Trojaner: 1&1 Telecom GmbH – Ihre Rechnung 721399563459 vom 05.04.2013

Es wird wieder ein Trojaner über E-Mail verteilt. Diesmal tarnt er sich als 1&1 Telecom GmbH Rechnung mit einer angeblichen Rechnungsnummer im Subject und einer Kundennummer im Text. Einen Anrede gibt es nicht, so dass wahrscheinlich keine guten Adressdaten hinter der verwendeten Adresse stehen. Meinen Anschluss habe ich nur nicht bei 1&1.

Der Anhang zeigt das übliche Vorgehen: Eine angebliche Rechnung im PDF-Format, die in ein ZIP-Archiv verpackt ist. Bei Näherem Hinsehen entpuppt sich die Rechnung als ausführbare Windows-Datei.

Date: Mon, 15 Apr 2013 11:37:34 +0100
Subject: 1&1 Telecom GmbH – Ihre Rechnung 721399563459 vom 05.04.2013
Message-ID: <0EDDDP-5OU8ZGQHS7-00XCF1@mbulk.1and1.com>
From: Rechnungsstelle 1&1 Telecom GmbH <rechnungsstelleservice@1und1.de>
To: <thomas@example.com>

Ihre Kundennummer: 105038665

Sehr geehrter,

heute erhalten Sie Ihre Rechnung vom 05.04.2013 im PDF-Format.
Der Betrag wird in den 7 Tagen von Ihrem Konto abgebucht.

Wichtige Information zu Ihrem Einzelverbindungsnachweis (EVN)
Ihre Einzelverbindungsdaten finden Sie ab sofort unter Ihrer jeweiligen Rechnungsnummer
in Ihrer RechnungsFCbersicht http://login.1und1.de.

Bestimmt wundern Sie sich, weshalb die Einzelverbindungsdaten in Ihrer 1&1
Rechnung fehlen und wir Sie heute auf das Control-Center aufmerksam machen.
Damit Ihre Daten demn4chst noch sicherer sind, hat der BfDI – Bundesbeauftragter
FCr den Datenschutz und die Informationsfreiheit – die 1&1 Internet AG aufgefordert,
den unverschlCsselten E-Mail-Versand der Einzelverbindungsdaten direkt einzustellen.
1&1 ist der Schutz Ihrer persnlichen Daten besonders wichtig.
Ab jetzt stehen Ihnen daher alle Einzelverbindungsdaten ausschlie Flich online bereit.

Um das PDF-Dokument zu lesen und auszudrucken, bentigen Sie das Programm
‚Acrobat Reader‘ von Adobe. Einfach kostenlos unter http://www.adobe.de/products/acrobat/readstep2.html herunterladen.

Mit dem UTF-8 Format hat es der Schreiber der E-Mail nicht so. Dadurch klappt es auch nicht mit den Zeilenumbrüchen. Kann aber auch ein Problem von K-Mail sein.

Trojaner: mms@vodafone.de – You have received a new MMS message

Eine angebliche Mail von Vodafone enthält an Stelle des Bildes ein ZIP-Archive mit einem Trojaner, bei dem eine doppelte Dateiendung darüber hinwegtäuschen soll, dass es sich bei der eingepackten Datei um ein Programm und nicht um ein Bild handelt. Das gleich Spiel wie bei der Facebook message.

Vodafone - You have received a new MMS message
Screen Shot der angeblichen Vodafone Nachricht – You have received a new MMS message

Ansonsten nichts keine Neuigkeiten. Der Anhang heißt VodafoneDE_MMS.zip und – keine Überraschung – die eingepackte Datei VodafoneDE_MMS.jpeg.exe. Nicht mal nummeriert werden die Anhänge mehr.

Der HTML-Teil enthält die gleichen Fehler wie die „Facebook message“. Damit könnte sie von gleichen Trottel stammen – oder zumindest vom gleichen Tool Kit. Mehr lohnt sich jetzt nicht zu schreiben. Außer:

Finger weg von der eingepackten Datei

Ich habe es nicht geprüft, aber man sollte davon ausgehen, dass nicht alle Virenscanner den Anhang als Schadsoftware erkennen.

BTW: Noch eine gute Nachricht. SpamAssassin hat in diesem Fall angeschlagen und die Mail als Spam erkannt.

Update: Gestern kamen auch Nachrichten an, bei denen der Anhang Vodafone-Multimedia-Message.zip und das angebliche Bild VodafoneMultimediaMessage.jpeg.exe heißen.

Spam: Reservierungen und Tickets

Nachdem die Trojaner mich einige Tage in Ruhe gelassen haben, wurden sie heute wieder richtig aktiv. Bei zwei Mails handelt es sich um angebliche Hotelbuchungen, drei betrafen angebliche BA- Tickets. Angehängt ist jeweils eine ZIP-Datei mit einem Trojanischen Pferd.

Zuerst schauen wir uns die angeblichen Buchungen bei hotel.de an.

„Spam: Reservierungen und Tickets“ weiterlesen

Trojaner: Deutsche Post. Sie mussen eine Postsendung abholen

Deutsche Post. Sie mussen eine Postsendung abholen #G2TR82V094
Lieber Kunde,Es ist unserem Boten leider misslungen einen Postsendung an =
Ihre Adresse zuzustellen.Grund: Ein Fehler in der Leiferanschrift.Sie kon=
nen Ihre Postsendung in unserer Postabteilung personlich kriegen.Anbei fi=
nden Sie einen Postetikett.Sie sollen dieses Postetikett drucken lassen, =
um Ihre Postsendung in der Postabteilung empfangen zu konnen.Vielen Dank!=
Deutsche Post AG.

Kam gerade wieder frisch rein.

Wie üblich enthält die Mail einen ZIP-Anhang mit dem Trojaner.

Finger weg vom Anhang

Trojaner: Hotel booking confirmation

Wieder ein Trojaner im ZIP-Anhang mit einer angeblichen Hotelbuchung. Zwar kann der Programmierer das Datum de Schreiben ändern, aber die Reservierung liegt wieder in der Vergangenheit. Professionell ist etwas anderes.

Wer sich unbedingt einen Trojaner einfangen will, der kann den Anhang gerne öffnen. Ansonsten gilt wie immer:

Finger weg!

Zum Glück ist in der HTML-Ansicht das Datum der Ankunft in der Vergangenheit nicht zu übersehen.

From: „Booking.com“ <customer.service@my.booking.com>
To: <name@example.com>
Subject: Hotel booking confirmation
Date: Tue, 23 Oct 2012 12:01:31 +0200

Booking confirmation

0485385093


Date:
Tue, 23 Oct 2012 12:01:31 +0200  

Dear,

We have received a reservation for your hotel.

Please refer to attached file now to acknowledge the reservation and see the reservation details:


Arrival: Sunday , 28 June 2012 Number of rooms: 1

If you have any questions regarding this reservation, please feel free to contact us. Telephone: English support 1 888 850 4649, Spanish support 1 866 938 1298; Fax 1 866 814 1719; E-mail: customer.service@booking.com

Yours sincerely, Booking.com

SPAM: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100

Und noch eine Mail aus der Kategorie ZIP-Anhang mit Trojaner.

Auffällig ist, dass eine die Reservierung für ein Datum in der Vergangenheit erfolgt. Aber wer liest schon so eine Mail im Detail. Selbst wenn ich heute ein Zimmer reserviert hätte, gäbe es kaum einen Grund den Anhang zu öffnen.

From: „hotel.de“ &lt>Confirmations@hotel.de>
To: <thomas@t-arend.de>
Date: Mon, 22 Oct 2012 12:50:46 +0100
Subject: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100
Attachment: Reservierung-Hotel-BuchungsnummerM22942359.zip
Reservierung
Buchungsnummer: 3H6768378
Buchungsdatum: Mon, 22 Oct 2012 12:50:46 +0100

Mehr Details in der beigefugten Datei   
Hotelname: Brenner’s Park-Hotel & Spa
Straße: Turracherhohe 325
PLZ/Ort: 8864 Turracherhohe (Osterreich)

Fax: +43/4275/2675670

Anreise: 09.10.2012 Anzahl Nächte: 1
Abreise: 10.10.2012 Gesamtanzahl Personen: 1
Preis: 53,05 EUR
Der Gesamtpreis beinhaltet 3,30 EUR Steuern und Abgaben.

Hinweis: Diese Buchung ist per Bankkarte gesichert.
——————————————————————————–
Mit freundlichen grüßen Ihr hotel.de/hotelinfo-Teamhotel.de AG – www.hotel.de – www.hotel.info
Aufsichtsratsvorsitzender: Tobias Ragge
HRB 22864, Amtsgericht Nurnberg

Anmerkung: Zur besseren Darstellung habe ich die überreichlichen vorhandenen Tabulatoren aus dem Textteil der Mail entfernt und die Zeilenumbrüche etwas geändert.

Trojaner: Scan from a Hewlett-Packard ScanJet

Seit Mittwoch, 25. Juli 2012, scheint ein alter Trick in neuem Gewand unterwegs zu sein. Der Trojaner gibt vor, ein Dokument zu enthalten, dass von einem Nutzer mittels eines Netzwerkscanners mit mit der Funktion Scan-to-Mail zugeschickt wurde.

Subject: Fwd: Re: Scan from a Hewlett-Packard ScanJet #57350

Attached document was scanned and sentto you using a Hewlett-Packard I-98039SL.SENT BY : GERRY
PAGES : 8
FILETYPE: .DOC [Word2003 File]

Zu dumm, dass ich

„Trojaner: Scan from a Hewlett-Packard ScanJet“ weiterlesen

RE:Why did you put this photo online?

Why did you put this photo online?
Why did you put this photo online?

Hab ich nicht und so blöd nicht zu erkennen, dass das Bild eine ZIP-Datei mit ausführbarem Programm ist, bin ich auch nicht. Wie üblich ist der Trojaner zu neu, um von den meisten Scannern erkannt zu werden. Scheinbar funktionieren auch heuristische Verfahren kaum noch. Wer sein E-Mail-Postfach durch einen Virenscanner und nicht die eigene Wachsamkeit schützen lassen will, sollte seine E-Mails erst mit mehreren Tagen Verzögerung lesen.

Ein anderer netter Versuch ist eine E-Mail mit dem Betreff: RE:They killed your privacy man your photo is all over facebook! NAKED! Hier war der Trick etwas billiger: Erst der übliche Trick mit der Exe in der ZIP-Datei – aber mit doppelter Endung getarnt – IMG9321.jpg.zip, dann einen Tag später eine Exe-Datei mit doppelter Erweiterung IMG6897.jpg.exe. Wobei die reine Exe-Datei nach einer Woche von clamscan nicht als Schädling erkannt wird. Die einen Tag ältere Datei wird als W32.Trojan.Jorik-2 erkannt.

Mircosofts Idee, die Dateiendungen standardmäßig auszublenden, ist eine der dümmsten, die sie bisher hatten. Warum sie in den neusten Windows Versionen immer noch an diesem Schwachsinn festhalten ist mir schleierhaft.