Seit heute Nachmittag kurz nach 14:30 Uhr verbreitet sich ein noch unbekannter Trojaner per Spam-E-Mail:
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.257406245440 ist erfolgt
Es wurden 8121.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
Regel Inkasso GmbH & Co. KG
Fredeburger Str. 21
33699 Bielefeld
Postfach 51 20 05
33698 Bielefeld
Tel.: 0521 93212-0
Fa x: 0521 92412-15
AG Bielefeld HRA 13169
Steuer-Nummer: 349/5749/0377
Komplementargesellschaft:
Regel Verwaltungs-GmbH
AG Bielefeld HRA 34932
Die erwähnte Inkasso Firma Regel Inkasso GmbH & Co. KG ist jedoch viel mehr Opfer als Täter- Der Absender ist nämlich gefälscht.
Die Nummer im Betreff sowie die Anzahlungsnummer (Anzahlung Nr.) und der EURO Betrag im E-Mail Text variieren. Im Attachement abrechnung.zip befindet sich ein derzeit noch unbekannter Trojaner. Der Trojaner ist in der Datei scann.a im Attachement abrechnung.zip versteckt. Der Trojaner lässt sich jedoch nur über die ebenfalls im Attachement vorhandene Verknüpfung abrechnung.lnk ausführen, welche die Datei scann.a im Ordner scan via cmd.exe ausführt:
Mit einem Klick auf die Verknüpfung , wird der eigentliche Trojaner ausgeführt:
File size: 26112 bytes
MD5…: b2f27d1b598d46998eda3a12ddfe140e
SHA1..: ee18628238725d3938c8810b8d019cfc8401aca7
Erkennungsrate: 3/37 (8.11%)
Die Erkennungsrate des Trojaners ist äusserst schlecht. Es handelt sich dabei jedoch höchstwahrscheinlich um Emold / AutoRun. Nach der Infektion kontaktiert er die uns von früher bereits bekannte Domain univnext.cn (218.93.202.102 CHINANET-JS):
Das Attachement sollte auf keinen Fall geöffnet werden. Des Weiteren sollten Unternehmen den Zugriff auf univnext.cn (218.93.202.102) an Ihren Gateways unterbinden.
UPDATE 15:52 Uhr
Der vom Trojaner Kontaktierte Server (218.93.202.102) scheint auch noch andere Webseiten zu hosten:
Die Webseiten hosten teilweise Konfigurationsdateien von unserem Freund WSNPoem sowie verschiedene Drive-By exploits. Es empfiehlt sich also auch hier, den Zugriff auf die oben genannten Domains zu blockieren.
UPDATE 22:07 Uhr
Nach einer weile scheint der Trojaner auf Kommando weiteren Schadcode von topdirectory.info (216.246.45.76 – HostForWeb Inc.) nach zu laden:
Filename: z.exe
File size: 43249 bytes
MD5…: 86838c10f0f87876c267c20a3ae2241e
SHA1..: 975bce9fa4fbb0a1946c1f24bcce91846e47e7e8
Erkennungsrate: 2/37 (5.41%)
Die Erkennungsrate bei der nachgeladenen Datei (z.exe) ist noch schlechter als beim Trojaner selbst (scann.a). Der nun nachgeladene Trojaner kontaktiert ebenfalls regelmässig eine weitere Domain:
GET http://mssrv10256.com/IT03/get.php
Erneut gilt es, den Zugang zu den folgende Domains zusätzlich zu blockieren:
Hm.. sehr interessant. Bei mir kams auch schon an. Bemerkenswert wie schnell sich sowas verbreitet..
Ja, aber echt. Hier in Zypern ist er jetzt auch schon.
Kam hier auch grad dreimal an. Der Kaspersky-Online-Scanner kennt das Dingen noch nicht…
Wie’s scheint, will da jemand dem Inkasso-Unternehmen eins reinwürgen, was?
Bei uns im Unternehmen haben sogar einige die Mail geöffnet *grrr*
Und jetzt?
Gibt es da schon Abhilfe wie man da jetzt Verfahren muß/sollte?
Hab sie auch bekommen um 14:29
Return-Path:
Received: from mailin14.aul.t-online.de (mailin14.aul.t-online.de [172.20.26.49])
by mhead204 with LMTP; Mon, 24 Nov 2008 14:28:58 +0100
X-Sieve: CMU Sieve 2.2
Received: from dsl88.230-59063.ttnet.net.tr ([88.230.230.183]) by mailin14.aul.t-online.de
Kam über Ankara (Türkei)
Meine Adresse war als Envelope Adresse angegeben. Der eigentliche emfpänger hat eine, meiner Mailadresse ähnlichen Empfänger. War das bei euch auch der Fall? Die denken sicher das dann meine Neugier den Virus zu öffnen höher sein wird.
Falsch gedacht
Gruß Martin
der Betrag meiner “Rechnung” war etwas höher haha
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.636635973858 ist erfolgt Es wurden 9995.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
Regel Inkasso GmbH & Co. KG
Fredeburger Str. 21
33699 Bielefeld
Postfach 51 20 05
33698 Bielefeld
Tel.: 0521 93212-0
Fa x: 0521 92412-15
AG Bielefeld HRA 13169
Steuer-Nummer: 349/5749/0377
Komplementargesellschaft:
Regel Verwaltungs-GmbH
AG Bielefeld HRA 34932
Hab ihn heute nachmittag bekommen. Die Regel-Inkasso sollte reagieren und eine Warnung auf ihrer Website geben.
Mc Affee erkennt ihn auch nicht …. leider!
Habs natürlich geschafft, das Ding auszuführen … hab aber keine Probleme festgestellt. Gibt es trotzdem einen Remover?
Kaspersky erkennt ihn jetzt, also Update fahren. Leider bei einem unserer Mitarbeiter zu spät, hatte schon drauf geklickt. Kaspersky entfernt den Trojaner aber dann.
in Rumänien ist er auch schon.
hab j auch ne web.de mail adresse.
passiert da was mit UBUNTU?
virustotal.comDie ist hier eingetrudelt:
http://www.virustotal.com/de/analisis/9e0572bff5a3a34b20fc1f65ae3faee4
Das erkennen anscheinend schon deutlich mehr Virenscanner, u.a. auch Trend obwohl der bei mir mit dem aktuellsten Controlled Pattern Release (5.672.07) nichts findet… jemand eine Idee warum?
@Tobias
Ubuntu ist natürlich nicht betroffen – ist ja auch Linux
Die Chance hier per eMail infiziert zu werden ist vernichtend gering.. die .zip-Datei darf also gerne geöffnet werden, hier passiert nix.
Hallo,
hab die Mail auch grad bekommen. Bei mir ist es allerdings eine Lastschrift auf meinem Konto.
Sehr interessant! Absender: gangebp@bowden.com.hk, also aus Hongkong. Sonst sind die Daten alle gleich.
Gruß Andy
ripe.netripn.netripn.netIch habe gesehen das die Mail aus Russland kommt:
NeoTrace Trace Version 3.25 Results
Target: 95.24.138.169
Date: 24.11.2008 (Monday), 19:18:50
Nodes: 18
Node Data
Node Net Reg IP Address Location Node Name
18 1 1 95.24.138.169 MOSKVA 95-24-138-169.broadband.corbina.ru
Packet Data
Node High Low Avg Tot Lost
18 —- —- —- 6 6
Network Data
Network id#: 1
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
ReferralServer: whois://whois.ripe.net:43
NetRange: 95.0.0.0 – 95.255.255.255
CIDR: 95.0.0.0/8
NetName: 95-RIPE
NetHandle: NET-95-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: NS.LACNIC.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 2007-07-30
Updated: 2007-08-07
ARIN WHOIS database, last updated 2008-11-23 19:10
Registrant Data
Registrant id#: 1
By submitting a query to RIPN’s Whois Service
you agree to abide by the following terms of use:
http://www.ripn.net/about/servpol.html 3.2 (in Russian)
http://www.ripn.net/about/en/servpol.html 3.2 (in English).
domain: CORBINA.RU
type: CORPORATE
nserver: dns1.corbina.net.
nserver: dns2.corbina.net.
state: REGISTERED, DELEGATED
org: Investelektrosvyaz JSC
phone: +7 095 7555648
fax-no: +7 095 3719205
e-mail: hostmaster@corbina.ru
e-mail: admin@corbina.ru
registrar: RUCENTER-REG-RIPN
created: 1996.11.21
paid-till: 2008.12.01
source: TC-RIPN
_____
NeoTrace Copyright ©1997-2001 NeoWorx Inc
Hi,
yeah ich hab ihn jetzt auch. Normalerweise erwischt mich sowas nicht. Sitze in Suedafrika, allerdings mit einer .com email adresse. Der Absender war kcpuwhyd@bodymath.com.
Gruesse aus sonnig SA
Christel
HALLO Leute, ich bin jetzt auch Mitglied in Eurem Club. Habe auch gerade diesen tollen Brief erhalten. Dank meiner Intuition habe ich diesen Anhang nicht geöffnet. Die Bestätigung für meine Ahnung habe ich dankend hier in diesem Forum erhalten.
Ein weiteres Forum besteht unter “Guenter Frhr.von Gravenreuth”
Diese Mail verbreitet sich ja in windeseile. Meine Forderung ist 8.575,oo €.
Erst kürzlich erhielt ich auch so eine Forderung von der Deutschen Inkassostelle bezüglich der berüchtigten Nachbarschaftspost.de
Habe alles gleich unter “P” – wie Papierkorb abgeheftet.
Oh wart ihr aber alle teuer bei mir kam das eben gerade an:
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.977778835682 ist erfolgt
Es wurden 1157.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist für Sie nicht von Bedeutung
Regel Inkasso GmbH & Co. KG
Fredeburger Str. 21
33699 Bielefeld
Postfach 51 20 05
33698 Bielefeld
Tel.: 0521 93212-0
Fax: 0521 92412-15
AG Bielefeld HRA 13169
Steuer-Nummer: 349/5749/0377
Komplementärgesellschaft:
Regel Verwaltungs-GmbH
AG Bielefeld HRA 34932
Aber als Linux Nutzer lacht man gerne zweimal drüber. Übrigens ClamAV identifizert das Dingens als Trojan.Agent-62899
hab heute auch so eine mail bekommen und ein mitarbeiter hat es geöffnet.er ist
sich nicht sicher ober er scann.a oder das andere file geklickt hat.
was ist zu tun wenn er dieses file geklickt hat??
Hi , habe auch gerade die Mail erhalten und gleich Lunte gerochen , kam Von: “Hilda Bolton”
An: is gar nicht meine Adresse , frag mich wie sowas in mein Postfach kommt. Ansonsten gleicher Text.
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.468119236959 ist erfolgt
Es wurden 1656.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.
Regel Inkasso GmbH & Co. KG
Fredeburger Str. 21
33699 Bielefeld
Postfach 51 20 05
33698 Bielefeld
Tel.: 0521 93212-0
Fa x: 0521 92412-15
AG Bielefeld HRA 13169
Steuer-Nummer: 349/5749/0377
Komplementargesellschaft:
Regel Verwaltungs-GmbH
AG Bielefeld HRA 34932
Falls ihr euch infiziert habt könnt ihr auf Nummer sicher gehen und das System neu aufsetzen.
Ihr könnt auch einen kompletten Systemcheck mit AntiVir machen, dann mit Spybot und anschließend nochmal mit AntiVir. Einige Virenprogramme erkennen den Trojaner schon. Vor dem Check solltet ihr Spybot und AntiVir nochmal updaten. Zusätzlich sollte der Zugriff auf die oben genannten Domains und Server verhindert werden.
Meine Mum hat leider die Datei ausgeführt. AntiVir hat nichts erkannt. Gibt es noch einen ausweg ausser das System neu aufzusetzen? DANKE FÜR DIE HILFE!!!!!!!!!!!!!!!!!!
avg.comAVG Free- E-Mail Scanner erkennt das ding.
“Viruses found in the attached files.
The file abrechnung.zip: Trojan horse Pakes.ANT. The attachment was moved to the Virus Vault.
Checked by AVG – http://www.avg.com
Version: 8.0.175 / Virus Database: 270.9.10/1810 – Release Date: 24.11.2008 14:36″
Ik hjeb hem ontvangen om 17.12 uur, mijn virusscanner AVG had het ZIP bestand zelf al verwijderd, overigens was mijn bedrag 8,652 euro:-(
Bei mir sind die jetzt schon in Massen unterwegs, habe insgesamt etwa 8 Stück dieser Dreckschleudern bekommen. Die erstem vier heute Vormittag hat mein AVG noch nicht erkannt, die letzten 4 aber schon und die .zip – Dateien bereits beim Abruf in Quarantäne (Virus-Vault) eingesperrt, so daß die Mails ohne Anhang mit entsprechendem Hinweis im Fach gelandet sind.
Offenbar sind sehr viele betroffen, es scheint sich um eine Massenattacke zu handeln. Beim Inkassounternehmen habe ich probeweise mal am späten Nachmittag angerufen (nach Dienstschluß) und es war dauerbesetzt.
@Fred
bevor Du das System paltt machst und wieder neu aufspielst, versuch doch mach nachträglich eine Aktualisierung von AntiVir. Wenn da nix geht, schmeiß AntiVir vorübergehend runter und spiel dir AVG free edition drauf, aktualisiere die sofort nach Installation und mach einen Virencheck. AVG erkennt die Viren und beseitigt sie!
http://free.avg.de/
presseportal.deInzwischen ist es das ganze auch polizeikundig geworden und die Bielefelder Firlma hat Anzeige erstattet:
http://www.presseportal.de/polizeipresse/pm/12522/1307791/polizei_bielefeld/rss
Ich habe mich wohl auch infiziert. Nach einem Neustart Bootet der PC zwar, aber die explorer.exe wird nicht gestartet. Ich habe per CMD herausgefunden, dass die Datei im Windowsordner vorhanden ist, allerdings wird mir gemeldet, dass sie nicht existiert, wenn ich sie starten möchte. Irgendwelche Ideen?
Ich befinde mich in Tschechien und habe es gestern gleich zweimal bekommen:
von Eddie Oconnell sear@agt. net und von Les Dick akstcdanespomnsdgs@danespo.com.
Die Anlage habe ich nicht geöffnet und gleich lösche ich es.
Danke allen für die Berichte und Anregungen.
Es grüßt
Georg
virustotal.comAh, Trend erkennt den http://www.virustotal.com/de/analisis/9e0572bff5a3a34b20fc1f65ae3faee4 jetzt mit dem finalem 5.673.00 endlich auch als WORM_AUTORUN.BWQ . Das hätte er aber eigentlich auch mit dem CPR finden können….
Ich hab auf jeden Fall schon um kurz nach 14:00 Uhr erste HTTP Zugriffe auf univnext.cn gesehen, welche aber von der Firewall gedropt wurden. Die IP wurde wegen der Sache vor ein paar Wochen bereits gesperrt. Zugriffe auf die anderen IPs konnte ich bisher nicht sehen.
Und was sagt uns dass ???? Schmeißt die scheiß PCs weg und holt Euch ´nen Mac !!!
Danke an Googlemail
Sie haben die Anhänge direkt gelöscht:
Warnung: Diese Nachricht enthielt einen oder mehrere Dateianhänge, die entfernt wurden
Warnung: (abrechnung.zip, abrechnung.lnk, scann.a)
Warnung: Bitte lesen Sie den oder die “Hostmax-Attachment-Warning.txt” Dateianhänge für genauere Informationen.
A:
Deine “Festung” von einem Mac verhindert also auch das du selbst Shellscripts oder ähnliches aus einer dubiosen Mail heraus öffnest!?
Nur CommonSenseAntivirus2008®, kostenlos erhältlich für jede Plattform, würde so etwas effektiv abfangen. Tut mir leid das du es nicht zu haben scheinst.
Und dein Beitrag sagt uns, dass du mal die Rechtschreibkorrektur deiner Supermaschine einschalten solltest.