-
Es vergeht keine Woche, in der nicht vor neuen Viren, Würmern oder Trojanern gewarnt werden muss. Dieses Mal kommt die Warnung allerdings nicht aus dem Hause eines großen Sicherheits-Unternehmens wie F-Secure oder Symantec, sondern von der Deutschen Telekom. Der Konzern hat seine Kunden auf einen neuen Trojaner hingewiesen, der derzeit mit gefälschten Rechnung-Online-Nachrichten für Aufsehen sorgt.
Rechnung, die keine ist
Zwar seien nur vereinzelte Kunden bekannt, die mit dem Trojaner konfrontiert worden seien, trotzdem sollte höchste Vorsicht bei E-Mails mit dem angeblichen Absender Telekom AG gelten. Die E-Mails stünden nicht mit der echten Rechnung-Online des Konzerns in Verbindung, so die Telekom. Das Trojanische Pferd durchsuche auf infizierten Rechnern nach Passwörtern und leite diese an die Programmierer weiter. Über die Betreffzeile mit dem Titel Telekom-Rechnung Juni 2004/05 sei der Schädling zu erkennen, heißt es weiter. Die Anlage der gefährlichen E-Mail, die eine neue Variante des Trojaners „PWS-LDPinch“ enthält, trage die Bezeichnung Rechnung2004.pdf.exe.
Um vor der Bedrohung durch das Trojanische Pferd geschützt zu sein, ist ein Update der AntiViren-Software dringend erforderlich. Wer eine verdächtige Nachricht erhält, sollte sie sofort ungelesen löschen.
http://www.onlinekosten.de/news/artikel/15087
-
Ich verspüre überhaupt keine Lust, mit meinem Internet-Provider per E-Mail zu kommunizieren, schon gar nicht, mich wegen der Rechnung von seinem Zugang abhängig zu machen. Mag sein, dass das zunächst komfortabel aussieht, aber im Falle einer Störung, z.B. abgestellt wegen Nichtzahlung (einer ungerechtfertigt hohen Rechnung...) kommt man dann kaum noch an die Rechnung heran, um sie (teilweise) zu bezahlen.
Papier ist mir da zur Zeit immer noch lieber, natürlich sind Online-Rechnungen auch nicht sicherer als Online-Banking.
-
Was auf der ersten Blick wie ein Pishing-Versuch aussieht, entpuppt sich als neuer Trojanerangriff. Seit gestern kursieren wieder gefälschte Mails der Telekom, die angeblich von der Telekom stammen und eine Rechnung über 257,74 Euro für den Monat Januar als PDF-Dokument enthalten. Im Anhang der Mail findet man eine RAR-komprimierte Datei, die aber statt der Rechnung einen Schädling enthält. Ein Klick auf die ausführbare Datei installiert einen Trojaner, den bislang wenige Virenscanner als "Trojan-Dropper.Win32.Agent.dw" erkennen. Bei einem kurzen Test auf Virustotal erkannten nur 5 von 14 Sannern einen schädlichen Inhalt. Immerhin warnen einige Produkte, etwa AVG, beim Entpacken des Archivs vor einer verdächtigen Datei.
Was der Trojaner genau macht, ist noch unklar. Anwender sollten auf keinen Fall den Anhang öffnen und die Signaturen ihrer Virenscanner aktualisieren. Weitere Hinweise zum Schutz vor Viren und Würmern und zum sicheren Umgang mit E-Mail finden sich auf den Antiviren-Seiten von heise Security. Schon Mitte Dezember waren gefälschte Rechnungs-Mails der Telekom im Umlauf, die einen Trojaner enthielten. Der versuchte, eine ältere Sicherheitslücke im Internet Explorer auszunutzen.
Quelle : www.heise.de
-
Bereits zum zweiten Mal in diesem Monat werden vorgebliche Telekom-Rechnungen per Mail verschickt, die ein Trojanisches Pferd enthalten. Die Mails kommen mit dem Betreff "Rechnung Online Monat Februar" oder auch nur "Rechnung Online Monat".
Der Anhang besteht aus einer ZIP-Datei (51.zip; 1,9 KB), die eine Datei "Rechnung.pdf.exe" (3,5 KB) enthält. Dabei handelt es sich laut Kaspersky Labs um das Trojanische Pferd "Trojan-Downloader.Win32.Vidlo.h". Es soll vermutlich weitere Schädlinge aus dem Internet nachladen. Durch die doppelte Dateiendung (*.pdf.exe), das verwendete Datei-Symbol und den Text der Mail soll der Eindruck erweckt werden, es handele sich um ein PDF-Dokument.
Als Absender der Mails ist <Rechnung-Online@t-com.net> angegeben. In der Mail wird behauptet, es handele sich um die Rechnung für den Monat Februar sowie den Einzelverbindungsnachweis, sofern man diesen beauftragt habe. Falls Sie eine solche Mail erhalten, öffnen Sie den Anhang nicht, sondern löschen Sie die Mail.
Quelle : www.pcwelt.de
-
Als wäre die Phishing-Attacke gegen Postbankkunden am vergangenen Wochenende nicht genug gewesen, machen derzeit gefälschte Mails der Postbank die Runde, die Trojaner enthalten. Eine als Kundeninformation aufgemachte Nachricht warnt vor Phishing-Mails und bittet den Empfänger zu überprüfen, ob das eigene Konto gefährdet ist. Dazu solle man das im Anhang der Mail beigefügte Dokument öffnen. Das ist allerdings in Wirklichkeit eine ausführbare Datei (4.pdf.exe). Ein Klick darauf installiert den Schädling. Was der Trojaner genau anstellt, ist noch nicht im Detail geklärt. Bislang erkennen ihn nur wenige Virenscanner als Trojan.Vidlo.h oder Trojan-Downloader.W32.Small.aio.
Erst Mitte Januar machten erneut gefälschte Rechnungs-Mails der Telekom die Runde, die mit einem Trojaner verseucht waren. Anwender sollten keine Anhänge öffnen. Zum sicheren Umgang mit Mails und Anhängen finden Sie weitere Hinweise auf den Antiviren-Seiten von heise Security.
Quelle und Links : http://www.heise.de/newsticker/meldung/55735
-
Wie schon in der letzten Woche werden erneut vorgebliche Telekom-Rechnungen per Mail verschickt, die ein Trojanisches Pferd im Anhang haben. Wieder ist es eine Datei mit dem Namen "Rechnung.pdf.exe" (6 KB, mit PDF-Symbol), die als Mail-Anhang mitgeliefert wird und wieder lädt diese einen weiteren Schädling aus dem Internet nach. Diese Datei mit dem Namen "prev.exe" installiert mehrere Dateien auf dem Rechner.
Die Mails kommen mit einem Betreff wie "Rechnung 2005", "Telekom AG" oder ähnlichen. Der Text lautet:
"Sehr geehrte Kundin, sehr geehrter Kunde,
die Gesamtsumme für Ihre Rechnung im Monat Mai 2005 beträgt: 296,02 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und
-soweit von Ihnen beauftragt- die Einzelverbindungsübersicht.
Nutzen Sie auch unter www.t-com.de/rechnung-online die vielfältigen
Möglichkeiten von Rechnung Online, wie z.B. Sortierungs- und
Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links
unter "Hilfe/FAQ" auch nützliche Tipps zur Nutzung von Rechnung Online.
Mit freundlichen Grüßen
Ihre Deutsche Telekom"
Die Schädlinge werden durch Antivirus-Software zurzeit noch gar nicht oder nur unzureichend erkannt. So erkennt Antivir die per Mail versandte Datei nicht, aber immerhin die "prev.exe" als "TR/Small.aty". Bei Kaspersky ist es umgekehrt, der Mail-Anhang wird als "Trojan-Downloader.Win32.Vidlo.m" erkannt, die "prev.exe" hingegen noch nicht. Die anderen Virenscanner tappen weitgehend noch völlig im Dunkeln. Dieses Problem ist leider oft zu beobachten, wenn Malware nur regional verbreitet ist.
Trojanische Pferde in Mails mit vorgeblichen Telekom-Rechnungen sind kein neues Phänomen. Dergleichen wiederholt sich vielmehr seit November 2004 beinahe jeden Monat. Die Schädlinge rufen teilweise Porno-Seiten auf, andere spionieren Passwörter und Zugangsdaten zum Online-Banking aus.
Quelle : www.pcwelt.de
-
Auf gefälschte Telekom-Rechnungen mit ausführbaren Dateien im Anhang sollte eigentlich kaum ein Anwender mehr reinfallen. Bei der neuesten Welle setzen die Urheber aber offenbar auf eine neue Taktik: Zwar ist der Text im Vergleich zu älteren derartigen Mails fast identisch, allerdings ist die aufgeführte Rechnungssumme enorm hoch. Anwender könnten bei Beträgen von 8030,53 bis 32.485,53 Euro aus Entsetzen oder Verblüffung vielleicht doch die als PDF-Datei getarnte ausführbare Datei starten. Die Hersteller von Antiviren-Software sind dabei, ihre Virensignaturen zu aktualisieren, damit ihre Scanner den Downloader-AAP.b getauften Schädling erkennen.
Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.
Eine erstaunliche Hartnäckigkeit legen zur Zeit auch wieder Phisher an den Tag, die diesmal mit englischen Texten Kunden der Deutschen Bank auf untergejubelten Webseiten zur Eingabe von PIN und TAN bewegen wollen. Diesmal tragen die Mails aber kein HTML-Formular in sich, sondern einen für unbedarfte Anwender schwer zu durchschauenden Link. Ein Klick darauf öffnet zwar im Hintergrund die echten Seiten der Deutschen Bank, das im Vordergrund erscheinende Fenster stammt jedoch von einem Phishing-Server.
Nutzer von Online-Banking oder anderen Finanzdienstleistungen im Web sollten sich grundsätzlich nur direkt auf der Homepage des gewünschten Dienstes einloggen, nachdem sie die URL per Hand im Browser eingegeben haben oder wenn sie einen zuvor abgespeicherten Favoriten oder ein Bookmark benutzen. In seltenen Fällen kann jedoch die Host-Datei des PC, etwa durch einen Pharming-Angriff, manipuliert worden sein. Dann führt auch diese Vorgehensweise auf den falschen Server.
Sämtliche Banken weisen immer wieder darauf hin, dass sie nicht per E-Mail oder gar in E-Mail-Formularen zur Eingabe von Accountdaten und PIN oder TANs auffordern. Durch verschiedene Maßnahmen versuchen die Banken zudem, den Datenklau zu erschweren. So führt beispielsweise die Bank of America ein neues Sicherheitssystem ein, nachdem Daten von rund 60.000 Kunden gestohlen wurden.
Quelle und Links : http://www.heise.de/newsticker/meldung/60027
-
Am Wochenende begann eine neue Welle gefälschter Mails, die vorgeben, von der Telekom zu stammen. Sie sollen den Eindruck erwecken, die angehängte Datei sei ein PDF-Dokument mit einer Telekom-Rechnung. Tatsächlich handelt es sich jedoch um ein Trojanisches Pferd, das wiederum einen weiteren Schädling aus dem Internet lädt und installiert.
Hier der Text einer solchen Mail:
Von: <Rechnung-Online@t-com.net>
Betreff: Telekom
Datum: Sun, 3 Jul 2005 11:35:26 -0700
Guten Tag,
die Gesamtsumme für Ihre Rechnung im Monat Mai 2005 beträgt: 610,12 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von
Ihnen beauftragt - die Einzelverbindungsübersicht.
Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung
von Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004
die Möglichkeit haben, Ihre Rechnung per E-Mail mit einer
qualifizierten elektronischen Signatur zu erhalten. Sie können diese
im Bereich "persönliche Einstellungen" aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte
Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wir
außerdem zu beachten, dass wir Ihnen diese nur noch in Form eines
"Rechungsdoppels" bieten können, da nur so vermieden werden kann, dass
T-Com mehrere Rechnungsoriginale ausstellt.
Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie
auch in unseren FAQs unter dem Stichwort "Digitale Signatur".
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden
unter www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
=================================
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie
bitte unter www.t-com.de/rechnung (oben links) auf "Kontakt".
Mit freundlichen Grüßen
Ihre T-Com
------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschäftsbedingungen finden
Sie unter www.t-com.de/aktuell-agb
Der Anhang der Mails ist eine Datei mit dem Namen "Rechnung.pdf.exe" und einem Dateisymbol, das dem für PDF-Dokumente entspricht. Der Schädling wurde am Sonntagabend nur von sehr wenigen Virenscannern erkannt. Lediglich Kaspersky ("Trojan-Downloader.Win32.Vidlo.p"), Bitdefender ("Trojan.PWS.Ldpinch.AK") und Clam-AV ("Trojan.Downloader.Small-665") erkannten ihn, einige weitere fanden die Datei wenigstens verdächtig. Inzwischen hat zumindest Antivir nachgezogen ("TR/Dldr.Ldpinch.AK").
Wird die Datei ausgeführt, sucht der Schädling mehrere Web-Server nach einer EXE-Datei ab, die er dann lädt. Diese Datei wird von Kaspersky und Clam-AV als Variante der "Dumador"-Backdoor erkannt. Trend Micro meldet "PE_FINALDO.B", während Antivir einen ähnlichen Namen wie für den Downloader verwendet ("TR/PSW.Ldpinch.AK").
Sinn und Zweck dieser Schädlinge ist das Ausspionieren von Passwörtern und Zugangsdaten für das Online-Banking. Ferner kann der befallene PC über das Internet ferngesteuert werden. Damit kann er als Spam-Schleuder dienen oder für Angriffe auf Web-Server missbraucht werden.
Quelle und Links : http://www.pcwelt.de/news/sicherheit/115204/index.html (http://www.pcwelt.de/news/sicherheit/115204/index.html)
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einem neuen Trojaner namens DOWNLOAD.RY. Dieser macht sich auf den Weg, seine Opfer abermals über gefälschte Rechnungs-Mails zu suchen, die angeblich von der Telekom stammen. Der hohe Rechnungsbetrag soll den Empfänger in Panik versetzen, sodass dieser unbedacht den Dateianhang der E-Mail öffnet.
Diese Trojaner-Welle unterscheidet sich also nicht grundsätzlich von denen Anfang Mai und Mitte Januar dieses und schon Mitte Dezember vergangenen Jahres. Der Trojaner lädt aus dem Internet die Hintertür Nibu.J nach und trägt sich in die Windows-Autostart-Registryschlüssel ein. Die nachgeladene Software verankert sich ebenso im Windows-Autostart.
Die Backdoor Nibu.J legt folgende Dateien im System an:
c:\WINDOWS\dvpd.dll
c:\WINDOWS\netdx.dat
c:\WINDOWS\prntsvra.dll
c:\WINDOWS\system32\dllsys.dll
c:\WINDOWS\system32\winldra.exe
Nibu.J fungiert sodann als Keylogger, der regelmäßig die gesammelten Daten ins Netz sendet. Um noch nicht aktualisierter Antivirensoftware keine Möglichkeit auf ein Update zu ermöglichen, modifiziert Nibu.J die hosts-Datei, damit die Seiten sowie Update-Server der jeweiligen Antivirensoftware-Hersteller vom infizierten System nicht mehr erreichbar sind.
Das zweistufige Konzept, den Rechner mit einem Downloader zu infizieren und dann Schadcode aus dem Internet nachzuladen, scheint für die Autoren der Schadsoftware sehr reizvoll zu sein: Diese Angriffswellen häufen sich in letzter Zeit. Die Backdoor-Komponente ist so ständig aktualisierbar und lässt sich gegebenfalls an aktualisierten Virenscannern vorbeischleusen. Die Masche dabei ist auch, die Antivirensoftware außer Kraft zu setzen, sei es über direktes Deaktivieren der Software oder über die Verhinderung von Updates.
Die meisten Hersteller von Antivirensoftware stellen mittlerweile aktualisierte Signatur-Dateien bereit, um den Schädling in den Mails zu erkennen.
Wie immer gilt auch hier, dass ein auch nur halbwegs sicheres Surfen im Netz nur mit eingeschalteter Firewall und laufend aktualisierter Antivirensoftware auf dem System ermöglicht wird. Auch darf man sich nicht durch E-Mails oder Webseiten irritieren lassen, die einem nahelegen, man müsse sein System umgehend mit der feilgebotenen Software aktualisieren oder Dateianhänge öffnen. Zu beachten ist auch, dass selbst E-Mail von Verwandten oder Bekannten einen Schädling mitbringen kann -- bei ihrer Verbreitung fälschen die Würmer und Viren die Absenderadresse. Mehr zum Schutz vor Viren und Würmen und zum sicheren Umgang mit E-Mail findet sich auf den Antiviren-Seiten und im E-Mail-Check von heise Security.
Quelle und Links : http://www.heise.de/newsticker/meldung/61396
-
Bei heise Security laufen reihenweise Hinweise auf eine scheinbare Phishing-Mail ein, die sich bei näherer Betrachtung jedoch als Versuch entpuppt, dem Anwender Trojaner unterzuschieben. Der Text der Mail gibt sich als Hinweis auf eine Telekom-Rechnung aus:
Guten Tag,
die Gesamtsumme für Ihre Rechnung im Monat Januar 2005 beträgt: 752,82 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht die Sie unter Ihrem Konto sehen können.
Einige wichtige Unterschiede gibt es allerdings zu früheren gefälschten Telekom-Rechnungsmails, die den Anwendern Trojaner unterjubeln wollten. Beim Klick auf den in der Mail enthaltenen Link öffnet sich tatsächlich die Telekom-Seite -- und zwar keine nachgebaute, sondern die echte. Der Trick der Betrüger: Das verlinkte Dokument besteht aus mehreren Frames. Einer davon verweist auf die echte Telekom-Seite. Der zweite hingegen bleibt versteckt und enthält codierten Skript-Code. Als URL erscheint in der Adressleiste wie häufig bei Phishing-Seiten lediglich eine nackte IP-Adresse.
Die Autoren haben sich einige Mühe gemacht, ihr eigentliches Anliegen zu verbergen: Auf den ersten Blick in den Quellcode des Frames erscheint nur unleserlicher Buchstabensalat:
<script language="VBScript.Encode"> #@~^lQwAAA==a8Fxr&1&0F%+[v1 TG+vX{yG&+1v6v+2[+ 2Fy+f!++y!*+nv2
Decodiert man dies, erhält man VBScript-Code, der nochmals verschleiert ist. Erst nach einem zweiten Decodier-Schritt zeigt sich, dass hier eine neue HTML-Seite dynamisch erzeugt wird -- und die hat es in sich. Eine erste Analyse durch heise Security zeigte, dass sie versucht, mindestens fünf verschiedene Sicherheitslücken des Internet Explorer auszunutzen, darunter eine im Hilfe-Protokoll ms-its:, das Problem mit den animierten Cursor-Dateien und einen Fehler im Java-Bytecode-Verifier. Über all diese Lücken versucht die Web-Seite Software aus dem Internet nachzuladen und zu installieren. Einen Versuch, eingegebene Zugangsdaten abzuphishen, konnten wir in den Web-Seiten hingegen nicht finden. Solche Funktionen könnten allerdings durchaus in der heimlich nachinstallierten Software enthalten sein.
Wer auf den Link klickt, um den vermeintlichen Phishing-Versuch zu begutachten, bekommt nicht mit, dass der versteckte Frame im Hintergrund versucht, sein System zu infizieren. Nach einer ersten Analyse sieht es so aus, als werden dabei nur bekannte Schwachstellen des Internet Explorer ausgenutzt, gegen die es bereits Patches gibt. Aufgrund der Komplexität lässt sich jedoch derzeit nicht ausschließen, dass auch bisher unbekannte Schwachstellen oder zumindest neue Variationen darunter sind, die auch Systeme treffen könnten, die sich auf dem aktuellen Stand befinden. Anwender sollten vorsichtshalber verdächtige Links in Mails nicht anklicken.
Quelle und Links : http://www.heise.de/newsticker/meldung/61875
-
Update:
In weiteren Tests von heise Security konnte die Seite ein System mit Windows XP Service Pack 2 und allen aktuellen Patches nicht infizieren. Eine genauere Analyse ergab, dass neben den bereits erwähnten Schwachstellen im Byte-Code-Verifier und in der Behandlung von Cursor-Dateien auch zwei neuere Lücken ausgenutzt werden: Ein Problem mit der eingebauten Hilfefunktion und eines mit dem ActiveX-Control DHTML-Edit -- beide hat Microsoft Anfang des Jahres behoben.
-
Eine neue Welle von gefälschten Rechnungen findet derzeit ihren Weg in die Postfächer von Internetnutzern -- dieses Mal handelt es sich aber nicht um gefälschte Telekom-Rechnungen, sondern die Mails stammen vorgeblich vom Versandhändler Otto. Im Anhang der Mail findet sich ein Trojaner. Der vom Phishing bekannte Trend, unter gefälschter Flagge mehrerer Unternehmen zu segeln, greift nun auch auf die Rechnungsmails mit angehängtem Downloader über.
Wie schon bei den gefälschten Telekom-Rechnungen ist die Datei "rechnung.pdf.exe" im Mailanhang zu finden. Hierbei handelt es sich eine neue Variante der Download-Trojaner-Familie Vidlo, die bei Ausführung weitere Komponenten aus dem Internet nachlädt. Laut Andreas Marx von AV-Test erkennen ihn derzeit die Virenscanner von ClamAV, Kaspersky, Nod32 und QuickHeal; die Scanner von BitDefender, F-Prot, Fortinet, Ikarus, Norman, Panda und Symantec entdecken zudem über ihre Heuristik den Schädling. Die Antiviren-Hersteller werden hoffentlich bald neue Signaturen nachliefern, mit denen der Trojaner zuverlässig erkannt wird.
Auch wegen der möglicherweise nicht vorhandenen Antivirensignatur ist bei nicht erwarteten Mails besondere Vorsicht angebracht. Besonders wenn diese versuchen, starken Druck auf den Anwender aufzubauen, sollte man auf keinen Fall aus Panik enthaltene Dateianhänge öffnen. Es könnte sich dabei um Viren, Trojaner oder andere Schadsoftware handeln. Auch Links in derartigen Mails sind potenziell gefährlich. Die Website, auf die sie verweisen, könnte vorhandene Sicherheitslücken in Webbrowsern ausnutzen und darüber Schadsoftware auf dem Rechner einschleusen.
Auch außerhalb des Internets ist man nicht vor unberechtigten Rechnungen gefeit. Da auf vielen Internetseiten ein ausführliches Impressum zu finden ist, kann ein argloser Website-Betreiber auch Opfer von solchen Rechnungen werden. Hier ist es allerdings mit dem Löschen der Post nicht getan, derartige Rechnungen fordern dem Empfänger gegebenenfalls auch juristische Gegenmaßnahmen ab.
Quelle,Links und mehr : http://www.heise.de/newsticker/meldung/62315
-
Soweit ich weiss, muss ein Impressum die Post- bzw. E-Mail-Adresse nicht unbedingt in maschinenlesbarer Form enthalten.
Die Verbreiter solchen Schmutzes aber suchen ihre Opfer-Adressen selten von Hand aus, weil ihnen nur massenhafte Verbreitung den erhofften Erfolg verspricht.
Also kann statt Text durchaus ein jpg infrage kommen, natürlich nicht mit diesen Daten im Titel oder Alternativ-Text.
Auch möglich sind für Menschen nicht störende und gelegentlich geänderte Verstümmelungen wie z.B.
T e x t
oder
T*e*x*t
oder auch
me (at) home.dom
usw.
-
Pünktlich zur Reisezeit haben sich die Virenautoren eine neue Masche einfallen lassen, um ihre Schädlinge an den Mann zu bringen. Als angebliche Rechnungs-Mail für einen beim Online-Reisedienst Opodo gebuchten Flug landet ein Trojaner im Anhang beim Empfänger:
Sehr geehrter Opodo-Kunde,
vielen Dank für Ihre Buchung bei Opodo.
Wir schicken Ihnen Ihre Reisedokumente
umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb
der nächsten drei Werktage erhalten,
setzen Sie sich bitte mit unserem
Kundenservice in Verbindung.
Bitte begleichen Sie umgehend die
offene Rechnung: 759.99 Euro
(im Anhang beigelegt)
...
Ein Klick auf den Anhang rechnung.pdf.exe öffnet dann allerdings kein PDF-Dokument, sondern erweckt den Schädling zum Leben. Was er im Detail anrichtet, wird noch genauer untersucht; nach bisherigen Erkenntnissen lädt der Schädling weitere Dateien aus dem Internet nach, die unter anderem den Wurm Dumadur/Dumaru enthalten. Ältere Versionen von Dumadur/Dumaru öffneten Hintertüren und versuchten vertrauliche Daten auf dem System auszulesen. Der neue Rechnungs-Trojaner scheint aber noch nicht besonders weit verbreitet zu sein.
Bislang erkennen nicht alle Virenscanner den Eindringling zuverlässig. Anwender sollten deshalb keine Anhänge in Mails öffnen, die angeblich von Opodo stammen. Opodo empfiehlt, die Mails einfach zu löschen. Auf die gleiche Weise sollten Anwender vorgehen, die vermeintliche Rechnungen der Telekom per Mail erhalten. Der Trojaner versucht sich derzeit alternativ auch über solche Mails zu verbreiten.
Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.
Quelle und Links : http://www.heise.de/newsticker/meldung/62713
-
Eine neuere Variante des Trojanischen Pferds lädt sich zur Tarnung ein Rootkit herunter.
Gestern wurden weitere, neue Varianten eines Schädlings verbreitet, über den wir bereits am Montag berichteten . Neben einer leicht modifizierten Fassung ist darunter auch eine gänzlich andere Version, die sich mit einem Rootkit tarnt.
Zunächst wurde eine modifizierte Variante verbreitet, die offenkundig nur die inzwischen aktualisierten Virensignaturen von Antivirus-Programmen umgehen sollte. Später kam dann eine neue Fassung in Umlauf, die mehrere Rootkits installiert. Diese dienen dazu, das eigentliche Trojanische Pferd vor den Augen des Anwenders und vor Antivirus-Programmen zu verbergen.
Die Mail, mit der diese Version des Schädlings verbreitet wird, unterscheidet sich nicht signifikant von bisherigen Beispielen. Es wird einem Betreff wie "Telekom Rechnung" der übliche Text verschickt, der eine relativ hohe Summe nennt, im vorliegenden Beispiel sind es 628,97 Euro. Das soll den Empfänger der Mail veranlassen den Anhang zu öffnen, der als "rechnung.pdf.exe" angefügt ist.
Wird die Datei vom Benutzer geöffnet, installiert der Schädling ein Rootkit, das auch den Einsatz von Anti-Rootkit-Programmen wie F-Secure Blacklight verhindern soll. Dieses Rootkit ist bereits in der Datei enthalten, die per Mail verschickt wird. So meldet AntiVir bei der "rechnung.pdf.exe" den Schädling "TR/Dldr.TcomB.I.1.B", während Kaspersky-basierte Virenscanner "Backdoor.Win32.Haxdoor.es" melden. "Haxdoor" bezeichnet eine Familie von Rootkit-Varianten, die auch als "Hacker Defender" bekannt ist.
Mit einem weiteren Rootkit aus dieser Familie wird ein Key-Logger namens "Goldun" getarnt, der Eingaben in Online-Formulare von "E-Gold" protokolliert, einem Online-Bezahlsystem. Ferner werden unter Dateinamen wie "tBmp207.exe", "tBmp307.exe", "TheBat!7.51.256.exe" oder "NAV_updates__05.exe" Kopien dieses Key-Loggers angelegt.
Die meisten der schädlichen Dateien werden von vielen Virenscannern erkannt, es gibt jedoch auch einige Lücken in der Erkennung, so unter anderem bei McAfee, AVG, F-Prot und Trend Micro. Diese Lücken dürften jedoch mit den nächsten Updates geschlossen werden.
Quelle : www.pcwelt.de
-
Die Deutsche Telekom warnt vor neuen gefälschten Rechnungs-Mails für den Monat Oktober, in deren Anhang ein Windows-Trojaner als PDF-Datei getarnt steckt (Rechung.pdf.exe). Die angeblichen Telekom-Mails warten mit einer für Normalhaushalte recht hohen Summe von 323,24 Euro auf, was einige Anwender unter Umständen dazu verleitet, den Anhang zu öffnen. Nach Angaben von Frank Domagala, Leiter Presse- und Öffentlichkeitsarbeit, wird der Schädling von einigen Virenscannern als Trojaner.Downloader.AAP erkannt. Wie auch seine Vorgängerversionen lädt er Schadcode aus dem Internet nach, um einen infizierten PC umzufunktioneren, etwa zum Spam-Bot.
Wie immer gilt auch in diesem Fall: Anwender sollten beim Umgang mit Anhängen in Mails größte Vorsicht walten lassen, auch wenn ihnen der vermeintliche Absender bekannt vorkommt. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antiviren-Seiten von heise Security.
Quelle und Links : http://www.heise.de/newsticker/meldung/66841
-
Phishing-Angriffe werden immer ausgefeilter und sind mittlerweile anscheinend selbst von geschulten Augen nicht immer zuverlässig auf den ersten Blick von legitimen Mails zu unterscheiden. So haben Mitarbeiter des Fraud-Investigation-Teams (FIT), das das Auktionhaus eBay zur Aufklärung von Betrugsfällen eingerichtet hat, eine Phishing-Mail irrtümlich als legitime eBay-Mail klassifiziert. Wie aus einem Bericht von PC World hervorgeht, versuchte eBay zu diesem Zeitpunkt jedoch schon länger, gegen die Domain ebaychristmas.net vorzugehen, auf die auch die beanstandete Mail verwies.
Dem Bericht zufolge war es dem Auktionshaus lange nicht möglich, die eigentlichen Server mit den betrügerischen Seiten vom Netz nehmen zu lassen. Die Seiten wurden anscheinend von einem ausgeklügelten Bot-Netz bereit gestellt, in dem stets neue Rechner für einen ausgefallenen Server einspringen konnten. Mittlerweile hat jedoch der Registrar Joker.com die beanstandete Domain in den Status "on hold" versetzt, weshalb die Phishing-Seiten nun endgültig nicht mehr erreichbar sind.
Siehe dazu auch:
* Phony E-Mail Tricks eBay, Artikel auf PC World
* Studie: Anwender können kaum noch zwischen guten und bösen Mails unterscheiden, Artikel auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/67102
-
Es werden mal wieder vorgebliche Rechnungen von Telekom und Ebay mit Spam-artig versandten Mails verbreitet. Im Anhang befindet sich ein Trojanisches Pferd, dessen wahre Natur mit doppelten Datei-Endungen und einem PDF-Symbol getarnt werden soll.
Die Mails kommen mit einem Betreff wie "Telekom Rechnung Online Monat November 2005", "Rechnung Telekom" oder einfach nur "Telekom". Im Fall von Ebay lautet der Betreff zum Beispiel "7 Tage bis Ihre Kontosperrung". Die Dateinamen des Trojanischen Pferds im Anhang lauten "Telekom-Rechnung.pdf.exe" respektive "Ebay-Rechnung.pdf.exe" (9760 Bytes).
Die Datei enthält eine Reihe von Download-Adressen, von denen der Schädling weitere Malware herunter laden soll. Dabei kann es sich beispielsweise um Keylogger handeln, die Login-Daten beim Online-Banking ausspionieren sollen. Es kann sich auch weitere Trojanische Pferde handeln, die eine Hintertür öffnen, durch die befallene PCs über das Internet ferngesteuert werden können.
Quelle : www.pcwelt.de
-
Erneut füllen sich die Mailboxen von Internetnutzern mit Rechnungstrojanern, die von Viren-Scannern teilweise noch nicht erkannt werden. Eine häufig anzutreffende gibt vor, eine Rechnung der Grewe Computertechnik GmbH zu enthalten und fordert den Nutzer zur Zahlung eines dreistelligen Betrages auf. Die Mail stammt jedoch nicht von Grewe, es hat auch keinen Sinn, sich an die in der Mail aufgeführten Telefon- oder Faxnummern zu wenden.
Die Mails tragen die Betreffzeile Ihre Bestellung und im Anhang die Datei Rechnung.pdf.exe, bei der das PDF-Symbol als Anwendungs-Icon eingeimpft wurde. Die Mails tragen auch die korrekten Kontaktdaten, die offenbar neben der Widerrufsbelehrung und den Verkaufsbedingen aus dem Impressum der Webseite in die Mails kopiert wurden. Vermutlich sind auch weitere Varianten mit anderen Texten unterwegs, die ähnliche Social-Engineering-Methoden anwenden, um arglose Anwender zum Ausführen des Dateianhangs zu bewegen.
Den Dateianhang der Mail sollte man keinesfalls öffnen. Erste Tests von heise Security haben ergeben, dass die meisten Viren-Scanner die enthaltenen Schädlinge (noch) nicht kennen. Berichten von Betroffenen zufolge legt die EXE-Datei nach ihrem Start unter anderem Personal-Firewalls und Antiviren-Software lahm.
Grundsätzlich sollte man überhaupt keine Dateianhänge in E-Mails öffnen, wenn diese unaufgefordert zugesandt wurden. Je mehr psychischen Druck eine E-Mail aufzubauen versucht, desto vorsichtiger sollten Anwender sein. Weitere Informationen zu Viren und Würmern liefern auch die Antiviren-Seiten von heise Security.
Quelle und Links : http://www.heise.de/security/news/meldung/68493
-
Offenbar wird auch drei Wochen nach der Veröffentlichung der Patches zum Stopfen der Windows-WMF-Sicherheitslücke versucht, ungepatchte Systeme mit Würmern und Trojanern zu infizieren. So kursiert seit wenigen Stunden eine angebliche Mail des Dell Online Store im Netz, die vorgibt einen Link zum Auftragscheck einer Bestellung zu enthalten:
Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag # 14780 Panasonic RX-F18 8.0 MP Digital Camera im Wert von 697.00$ ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
Klick mal rein um den Auftrag zu sehen
Vielen Dank Dell Online Store.
Unbedarfte Anwender könnten ob der hohen Summe irritiert dem Link folgen. Der führt natürlich nicht auf eine Webseite von Dell, sondern auf einen Server, der ein präpariertes WMF-Bild (xpl.wmf) enthält. Besucht man diese Seite mit dem Internet Explorer und einem ungepatchten Windows, ist man anschließend infiziert. Auch Anwender anderer Browser sind gefährdet, wenn sie die Datei herunterladen und anschließend mit einer verwundbaren Anwendung betrachten wollen.
Aktuelle Virenscanner erkennen den Schädling als WMF-Exploit. Was er genau macht, müssen allerdings weitere Tests zeigen. Ersten Analysen zufolge werden die Mails über Bot-Netze verteilt, in welchem Ausmaß ist aber unklar.
Sofern noch nicht geschehen sollten Windows-Anwender die Patches installeren, um den Angriff ins Leere laufen zu lassen. Unter Windows XP sollten die Patches in der Regel bereits automatisch installiert worden sein. Windows-2000-Anwender müssen die Update-Seiten von Microsoft manuell aufrufen.
Siehe dazu auch die Meldung von heise Security:
* Microsoft veröffentlicht WMF-Patch vorab
Quelle und Links : http://www.heise.de/security/news/meldung/68950
-
Heute werden einmal mehr gefälschte Telekom-Rechnungen Spam-artig verbreitet, die einen gefährlichen Anhang enthalten. Das Trojanische Pferd soll sich bei einem Web-Server melden und installiert ein schädliches Programm, das den Rechner mutmaßlich zu einem Teil eines Botnets machen soll.
Die Mails kommen mit einem Betreff wie "Telekom Rechnung Monat 03 2006 [Vorwahl ändern ...] " oder einfach "Rechnung Telekom". Der Text weist eine Rechnungssumme von mehreren hundert Euro aus. Der Anhang ist eine 8.704 Byte große EXE-Datei mit PDF-Symbol und dem Dateinamen "T-COM-Rechnung.pdf.exe".
Wird die Datei geöffnet, also ausgeführt, legt sie eine weitere schädliche Datei namens "sysldr.dl" im System-Verzeichnis von Windows an. In der Registry wird eine neue Kennung (CLSID, eine lange Nummer) generiert, auf die in weiteren Registry-Einträgen Bezug genommen wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
sysldr = <CLSID>
HKCR\CLSID\<CLSID>\InprocServer32
@ = sysldr.dll
Der Schädling nimmt Kontakt zu einem Web-Server in Texas, USA, auf. Er überträgt dabei mutmaßlich Daten, indem er ein PHP-Script auf dem Server aufruft. Auf diese Weise kann der Web-Server darüber Buch führen, wie viele und welche Rechner bereits infiziert sind. Das Trojanische Pferd hat keine eigene Verbreitungsfunktion.
Quelle : www.pcwelt.de
-
Bekam ich auch gerade.
F-prot kannte ihn aber noch nicht . Das XXXXX wurde als unbekannt eingestuft.
warpi@mediacube:/usr/local/f-prot$ ./f-prot /home/warpi
Virus scanning report - 23 March 2006 @ 17:39
F-PROT ANTIVIRUS
Program version: 4.6.6
Engine version: 3.16.14
VIRUS SIGNATURE FILES
SIGN.DEF created 22 March 2006
SIGN2.DEF created 22 March 2006
MACRO.DEF created 22 March 2006
Search: /home/warpi
Action: Report only
Files: "Dumb" scan of all files
Switches: -ARCHIVE -PACKED -SERVER
/home/warpi/T-COM-Rechnung.pdf.exe could be infected with an unknown virus
Results of virus scanning:
Files: 644
MBRs: 0
Boot sectors: 0
Objects scanned: 606
Infected: 0
Suspicious: 1
Disinfected: 0
Deleted: 0
Renamed: 0
Time: 0:04
-
Wie zuletzt Ende Februar sind im Moment wieder mehrere angebliche Rechnungen der Telekom per E-Mail unterwegs. Die falschen Zahlungsaufforderungen enthalten einen Trojaner.
Vermeintliche Nachzahlung
Im Anhang befindet auch eine Archivdatei ("Rechnung.zip"), die den Trojaner enthält und daher auf keinen Fall geöffnet werden sollte. Der Rechnungsbetrag schwankt von Mail zu Mail zwischen 306 und 690 Euro. Mal ist von einer "Nachzahlung" die Rede, andernfalls weist der Betreff einfach auf eine Rechnung beziehungsweise Online-Rechnung hin.
Gut getarnt
Obwohl sich die Rechnungen laut Betreffzeile angeblich auf den Monat April beziehen, gibt der Spammer in der Mail den Februar als Rechnungsmonat an. Die E-Mail macht zudem auf Online-Rechnungen mit qualifizierter elektronischer Signatur aufmerksam und gibt Links zu aktuellen Angeboten, den T-Com-Tarifen und zum Kontakt an. Im Zusammenhang mit dem gut kopierten Briefkopf wirkt die gefälschte E-Mail sehr überzeugend.
Quelle : www.onlinekosten.de
-
Zwar landen gefälschte eBay- und Telekom-Rechnungen mit Windows-Schädlingen im Anhang mittlerweile in regelmäßigen Abständen in den Postfächern der Anwender. Der Trojaner Clagger.AB war dem Hersteller von Antivirensoftware Sophos aber dennoch eine besondere Warnung wert. Immerhin variiert der Text der Mail ein wenig zu den bisherigen Rechnungsankündigungen. Unter anderem soll der Empfänger diesmal durch eine angebliche Nachzahlung für den Monat Juli ins Bockshorn gejagt werden, damit dieser sorglos den Anhang öffnet und startet. Aber auch Mails mit Rechnungsbeträgen über 4000 Euro machten die Runde.
Sobald sich Clagger auf dem Rechner eingenistet hat, lädt er weitere Dateien aus dem Internet nach und installiert sie, um den Rechner in einen Bot zu verwandeln. Bei einem Test eines Samples auf Virustotal erkannten allerdings fast alle Virenscanner – außer Avast, Ewido, Microsoft und VBA32 – den Trojaner. Anwender sollten dennoch auf keinen Fall verdächtige Anhänge öffnen und bei allen zugesandten Mails größte Vorsicht walten lassen – egal, von wem die Mail zu stammen scheint.
Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und Tipps, welche Einstellungen vorgenommen werden sollten.
Siehe dazu auch:
* Troj/Clagger-AB, Beschreibung von Sophos
Quelle und Links : http://www.heise.de/security/news/meldung/77465
-
Auch in dieser Woche werden wieder Mails mit gefälschten Telekom-Rechnungen verschickt, deren Dateianhang den Rechner mit Malware verseuchen soll.
Es geschieht inzwischen praktisch mindestens einmal in jeder Woche. Per Mail versenden üble Zeitgenossen vorgebliche Rechnungen mit Trojanischen Pferden darin. Derzeit ist es einmal mehr die Telekom, in deren Namen gefälschte Online-Abrechnungen mit sehr hohen Beträgen verbreitet werden.
Die Mails kommen zum Beispiel mit einem Betreff wie "Telekom Nachzahlung September 2006" oder "Telekom Rechnung Online Monat September 2006". Darin werden Forderungen in Höhe von zum Teil mehreren tausend Euro erhoben. Die Empfänger werden auf den Anhang verwiesen, der angeblich eine PDF-Datei mit der detaillierten Abrechnung enthalten soll.
Tatsächlich handelt es sich beim Inhalt der Datei "Rechnung.pdf.zip" um ein Programm mit doppelter Dateiendung ("Rechnung.pdf.exe") und PDF-Symbol. Es ist eine modifizierte Fassung eines schon seit geraumer Zeit einsetzten Schädlings, der weitere Malware aus dem Internet herunter lädt und installiert.
Die Versender der Mails verändern den Code der EXE-Datei durch den Einsatz verschiedener Komprimierungsprogramme soweit, dass die Datei von vielen Virenscannern zunächst nicht erkannt wird. Die Antivirus-Hersteller ziehen mit aktualisierten Virensignaturen nach und in der Folge geht es in die nächste Runde. Dann ist möglicherweise wieder Ebay als vorgeblicher Gegenstand der falschen Rechnungen an der Reihe.
Quelle : www.pcwelt.de
-
Mit wie üblich sehr hohen Beträgen sollen vorgebliche Telekom-Rechnungen, die per Mail Spam-artig verbreitet werden, die Empfänger zum Öffnen des Mail-Anhangs verleiten. Wer darauf herein fällt, installiert ein Trojanisches Pferd auf seinem PC.
Die vorgeblich von der T-Com stammenden Mails mit einem Betreff wie "Rechnung Online Monat September 2006" enthalten einen Anhang namens "Rechnung.pdf.zip" (10 KB). In diesem ZIP-Archiv steckt eine EXE-Datei gleichen Namens mit PDF-Symbol. Dabei handelt es sich um Malware, die weitere Schädlinge aus dem Internet herunter lädt.
Wird die EXE-Datei gestartet, legt sie im Verzeichnis C:\WINDOWS\System32\drivers eine Datei "winut.dat" an. Darin sind verschlüsselte Download-Adressen für weitere Malware enthalten. Diese versucht der Schädling herunter zu laden. Außerdem trägt er sich in die Windows-Registry ein, damit er bei jedem Windows-Start geladen wird.
Quelle : www.pcwelt.de
-
Nach bekanntem Schema werden Mails mit vorgeblichen Rechnungen des Online-Händlers Amazon verschickt. Der Anhang dieser Mails enthält ein Trojanisches Pferd.
Die Mails mit der vorgeblichen Amazon-Rechnung kommen mit einer Absenderangabe wie "Sunrise Elektronik GmbH", als Absenderadresse ist jedoch "info@amazon.com" angegeben. Der Betreff lautet zum Beispiel "Ihre Bestellung # 84561 von EUR 379.00 ist angenommen." und im Text wird die Bestellung einer Digitalkamera bestätigt, mit Verweis auf eine angebliche Rechnung im Anhang.
Bei diesem Anhang handelt es sich um eine 5,4 KB große Datei namens "rechnung_84561.exe", die ein Trojanisches Pferd enthält. Wie schon in vielen früheren Fällen dient dieser Schädling als Download-Programm, um weitere Malware aus dem Internet nachzuladen. Darunter befinden sich Key-Logger als BHO (Browser Helper Object im IE), ein Rootkit zur Tarnung und ein Spam-Proxy.
Erkennung des Anhangs durch Antivirus-Software:
(http://www.pcwelt.de/imgserver/bdb/57600/57620/original.jpg)
Quelle : www.pcwelt.de
-
Eine ganze Serie Malware-verseuchter, vorgeblicher Rechnungen über angeblich bestellte Digitalkameras hat in dieser Woche die Mailboxen in Deutschland und der Schweiz getroffen.
Bereits seit Anfang dieser Woche zieht eine Welle von Mails mit Trojanischen Pferden über das Land. Gemeinsame Merkmale dieser Mails sind Bezüge auf angebliche Bestellungen über Digitalkameras und der Verweis auf den Mail-Anhang, der vorgeblich die Rechnung enthalten soll.
Die gefälschten Absenderangaben sollen den Eindruck erwecken, die Mails kämen von Absendern wie dem Versandhändler Amazon, vom Online-Shop des Nachrichtensenders N24, von Bestbuy oder anderen Anbietern. Der Anhang dieser Mails besteht meist aus einer ZIP-Datei, die eine EXE-Datei enthält, oder direkt aus einer EXE-Datei. Diese Dateien weisen eine unterschiedliche Größe auf und werden von Antivirus-Programmen zum Zeitpunkt des Eintreffens der Mails nur teilweise erkannt.
Es handelt sich um Trojanische Pferde, die Sicherheits-Software außer Gefecht setzen und weitere Malware aus dem Internet nachladen sollen. Dieses Malware-Paket enthält unter anderem Programme, die persönliche Daten wie Passwörter ausspionieren sollen. Andere Schädlinge sollen den verseuchten PC in eine Spam-Schleuder verwandeln und weitere Mails der beschriebenen Art verbreiten.
Falls Sie eine derartige Mail erhalten, widerstehen Sie der Versuchung die vermeintliche Rechnung überprüfen zu wollen. Löschen Sie die Mail ohne den Anhang zu öffnen.
Quelle : www.heise.de
-
Seit Mittwoch abend sind wieder gefälschte eMails mit einer angeblichen Rechnung der Deutschen Telekom im Umlauf, die im Anhang einen Schädling mitbringen.
Die professionell aufgemachten Schreiben von T-Com enthalten neben einer fiktiven Kundennummer und einem korrekten Abrechnungszeitraum auch den Hinweis, dass die "Unterlassung rechtzeitiger Einwände als Genehmigung gelte", die genannte Summe über das Konto einzuziehen. Damit sollen gutgläubige Internet-Nutzer offenbar verleitet werden, auf die im Anhang befindliche ZIP-Datei zu klicken, die den Schädling dann installiert. Originellerweise ist in der eMail nur der Aufsichtsratschef Klaus Zumwinkel aufgeführt, der neue Vorstand René Obermann war bei den Betrügern offenbar noch nicht bekannt.
Quelle : www.satundkabel.de
-
Neue Varianten vorgeblich von der Telekom stammender Mails mit einem Trojanischen Pferd im Anhang werden Spam-artig verbreitet. Dieses Mal sind die Antivirus-Programme besser im Bilde.
Wie schon seit etlichen Monaten immer wieder werden derzeit Spam-artig Mails verbreitet, die vorgeblich von der Telekom stammen sollen und einen schädlichen Anhang enthalten. Die Mails tragen einen Betreff wie "Ihre Deutsche Telekom Rechnung" oder "Ihre detaillierte Telekom Rechnung von 1.11.2006 - 29.11.2006". Der Anhang hat einen Dateinamen wie "Telekom-Rechnung.zip" und enthält die Datei "Telekom-Rechnung.pdf.exe" mit einer Größe von etwa 23 KB.
Wird die mit einem PDF-Symbol versehene EXE-Datei gestartet, sucht sie nach einer eventuell aus früheren Infektionen des Rechners verbliebene Datei "winut.dat" im Verzeichnis "C:\Windows\System32\drivers". Ist sie nicht vorhanden, wird sie neu angelegt. Sie enthält Informationen über Download-URLs für weitere Schädlinge, die dann herunter geladen werden.
Quelle : www.pcwelt.de
-
Virenautoren versuchen, sich vorweihnachtliche Online-Einkäufe von Anwendern zunutze zu machen, um PCs mit Schädlingen zu infizieren. So kursieren derzeit vermehrt Mails, die vorgeben, eine Rechnung für eine Bestellung zu enthalten, etwa eine Digitalkamera von Sony zum Preis von 391 Euro vom Versender Sunrise-Elektronik.
Sony RX-F18 8.0 MP Digital Camera
Ihre Bestellung # 77136 von EUR 391.00 ist angenommen.
Ihre Karte wird mit dem faelligen Betrag belastet. Danke fuer Ihren Kauf.
Als Anlage finden Sie die Rechnung.
Wer nicht genau hinschaut und vielleicht ohnehin gerade ein Bestellbestätigung erwartet, könnte unvorsichtigerweise den Anhang öffnen. Darin steckt statt der Rechnung aber eine ausführbare Datei (beispielsweise rechnung_77136.exe), die den Downloader Nurech enthält, der nach der Infektion weitere bösartige Dateien nachlädt und in ähnlicher Form auch in gefälschten Telekom-, eBay- und Amazon-Rechnungen zu finden ist. Bei einem kurzen Test erkannten nicht alle Virenscanner den Schädling. Unter anderem versagten Avast, AVG, Bitdefender, Microsoft und Norman.
Wie immer gilt: Anwender sollten bei zugesandten Mails größte Vorsicht walten lassen – egal, von wem die Mail zu stammen scheint. Inbesondere sollte man keine ausführbaren Anhänge im Mail-Client öffnen. Allerdings verhindern die meisten E-Mail-Clients dies ohnehin in der Standardkonfiguration. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und Tipps, welche Einstellungen vorgenommen werden sollten.
Quelle : www.heise.de
-
Die Verbreitung von Trojanischen Pferden über vorgebliche Rechnungen per Mail erfolgt zurzeit auch im Namen des Online-Shops von Neckermann.
In dieser Woche werden Spam-artig Mails mit vorgeblichen Rechnungen des Online-Shops neckermann.de verbreitet. Darin wird die angebliche Bestellung einer Videosammlung oder auch einer Digitalkamera bestätigt und auf den Anhang verwiesen. Dieser soll die laut Mail-Text die Quittung enthalten.
Die Mails werden mit gefälschten Absenderangaben verschickt und tragen einen Betreff wie "Vielen Dank fur Ihren Einkauf der Videosammlung!" oder auch "Bestellung # 53615 von EUR 391.00 ist angenommen." Im Text wird ferner die Abbuchung des Rechnungsbetrags von der Kreditkarte angekündigt.
Auf der Website des Online-Shops von Neckermann gibt es bereits eine Warnung vor diesen Mails:
"Derzeit sind gefälschte neckermann.de-Mails im Umlauf, die vermutlich einen Virus als Anhang haben. In den Mails wird behauptet, es fände eine Abbuchung von Ihrer Kreditkarte statt. Wir möchten ausdrücklich darauf hinweisen, dass diese Mails nicht von neckermann.de stammen. Bitte öffnen Sie den Anhang auf keinen Fall und löschen die Mails umgehend."
Der Anhang besteht aus einer Datei "empfangsschein.exe" (5916 Bytes). Hierbei handelt es sich um ein Trojanisches Pferd. Dessen Aufgabe ist es, weitere Malware aus dem Internet nachzuladen und zu installieren.
Quelle : www.pcwelt.de
-
Auch heute gibt es wieder Mails mit vorgeblichen Rechnungen, diesmal bezogen auf den angeblichen Kauf einer Digitalkamera bei einer Firma namens Sunrise. Der Anhang enthält ein Trojanisches Pferd.
Wie bereits in den letzten Tagen werden auch heute wieder Spam-artig Mails mit vorgeblichen Rechnungen verbreitet, deren Anhang Malware enthält. Die gefälschten Absenderangaben verweisen auf eine fiktive Firma namens "Sunrise Elektronik GmbH", bei der die Mail-Empfänger angeblich eine Digitalkamera gekauft haben sollen. Bereits im November 2006 wurden ähnliche Rechnungs-Mails verbereitet.
Die Mails kommen mit einem Betreff wie "Ihre Bestellung # 24435 von EUR 453.00 ist angenommen", wobei die angegebene Rechnungsnummer variiert. Der Text verweist bezüglich der Rechnung auf den Anhang, eine gerade einmal 2141 Bytes große Datei mit Namen "rechnung.exe". Dies ist ein Trojanisches Pferd, das gleich drei weitere EXE-Dateien von einem Web-Server herunter lädt, dessen Domain in Hongkong registriert ist.
Bei diesen Schädlingen handelt es sich unter anderem um ein Trojanisches Pferd aus der "Goldun"-Familie, das Zugangsdaten für das Online-Banking ausspähen soll. Die beiden anderen dienen mutmasslich dem Aufbau eines Botnets.
Quelle : www.pcwelt.de
-
Zur Zeit ist im World Wide Web ein neuer Trojaner unterwegs der sich als vermeintliche Rechnung vom bekannten Auktionshaus Ebay verbreitet. Die falsche Rechnungsmail enthält einen Dateianhang mit einer PDF-Rechnung in Höhe von 426,96 Euro aber wenn diese geöffnet werden sollte wird der Rechner durch den Trojaner infiziert.
Sobald der Trojaner auf den Rechner gelandet ist kann ein Hacker sensible persönliche Daten ausspionieren und bedroht sind besonders Interneteinsteiger denn die Mail gibt vor tatsächlich vom amerikanischen Auktionskonzern Ebay zu kommen.
Schon seit mehreren Wochen verschicken unbekannte Cyberkriminelle im Namen bekannter Unternehmen wie der 1&1 Internet AG über das Internet gefälschte Rechnungen mit dem Ziel an persönliche sensible Informationen wie Kontonummern oder Logindaten zu gelangen. Wenn eine solche Mail mit einer vemeintlichen Rechnung im eigenen virtuellen Postfach eintreffen sollte dann ist es empfehlenswert diese nicht zu öffnen damit der Rechner vor Viren, Würmern oder Trojanern geschützt ist.
Quelle: virenschutz.info
-
Heute werden deutsche Mailboxen wieder mit Mails beworfen, die ein Trojanisches Pferd enthalten. Eine kommt zum Schein von TMS Logistik und bestätigt eine angebliche Bestellung in einem Web-Shop.
Auch in dieser Woche haben deutsche Internet-Nutzer keine Ruhe vor Mails mit vorgeblichen Rechnungen und anderen Gelegenheiten sich den PC zu verseuchen. Wie bereits mehrfach zuvor werden Mails verschickt, die vorgeben von einer Firma TMS Logistik zu kommen und eine "Webshop Bestellung" zu bestätigen.
Die Mails tragen einen Betreff wie "KD 89867 Webshop Bestellung 2.02.2007" (die Zahlen sind unterschiedlich) und im Anhang steckt der angebliche Aufrag als vermeintliche PDF-Datei "Bestellung-89867.pdf.exe" (die Nummer ist variabel). Diese EXE-Datei ist ein Trojanisches Pferd, das weitere Schädlinge aus dem Internet nachlädt.
Quelle : www.pcwelt.de
-
Vorgeblich vom Online-Versandhändler Amazon stammende Mails mit einer Rechnung werden Spam-artig verbreitet und transportieren Malware zu potenziellen Opfern.
Wenn Sie eine Mail von Amazon erhalten, die Ihnen bestätigt, Sie hätten ein Notebook bestellt, dann haben Sie die neueste Variante einer Standardmasche der Malware-Versender vor sich. Mit einem Betreff wie "Ihre Bestellung 2828133 bei Amazon.de" (die angebene Bestellnummer varriiert) kommen Spam-artig Mails, die zum Beispiel eine Rechnungssume von 1862,- Euro für ein Notebook der Marke Vaio nennen.
Um die Empfänger dazu zu verleiten den Anhang zu öffnen, heißt es im Mail-Text weiter, wenn man die Bestellung stornieren wolle, müsse man die auf der beigefügten Rechnung genannte Telefonnummer des Kundesdienstes anrufen. Der Anhang trägt einen Dateinamen wie "9466973.exe", auch hier variiert die Nummer.
Es handelt sich bei dieser EXE-Datei um ein Trojanisches Pferd, das versucht, Sicherheitsprogramme auszuschalten, weitere Malware aus dem Internet zu laden und persönliche Daten auszuspionieren.
Quelle : www.pcwelt.de
-
Wie viele Leser berichten, spült ein Bot-Netz derzeit angebliche Ikea-Rechnungen in die Postfächer. Das Schema ist bekannt: Mails mit einem Betreff wie "Ihre IKEA Bestellung" oder ähnlich, fordern dazu auf, die Rechnung im Anhang zu begutachten:
Sehr geehrter IKEA Kunde,
die Gesamtsumme für Ihre Rechnung beträgt: 383,77 Euro. Anbei erhalten Sie den detaillierten Rechnung sowie die alle anderen wichtigen Unterlagen zu Ihrem Bestellung im beigefügter ZIP Datei.
Die ZIP-Datei enthält jedoch eine ausführbare EXE-Datei mit der doppelten Endung pdf.exe, die sich zusätzlich mit einem PDF-Icon tarnt. Wer sie öffnet, lädt damit weiteren Unrat auf seinen Rechner. Konkrete Analysen stehen noch aus, aber vermutlich handelt es sich wie gewohnt um Spionageprogramme und Bot-Netz-Software, die den Absendern das Fernsteuern des Rechners erlaubt.
Die Erkennungsrate von AV-Software ist -- wie bei diesen Rechnungs-Trojanern üblich -- noch sehr schlecht. Lediglich ein paar Exoten wie Ikarus (Trojan-Downloader.Win32.Small) und ClamWin (Trojan.Fakebill) erkennen den Schädling bereits. Die trojanischen Pferde werden so lange variiert, bis zumindest die bekannten Viren-Scanner sie nicht mehr erkennen. Der Versand erfolgt dann über ein Bot-Netz innerhalb weniger Stunden an hunderttausende oder Millionen von Mail-Adressen. Kein Hersteller kann so schnell reagieren. Deshalb wird es immer wichtiger, Schad-Software nicht mit Signaturen sondern an ihrem Verhalten zu erkennen, wie es auch immer mehr Hersteller versuchen.
Quelle : www.heise.de
-
Gleich zwei Trojaner-Wellen füllen derzeit die elektronischen Postfächer von Internetnutzern. Während seit dem gestrigen Mittwochabend vermeintliche Amazon-Rechnungen die Runde machen, erhalten viele Nutzer seit dem heutigen Donnerstagmorgen auch vorgebliche E-Mail-Änderungsbenachrichtigungen von eBay.
Die gefälschten Amazon-E-Mails waren nicht korrekt kodiert, sodass der Anhang in Mailprogrammen wie Thunderbird nicht einmal angezeigt wurde. Die eBay-Mails enthalten jedoch standardkonform eine ZIP-Datei im Anhang. Darin befindet sich Ebay.de_bitte_lesen.pdf.exe mit einer angeblichen Anleitung, wie man die E-Mail-Änderung verhindern könne, wenn man sie nicht selbst angestoßen habe.
(http://www.heise.de/bilder/85684/0/1)
Wie inzwischen üblich, haben die Virenbastler die Dateianhänge so modifiziert, dass sie kaum ein Virenscanner erkennt. Während der vergangenen Stunde haben aber Antivir, ClamAV, Ikarus und Kaspersky passende Signaturen für den eBay-Trojaner nachgelegt. Die Namen der Amazon-Schädlinge – bei mehreren Antivirenherstellern Trojan-Downloader.Win32.Nurech.as – lassen darauf schließen, dass es sich um Variationen desselben Trojaners handelt.
Die Social-Engineering-Variante, die beim Anwender Druck aufbauen und ihn so zum Ausführen des Dateianhangs verleiten soll, überrascht kaum. Daher hilft es schon, die üblichen Sicherheitshinweise beim Umgang mit E-Mails zu beachten. Welchen konkreten Schaden die ausführbaren Dateien anrichten und welche Dateien sie nachladen, ist bislang noch nicht klar. Eine Analyse der Schädlinge mit einer auf VMware basierenden Sandbox schlug fehl; vermutlich haben die Schädlinge Routinen zur Erkennung einer virtuellen Maschine und beenden sich darin vorzeitig.
Quelle : www.heise.de
-
Die Rückverfolgung der diversen Rechnungs-Mails mit Trojanischen Pferden im Gepäck führt zu einem Server in Deutschland, auf dem Daten über etliche tausend verseuchte Rechner gespeichert sind.
Insbesondere seit Anfang dieses Jahres werden täglich wechselnde Mails mit vorgeblichen Rechnungen irgendeines Unternehmens Spam-artig verbreitet. Das Spektrum vorgeblicher Absender reicht von 1&1 und Amazon über die GEZ und Ikea bis zu fiktiven Zigarettenhändlern. Der bunte Strauß wird durch vorgebliche Mails vom BKA getoppt, die vorführen, wie Social Engineering zur Verbreitung von Malware funktioniert.
Vinoo Thomas von McAfee Avert Labs beschreibt im Weblog der Virenforscher , was hinter den Kulissen dieser Schädlingsepidemie vor sich geht. Ist ein PC mit einem der Schädlinge aus der Familie " Downloader-AAP ", wie sie bei McAfee genannt wird, verseucht, ermittelt dieser die aktuelle IP-Adresse des Rechners. Diese meldet er an einen bei einem der größten Web-Provider in Deutschland stehenden Server, möglicherweise an einen von mehreren.
Der von Vinoo Thomas gefundene und untersuchte Server enthält eine Verzeichnisstruktur, die für jedes Land einen eigenen Ordner aufweist - 95 insgesamt, von "AE" für die Vereinten Arabischen Emirate über "DE" für Deutschland bis "ZW" für Sambia. Das Geschäft scheint wohl gut zu laufen. Im Ordner für Deutschland finden sich zahlreiche Unterordner, je einer pro verseuchten PC. Die Ordner enthalten Textdateien mit ausspionierten Passwörtern, zum Beispiel Zugangsdaten für Ebay.
Die Methode der Malware-Verbreitung beginnt mit der Suche nach anfälligen Unix-/Linux-Systemen im Internet, auf denen ein Apache Web-Server läuft. Diese werden mit Malware bestückt, die von den per Mail verbreiteten Download-Programmen ("Trojan-Downloader") herunter geladen werden. Wird ein derart missbrauchter Web-Server vom Netz genommen, kann er leicht wieder durch einen anderen ersetzt werden.
Nachdem es nun gelungen zu sein scheint, Zugang zu einem Server zu erhalten, auf dem die ausgespähten Daten gelagert werden, sind Ermittlern auch Hinweise auf die Täter in die Hände gefallen. Das gibt Anlass zur Hoffnung, dass der Spuk bald ein Ende haben könnte.
Quelle : www.pcwelt.de
-
Die Versender von vorgeblichen Rechnungen haben sich auf eine andere Masche verlegt. Sie senden keine Anhänge mehr sondern verlinken auf eine Website, die Sicherheitslücken ausnutzen soll, um Schädlinge einzuschleusen.
Seit gestern werden wieder Spam-artig vorgebliche Rechnungen einer "TMS Logistik GmbH" verbreitet. Inzwischen haben die Mail-Versender allerdings ihre Taktik geändert. Sie schicken keine Trojanischen Pferde als Mail-Anhang mit, sondern fügen im Text der Mails einen Link ein. Dieser Link verweist auf eine Website mit südkoreanischer Domain, die wohl kaum geeignet ist das Vertrauen aufmerksamer Mail-Empfänger zu erwecken.
Misstrauen ist auch angebracht - die verlinkte Web-Seite ist mit dem Webattacker-Toolkit präpariert, das verschiedene Exploits für bekannte Sicherheitslücken im Internet Explorer enthält. Möglicherweise ist auch ein halbwegs aktueller Firefox-Exploit dabei. Die Sicherheitslücken werden ausgenutzt um eine 2 KB große EXE-Datei einzuschleusen und auszuführen. Dabei handelt es sich um ein Trojanisches Pferd, das die Aufgabe der früheren Mail-Anhänge übernimmt: es lädt einen weiteren Schädling herunter. Dieser soll dann etwa Zugangsdaten für das Online-Banking ausspionieren.
Quelle : www.pcwelt.de
-
Mit gefälschten Rechnungen zur Mitgliedschaft bei der Partnersuchplattform single.de versuchen Virenautoren derzeit Anwender zu überrumpeln. Der Mailtext behauptet, man habe sich für die kostenpflichtige Partnersuche angemeldet. Der fällige Betrag werde dem Konto zur Last gelegt. Zukünftig erhalte man zweimal pro Woche Informationen über andere Partnersuchende aus der Region. Der Anhang soll dann die Rechnung und weitere Daten zum eigenen Profil enthalten. Zum Lesen des Anhangs sei kein zusätzliches Programm nötig.
Auch gefälschte Quelle-Rechnungen sind derzeit im Netz unterwegs. Frech behauptet die Mail sogar, die angebliche PDF-Datei (pdf.exe) im Anhang sei mit einer digitalen Signatur unterzeichnet worden und würde deshalb auch nach dem Signatur-Gesetz (SigG) anerkannt. Wie auch in den vorangegangenen Fällen gefälschter 1&1-, GEZ-, IKEA-, eBay- und auch aktuell wieder kursierender Amazon-Rechnungen steckt im Anhang ein Schädling, der sich auf dem System einnistet.
Eine konkrete Analyse der Schädlinge steht noch aus, es handelt sich hierbei aber um Trojaner der Nurech-Familie, die weitere Schadprogramme nachladen, etwa Spionageprogramme oder Bot-Netz-Software, die den Absendern das Fernsteuern des Rechners erlaubt. Die Erkennungsrate von AV-Software ist bislang noch mangelhaft. Den Quelle-Trojaner erkannten in einem Test nur Sophos, McAfee, F-Secure, ClamAV, Ikarus und Antivir.
Anwender sollten im Umgang mit Anhängen und vorgeblichen Rechnungen besonders vorsichtig sein. Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und Tipps, welche Einstellungen vorgenommen werden sollten.
Quelle : www.heise.de
-
Die Versender vorgeblicher Rechnungen sind wieder aktiv. Einmal mehr vermeiden sie den Versand von Dateianhängen und schicken stattdessen lediglich einen Link auf eine Webseite mit Exploit-Code.
In heute versandten falschen Rechnungen einer "TMS Logistik GmbH" ist ein Link auf eine Webseite in Südkorea enthalten, die mit dem Web-Attacker-Toolkit präpariert ist. Die Mails kommen mit einem Betreff wie "KD 56132 Webshop Bestellung 27.02.2007" (die Nummer variiert). Im Text heißt es: "Die von Ihnen bestellten Waren sind vollstandig am Lager und werden umgehend durch die Logistikabteilung an Sie versandt." Danach folgt der nicht verschleierte Link nach Korea (.co.kr).
Wird der Link angeklickt, öffnet der Browser eine präparierte Seite, die einen winzigen Iframe von einer anderen Website nachlädt. Dieser enthält eine PHP-Anweisung zum Download eine EXE-Datei. Durch Ausnutzen von bekannten Sicherheitslücken im Browser, vor allem im Internet Explorer, wird die EXE-Datei eingeschleust und ausgeführt.
Es handelt sich dabei um ein Trojanisches Pferd aus der "Goldun"-Familie. Diese Schädlinge sind vor allem auf das Ausspionieren von Passwörtern und Zugangsdaten spezialisiert. Die hier verwendete neue Variante wird bislang nur von wenigen Virenscannern erkannt. Allerdings filtern einige Provider bereits Mails aus, die einen Link zu der koreanischen Webseite enthalten.
Quelle : www.pcwelt.de
-
Eine vorgeblich von Ebay kommende Mail bezüglich einer Adressänderung enthält einen schädlichen Anhang. Die Spam-artig verbreiteten Mails folgen dem inzwischen hinlänglich bekannten Schema ihrer Vorgänger.
Die Versender vorgeblicher Rechnungen haben offenbar befunden, dass Ebay mal wieder an der Reihe wäre als vermeintlicher Absender herhalten zu müssen. Möglicherweise haben sie bislang mit gefälschten Ebay-Mails gute Erfolge erzielt. Die Mails kommen mit einem Betreff wie "EBay-Hinweis zu geanderter E-Mail-Adresse". Im Anhang befindet sich ein ZIP-Archiv namens "Ebay.zip", das ein Trojanisches Pferd mit dem Dateinamen "Ebay.jpg.exe" (7 KB) enthält.
Im Text, der früheren Mails dieser Art gleicht, wird allerdings auf eine PDF-Datei hingewiesen, die sich im Anhang befinden soll. Darin soll der Empfänger eine Anleitung für den Fall finden, dass er gar keine Adressänderung vorgenommen hat. Ob hinter der somit doppelt falschen Dateiendung ein Versehen oder Absicht steckt, bleibt Spekulation.
Das Trojanische Pferd ist jedenfalls, wie schon in früheren Fällen, ein Downloader, der weitere Malware aus dem Web nachlädt. Dabei handelt es sich im eine 88 KB große Datei namens "2.exe" von einer lange bekannten Download-Adresse, wo ständig neue Schädlingsvarianten bereit gestellt werden. Bei dem nachgeladenen Schädling handelt es sich um Malware, die zum Aufbau eines Botnets dient. Infizierte Rechner werden zu so genannten Zombies, also fremdgesteuerte Teile des Botnets und mutieren auf Befehl zur Spam-Schleuder.
Quelle : www.pcwelt.de
-
Vorgebliche Anmeldebestätigungen einer Single-Kontaktseite transportieren ein Trojanisches Pferd. Die Absenderangaben sind wie üblich ebenso falsch wie der Textinhalt dieser Mails.
Am Wochenende ist eine Welle von Spam-artig verbreiteten Mails übers Land geschwappt, die vorgeblich von der Website "Singles-4you" stammen. Tatsächlich werden sie mit gefälschten Absenderangaben versandt, die zusammen mit dem Inhalt der Mails nur dazu dienen sollen, die Empfänger zum Öffnen des Anhangs zu verleiten.
Die Mails kommen mit einem Betreff wie "Ihre Registrierung bei singles-4you.de", "Lastschrift Nr. 78119056", "Kostenpflichtige Klubmitgliedschaft" oder auch "www.singles-4you.de Anmeldung ID 81985666". Dabei sind die verwendeten Nummern variabel. Der Anhang besteht scheinbar aus einem ZIP-Archiv mit einem Dateinamen wie "82748.zip", wobei die Ziffern wiederum unterschiedlich sein können. Es handelt sich dabei jedoch nicht um ein ZIP-Archiv sondern um eine EXE-Datei mit einem Trojanischen Pferd, das weitere Malware aus dem Internet nachladen soll. Es handelt sich um denselben Downloader wie schon in den falschen Ebay-Mails vergangener Woche. Daher ist die Erkennung durch Antivirus-Programme auch von Anfang an relativ gut gewesen, gemessen an ähnlichen Mails der letzen Monate.
Quelle : www.pcwelt.de
-
Vorgeblich von Apple kommende Mails mit einer Versandbestätigung über einen iPod enthalten einen Link zu einer Website, die ein Trojanisches Pferd einschleusen soll.
Zurzeit Spam-artig verbreitete Mails, die vorgeblich von Apples Online-Shop kommen, bestätigen eine angebliche Bestellung eines iPod und dessen anstehende Lieferung in einigen Tagen. Ein Preis wird nicht genannt, eine Rechnung ist auch nicht enthalten. Dafür jedoch ein Link, vorgeblich zur Website von Apple, wo die Empfänger der Mails angeblich den Status ihrer Bestellung überprüfen können.
Tatsächlich führt der Link jedoch zu "applestore.ms" und nicht zum echten Online-Shop unter "applestore.com". Die aufgerufene Seite täuscht zunächst eine Weiterleitung vor, die den Download eines Trojanischen Pferd mit dem Dateinamen "syme.exe" anstößt. Die Seite enthält zudem den Hinweis, falls der Browser eine Weiterleitung unterstütze, möge der Besucher "hier" klicken. Dieser Link führt dann zum echten Apple-Store.
Bei der herunter zu ladenden EXE-Datei handelt es sich um ein Trojanisches Pferd aus der Rbot-Familie. Diese Bots dienen in erster Linie dem Aufbau neuer sowie dem Ausbau bestehender Botnets. Wenn Sie also die Datei herunter laden und ausführen, wird Ihr PC zum fremdgesteuerten Werkzeug von Spammern, zu einem so genannten Zombie.
Quelle : www.pcwelt.de
-
Kunden der Deutschen Telekom sollten in diesen Tagen bei einem Blick in das E-Mail-Postfach besonders vorsichtig sein. In der Nacht auf den heutigen Mittwoch haben Betrüger erneut unzählige gefälschte Telekom-Rechnungen verschickt. Im Anhang lauert vermutlich ein gefährlicher Trojaner.
Gefälschter Absender
Die HTML-Nachricht mit dem Betreff "Ihre detaillierte Telekom-Rechnung vom 1.02.2007 – 20.03.2007" stammt angeblich von der Deutschen Telekom AG. Als Absender wurde von den Spammern die gefälschte, aber durchaus vertrauenswürdig erscheinende Adresse Rechnung-Online@t-com.net genutzt. Gefährlich ist auch, dass die Gestaltung der E-Mail auf den ersten Blick recht professionell ausgefallen ist. Neben einer Rechnungsnummer ist in dem Schreiben auch eine Kundennummer zu finden. Diese Daten sind freilich frei erfunden, doch viele T-Com-Kunden dürften ihre Kundennummer nicht auswendig kennen.
(http://www.onlinekosten.de/news/bilder/t-com_spam.jpg)
Skepsis sollte aber vor allem der hohe - von E-Mail zu E-Mail variierende - Rechnungsbetrag von 285 Euro oder sogar fast 482 Euro auslösen, der eingefordert wird. Auch die Tatsache, dass im Anhang eine .zip-Datei darauf wartet entpackt zu werden, ist ein Alarmsignal. In der E-Mail heißt es zwar, dass der Anhang einen Einzelverbindungsnachweis beinhalte, tatsächlich lauert dort jedoch eine Datei namens T-Com.pdf.exe. Statt eines PDF-Dokuments lauert demnach eine ausführbare .exe-Datei, hinter der sich mit großer Wahrscheinlichkeit ein Trojaner versteckt. Wird er auf dem PC installiert, ist es den Versendern der gefälschten Rechnungen theoretisch möglich, persönliche Daten wie Passwörter auszulesen oder den befallenen Rechner für den weiteren Spam-Versand zu nutzen.
E-Mail löschen
Nach Angaben der Deutschen Telekom sollten betroffene Kunden die E-Mail sofort löschen. Das Unternehmen weist darauf hin, dass Kunden nur dann eine E-Mail mit integrierter Rechnung erhalten, wenn sie dies ausdrücklich wünschen. Außerdem sei in jeder E-Mail die exakte Buchungskontonummer des jeweiligen Kunden zu finden und der Kunde werde in der Nachricht in den meisten Fällen persönlich angesprochen.
Quelle : www.onlinekosten.de
-
Besonders dreist ist die neueste Variante der offenbar nun monatlich wiederkehrenden gefälschten 1&1-Rechnungen. Die Mail enthält einen Sicherheitshinweis, man solle keinesfalls Anhänge in gefälschten Mails öffnen. Vielmehr solle man nur Mails wie dieser trauen. Die Echtheit der 1&1-Rechnung erkenne man daran, dass echte Rechungen immer als ZIP-Datei beigefügt seien und immer einen Sicherheitshinweis enthielten:
Aktueller Sicherheitshinweis:
=============================
Unbekannte haben Millionen von E-Mails versendet, die sich als Rechnungen der 1&1 Internet AG tarnen.
Diese E-Mails versuchen den Rechner des Empfängers mit einem Virus zu infizieren.
Ausschließlich solchen E-mails wie dieser können Sie vertrauen. Öffnen Sie keinesfalls in gefälschten E-Mails angehängten Dateien!
Sie erkennen die Echtheit Ihrer 1&1 E-Mail-Rechnung an folgenden Merkmalen:
- Sie erhalten echte Rechnungen immer als ZIP Dateien
- Sie finden immer diesen Sicherheitshinweis darin
Solche Sicherheitshinweise in gefälschten Rechnungen sind nicht neu. Auch die kürzlich kursierenden Quelle-Rechnungen enthielten den Hinweis, dass die Rechnung in einem digital signiertem PDF-Dokument stecken würden. Allerdings steht zu befürchten, dass Anwender sich von dem Text überzeugen lassen und trotz aller Warnungen den Anhang entpacken und starten. Darin steckt ein Downloader, der sich auf dem System einnistet und weiteren Schadcode aus dem Internet nachlädt. Noch erkennen nur wenige Virenscanner den Schädling, gerade mal Antivir, ClamAV, eTRUST, F-Secure und Ikarus schlagen Alarm.
Quelle : www.heise.de
-
Einmal mehr werden vorgebliche Bestellbestätigungen von einer TMS Logistik GmbH verschickt, die auf eine koreanische Website verlinken. Diese versucht über Sicherheitslücken im Browser Malware einzuschleusen.
Die Malware-Spammer werden keineswegs müde auf sattsam bekannte Weise Malware unters Volk bringen zu wollen. Seit gestern Abend werden Spam-artig Mails mit einer vorgeblichen Bestellbestätigung eines nicht näher bezeichneten Web-Shops verbreitet. Als Absenderangabe dient einmal mehr eine fiktive "TMS Logistik GmbH", der Betreff lautet zum Beispiel "KD 00813 Webshop Bestellung 27.03.2007".
Die Mails bestätigen eine angebliche Warenbestellung ohne die Art der Ware zu nennen und verweisen auf eine von zwei verschiedenen Websites mit in Südkorea registrierten Domains (.kr). Eine davon wurde bereits vor zwei Wochen in gleicher Weise genutzt . Diese laden bei Aufruf einen versteckten iFrame, der Javascript-Code enthält. Es wird damit versucht, über bekannte Sicherheitslücken im Browser, vorzugsweise im Internet Explorer (IE), Malware einzuschleusen.
Der eingeschleuste Schädling gehört zur Goldun-Familie und spioniert vertrauliche Daten aus. So wird etwa eine Datei namens "ipv6monl.dll" im System32-Verzeichnis von Windows abgelegt und als BHO (Browser Helper Object) im IE registriert. Diese kann somit alle Eingaben in Web-Formularen abfangen und protokollieren.
Quelle : www.pcwelt.de
-
Seit Kurzem landen in den E-Mail-Eingängen vieler Anwender vermeintliche Bestätigungsmails von Avira, die einen Trojaner im Anhang enthalten. Laut der E-Mail handelt es sich bei dem Anhang um eine Installationsdatei für eine Vollversion eines Avira-Virenscanners. Allerdings handelt es sich bei der Datei nicht um den Virenscanner, sondern um einen Schädling.
Bislang ist noch wenig über den Trojaner im Anhang der Mails mit dem Betreff Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten bekannt. Es ist jedoch wahrscheinlich, dass es sich – wie bei derartigen Mails üblich – um eine Downloader-Komponente handelt, die weiteren Schadcode auf den Rechner herunterlädt und ihn so in eine hörige Drohne eines Botnetzes verwandelt.
Die E-Mails stammen vorgeblich von cleverbridge, dem Unternehmen, das den Online-Shop von Avira bereitstellt. Sofern man nicht kürzlich einen Virenscanner bei Avira bestellt hat, sollte man diese Mails einfach löschen und den Anhang nicht ausführen. Wer auf eine Bestellbestätigung wartet, sollte den Anhang ebenfalls nicht ausführen, sondern die bei celeverbridge heruntergeladene Datei zur Installation nutzen.
Quelle : www.heise.de
-
Mit dem Versand von Mails mit vorgeblichen Rechnungen über eine angeblich bestellte Version von Antivir gehen Malware-Spammer erneut auf die Suche nach neuen potenziellen Opfern.
Am Samstag sind wieder Spam-artig verbreitete Mails mit vorgeblichen Rechnungen von Aviras Online-Shop Cleverbridge im Umlauf gebracht worden. Wie bereits einige Tage zuvor werden diese Mails mit der gefälschten Absenderangabe "cleverbridge/Avira GmbH." über ein Botnet verschickt . Die Mails tragen den Betreff "Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten" und enthalten auch im Text den Hinweis auf die "Referenznummer: 595169". Diese Nummer findet sich ebenfalls im Dateinamen des Anhangs wieder.
Der Text verweist auf diesen Anhang, der einen Lizenzschlüssel für Antivir Personal Edition Premium mit einer Laufzeit von fünf Jahren enthalten soll. In dem ZIP-Archiv "595169.zip" steckt eine ausführbare Datei namens "HBEDV.KEY.exe", die 3584 Bytes groß ist. Dabei handelt es sich um ein Trojanisches Pferd. Wird das Programm gestartet, lädt es einen weiteren Schädling aus dem Internet herunter.
Dieser installiert eine Datei namens "ipv6monl.dll" im System32-Verzeichnis von Windows und registriert sie als BHO (Browser Helper Object) im Internet Explorer. Dadurch können online eingegebene Zugangsdaten abgefangen werden, die der Schädling an einen Server im Internet meldet. Ziel der Täter sind sowohl Passwörter für Online-Spiele als auch Anmeldedaten für das Online-Banking.
Quelle : www.pcwelt.de
-
Die Versender von Malware-Spam folgen weiter dem ausgetretenen, anscheinend jedoch weiterhin lohnenden Pfad des Versands vorgeblicher Rechnungen per Mail. Diesmal ist es die Auktionsplattform Ricardo, die als angeblicher Absender der Mails herhalten muss.
Es scheint sich immer noch eine ausreichende Zahl von Opfern finden zu lassen, um das bereits seit längerer Zeit praktizierte Schema vorgeblicher Rechnungs-Mails lukrativ zu halten. So haben die Malware-Spammer am Wochenende Nutzer der Schweizer Auktionsplattform Ricardo.ch ins Visier genommen.
(http://images.pcwelt.de/images/pcwelt/bdb/82875/800x.jpg)
Die Mails kommen mit einem Betreff wie "Ihre Rechnung bei Ricardo.ch" und enthalten eine vorgebliche Kontoübersicht sowie verschiedene Schreibfehler. Der nur 4 KB große Anhang ist eine EXE-Datei mit doppelter Endung und heißt "Rechnung_N31295882-OM.PDF.exe". Es handelt sich dabei um ein Trojanisches Pferd, das eine Datei "ldr.exe" von einem Server in Malaysia herunter lädt, die es als "winstart64.exe" im Windows-Verzeichnis ablegt und ausführt.
Der verseuchte Rechner enthält schließlich eine offene Hintertür, über die via Internet auf den PC zugegriffen werden kann, sowie Spionageprogramme zum Ausspähen von Anmeldedaten für das Online-Banking. Der PC wird Teil eines Botnets und kann zum Beispiel fremdgesteuert Spam verbreiten.
Quelle : www.pcwelt.de
-
Wieder einmal ist dies ein Anlass, deutlich darauf hinzuweisen, dass die default bei Windoze voreingestellte Ausblendung der Dateierweiterung bei 'bekannten' Dateitypen absolut leichtsinnig und m.e. grob fahrlässig ist.
Also, wenn immer noch nicht geschehen, sofort in die
Ordneroptionen --> Ansicht
und diesen Mist abstellen!!!
Das Thema ist zumindest seit den Kournikova-jpg-vbs Schädlingen weltweit hinlänglich bekannt ::)
-
In Spam-artig verbreiteten Mails, die vorgeblich vom Otto-Versand oder auch von T-Mobile kommen, sind Links zu Malware-Sites enthalten. Diese versuchen über Sicherheitslücken Trojanische Pferde einzuschleusen.
Seit gestern Abend werden Spam-artig Mails verbreitet, die vorgeblich von Otto.de kommen und den Betreff "Die Rechnung ist blockiert" tragen. Im Text heißt es, das Sicherheitssystem habe den Versuch verhindert den "Internetgeldbeutel" des Empfängers auszunutzen. Dieser wird aufgefordert "Aktivierungsprozedur noch einmal durchzunehmen" und soll dann den "Aktivierungskode und die neue Parole" erhalten. Dazu ist ein Link angegeben, der nur scheinbar "http://otto.de/de/" lautet.
(http://images.pcwelt.de/images/pcwelt/bdb/85179/800x.jpg)
Seit heute Morgen hat sich der vorgebliche Absender geändert, nunmehr muss T-Mobile herhalten. Die Mails kommen mit einem Betreff wie "Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben.". Darin werden Punkte versprochen, die man für kostenlose SMS nutzen können soll. Um den Punktestand zu überprüfen, wird ein Link angegeben, der nur scheinbar auf die Website von T-Mobile führt.
Die Links führen tatsächlich zu einer von vielen Seiten, die auf GeoCities.com zu diesem Zweck angelegt worden sind und in beiden Fällen eine Seite von Otto.de imitieren. Die meisten davon sind inzwischen von Yahoo wieder entfernt worden, es kommen aber immer noch neue nach. Diese Seiten dienen als erste Anlaufstation, die schädlichen Scripte sowie die eigentliche Malware kommen von anderen Servern.
Dahinter steckt das Angriffspaket "MPack", das automatisch versucht den verwendeten Browser zu ermitteln. Verfügt es über einen dazu passenden Exploit für eine Sicherheitslücke, schleust MPack einen Downloader ein, der weitere Malware nachlädt. Dabei handelt es sich um Schädlinge aus der Bzub-Familie, die unter anderen Passwörter und andere Zugangsdaten ausspionieren sollen. Zudem wird der befallene PC in ein Botnet eingegliedert und damit zur fremdgesteuerten Spam-Schleuder.
Quelle : www.pcwelt.de
-
T-Mobile warnt von gefälschten Mails, die vorgeben, kostenlosen SMS-Versand zu ermöglichen. Mit dem Betreff "Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben" und der Ankündigung, Punkte für SMS-Nachrichten gutgeschrieben bekommen zu haben, versuchen die Mails arglose Empfänger auf infizierte Webseiten zu locken:
Betr.: Danke, dass Sie Ihre Rechnung rechtzeitig erganzt haben.Die Gesellschaft "T-Mobile" dankt ihren Kunden, dass sie ihre Abrechnung des Mobiltelefonsimmer rechtzeitig ergänzen und dafür rechnet sie ihnen die Punkte an.1 Punkt sind gleich 20 kostenlose SMS. Die Punktmenge auf Ihrer Rechnung können Sie hier http://www.t-mobile.de/mein-t-mobile/0,9703,14244-_,00.html anschauen. Eine notwendige Bedingung des Erhaltens der Punkte ist die positive Abrechnung im Laufe von dem Quartal.
Der Link führt dann allerdings statt auf die Seiten von T-Mobile zu verschiedenen, bei Geocities registrierten Seiten. Einer Analyse von heise Security zufolge enthalten sie einen Iframe, der auf einen MPack-Server verweist, also einen der Server, die derzeit Ursache für die massenhaften Infektionen von Anwender-PCs sind. Im Iframe eingebetter Code versucht dann den PC mittels diverser Exploits zu infizieren und einen Trojaner einzuschleusen. Nach bisherigen Erkenntnissen ist MPack dabei aber nur bei ungepatchten Versionen des Internet Explorer 6 erfolgreich.
T-Mobile bedauert, dass die Mail in ihrem Namen versendet wurde. "Leider gibt es jedoch gegen das Benutzen fremder Identitäten im Internet keinen absoluten Schutz", erklärt die T-Mobile-Unternehmenskommunikation. Die gefährlichen Nachrichten stammen von denselben Absendern, die bereits am gestrigen Sonntag versucht hatten, ihre Opfer mit gefälschten Rechnungen des Versandhändlers Otto in die Falle zu locken. Warum die T-Mobile Muttergesellschaft Telekom derartig offenkündig bösartige Mails im eigenen Netz von T-Online nicht ausfiltert, bleibt offen.
Quelle : www.heise.de
-
Heute werden Mails verbreitet, die vorgeblich von einem Internet-Dienstleister kommen und einen als Rechnung ausgewiesenen Anhang enthalten. Darin steckt jedoch ein Trojanisches Pferd.
Die Verbreitung Trojanischer Pferde per Mail als vorgebliche Rechnung wird heute um ein weiteres Beispiel bereichert. Diesmal ist es ein hierzulande eher unbekannter amerikanischer Internet-Dienstleister namens "User In Mind", dessen Domain als angebliche Absenderadresse herhalten muss. Die Mails kommen mit einem Betreff wie "#464146 Lieferung" (die Nummer kann variieren). Beim Text haben sich die Versender nicht viel Mühe gegeben, aber immerhin ist er in einwandfreiem Deutsch verfasst. Der verwendete Zeichensatz "KOI8-R" (kyrillisch) weist auf einen osteuropäischen Ursprung hin.
Der Text verweist auf den Anhang, der angeblich eine Rechnung enthalten soll. In dem Archiv "rechnung.zip" steckt eine 7 KB große EXE-Datei mit dem Namen "Rechnung______________23.07.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe". Dieser lange Name soll wohl sicher stellen, dass dem Empfänger die Dateiendung nicht auffällt, denn es handelt sich um ein Trojanisches Pferd.
Wird dieses Programm aufgerufen, nimmt es Verbindung zu Servern im Internet auf und lädt weitere Schädlinge herunter. Diese installieren letztlich eine 217 KB große Datei "ntos.exe" im System32-Verzeichnis von Windows. Hierbei handelt es sich um einen Schädling aus der Bancos-Familie, der Zugangsdaten für das Online-Banking ausspionieren soll.
Quelle : www.pcwelt.de
-
Vorgeblich von Ebay kommende Mails versprechen den Empfängern ein Geschenk, das sich jedoch bei näherer Betrachtung in jeder Hinsicht als Trojanisches Pferd entpuppt.
In Spam-artig verbreiteten Mails, deren gefälschte Absenderangaben eine Herkunft von Ebay vortäuschen sollen, sind Links zu Malware-Sites enthalten. Die Mails kommen mit dem Betreff "Das spezielle Geschenk zum Kauf." und beglückwünschen den Empfänger dazu der "Käufer #10.000 in unserem Geschäft" zu sein. Welches Geschäft das sein soll, bleibt ebenso unklar wie die Antwort auf die Frage, warum eine derartige Mail von einem Absender "ebay.de" kommen sollte.
(http://images.pcwelt.de/images/pcwelt/bdb/85544/800x.jpg)
Der Mail-Text fordert den Empfänger auf, einem Link zu folgen, denn "wir schenken Ihnen ein Geschenk". Der Link-Text suggeriert eine Ebay-Seite, tatsächlich zeigt er jedoch auf eine von zahlreichen Seiten bei Geocities.com, die für diese Zwecke angelegt worden sind. Wer dem Link folgt, erhält jedoch nur eine vorgetäuschte Fehlermeldung ("Server Error"), während im Hintergrund ein Script den zum ermittelten Browser passenden Exploit-Code anwendet, um Malware einzuschleusen.
Der Schädling ist ein Downloader, der weitere Malware aus dem Internet nachlädt. Diese installiert unter anderem eine Hintertür (Backdoor), um einem Angreifer Zugriff via Internet auf den infizierten PC zu ermöglichen. Außerdem wird ein Key-Logger installiert, der eingegebene Zugangsdaten ausspionieren soll.
Die meisten der präparierten Geocities-Seiten hat der Plattform-Betreiber Yahoo bereits dicht gemacht.
Quelle : www.pcwelt.de
-
Über täuschend echt nachgemachte Rechnungen der Telekom verbreiten derzeit Unbelannte speziell präparierte PDF-Dateien, die das System mit Spionage-Software infizieren können. Die Mail unterscheidet sich nur in Details von einer echten Telekom-Abrechnung. Doch wer die angehängte PDF-Datei öffnet, riskiert, sein System mit Spionage-Software zu infizieren. Die angebliche Rechnung nutzt nämlich mindestens eine bekannte Schwachstelle im Adobe Reader aus, um Schad-Software aus dem Internet nachzuladen und zu installieren.
(http://www.heise.de/imgs/18/8/2/7/6/3/5/8a7fc7b3330ea3cc.png)
Bild vergrössern (http://www.heise.de/newsticker/meldung/Vorsicht-bei-angeblicher-Telekom-Onlinerechnung-1545909.html?view=zoom;zoom=1)
Der bei der Schnellanalyse des PDFs in einer Sandbox gefundene Exploit beruht auf einer Sicherheitslücke, die Adobe bereits 2010 geschlossen hat. Es ist aber nicht auszuschließen, dass die Trojaner-Autoren auch neuere Tricks im Repertoire haben. Der Exploit lädt von mehreren URLs Programme wie "menu.exe", "shadow.exe" beziehungsweise "favorites.exe" nach und startet diese. Sie modifizieren dann diverse Systemeinstellungen, setzen sich dabei im System fest, lesen das Adressbuch aus und kontaktieren einen Command und Control Server – legen also typisches Botnetz-Client-Verhalten an den Tag.
Antiviren-Software tut sich schwer, den Anwender zu schützen: Laut Virustotal erkennen gerade mal 8 von 41 Scannern den PDF-Exploit als solchen; verbreitete AV-Programme wie Avira, AVG, Kaspersky und Symantec gehören nicht dazu. Noch schlimmer ist es bei den nachgeladenen Programmen, wo gerade mal ein Scanner Verdacht schöpft. Lediglich Kaspersky meldet kryptisch packed.win32.krap.it. Leider gibt es keine Dokumentation was das konkret bedeutet; in der Vergangenheit sprang die Signatur anscheinend auf Zeus-Online-Banking-Trojaner an. Ob eventuell beim Öffnen der PDF-Datei eine Verhaltensüberwachung misstrauisch wird und die Infektion unterbindet, konnten wir auf die Schnelle nicht testen.
(http://www.heise.de/imgs/18/8/2/7/6/3/5/8d58ac2b90fc0e29.png)
Bild vergrössern (http://www.heise.de/newsticker/meldung/Vorsicht-bei-angeblicher-Telekom-Onlinerechnung-1545909.html?view=zoom;zoom=2)
Anwender sollten Software wie den Adobe Reader unbedingt immer auf dem neuesten Stand halten oder eventuell auch gleich eine der Alternativen verwenden. Die sind zwar nicht grundsätzlich sicherer, aber Exploits, die auf den Adobe Reader zugeschnitten sind, funktionieren damit nicht. Und speziell auf Sumatra oder Foxit ausgerichtete Schädlinge haben immer noch Seltenheitswert.
Quelle : www.heise.de
-
Papier ist mir da zur Zeit immer noch lieber, natürlich sind Online-Rechnungen auch nicht sicherer als Online-Banking.
Fast acht Jahre später ist zwar diese Zeit vorbei, auch weil die Papier-Form oft gar nicht mehr angeboten wird oder zumindest teuer kommt.
Aber das ...im Falle einer Störung, z.B. abgestellt wegen Nichtzahlung (einer ungerechtfertigt hohen Rechnung...) kommt man dann kaum noch an die Rechnung heran, um sie (teilweise) zu bezahlen.
... lässt sich inzwischen meist recht einfach umgehen, z.B. durch einen zweiten Zugang in Reserve (UMTS-Stick, freundliche Nachbarn oder schlimmstenfalls doch mal ein Internet-Cafe oder offenes WLAN).
Allerdings ist dafür eine wesentliche Voraussetzung, dass ein Zugang zu diesen Daten nicht zwingend auf den gebuchten Internet-Anschluß beschränkt ist.
Und zusätzlicher Risiken durch einen fremden Internet-Zugang sollte man sich stets bewusst sein. Zur Vorbeugung könnte dabei dienen, portable Software auf einem Stick einzusetzen, mit (nur) dort gespeicherten Passworten gegen Keylogger.
Portable PDF-Reader gibt's natürlich auch längst...
Zugegebenermaßen tritt auch der Fall einer (zunächst oder teilweise) nicht bezahlten Rechnung heute kaum noch auf:
- meist wird eine automatische Abbuchung vorausgesetzt, eigene Überweisung kaum noch erlaubt
- zahlreiche Risiken für hohe Zusatzkosten sind bei VoIP und Flatrates in der Regel gesperrt oder ohne Belang, damit ist auch der Fall der Nichteinlösung einer Lastschrift wegen unerwarteter Höhe seltener geworden
Und als Fallback-System für's Telefon hat heute fast jeder ein Handy, selbst ich.
Ordentliche Provider sind zudem im Pannenfall zunehmend per normaler Festnetz-Nummer erreichbar, also auch per (Prepaid-)Handy noch bezahlbar.
-
(http://www.heise.de/imgs/18/8/3/4/5/3/5/rechnungsdaten-fb0fced52f1fd53e.png)
Kriminelle verschicken derzeit im großen Stil gefälschte Bestellbestätigungen, die den Empfänger dazu verleiten sollen, die angehängte Malware auszuführen. Besonders perfide ist dabei, dass die Angreifer offenbar gestohlene Kundendaten von Onlineshops nutzen, um den Empfänger der Mail mit seinem echten Namen anzusprechen.
Die Kriminellen geben vor, dass der Mailempfänger bei einem Shop eine Bestellung in Höhe von mehreren hundert Euro aufgegeben hat. Um es den Spam-Filtern schwer zu machen, variiert der Name des Shops. In den heise Security vorliegenden Mails sollen die Mailempfänger angeblich bei comstern.de, nierle.de oder elektronikmax.de eingekauft haben. Die in der Mailsignatur angegebenen Kontaktdaten werden offenbar bunt zusammengewürfelt: In keinem der Fälle hat etwa die angegebene Postleitzahl zu dem Ort gepasst.
(http://www.heise.de/imgs/18/8/3/4/5/3/5/56c8201bea3c72bf.png)
Wer Bestellbestätigungen oder Rechnungen erhält, die er nicht zuordnen kann, sollte einen eventuell vorhandenen Dateianhang unter keinen Umständen öffnen. Denn auf den Virenscanner kann man sich in diesem Fall nicht verlassen: Die bei dieser Angriffswelle angehängte Datei Rechnungsdaten.zip (enthält Rechnungsdaten.exe) wurde in einem Test von heise Security nur von fünf von insgesamt 42 AV-Engines anhand ihrer Signatur erkannt – rund sieben Stunden, nachdem sie verschickt wurde. In diesem Fall ist eine gute Verhaltensüberwachung Gold wert. Bei dem Schädling handelt es sich anscheinend um eine Variation des ZeuS-Bots.
Übrigens sollte man nicht nur um Rechnungen im ZIP- oder EXE-Format einen Bogen machen: Es sind gefälschte Telekom- und Vodafone-Rechungen mit PDF-Anhang im Umlauf, die den Rechner über eine ältere Lücke im Adobe Reader zu infizieren versuchen. Auch mit Office-Dokumenten ist ein solcher Angriff vorstellbar.
Quelle : www.heise.de
-
Cyber-Ganoven versenden derzeit recht gut gemachte Virenmails, die als Rechnungen der Shoppingseite Groupon getarnt sind. Der Empfänger wird mit seinem tatsächlichen Namen angesprochen und auch der Dateiname des angehängten Trojaners wird mittels Vor- und Zuname personalisiert.
Woher die Daten stammen, ist derzeit noch nicht geklärt. Wenn man die Berichte der Mailempfänger verfolgt, drängt sich jedoch der Eindruck auf, dass die Daten direkt von Groupon oder zumindest einer Partnerfirma stammen müssen. Zum Beispiel gibt einer der Empfänger an, dass er seinen Namen bei Groupon mit einer Abweichung angegeben hat, die sich auch in der Trojanermail wiederfindet.
Der ganze Artikel (http://www.heise.de/security/meldung/Trojaner-tarnt-sich-als-Groupon-Rechnung-1817699.html)
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/1/0/2/3/6/6/1/virenmaildb-s-55c35dc0bc9f1eb2.png)
Aufgepasst: Cyber-Kriminelle versenden derzeit Virenmails, die als Buchungsbestätigung der Deutschen Bahn getarnt sind. Die uns vorliegenden Exemplare stammen vermeintlich von buchungsbestaetigung@bahn.de und sind sauber formuliert; offensichtlich diente eine echte Bestätigungsmail als Vorlage.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Virenmail-tarnt-sich-als-Bahn-Buchungsbestaetigung-1863535.html)
Quelle : www.heise.de
-
Nach gefälschten Bahn-Buchungsbestätigungen sind nun auch nachgeahmte Telekom-Rechnungen im Umlauf, die man kaum vom Original unterscheiden kann. Der Dateianhang enthält einen Virus. Der Betreff lautet perfiderweise "RechungOnline Monat April 2013" – genau so eine Mail versendet die Telekom derzeit im Original an ihre Kunden. Auch inhaltlich ist die HTML-Mail kaum von ihrem Vorbild zu unterscheiden. Die Grafiken werden direkt vom Server der Telekom nachgeladen.
Bislang konnte man Viren- und Phishing-Mail in der Vergangenheit meist schon aufgrund der schlechten Grammatik auf den ersten Blick als Fälschung identifizieren. Derzeit sind jedoch verstärkt Malware-Mails im Umlauf, für die offenbar echte Mails bekannter deutscher Unternehmen Modell gestanden haben.
Der ganze Artikel (http://www.heise.de/security/meldung/Boeser-Zwilling-der-Telekom-Rechnung-hat-Virus-im-Gepaeck-1864889.html)
Quelle : www.heise.de
-
Cyber-Betrüger verschicken derzeit im großen Stil gefälschte Kabel-BW-Rechnungen mit dem Betreff "Ihre Kabel BW Rechnung Juni 2013", die optisch kaum auffällig sind und Huckepack einen Windows-Schädling mitbringen. Bei einer ersten Analyse am Montagnachmittag wurde die Datei nur von drei der insgesamt 47 bei VirusTotal vertretenen Virenscanner als verdächtig eingestuft.
Inzwischen ist die Erkennungsquote zwar etwas besser, viele die Virenschutzprogramme zahlreicher namhafter AV-Hersteller halten den Virus jedoch nach wie vor für harmlos. Wenn man die Datei manuell mit Nortons Reputations-Check Insight untersucht, erhält man gar die Meldungen "Norton hat diese Datei als positiv bewertet" und "Vertrauenswürdigkeit geprüft".
(http://www.heise.de/imgs/18/1/0/3/1/8/1/5/kabelbw-6f13a0cd41450e13.png)
Der Schädling ist nach dem Muster Ihre-Kabel-BW-Rechnung_Juni_2013-76894598076332.pdf.exe benannt. Da Windows die Dateinamen-Erweiterungen bekannter Dateitypen standardmäßig ausblendet, zeigt der Windows Explorer das .exe bei vielen Nutzern nicht an. Der Virus trägt eine digitale Signatur, die allerdings auf keinen vertrauenswürdigen Herausgeber zurückzuführen ist. Beim Start überprüft die Malware, ob sie auf einem virtuellen Rechner läuft – ist dies der Fall, verhält sie sich unauffällig, um Virenforschern ihre Arbeit zu erschweren.
Die uns vorliegenden Exemplare wurden vorgeblich von kundenservice-noreply@kabelbw.de verschickt. Das offensichtlichste Merkmal dafür, dass es sich um eine Fälschung handelt, ist die fehlende persönliche Anrede. Alleine darauf kann man sich allerdings nicht verlassen, da Cyber-Kriminelle häufig auch mit gestohlenen Daten arbeiten, um die Glaubwürdigkeit zu erhöhen.
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/1/1/2/2/7/4/5/fritzbox-trojaner-c13c66c9d34693cb.png)
Unbekannte verschicken momentan E-Mails mit angehängtem Trojaner, die sich als Fax-Benachrichtigung tarnen. Die E-Mails geben vor, von einer Fritzbox zu kommen, die ein Fax von einer unbekannten Nummer erhalten hat. Im angehängte Zip-Archiv, das angeblich das Fax enthält, befindet sich eine Exe-Datei, die den Rechner beim Ausführen mit einem Trojaner infiziert. Dieser kann dann weitere Schadsoftware herunterladen.
Bei einer Untersuchung des angehängten Schadcodes über VirusTotal fanden am Montagabend abend nur wenige Antivirus-Engines den Trojaner, was anscheinend zu einer hohen Verbreitungsrate des Schädlings führte. Mittlerweile hat sich das Bild gewendet und mehr als die Hälfte (https://www.virustotal.com/en/file/ae2309a0228acbcddd10a01e47566d8cf3e69f16803990530fae96ef3828ed56/analysis/) aller Virusscanner warnen nun vor dem Schadcode.
Die Masche des Trojaners ist glaubwürdig, weil einige Fritzboxen wirklich die Möglichkeit haben, ihren Nutzern empfangene Faxe per E-Mail zuzusenden. Auch sind Rechtschreibung und Grammatik der Nachricht durchaus glaubwürdig. Man erkennt den Schwindel leicht an der Dateiendung .exe im Zip-Archiv. Außerdem versendet die Fritzbox empfangene Faxe als angehängte PDF-Datei.
Quelle : www.heise.de
-
Erstens:
Der Betreff einer echten Fax-Meldung der Fritz!Box ist völlig anders.
Zweitens:
Das Layout solch einer Mail ist völlig anders.
Offenbar hat der Verbreiter dieser Trojaner-Mail noch nie eine echte Mail dieser Art gesehen.
Zum Glück.
Drittens kommt so eine Mail, wenn sie denn echt ist, immer nur von der E-Mail-Adresse, die man selbst dafür eingestellt hat.
Alles andere ist M.I.S.T.
Viertens ist es ohnehin selbstverständlich, beim leisesten Verdacht irgendeiner Unsauberkeit einfach mal in der fritz.box nachzuschauen.
Die protokolliert ja ganz brav fast alles.
Ich belasse übrigens Faxe normalerweise auch nach Mail-Versand zunächst in der Box.
Das ist der sicherste Weg, denn wenn da dann nix ist, und die Box auch noch nicht mal blinkt, ist's definitiv wieder nur M.I.S.T. ;guck
Und Anhänge von M.I.S.T macht natürlich kein gesunder Mensch auf.
Fünftens sollten sich Nutzer der Faxfunktion mit E-Mail-Versand ernsthaft überlegen, dafür eine exklusive Mail-Adresse zu verwenden, die für überhaupt nix anderes verwendet wird (und wurde) und die keinen Klarnamen zum Bestandteil hat, sondern vorne nur aus (acht oder mehr) zufälligen Zeichen besteht. Spam- und Schädlings-Versand wird nämlich zunehmend anhand von Namenslisten und Wörterbüchern adressiert.
Eine Adresse nur für diesen einen Zweck muss natürlich weder hübsch sein, noch darf sie leicht zu erraten sein.
Und selbstverständlich darf sie auch nie und nimmer aus einer Kundennummer oder einem Passwort konstruiert sein.
Jürgen
-
Mit angeblichen Forderungen eines Videostreaming-Dienstes versuchen Kriminelle aktuell in größerem Umfang Malware zu verbreiten. Darauf weist die Verbraucherzentrale Rheinland-Pfalz aktuell hin.
Bei dieser haben sich den Angaben zufolge in den letzten Tagen zahlreiche Nutzer gemeldet, weil sie E-Mails mit Geldforderungen von Unternehmen wie beispielsweise der Video Center GmbH, der Video-on-Demand Center AG, der Download Mediathek GmbH erhalten haben. In dem Anschreiben wird allerdings nicht näher darauf eingegangen, für welchen Service hier konkret gezahlt werden soll.
"In der Regel haben die Betroffenen weder einen Vertrag über ein Abonnement abgeschlossen, noch ist eine Rechnung gerechtfertigt", erklärte Martina Totz von der Verbraucherzentrale. Allerdings sollen die Anwender mit den Andeutungen dazu gebracht werden, den Anhang zu öffnen, in dem sich ein Trojaner befindet.
Die Nachrichten ähneln sich inhaltlich bis auf Details. Die geforderte monatliche Beitragszahlung variiert so beispielsweise zwischen 29,90 Euro und 69,90 Euro. Als Laufzeit ist meist eine Dauer von sechs Monaten angegeben. Der Anhang der Mail soll angeblich die Vertragsbestätigung mit einer Bankverbindung oder die Rechnung enthalten, die binnen sieben Tagen zu zahlen sei. Ansonsten wird mit einem Mahnverfahren und entsprechenden zusätzlichen Kosten gedroht.
Aufgrund des relativ hohen Aufkommens und der Reaktionen verschiedener Nutzer warnt die Verbraucherzentrale dringend davor, auf die Forderungen einzugehen oder den Anhang der E-Mail zu öffnen. Wie auch bei anderen Spam-Mails, die leichter als solche Erkennbar sind und ebenfalls häufig Malware mitbringen, wird eine sofortige Löschung empfohlen. In diesem Fall ist der Hintergrund der Nachricht für einige Nutzer nicht auf den ersten Blick zu erkennen - insbesondere, wenn sie sich in letzter Zeit beispielsweise tatsächlich bei einem Streaming-Anbieter angemeldet haben.
Quelle : http://winfuture.de
-
Weil Internetnutzer angeblich Musik über Bittorrent geladen haben, sollen sie tief in die Tasche greifen – weitere Details: siehe Anhang.
Aktuell kursieren Viren-Mails, die vorgeben, der Empfänger habe ein bestimmtes Album herunter- und gleichzeitig hochgeladen – womit wohl die Nutzung von Bittorrent gemeint sein dürfte. In der Mail droht angeblich eine Anwaltskanzlei dem Empfänger mit "enormen juristischen Konsequenzen", wenn er nicht eine Zahlung in Höhe von mehreren hundert Euro leistet.
B*** mahnt Sie wg. des Downloads von R. Kelly - Black Panties ab
Guten Tag,
Wir von B*** haben Beweise dafür, dass Sie am 03.07.2014 von Ihrem PC aus das Musikalbum "R. Kelly - Black Panties" gedownloadet und gleichzeitig zur Verfügung gestellt haben. Passiert ist es um 02:22:49. Sie verstoßen damit gegen §19a UrhG, was enorme juristische Konsequenzen für Sie bedeutet. Soweit muss es aber nicht kommen, wenn Sie uns gegenüber eine Zahlung in Höhe von 378.87 Euro vollbringen. Dieser Vorschlag gilt jedoch lediglich während der nächsten 48 Stunden.
Hochachtungsvoll,
B***
+49424***
Die Betrüger haben es nicht darauf abgesehen, dass der Empfänger tatsächlich zahlt. Vielmehr geht es ihnen darum, dass das aufgeschreckte Opfer in spe das angehängte Zip-Archiv und den darin enthaltenen Trojaner ausführt. Es sind mehrere Versionen dieser Mail im Umlauf. Sowohl der Name der Anwaltskanzlei variiert als auch die Musik, die der Empfänger heruntergeladen haben soll.
Ticket-Schmu
Auch mit vermeintlichen Bestätigungsmails für den Kauf von Eintrittskarten versuchen Cyber-Ganoven ihre Malware an den Mann zu bringen. So ist derzeit etwa eine legitim wirkende Virenmail mit dem Betreff "Buchungsbestätigung - The Voice of Germany - 24.07.2014 um 18:30 Uhr" im Umlauf, in der detailliert beschrieben ist, wie der Empfänger die angeblich bestellten Tickets bezahlt und wo er sie vor der Show im Studio Berlin-Adlershof abholen muss.
Es handelt sich anscheinend um eine Kopie einer echten Bestellmail des Ticket-Verkäufers tvtickets.de. Selbst die Bankverbindung haben die Ganoven offenbar aus der Vorlage übernommen. Auch hier geht es nicht darum, dass das Geld überwiesen wird. Die Mail soll den Empfänger lediglich zum Öffnen des versuchten Anhangs animieren.
Quelle : www.heise.de
-
Der Trojaner Retefe löscht sich direkt bei der Installation wieder. Durch einige schwer zu entdeckende Manipulationen am System kann er dem Anwender trotzdem einen Smartphone-Trojaner unterjubeln und das Online-Banking kapern.
Der Trojaner Retefe hat eine Eigenheit, durch die er besonders schwer zu entdecken ist: Er löscht sich nach der Infektion selbst. Trotzdem kann er auch weiterhin das Online-Banking auf dem infizierten PCs kontrollieren und nutzt dies, dem Anwender einen zusätzlichen Smartphone-Trojaner unterz schieben. Der greift dann das von der Bank als SMS geschickte Sitzungs-Token ab, berichtet Trend Micro in einer Analyse der "Operation Emmental".
Der ganze Artikel (http://www.heise.de/security/meldung/Banking-Trojaner-Infektion-ohne-Trojaner-2265585.html)
Quelle : www.heise.de
-
Viren sind typischerweise in Dateien Zuhause, die mal besser und mal schlechter auf dem System versteckt sind. Ein neuer Trojaner kommt ohne Dateien aus, wodurch man ihn schwer aufspüren kann. Er wird seit kurzem auch über ein Exploit-Kit verteilt.
Das Waffenarsenal des Exploit-Kits Angler wurde um den kürzlich entdeckten Windows-Schädling Poweliks erweitert. Dies berichtet ein Virenforscher mit dem Pseudonym kafeine, der auch den Blog Malware don't need Coffee betreibt. Damit können nun auch durchschnittlich begabte Cyber-Kriminelle Angriffe mit der perfiden Malware fahren, wenn sie in Unterground-Foren genügend Geld bezahlen. Poweliks ist schwer zu entdecken, weil er nicht als Datei auf dem System gespeichert wird, sondern komplett in der Registry.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Perfider-Schaedling-haust-in-der-Registry-2442082.html)
Quelle : www.heise.de