Thema: 1&1 warnt Kunden vor gefälschten Rechnungen

[SiLæncer]

Der Webhoster 1&1 warnt seine Kunden am heutigen Sonntag vor einer E-Mail-Attacke in großem Ausmaß. Demnach versenden Unbekannte Millionen von E-Mails, die dem ersten Anschein nach einer Webhosting-Rechnung von 1&1 gleichen. Nach ersten Erkenntnisssen von heise Security handelt es sich bei der Datei Rechnung.pdf.exe im Anhang um einen Rechnungstrojaner, der versucht, den Computer auszuspähen, Schadsoftware aus dem Internet nachzuinstallieren und möglicherweise den PC zu kapern. Den Dateianhang sollte man keinesfalls öffnen.
Anzeige

Der einführende Text der E-Mail lautet:

Sehr geehrter 1&1 Kunde,

anbei erhalten Sie Ihre Rechnung vom 29.12.2006. die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.

Gemäß der erteilten Einzugsermächtigung werden wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.

Hinter der als Rechnungs-PDF getarnten ausführbaren Datei steckt der Trojaner Backdoor.Win32.agent.abf, der nach Tests von 1&1 erst von der Hälfte der aktuellen Virenscanner erkannt werde. Tests von heise Security ergaben ein ähnliches Ergebnis.

Die Welle rolle seit dem gestrigen Samstagabend, teilte Unternehmenssprecher Michael Frenzel mit: "Bis jetzt haben wir über 50.000 Delivery Errors und mehrere 100.000 Mails an eigene Kunden eingeliefert bekommen. Da wir die Mails von vielen Dialup-IP-Adressen bereits blockieren und diese in der Zahl nicht enthalten sind, deutet das auf ein sehr hohes Gesamtvolumen von vielen Millionen verschickter Mails hin."

Quelle : www.heise.de

[Snoop]

Ach .. wie nett!

Und heute morgen schon in meinem Postfach ... 

Danke, Silencer!

[TaKo]

@ snoop   habe heute auch eine Rechnung im Postfach gehabt, die aber in Ordnung war!
Konnte keine "pdf.exe" finden. Vielleicht ist deine auch in Ordnung

[Snoop]

Ne, weil ich schon seit 3 Jahren kein 1&1-Kunde mehr bin 

[amin]

Frage ist, woher wissen die wer war bzw ist 1&1 kunde ?

[Snoop]

Von nirgendwo! Wenn man 100 000 000 Mails verschickt, dann sind auch 1&1-Kunden dabei - zwar relativ wenige, aber absolut viele. Die Menge macht's! 

[Desue]

Kann ich bestätigen...heute lag auch eine in meinem Postfach. Bin fast auf den Fake reingefallen. Jedoch machte mich der zu zahlende Betrag sowie das Layout stutzig.
Vielen Dank für die Info Silencer.

Allen noch n gutes Neues und beste Grüße

[Jürgen]

Hier kam's auch eben noch an 

Die Mail versucht, zwei originale Bilder von der 1&1-Seite nachzuladen, enthält auch Links auf die echten Seiten.

Tja, wer immer noch die bekannten Endungen in Windoof unterdrücken lässt, ist zu doof bzw leichtsinnig, sollte eigentlich nicht einmal ohne Aufsicht über die Strasse gehen dürfen.

Vorschau gehört sowieso aus.

Und der verwendete Mailer MUSS so eingestellt werden,  dass er externe Grafiken NICHT nachlädt.

Und beim geringsten Zweifel wird eine Mail eben nicht geöffnet, sondern man lässt sich den (vollständigen) Quelltext anzeigen.

Bevor ich's vergesse, es ist wohl kaum anzunehmen, dass eine 1&1-Rechnung gleichzeitig an mehrere Empfänger geht.
Und der erste Server im Header der Spam-Phishing-Seuchen-Mail steht in der Türkei...

Seltsamerweise schlugen die Standard-Spamfilter von GMX (meinem Provider) und von Thunderbird (noch) nicht an.

[Yessir]

Allein schon der Begriff " Rechnung im PDF.EXE-Format" sollte schon stutzig machen...

[SiLæncer]

Mit Millionen von Spam-Mails hatten Betrüger in den vergangenen Tagen versucht, PCs in Deutschland mit Computer-Viren zu infizieren. Die Mails waren als angebliche Rechnungen des zweitgrößten deutschen DSL-Providers 1&1 getarnt.

1&1 stellt jetzt in Zusammenarbeit mit dem Anti-Virus-Spezialisten Symantec ein Programm zur Verfügung, mit dem sich bereits infizierte Rechner von dem gefährlichen Virus befreien lassen. Das Programm steht auf der Homepage ( http://1und1.de/sicherheit ) von 1&1 zum kostenlosen Download bereit.

Anti-Virus-Programme updaten

Um betroffene Rechner von dem Schädling zu befreien reicht es in vielen Fällen aber auch aus, das eigene Anti-Virus-Programm mit den neuesten Updates zu versorgen, um anschließend einen Systemscan durchzuführen. Die meisten Anti-Virus-Programme erkennen den in den E-Mails verschickten Trojaner inzwischen.

Quelle : www.onlinekosten.de

[Warpi]

Unbekannte versenden massenhaft E-Mails mit gefälschten GEZ-Rechnungen, in deren Anhang sich ein Trojaner verbirgt. Erst letzte Woche überschwemmten ähnlich betrügerische Mails das Netz, die als Rechnungen des Web-Hosters 1&1 getarnt waren. Die neue Schädlingswelle zielt auf Netzbürger, die von der neuen Gebührenordnung der GEZ verunsichert sind.

Bei einer GEZ-Rechnung über 446 Euro könnten erschrockene Anwender den Anhang öffnen.

Seit dem 1. Januar 2007 sind PCs, die mit dem Internet verbunden werden können, gebührenpflichtig – für Privathaushalte, die bereits ein Radio angemeldet haben, fallen aber keine weiteren Kosten an, sie müssen ihre PCs auch nicht gesondert bei der GEZ anmelden.

Die betrügerische Trojaner-Rechnung verlangt die Zahlung einer dreistelligen Summe, wohl um die Empfänger so zu schockieren, dass sie die angehängte Zip-Datei öffnen, ohne lange nachzudenken. Darin verbirgt sich eine ausführbare Datei, die als PDF getarnt ist (RechnungGEZ.pdf.exe). In der Grundeinstellung blendet Windows die Erweiterung .exe aus; ein Doppelklick auf das vermeintliche PDF-Dokument genügt, um den PC zu infizieren. Eine Analyse mit dem Online-Virenscanner Virustotal.com zeigt, dass die meisten Virenscanner mit aktuellen Signaturen den Schädling nicht als solchen identifizieren.



Quelle : www.heise.de

[SiLæncer]

Eine neue Welle gefälschter 1&1- und GEZ-Rechnungen per Mail füllt derzeit die elektronischen Postfächer. Wie schon vor drei beziehungsweise zwei Wochen steckt im Anhang eine Datei, die vorgibt, im speziellen PDF-EXE-Format zu sein, für das man keine zusätzliche Programm installieren müsse.

Allerdings handelt es sich um eine ausführbare Datei, die beim Starten einen Trojaner installiert, der wahrscheinlich weitere Dateien nachlädt. Bei einem Scan eines Exemplars auf Virustotal entdeckte keiner der Scanner einen Schädling. Immerhin vier Scanner fanden die geprüfte Datei noch verdächtig.

Wie immer gilt deshalb: Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen zugesandten Mails größte Vorsicht walten lassen. Insbesondere auf die 1&1-Rechnungen fielen beim letzten Vorfall zahlreiche Anwender herein und "öffneten" neugierig den Anhang. Zuletzt versuchte der Sturm-Wurm, Anwender mit Sensationsmeldungen zu überrumpelt. Ob dies ein Rückkehr der Virenautoren zur Massenverbreitung von Schädlingen ist, bleibt abzuwarten. Zuletzt zeigte sich, dass Kriminelle vermehrt gezielte Angriffe auf einen kleineren Kreis von Anwendern durchführten. Eventuell versuchen die Betreiber von Bot-Netzen zu Weihnachten ausgetauschte PCs unter ihre Kontrolle zu bekommen. Nach Weihnachten waren einige Bot-Netze merklich geschrumpft.

Quelle : www.heise.de

[SiLæncer]

Dem Gesetz der Serie folgend ist heute Neckermann an Reihe, um als angeblicher Absender von Mails mit falschen Rechnungen und einem Trojanischen Pferd herhalten zu müssen.

In dieser Woche werden täglich Spam-artig neue Mails mit vorgeblichen Rechnungen verbreitet. Gestern waren es noch Digitalkameras von Sunrise, in den Tagen davor Rechnungen von 1&1 und der GEZ , heute ist es Neckermann, wie schon vor Weihnachten . Wieder sollen die Mail-Empfänger angeblich eine Videosammlung im "Intimsalon" erworben haben.

Dass der falsche Neckermann-Shop dem Empfänger auch noch "schöne Feiertage" wünscht, weist darauf hin, dass der Mail-Text vom letzten Mal recycelt wurde. Der Betreff der Mails lautet "Vielen Dank fur Ihren Einkauf der Videosammlung!". Der Anhang trägt wieder den Dateinamen "empfangsschein.exe" und ist 8779 Bytes groß.

Wird dieses Trojanische Pferd gestartet, lädt es weitere Malware (1.exe) aus dem Internet herunter. Diese wird im Windows-Verzeichnis abgelegt und installiert ein BHO (Browser Helper Object) im Internet Explorer, das die Zugangsdaten für das Online-Banking abfangen soll. Es liegt als "ipv6monl.dll" im System32-Verzeichnis von Windows. Ferner sorgt die 1.exe durch Registry-Manipulationen vorsichtshalber dafür, dass der Internet Explorer aktiviert ist und durch die Windows Firewall nicht am Internet-Zugriff gehindert wird.

Quelle : www.pcwelt.de

[SiLæncer]

Auch in dieser Woche werden weiterhin Mails mit vorgeblichen Rechnungen verbreitet, die im Anhang ein Trojanisches Pferd enthalten. Die gefälschten Absenderangaben reichen von 1&1 über Ebay und die GEZ bis zur Telekom.

In der letzten Woche fluteten täglich größere Mengen vorgeblicher Rechnungen die Mailboxen deutscher Internet-Nutzer und Unternehmen. Jeden Tag gab es zumindest eine neue Variante, am Montag waren es GEZ-Rechnungen , am Dienstag war wieder 1&1 an der Reihe, am Mittwoch folgten Rechnungen einer fiktiven Firma Sunrise über Digitalkameras, Neckermann war am Donnerstag Aushängeschild der Malware-Versender.

Am Freitag letzter Woche war es dann bereits eine bunte Mischung verschiedener Varianten, die offenbar auch in dieser Woche ihre Fortsetzung findet. Zwar scheinen die absoluten Zahlen geringer zu sein als noch vor einer Woche, dieser Eindruck kann jedoch damit zusammen hängen, dass nicht nur ein Unternehmen als angeblicher Absender herhalten muss.

Gemeinsames Merkmal dieser vorgeblichen Rechnungen sind nicht nur die gefälschten Absenderangaben, auch der Aufbau ähnelt sich durchaus. So wird eine überhöht erscheinende Rechnungssumme präsentiert und für weitere Informationen auf den Anhang der Mails verwiesen. Dieser besteht meist aus einer Programmdatei mit einem Namen wie "rechnung.pdf.exe" oder "rechnung.exe", manchmal in ein ZIP-Archiv verpackt. Wird die EXE-Datei ausgeführt, lädt das darin enthaltene Trojanische Pferd weitere Schädlinge aus dem Internet herunter. Diese spionieren dann Zugangsdaten für das Online-Banking aus oder fügen den PC einem Botnet hinzu.

Die gestrige Variante der GEZ-Rechnungs-Mails wird inzwischen recht gut von Antivirus-Software erkannt, es sind jedoch schon wieder neue Schädlinge im Anmarsch.

Quelle : www.pcwelt.de

[SiLæncer]

Die Wellen Spam-artig verschickter Trojanischer Pferde wollen kein Ende nehmen. Zwischendurch ist mal wieder die GEZ an der Reihe, ihren Namen als Türöffner für Malware hergeben zu müssen.

Neben den vorgeblichen Rechnungen von TMS Logistik und der vermeintlichen Videoplayer-Software sind am Montag auch wieder Mails verbreitet worden, die vorgebliche Rechnungen der Gebühreneinzugszentrale (GEZ) enthalten. Wenn es nicht offenbar immer noch Menschen gäbe, die darauf herein fallen, würde es mit der Zeit langweilig.

Die aktuellen Mails gleichen oberflächlich den früheren, es gibt jedoch ein paar Abweichungen. Offenkundig haben die Versender diesmal Probleme mit der Umsetzung asiatischer oder osteuropäischer Zeichensätze, denn die Dateinamen der Mail-Anhänge muten seltsam an. Beim Betreff, etwa "Ihre aktuelle Gebuehreneinzugszentrale (GEZ) Rechnung", klappt es noch. Die angehängte ZIP-Datei trägt jedoch einen Namen wie "Rechnung_unYH12fi16in.zip", ist kein ZIP- sondern ein RAR-Archiv und enthält eine Datei namens "Rechnungu6dDenfi32in.pdf.exe" (statt wie üblich "rechnung.pdf.exe"). Womöglich ist das aber auch Verwirrungstaktik gegenüber einfach gestrickten Mail-Filtern.

Wird der Anhang entpackt und die EXE-Datei gestartet, lädt diese einen weiteren Schädling mit dem Dateinamen "temp.exe" von einem Server mit britischem Domain-Namen herunter. Dieser installiert ein Rootkit sowie eine Datei "ipv6monl.dll" im System32-Verzeichnis von Windows und klinkt diese als Browser Helper Object (BHO) im Internet Explorer ein. Damit sollen Zugangsdaten für das Online-Banking ausspioniert werden.

Quelle : www.pcwelt.de