Breaky's Blog _ technisch, ehrlich, persönlich, kritisch

EIGENE ANSICHTEN, FOTOS, ERFAHRUNGEN, TIPPS UND TRICKS MIT COMPUTER, TECHNIK UND MEHR

Trojaner

  • Komplett personalisierte Viren-Mail: Rechnung für Mein Name noch offen: Nr. 86850817

    "Von: Sachbearbeiter GiroPay AG [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Donnerstag, 9. Juni 2016 08:10
    An: Mein Name <Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!;
    Betreff: Rechnung für Mein Name noch offen: Nr. e
    Sehr geehrte/r Mein Name,
    bedauerlicherweise mussten wir feststellen, dass die Zahlungsaufforderung Nummer 868508176 bis jetzt ergebnislos blieb. Jetzt gewähren wir Ihnen nun letztmalig die Möglichkeit, den ausbleibenden Betrag unseren Mandanten GiroPay AG zu decken.
    Aufgrund des andauernden Zahlungsrückstands sind Sie angewiesen außerdem, die durch unsere Inanspruchnahme entstandene Kosten von 82,45 Euro zu tragen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 08.06.2016.
    Vertragsdaten:
    Mein Name
    Meine Straße
    PLZ Ort
    Tel. Meine Handynummer
    Die Überweisung erwarten wir bis spätestens 15.06.2016. Können wird bis zum genannten Datum keine Überweisung verbuchen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten gehen zu Ihrer Last.
    Eine vollständige Forderungsausstellung ID 868508176, der Sie alle Einzelpositionen entnehmen können, ist beigefügt.
    Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Falls Sie Fragen haben, stehen wir Ihnen telefonisch gerne zur Verfügung.
    Mit besten Grüßen
    Sachbearbeiter Jamie Fuch"

    Die E-Mail erreichte mich heute. Ich war überrascht, das alle meine Daten korrekt waren, sogar die Handynummer. Wie immer habe ich hier natürlich meinen Namen durch "Mein Name" ersetzt und auch die Mail-Adresse abgeändert.
    Im Anhang befindet isch eine ZIP.Datei (Mein Name Sachbearbeiter GiroPay AG 09.06.2016.zip), welche wiederum eine ZIP.Datei (Mein Name 09.06.2016 Mahnung Sachbearbeiter GiroPay AG.zip) enthielt. Darun war eine ausführbare Datei mitr dem Namen 'Mein Name Rechnung Sachbearbeiter GiroPay AG.com' enthalten. Nur zwei von 57 Virenscannern bei Virustotal.com erkannten einen Virus. Gleichzeitig konnte ich feststellen, dass auch ähnliche Mails an andere Leute gegangen sind. Voan anderen Zahlungsdienstleistern, wie z.B: Directpay24.
    Natürlich falle ich auf so etwas nicht herein.
    Auch hier gilt: Mail Ignorieren und Löschen!

  • Krypto-Trojaner in angeblicher Rechnung:Rechnung für Eigener Name Nr. 674513483

    trojaner computer"Von: Abrechnung OnlinePayment GmbH [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Dienstag, 16. August 2016 19:14
    An: Mein Name
    Betreff: Rechnung für Mein Name Nr. 674513483
    Sehr geehrte/r Mein Name,
    leider mussten wir feststellen, dass die Erinnerung Nr. 674513483 bislang ergebnislos blieb. Nun geben wir Ihnen nun letztmalig die Möglichkeit, den ausbleibenden Betrag der Firma OnlinePayment GmbH zu begleichen.
    Hinterlegte Daten:
    Mein Name
    Alte echte Adresse
    Tel. Meine Handynummer
    Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Tätigkeit entstandene Gebühren von 58,30 Euro zu tragen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den fälligen Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungen bis zum 15.08.2016.
    Wir erwarten die Überweisung bis zum 18.08.2016 auf unser Bankkonto. Falls wir bis zum genannten Datum keine Überweisung einsehen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen.
    Die vollständige Forderungsausstellung ID 674513483, der Sie alle Positionen entnehmen können, ist beigefügt.
    Sollten Sie den Rechnungsbetrag bereits vorab an uns überwiesen haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt.
    Mit freundlichen Grüßen
    Abrechnung Benjamin Wolf"
    Das ist natürlich ein Betrugsversuch. Um einen gut personalisierten, sogar. Im Anhang befindet sich eine Zip-Datei: "Mein Name Abrechnung OnlinePayment GmbH.zip", welche eine weiter Zip-Datei enthält: "Meine Name 15.08.2016 Mahnung Abrechnung OnlinePayment GmbH.zip". Diese wiederum enthält eine direkt ausführebare .Com-Datei: "15.08.2016 Mein Name Mahnung Abrechnung OnlinePayment GmbH.com". In dieser ist der Trojaner enthalten.
    Virustotal.com zeigt, nur 16 der 54 Viren-Scanner erkennen diesen Virus zur Zeit. Scheinbar handelt es sich um Teslacrypt in der Version 5.

    Keiner verschickt Rechnungen, Zahlungserinnerungen oder sonstige Dokumente als Zip-Datei.
    Die E-Mail und auch ähnliche einfach ignorieren und löschen!

  • Kryptotrojaner im Anhang: Ihre Mai Rechnung - 0135382

    "Von: Bela Takacs [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Montag, 6. Juni 2016 09:35
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Ihre Mai Rechnung - 0135382
    Sehr geehrter Kunde,
    Wir kontaktieren Sie bezüglich der Rechnung MAI-173650-16 von Truffer Ingenieur-. Die Rechnung ist seit dem 15.Juni 2016 fällig und der ausstehende Betrag beträgt 1159.00 EUR. Wir möchten Sie höflichst bitten, den ausstehenden Betrag schnellstmöglich zu bezahlen.
    Wir danken für Ihre prompte Begleichung des Betrages. Bitte kontaktieren Sie uns, wenn Sie weitere Fragen haben.
    Mit freundlichen Grüssen.
    Bela Takacs
    Truffer Ingenieur- | 01 380 56 70"
    Mich erreichte mal wieder eine Mail mit Word-Dokument (Rechnung_Mai-16-38877.doc) im Anhang. Angeblich eine Rechnung. Kurze Rede langer Sinn: Natürlich ein Makrovirus, der einen Download-Trojaner enthält. Immerhin 15 von 56 Scannern bei Virustotal erkannten ihn.
    Jedenfalls gilt wie immer: Ignorieren, nicht Öffnen und Löschen!

  • Makro-Virus mit Trojaner Download: Rechnung Firma Bergmann & Söhne

    "Von: Hauke Nilsson [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Montag, 1. Februar 2016 09:55
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Rechnung
    --
    Mit freundlichen Grüßen aus Neumünster,
    Hauke Nilsson
    - Verkaufsberater -
    Bergmann & Söhne
    --------------------------------------------------------
    Tel : +49 4321-558 669 13
    Fax : +49 4321-558 669 29
    Email : Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    www.bergmann-soehne.de
    ---------------------------------------------------------
    Geschäftsführer: Jörn Bergmann
    Unternehmenssitz: Pinneberg
    Registergericht: Amtsgericht Pinneberg
    Registernummer: HRB 1617 EL
    Umsatzsteuer-Identifikationsnummer: DE 177610122
    Steuernr.: 18/295/23147
    Finanzamt Itzehoe"
    Im Anhang findet sich ein Word-Dokument (CCE30032015_00001.doc). Keiner der Virenscanner von Virustotal erkennt den Schädling bisher.
    Mail einfach löschen!

  • Makrovirus mit Trojaner-Download: Lieferschein Fa. Textilreinigung Klaiber

    "Von: Textilreinigung Klaiber [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Dienstag, 22. Dezember 2015 09:16
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Lieferschein

    Sehr geehrte Damen und Herren,
    in der Anlage erhalten Sie wie gewünscht den aktuellen Lieferschein.
    Bei Fragen stehen wir Ihnen gerne zur Verfügung.
    Mit freundlichen Grüßen

    Textilreinigung Klaiber
    Gewerbestrasse 39
    78054 VS - Schwenningen
    Telefon 07720 / 33238
    Telefax 07720 / 33641
    Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!"

    Auch heute erreichten mich wieder zahlreiche Makroviren mit Trojaner-Download. Neu war z.B. dieser hier. Im Anhang die 11815--113686.doc enthält den Macro.Trojan-Downloader.Agent.KF. Das Schlimme ist, das nur 1 von 54 Virenscannern den Virus erkennt. Ichhoffe die Erkennungsrate verbessert sich schnell!

    Vorsicht - Mail einfach Löschen Anhang nicht öffnen!

  • Perfider Trojaner im Anhang: Offene Betrag - Franz Himmel, Rechnung-2016-05-05.doc

    Kryptotrojaner 06 20161"Von: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Montag, 6. Juni 2016 15:17
    Betreff: Offene Betrag
    Guten Tag,
    Im Anhang dieser Email finden Sie Ihre Rechnung.
    Wir mussten feststellen das Sie die Rechnung immer noch nicht bezahlt haben.
    Der offene Betrag ist innerhalb von 1 Tag zu begleichen.
    Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir dies an unser Inkasso weiter.
    Mit freudliche Grüssen,
    Franz Himmel"
    Zugesandt bekam ich heute die oben stehende Mail. Im Anhange bedindet sich ein Word-Dokument (Rechnung-2016-05-05.doc). Keiner der 56 Virenscanner bei Virustotal erkannte inen Trojaner. Trotzdem steht für mich fest, das einer enthalten ist. Die Dokumentenvorschau in MS Outlook fordert mich explizit auf, Makros im Dokument zu zulassen. Ein sehr deutlicher Hinweis auf eine kompromittierte Datei.
    Auch hier kann ich nur darauf hinweisen: Nicht Öffnen, Ignorieren, Löschen!

  • Sparda-Bank Phishing: Sparda-Bank Informationen

    "Von: SpardaBank [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Mittwoch, 14. Januar 2015 21:03
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Sparda-Bank Informationen

    Sehr geehrte breaky ,
    unser Sicherheitsportal hat festgestellt , dass Sie seit geraumer Zeit keine
    Online-Aktivität vorgezeigt haben .
    Aus diesem Grund ist es nötig, sich in Ihrem Online-Konto anzumelden.
    Folgt diese Anmeldung nicht in kurzer Zeit, sind wir gezwungen aus
    Sicherheitsgründen Ihr Benutzerkonto zu deaktivieren.

    Wir bitten Sie um Verständnis und bedanken uns bei Ihnen für Ihre Geduld.
    Jetzt anmelden
    Mit freundlichen Grüßen
    Ihre Sparda-Bank

    Sicheres Banking | Datenschutz | Impressum © 2014 Sparda-Bank eG"

     

    Blödsinn, Quatsch Tinnef - sofort löschen und ignorieren, wollte es nur der Vollständigkeit halber mit aufführen. Link führt zu h**p://paris-kanko.info///sparda/index.php

  • Trojaner im Anhang: Auftrag Nr. 450115147 - Thalia

    thalia1"Von: Thalia [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Freitag, 2. September 2016 08:51
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Auftrag Nr. 450115147
    Ihre Kundennummer: 4472813
    Auftragsnummer: 450115147
    Auftragssumme: 47 Eur
    Liebe Kundinnen und Kunden,
    Danke für Ihre Bestellung.
    Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).
    Mit freundlichen Grüßen
    Ihr Thalia-Versand Team
    Thalia GmbH
    Hinweis:
    Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
    Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader."
    Hier die nächste Version: Im Anhang ist die "info1773700045.zip", welche den Trojaner in der "info1773700045.pdf .vbe" enthält.
    Ignorieren und Löschen!

     

  • Trojaner im Anhang: Betreff: Auftrag Nr. 992829599 Comtech

    comtech1"Von: Comtech [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Mittwoch, 24. August 2016 12:38
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Auftrag Nr. 992829599
    Ihre Kundennummer: 7725656
    Auftragsnummer: 992829599
    Auftragssumme: 93 Eur
    Liebe Kundin,
    Lieber Kunde,
    Danke für Ihre Bestellung!
    Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).
    Mit freundlichen Grüßen
    Ihr Comtech-Versand Team
    Comtech GmbH
    Hinweis:
    Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
    Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader."
    Wieder Mal was neues: Eine angehängte Auftragsbestätigung, welche angeblich eine PDF Datei sein soll. Schaut man genauer hin, sieht man nach einigen Leerzeichen im Namen die Endung .vbe. Es ist also eine Visual Basic Datei, welche direkt ausgeführt werden kann. Angeklickt und schon zu spät. Glücklicherweise blockiert MS Outlook solche Dateien. Die meisten unbedarften Nutzer würden wohl klicken und dann noch mehrmals, weil sich das vermeindliche PDF nicht öffnet.
    Wie immer gilt auch hier: Ignorieren und Löschen!

  • Trojaner im Anhang: Bewerbung - Arbeitsagentur Susanne Kleinert

    Susanne Kleinert1"Von: Susanne Kleinert [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Donnerstag, 1. September 2016 10:04
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Bewerbung - Arbeitsagentur
    Sehr geehrte Damen und Herren,
    anbei erhalten Sie meine Bewerbung für Ihre in der Jobbörse ausgeschriebenen Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
    Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.
    Mit freundlichen Grüßen,
    Susanne Kleinert"
    Heute kam auch mal wieder eine "Bewerbung" an. Im Anhang ein Foto aus dem Internet, welches auch auf verschiedenen Xing Profilen verwendet wird und eine ZIP-Datei (Bewerbung - Susanne Kleinert.zip) mit dem Trojaner, wie bei der Bewerbung von Tim Lerchner ;) Anscheinend hat man da den Namen und das Foto mal getauscht und versucht auf diesem Wege neue "Opfer" zu finden. (Update: am 27.10.2016 kam die gleiche Mail nochmals von "Martina Fischer".
    Update: am 14.11.2016: Gleich E-Mail von "Claudia Richter".)
    Auch hier gilt: Ignorieren und Löschen.

  • Trojaner im Anhang: FW: Scan from a Samsung MFP

    "Von: Gareth Evans [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Montag, 14. Dezember 2015 11:26
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: FW: Scan from a Samsung MFP
    Regards
    Gareth
    -----Original Message-----
    Please open the attached document. It was scanned and sent to you using a
    Samsung MFP. For more information on Samsung products and solutions, please
    visit http://www.samsungprinter.com.
    This message has been scanned for malware by Websense. www.websense.com"

    In letzter Zeit erreichen mich oft E-Mails, welche so aussehen, als kämen sie von einem Dokumentenscanner. Manchmal sogar mit einer gefälschten Absender E-Mail-Adresse, welche mit einer meiner Domains endet. Meist sind .doc, .pdf oder .zip Dateien im Anhang. Hier z.B. findet sich im Anhang ein .Doc Word-Dokument, welches einen Makrovirus enthält. (w97.Downloader.AKJ)
    Ob Canon, Kyocera oder Samsung - auf keinen Fall senden solche Geräte DOC oder ZIP Dateien.
    Anhang nicht öffnen, Mail löschen!

  • Trojaner im Anhang: Ihre Telekom Festnetz-Rechnung November 2015

    Von: Telekom Deutschland GmbH {NoReply} [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Montag, 16. November 2015 06:55
    An: mDiese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Ihre Telekom Festnetz-Rechnung November 2015
    Blitzschutz Telekom hilft Community

    Ihre Rechnung für November 2015

    Guten Tag Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!,
    Hiermit erhalten Sie mit dieser E-Mail Ihre aktuelle Festnetz-Rechnung.
    Die Gesamtsumme im Monat November 2015 beträgt: 838,87 Euro.
    Im Zusammenhang mit Ihrer Schuld. Wenn die Zahlung bis zum 25. November 2015 nicht eingeht, haben wir das Recht, die Erbringung von Dienstleistungen zu verhindern.
    Zu diese Schreiben ist angehängt Dokumente in Zip archive mit Angabe der Leistungen, sorgfältig zu lesen

    Für weitere Fragen zu RechnungOnline, Ihrer Rechnung oder zur Bezahlung bieten wir Ihnen ein umfangreiches Hilfe-Angebot. Informationen zu den Sicherheitsmerkmalen von RechnungOnline finden Sie unter Sicherheitshinweise.
    Mit freundlichen Grüßen

    Mit freundlichen Grüßen

    Ralf Hoßbach
    Leiter Kundenservice
    © Telekom Deutschland GmbH
    Hinweis: Eine direkte Antwort auf diese E-Mail ist nicht moglich. Wenn Sie uns per E-Mail erreichen wollen, nutzen Sie bitte unser Kontaktformular.

     

    ACHTUNG!! Im Anhang befindet sich eine Zip-Datei rechnung_772617.zip, welche eine Javascriptdatei enthält. Diese soll eine ausführbare Datei, welche den Schadcode enthält von einem Server in Indien laden.
    Den Anhang nicht öffnen!
    Die Mail einfach ignorieren und löschen!

  • Trojaner im Anhang: Offene Rechnung: Buchung 37670789 Ebay Amazon

    "Von: Stellvertretender Rechtsanwalt Ebay AG [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Dienstag, 3. Januar 2017 05:06
    An: Mein Name Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Offene Rechnung: Buchung 37670789
    Sehr geehrte(r) Mein Name,
    bedauerlicherweise haben wir festgestellt, dass die Zahlungsaufforderung NR. 376707892 bislang erfolglos blieb. Jetzt bieten wir Ihnen hiermit letztmalig die Chance, den nicht gedeckten Betrag der Firma Ebay AG zu decken.
    Aufgrund des bestehenden Zahlungsausstands sind Sie verpflichtet dabei, die durch unsere Inanspruchnahme entstandene Gebühren von 95,05 Euro zu tragen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 72 Stunden. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 02.01.2017.
    Wir erwarten die gesamte Überweisung inklusive der Gebühren bis spätestens 09.01.2017 auf unser Konto. Können wird bis zum genannten Datum keine Zahlung bestätigen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten gehen zu Ihrer Last.
    Vertragliche Personalien:

    Mein Name mit Adresse und Handynummer

    Die detaillierte Forderungsausstellung Nummer 376707892, der Sie alle Einzelpositionen entnehmen können, ist beigelegt.
    Mit freundlichen Grüßen
    Stellvertretender Rechtsanwalt Jeremy Kölderer"
    Mal wieder ein plumper Versuch einen Trojaner unterzujubeln. Im Anhang befindet sich wieder eine doppelt gezipte Datei mit Javascript, welches den Virus herunterlädt.
    Wie immer gilt: Ignorieren und Löschen!

  • Trojaner im Anhang: Paket angekommen.

    "Von: DHL Paket [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Mittwoch, 16. Dezember 2015 09:47
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Paket angekommen.
    Guten Tag Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Ihr Paket id_61657147 ist empfangsbereit.
    Diese e-mail ist eine Mitteilung für die Ankunft.
    Lieferung durch den Absender gezahlt.
    Die Hohe der Versicherungspaket € 1.670.
    Um das Sendung zu bekommen , bitte drucken Sie das angehangte Dokument und prasentieren sie in einem Lagerhaus.
    ===
    Herzliche Grüße
    Ihr DHL Team
    ________________________________________
    DHL Paket GmbH
    Sträßchensweg 10
    53113 Bonn

    Registergericht Bonn
    HRB 19565
    USt-IdNr.: DE 813312787
    Geschäftsführung:
    Dr. Andrej Busch
    Katja Herbst
    Norman Chmiel
    Heinrich Eilers
    Dr. Thomas Ogilvie
    Vorsitzender des Aufsichtsrates: Uwe Brinks © 2015 DHL"

    In der angehängte ZIP-Datei befindet sich ein Javascript: DHL_ID_paket.js, welches vermutlich einen Trojaner, wo möglich sogar einen Kryto-Trojaner oder Erpressungs-Trojaner.
    Grundsätzlich schickt DHL zwar Benachrichtigungen per E-Mail, aber immer ohne Anhang.
    E-Mail also löschen und keinesfalls öffnen. Nicht alle Virenscanner erkennen Ransomware in Javascripten.

    Verschiedene Scanner erkennen verschiedene Schädlinge:
    ClamAV: Suspect.Bredozip-zippwd-2
    Cyren: JS/Downldr.DB
    ESET-NOD32: JS/TrojanDownloader.Agent.OEC
    F-Prot: JS/Downldr.DB
    TrendMicro: Possible_SCRDL
    TrendMicro-HouseCall: Possible_SCRDL

  • Trojaner im Anhang: Rechnung noch offen 26.01.2015 Nr. 53590608

    "Von: Rechnungsstelle Bank Payment AG [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Montag, 26. Januar 2015 03:01
    An: Mich
    Betreff: Rechnung noch offen 26.01.2015 Nr. 53590608
    Sehr geehrter Kunde Ronny G?ngler,
    Ihre Bank hat die Lastschrift storniert. Sie haben eine ungedeckte Rechnung bei Bank Payment AG.
    Aufgrund des andauernden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Inanspruchnahme entstandenen Kosten von 46,21 Euro zu tragen. Die vollständige Zahlung erwarten wir bis spätestens 29.01.2015.
    Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die Angelegenheit dem Staatsanwalt und der Schufa übergeben. Die vollständige Kostenaufstellung, der Sie alle Positionen entnehmen können, fügen wir bei. Für Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.
    Namens unseren Mandanten ordnen wir Ihnen an, die noch offene Gesamtforderung schnellstens zu bezahlen.
    Mit besten Grüßen
    Rechnungsstelle Reuwich Benjamin"

     

    Absoluter Quatsch! Im Anhang befindet sich wieder eine doppelt eingepackte ZIP-Datei (Forderung an Mein Name 26.01.2015 - Rechnungsstelle Bank Payment AG.zip und Ausgleich stornierten Lastschrift Ihrer Bestellung Bank Payment AG vom 26.01.2015.zip), welche dan wieder den Trojaner (Mein Name Forderung 26.01.2015 - Rechnungsstelle Bank Payment AG.com) enthält.
    Mail einfach löschen und ignorieren.

  • Trojaner im Anhang: Scan #9F95CD003F_42763A4466

    "Von: HP Scanjet_0186 [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Dienstag, 24. Mai 2016 16:24
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Scan #9F95CD003F_42763A4466
    Scanner:
    Scanner id: 9F95CD003F_42763A4466
    Scanner Program: HP Scanjet 300 Flatbed Scanner Software ver. #9088834706.#03984385.#5771297
    File: MSG00071597703211360
    To:mail qmail.com
    ------------------------------------------------------------
    Save time with fast scanning speeds and intuitive controls.
    Set up quickly, using a single cable. Enjoy high-resolution document detail. One-touch scan-to buttons let you start working and sharing fast. Place this compact scanner almost anywhere.
    ------------------------------------------------------------"
    Hier mal wieder eine E-Mail, welche vermeintlich vom eigenen Scanner kommt. Im Anhang eine Zip Datei (MSG00071597703211360.zip), in welcher eine Java-script (IPPQ-2805928.js) enthalten ist. In diesem befindet sich ein Download Trojaner welcher die Schadsoftware herunterlädt. WElche das in diesem Fall genau ist kann man nicht sagen, das variiert. Auf jeden fall ignorieren und löschen!

  • Trojaner im Anhang: UPS Bestellung DE717775418, DE292168661, DE_507312545

    trojaner computer"Von: United Parcel Service Deutschland Inc. & Co. OHG [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Donnerstag, 1. September 2016 08:55
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Bestellung
    Sehr geehrter Herr,
    bei der Zustellung Ihrer Bestellung DE736125561 hat der Paketbote versucht, Sie telefonisch zu erreichen, leider ohne Gelingen. Aus diesem Grund wurde die Bestellung zuruck zur Sortierstelle buro.
    Wir haben festgestellt, dass im Moment der Paketanmeldung eine falsche Telefonnummer angegeben wurde.
    Wir bitten Sie den Lieferschein, den wir an dieses Schreiben angehangt haben, auszudrucken, und sich an die nachstliegende UPS-Filiale zu wenden.
    Mit freundlichen GruBen,
    United Parcel Service Deutschland Inc. & Co. OHG Germany"
    Hier mal wieder eine "UPS-Mail" mit Trojaner im Anhang. Angehängt ist "DE_507312545.rar", welche ein Javascript "DE_507312545.js" beinhaltet. Diese Javascript lädt dann die eigentliche Schadsoftware aus dem Internet herunter und infiziert das System.
    Diese Mail gibt es in verschiedenen Variationen, z.B: auch mit DE717775418 und DE292168661.rar im Anhang.
    Davon abgesehen, das UPS-EMails anders aussehen, erkennt man schon am schlechten Deutsch,sowie an der Absender E-Mailadresse, dass es nicht echt ist.
    Wie immer gilt auch hier: Ignorieren und Löschen!

  • Trojaner per Makrovirus: Bestellung Fa. BERGES Antriebstechnik

    "Von: Krell, Jürgen [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!]
    Gesendet: Freitag, 18. Dezember 2015 09:45
    An: 'Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!';
    Betreff: Bestellung

    Mit freundlichen Grüßen
    BERGES Antriebstechnik/Einkauf
    i.A. Jürgen Krell
    Leiter Einkauf

    Tel: +49 2264 17-145
    Fax: +49 2264 17-144
    E-Mail:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    --------------------------------------------
    BERGES Antriebstechnik GmbH & Co. KG
    Industriestr. 13, 51709 Marienheide
    Tel.: +49 2264 17 0, Fax: +49 2264 17 125
    E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Internet: http://www.berges.de
    ------------------------------------------------------------------------------------------------------
    USt ID-Nr.: DE122 546 223
    Handelsregister: Registergericht Köln HRA 16990
    Komplementär: BERGES Antriebstechnik GmbH
    Handelsregister: Registergericht Köln HRB 38484
    Geschäftsführer: Dipl.-Kfm. Dietmar Sarstedt, Karl-Heinz Georg
    -----------------------------------------------------------------------------------------------------"

    Und der nächste Makrovirus mit Trojaner: 13042092.doc vom gefälschten Absender Berges Antriebstechnik.
    Auch hier gilt: ungesehen löschen!
    AVware LooksLike.Macro.Malware.gen!d3 (v)
    Arcabit HEUR.VBA.Trojan
    F-Secure Trojan:W97M/MaliciousMacro.GEN
    GData Macro.Trojan-Downloader.Agent.KF
    VIPRE LooksLike.Macro.Malware.gen!d3 (v)

  • Trojaner-Download mit Excel-Datei: Neue Sicherheitsrichtlinien Deutsche Bank

    deutsche bank trojaner 07 2016"Von: Deutsche Bank Privat- und Geschaftskunden AG [mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

    Gesendet: Freitag, 8. Juli 2016 07:02
    An: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
    Betreff: Neue Sicherheitsrichtlinien
    Deutsche Bank
    Sehr geehrter Deutsche Bank Kunde,
    wir bemühen uns stets, Ihre Sicherheit auf dem höchsten Niveau zu halten.
    Kürzlich haben wir unser Sicherheitssystem verbessert und optimiert um Sie noch besser vor Betrug zu schützen.
    Bedingt durch die neuen Sicherheitsrichtlinien bitten wir Sie, Ihre Daten, sowie Ihre Mobilfunknummer zu aktualisieren und Ihr Konto den neuen Standarts anzupassen.
    Falls in 48 Stunden keine Aktualisierung Ihrerseits erfolgt, erheben wir eine Bearbeitungsgebühr von 23,99 EUR. Der Betrag wird automatisch von Ihrem Konto eingezogen und Sie erhalten den das Schreiben innerhalb weniger Tage per Post.
    Bitte öffnen Sie die Exel-Datei im Anhang der Mail und fullen Sie die Form aus. Klicken Sie danach auf "Daten speichern", somit werden die Daten automatisch an die Bank gesendet.
    Anmerkung: Makros mussen diese aktiviert sein.
    Mit freundlichen Grüßen
    Julia Grahle
    Deutsche Bank AG
    Taunusanlage 12
    60325 FRANKFURT AM MAIN (für Briefe und Postkarten: 60262)
    DEUTSCHLAND"
    Das kam gerade frisch rein. Die subtile Drohung, wenn man nicht reagiert Kosten entstehen zu lassen, hilft möglicherweise bei Einigen. Die Excel-Datei formular_id4007134874.xls im Anhang wird aktuell jedenfalls von KEINEM der 52 Anti-Virus Tests auf virustotal.com erkannt! Vermutlich also eine neue Version eines Kryptotrojaners, wie Teslacrypt oder Locky.
    Auf jeden Fall: Datei keinesfalls öffnen und schon gar nicht, wie in der Mail gefordert, die Makros aktivieren. Dadurch startet man den Trojaner und er beginnt den Schad-Code aus dem Internet nachzuladen.
    Wie immer: Ignorieren und Löschen!

  • Virus/Trojaner im Anhang: Die automatische Lastschrift von GiroPay konnte nicht durchgeführt werden

    "Von: "Inkasso Abteilung GiroPay AG" <Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!>;

    Datum: An: [email protected]

    Betreff: Die automatische Lastschrift von GiroPay konnte nicht durchgeführt werden
    Sehr geehrter Kunde,
    das von Ihnen angegebene Bankkonto ist nicht ausreichend gedeckt um die Lastschrift durchzuführen. Sie haben eine nicht bezahlte Forderung bei unseren Mandanten GiroPay AG.
    Aufgrund des andauernden Zahlungsausstands sind Sie gebunden zusätzlich, die durch unsere Beauftragung entstandenen Gebühren von 59,44 Euro zu tragen. Wir erwarten die vollständige Zahlung einbegriffen der Gebühren bis zum 23.01.2015 auf unser Konto.
    Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Die detaillierte Forderungsausstellung, der Sie alle Buchungen entnehmen können, fügen wir bei. Für Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.
    Namens unseren Mandanten ordnen wir Ihnen an, die offene Forderung unverzüglich zu bezahlen.
    Mit freundlichen Grüßen
    Inkasso Abteilung Wrangel Luis"

     

    Im Anhang befindet sich eine ZIP-Datei (Rechnung 17.01.2015 - Inkasso Abteilung GiroPay AG.zip), welche wiederum eine ZIP-Datei (Ausgleich nicht gedeckten Lastschrift Ihrer Bestellung GiroPay AG vom 17.01.2015.zip). Diese enthält den Virus / Trojaner: "Ausgleich 17.01.2015 - Inkasso Abteilung GiroPay AG.com". An der Dateiendung .com erkennt man, das es ein sofort auf jedem Windows Computer ausführbares Programm ist und keine Rechnung oder Zahlungsaufforderung. Das doppelte verpacken in ZIP-Dateien soll einige Virenscanner austricksen.
    Auf keinen Fall den Anhang öffnen! Löschen Sie diese E-Mail einfach und ignorieren Sie sie.

Werbung

Seite durchsuchen

Member of The Internet Defense League

Anmelden

Diese Website verwendet Cookies von Google, um ihre Dienste bereitzustellen, Anzeigen zu personalisieren und Zugriffe zu analysieren. Informationen darüber, wie Sie die Website verwenden, werden an Google weitergegeben. Durch die Nutzung dieser Website erklären Sie sich damit einverstanden, dass sie Cookies verwendet. Um mehr über die Cookies und deren Entfernung zu erfahren siehe unsere Datenschutzerklärung.
Um mehr über die Cookies und deren Entfernung zu erfahren siehe unsere Datenschutzerklärung.

  Ich akzeptiere Cookies von dieser Seite.