Erneut Trojaner in gefälschten Rechnungen
Seit gestern Abend kursieren wieder bösartige eMails im Internet, die im Anhang die Datei RECHNUNG.ZIP haben. Wer die ZIP-Datei öffnet, findet zwei Dateien in dem Ordern ‘RECHNUNG’:
rechnung.txt.lnk — die jedoch im Windowsexplorer nur als rechnung.txt angezeigt wird und
zertifikat.ssl
Wer sich jetzt von dem Betreff und der Text der eMail hat einschüchtern lassen oder emotional aufgeregt ist, hat gute Chancen sich den Trojaner einzufangen, denn nur einige Antivirenprogramme erkennen den Trojaner bisher. Unser Test hat ergeben, dass AntiVir diesen derzeit noch nicht erkennt und Dr. Web dies erst seit heute Vormittag kann. Andere Produkte von Herstellen wie ClamAV, Command, Kaspersky und Sophos sollen ihn ebenfalls bereits erkennen.
Wie immer ist bei merkwürdigen und unbekannten Absenderadressen und vorallem .ZIP-Dateien im Anhang höchste Vorsicht geboten. Auffällig sind auch die falschen deutschen Sonderzeichen, die durch ‘ue’, ‘ae’, etc ersetzt werden. Ein deutliches Indiz für einen Virus oder Trojaner in der eMail. Am Besten läßt man solche eMails zunächst entweder ein paar Tage liegen, damit die Antivirenhersteller eine Chance haben die bösartige eMail zu erkennen und einen dann zu warnen oder löscht diese eMail gleich.
Die eMail selbst lautet:
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.950849253860 ist erfolgt
Es wurden 8070.48 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen — der ist fuer Sie nicht von Bedeutung
TESCHINKASSO Forderungsmanagement GmbH
.…
Im Betreff stehen dabei verschiedenste Anganben wie z.B.:
TESCHINKASSO
Auflistung der Kosten
1 Rate
Ratenzahlung
Abbuchung
Amtsgericht
Amtsgericht Koeln
Srayfriends Anmeldung
Update I: Nachdem vor diesen Viren gewarnt wird, gibt es jetzt zusätzlich auch den Mißbrauch von StayFriends mit folgender eMail:
…vielen Dank fur Ihre Anmeldung bei stayfriends.de Sie haben Sich fuer unseren kostenpflichtigen Suchservice entschieden. 295,96- Euro werden Ihrem Konto fur ein Jahresvertrag zu Last gelegt. Wir mailen Ihnen alle Antworten auf Ihre Suchanfrage 2 Mal woechentlich zu, Sie koennen sich auch zu jeder Zeit einloggen und den aktuellen Stand einsehen. Entnehmen Sie Ihre Rechnung und den Zugang zu Ihrem Profil den unten angefuehrten Anhang. Bitte diesen genauestens durchlesen und bei einer Unstimmigkeit uns kontaktieren. Zum Lesen wird kein zusaetzliches Programm benoetigt.Falls die Anmeldung von einer dritten Person ohne Ihre Zustimmung durchgefuehrt wurde, fuehren Sie unverzueglich, den in dem Anhang aufgefuehrten Abmeldevorgang aus.Der Widerspruch ist nach unseren AGB’s innerhalb von 7 Tagen schriftlich zulaessig!
Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen per Post zugestellt.
Update II: Inzwischen gibt es eine dritte Welle die aber genau in die gleiche Kerbe zu schlagen versucht, hier der eMail-Text:
Sehr geehrte Damen und Herren,
Usenet GmbH — usenext.de
69,85 EUR
Beate Uhse GmbH beate-uhse.de
35,59 EUR
bisherige Mahnkosten unserer Mandanten:
68,17 EUR
vorgerichtliche Inkassogebuehren:
52,92 EUR
noch offener Gesamtbetrag inklusive unserer Bearbeitungskosten:
226,64 EUR
bislang ist der von uns angemahnte Betrag nicht ausgeglichen worden!
Als Vertragspartner der SCHUFA Holding AG weisen wir darauf hin, dass wir Daten ueber aussergerichtliche und gerichtliche Einziehungsmassnahmen bei ueberfaelligen und unbestrittenen Forderungen an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, uebermitteln. Vertragspartner der SCHUFA sind vor allem Kreditinstigute sowie Kreditkarten- und Leasinggesellschaften.
Moechten Sie diese Schritte vermeiden, zahlen Sie bitte bis zum 09.12.2008 Ihren Schuldbetrag unter Angabe Ihres
Aktenzeichens (siehe Anhang) auf die in der Auflistung genannte Bankverbindung.
Die detailierte Auflistung Ihrer Rechnungen, Mahngebuehren und die Zahlungs bzw. Wiederspruchshinweise finden Sie im Anhang.
Diesmal heißt die Datei im Anhang: Anhang.zip in der wiederum der Trojaner steckt und scheinbar wieder in einer leicht anderen Version, denn weder Dr. Web noch Antivir erkennen ihn derzeit bei unseren ersten Tests.
Update III: Kaum haben die Antivirenhersteller die Signaturen angepaßt, so daß die auch die bösartigen eMails der zweiten Welle zuverlässig erkannt werden, ändern die Angreifer Ihre Dateinamen und den Code des Trojaners. Jetzt heißt die Datei Mahnung.zip die den Schadcode enthält. Wir werden sehen, wie lange dieses Katz- und Mausspiel noch andauern wird.
Eine so exzessive und massenweise eMail-Flut dieser Art hat es lange nicht gegeben.
Unser Rat: Lassen Sie sich nicht von solchen eMails einschüchtern oder aufregen! Die Beträge varieren und sind in der Regel mit Absicht sehr hoch angesetzt. Ebenso wird das Thema Erotik genutzt. Beides nur um Sie dazu zu verleiten diese sofort und ohne Nachzudenken zu öffnen und somit die sonst üblichen Bedenken in der Aufregung zu vergessen und jegliche Vorsicht zu mißachten. Genau darauf zielen diese eMail stets ab. Lassen Sie sich bitte nicht reinlegen!
P.S. Wie Spiegel Online berichtet, warnt sogar die Polizei Köln vor diesen eMails, die leider auch schon einige Opfer gefunden hat, wie wir aus unseren Aufträgen am Freitag und am Wochenende wissen.
Tags: anhang.zip, mahnung.zip, rechnung.zip, trojaner