Sammelthread Gefälschte Emails, Trojaner und andere Virenmeldungen

JoPa

Allround-Nichtsnutz
Kam grade per Mail rein, ist bei Virustotal noch relativ unbekannt (gerade mal 4 Ausschläge). Im Anhang ist im .zip eine .EXE mit .pdf-Symbol versteckt:
Sehr geehrter Kundin, anbei erhalten Sie Ihre Rechnung fur die Dienste der freenet Breitband GmbH, die Sie unter Ihrer Kundennummer 24835195 genutzt haben. Einzelheiten entnehmen Sie bitte dem angehangten PDF-Dokument als ZIP-Datei. Mit freundlichen GrьЯen, Vielen Dank. Ihr freenet Service-Team ________________________________________________________________________________ freenet Breitband GmbH, Postfach 2120, 24001 Kiel Geschдftsfьhrung: Thorsten Meier, Andreas Sand, Claas Voigt Hamburg - HRB 105477, Amtsgericht Hamburg St.-Nr.: 27 / 606 / 01001, USt.-ID: DE259800171
 

eumel_1

Der Reisende
Heute eine Mail bekommen mit dem
Betreff: Ihre Aufforderung von Anwaltschaft Mandantschaft
Absender: Tim Kuhn Inkasso Anwaltschaft <michaudjc@wanadoo.fr>
Text:
Sehr geehrter Kunde,

mit dem abgeschlossenem Vertrag vom 22.05.2013 haben Sie sich rechtlich verpflichtet den Betrag von 660,00 Euro an unseren Mandanten zu überweisen.

Dieser Pflicht sind Sie bis heute nicht nachgekommen.

Weiterhin sind Sie aus Gründen des Verzuges gezwungen die Kosten unserer Beauftragung zu tragen.

Unsere Anwaltskanzlei wurden vom Unternehmen Buecher Online Store GmbH beauftragt die finanziellen Interessen zu vertreten. Die Bevollmächtigung wurde notariell zugesichert.

Die zusätzlichen Kosten unserer Inanspruchnahme errechnen sich gemäß folgender Abrechnung:

################
14,00 Euro (nach Nummer 9926 RGV)
17,00 Euro (Pauschalvergütung gemäß RVG § 4 Abs. 1 und 2) ################

Wir zwingen Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Bankkonto unseren Mandanten zu überweisen. Die Kontodaten und die Lieferdaten der Bestellung finden Sie im Anhang. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche letzte Zeitfrist bis zum 23.06.2013.

Mit freundliche Grüßen Tim Kuhn Inkasso Anwaltschaft
Anhang: Mahnung vom 14.06.2013 Anwaltschaft Buecher Online Store GmbH.zip

Muss ich noch erwähnen, dass in der .Zip eine weitere .Zip steckt, die dann eine .com beinhaltet?

Einen Shop namens "Buecher Online store GmbH" kann Google nicht finden, aber eine Suche nach Tim Kuhn Inkasso bringt im ersten Treffer einen link zu
http://www.spam-info.de/1813/achtung-spam-falsche-abmahnungen-und-rechnungen-im-umlauf/
 

chaospir8

★★★★★-Oldie
Text ist doch egal, nachdem man den Titel und die Absender-E-Mail-Adresse (sowie ein *.zip als Anhang) gelesen hat ... :D
 

Steve-Urkel

Team (Azubi ;-))
Ich finde das echt Schei*** hier, könnt ihr nicht klar schreiben was man tun muss? :icon_knock:


Muss ich jetzt, wegen dem Zwang(!), die .com aus der .zip aus der .zip öffnen?
Und wenn ja, womit? :icon_easter1:
 

eumel_1

Der Reisende
Das habe ich nicht gewollt, das müsst Ihr mir glauben.

BTT: darf ich höflichst darauf hinweisen, dass wir hir im NEWS sind?

OT: ich entschuldige mich auch für mein Danke an den Boiler, aber ich hab mich fast übergeben beim Lachen, war nämlich grad beim futtern.
@Steve: soll ich den Anhang hochladen, dann wirst Du schon herausfinden, wie man das öffnet.
 

DeSmi

Bekanntes Mitglied
Na sind das denn etwa keine News, wenn man nun schon von sexuell agilen Senioren zwanghaft nieder geswingt wird?! :icon_easter1:
 

eumel_1

Der Reisende
Meine Antwort war doch auch nicht Ernst gemeint, musst Dich nicht entschuldigen.
Ich sollte mich entschuldigen, weil kein Smiley dies kennzeichnete, ich dachte das erkennt man auch so.

Sollte man vielleicht trotzdem demnächst alle nicht ernst gemeinten Beiträge löschen?
Schließlich ist das News indiziert.
 

DeSmi

Bekanntes Mitglied
Zur Zeit sind gefälschte Mails im Umlauf die angeblich von Eset sind!
Please verify your ESET Account

Dear Eset Customer,(xxx)

During our regularly scheduled account maintenance and verification
procedure we have detected aslight error in your ESET online account.

Please fill in all the details that are required to complete this verification
process or you ESET license will get suspended.

Please understand that this is a security measure intended to help protect
you and your account.

If you choose to ignore our request, you leave us no choice but to temporary
suspend your license. We apologize for any inconvenience.

Please click the following link to verify your account :

hxxps://xxx.esetshop.de/verify/PP1263/[hxxp://esetnod.tld.cc/?-245237697/?z-245237697----o-245237697]

ESET NOD Email ID PP1263.

Copyright © 1999-2013 ESET. All rights reserved. ESET (Germany)
 

Bestatter

Schwarzfahrer
Kam hier in der Firma heute Nacht auch an.
Korrekte Mailadresse, die bei ESET hinterlegt ist und mein Vor- und Nachname, der nicht aus der Mailadresse hervor geht.
Nur hinter https://www.esetshop.de/... steckt hxxp://äffairs4ü.cöm/esetnod/?-1xxxxxx3/?x-1xxxxxx3

Da muss jemand bei ESET an die Datenbank gekommen sein. :(

--edit--
Beim Aufruf der Seite erkennt hier ESET Endpoint Antivirus einen "Phishing.Agent.D.Gen Trojaner"
--edit--
 

JoPa

Allround-Nichtsnutz
Kam heute rein:
KAUFBESTÄTIGUNG FÜR IHREN ROOMNIGHT GUTSCHEIN | EBAY-ARTIKEL-NR.: 423605742091



Sehr geehrte/r powertraumfrau,

hiermit bestätigen wir Ihren Kauf bei Roomnight. Es gelten unsere Allgemeinen Geschäftsbedingungen, die Sie hier einsehen können: Link "AGB Roomnight Easy". Darin finden Sie auch Angaben zu Ihrem Widerrufsrecht.




Bitte geben Sie bei Ihrer Überweisung UNBEDINGT die nachstehend im "Verwendungszweck" genannten Daten an (eBay-Artikel-Nr. und eBay-Name). Ohne diese Angaben können wir Ihre Zahlung nicht zuordnen und Ihren Gutschein somit auch nicht ausstellen.







Mit einer separaten eMail erhalten Sie umgehend nach dem Zahlungseingang einen Link, über den Sie Ihren Gutschein herunterladen und ausdrucken können.

Folgen Sie uns auf facebook.com/roomnight und twitter.com/roomnight.

Rundung_unten_blau_594px.jpg


Mit freundlichen Grüßen
Ihr Roomnight Team



Customer Service Roomnight Easy GmbH HRB: 10137 KI
info@roomnight.de roomnight.de Amtsgericht Kiel
T +49 (0)4193 98097-0 Immbarg 43 Geschäftsführer:
F +49 (0)4193 98097-90 D-24558 Henstedt-Ulzburg M. Weglewski & T. Nordmeier



Zur Unternehmensgruppe gehören:

Roomnight Easy | Roomnight 24 | Roomnight Media | Roomnight Mareteem | BENI8



Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail ist nicht gestattet. This e-mail may contain confidential and/or privileged information. If you are not the intended recipient (or have received the e-mail in error) please notify the sender immediately and delete this e-mail. Any unauthorized copying, disclosure or distribution of the material in this e-mail is strictly forbidden.

Im Anhang ist eine als "Rechnungsnummer".xml getarnte .exe
Für die meisten unter euch wahrscheinlich Pillepalle, für die anderen vielleicht interessant zu wissen.
 
Zuletzt bearbeitet von einem Moderator:

JoPa

Allround-Nichtsnutz
Mal wieder eine "Rechnung". Kam heute auf verschiedenen Konten rein, bloß nicht auf dem offiziellen bei T-Online ;)
Im Anhang eine als PDF getarnte .exe


http://www.telekom.de/mail/reo/a-21-telekom-00
Rechnungen speichern Kennwort wiederherstellen
Ihre Rechnung für Oktober 2013
Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Oktober 2013 beträgt: 49,17 Euro.
Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im [COLOR=00a1de]Kundencenter
http://www.telekom.de/mail/rm/kundencenter.
Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser [COLOR=00a1de]Kontaktformular[/COLOR].

Informationen über die Umstellung auf den einheitlichen Euro-Zahlungsverkehrsraum (SEPA) finden Sie hier.
Speziell für Sie: Möchten Sie zukünftig Informationen über neue Produkte und Tarife erhalten, melden Sie sich zu unserem kostenlosen [COLOR=00a1de]Informationsservice[/COLOR] an.
[/COLOR]

Mit freundlichen Grüßen

Ralf Hoßbach
Leiter Kundenservice

http://www.telekom.de/mail/rm/kundencenter
http://www.telekom.de/mail/reo/a-21-reo-tipp-1
Rechnungen im Mediencenter speichern
Nie mehr in Schubladen kramen: Speichern Sie Rechnungen und Einzelverbindungsnachweise dauerhaft im Mediencenter – per Mausklick! Aus dem Kundencenter heraus benötigen Sie nämlich nur einen Klick, um Ihre Rechnungen ins Mediencenter zu übertragen.

So sparen Sie sich viel Papierkram und langwieriges Suchen. Aktenordner ade!

http://www.telekom.de/mail/reo/a-21-reo-tipp-1
http://www.telekom.de/mail/reo/a-21-reo-tipp-2
Persönliches Kennwort wiederherstellen
Sie wollen Ihren Router neu konfigurieren, aber haben Ihr persönliches Kennwort vergessen? Kein Problem! Im Kundencenter können Sie Ihr Kennwort ab sofort einfach und schnell selbst wiederherstellen.

Denken Sie bei der Wahl von Kennwörtern immer an die Sicherheit: Bilden Sie Buchstaben-Zahlen-Kombinationen mit Sonderzeichen.

http://www.telekom.de/mail/reo/a-21-reo-tipp-2
Weitere aktuelle Produkt- und Service-Informationen finden Sie in unserer Online-Rechnungsbeilage.
© Telekom Deutschland GmbH Kundencenter FAQ Kontakt AGB Impressum
Hinweis: Die Inhalte dieser Mail sind vertraulich und nur für den konkret genannten Adressaten der Anlage bestimmt. Falls Sie nicht der richtige Empfänger dieser E-Mail sind, senden Sie uns bitte eine Information an info@telekom.de und löschen Sie diese E-Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail und der darin enthaltenen Informationen sind nicht gestattet.
 

Antitrack

Bekanntes Mitglied
Es paßt nicht 100% hier rein, aber trotzdem...
Ich habe erst gerade einem Voll-NOOB helfen müssen. Es hat sich herausgestellt: Er ist auf einen falschen Virenscanner reingefallen, nämlich:
http://techprotectorltd.com

Bei der 'Gelegenheit' hat die neueste Avira Antivir-CD auch gleich 12 Viren gefunden :icon_argh:

Wie auch immer, das Ding ist manuell etwas lästig zum Entfernen, usw. usf.

Aber das Schärfste war: Der neueste ECHTE Virenscanner (MSE) erkennt den falschen Scanner nicht als Bedrohung. Grrr......
 

Antitrack

Bekanntes Mitglied
Kleine Extrabitte an alle: Könnt ihr testen, ob der falsche Virusscanner von techprotectorltd.com von eurem echten Virusscanner erkannt wird, und mir hier dementsprechend Bescheid sagen?
Ich mußte zu meinem Bedauern feststellen, daß weder MSE noch Panda Cloud Antivirus diese Bedrohung erkennt.... :-(
 

Deluser957

janz wech. fresse halten,wenn man keine ahnung hat
Bekommt ihr den Schrott eigentlich auf eure echten Adressen? Bei mir kommt das immer auf Nick oder Fake und wandert daher direkt in die Tonne. GMX braucht leider seit geraumer Zeit länger, um das als Spam zu erkennen (wie jetzt den Sparkassen-Fake).

Was reizt euch eigentlich, da auch noch draufzuklicken in der Hoffnung, euer AV würde das rechtzeitig verhindern? Doof?
 

g202e

The Long Man
Brummelchen, schon mal was von Neugier/Interesse gehört?
Bei diesem ständigen "Snakeoil"-Gelaber hier auf dem Board interessiert mich halt ab und an, ob mein Snakeoil sowas erkennt.
Und da ich nicht so sehr unter Paranoia leide, klicke ich dann einfach mal.
Aber ich habe ja auch keine Hemmungen, mein Java ständig aktuell zu halten, obwohl manche der Meinung sind, dass DAS eine ganz pööhse Software ist...
So, what?
 

Deluser957

janz wech. fresse halten,wenn man keine ahnung hat
Ja, aber muss man seinen Steinzeittrieb auch immer befriedigen??? Besonders bei so heiklen Angelegenheiten, die im Extremfall dauern...
Java - auch aktuell immer noch eine Sicherheitslücke :p
 

g202e

The Long Man
Ja, aber muss man seinen Steinzeittrieb auch immer befriedigen...
Ich sehe das rein praktisch.
1. habe ich, trotz allen Snakeoil-Gelabers, ein gewisses Vertrauen zu Eset Antivirus(NICHT zu deren...Suite!), welches sich über die Jahre entwickelt hat und eigentlich noch nicht enttäuscht wurde.
2. falls es schief gehen sollte, lerne ich wieder was dazu. Und man lernt schließlich nie aus, gelle?

zu Java: Wir nutzen z. B. in der Firma eine US-Software, welche immer noch mit einer 6er Javaversion läuft und wo ein Java-Update ausdrücklich verboten ist.
Bei der Neu-Installation eines PC Ende Juli wurde dies nochmal ausdrücklich betont und das Java-Update deaktiviert.
Es ist eine Software, bei der es u. a. um Online-Verkaufsvorgänge geht, aber wenn die Firma das so will...
No risk, no fun!
 

sjfm

make my day
hi!
Bekommt ihr den Schrott eigentlich auf eure echten Adressen? Bei mir kommt das immer auf Nick oder Fake und wandert daher direkt in die Tonne. GMX braucht leider seit geraumer Zeit länger, um das als Spam zu erkennen (wie jetzt den Sparkassen-Fake).

Was reizt euch eigentlich, da auch noch draufzuklicken in der Hoffnung, euer AV würde das rechtzeitig verhindern? Doof?
ich bekomm sowas auf keine adr! sollts doch so sein gibts ne sandbox. da auf nen link zu klicken macht ja fast schon spass wenn man avast hat. ;)
 

Nostradamus

Zensur besteht aus Frechheit und Angst. Tucholsky
Ich frage mich nur woher diese Drecksbande weiß bei welcher Bank ich bin. Ich habe eben so was bekommen.
Hallo xxxx xxxx,

im Vorfeld bedanken wir uns bei Ihnen, dass Sie Kunde unserer Bank sind und möchten Sie bitten uns zu helfen, das System noch sicherer zu machen.
Sie sind noch für das alte iTAN-Verfahren zur Verifizierung von Transaktionen und Arbeitsabläufen angemeldet.
Ab dem 1. November 2013 bieten wir nur noch das mobile TAN-Verfahren an, ab diesen Zeitpunkt wird Ihnen der TAN an Ihr Mobiltelefon im Form einer SMS gesendet.
Die Registration muss durchgeführt werden, andernfalls wird Ihr Konto ausgesetzt.
Klicken Sie auf den folgenden Link um zu Ihrer Registrierung zu gelangen:

~ Registration für das mTAN-Verfahren - xxx xxx ~ <http://ecole-mosane.be/tmp/templates_c/6763069014/login32538252830/>

Mit freundlichen Grüßen
Kai Knaus,
Deutsche-Bank DE
Reisweg 2-5
24594 Kiel
Telefonische Erreichbarkeit: 04882987064

Ihre ID-Nummer: 123683552426078603062885141699
 

Nostradamus

Zensur besteht aus Frechheit und Angst. Tucholsky
Kann ich mir nicht vorstellen, dass wäre ja ein raten ins blaue. Falsch geraten wäre es selbst für den DAU als Fake erkennbar.
Ich vermute mal eher, das unseriöse Firmen bei denen man mal etwas per Überweisung gekauft hat, die Adressdaten incl. Konto Daten an Adresshändlergesindel verklingeln und so die Daten auch in die Hände Krimineller geraten, oder das eine solche Firma gehackt wurde.
 

ibinsfei

Team (Technik) - BOFH
Mitarbeiter
Das ist Raten ins Blaue. Ich bekomme öfter solche Mails angeblich von der österreichischen Sparkasse und Postbank und von der Raiffeisenbank. Ich habe keinerlei Konten bei einer dieser Banken und die Mailadresse, an die die Mails gehen ist auch seit ein paar Jahren nicht mehr im Einsatz, da sie speziell für ein Projekt war.
Sparkassen AG
(Erste Bank Oesterreich)
Graben 21
1010 Wien
Österreich Zentrale
23-09-2013

Sehr geehrter Kunde,

Bitte beachten Sie, dass Ihr Netbanking-Banking-Zugang bald abläuft. Um diesen Dienst weiterhin nutzen zu können, klicken Sie bitte auf den untenstehenden Link um Ihren Zugang manuell mit unserem Sicherheits-Update zu aktualisieren:


www-sparkasse.at/erstebank/Sicherheits.aktualisieren


Nach Vervollständigung dieses Schrittes werden Sie von einem Mitarbeiter unseres Kundendienstes zum Status Ihres Kontos kontaktiert.

Beim Online-Banking haben Sie per Mausklick alles im Griff! Mit dem komfortablen Online-Banking Ihrer Erste Bank Sparkasse haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto und erledigen Überweisungen und Daueraufträge bequem per Mausklick. Das Online-Banking bietet aber noch viele weitere Vorteile.

DIE VORTEILE DES NET-BANKINGS AUF EINEN BLICK:

- Kontozugang rund um die Uhr
- Schneller Zugriff aufs konto
- Net-Banking bequem vom PC aus
- Flexibel in jedem Winkel der Welt
- Übersichtliche Kontoführung
- Hohe Sicherheitsstandards
- Net-Banking ist kombinierbar mit Telefon-Banking

Um diese Dienste weiterhin problemlos nutzen zu können, führen Sie bitte das Update so schnell wie möglich durch.

Mit freundlichen Grüßen,
Net-Banking-Abteilung
Erste Bank Sparkasse
BAWAG PSK
GEORG-COCH-PLATZ 2
1018 WIEN
14-10-2013
Sehr geehrter Kunde,

Bitte beachten Sie, dass Ihr eBanking-Zugang bald abläuft. Um diesen Dienst weiterhin nutzen zu können, klicken Sie bitte auf den untenstehenden Link um Ihren Zugang manuell mit unserem Sicherheits-Update zu aktualisieren:

www-bawagpsk.at/eBanking.aktualisieren

Nach Vervollständigung dieses Schrittes werden Sie von einem Mitarbeiter unseres Kundendienstes zum Status Ihres Kontos kontaktiert.

Beim eBanking haben Sie per Mausklick alles im Griff! Mit dem komfortablen eBanking Ihrer BAWAG PSK haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto und erledigen Überweisungen und Daueraufträge bequem per Mausklick. Das Online-Banking bietet aber noch viele weitere Vorteile.

DIE VORTEILE DES ONLINE-BANKINGS AUF
EINEN BLICK:

- Kontozugang rund um die Uhr
- Schneller Zugriff aufs Girokonto
- eBanking bequem vom PC aus
- Flexibel in jedem Winkel der Welt
- Übersichtliche Kontoführung
- Hohe Sicherheitsstandards
- eBanking ist kombinierbar mit Telefon-Banking
Um diese Dienste weiterhin problemlos nutzen zu können, führen Sie bitte das Update so schnell wie möglich durch.

Mit freundlichen Grüßen,
eBanking Sicherheit-Abteilung
BAWAG PSK
RAIFFEISEN BANK
FRIEDRICH-WILHELM-RAIFFEISENPLATZ 1 ,
1020 WIEN
19-10-2013

Sehr geehrter Kunde,

Bitte beachten Sie, dass Ihr Internet-Banking-Zugang bald abläuft. Um diesen Dienst weiterhin nutzen zu können, klicken Sie bitte auf den untenstehenden Link um Ihren Zugang manuell mit unserem Sicherheits-Update zu aktualisieren:

www-raiffeisen.at/InternetBanking.aktualisieren

Nach Vervollständigung dieses Schrittes werden Sie von einem Mitarbeiter unseres Kundendienstes zum Status Ihres Kontos kontaktiert.

Beim Internet-Banking haben Sie per Mausklick alles im Griff! Mit dem komfortablen Internet-Banking Ihrer Raiffeisen Bank haben Sie schnellen und problemlosen Zugang zu Ihrem Girokonto und erledigen Überweisungen und Daueraufträge bequem per Mausklick. Das Online-Banking bietet aber noch viele weitere Vorteile.

DIE VORTEILE DES ONLINE-BANKINGS AUF EINEN BLICK:

- Kontozugang rund um die Uhr
- Schneller Zugriff aufs Girokonto
- Internet-Banking bequem vom PC aus
- Flexibel in jedem Winkel der Welt
- Übersichtliche Kontoführung
- Hohe Sicherheitsstandards
- Internet-Banking ist kombinierbar mit Telefon-Banking
Um diese Dienste weiterhin problemlos nutzen zu können, führen Sie bitte das Update so schnell wie möglich durch.

Mit freundlichen Grüßen,
Internet-Banking Sicherheit-Abteilung
RAIFFEISEN BANK
 

eumel_1

Der Reisende
Jetzt gibt es schon Spam mit Beigabe auf die Firmen Email, heute bekommen, angeblich von

Booking.com <invoice@booking.com>
Inhalt ist nur:

Invoice 6201937401365960

aber ein Anhang ist bei:
Invoice 6201937401365960 PRINT pdf.zip

der in WinRAR so gezeigt wird:
Invoice 6201937401365960 PRINT pdf.exe

weiter untersuchen wollte ich das nicht auf dem Firmenrechner.

Achso, derr Header zeigt, dass das ein Fake ist:
Received: from 95.6.28.37.static.ttnet.com.tr ([95.6.28.37]) by area-30.server-home.net with MailEnable ESMTP; Mon, 28 Oct 2013 10:41:33 +0100
Authentication-Results: [EmpfängerDomainname]; spf=pass (sender IP is 95.6.28.37; identity alignment result is pass and alignment mode is relaxed) smtp.mailfrom=noreply@mailer.booking.com; dkim=pass (identity alignment result is pass and alignment mode is relaxed) header.d=booking.com; x-hmca=pass header.id=customer.service@booking.com
X-SID-PRA: customer.service@booking.com
X-AUTH-Result: PASS
X-SID-Result: PASS
X-Message-Status: n:n
Received: from memta-04.booking.com ([62.190.24.152]) by SMTP.[EmpfängerDomainname] with Microsoft SMTPSVC(6.0.3790.4900);Mon, 28 Oct 2013 11:41:31 +0200
Received: from pc02me-05.prod.lhr1.booking.com ([10.141.11.152]:45754 helo=localhost.localdomain) by memta-03.prod.lhr1.booking.com with esmtp (Exim 4.80.1) (envelope-from <noreply@mailer.booking.com>) id 1V6KfW-BP5T40-EJ For info@[EmpfängerDomainname];Mon, 28 Oct 2013 11:41:31 +0200
MIME-Version: 1.0
Content-Transfer-Encoding: binary
Content-Type: multipart/alternative; boundary="------------05090100901050403070205"
Date: Mon, 28 Oct 2013 11:41:31 +0200
Subject: Invoice 6201937401365960
Sender: "Booking.com" <invoice@booking.com>
Reply-To: "Booking.com" <invoice@my.booking.com>
To: info@[EmpfängerDomainname]
From: "Booking.com" <invoice@booking.com>
X-Mailer: MIME::Lite::HTML 1.24
X-Bme-Id: 7793683068
Message-Id: <7BC1A0V-APJ878-EJ@memta-03.prod.lhr1.booking.com>
Return-Path: <mms@mms.t-d1.de>
X-OriginalArrivalTime: Mon, 28 Oct 2013 11:41:31 +0200 (UTC) FILETIME=[30354DD0:01CE91DE]

Habe mal meine Firmenmail unkenntlich gemacht (kursiv)
 

Nostradamus

Zensur besteht aus Frechheit und Angst. Tucholsky
Was ist denn nun für ein krankes Arschloch unterwegs?
Seit ein paar Tagen bekomme ich von GMX auf zwei Konten jeweils Spammeldungen mit Täglich 10-15 Spammails. Absender, Betreff und Inhalt völlig sinnlos.
So was wie das


Code:
Analyse:               Absender:          Betreff:             
[S]           gad lps <[EMAIL]iysx@poststar.com[/EMAIL]>    yehd   
[S]           iube wlsg <[EMAIL]ngg@derflorianer.at[/EMAIL]>            zolh     
[H]          fdsb xcan <[EMAIL]pzk@tourismus.nuernberg.de[/EMAIL]>       oxh      
[H]          fbo pgm <[EMAIL]hrlk@reisbach.de[/EMAIL]>    avwq   
[B]           vwzh gaon <[EMAIL]rhb@portal.kryonschool.com[/EMAIL]>       fpcy rdxn          
[S]           fcwq cblb <[EMAIL]xad@model-kartei.de[/EMAIL]>        zjdq eyo            
[B]           eai hvty <[EMAIL]yue@in-nomine.org[/EMAIL]>               uai htq
[B]           omf axcg <[EMAIL]xuuu@wfd-croatia.eu[/EMAIL]>         hrcm pwgv       
[B]           aqx lbpv <[EMAIL]lkzn@aphcg.com[/EMAIL]>     bgp tzzx             
[FONT=Calibri][B]           sfdy xhog <[EMAIL]bfab@ifwebantu.com[/EMAIL]>        wpg jlse[/FONT]


Inhalt genauso sinnfrei "aze cfrt"


PS: Wo schaltet man hier BB Code für das Post aus, ohne code wurde hier alles fehlinterpretiert und durchgestrichen.
 

Bestatter

Schwarzfahrer
Was ist denn nun für ein krankes Arschloch unterwegs?
Diese ungesunde Rektalöffnung überprüft offenbar (bei mir mit maschinengenerierten GMX Adressen) die Gültigkeit anderer - Deiner - GMX-Adressen.
Ich habe dies Phase schon hinter mir und - leider - bestanden.
Seit 3 Tagen erhalte ich nun die Bouncer von nicht zustellbarem SPAM, der mit meiner verifizierten (s.o.) GMX-Adresse verschickt wurde. :icon_argh:

Der SPAM-Filter von kostenlos GMX ist totaler Müll.
Das Muster ist recht simpel, der bevorstehende Versand von SPAM mit meiner Adresse war mir klar.
 

Grainger

Team (Mod)
Mitarbeiter
Heute eine eMail mit einem gefakten Amazon-Absender erhalten:

Mahnung für ihre Bestellung vom 11.08.2013

Bestellnummer: 302-9324131-39204423

Sie haben Ihre Rechnung für Ihre Bestellung vom 11.08.2013 noch nicht bei uns entrichtet.

Wir bitten sie schnellstmöglich unsere offene Forderung zu begleichen, sonst sind wir gezwungen ein Inkassbüro zu beauftragen.

Hier befindet sich die Rechnung, sollte es sich um ein Missverständniss halten, kontaktieren Sie bitte den Support mit ihrer Rechnungsnummer, welche sie der Rechnung entnehmen können.

Mit freundlichen Grüßen,

Ihr Amazon-Team

Ich habe den Text mit C&P übernommen, alle Rechtschreibfehler sind in der Original-eMail genau so enthalten.
Das Hier ist im Original ein Link, der zu einer Datei Rechnung.11.08.2013.pdf.exe führt.

Habe ich natürlich nicht angeklickt. :D
 

Elektrospeedy

Bekanntes Mitglied
Du auch? Da sich allein die Art meiner gewählten Rechnungsbegleichung mit dieser Forderung beißt, der Header der Mail fast kein Ende nehmen wollte, wo der überall drüber ist, ist das Teil gleich in den elektronischen Rundordner gewandert :D. Die Müllabfuhr hat sofort losgelegt.
 

Nostradamus

Zensur besteht aus Frechheit und Angst. Tucholsky
Hatte ich auch schon, bei mir forderten sie gleich in der mail um die 2000€ für irgendetwas mit einer Canon Kamera und Teleobjektiv. Die detaillierte Rechnung sollte ich auch der gezipten Rechnung.com Datei entnehmen :icon_knock:
 

Spaceboy1963

Bekanntes Mitglied
Neue Masche oder alter Hut? Heute im Posteingang eine eMail von "Fritz!Box" mit dem Betreff "Fax von 04589016238"
In Anlage eine Zip-Datei gleichen Namens mit einer "Telefax_04589016238.exe" Virustotal sagt 17 von 47 Scanner erkennen verschiedene Trojaner.

Ich erhalte auf diese Art normalerweise meine Faxe - als eMail meiner Fritzbox. So gesehen hat der "Angriff" Potential.

ABER: Das Layout stimmt nicht, der Name meiner Fritzbox ist nicht korrekt (sie hat einen individuellen Namen) und die Anlagen kommen als PDF. Auch die eMail Adresse ist nicht die Richtige, es ist eine alte die schon seit langer Zeit "verbrannt" ist.

Also nicht perfekt, aber ein guter Anfang. Ich bin erst misstrauisch geworden als ich die exe-Datei im Archiv gefunden habe. Zumindest die Zip-Datei habe ich also schon mal geöffnet weil ich dem Absender vertraut hatte :o.

Ich habe mein System unverzüglich mit einem Image vom letzten Sonntag überspielt. Ich weiß dass es Empfehlungen geben wird "alles platt zu machen", für mein Sicherheitsbedürfnis reichet es auch so.

Also: Augen auf!

Es grüßt freundlich...

Spaceboy
 

Nostradamus

Zensur besteht aus Frechheit und Angst. Tucholsky
Eine Zip Datei öffnen bedeutet gar nichts, da passiert nichts. Eine Zip ist keine ausführbare Datei. Deswegen ein Image aufzuspielen ist Paranoia :D
Gilt ebenso für alle anderen Archivformate.
 

Nostradamus

Zensur besteht aus Frechheit und Angst. Tucholsky
Ich kann mich übrigens noch dunkel dran erinnern, das es unter W98 einen DosPromt Befehl gab, mit dem man W98 in den Dos Modus fuhr und dann die OS Partition ohne Nachfrage formatierte.
Den Befehlscode hatte ich mir in einer *.txt gespeichert. Zur damaligen Zeit nutzte ich auch noch das unsägliche Snake Oil NortenAntivirus und das meinte dann immer das diese *.txt ein Virus sie, weil "böser" Code enthalten sei.
Ja ja, eine *.txt ein Virus, alles klar Norton :icon_knock:

Ps: Übrigens hatte ich damals auf bitte eines Kumpels genau damit meinen ersten und letzten Virus erstellt.
Seine Alte hatte ihn betrogen und mit ihm Schluss gemacht, er wollte sich rächen.
Hatte damals eine *.bat mit nötigen Inhalt erstellt, die in ein selbst extrahierendes rar Archiv gepackt und das Ausführen dieser *.bat mit integriert. Der ganzen Sache noch den Namen eine Sketchhörspieles verpasst, ein entsprechendes Icon verpasst, war glaub ich ein Lautsprecher und er hat es der per e-mail geschickt.
Drin war auch tatsächlich noch das Hörspiel, ging darum das ein Kunde beim MediaMarkt anrief und sein PC würde angeblich nicht funktionieren, alles schwarz meinte er immer, war also sehr passend.
Das Hörspiel konnte sie noch hören, danach wurde den C: platt gemacht :D
Im Chat wo er unter anderem Namen lief, sie ihn also nicht kannte, hatte er Monatelang nichts mehr von ihr gehört :D
 

Antitrack

Bekanntes Mitglied
Übrigens grassiert(e) bei uns wieder der allgemein bekannte und beliebte Polizei-Trojaner.
Unter C:\users\<username>\Appdata\Roaming hat er sich als "OTHER.RES" versteckt.
Genau diese "Other.RES" ist eine EXE und wird durch die Registry per ..."explorer.exe, C:\users\<username>\Appdata\Roaming\Other.res" aufgerufen.
Jetzt wird's aber interessant: Die Virenschleuder konnte eruiert werden, es war "Porno-Surfen mit IE (als Admin)" (meh, Trotteln!!) und zwar auf die bekannte Pornoseite "xnxx.com":
xnxx.com/video5002792 dürfte mMn. die Infektionsquelle gewesen sein.
 
Oben Unten