Trojaner – seeblog | interne ansichten

17. Januar 2014

Ihre Lastschrift konnte nicht vorgenommen werden

Sehr geehrte Damen und Herren,
die Rechnung konnte nicht von Ihrem Konto automatisch gebucht werden.
Unser Anwaltsbüro wurde beauftragt das Geld für Ihre Lieferung einzuholen. Wir möchten Sie schnellstens um die Überprüfung und umgehende Begleichung der im Anhang genannten Rechnung bitten. Weitere Infos über die Umstellung auf den einheitlichen Zahlungsverkehr SEPA finden Sie im Kaufvertrag.
Falls Sie die Überweisung nicht tätigen müssen Sie mit erheblichen Strafen rechnen.
Die Summe der Bestellung beläuft sich auf 429,00 Euro. Es wurden Zahlungen bis einschließlich 15.01.2014 berücksichtigt. Wir geben Ihnen bis zum 20.01.2014 Zeit, die Summe zu überweisen. Dabei wird Ihnen eine Mahngebühr von 13,00 Euro und die Kosten unserer Tätigkeit von 34,48 Euro verrechnet.
Mit freundlichen Grüßen
Dennis Reichlich Online Anwaltschaft

Mal wieder Spam mit Anhang. Seit einigen Tagen sind verstärkt Spam-Mails im Umlauf, die zur Überweisung eines hohen Geldbetrages auffordern und von einer Anwaltskanzlei, bzw. einem Anwalt unterzeichnet sind. Der ausstehende Rechnungsbetrag ist dabei fiktiv, das Öffnen der Anhänge dieser Spam-Mails hochgefährlich.
Wie vor wenigen Wochen in einem ähnlichen Fall, verwenden die Spam-Betrüger auch in dieser Mail real wirkende Namen von Anwälten und verschiedenen Anwaltskanzleien. Auch Inkassobüros sind als Unterzeichner dieser fiktiven Mahnungen bereits aufgetaucht.

Dabei fordern die Urheber der Spam-Mails zur Zahlung eines hohen Geldbetrages auf, der sich aus einer angeblich offenen Rechnungssumme sowie Mahngebühren und Kosten für das jeweilige Anwalts- oder Inkassobüro zusammensetzt. Bei Nichtbegleichung des fiktiven Rechnungsbetrages wird darüber hinaus mit einem Gerichtsverfahren gedroht.

Scanergebnis des Anhangs
(Rechnung der abgewiesenen Zahlung 17.01.2014 – beauftragte Anwaltskanalei.zip):

Commtouch: W32/Trojan.VWNC-0649
ESET-NOD32: Win32/Trustezeb.E
Ikarus: Trojan-Spy.Agent
Kaspersky: Trojan.Win32.Yakes.dxtj
Microsoft: VirTool:Win32/CeeInject.gen!KK
Sophos: Mal/MatsnuZp-A
Symantec: Trojan.Zbot
TrendMicro-HouseCal:l TROJ_GEN.F0D1H00AH14

12. Juni 201312. Juni 2013

Ihre Mahnung von Anwaltschaft Mandantschaft

Ziemlich gut gemachtes Spam mit Trojaner im Anhang. Sogar mit meinem Namen. Absolute VORSICHT! An der Absenderadresse „biene25252572@web.de“ kann man gut erkennen, dass es Spam ist. Oder kann sich der Anwalt keine ordentliche Mailadresse zulegen ? ;-)

Verehrte/r Mein Vorname Mein Nachname,
wir wurden von der Firma IKEA Online GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde anwaltlich zugesichert.
Mit dem ausgeführtem Auftrag vom 27.05.2013 haben Sie sich vertraglich verpflichtet die Summe von 689,00 Euro an IKEA Online GmbH zu zahlen. Dieser Verpflichtung sind Sie bis heute nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges verpflichtet die Ausgaben unserer Leistung zu tragen.
Diese belaufen sich nach folgender Abrechnung:
EUR 15,00 (nach Nr. 967 RGV}
EUR 21,00 (Vergütung gemäß § 4 Abs. 1 und 2 RVG}
Wir verpflichten Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Konto unseren Mandanten zu übersenden. Die Bankdaten und die Einzelheiten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung geben wir Ihnen eine letzte Frist bis zum 17.06.2013.
Das Einhalten dieser zeitlichen Frist liegt auf jedem Fall in Ihrem Interesse. Falls Sie diese zeitliche Frist ergebnislos verstreichen, werden ohne weitere Aufforderung gerichtliche Schritte einleitet. Dadurch werden Ihnen weitere, beträchtliche Mahnkosten entstehen.
Mit freundliche Grüßen Ole Benen Anwaltschaft

7. Februar 201317. Februar 2013

Mahnkosten Ihrer Bestellung Nummer 3068226 – Malware, Trojaner

Sehr geehrte/r Michael Prax,

bedauerlicherweise war der Forderungseinzug durch Lastschrift von Ihren eingetragenen Kontodaten nicht möglich oder es wurde eine Rücküberweisung beauftragt, für die Kosten von 24,44 EUR berechnet sind.

Die Bestell-Nummer: 64995103725 bei www.mytoys.de
Kosten: 635,00 Euro
Empfänger: Michael Prax
Wir bitten Sie den fälligen Betrag binnen 3 Tagen ohne Abzug auf das in der Anlage genannte Konto zu überweisen. Sollte auch diese Zeitfrist ohne eine Überweisung verstreichen, so werden wir die Zahlung an unsere Anwälte zur professionellen Einforderung übergeben.Bitte ersparen Sie sich weitere Unannehmlichkeiten und Kosten und zahlen Sie umgehend die beigelegte Rechnung.

Bezahleinzelheiten und Widerruf Möglichkeiten finden Sie in Beilage.

Bitte beachten Sie, dass kein postalischer Versand der Unterlagen erfolgt!

Mit besten Grüßen

Konstantin Meier Leiter der Kundenbetreuung

Dummerweise stimmt nicht mal die Bestellnummer im Betreff mit der im Text überein. Ziemlich sicher ist die angehängte zip-Datei vermutlich ein Trojaner bzw. Malware – LÖSCHEN

16. Mai 201216. Mai 2012

Bestellung bei Spreadshirt

Sehr geehrte/r Michael Prax,
Besten Dank für Ihre Bestellung bei Spreadshirt, nachfolgend finden Sie Ihre Kaufbestätigung.
Deine Vertragsnummer: 723181942031
Artikel: Barton 3137623680 8348,20 Euro
Rechnungsname: Michael Prax
Zahlungsmethode: Paypal
Versandadresse und detaillierte Vertragsdaten finden Sie wegen Sicherheitsmaßnahmen in beigefügtem Anhang.
Die Zahlung wurde autorisiert und wird innerhalb 4 Tage abgetragen.
Bestelldetails und Widerruf Hinweise finden Sie im Anhang.
Ihr Kunden-Team
Köhler GmbH
Dannerallee 56
49756 Essen
Telefon: (+49) 671 8535077
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Annaburg
Umsatzsteuer-ID: DE010879960
Geschäftsfuehrer: Niklas Lange

Da ich nichts bestellt habe und als Anhang eine zip.datei (Lieferschein.zip) mitgeschickt wurde, kann es sich eigentlich nur um ein Fakemail handeln, vermutlich mit Malware oder Trojaner. Die gezippte Datei enthält eine Datei: Lieferschein.pif – das sind ausführbare Dateien wie auch REG, SCR, BAT und viele andere mehr. Diese Dateien können jede Schweinerei enthalten. Zügle deine Neugier und lösche diese. Der Absender ist: ville.rauma@tuonelaproductions.com

30. November 201130. November 2011

Trojaner für Mac OS X tarnt sich als Bildbearbeitungssoftware (PixelMator)

Ein neuer Trojaner namens DevilRobber tarnt sich als die beliebte Bildbearbeitungssoftware PixelMator. DevilRobber soll Passwörter und Geld über die experimentelle digitale Währung Bitcoins stehlen. Er ist für Mac OS X programmiert, befällt also Apple Computer.

weiterlesen (computer t-online.de)

Wie entfernen? Anleitung hier (f-secure)

25. September 201125. Oktober 2011

Spam von der Deutschen Post

Zur Zeit werden wieder Spam verschickt im Namen der Deutschen Post mit folgendem Text:

Lieber Kunde,

Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen.
Grund: Ein Fehler in der Leiferanschrift.
Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen.
Anbei finden Sie einen Postetikett.
Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.

Vielen Dank! Deutsche Post AG.

Der Anhang ist eine Zip-Datei mit folgender Bezeichnung: Postetikett#36625.zip oder mit anderen Zahlen

Am besten downloaden und entpacken und schon habt Ihr Besuch. (Das natürlich auf keinem Fall machen!!! – Also sofort löschen.)

Cisco: Cisco Security Intelligence Operations has detected significant activity related to German-language spam e-mail messages that claim to contain a German Post mailing failure notification. The text in the e-mail message instructs the recipient to open the attachment and view the details. However, the .zip attachment contains a malicious .exe file that, when executed, attempts to infect the system with malicious code.

Was natürlich klar ist – es sind keine Mails von der Deutschen Post!

14. Juli 200915. Juli 2009

Web 2.0 – wenn das Internet selbst zur Anwendung wird

Das Phänomen „Web 2.0“ von der Wandlung des Internets von einem Medium der reinen Informationsbeschaffung und Recherche zu einer multimedialen Plattform für Kommunikation und Interaktion und deren Schattenseiten. Heisst es nicht – „wo viel Licht auch viel Schatten?“ Diese Entwicklung sieht man in den verschiedensten Finanz- und Wirtschaftszweigen. Wo eine CO2 Einsparung angestrebt wird, zum Schutz unseres Klimas heisst dies noch lange nicht, das dies auch umweltfreundlich geschieht. Aber wir sind ja beim Thema Web 2.0 und den Trojanern, Malware ….

Trojaner wachsen zur zentralen Bedrohung aus dem Internet heran. Immer öfter greifen die Schadprogramme Unternehmen und die Rechner öffentlicher Einrichtungen und Regierungen an und spionieren sensible Daten aus. Über 90 Prozent der Datendiebstähle werden inzwischen mit Trojanern ausgeführt.

Konsequenterweise entwickelt es sich auch in die andere Richtung, Web 2.0 als eine Plattform zur Verbreitung von Schadsoftware wie Viren, Trojaner. Neue Sicherheitslücken von localen Webanwendungen, Datenverlust, Schutz der Daten vor unberechtigten Zugriffen, qualitativ schlechte, falsche oder gefälschte Inhalte in den Web 2.0-Datenbanken. Im Bedarfsfall und dieser wird demnächst der normale Standard sein, müssen entsprechende Vorbereitungen getroffen werden.

Globale Vernetzung, kollektive Intelligenz, datengetriebene Plattformen, Geräteunabhängigkeit sind der Motor für Web 2.0. Doch wie jede neue technische Entwicklung, hat Web 2.0 auch seine Schattenseiten – was auch zu erwarten war. Nach der anfänglichen Euphorie über globale Kommunikation und Interaktion kommt nun die Realität zum tragen. 2009 wird die Web 2.0 als Plattform jeglicher Hacker dienen. Trojaner als Anhang mit Mails versendet gehören irgendwann der Vergangenheit an.

Experten wie Symantec oder Websense sind sich einig, dass 2009 erheblich mehr Trojaner-Infektionen von Web-2.0-Seiten ausgehen werden als im Vorjahr. Nachdem Sites wie Google Docs oder Facebook regelmäßig vom Arbeitsplatz aus genutzt werden – schließlich sind diese Angebote durchaus relevant für den Job –, wandert das von solchen Seiten ausgehende Sicherheitsproblem ins Unternehmen. Herkömmliche Firewalls sortieren ein- und ausgehende Datenströme anhand des TCP/IP-Ports und des Protokolls. Damit ist die Gefahr einer von Web-2.0-Angeboten ausgehenden Malware-Infektion aber keinesfalls zu bekämpfen. Denn der Trojaner schwappt genau wie der legitime, das http-Protokoll nutzende Traffic über Port 80 ins Intranet. Stolze 80 % der Malware-Angriffe sollen im Jahr 2009 von an sich gutartigen Webseiten ausgehen.

Einer der hartnäckigsten Mythen aus der sauberen Welt: „Mit Datendieben in Kontakt kommt nur der Websurfer, der sich auf zwielichtigen Schmuddelseiten von Raubkopierern und Pornoanbietern herumtreibt.“ Diese Annahme war schon 2008 grundfalsch. Denn viele Attacken gingen auch bisher schon von Sites mit guter Reputation aus. Prominente Beispiele waren cnn.com, usatoday.com oder walmart.com. Es gelang den Angreifern, diese Seiten – zumeist die dort gehosteten Foren – zu hacken und Download-Links auf Trojaner einzupflanzen.

Warum dies so ist zeigt schliesslich auch die Finanz- und Wirtschaftskrise – der Mensch und seine Gläubigkeit an das Gute und sich selbst regulierende Systeme. Meist geht genau diese „Selbst-Regulierung“ gewaltig in die Hose, man hat es schliesslich mit der Gattung Mensch zu tun und der hat nicht nur „Gutes“ im Sinn. Unter anderem werden die meist positiven Errungenschaften auch negativ angewendet (ein Babyfon kann zu einer ganz anderen Überwachung eingesetzt werden).

Technologien für eine feindliche Übernahme für die neue Plattform sind folgende:

Technologien als „Motor“ oder Hilfsmittel für die Weiterentwicklung des Webs, um neue innovative Funktionen und Services zu verwirklichen: Dynamische Webseiten mit ActionScript, Flash, JavaScript, JSP, PHP, Silverlight – Frameworks für die Entwicklung von Web-Anwendungen wie Ajax, Embedded Links, Flex, Feeds (RSS, Atom), JavaFX, Ruby on Rails – neuartige Architekturen mit offenen APIs, um umfassende Dienste für Dritte bereitzustellen.

Folgend sind diese Dienste die optimale Angriffsfläche für eine feindliche Übernahme:

Embedded Links
Enterprise 2.0
Feeds (RSS, Atom)
Mashup (Portale)
Messaging
Office 2.0
Online-Community
Podcast
REST/Representational State TransferSocial Bookmarking
Social WebWeblog/Blog

SQL-Injections: Interaktive Web 2.0-Webseiten mit Ajax-Technologie (Asynchronous Javascript and XML) machen es Angreifern leichter, Sicherheitslücken in Web-Anwendungen auszunutzen. Wird eine Lücke beispielsweise in einer beliebten Blogsoftware bekannt, können entsprechende Würmer tausende von Blogs innerhalb von Minuten mit Malware infizieren.

Es wird spannend!

16. Juni 200916. Juni 2009

OSX.Iservice – Trojaner für den Mac

Geklautes iWork09 aus (P2P) Peer-to-Peer Netzwerken enthalten einen Trojaner. OSX.Iservice Es gibt ja ein freies Apple iWork ’09, die Probeversion können ihr direkt von Apple herunterladen und ist ungefährlich. Die böswillige Software hat im schlimmsten Fall Zugriff auf dein Bankkonto. (Panik!) Das Trojaner Paket enthält einige Teile des amtlichen Apple iWork 09, aber umfasst auch einen böswilligen Installer, der iWorkServices.pkg genannt wird.

Die infizierten Mac Systeme schließen sich zu einem Mac-Botnetz zusammen um gemeinsam DDoS-Attacken auszuführen oder Spam-Mails zu verschicken.

In contrast, the legitimate trial version of iWork ’09 that is available from Apple is named iWork09Trial.dmg and is slightly over 451MB. The Trojanized package contains some parts of the official Apple iWork ’09 trial version, but also includes a malicious installer named iWorkServices.pkg.

When the Trojanized installer is executed, it also runs the malicious program iworkservices. The Trojan, OSX.Iservice, targets the Mac OS and is compiled as a Mach-O multi-architecture binary. This allows the Trojan to run natively on both PowerPC and x86 architectures.

The Trojan first determines if it is the root user on the compromised computer and if not, it will end. Then, it checks to see if it was executed with the file name iWorkServices. If not, it will create the following folder:

/System/Library/StartupItems/iWorkServices

The Trojan then copies itself to both of the following locations:

/usr/bin/iWorkServices
/System/Library/StartupItems/iWorkServices

It then modifies the following file to ensure that it runs when the compromised computer restarts:

/System/Library/StartupItems/iWorkServices/StartupParameters.plist

The Trojan then restarts itself from its new location in
/System/Library/StartupItems/iWorkServices,
and decrypts an AES encrypted configuration file, which is located in
/private/tmp/.iWorkServices.
Finally, the Trojan acts as a back door and opens a port on the local host for connections. It then attempts to connect to the following remote hosts:

69.92.177.146:59201
qwfojzlk.freehostia.com:1024

(Quelle: symantec)

Hier könnte man schon mit Little Snitch vorbeugen!
Ich möchten hier nicht darüber urteilen, dass Leute Software illegal aus dem Netz beziehen. Dies muss jeder für sich selbst entscheiden. Also Vorsicht! Man weiss ja nie ob dieser Trojaner auch irgendwie anders eingeschleust wird, zum Beispiel über Freeware oder Shareware.

Noch Aktueller: OSX/Jahlav-C: Neuer Mac-Trojaner gibt sich als fehlender Videocodec aus