Malware – seeblog | interne ansichten

17. Januar 2014

Ihre Lastschrift konnte nicht vorgenommen werden

Sehr geehrte Damen und Herren,
die Rechnung konnte nicht von Ihrem Konto automatisch gebucht werden.
Unser Anwaltsbüro wurde beauftragt das Geld für Ihre Lieferung einzuholen. Wir möchten Sie schnellstens um die Überprüfung und umgehende Begleichung der im Anhang genannten Rechnung bitten. Weitere Infos über die Umstellung auf den einheitlichen Zahlungsverkehr SEPA finden Sie im Kaufvertrag.
Falls Sie die Überweisung nicht tätigen müssen Sie mit erheblichen Strafen rechnen.
Die Summe der Bestellung beläuft sich auf 429,00 Euro. Es wurden Zahlungen bis einschließlich 15.01.2014 berücksichtigt. Wir geben Ihnen bis zum 20.01.2014 Zeit, die Summe zu überweisen. Dabei wird Ihnen eine Mahngebühr von 13,00 Euro und die Kosten unserer Tätigkeit von 34,48 Euro verrechnet.
Mit freundlichen Grüßen
Dennis Reichlich Online Anwaltschaft

Mal wieder Spam mit Anhang. Seit einigen Tagen sind verstärkt Spam-Mails im Umlauf, die zur Überweisung eines hohen Geldbetrages auffordern und von einer Anwaltskanzlei, bzw. einem Anwalt unterzeichnet sind. Der ausstehende Rechnungsbetrag ist dabei fiktiv, das Öffnen der Anhänge dieser Spam-Mails hochgefährlich.
Wie vor wenigen Wochen in einem ähnlichen Fall, verwenden die Spam-Betrüger auch in dieser Mail real wirkende Namen von Anwälten und verschiedenen Anwaltskanzleien. Auch Inkassobüros sind als Unterzeichner dieser fiktiven Mahnungen bereits aufgetaucht.

Dabei fordern die Urheber der Spam-Mails zur Zahlung eines hohen Geldbetrages auf, der sich aus einer angeblich offenen Rechnungssumme sowie Mahngebühren und Kosten für das jeweilige Anwalts- oder Inkassobüro zusammensetzt. Bei Nichtbegleichung des fiktiven Rechnungsbetrages wird darüber hinaus mit einem Gerichtsverfahren gedroht.

Scanergebnis des Anhangs
(Rechnung der abgewiesenen Zahlung 17.01.2014 – beauftragte Anwaltskanalei.zip):

Commtouch: W32/Trojan.VWNC-0649
ESET-NOD32: Win32/Trustezeb.E
Ikarus: Trojan-Spy.Agent
Kaspersky: Trojan.Win32.Yakes.dxtj
Microsoft: VirTool:Win32/CeeInject.gen!KK
Sophos: Mal/MatsnuZp-A
Symantec: Trojan.Zbot
TrendMicro-HouseCal:l TROJ_GEN.F0D1H00AH14

7. Februar 201317. Februar 2013

Mahnkosten Ihrer Bestellung Nummer 3068226 – Malware, Trojaner

Sehr geehrte/r Michael Prax,

bedauerlicherweise war der Forderungseinzug durch Lastschrift von Ihren eingetragenen Kontodaten nicht möglich oder es wurde eine Rücküberweisung beauftragt, für die Kosten von 24,44 EUR berechnet sind.

Die Bestell-Nummer: 64995103725 bei www.mytoys.de
Kosten: 635,00 Euro
Empfänger: Michael Prax
Wir bitten Sie den fälligen Betrag binnen 3 Tagen ohne Abzug auf das in der Anlage genannte Konto zu überweisen. Sollte auch diese Zeitfrist ohne eine Überweisung verstreichen, so werden wir die Zahlung an unsere Anwälte zur professionellen Einforderung übergeben.Bitte ersparen Sie sich weitere Unannehmlichkeiten und Kosten und zahlen Sie umgehend die beigelegte Rechnung.

Bezahleinzelheiten und Widerruf Möglichkeiten finden Sie in Beilage.

Bitte beachten Sie, dass kein postalischer Versand der Unterlagen erfolgt!

Mit besten Grüßen

Konstantin Meier Leiter der Kundenbetreuung

Dummerweise stimmt nicht mal die Bestellnummer im Betreff mit der im Text überein. Ziemlich sicher ist die angehängte zip-Datei vermutlich ein Trojaner bzw. Malware – LÖSCHEN

16. Mai 201216. Mai 2012

Bestellung bei Spreadshirt

Sehr geehrte/r Michael Prax,
Besten Dank für Ihre Bestellung bei Spreadshirt, nachfolgend finden Sie Ihre Kaufbestätigung.
Deine Vertragsnummer: 723181942031
Artikel: Barton 3137623680 8348,20 Euro
Rechnungsname: Michael Prax
Zahlungsmethode: Paypal
Versandadresse und detaillierte Vertragsdaten finden Sie wegen Sicherheitsmaßnahmen in beigefügtem Anhang.
Die Zahlung wurde autorisiert und wird innerhalb 4 Tage abgetragen.
Bestelldetails und Widerruf Hinweise finden Sie im Anhang.
Ihr Kunden-Team
Köhler GmbH
Dannerallee 56
49756 Essen
Telefon: (+49) 671 8535077
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Annaburg
Umsatzsteuer-ID: DE010879960
Geschäftsfuehrer: Niklas Lange

Da ich nichts bestellt habe und als Anhang eine zip.datei (Lieferschein.zip) mitgeschickt wurde, kann es sich eigentlich nur um ein Fakemail handeln, vermutlich mit Malware oder Trojaner. Die gezippte Datei enthält eine Datei: Lieferschein.pif – das sind ausführbare Dateien wie auch REG, SCR, BAT und viele andere mehr. Diese Dateien können jede Schweinerei enthalten. Zügle deine Neugier und lösche diese. Der Absender ist: ville.rauma@tuonelaproductions.com

16. April 2012

Vodafone-Rechnung mit Malware im PDF

Der Absender der vermeintlichen Rechnung ist vodafone.de und soll die Empfänger dazu verleiten die Mail zu öffnen. Die Mail berichtet über die aktuelle Rechnung und fordert dazu auf den PDF-Anhang zu öffnen.

Ihre aktuelle Online-Rechnung
Ihre aktuelle Online-Rechnung steht für Sie bereit.
Die Gesamtsumme für den aktuellen Abrechnungszeitraum beträgt: 126,04 Euro.
Ihre Original-Rechnung finden Sie als PDF-Datei im Anhang dieser E-Mail.
Hinweise zu Ihrer Rechnung:
=> Sie können Ihre Rechnung unter https://www.vodafone.de/kunden/rechnungonline abrufen.
Bitte melden Sie sich mit Ihrem Online-Benutzernamen und Ihrem Passwort an.
=> Der Rechnungsbetrag wird frühestens 5 Tage nach Rechnungszustellung von Ihrem angegebenen Konto eingezogen.
=> Wo steht was auf Ihrer Rechnung? Alle Informationen rund um die Rechnung finden Sie unter…

Mittlerweile in korrekter deutscher Sprache – die neuen Phishing Mails. Der Anhang, eine PDF-Datei sollte zur eigenen Sicherheit nicht geöffnet werden. Wenn das Dokument allerdings geöffnet wird, dann erfolgt die Ausführung eines Javascripts, welches versucht weitere Schadsoftware aus dem Netz zu laden.

Es handelt sich bei den Programmen der Analyse zufolge um Malware, die als Debugger getarnt sind und mit denen jede Anwendung auf den Rechner des User installiert werden kann. Nach Angaben der Sicherheitsexperten ist die Verbreitung von Viren per PDF derzeit die am stärksten genutzte Methode verbunden mit dem Ziel die Rechner mit Viren zu infizieren.

14. Juli 200915. Juli 2009

Web 2.0 – wenn das Internet selbst zur Anwendung wird

Das Phänomen „Web 2.0“ von der Wandlung des Internets von einem Medium der reinen Informationsbeschaffung und Recherche zu einer multimedialen Plattform für Kommunikation und Interaktion und deren Schattenseiten. Heisst es nicht – „wo viel Licht auch viel Schatten?“ Diese Entwicklung sieht man in den verschiedensten Finanz- und Wirtschaftszweigen. Wo eine CO2 Einsparung angestrebt wird, zum Schutz unseres Klimas heisst dies noch lange nicht, das dies auch umweltfreundlich geschieht. Aber wir sind ja beim Thema Web 2.0 und den Trojanern, Malware ….

Trojaner wachsen zur zentralen Bedrohung aus dem Internet heran. Immer öfter greifen die Schadprogramme Unternehmen und die Rechner öffentlicher Einrichtungen und Regierungen an und spionieren sensible Daten aus. Über 90 Prozent der Datendiebstähle werden inzwischen mit Trojanern ausgeführt.

Konsequenterweise entwickelt es sich auch in die andere Richtung, Web 2.0 als eine Plattform zur Verbreitung von Schadsoftware wie Viren, Trojaner. Neue Sicherheitslücken von localen Webanwendungen, Datenverlust, Schutz der Daten vor unberechtigten Zugriffen, qualitativ schlechte, falsche oder gefälschte Inhalte in den Web 2.0-Datenbanken. Im Bedarfsfall und dieser wird demnächst der normale Standard sein, müssen entsprechende Vorbereitungen getroffen werden.

Globale Vernetzung, kollektive Intelligenz, datengetriebene Plattformen, Geräteunabhängigkeit sind der Motor für Web 2.0. Doch wie jede neue technische Entwicklung, hat Web 2.0 auch seine Schattenseiten – was auch zu erwarten war. Nach der anfänglichen Euphorie über globale Kommunikation und Interaktion kommt nun die Realität zum tragen. 2009 wird die Web 2.0 als Plattform jeglicher Hacker dienen. Trojaner als Anhang mit Mails versendet gehören irgendwann der Vergangenheit an.

Experten wie Symantec oder Websense sind sich einig, dass 2009 erheblich mehr Trojaner-Infektionen von Web-2.0-Seiten ausgehen werden als im Vorjahr. Nachdem Sites wie Google Docs oder Facebook regelmäßig vom Arbeitsplatz aus genutzt werden – schließlich sind diese Angebote durchaus relevant für den Job –, wandert das von solchen Seiten ausgehende Sicherheitsproblem ins Unternehmen. Herkömmliche Firewalls sortieren ein- und ausgehende Datenströme anhand des TCP/IP-Ports und des Protokolls. Damit ist die Gefahr einer von Web-2.0-Angeboten ausgehenden Malware-Infektion aber keinesfalls zu bekämpfen. Denn der Trojaner schwappt genau wie der legitime, das http-Protokoll nutzende Traffic über Port 80 ins Intranet. Stolze 80 % der Malware-Angriffe sollen im Jahr 2009 von an sich gutartigen Webseiten ausgehen.

Einer der hartnäckigsten Mythen aus der sauberen Welt: „Mit Datendieben in Kontakt kommt nur der Websurfer, der sich auf zwielichtigen Schmuddelseiten von Raubkopierern und Pornoanbietern herumtreibt.“ Diese Annahme war schon 2008 grundfalsch. Denn viele Attacken gingen auch bisher schon von Sites mit guter Reputation aus. Prominente Beispiele waren cnn.com, usatoday.com oder walmart.com. Es gelang den Angreifern, diese Seiten – zumeist die dort gehosteten Foren – zu hacken und Download-Links auf Trojaner einzupflanzen.

Warum dies so ist zeigt schliesslich auch die Finanz- und Wirtschaftskrise – der Mensch und seine Gläubigkeit an das Gute und sich selbst regulierende Systeme. Meist geht genau diese „Selbst-Regulierung“ gewaltig in die Hose, man hat es schliesslich mit der Gattung Mensch zu tun und der hat nicht nur „Gutes“ im Sinn. Unter anderem werden die meist positiven Errungenschaften auch negativ angewendet (ein Babyfon kann zu einer ganz anderen Überwachung eingesetzt werden).

Technologien für eine feindliche Übernahme für die neue Plattform sind folgende:

Technologien als „Motor“ oder Hilfsmittel für die Weiterentwicklung des Webs, um neue innovative Funktionen und Services zu verwirklichen: Dynamische Webseiten mit ActionScript, Flash, JavaScript, JSP, PHP, Silverlight – Frameworks für die Entwicklung von Web-Anwendungen wie Ajax, Embedded Links, Flex, Feeds (RSS, Atom), JavaFX, Ruby on Rails – neuartige Architekturen mit offenen APIs, um umfassende Dienste für Dritte bereitzustellen.

Folgend sind diese Dienste die optimale Angriffsfläche für eine feindliche Übernahme:

Embedded Links
Enterprise 2.0
Feeds (RSS, Atom)
Mashup (Portale)
Messaging
Office 2.0
Online-Community
Podcast
REST/Representational State TransferSocial Bookmarking
Social WebWeblog/Blog

SQL-Injections: Interaktive Web 2.0-Webseiten mit Ajax-Technologie (Asynchronous Javascript and XML) machen es Angreifern leichter, Sicherheitslücken in Web-Anwendungen auszunutzen. Wird eine Lücke beispielsweise in einer beliebten Blogsoftware bekannt, können entsprechende Würmer tausende von Blogs innerhalb von Minuten mit Malware infizieren.

Es wird spannend!