Seite 1 von 11 123 ... LetzteLetzte
Ergebnis 1 bis 10 von 198

Thema: [Trojaner] fingierte Rechnungen / Inkassomails / Anmeldebestätigungen

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Mitglied
    Registriert seit
    03.05.2006
    Beiträge
    100

    Standard [Trojaner] fingierte Rechnungen / Inkassomails / Anmeldebestätigungen

    Betreff: Lastschrift

    Sehr geehrte Damen und Herren!
    Die Anzahlung Nr.723086758184 ist erfolgt
    Es wurden 2403.00 EURO Ihrem Konto zu Last geschrieben.
    Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

    Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung


    TESCHINKASSO Forderungsmanagement GmbH

    [Adressdaten inkl. Ust-ID und HRB-Nummer]
    Anhang: Rechnung.zip- Enthält wohl einen Trojaner oder einen Virus


    header:
    01: Return-Path: <vhsyxysid [at] bookreviewclub.com>
    02: Received: from 10.219.unused-addr.ncport.ru (10.219.unused-addr.ncport.ru
    03: [213.134.219.10] (may be forged))Received: from [213.134.219.10] by
    04: mx1.balanced.looney.mail.dreamhost.com; Fri, 24 Oct 2008 xx:xx:xx +0300
    05: Date: Fri, 24 Oct 2008 xx:xx:xx +0300
    06: From: "Kathi behling " <vhsyxysid [at] bookreviewclub.com>
    07: X-Mailer: The Bat! (v2.10.01) Business
    08: Reply-To: vhsyxysid [at] bookreviewclub.com
    09: X-Priority: 3 (Normal)
    10: Message-ID: [ID filtered]
    11: MIME-Version: 1.0
    12: Content-Type: multipart/mixed;
    13: boundary="----------14DA9F46E3C256"

    To, by und for sind unsere Daten und Server. Habe auf Angabe verzichtet.

    whois

    IP Addressen 213.134.219.10, 213.134.219.10

    Server stehen beide in Moskau bei der gleichen Gesellschaft...
    Geändert von mareike26 (24.10.2008 um 15:30 Uhr)

  2. #2
    Deekaner Avatar von deekay
    Registriert seit
    07.07.2006
    Ort
    Lippe / NRW
    Beiträge
    5.387

    Standard

    sicherlich ist das eine Mail mit Virenanhang.....


    Sehr geehrte Damen und Herren!
    Die Anzahlung Nr.160937320819 ist erfolgt
    Es wurden 8354.00 EURO Ihrem Konto zu Last geschrieben.
    Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

    Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung


    TESCHINKASSO Forderungsmanagement GmbH
    *****

    Ust-ID Nummer: xxxxxx

    Amtsgericht xxxxx HRB xxxx


    header:
    01: From - Fri Oct 24 xx:xx:xx 2008
    02: X-Account-Key: account2
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0001
    05: X-Mozilla-Status2: 10000000
    06: X-Mozilla-Keys:
    07:
    08: X-Envelope-From: <utsteqxyy [at] blockusa.com>
    09: X-Envelope-To: <^^^^@^^^^.de>
    10: X-Delivery-Time: 1224814461
    11: X-UID: [UID filtered]
    12: Return-Path: <utsteqxyy [at] blockusa.com>
    13: X-RZG-FWD-BY:^^^^@^^^^.de
    14: Received: from localhost (client mail forwarder)
    15: by mailin.webmailer.de (zeb mi52) (RZmta 17.12)
    16: for <^^^^@^^^^.de>; Fri, 24 Oct 2008 xx:xx:xx +0200 (MEST)
    17: X-RZG-CLASS-ID: [ID filtered]
    18: Received: from dvugol.ru ([89.107.85.98])
    19: by mailin.webmailer.de (zeb mi52) (RZmta 17.12)
    20: with ESMTP ID: [ID filtered]
    21: Fri, 24 Oct 2008 xx:xx:xx +0200 (MEST)
    22: (envelope-from: <utsteqxyy [at] blockusa.com>)
    23: Received: from [89.107.85.98] by mx-1.tng.de; Fri, 24 Oct 2008 xx:xx:xx +1000
    24: Date: Fri, 24 Oct 2008 xx:xx:xx +1000
    25: From: "Brunhilda stubbe " <utsteqxyy [at] blockusa.com>
    26: X-Mailer: The Bat! (v2.00.7) Business
    27: Reply-To: utsteqxyy [at] blockusa.com
    28: X-Priority: 3 (Normal)
    29: Message-ID: [ID filtered]
    30: To: ^^^^@^^^^.de
    31: Subject: Amtsgericht
    32: MIME-Version: 1.0
    Geändert von Gaston (24.10.2008 um 15:33 Uhr)
    "Es gibt tausendundeinen Grund, warum ein Mensch bestimmte Einzelheiten seiner Privatsphäre nicht offenbaren will, und es besteht nicht die geringste Pflicht, dies auch noch begründen zu müssen. Es reicht, dass man es nicht will."

    (Pär Ström, Autor und IT-Unternehmensberater)

  3. #3
    Mitglied
    Registriert seit
    03.05.2006
    Beiträge
    100

    Standard

    Weitere Mail mit
    Betreff: Forderungsmanagement GmbH

    Hallo
    Ihr Abbuchungsauftrag Nr.78444927 wurde erfullt.
    Ein Betrag von 472.76 EURO wurde abgebucht und wird in Ihrem Bankauszug als "Vattenfallabbuchung " angezeigt.
    Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

    Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

    Vattenfall Europe AG

    [Adresse, Ust-ID, HRB]
    Ebenfalls Rechnung.zip im Anhang


    header:
    01: Return-Path: Wir
    02: Received: from Wir
    03: X-Sieve: CMU Sieve 2.2
    04: Return-Path: <lorne [at] panamsat.com>
    05: Received: from adsl-dynamic-pool-xxx.fpt.vn (adsl-dynamic-pool-xxx.fpt.vn
    06: [58.187.63.14] (may be forged))
    07: by Wir
    08: for Wir
    09: Received: from [58.187.63.14] by us-irone2.intelsat.com; Thu, 23 Oct 2008
    10: xx:xx:xx -0800
    11: From: "Jonas Seay" <lorne [at] panamsat.com>
    12: To: An uns
    13: Subject: Forderungsmanagement GmbH
    14: Date: Thu, 23 Oct 2008 xx:xx:xx -0800
    15: Message-ID: [ID filtered]
    16: MIME-Version: 1.0
    17: Content-Type: multipart/mixed;
    18: boundary="----=_NextPart_000_000E_01C9355D.EBBC8100"
    19: Importance: Normal


    Server steht in Vietnam, Hanoi
    Geändert von mareike26 (24.10.2008 um 15:24 Uhr) Grund: Service des Hauses

  4. #4
    Mitglied
    Registriert seit
    03.05.2006
    Beiträge
    100

    Standard

    @deekay: Server in Vladivostok

    Botnetz. Dann mal schön reporten, damit das Netz abgeschalten wird.

  5. #5
    Neues Mitglied
    Registriert seit
    24.10.2008
    Beiträge
    8

    Standard TESCHINKASSO Forderungsmanagement GmbH

    Danke Deekay,

    ich habe genau die gleiche mail bekommen:
    (Modedit: Der Text ist ja nun bekannt, daher gelöscht.)

    Dank google bin ich gleich auf Deinen Eintrag hier im Forum gestoßen.

    Die Rechnung.zip im Anhang darf man wohl lieber nicht öffnen. Auf Telefonanruf ist leider besetzt und die Faxnummer existiert garnicht.

    Falls da eine Kontobuchung erfolgt: gleich Alarm schlagen. Aber das ist wohl weniger zu erwarten.

    Gruß,
    Helge
    Geändert von mareike26 (24.10.2008 um 15:25 Uhr)

  6. #6
    PKV Schreck Avatar von thomas1611
    Registriert seit
    25.09.2005
    Ort
    in der Mitte Deutschlands
    Beiträge
    3.503

    Standard

    Hier auf eigenen Accounts 14x eingeschlagen GDATA erkennt W32/Trojan3.EJ

    3x Received: from leased-line-gomel-252-83.telecom.by (leased-line-gomel-252-83.telecom.by [213.184.252.83])
    3x Received: from kns-9-59.kansstel.ru (kns-9-59.kansstel.ru [79.171.9.59])
    Received: from [115.76.197.136] (unknown [115.76.197.136])
    Received: from [123.19.239.165] (unknown [123.19.239.165])
    Received: from home-32b3da6e50 (unknown [80.233.197.196])
    Received: from santal74.dep.tver.ru (santal74.dep.tver.ru [84.42.29.28])
    2x Received: from [195.210.191.200] (unknown [195.210.191.200])
    2x Received: from [117.4.137.18] (unknown [117.4.137.18])

    Thomas

  7. #7
    Neues Mitglied
    Registriert seit
    24.10.2008
    Beiträge
    4

    Standard und noch eine


    header:
    01: From: - Fri Oct 24 xx:xx:xx 2008
    02: X-Account-Key: account7
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0001
    05: X-Mozilla-Status2: 10000000
    06: Return-Path: <dwpletterbauerm [at] pletterbauer.com>
    07: Received: from [COLOR="red"]4ad5440f1d1b47f
    08: (177.73-54-92.telenet.ru[/COLOR] [92.54.73.177]) by Fri, 24 Oct 2008 xx:xx:xx
    09: +0200 (CEST)
    10: Received: from [92.54.73.177] by mgate-nogrey.viennaweb.at; Fri, 24 Oct 2008
    11: xx:xx:xx +0500
    12: Message-ID: [ID filtered]
    13: Subject: Auflistung der Kosten
    14: Date: Fri, 24 Oct 2008 xx:xx:xx +0500 MIME-Version: 1.0 Content-Type:
    15: multipart/mixed; boundary="----=_NextPart_000_0006_01C935CD.843E1A00"
    16: X-Priority: 3
    17: X-MSMail-Priority: Normal
    18: X-Mailer: Microsoft Outlook Express 5.50.4133.2400
    19: X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
    20: X-UIDL: [UID filtered]

    ####################################################


    Werden wohl noch mehr werden. Die Rechnung selbst ist nur ein link auf ein Datei mit Endung .ssl. Die Datei enthält mehrer Copy befehle. Auf keine Fall ausführen.
    Returnpaths sind unterschiedlich.
    Geändert von mareike26 (24.10.2008 um 15:27 Uhr)

  8. #8
    Neues Mitglied
    Registriert seit
    01.11.2006
    Beiträge
    15

    Ausrufezeichen Virus von Tesch Inkasso Wiehl

    Die Firma "Tesch Inkasso Wiehl" die es tatsächlich zu geben scheint hat mir dem Anschein nach - allerdings in einen Server in Russland eingeliefert - folgende Mail geschickt:

    Code:
    von	B. w.<ttxsce@xxxxxs.com>
    Antwort an	ttxsce@xxxxxx.com
    an	post@sagichnich.de
    Datum	24. Oktober 2008 05:12
    Betreff	Abbuchung
    	
    Sehr geehrte Damen und Herren!
    Die Anzahlung Nr.029339912345 ist erfolgt
    Es wurden 1804.00 EURO Ihrem Konto zu Last geschrieben.
    Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
    
    Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
    
    TESCHINKASSO Forderungsmanagement GmbH
    
    Geschaeftsfuehrer: S. T.
    B. in 5
    Telefon (0 22 62) xxxx
    Telefax (0 22 62) xxxxx
    
    Ust-ID Nummer:xxxxxx
    
    Amtsgericht xxxxx HRB xxxx
    Angehängt ist eine Zip-Datei, die Google Mail als Virus erkennt.

    Ich habe bereits eine Strafanzeige ans AG Köln gestellt. Natürlich wird Fa. Tesch sagen, sie waren es nicht, jemand anderen benutze ihren Namen. Aber wenn das stimmt sind sie jedenfalls informiert. "B. W." ist ja auch niedlich. Das "Russian Business Network" kennt sich wohl nicht so aus mit Vornamen in Deutschland, aber sonst ist die Mail ja sprachfehlerlos, wenn man mal ignoriert daß man in Deutschland die Anrede seit vielen Jahren nicht mehr mit einem Ausrufezeichen enden läßt. Ein Punkt fehlt außerdem.

    Und daß etwas "für Sie nicht von Bedeutung ist" - auch sehr schön.

    Mögen andere diesen Post nützlich finden..
    Geändert von Gaston (24.10.2008 um 14:36 Uhr) Grund: Personenbezogene Daten entfernt! Forumsregeln!

  9. #9
    Urgestein Avatar von Eniac
    Registriert seit
    18.07.2005
    Ort
    Dragasani - Lagos - Moskau - Cloppenburg
    Beiträge
    5.199

    Standard

    Zitat Zitat von hagenbuch Beitrag anzeigen
    Ich habe bereits eine Strafanzeige ans AG Köln gestellt. Natürlich wird Fa. Tesch sagen, sie waren es nicht, jemand anderen benutze ihren Namen.
    Stimmt ja auch. Du hast doch wohl hoffentlich Anzeige gegen unbekannt erstattet (sowieso sinnlos) und nicht etwa gegen die unschuldige Firma?

    Zitat Zitat von hagenbuch Beitrag anzeigen
    Aber wenn das stimmt sind sie jedenfalls informiert. "Bridget Wehrle" ist ja auch niedlich. Das "Russian Business Network" kennt sich wohl nicht so aus mit Vornamen in Deutschland, ...
    Bei den heute gebräuchlichen dämlichen Vornamen wie Mandy, Sandy oder Tiffany wäre Bridget doch nicht ungewöhnlich, oder?


    Eniac
    Die weltweit grösste Fakeseiten-Datenbank: http://db.aa419.org/fakebankslist.php
    Viele falsche Escrow-Seiten: http://escrow-fraud.com/search.php

    DER HERR ERSCHUF IN SEINEM ZORN - CLOPPENBURG UND BÜTTELBORN

  10. #10
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    10.377

Seite 1 von 11 123 ... LetzteLetzte

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen