Ich sagte es bereits mehrfach, es macht keinen Spaß mehr. Neuester Schrei der Spam- und Viren-Mafia: Rechnungen von Amazon:

Vielen Dank fur Ihre Bestellung bei Amazon.de!

Das Sony VAIO VGN-1391517 Zoll WXGA Notebook
wird in kurze versendet. Die Kosten von 1215,- Euro
werden Ihrem Konto zu Last gelegt. Die Einzelheiten zu Ihrer
Bestellung entnahmen Sie bitte der angefugten Rechnung. Falls Sie
die Bestellung stornieren mochten, bitte den in der Rechnung angegebenen,
kostenlosen Kundenservice anrufen und Ihre Bestellnummer bereit halten.
Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen schriftlich zugestellt.

Beachten Sie bitte: Diese E-Mail wurde von einer nur fur Benachrichtigungen
verwendeten Adresse gesendet. Eingehende E-Mails konnen nicht angenommen
werden. Antworten Sie nicht auf diese Nachricht.

Vielen Dank fur Ihren Einkauf bei Amazon Marketplace.

Amazon.de Kundenservice

http://www.amazon.de

Im Anhang abermals ein Zip-File, in dem eine – sicherlich zufällig – nummerierte Exe-Datei steckt. Kaspersky Antivirus konnte vor dem Virenupdate heute morgen den Trojaner noch nicht entdecken. Nach dem Update wenige Minuten später fand er den Trojan-Downloader.Win32.Nurech.at. Ein Beispiel, das eindrucksvoll zeigt, wie wichtig ständige Updates der Antivirensoftware sind.

Die Mail sollte selbstredend gelöscht werden.

Und kaum ist er weg, wird sein Blog zugespamt. Die “Internetten” des Handelsblatts sollten schnell handeln.

So langsam nervt es. Nach GEZ- und 1&1-Rechnungen sind nun gefälschte Rechnungen im Umlauf, die vorgeben, vom schwedischen Einrichtungshaus IKEA zu sein. Hier trudelte gerade solch eine Mail rein (siehe Screenshot). Im Anhang war ein ZIP-File, in dem abermals eine pdf.exe lag. Kaspersky fand bei einer ersten Prüfung keinen Trojaner, Virus oder ähnliches.

“Abgesendet” wurde die Mail von IKEA Mannheim (pia.palmu@memo.ikea.com), sprich diese Mailadresse steht im Header. Der Return-Path zeigt auf einen Benutzer bei 2lbgil.com. Diese Domain gehört einem Donald Anderson in Franksville, USA. Und abgesendet wurde diese Mail offenbar von einem Abdulla Hashim aus Dubai. Als wenn die nichts besseren zu tun hätten, dort in der anderen Welt.

Lustiges Detail: Aufsichtsratmitglied bei IKEA ist der Mail nach Klaus Zumwinkel. Ist wohl noch von der letzten Telekom-Spamaktion übrig geblieben. Und “unterschreiben” musste die Rechnung wieder mal Sandy Steinecke, die ja auch noch bekannt ist.

Update: Uwe Tetzlaff macht sich so seine eigenen Gedanken dazu…

Update 2: Einige Stunden später erkennt Kaspersky den Trojaner: ein Trojan.Downloader.Win32.Agent.bhc wurde gefunden. Die Datei konnte nicht identifiziert werden. Immer schön die Virensignaturen updaten. Sagt auch heise.

1154 Mailadressen schickte heute ein gewisser “Daniel der Funker” rum. Zusammen mit einer Meinung, die gegen den Islam schießt.

Eine Alternative wäre, jährlich einige Millionen moslemische Zuwanderer einladen. Und schon haben wir kein demographisches Problem mehr.

Ihr könnt wählen. Rentenkürzung hinzunehmen oder Einwohner der islamischen Republik Deutschland zu sein (im Jahr 2050).

Danach folgte der Mailverteiler inkl. meiner Mailadresse. Geht’s noch? Die Mail kam übrigens von danielderfunker@yahoo.de. Im Netz findet sich nicht viel dazu – einzig ein Eintrag im Forum von Teltarif, wo ein gewisser Ingolf Petersohn mal diese Mailadresse hinterließ. Ingolf schien sich für anonymes Surfen zu interessieren. Und wenn man GeoIP trauen kann, wurde obige Mail aus Escheberg in Hessen über E-Plus verschickt. Achso, und dann ist da noch ein Eintrag bei neu.de – ohne jetzt behaupten zu wollen, dass dies der Mailversender ist.

Update: Herr Petersohn scheint mal ein Mobilfunkgeschäft besessen zu haben. Läuft wohl nicht mehr so. Jetzt macht er in Finanzen. War vielleicht zu teuer, Talkline zu verklagen.

Hm. “Daniel der Funker”, der eigentlich Ingolf Petersohn heißt, mal ein Mobilfunkgeschäft besass und sich darum sehr für die Materie Mobilfunk interessiert. Das passt alles irgendwie gut mit der Versendung der Mail über E-Plus zusammen. Nur Indizien, überführt ist er nicht. Und anklagen will ich hier niemanden. Aber vermuten und laut denken wird man ja wohl noch dürfen…

Liebe Spammer, ich brauche keinen Hocker. Keine bunten, keine verbesserten, keine mit Gasdruckhebel. Keine. Hört ihr? Danke.

Langsam wird’s langweilig. Heute kam wieder eine “GEZ-Rechnung”. Diesmal werden 256,28 Euro gefordert. Als Absenderadresse wurde gezredaktion@gez.de eingetragen. Der Return-Path geht an eine E-Mail-Adresse bei 3quarks.com. Gesendet wurde die Mail von dem Server dhcp.smyr.ga.charter.com.

Wieder ist eine Zip-Datei im Anhang, die das File GEZRechnung.pdf.exe enthält. Eine Prüfung mit Kaspersky ergab zunächst keine Hinweise auf einen Virus. Was nicht heißt, dass keiner enthalten ist…

Na klasse. Nachdem uns Spammer mit einer gefälschten 1&1-Rechnung weiß machen wollten, dass wir unbedingt die pdf.exe-Datei öffnen sollen, haben es die Betrüger nun auf die GEZ abgesehen. Es werden Rechnungen per Mail verschickt, die das offizielle Logo der GEZ gleich von der dortigen Website laden. 445,99 Euro soll ich bezahlen für den Zeitraum vom 1.12. 2006 bis 12.01. 2007. Besonders witzig der Zusatz: “Bitte beachten Sie, dass diese Rechnung einen Zuschlag beinhaltet, der durch das nicht rechtzeigige Anmelden des Internetverbindung entstanden ist. ”

Und während ich das hier schreibe, trudeln weitere dieser Mails ein. Offenbar gibt es mehrere Absender: GEZ AG mit der gefälschten Mailadresse info@gez.de und GEZ Deutschland mit der Mail support@gez.de (more…)

Ich bin nicht bei 1&1. Auch radionews.de wird nicht dort gehosted. Update: Sorry. radionews läuft bei 1&1. Darum Trotzdem ahnte ich, was das für eine angebliche Rechnung ist, die da soeben an eine Mail-Adresse für radionews bei mir eintrudelte. Knappe 60 Euro für den Monat Dezember. Die Rechnung hänge als PDF-EXE-Format an. Ein extra Programm sei nicht nötig zum Betrachten. Klar doch.

Backdoor.Win32.Agent.akf nennt Kaspersky das, was er da sofort nach Speichern des Anhangs erkannte. Tolle Fernbedienung. Gelöscht. Also: auuufpassen! Ein Removal-Tool für die Ur-Form des Trojaners gibt es bei Symantec. Sollte auch für den hier oben klappen.

Fast hätte ich hier was von “Image versauen” und “fehlender Professionalität” geschrieben. Wie die Oskar-Patzelt-Stiftung, bzw. das P.T.-Magazin mitteilen, sei der Grund für die Massenversendung von Mails aber ein Virenproblem bei mehreren Exchange-Servern im Netz. Mittlerweile habe man Strafanzeige gestellt.

Ein Newsletter, der auf ein neues Mittelstandsportal hinweisen soll, kommt seit gestern nachmittag bei den Empfängern hundertfach an. Auch bei mir. Im Abstand von etwa 30 Minuten werden über 40 Mails auf einmal mit dem gleichen Betreff und Inhalt verschickt. Mittlerweile habe ich den Absender als “Junk” im Thunderbird gekennzeichnet. Juckt Thunderbird leider nicht wirklich. Vier bis fünf Mails werden wegsortiert, der Rest verbleibt im Posteingang. Muss man dann also manuell löschen.

Der einzige Vorteil der Mail: ich hab jetzt 275 EMail-Adressen von Leuten, die irgendwas mit dem Mittelstand zu tun haben und deren EMail-Adresse mit einer Zahl oder einem “a” anfangen. Denn diese standen allesamt im TO:-Feld der Mail. Ob das nun durch den mutmasslichen Virus oder schon beim Absender passierte – wer weiß. Ich vermute allerdings, diese Adressen standen schon vorher im TO:-Feld, was es einem offenen und befallenen Exchange-Server natürlich leicht macht, eben jene Adressen als Absenderadressen zu verwenden und über diese Spam zu verschicken, wie in der Erklärung der Stiftung beschrieben.
Die Stiftung versicherte, dass einem die Angelegenheit mehr leid tue als den Empfängern der Mails. Stoppen oder Einfluss nehmen auf den Mailversand könne man aber nicht. Da scheint der Provider, der den neuen Server beherbergt, auf dem sich das Mittelstandsportal seit kurzem befindet, wohl nicht die richtige Wahl gewesen zu sein.
Bin gespannt, wann das aufhört. Lustig in diesem Zusammenhang: dieser Teil der Mail stimmt dann wohl nicht so ganz: “Der Serverumzug hat nur einen Nachteil: Die bisherigen Newsletterabos werden ungültig. Alle “alten” Adressen werden von uns nie wieder einen Newsletter erhalten.”

Update: Was wirklich ärgerlich ist: zwei Mails mit Datum gestern 17:16 Uhr und 17:30 Uhr kommen hier händchenhaltend ständig zu gleicher Zeit an. Ich befürchte, das dauert noch ne Weile, bis das aufhört.

Also, ich hab mich ja noch lustig gemacht darüber. Aber: Wer nur flüchtig liest oder treudoof überall klickt, wo ein Link ist, der ist womöglich sein Geld los. Denn hinter dieser Mail, die so lächerlich daherkommt, steckt richtig viel Arbeit für ein betrügerisches System. (more…)