Sammelthread Gefälschte Emails, Trojaner und andere Virenmeldungen

[hanzwurscht]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

@thoshu, das war an meine Mail-Adresse, die ich nur bei seriösen Seiten verwende. Dort hab ich nie Spam oder ähnliches. Da wird man schon nachdenklich. Deswegen hab ich auch die Warnung hier rein gesetzt. Wenn was an Mail-Adressen geht, die ich für Foren etc. verwende, dann weiß ich es gleich, das es nicht sein kann.
Ich hab mich erstmal 15min mit der Mail beschäftigt und fest gestellt, das die Adressen alle stimmen, jedoch sind es 3 Firmen, die in der Mail genannt sind und das kann schon mal nicht stimmen. Einer, der sich nicht so mit dem Netz auskennt, hätte vielleicht eine Firma gegooglet und hätte raus gefunden, das es sie gibt und dann die Mail geöffnet.

 

[Belzeboter]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Nein, Java ist auf dem Rechner nicht installiert.
Wie er sich den eingefangen hat ist nicht klar.

IE und Active-X ? Damit ists kein Problem
Oder doch was angeklickt.....


-Belzeboter-

 

[Zapata]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

...

Aber im Vergleich zu früheren - eher hilflosen - Versuchen ist diese Mail wirklich professionell und geschäftsmäßig aufgemacht und in verständlichem deutsch geschrieben.
...

Der eleven Securityblog berichtet schon seit einiger Zeit von dem Anstieg der Spam-Mails, die gezielt an deutsche Benutzer erstellt wurden:

Trojaner Matsnu kommt mit falschen Lieferscheinen

Spammer verfeinern die Taktik

Deutsche Internet-Nutzer weiter im Fokus von Online-Betrügern

Die Feeds des Blogs habe ich abonniert, da ich ihn ganz informativ finde.


Zapata

 

[xanadu]

E-Mail Center von T-Online beinhaltet kritische Sicherheitslücken !

lest mal den Artikel !

http://www.gulli.com/news/19163-e-m...altet-kritische-sicherheitsluecken-2012-06-25

 

[atom]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Trojaner Matsnu kommt mit falschen Lieferscheinen

Auch in diesem Falle versteckt sich im angehängten Lieferung.zip die Schadsoftware. Es handelt sich um den Trojaner Matsnu (bzw. eine Variante davon) der sich beim Entpacken der Datei installiert.

Das kann ich so nicht glauben. Wenn ich ein Zip-Archiv entpacke, dann wird doch nicht gleich ein Script oder eine Anwendung ausgeführt. Ich muss doch die entsprechenden Dateien erst starten. Oder seh ich das falsch?

cu aTom

 

[JamesBond]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Ich habe seltsamerweise noch niemals eine ähnliche Mail erhalten, bei keiner meiner doch etlichen Mail Adressen.

Dagegen erhalte ich dauernd irgendwelche Schlankheitspillen-Werbung. "Wunderwaffe gegen Fett" jetzt gerade eben.
Ich, der gerade mal 60kg auf die Waage bringt...

 

[Zapata]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Das kann ich so nicht glauben. Wenn ich ein Zip-Archiv entpacke, dann wird doch nicht gleich ein Script oder eine Anwendung ausgeführt. Ich muss doch die entsprechenden Dateien erst starten. Oder seh ich das falsch?

cu aTom

Vielleicht meinen sie die Variante mit einer Datei xxx.zip.exe und der Systemeinstellung "bekannte Dateieindungen ausblenden", dann würde man wohl nur xxx.zip sehen. Sonst hättest Du glaube ich recht, da ich auch nicht wüsste, wie dies mit einem reinen zip-Pack-Archiv gehen soll.


Zapata

 

[DrSnuggles]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Aus der Analyse eines Antivirenlabors.

Your submission has been analyzed. Comments to your submission:

Yes, this file was encrypted with newer version of Trojan.Matsnu.
We find no way to decrypt files for this case.
Trojan encrypts 0x3000 starting bytes with randomly generated key. It doesn't store key on the infected computer after encryption. The only possible way to decypher files would be to initiate legal action, so the police would be able to confiscate remote servers which belong to the people behind this ransomware. Decryption keys are stored on these remote servers.

 

[Nostradamus]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Wurde gerade von nem Bekannten zur Hilfe gerufen, Trojaner hat seine Daten verschlüsselt.
Mit Virenscanner gecheckt: neue Matsnu-Variante

Problem: Es gibt für die neue Variante keinen Decrypter.

Nein, Java ist auf dem Rechner nicht installiert.
Wie er sich den eingefangen hat ist nicht klar. Ich hab nen Image gezogen falls es in der Zukunft nen Decrypter gibt. Wenn nicht kann er halt seine Daten abschreiben. Klarer Fall von Pech wenn man keine Backups hat :-)

Hatte mir den Tag auch das Ding eingefangen und wie soll es natürlich anders sein, mit dem drecks IE.


Szenario war folgendes.
Hatte eine Anwendung gestartet aus der ich die Website zu dieser Anwendung öffnete. Da FF bei mir nicht als Standard konfiguriert ist (aus verschiedenen Gründen, obwohl ich ihn natürlich als Standard Browser nutze), öffnete die Website dadurch im IE. Dort rief ich dann deren Forum auf, dort klickte ich dann einen Downloadlink an, der eigentlich auf http://www.mediafire.com führte und die Seite öffnete auch erstmal.
Plötzlich ging ein Fenster auf mit einer Seite das mein Rechner gesperrt wäre weil ich illegalen pornographischen Inhalt aufgerufen hätte, irgendwas vom Bundespolizei oder so wurde vorgegaugelt, und um ihn wieder freizuschalten solle ich einen Betrag von XXX€ überweisen.

hab nen Bild im Web gefunden

Spoiler

Ups dacht ich erstmal Netzwerkkabel ziehen.
Es gab keine Taskleiste mehr, eigentlich gar nichts mehr, nur noch dies Seite ohne jegliche Menüs.
Taskmanager ging nicht mehr, per STRG+ALT+Entf popte er kurz auf, schloss sich aber gleich wieder.
Ok mit dem Benutzer Account ging nichts mehr, Benutzer gewechselt, per STRG+ALT+Entf, dass ging zum Glück noch als anderer angemeldet, nun erst mal alles im %Temp% gelöscht was ging. Ging natürlich nicht alles.
Eine er_00_0_l.exe ließ sich nicht löschen, weil Zugriff drauf war. Unlocker erkannte aber keinen Zugriff drauf.
Und zusätzlich auch noch die Temp Internet Dateinen vom IE gelöscht, aber nicht über den IE sondern im Dateimanager, welcher bei mir die echte Struktur anzeigt und nicht die vorgegaukelte.

Taskmanager gestartet, der führte die er_00_0_l.exe aber nicht auf. Über den dann aber die noch laufende IE.exe vom anderen Benutzer gekillt.
ProcessExplorer gestartet, der führte sie aber auch nicht auf, der zeigte mir aber eine aktive rundll32.exe welche die Zugriff auf die er_00_0_l.exe hatte. rundll32.exe gekillt und schon konnte ich die er_00_0_l.exe löschen.
In den autostart wurde auch noch irgendetwas mit ctfmon.exe in Verbindung mit der er_00_0_l.exe eingetragen, natürlich gleich gelöscht.
So nach etwas Suche mit Hilfe von OTL.exe habe ich dann auch noch eine l_0_00_re.pad unter C:\ProgramData gefunden

Wie es in ETWA bei mir war ist hier nachzulesen
http://www.trojaner-board.de/116788...dateinamen-ohne-endung-version-1-902-2-a.html

Bei mir ist letztendlich nichts verschlüsselt worden. Mein Glück ist vermutlich, dass die Autostartverknüpfung die mit ctfmon.exe verknüpft war, nie bei mir gestartet wurde.

Alles in allen, drecks IE kann ich nur sagen ich rufe eine ganz normale Seite wie http://www.mediafire.com und das Drecksteil von IE jubelt mir ungefragt einen Trojaner unter. Ich wollte es bisher nie glauben, das so was möglich ist, aber offensichtlich macht der IE alles möglich. Und Windows Update ist bei mir auf aktuellen Stand.

Da fällt mir gerade ein, dass dieser Trojaner offensichtlich auch alle Sicherheitseinstellungen vom IE auf ein Minimum gesetzt hat.
Ich habe das nicht weiter untersucht, ich konnte nur sehen, das ich bei allen Zonen den Button "Standard" klicken konnte, was bedeutet, das sie verändert wurden.

Im IE habe ich nun erst mal alles was mit ActiveX zu tun hat völlig dicht gemacht, wer braucht den Dreck eigentlich. Aber nicht über die IE Einstellungen, sondern über die lokalen Gruppenrichtlinien, so das es über die IE Einstellungen nicht mehr geändert werden kann, da ist nun alles ausgegraut.

Abschließend frage ich mich, was hat dem IE das ermöglicht, war es java, javascript oder das beschissene ActiveX.

 

[Steve-Urkel]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Hinweis:

Falls hier noch jemand GBATEMP.NET Mitglied sein sollte und das Login für
das Forum auch woanders benutzt, was wiederum in Verbindung mit dem
Forum gebracht werden kann, so sollte dieser das Passwort unbedingt und
umgehend ändern.

Das Forum wurde gehackt und bis jetzt ist nicht klar wie weit das reicht!

 

[xtraa_]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Einer der bestgemachtesten Scams zu DHL landete heute bei mir im Fach. Auch die Zeit wurde
geschickt gewählt; gegen 7 Uhr schickte die echte DHL eine Info-Mail zu den Packstationen raus,
bereits fünf Stunden später kam dann der Goldcard Scam.

Man beachte die schlaue Formulierung:

Registriert wurde die Zieldomain dhl-goldpaket.de auf den Namen einer Frau, die
vermutlich noch gar nichts davon weiß.

Gruß
xtraa

 

[eumel_1]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Ich denke da eher an Identitätsdiebstahl, denn eine Assistenzärztin der Inneren von der Uni Giessen wird wohl kaum solch eine Seite selbst angemeldet haben.
So gut wie das gemacht ist, gehe ich nicht von osteuropäischen Kriminellen aus.

 

[g202e]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen



Uploaded with ImageShack.us

 

[DrSnuggles]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

@g202e:

Das ist nur ein doofer Kettenbrief

 

[chaospir8]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Man sollte einfach schon mal den Begriff "Hoax" gehört/verstanden haben, wenn man hier Warnungen publiziert.

http://hoax-info.tubit.tu-berlin.de/hoax/

 

[g202e]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Das ist nur ein doofer Kettenbrief

Schon klar. Wurde jedoch heute in einer Firma/Behörde vom "echten" Sys-Fuzzi an alle MA versendet...

Man sollte einfach schon mal den Begriff "Hoax" gehört/verstanden haben, wenn man hier Warnungen publiziert.

Wenn du das als Warnung verstanden hast, hast DU wohl ein Verständnidproblem.

Dann habe ich wohl den Sinn dieses Threads Gefälschte Emails, Trojaner und andere Virenmeldungen falsch verstanden!? Worin besteht nochmal der Sinn?

 

[jr33]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Schon klar. Wurde jedoch heute in einer Firma/Behörde vom "echten" Sys-Fuzzi an alle MA versendet...

Aus Erfahrung sind solche Warnungen, selbst wenn sie stimmen,
kontraproduktiv, denn scheinbar verleiten sie geradezu die MA
dazu, unerwünschte Mails zu öffnen.
Andererseits zeigt solche Sys-Admin-Warnung allen MA deutlich
die Unfähigkeit des selbigen sein Sys sauber zu halten.

 

[xtraa_]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Allerdings ist der Text der Kettenmail auch total Hauptschule. Also sowohl
grammatikalisch als auch stilistisch und inhaltlich.

Allein "Kein Antivirenprogramm ist fähig ihn zu vernichten" - hört sich irgendwie
total nach einem Konsolen-Kiddie auf der Suche nach dem Endgegner an.

Normal würde das niemand so formulieren. Eher "Zurzeit haben die meisten
Virenprogramme noch Probleme bei der Erkennung, da es sich hier offenbar um
einen neuenTyp handelt… etc bla blah."

Gruß
xtraa

 

[Grainger]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Eben folgende eMail erhalten:

Sehr geehrter Kunde,

wir benötigen Ihre Hilfe, um Ihnen Ihr Kundenkonto weiterhin zur Verfügung stellen zu können.
Aufgrund neuer Gesetzesgrundlagen, welche seit dem 1. Dezember 2012 gelten, sind wir als Zahlungsdienstleister verpflichtet eine Identitätsfeststellung bei Ihnen durchzuführen.
Wenn Sie diesen Vorgang nicht bis zum 20. Dezember 2012 durchführen wird Ihr Kundenkonto deaktiviert.
Die anschließende Entsperrung Ihres Kontos wird mit Bearbeitungskosten verbunden sein.
Dieser Datenabgleich ist unter dem folgenden Link abrufbar:

----- Klicken Sie hier, um zu dem oben genannten Prozess zu gelangen... -----

Vielen Dank für Ihr Entgegenkommen.

Mit freundlichen Grüßen
Astrid Knaus,
Abteilung: Kundenschutz Pay:Pal GmbH
Pay . Pal Services DE GmbH
Ponningerstr. 13-16
45212 Essen
Tel. Nr.: 0180 / 55 11 44

Der hinterlegte Link (der hier natürlich nicht funktioniert ) führt dann letztendlich nach China. Der übliche Dummenfang eben.

 

[JoPa]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Eine ähnlich gehaltene Mail bekam Mrs. Jopa die Tage auch.
"Ihr Konto ist eingeschränkt, bitte hier klicken und einloggen um das Konto zu verifizieren!"
Am nächsten Tag Anruf von Schwester JoPa mit gleicher Frage: "Muss ich das wirklich machen???"
Glücklicherweise haben beide gefragt. Die hätten spätestens nächste Woche ihr Konto leer...

 

[eumel_1]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Gerade einen anruf von einem verunsicherten Kunden erhalten:
Sparkasse wurde gehackt.
Aber alles halb so schlimm, lest selbst:
http://www.n-tv.de/ratgeber/Hacker-greifen-Sparkasse-an-article10154816.html

 

[caribe]

GVU Trojaner

GVU Trojaner
was tun ?

mein Neffe hat sich ausgesperrt

Originalgrösse

Spoiler

cu

 

[gordon007]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Nicht bezahlen. Hier findest du Infos: http://bka-trojaner.de/

In deinem Fall: http://forum.botfrei.de/forumdisplay.php?28-Windows-Systeme

 

[caribe]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

ist klar, dass es sich um einen Virus/Trojaner handelt !
und es wird nichts gezahlt !

spassig war, dass die eingebaute Kamera angeschaltet wurde und das Livebild mit IP unter obigem Screenshot gezeigt wurde.

ich hoffe, dass ihn das nun endlich mal in Sicherheitsfragen etwas sensibilisiert !

....

auch im abgesicherten Modus kommt der Screen und kein Zugriff ausfs System ?!


immerhin hat er mit einem Ubuntu-Live-System seine Daten gerettet !
nun steht format c:\ an

bei diesen ganzen Tools, die es im www gibt, um dieses Prob zu lösen
bin ich mir nicht sicher was da serös ist und mit welchem man den Rechner nun komplett für fremde Hände freischaltet ???
BSP: h++p://de.pcthreat.com/parasitebyid-27552de.html

hilfreich ---> http://bka-trojaner.de/

hier gehts auch darum: http://www.cc-community.net/gvu-tro...tellung-lahm-t101846.html?highlight=peer-blog

cu

 

[Belzeboter]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

BSP: h++p://de.pcthreat.com/parasitebyid-27552de.html

Das geht aber nur bei den ganz alten Versionen Bei den Neueren ist
- abgesichert deaktiviert
- Taskmanager und Regedit deaktiviert
- falls startbar, leerer Desktop
- kein Admin-Login
- wichtige Dateien verschlüsselt (und zwar bösartig)

Das mit der Sparkasse stand hier auch in der Zeitung. Frechheit, erst lassen die
sich hacken und schieben dann die Schuld auf die Kunden zwecks Virenscanner

(ja, ich kenne unsere Spk-Admins, außer Kaffekochen, Filme und mp3-brennen
und ab und zu mal Papierstau beseitigen haben die nichts drauf von
Netzwerksicherheit haben die wenig Ahnung....)


-Belzeboter-

 

[caribe]

AW: Gefälschte Emails, Trojaner und andere Virenmeldungen

Das geht aber nur bei den ganz alten Versionen Bei den Neueren ist
- abgesichert deaktiviert
- Taskmanager und Regedit deaktiviert
- falls startbar, leerer Desktop
- kein Admin-Login
- wichtige Dateien verschlüsselt (und zwar bösartig)

- wichtige Dateien verschlüsselt (und zwar bösartig)
dabei handelt es sich meines Wissens um
Eigene Dateien / Dolumente
leider speichern viele User dorthin - weil vom System unterstützt

 

[hanzwurscht]

hab gerade eine von Amazon erhalten, die ist ziemlich dreist, da werden viele darauf rein fallen

Sehr geehrter Kunde,

aus gegebenen Anlass müssen wir Ihnen mitteilen, dass fremde auf Ihr
Amazon Konto Zugriff erlangen konnten.
Die Bestellungen die von Ihrem Amazon-Kundenaccount an die nicht übliche eingetragene Lieferadresse:

xyz in zyx

getätigt wurde, haben wir soeben storniert.
Wir bitten Sie daher, Ihr Kundenkonto so schnell wie möglich zu überprüfen
und weitere Fehler dem Support Team zu melden.
Rufen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:

http://ifrared.biz/?www.amazon.de/a...penid.return_to=https://www.amazon.de/gp/your

Wir entschuldigen uns für dadurch entstandene Unannehmlichkeiten und Bitten Sie
um Verständniß!

Ihr Support Team.

 

[iwier]

Lieferadresse anonymisiert, da es sich um reale Daten handeln könnte. Beitragschreiber wurde informiert.

Gruß

iwier

 

[g202e]

Guten Tag,
mein Name ist Tobias Schubert.
Ich bin Rechtsanwalt der Kanzlei Schubert & Winke.
Meine Aufgabe war es Angebote im Internet zu überprüfen, die den Anschein haben unseriös zu sein.
Der Grund wieso ich Sie kontaktiere ist, da Sie verstärkt Angebote zum Thema "Aktien im Wert von 1000€ geschenkt + 40% Rendite + 300€ Gutschein" bekommen haben.
Aus gerichtlichem Beschluss musste der Werbetreibende mir Ihre E-Mailadresse aushändigen, damit ich den Betrugsverdacht überprüfen kann.
Es handelt sich hier um die Seite: http://goo.gl/tfjyu
Da unsere Kanzlei auf Investment, Geldanlagen und Steuerrecht spezialisiert ist, war diese Überprüfung kein großes Problem für uns.
Wir machen keine Werbung für diese Seite. Wir ermitteln auf Grund des öffentlichen Interesses. Wir bekommen keine Provisionen oder Zahlungen für diese Mail.
Wir haben uns im Finanzmarkt und bei den Behörden in Deutschland, Österreich und der Schweiz schlau gemacht.
Wir sind nun zu dem Entschluss gekommen, dass es sich hier tatsächlich um ein seriöses Angebot handelt. Selber hatten wir dies nicht erwartet, da es sich sehr unrealistisch anhört.
Sollten Sie also schon teilgenommen haben, so können wir Sie beruhigen.
Dieses Angebot ist so gut; deshalb gibt es laut Angaben des TV-Senders NTV dieses Angebot nur alle 20-30 Jahre.
Gehen Sie also nicht davon aus, dass Sie in Zukunft weitere solch gute Angebote bekommen werden.
Da wir nun selber von diesem Angebot überzeugt sind, haben wir uns auch Aktienpakete gesichert.
Diese Aktienpakete stammen von einer US-amerikanischen Investmentgruppe die auch in der Schweiz ansässig ist. Leider dürfen wir aus Datenschutzgründen den Firmenname (noch)nicht nennen. Sie bekommen aber bei Teilnahme und/ oder bei Ende der Aktion mitgeteilt um welche Investmentgruppe es sich hier handelt.
Wir können Ihnen aber sagen, dass diese Investmentgruppe schon mehrfach für positive Schlagzeilen gesorgt hat.
Aus diesem Grund ist eine Rendite von 20-40% im Monat durchaus möglich. Bitte beachten Sie, dass in der Regel nur schwer-reiche Investoren, Banken oder Versicherungen an diese Aktien kommen.
Sie sollten also diese Chance nutzen und schnellstmöglich Ihr Aktienpaket sichern. Sie haben nichts zu verlieren, da Sie auf Ihre Einzahlung einen Gutschein bekommen(den wir schon nach etwas Wartezeit bekommen haben) So ist dieses Angebot für Sie sogar kostenlos.
Diese Aktienpakete sind so beliebt, dass Sie mit einer Wertsteigerung von bis zu 40.000 Euro noch in diesem Jahr rechnen können.
Unser Tipp: Sie sollten die Chance nutzen! Sie gehen kein Risiko ein. Wir empfehlen also mit besten Wissen und gewissen das Angebot auf: http://goo.gl/tfjyu
Hochachtungsvoll
Rechtsanwälte Schubert & Winke

 

[Deluser957]

Die Domain wurde bereits gesperrt
http://www.whoismind.com/whois/deutsche-geheimakte.net.html

BTW hast du ein Problem mit den Augen oder ist das CSS für Zitate Murks?
Mach mal kleiner bitte!

 

[dr_tommi]

@Brummelchen
Die betroffene Domain ist immer noch erreichbar. Nur weil die Boardsoftware die Links verstümmelt, ist man vor diesem Mist noch lange nicht sicher.
Domaininhaber aus Panama, Impressum aus der Türkei,
Bei Whois steht übrigens nur "LOCKED":

Provider haben die Möglichkeit, die Übernahme einer Domain zu verhindern, indem sie die Domain für Übernahmen sperren. Diese Sperre ist im Whois mit dem Status "LOCKED", "REGISTRAR-LOCK" oder "CLIENT-LOCK" gekennzeichnet.

Also nicht gesperrt im Sinne von zu, sondern nur, dass sie nicht von anderen übernommen werden kann.

 

[g202e]

@Brummelchen: Ich habe einfach nur per C/P den (normal formatierten!) Mailtext eingefügt

 

[ultimate]

16-05-13 Böser Zwilling der Telekom-Rechnung hat Virus im Gepäck

http://www.heise.de/security/meldun...om-Rechnung-hat-Virus-im-Gepaeck-1864889.html

Nach gefälschten Bahn-Buchungsbestätigungen sind nun auch nachgeahmte Telekom-Rechnungen im Umlauf, die man kaum vom Original unterscheiden kann. Der Dateianhang enthält einen Virus. Der Betreff lautet perfiderweise "RechungOnline Monat April 2013" – genau so eine Mail versendet die Telekom derzeit im Original an ihre Kunden. Auch inhaltlich ist die HTML-Mail kaum von ihrem Vorbild zu unterscheiden. Die Grafiken werden direkt vom Server der Telekom nachgeladen.

[...]

 

[dr_tommi]

alle Jahre wieder muss Heise ja darüber berichten.
Gleiches Problem wie im letzten Jahr, nur anderer Schädlich in der Mail.
Die ersten Mails sind wohl schon seit Anfang des Jahres im Umlauf.

 

[JoPa]

"RechungOnline Monat April 2013"

Fehlt da wirklich das "n"?

 

[dr_tommi]

Fehlt da wirklich das "n"?

Im Beitrag ja, in der Mail natürlich nicht.

Schon etwas älter.
Internetbetrüger kurz davor, erste Spam-E-Mail ohne Rechtschreibfehler zu verfassen

 

[Antitrack]

Auch eine nette Fake-Mail: Ein Trottel gibt sich als "Kaspersky" und einer offenen Rechnung über > 400 Euro aus:

X-Persona: Return-Path: xxx.yyy@online.deReceived: from moutng.kundenserver.de ([212.227.17.8]) by mx-ha.gmx.net
(mxgmx001) with ESMTP (Nemesis) id 0MEWoj-1UkXwz2Frt-00FnRF for
<xxxxxxxxxxxxxxx@gmx.at>; Tue, 07 May 2013 21:25:24 +0200Received: from DWS-PC1 (p5B0915A0.dip0.t-ipconnect.de [91.9.21.160])
by mrelayeu.kundenserver.de (node=mreu2) with ESMTP (Nemesis)
id 0LdZfa-1UA7kF1ChG-00iFYM; Tue, 07 May 2013 21:25:24 +0200From: "Mahnbescheid-Stelle www.kaspersky.com/de/store" <xxx.yyy@online.de>To: "XXXXXXXX" <xxxxxx@gmx.at>Subject: XXXXXXXXXXXXXXXXXX Ihre Forderung 07.05.2013 Nr.: 996040789Date: Tue, 7 May 2013 19:27:38 GMTMIME-Version: 1.0X-Mailer: Microsoft Outlook Express 6.00.2800.1106X-Priority: 3Content-Type: multipart/mixed; boundary="=-XCB243A4B8"Message-Id: <0LdZfa-1UA7kF1ChG-00iFYM@mrelayeu.kundenserver.de>X-Provags-ID: V02:K0:Ua+QSxcWJkziyODkkMhrfYBAqSSLdKLATF0+z4wS3tE
OFA6zPs7SgrdaG+J0Sb9uB+OeKpfMMI2ajel645EVf4E4Z6fE1
yzJULeflvTgjXQe3J9KPCIZUaBocU8mn4UFarv5pDKBS+ZK2L4
0pIN7wbz/Cwaq0Szv8qgdNSH98JHJrDYwlZxYGSm0Cvhg5mk+8
PDnc5xHsx7ZaYohCuIyJ7s4nOx5JJGx1CNNSw9CZNwzRIJdb5R
cpaEtCauf3umGGRoMCa82aSxwE4/S0QvrvhX1InYZ31Dh7S7JN
tPH6NqeYrnX2NVRCLH99+uX0+ynmJ9AzbHrpHh8gsWH+lFkv3l
DOjSB0zzkxcCTCojkifXaEWi8KCVso2xjYzqu60bREnvelope-To: <xxxxxxxxxxxxxx@gmx.at>X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;X-GMX-Antivirus: 0 (no virus found)X-UI-Filterresults: notjunk:1;V01:K0:NDHcJIu0iFk=:0vO8e6+/KvzOoSBtSdevCc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==
Sehr geehrte/r XXXXXXXXXXXXXX XXXXXXXXXXXXXXXX,

in Bezug auf unsere Forderung Nummer: 996040789 und unsere erste sowie unsere zweite Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht gebucht wurde.

Dies ist ein einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Inkasso anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 415,00 EURO an uns zur Zahlung bringen. Die Kontodaten finden Sie im beigefügtem Vertrag.

Nach geltendem Recht sind wir in der Lage, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Rechtsanwalts- und Gerichtskosten, Mahnkosten) gehen zu Ihren Lasten.

Fon 0800 8659 / 735048
Support@ kasperskystore.de
www.kaspersky.com/de/store

Leiter Aaron Brandt
Ust-IdNr. DE 5308680984


XXXXXXXXX Mahnbescheid 07.05.2013 996040789 www.kaspersky.comdestore.zip
------------ Ende des Zitats incl. Header der E-Mail

In der ZIP ist ne EXE, damit war für mich der Fall als gegenstandlos erledigt
Es gab natürlich nie eine erste und zweite Mahnung. LOL.

 

[Deluser957]

http://derstandard.at/1363710790131/Febipos-Neuer-Trojaner-kapert-Facebook-Accounts

Microsoft lanciert Warnung - Schädling tarnt sich als Browser-Erweiterung

Windows-Hersteller Microsoft hat einen neuen Trojaner entdeckt, der die Facebook-Accounts der Betroffenen kapert. Das Unternehmen hat nun eine Warnung vor dem gefährlichen Schädling lanciert.
Für Chrome und Firefox

Identifiziert wird er von den Redmondern als Trojan:JS/Febipos.A. Erstmals entdeckt wurde er auf Rechnern in Brasilien. Er existiert in Form einer Extension für den Browser Chrome sowie als Add-on für Firefox. Varianten, die den Internet Explorer oder Safari betreffen, wurden bislang nicht entdeckt.
Kommunikationsfreudiger Schädling

Nach Außen präsentiert sich Febipos als normale Erweiterung, jedoch treibt er, einmal eingenistet, auf vielfältige Art und Weise sein Unwesen. Er prüft, ob der Nutzer gerade bei Facebook eingeloggt ist und nutzt dies dann, um Seiten zu liken, Kommentare in Diskussionen und auf die Timeline anderer Mitglieder zu posten sowie Inhalte zu teilen. Außerdem eröffnet es Chats mit Freunden und kann diese auch in Gruppen einladen.

 

[Zapata]

Auch eine nette Fake-Mail: Ein Trottel gibt sich als "Kaspersky" und einer offenen Rechnung über > 400 Euro aus:

X-Persona: Return-Path: xxx@online.deReceived: from moutng.kundenserver.de ([212.227.17.8]) by mx-ha.gmx.net
(mxgmx001) with ESMTP (Nemesis) id 0MEWoj-1UkXwz2Frt-00FnRF for...

Na, ob der Benny etwas dafür kann, dass er als Absender-E-Mail drin steht (ich hab ihn vorsorglich schon mal anonymisiert), möchte ich bezweifeln. Er fände es sicher gut, wenn Du dies auch tun würdest (und ich auch)


Zapata

 

[iwier]

Hallo,

Email-Beispiel von Antitrack vorsichtshalber anonymisiert.

Gruß

iwier

 

[hanzwurscht]

hab heute eine Mail von Paypal bekommen, jedoch nicht auf die Maildadresse von Paypal, sondern auf die die ich nur für ebay benutze.

​

.​

23.05.2013

Wichtige Nachricht bezüglich Ihres Mitgliedskontos

Sehr geehrte(r) Kunde/Kundin,

Wir möchten Sie auf die neuen PayPal Bestimmungen vom 23.05.2013 in Kenntnis setzen.

PayPal arbeitet kontinuierlich an der Weiterentwicklung bestehender Sicherheitssysteme, der Einführung neuer Technologien sowie sicherheitsorientierter Produkte um potenziellen Schaden im Vorfeld zu vermeiden.
Wo liegt das Problem?
Bearbeitungsnummer: PP-005-058-426-188
Um gewährleisten zu können, das kein Unbefugter Zugang zu Ihrem Mitgliedskonto hat, ist eine einmalige Zuordnung Ihres Mitgliedskontos durch Eingabe von personenbezogenen Daten erforderlich.
Was mache ich jetzt?
Bitte registrieren Sie Ihre Daten innerhalb von 7 Tagen um eine eventuelle Sperrung Ihres Mitgliedskontos zu vermeiden.
Hier klicken

Mit freundlichen Grüßen
Ihr PayPal Sicherheitsteam

Da muss bei irgendeinem Händler meine Adresse abgegriffen worden sein.

 

[JamesBond]

Könnte man eigentlich nicht einfach per Script mal so kurz ein paar hundert solcher Formulare ausfüllen lassen?

Dann hätten die wenigstens was zu tun.

 

[JoPa]

hab heute eine Mail von Paypal bekommen, jedoch nicht auf die Maildadresse von Paypal, sondern auf die die ich nur für ebay benutze.



Da muss bei irgendeinem Händler meine Adresse abgegriffen worden sein.

Hast du mal bei vartis.de was bestellt?
Hab eine ähnliche mail bekommen, die nur für diesen shop benutzt wurde.
(bei mir bekommt jeder shop eine adresse mit shopname@meinedomain, daher kann ich es nachvollziehen, wo meine mailaddi weitergegeben oder abgegriffen wurde)

 

[hanzwurscht]

nein, hab ich nicht und einen ebay-shop von denen hab ich nicht gefunden. Ich mache es wie du, ich hab für fast jeden Shop eine eigene Adresse, so auch für Paypal, deswegen habe ich es gleich gemerkt, das da was nicht stimmen kann.

Die Idee von JamesBond hatte ich auch schon paar mal. Der Transformer würde da sicher gut dafür gehen

 

[Steve-Urkel]

Hetzner gehackt, Kundendaten kopiert

Die Webhoster Hetzner wurde Opfer eines Hackerangriffs, bei dem Unbekannte auch Kundendaten kopiert haben. Die Eindringlinge hatten unter anderem Zugriff auf Passwort-Hashes und Zahlungsinformationen. Bei dem Angriff soll ein bislang unbekanntes Server-Rootkit zum Einsatz gekommen sein.

In einer Mail an seine Kunden erklärte das Unternehmen am Donnerstagnachmittag, dass Unbekannte mehrere Hetzner-Systeme kompromittiert haben. Der Vorfall sei bereits Ende vergangener Woche entdeckt worden. Dabei fiel dem Hoster zunächst eine Backdoor in einem seiner Nagios-Überwachnugsserver auf. Bei der anschließend eingeleiteten Untersuchung wurde klar, dass auch die Robot genannte Verwaltungsoberfläche für dedizierte Server kompromittiert wurde. Die Eindringlinge haben auf die dort gespeicherten Kundendaten zugegriffen.

...
...

http://www.heise.de/newsticker/meldung/Hetzner-gehackt-Kundendaten-kopiert-1884180.html

 

[Gwen Boiler]

Krass, schon wieder...? Das ist doch nicht zu 1. Mal!
Hier noch ein wenig mehr aus dem englischsprachigen Raum:
http://www.webhostingtalk.com/showthread.php?t=1273461

 

[punger]

>In einer Mail an seine Kunden erklärte das Unternehmen am Donnerstagnachmittag, dass Unbekannte mehrere Hetzner-Systeme kompromittiert haben. Der Vorfall sei bereits Ende vergangener Woche entdeckt worden. <

Das war ja schön schnell. Entdeckt --> veröffentlicht von Hetzner. Sieht aber vielleicht ganz anders aus bei anderen dt. Hostern???
Gibt es eine Verpflichtung dies selbst schon bei Verdacht zu veröffentlichen. Ähnlich so wie bei Gewinnwarnungen im Aktienrecht?

 

[ultimate]

http://www.heise.de/security/meldung/Hochentwickelte-Android-Trojaner-ins-Netz-gegangen-1885163.html

10.06.2013 11:56


Hochentwickelte Android-Trojaner ins Netz gegangen

Kaspersky Lab ist ein hochentwickelter Android-Trojaner in die Fänge geraten und Mc-Afee präsentiert einen besonders tückischen Android-Banking-Trojaner, der mit einer ähnlichen Strategie schon in Deutschland aufgetaucht ist. Die Beispiele zeigen: Die Qualität der Android-Trojaner nimmt deutlich zu. Via Smisching (Phishing per SMS), Phishing und über Bluetooth verbreiten sich die Spezialisten.
[...]
Wie Kaspersky erklärt, ist Backdoor.AndroidOS.Obad.a der gängigen Windows-Malware ähnlicher als anderen Android-Trojanern. Obwohl er sich selbst aber so gut zu verstecken weiß, ist er momentan dennoch eher wenig verbreitet.

Die Exemplare, die McAfee gefunden hat, sind derweil schon umtriebiger und haben es momentan auf Android-Nutzer in Südkorea abgesehen.
[...]

ps:
merke gerade - würde in den virus/trojaner thread passen
wenn gewünscht verschiebt das posting dorthin und lasst die meldung dort untergehen

 

[DrSnuggles]

Das "Snake Oil" hat da garnichts gefunden. Karspersky Lab hat mit Kaspersky Mobile Security nichts zu tun.
Ersteres ist ein Expertenteam, dass wirklich gut ist, letzteres ist selbst für Snake Oil unterirdisch(wie jegliche Android Antivirensoftware)

 

[Steve-Urkel]

merke gerade - würde in den virus/trojaner thread passen

Darum schiebe ich mal.

Ich lasse aber auch für drei Tage eine Weiterleitung stehen, ich hoffe
damit ist deinem "Newsgedanken" genüge getan.