraum beträgt: 91,88 Euro.

Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.

Hinweise zu Ihrer Rechnung:

=> Sie können Ihre Rechnung unter http://www.vodafone.de/kunden/rechnungonline abrufen.

Bitte melden Sie sich mit Ihrem Online-Benutzernamen und Ihrem Passwort an.

=> Der Rechnungsbetrag wird frühestens 5 Tage nach Rechnungszustellung von Ihrem angegebenen Konto eingezogen.

=> Wo steht was auf Ihrer Rechnung? Alle Informationen rund um die Rechnung finden Sie unter
http://www.vodafone.de/kunden/rechnungserklaerung

Online-Kundenservice – Tipp des Monats!

Sie ziehen um? Wir ziehen mit!

Beauftragen Sie Ihren Umzug schnell und bequem online: http://www.vodafone.de/kunden

Sie erreichen Ihren kostenlosen Online-Kundenservice rund um die Uhr!

Exklusiv für Sie!

Mit dem Kundenmagazin „news“ sind Sie immer top-informiert!

Klicken Sie rein!

http://www.vodafone.de/kunden/news

Mit freundlichen Grüßen,

Ihr Vodafone Team

Vodafone D2 GmbH

Adresse: Am Seestern 1, 40547 Düsseldorf

Sitz: Düsseldorf

Eintragung im Handelsregister: Amtsgericht Düsseldorf, HRB Nr. 24644

Zentrale: Am Seestern 1, 40547 Düsseldorf

Vorstand: Friedrich Joussen (Vorsitzender),

Jan Geldmacher, Hartmut Kremling, Frank Rosenberger, Dr. Volker Ruloff, Michele Angelo Verna, Achim Weusthoff

Vorsitzender des Aufsichtsrats: Michel Combes

http://www.vodafone.de/kunden

Die Links zeigen tatsächlich alle auf Vodafone. Der Schreiber versucht nicht, seinen Trojaner auf mehreren Wegen an den Mann oder die Frau zu bringen. Leider hat er vergessen, die Style-Definitionen einzubinden. So ist die Formatierung eher spartanisch. Aber besser als der Text-Teil. Die Namen der Geschäftsführung stimmen nur teilweise mit den im Impressum von Vodafone überein.
„SPAM: Vodafone Online Rechnung 57487 341247“ weiterlesen

Trojaner als DHL Delivery Notification Message

Zur Zeit sind wieder verstärkt als DHL-Nachrichten getarnte Mails unterwegs, die alle nach dem gleichen Strickmuster arbeiten. Im Anhang befindet sich ein ZIP-File, das wiederum eine ausführbares Programm enthält.

SpamAssassin erkennt diese E-Mails sehr sicher als SPAM. Nur meine beiden Virenscanner clamav und AnitVir reagieren haben keine Signatur für diesen Trojaner – noch nicht. Gem. Virustotal erkennen zur Zeit (24 Stunden nach dem ersten Auftreten) 27 von 42 Antivirenprogrammen (darunter AntiVir, nicht jedoch clamav) diese Mails als Schadsoftware. Warum die Signatur bei der Prüfung durch VirusTotal enthalten ist, jedoch nicht in meinen frisch heruntergeladenen ist mir nicht ganz einsichtig. Sollte VirutTotal mit aktuelleren Signaturen versorgt werden? Es sieht danach aus, als hätten die „bösen“ Jungs 24 Stunden Vorsprung vor den guten. Da bleibt nur die eigene Wachsamkeit.

Es wäre vielleicht hilfreich, wenn Virenscanner grundsätzliche eine Warnung ausgeben, wenn in einem ZIP-File nur eine ausführbare Datei eingebettet ist.

Der Absender ist in allen Fällen angeblich DHL International <notice@dhl.com.ky>

Betreff Zeilen:

  • Re: DHL Parcel Tracking Notification 9083981208723986
  • DHL Delivery Notification Message NEE15KT2VJICW26TT
  • DHL Express Notification for shipment 00325703307459069BID2
  • DHL Delivery Notification Message SHOK8NCDA2T77B7QG
  • DHL Tracking Notification ID: T081TNFNLSZ39PLWICM
  • DHL Delivery Notification Message L7WVZT2MDCZ9Z0NPR

Die Versender täuscht als Absender einen echten Server von DHL vor.

X-Spam-Relays-Untrusted: [ ip=199.40.20.209
	rdns=mykulws2395.kul-dc.dhl.com
	helo=gateway2a.dhl.com
	by=gateway2a.dhl.com ident= envfrom= intl=0 id= auth= msa=0 ]
Received: from [199.40.206.33] ([199.40.206.33:57562] helo=gateway2a.dhl.com)
        by cm-mr13 (envelope-from <notice@dhl.com.ky>)
        (ecelerity 2.2.3.46 r(37554)) with ESMTP
        id 29/97-04068-86BECFE4; Wed, 11 Apr 2012 07:41:58 +0000

Tatsächlich stammt eine näher untersuchte Mail aus einen Mini-Netz in Portugal. Hier haben die Spammer in der letzten Zeit etwas aufgerüstet. Die Received-Kette passt allerdings nicht lückenlos zusammen.

Die Empfänger-Adressen stammen aus einem sehr schlechten Adressverzeichnis. Die Adresse ist der verstümmelte Teil einer meiner Adressen, der sich seit Jahren in den Weiten des Cybernet hält. Abgesehen davon ist unter „To:“ nichts eingetragen. Dies ist sehr ungewöhnlich für eine E-Mail von DHL.

Meine letzten Original DHL E-Mails sind einfache Text E-Mails. Kein Anhang, kein HTML. Nur eine Referenznummer im Text, teilweise mit einer Adresse zum direkten Aufruf der Informationen im Brower, aber nicht als Link – da ja kein HTML.

Es ist schon wieder spät. Gute Nacht.