[tawarning align=“left“]Endlich mal was Neues. Heute erhielt ich eine gefälschte Mail unter dem obigen Titel. Abgeschickt von einem namenlosen Gerichtssektar, der meinen Namen nicht kennt, an eine Adresse, die ich nicht nutze, mit einem Link der auf einen Trojaner zeigt.
Dies ist schon ein lächerlicher Versuch mich hereinzulegen. Wenn Sie nicht gerade DE-Mail nutzen, werden Ihnen niemals Vorladungen in dieser Form zugestellt. Vorladungen werden auch heute noch auf Papier zugestellt. Und im Falle der DE-Mail eines Gerichts wäre die Mail verschlüsselt. Außerdem gebietet es die Höflichkeit, den Angeschriebenen mit Namen anzusprechen und die E-Mail mit eigenem Namen zu unterschreiben. Alle formalen Angaben fehlen. Inhaltlich zeugt diese Mail von schlechtem Handwerk. Darauf sollte niemand reinfallen. Es werden trotzdem welche tun.
Die Absenderadresse Gerichtssekretar <silvia.astinza@speedy.com.ar> ist ganz offensichtlich nicht die Adresse eines deutschen Gerichts.
Die Mail enthält einen Link auf eine Zip-Datei, die allerdings bei mir als browser.php gespeichert wird, wenn ich sie aus KMail herunterlade. Mit der Endung .php ist dies kein sinnvoller Name für diese Datei. Ich hoffe und glaube, viele Opfer werden mit einer solchen Datei nichts anfangen können und jetzt den Betrug merken. Das Zip-Archive enthält – wie sollte es anders sein? – den Trojaner mit dem Namen „Der_Gerichtsbescheid_DE_Neuwied.exe“, der auf eien doppelte Endung verzichtet. ClamAV erkennt diesen Trojaner leider nicht, aber viele Virenscanner und AMAVIS schlagen bei Zip-Dateien mit eingebetteten ausführbaren Dateien mit doppelten Dateiendungen wie .pdf.exe Alarm. Bei mir wäre die Mail mit einem derartigen Anhang nicht durch die Scanner gekommen. Dies ist vermutlich der Grund, warum die Verbrecher es über einen Link und den Download versuchen.
In meinem Fall liegt die Datei auf einem Server hcapitaladvance.com (IP: 50.63.82.1; rDNS p3nlhg384c1384.shr.prod.phx3.secureserver.net.) Was an diesem Server / Netz von GoDaddy.com sicher sein soll, bleibt meiner Einsicht verschlossen.
Gibt man den Link in virustotal.com ein, wird die Site als „sauber“ bewertet. („Clean Site“). Die heruntergeladene Datei erkennen derzeit (19.04 Uhr) nur 18 von 51 Virenscanner als Trojaner.
Antivir | Result |
---|---|
AVG | Luhe.Fiha.A |
AntiVir | TR/Visucius.14421 |
Baidu-International | Trojan.Win32.Kryptik.AQVX |
Commtouch | W32/Trojan.AMPN-2260 |
ESET-NOD32 | a variant of Win32/Kryptik.AQVX |
F-Prot | W32/Trojan2.ODRD |
Fortinet | W32/Necurs.TTA!tr |
Ikarus | Trojan-Spy.Zbot |
K7AntiVirus | Trojan ( 0040f7f91 ) |
K7GW | Trojan ( 0040f7f91 ) |
Kaspersky | Backdoor.Win32.Androm.drhq |
McAfee | Artemis!9191235E9FDF |
McAfee-GW-Edition | Artemis!9191235E9FDF |
Qihoo-360 | Win32/Trojan.a70 |
Rising | PE:Malware.FakeDOC@CV!1.9C3C |
Sophos | Troj/Agent-AGOV |
Symantec | Trojan.Fakeavlock |
TrendMicro-HouseCall | TROJ_GE.6C55519E |
Der Link verfügt über einen Parameter court=L0lLI0aq4ey3zUyWcPJYUWh5W7g/hjCvddzzN6SYu7o%3D, der möglicherweise Informationen über den Adressaten liefert. Ich fürchte, mit dem Download habe ich jetzt die E-Mail Adresse bestätigt. So ein Pech aber auch.
Hier noch der Text der Mail:
Hiermit mochten wir Sie daruber informieren, Sie sollen am 23.April 2014 um 10
Uhr morgens vor Gericht erscheinen.
Es findet die Verhandlung Ihrer Sache statt.
Vorbereiten Sie bitte und nehmen Sie alle die Sache betroffenen Papiere mit,
die Zeugen sollen Ihrerseits am Verhandlungstag auch vor Gericht erscheinen.
Klicken Sie auf dieses [Link](http://example.com/browser.php?court=…) , um die Kopie des
Gerischtbescheides zu empfangen.
Lesen Sie bitte den Brief aufmerksam.
Die Anmerkung: falls Sie von der Verhandlung fernbleiben, kann der Richter in
Ihrer Abwesenheit verhandeln.
Hochachtungsvoll,
Gerichtssekretar.
Rechtschreibfehler wie im Original! Der 7Bit-Zeichensatz us-ascii kennt keine Umlaute. Dies sollte ein guter – im Sinn von fachlich gut – Spammer wissen.
Auch ich bekam gestern eine solche „Vorladung“. Natürlich ist sie gefakt. Ich war bei der Polizei, aber die können leider nichts tun, da diese mails unter verschiedenen Adressen verschickt werden und meist nach 10 min inaktiv werden.
Auf keinen Fall den Link anklicken. Sofort löschen. Leider hat mein Avira den Trojaner ebenfalls nicht erkannt
Die Dateien werden häufig – im Extremfall für jeden Download – modifiziert, was es sehr schwer macht Signaturen für derartige Dateien anzulegen. Unter einem neuen Windows schaltet zuerst die Dateiendungen wieder ein, damit mir keine doppelten Dateiendungen unterjubeln kann.