1&1-Rechnung...Fake?

[Dimmel]

Hallo!

Ich hatte eben auch eine solche mail. Leider habe ich nur "Telecom" gesehen und "Rechnung" und gar nicht mehr weiter auf die Empfänger-Mailadresse und auch leider nicht auf alles weitere geachtet. Also Hirn aus und klicke auf die PDF-Datei.
Lies sich aber nicht öffnen, bzw. sagte was von fehlenden Schriftzeichen, wie es mein Vorredner schon beschrieben hat.
Habe die mail daraufhin gelöscht. Header und Email-Inhalt gleich wie bei EDVGGlas schon beschrieben.
Bestellt habe ich mit der email-Adresse, wo die mail ankam, noch nie etwas.
Lasse jetzt System-Scan machen und hoffe das nichts passiert ist.

 

[purzelbär]

Also Hirn aus und klicke auf die PDF-Datei.

Und das ist der grösste Fehler den zu viele User immer noch leider machen. Tipp: wenn du noch nicht hast, nimm ein Virenschutz Programm das E-Mail Klienten wie Outlook, Thunderbird usw unterstützt. Das nennt sich dann Mail Scutz und schaut zum Beispiel bei Avast Free so aus: Ruftst du nämlich deine Mails mit Outlook, Thunderbird oder dergleichen ab, prüft besagte Komponente beim abholen der Mails von den Servern mögliche Anhänge auf Infizierungen und löscht die Anhänge bzw deren(infizierten)Inhalt.
Tipp 2: Mach zusätzlich mit Malwarebytes Free(nicht die Pro nehmen)einen Komplett-Scan deines Systems zusätzlich zu dem Scan deines Virenschutz Programms.

 

[Dimmel]

Ich habe Avira in der Vollversion drauf, die eigentlich alle eingehenden mails checkt. Hat auch schon ein paar mal angeschlagen.
Deswegen habe ich wohl auch nicht bei dieser mail drauf geachtet.
Lasse jetzt den Scan laufen und hoffe.

 

[florian.]

Das Nachladen des Codes klappt nur bei Acrobat 8.x vor 8.2.1 und 9.x vor 9.3.1. Der Acrobat Reader wird dabei zum Absturz gebracht - bei allen neueren Versionen wird ein PDF angezeigt und eine Fehlermeldung das die Schrift nicht geladen werden konnte.

danke, das wollt ich hören.
ich hab einfach aktuell nicht den nerf/zeit/lust um mein System zu plätten.

Der Text bei mir lautet wie folgt und enthält im Original keinen Vor und Nachnamen-

Bei mir Stimmte der Name allerdings heißt meine E-mail Addy auch Nachname.Vornahme@googlemail.com

Ich hab schon bei vielen Seiten bestellt aber bei deinen genannten noch nie.

 

[Flachzange]

Interessant ist, dass nur wenige Scanner wirklich Alarm schlagen.

 

[PC-User]

Was ich ja interessant finde ist, dass sie es hinbekommen die Straße samt Hausnummer zu kopieren, aber dann eine falsche Postleitzahl verwenden... 56410 ist die richtige, alle anderen nicht.

 

[Dimmel]

Interessant ist, dass nur wenige Scanner wirklich Alarm schlagen.

Also mein Scanner hat keinen Alarm angezeigt. Werde beim Öffnen, noch nachdem ich das bemerkt habe beim Scannen im nachhinein.
Kann es damit zusammenhängen, dass dieser "Schriftsatz" nicht geladen wurde?
Ist der Schriftsatz der geladen werden sollte eventuell der Schädling?
Kann dazu jemand was sagen?

 

[Flachzange]

Auf jeden Fall ein Trojaner. Siehe weiter oben.

 

[EDVGGlas]

Hi,

das liegt vermutlich daran, das der Schädling in der Form erst seit kurzem im Umlauf ist (First seen by VirusTotal 22.10.2012 12:00:13 UTC) und noch keine Signaturen dafür bereit stehen. Waren es gestern noch 2 von 43 Scannern (Comodo und F-Secure) sind es zur Zeit 17 von 43 [1]. Vermutlich werden bis zur Ende der Woche alle Anbieter ihre Signaturen aktualisiert haben.

Der Schädling benutzt dabei einen Fehler in der Verarbeitung des eingebetteten TIFF Grafik, um dann einen Code welcher ebenso im PDF eingebettet ist, auszuführen - diese Methode ist nicht wirklich neu und wurde bereits im März 2010 demonstriert. [2]

Der Signatur von Comodo zu schliessen, stammt der Schadenscode vermutlich aus dem Blackhole exploit kit 2.0 und wurde am 14.6.2012 das erste mal entdeckt, eine veränderte Form kommt in diesem PDF zum Einsatz. [3]

[1] https://www.virustotal.com/file/680...9fef001f7a7cc72e3131920c81ac119e23b/analysis/
[2] http://bugix-security.blogspot.co.at/2010/03/adobe-pdf-libtiff-working-exploitcve.html
[3] http://support.clean-mx.de/clean-mx/viruses?virusname=TestSignature.JS.Pdfka.FBQ



/edit
Hallo,

Was ich ja interessant finde ist, dass sie es hinbekommen die Straße samt Hausnummer zu kopieren, aber dann eine falsche Postleitzahl verwenden... 56410 ist die richtige, alle anderen nicht.

das ist schnell erklaert - es handelt sich hierbei um einen (nicht sehr effektiven) hashbuster [1].

[1] http://en.wikipedia.org/wiki/Hash_buster

 

[hildefeuer]

Sicherlich eine Virenschleuder.
Gut das ich für solche Fälle ein Ubuntu booten kann und die Datei damit öffnen kann.
Man sollte Mail-Anhänge von Absendern, mit dehnen man nichts zu tun hat, bzw. die sonst nix senden niemals öffnen.

 

[maikdb1]

seit gestern läuft wieder eine Phishing-Welle mit Absender rechnungsstelle@ 1und1.de
Seit gestern 17.15 h läuft dazu eine Ansage.

Aktuell gibt es eine Welle von gefälschten E-Mails, die den Namen von 1&1 ausnutzen. Die Kriminellen dahinter versenden Mails mit einem scheinbaren 1&1 Absender und einer gefälschten Rechnung. Bitte ignorieren Sie diese E-Mails.

Also wer kein 1und1 kunde ist, löschen.
Wer 1und1 Kunde ist ins CC und kontrolieren gegebenenfals Rechnungssupport kontakten.