# Rechnungs-Trojaner machen die Runde



## Captain Picard (18 Januar 2006)

http://www.heise.de/newsticker/meldung/68493


> Erneut füllen sich die Mailboxen von Internetnutzern mit Rechnungstrojanern, die von Viren-Scannern teilweise noch nicht erkannt werden. Eine häufig anzutreffende gibt vor, eine Rechnung der Grewe Computertechnik GmbH zu enthalten und fordert den Nutzer zur Zahlung eines dreistelligen Betrages auf. Die Mail stammt jedoch nicht von Grewe, es hat auch keinen Sinn, sich an die in der Mail aufgeführten Telefon- oder Faxnummern zu wenden.


wie immer 


> Den Dateianhang der Mail sollte man keinesfalls öffnen. Erste Tests von heise Security haben ergeben, dass die meisten Viren-Scanner die enthaltenen Schädlinge (noch) nicht kennen. Berichten von Betroffenen zufolge legt die EXE-Datei nach ihrem Start unter anderem Personal-Firewalls und Antiviren-Software lahm.
> 
> Grundsätzlich sollte man überhaupt keine Dateianhänge in E-Mails öffnen, wenn diese unaufgefordert zugesandt wurden. Je mehr psychischen Druck eine E-Mail aufzubauen versucht, desto vorsichtiger sollten Anwender sein.


http://www.handelsblatt.com/pshb?fn=tt&sfn=go&id=1168980


> In der gefälschten Mail werden die Empfänger aufgefordert, die per Zufallsgenerator ermittelten Beträge innerhalb der nächsten 5 bis 7 Tage auf das angegebene Konto zu überweisen, andernfalls würde der Empfänger vom Handel ausgeschlossen: „wir moechten Sie freundlich daran erinnern, dass Ihre eBay-Gebuehren in Hoehe von 442,96 EUR gemaess unserer letzten Rechnung in den naechsten 5 - 7 Tagen zum Ende dieses Rechnungszyklus faellig werden.“ Auffällig ist, dass in dem Text keine Umlaute verwendet werden, da es sich offensichtlich um eine ausländische Quelle handelt.


cp


----------



## stieglitz (18 Januar 2006)

Und Mulis für den Geldtransport, werden auch schon fleissig gesucht:


> --------------------------------------------------------------------------------
> Sehr geehrter zukünftiger Mitarbeiter!
> 
> 
> ...


Heute um 12.50 h eingegangen.


----------



## Anonymous (18 Januar 2006)

Captain Picard schrieb:
			
		

> http://www.heise.de/newsticker/meldung/68493
> 
> 
> > Erneut füllen sich die Mailboxen von Internetnutzern mit Rechnungstrojanern, die von Viren-Scannern teilweise noch nicht erkannt werden. Eine häufig anzutreffende gibt vor, eine Rechnung der Grewe Computertechnik GmbH zu enthalten und fordert den Nutzer zur Zahlung eines dreistelligen Betrages auf. Die Mail stammt jedoch nicht von Grewe, es hat auch keinen Sinn, sich an die in der Mail aufgeführten Telefon- oder Faxnummern zu wenden.
> ...



Hatte web.de heute mittag auch noch nicht erkannt.



> http://www.handelsblatt.com/pshb?fn=tt&sfn=go&id=1168980
> 
> 
> > In der gefälschten Mail werden die Empfänger aufgefordert, die per Zufallsgenerator ermittelten Beträge innerhalb der nächsten 5 bis 7 Tage auf das angegebene Konto zu überweisen, andernfalls würde der Empfänger vom Handel ausgeschlossen: „wir moechten Sie freundlich daran erinnern, dass Ihre eBay-Gebuehren in Hoehe von 442,96 EUR gemaess unserer letzten Rechnung in den naechsten 5 - 7 Tagen zum Ende dieses Rechnungszyklus faellig werden.“ Auffällig ist, dass in dem Text keine Umlaute verwendet werden, da es sich offensichtlich um eine ausländische Quelle handelt.
> ...



Letzteres trifft auch auf das Grewe-Schreiben zu.
Fällt ja auch gar nicht auf - wer da nicht gleich hellhörig wird?   

_Sehr geehrte Damen und Herren,

Wir bestÄtigen den Eingang Ihres unten aufgefÝhrten Auftrages.

Sie haben sich fÝr die Zahlung per Vorkasse entschieden.
Bitte Ýberweisen Sie nun den Gesamtbetrag von 219 EUR auf unser
Konto_ (...)_
Bitte beachten Sie das in diesem Brief ihre Rechung im Anhang mitgeschickt wurde. (Rechnung.pdf) Bitte drucken Sie Ihre Rechnung aus und uberweisen Sie den anfallenden Betrag innerhalb von 7 Tagen an die angegebenen Kontodaten._


----------



## rolf76 (4 Februar 2006)

Hier mal ein Original, das bei einer Bekannten angelangt ist:



> From support[at]ebay.de Fri Feb  3 16:38:24 2006
> Return-Path: <support[at]ebay.de>
> X-Flags: 1111
> Delivered-To: GMX delivery to [email protected]
> ...


Als Anhang ist eine Datei *Ebay-Rechnung.pdf.exe* angehängt. Meine Bekannte hat bei gmx online "die Datei angeklickt, aber es ist nichts passiert" (O-Ton). Weiß jemand, was sich hinter der Datei verbirgt?
AVG sagt: Warning: Hidden extension .exe


----------



## Heiko (4 Februar 2006)

Ich habe diese Datei gestern bei diversen AV-Herstellern eingereicht weil die von den wenigsten erkannt wurde.
Es handelt sich um einen typischen Downloader, der zum Beispiel von F-Secure als *Trojan-Downloader.Win32.Small.cig* erkannt wird.
Nach wie vor haben den noch nicht alle AV-Hersteller in den Signaturen drin. Also bitte Vorsicht!

Ich gehe davon aus, dass sich bei Deiner Bekannten jetzt ein Trojaner wohl fühlt.


----------



## rolf76 (5 Februar 2006)

Heiko schrieb:
			
		

> zum Beispiel von F-Secure als *Trojan-Downloader.Win32.Small.cig* erkannt wird.


Genau der, in der Datei A0057079.EXE, und zwar bei mir, nachdem ich von meiner Bekannten die besagte E-Mail zur Ansicht erhalten hatte. Eingenistet hat sich der Trojaner offenbar, als ich zu "Untersuchungszwecken" die Datei pdf.exe von der E-Mail abgetrennt habe. Dabei hat AVG Alarm geschlagen und dennoch hat sich der Trojaner eingenistet - also in der Tat höchste Vorsicht!


----------



## Anonymous (7 Februar 2006)

Das is heute in meinem Postfach gelandet:
header:


> Received: from [211.110.23.156] (helo=-1228564296)
> by mx33.web.de with smtp (WEB.DE 4.105 #340)
> id 1F6I6m-0004p9-00
> for ******@web.de; Tue, 07 Feb 2006 02:57:33 +0100
> ...


und der Inhalt





> Guten Tag,
> 
> die Gesamtsumme für Ihre Rechnung im Monat Januar beträgt: 312.05 Euro.
> Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht.
> ...


Das ganze is durch zwei spam filter gegangen, einmal bei GMX.DE, und einmal bei WEB.DE.

Angehäng war noch eine Rechnung.pdf.exe , die aber vom web.de virenscanner gelöscht wurde.

bleibt die Frage, was, außer dem Virus diese mail erreichen soll...


----------



## rolf76 (7 Februar 2006)

Meiner Meinung nach nur die Aktivierung der hinter "Rechnung.pdf.exe" stehenden Prozesse. Wenn es die gleiche Datei wie "ebay-rechnung.pdf.exe" ist, dann ist höchste Vorsicht angesagt, wie ich leider feststellen musste. 

Denn die darin versteckten Trojaner werden offenbar schon dann aktiv, wenn man die Datei mit einem Antiviren-Programm untersuchen will, das - wie offenbar momentan noch die meisten Antivirenprogramme - mit dem Trojaner noch nicht umgehen kann.


----------



## fairchild (7 Februar 2006)

Da die Datei netterweise von web.de entfernt wurde, kann ich leider nicht nachsehen, was da drinn war.

[edit]  

aber wie kann ein irgendwie geartes programm aktiv werden, ohne ausgeführt zu werden?


----------



## IT-Schrauber (7 Februar 2006)

Denkbar sind da vor allem diverse buffer-overflow-Angriffe. Windows schaut sich Dateiinhalte viel öfter an, als man sich so im allgemeinen vorstellt. Wenn die Datei im Explorer (als Inhalt eines Ordners z.B.) angezeigt wird, greift Windows mehrfach auf die Datei zu. Und wenn es nur zum Anzeigen des Programmicons ist. Wenn es da irgendwo eine Sicherheitslücke gibt, lässt sich damit schon unter Umständen Schadcode einschleusen und ausführen - der Rest ist dann nur noch eine Fingerübung. Gerade kürzlich bei der WMF-Lücke konnte man eindrucksvoll sehen, wie wenig man tun muss, um Opfer so einer Lücke zu werden. Dagegen hilft regelmäßig nur eins: Nicht das neueste Antivirenprogramm, auch nicht die teuerste Firewall, sondern in erster Linie die knapp drei Pfund grauer Masse im Kopf vor dem Bildschirm.


----------

