Trojaner: Angebliche GMX-Rechnung

Heute kam eine angebliche Rechnung von GMX herein. Ihr erster Fehler ist, dass ich nicht Pahling heiße. Außerdem geht die Rechnung an eine Mail Adresse, die ich für diese Zwecke nicht verwende. Im ZIP-Anhang findet sich der erwartete Trojaner. Mit 17 von 46 Virenscannern ist die Erkennungsrate sehr schlecht (Stand: 2013-08-20 13:56:55 UTC). Manche melden auch ein verdächtiges File, was sich einfach aus der Tatsache ZIP-Archiv mit einem File mit der Endung .pdf.exe herleiten lässt. Warum nicht alle Scanner diese Warnungen ausgeben, ist mir schleierhaft.

Falsche GMX Rechnung
Falsche GMX Rechnung

„Trojaner: Angebliche GMX-Rechnung“ weiterlesen

SPAM: UPS Worldship Sendungsimport Beispieldatei

Ob dieser Text geschickt ist? Wer nicht mit UPS telefoniert hat, wird sich wundern igrend etwas vereinbart zu haben und den Braten riechen. Wer allerdings aus welchen Gründen auch immer mit UPS etwas telefonisch vereinbart hat, könnte auf den Trick hereinfallen. Frage mich. Wie groß ist der Streuverlust. Welches E-Mail Programm erzeugt eine Text/HTML Mail, in der der Textteil alle Absätze und teilweise die Leerstellen verliert? Sehr unprofessionell diese Mail.

From: <no-reply@notification.ups.com>
To: <thomas@example.com>
Date: Mon, 22 Oct 2012 16:49:56 +0700
Subject: UPS Worldship Sendungsimport Beispieldatei
Attachments: Sendungsimport_Beispiel.zip
Sehrgeehrter UPS Kunde,Wie telefonisch vereinbart sende ichIhnen hiermit die Beispieldatei als Anhang zu.Bei eventuellen Fragen rufen Siebitte die folgende Nummer: 0800 100 9079.Das ist eine automatisch generierteNachricht, bitte beantworten Sie es nicht.Mit freundlichen: UPS IntermediateTechnical SupportThe information provided by UnitedParcel Service (UPS) technical support is provided “as is” withoutwarranty of any kind. UPS disclaims all warranties, either express or implied,including the warranties of merchantability and fitness for a particularpurpose. In no event shall United Parcel Service, Inc. or its suppliers beliable for any damages whatsoever including direct, indirect, incidental,consequential, loss of business profits or special damages, even if UnitedParcel Service or its suppliers have been advised of the possibility of suchdamages. Some states do not allow the exclusion or limitation of liability forconsequential or incidental damages so the foregoing limitation may not apply.© 2012 United Parcel Service of America, Inc.

Die Beispieldatei Sendungsimport_Beispiel.zip enthält – wie erwartet – einen Trojaner Sendungsimport_Beispiel.pdf.exe und ist 13 von 43 Virenscannern unter den folgenden Namen bekannt:

  1. FakeAlert
  2. Heur.Dual.Extensions
  3. Mal/BredoZp-B
  4. PWS-Zbot.gen.anm
  5. Suspicious.Cloud.5
  6. Trj/CI.A
  7. Trojan.Zip.Bredozp.b (v)
  8. W32/Crypt.BGHX
  9. W32/EncPk.CWP!tr
  10. W32/Generic!zip-dobleextension
  11. W32/Heuristic-300!Eldorado

Wenn ich mir die „Namen“ Heur.Dual.Extensions und W32/Generic!zip-dobleextension anschaue, frage ich mich, warum andere Virenscanner dies nicht erkennen können.

SPAM: Vodafone Online Rechnung 57487 341247

Gerade flatterte eine Vodafone Online Rechnung in mein Postfach. Komisch. Ich bin nicht bei Vodafone. Der Inhalt war wie erwartet. Eine angebliche Rechnung in einem ZIP-Archive, die sich dürftig als PDF zu tarnen versucht.

Die Mail hat einen Text und einen HTML-Teil. der Text teil ist extrem schlecht formatiert.

Ihre aktuelle Online-Rechnung

==========================================================

Dies ist eine automatisch generierte E-Mail. Bitte senden

Sie keine Antworten an diese Absender-Adresse.

==========================================================

Ihre aktuelle Online-Rechnung steht für Sie bereit.

Die Gesamtsumme für den aktuellen Abrechnungszeitraum beträgt: 91,88 Euro.

Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.

Hinweise zu Ihrer Rechnung:

=> Sie können Ihre Rechnung unter http://www.vodafone.de/kunden/rechnungonline abrufen.

Bitte melden Sie sich mit Ihrem Online-Benutzernamen und Ihrem Passwort an.

=> Der Rechnungsbetrag wird frühestens 5 Tage nach Rechnungszustellung von Ihrem angegebenen Konto eingezogen.

=> Wo steht was auf Ihrer Rechnung? Alle Informationen rund um die Rechnung finden Sie unter
http://www.vodafone.de/kunden/rechnungserklaerung

Online-Kundenservice – Tipp des Monats!

Sie ziehen um? Wir ziehen mit!

Beauftragen Sie Ihren Umzug schnell und bequem online: http://www.vodafone.de/kunden

Sie erreichen Ihren kostenlosen Online-Kundenservice rund um die Uhr!

Exklusiv für Sie!

Mit dem Kundenmagazin „news“ sind Sie immer top-informiert!

Klicken Sie rein!

http://www.vodafone.de/kunden/news

Mit freundlichen Grüßen,

Ihr Vodafone Team

Vodafone D2 GmbH

Adresse: Am Seestern 1, 40547 Düsseldorf

Sitz: Düsseldorf

Eintragung im Handelsregister: Amtsgericht Düsseldorf, HRB Nr. 24644

Zentrale: Am Seestern 1, 40547 Düsseldorf

Vorstand: Friedrich Joussen (Vorsitzender),

Jan Geldmacher, Hartmut Kremling, Frank Rosenberger, Dr. Volker Ruloff, Michele Angelo Verna, Achim Weusthoff

Vorsitzender des Aufsichtsrats: Michel Combes

http://www.vodafone.de/kunden

Die Links zeigen tatsächlich alle auf Vodafone. Der Schreiber versucht nicht, seinen Trojaner auf mehreren Wegen an den Mann oder die Frau zu bringen. Leider hat er vergessen, die Style-Definitionen einzubinden. So ist die Formatierung eher spartanisch. Aber besser als der Text-Teil. Die Namen der Geschäftsführung stimmen nur teilweise mit den im Impressum von Vodafone überein.
„SPAM: Vodafone Online Rechnung 57487 341247“ weiterlesen