[Virus] Neue Bestellung / Lieferschein für xxx / Mahnung

[kjz1]

Oder ein Adressbuch auf einem Rechner eines Freundes/Bekannten/Verwandten/Geschäftspartners von einem Schädling nach Hause übermittelt.

Dann wäre die Schreibweise des Namens aber korrekt. Ich bin mir recht sicher, dass dies ein Tippfehler meinerseits war. Allerdings kann ich mich nicht mehr erinnern, bei welchem Online-Händler.

[Katzina]

Heute wieder der gleiche Mist, dieses Mal ohne Text, nur mit einem Anhang.

Zustellung Ihrer Sendung 70828156198
PDF-Anhang Name: "DHL_Report_70....

header:

01:  Return-Path: mariola-1985 [at] wp.pl
02: Received: from mx3.wp.pl ([212.77.101.9]) by mx-ha.web.de (mxweb107) with
03: 	ESMTPS (Nemesis) ID: [ID filtered]
04: Received: (wp-smtpd smtp.wp.pl 15913 invoked from network); 18 May 2015 xx:xx:xx +0200
05: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=wp.pl; s=1024a; t=1431944677;
06: 	bh=nrnyFBl74LGyO72t1gKUGbRDcKmM8/GduTagW/b/+r4=; h=Subject:From:To;
07: 	b=bxi6alrN2UakbFTS3g0ll0b/8RbW3oNcR7VE3ZD+x2LA/H0z9aqIQW7v4ugELBUl3
08: 	XVPX5aeYdNwY64P2M2NkUexFZWZHzE9RMdSt3xRzvCvCHzvzeX139vS7UcqTC2cxgz
09: 	8gJhaCPKId6jbpg4RG/wsk2XJtD28YV08QkUPEio=
10: Received: from unknown (HELO localhost) (poor [at] spamvictim.tld@[193.238.97.26])
11: 	(envelope-sender <poor [at] spamvictim.tld>) by smtp.wp.pl (WP-SMTPD) with
12: 	ECDHE-RSA-AES256-GCM-SHA384 encrypted SMTP for <poor [at] spamvictim.tld>; 18 May 2015
13: 	xx:xx:xx +0200
14: Subject: Zustellung Ihrer Sendung 70828156198
15: From: "paket.70828156198 [at] dhl.com"<mariola-1985 [at] wp.pl>
16: To: poor [at] spamvictim.tld
17: Mime-Version: 1.0
18: Content-Type: multipart/mixed; boundary="W/UWBazvWAUSZ0A2"
19: X-WP-AV: skaner antywirusowy poczty Wirtualnej Polski S. A.
20: X-WP-SPAM: YES 0100100 [MYP0] 

^whois: [Link nur für registrierte Mitglieder sichtbar. ] " target="_blank"> [Link nur für registrierte Mitglieder sichtbar. ]
^whois:212.77.98.9

Die Deutsche Post gab die Info in der Presse bekannt, solche Mails weiterzuleiten an: [Link nur für registrierte Mitglieder sichtbar. ]

[schara56]

header:

01: Received: from hermes.escapenet.ch (hermes.escapenet.ch [193.9.122.17])
02: 	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
03: 	(No client certificate requested)
04: 	by x (Postfix) with ESMTPS ID: [ID filtered]
05: 	for <x>; Tue, 19 May 2015 xx:xx:xx +0200 (CEST)
06: Received: from VIEWCLIENT023 ([62.2.208.146])
07:         by hermes.escapenet.ch (Escapenet Mail Server v2.0 (Build 1111)) with ASMTP ID: [ID
08: 	filtered]

greeting
in the attachment


Freundliche Grüsse

G* H*
Assistentin Rekrutierung
____________________

IQPLUS AG
Wülflingerstrasse 59
Postfach
CH-8401 Winterthur

Tel. +41 (0)52 222 xy
Fax +41 (0)52 222 xy
g*.h*@iqplus.ch
^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Im Anhang die entsprechende Malware:
[Link nur für registrierte Mitglieder sichtbar. ] [Link nur für registrierte Mitglieder sichtbar. ]

Das fiese: zu diesem Unternehmen habe ich seit längerem geschäftlichen Kontakt und die Spam kam definitiv von dem Unternehmen über den regulären SMTP-Weg; hier ein Beispielheader einer normalen, sauberen E-Mail von dem Unternehmen:

header:

01: Received: from hermes.escapenet.ch (hermes.escapenet.ch [193.9.122.17])
02: 	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
03: 	(No client certificate requested)
04: 	by x (Postfix) with ESMTPS ID: [ID filtered]
05: 	for <x>; Tue,  5 May 2015 xx:xx:xx +0200 (CEST)
06: Received: from HERKULES ([193.9.122.6])
07:         by hermes.escapenet.ch (Escapenet Mail Server v2.0 (Build 1111)) with SMTP ID: [ID
08: 	filtered]
09:         for <x>; Tue, 05 May 2015 xx:xx:xx +0200

[Mittwoch]

Das fiese: zu diesem Unternehmen habe ich seit längerem geschäftlichen Kontakt und die Spam kam definitiv von dem Unternehmen über den regulären SMTP-Weg;

Ist der Kontakt eine Kundenbeziehung, sprich ist IQPlus Dein Lieferant? In dem Fall würde ich eine knappe Mail verfassen, in der ich darlege, dass es genug Mitbewerber gibt, die ihre IT sauber halten und keine Schädlinge bei sich laufen haben.

Andernfalls lediglich eine Mail mit der Bitte um Stellungnahme seitens der IT-Mitarbeiter.

Schönen Gruß
Mittwoch

[schara56]

header:

01: Received: from webmail.unicodata.ch (webmail.unicodata.ch [194.165.44.24])
02: 	(using TLSv1 with cipher AES256-SHA (256/256 bits))
03: 	(No client certificate requested)
04: 	by x (Postfix) with ESMTPS ID: [ID filtered]
05: 	for <x>; Tue, 26 May 2015 xx:xx:xx +0200 (CEST)

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/el7dEct4u8Ky

Man beachte die geringe Erkennungsrate
[Link nur für registrierte Mitglieder sichtbar. ]
[Link nur für registrierte Mitglieder sichtbar. ]

[schara56]

...] Andernfalls lediglich eine Mail mit der Bitte um Stellungnahme seitens der IT-Mitarbeiter. [...

header:

01: Received: from hermes.escapenet.ch (hermes.escapenet.ch [193.9.122.17])
02: 	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
03: 	(No client certificate requested)
04: 	by x (Postfix) with ESMTPS ID: [ID filtered]
05: 	for <x>; Wed, 27 May 2015 xx:xx:xx +0200 (CEST)

Bitte Entschuldigen Sie vielmals dieses Missgeschick.
Leider hat sich der Virus bei uns selbständig gemacht.

Diese Antwort als "dürftig" zum umschreiben ist noch wohlwollend formuliert.

[kjz1]

Mal wieder DHL:

header:

01: Received: from amj221.rev.netart.pl (amj221.rev.netart.pl [85.128.192.221])
02: 	by xxxxx (Postfix) with ESMTP
03: 	for xxxxx; Tue,  9 Jun 2015 xx:xx:xx +0200 (CEST)
04: Received: from localhost (unknown [84.10.16.66])
05: 	by info-komp.nazwa.pl (Postfix) with ESMTP ID: [ID filtered]
06: 	for xxxxx; Tue,  9 Jun 2015 xx:xx:xx +0200 (CEST)

Sehr geehrte Kundin, sehr geehrter Kunde,

wir müssen Ihnen keiner mitteilen, dass der zuvor mitgeteilte Zeitpunkt
für die
Zustellung Ihrer Sendung *4833225216* nicht eingehalten werden kann.
Nächste
planmäßige Zustellung ist voraussichtlich am Dienstag, den *09.06..*

Nähere Angaben zu der betroffenen Sendung (z.B. aktueller Status),
erhalten Sie
unter Fortschrittverfolgung, DHL Sendung

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Mit freundlichen Grüßen
Ihr DHL Team

Diese Mail dient lediglich der Information und garantiert nicht die
Zustellung
der Sendung. Auf diese Mail kann nicht geantwortet werden. Ihre
E-Mailadresse
wird ausschließlich für die Paketankündigung der oben genannten Sendung
genutzt
und nicht zu werblichen Zwecken gespeichert.

--------------------------------------------------------------------------------
Deutsche Post AG
Charles-de-Gaulle-Str. 20
53113 Bonn

Registergericht Bonn
HRB 6792
USt-IdNr.: DE 169838187

Vertreten durch den Vorstand
[schnippschnapp]Website <https://www.paket.de>
Kontakt <mailto [Link nur für registrierte Mitglieder sichtbar. ]>
Impressum < [Link nur für registrierte Mitglieder sichtbar. ]
ag.html>

© 2015 DHL

von dort als Download: ^whois: [Link nur für registrierte Mitglieder sichtbar. ]/B57gGapihdHF/Dhl_Status_2765017880893090.zip

IP: 92.240.253.72 ---> LightStorm Communications

Analyse: [Link nur für registrierte Mitglieder sichtbar. ]

[schara56]

header:

01: Received: from mout.kundenserver.de (mout.kundenserver.de [212.227.17.13])
02: 	(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
03: 	(No client certificate requested)
04: 	by x (Postfix) with ESMTPS ID: [ID filtered]
05: 	for <x>; Mon, 29 Jun 2015 xx:xx:xx +0200 (CEST)
06: Received: from Donath-PC ([87.185.237.221]) by mrelayeu.kundenserver.de
07:  (mreue101) with ESMTPSA (Nemesis) ID: [ID filtered]
08:  <x>; Mon, 29 Jun 2015 xx:xx:xx +0200

Sehr geehrter Käufer,

Sie haben eine ungedeckte Forderung bei der Firma DirectPay AG. Das von Ihnen vorliegende Bankkonto ist nicht genügend gedeckt um die Lastschrift vorzunehmen.
Die Überweisung erwarten wir bis zum 02.07.2015.
Aufgrund des bestehenden Zahlungsrückstands sind Sie gezwungen dabei, die durch unsere Tätigkeit entstandenen Kosten von 57,78 Euro zu bezahlen. Namens unseren Mandanten DirectPay AG ordnen wir Ihnen an, die offene Gesamtforderung unverzüglich zu decken. Bei Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Die detaillierte Kostenaufstellung, der Sie alle Einzelpositionen entnehmen können, ist beigefügt. Nach Ablauf der Frist wird die Angelegenheit dem Staatsanwalt und der SCHUFA übergeben.

Mit freundlichen Grüßen

Rechtsanwalt W* A*

Im Anhang dann ein schnuckeliges ZIP welches es in sich hat:
[Link nur für registrierte Mitglieder sichtbar. ]

[Frechdachs]

Hallo zusammen,

das ist die Tage mit passender Zipdatei hier aufgeschlagen.
Googlet man nach >>OnlinePay24 AG<<, so findet man auch eine Verbraucherschutzseite, die allerdings folgenden Hinweis von Google enthält:
"Diese Website kann Ihren Computer beschädigen."

Guten Tag Mein Name,

unsere Zahlungserinnerung blieb bisher leider ohne Erfolg. Heute bieten wir Ihnen hiermit letztmalig die Chance, den ausstehenden Betrag der Firma OnlinePay24 AG zu überweisen.

Ihre Bank hat die Kontoabbuchung zurück buchen lassen, da Ihr Girokonto im Moment der Abbuchung nicht hinreichend gedeckt wurde.

Wir erwarten die Zahlung zuzüglich der Gebühren bis spätestens 29.08.2015 auf unser Girokonto.

Aufgrund des bestehenden Zahlungsausstands sind Sie gebunden außerdem, die durch unsere Tätigkeit entstandenen Gebühren von 67,75 Euro zu tragen. Namens und in Vollmacht unseren Mandanten OnlinePay24 AG ordnen wir Ihnen an, die noch offene Gesamtforderung unverzüglich zu decken. Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden. Die detaillierte Kostenaufstellung, der Sie alle Buchungen entnehmen können, ist beigefügt.

Erfolgt kein Ausgleich der offenen Forderung bis zur festgelegten Frist, werden wir ohne weitere Schreiben die Angelegenheitan das Gericht übergeben und der SCHUFA Holding AG melden.

Mit besten Grüßen

Sachbearbeiter Valera Sebastian

header:

01:  Return-Path: dxdd1 [at] 163.com
02: Received: from proxy90-5.mail.163.com ([43.230.90.5]) by mx-ha.provider.net
03:  (mxprovider104) with ESMTP (Nemesis) ID: [ID filtered]
04:  < mailadresse [at] provider.de>; Fri, 28 Aug 2015 xx:xx:xx +0200
05: DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=163.com;
06: 	s=s110527; h=From:Subject:Date:Message-ID:Mime-Version; bh=dS9XC
07: 	CBeXtao01b1eWXL+1jyWUcUOvqY02j/0WT7xqk=; b=a4u8x6cy2mE1SbOxZguB9
08: 	gsMjM91efp5hHF+led9WRKV8TwOTivd/dEzsCdhWrzj9EY6JqX+g1TTRgLIV4UQh
09: 	QqTGYOku7ewxA/01Hv89A0YJ+gjGG1cNNVcBa4HkwWro+HGSrOTSzBMeUczf6jy4
10: 	z3v1Ew2hCVVf5JU13yXpoM=
11: Received: from Acer-PC (unknown [79.236.12.190])
12: 	by smtp2 (Coremail) with SMTP ID: [ID filtered]
13: 	Sat, 29 Aug 2015 xx:xx:xx +0800 (CST)
14: From: "Sachbearbeiter OnlinePay24 AG" <dxdd1 [at] 163.com>
15: To: "Mein Name" <poor [at] spamvictim.tld>
16: Subject: =?utf-8?q?Die automatische Lastschrift von OnlinePay24 konnte nicht
17: 	durchgef=C3=BChrt werden Mein Name?=
18: Date: Fri, 28 Aug 2015 xx:xx:xx GMT
19: Message-ID: [ID filtered]
20: Mime-Version: 1.0
21: Content-Type: multipart/mixed;
22: 	boundary="----=_NextPart_000_008A_560DCE6D.60A32E64"
23: X-CM-TRANSID:DNGowECJUGUTjeBVASJOAA--.123S2
24: X-Coremail-Antispam: 1Uf129KBjvdXoWruFy8Xw4UWryfXryUGry7GFg_yoWktwbEka
25: 	4kCrsrGrn2yws2gwnFyrs3Wws8J345uryxuw10qF9rAFyjqrWrZ3WFgF1kCw4fGan5G3s8
26: 	Can3JF1Sk34UWjkaLaAFLSUrUUUUUb8apTn2vfkv8UJUUUU8Yxn0WfASr-VFAUDa7-sFnT
27: 	9fnUUvcSsGvfC2KfnxnUUI43ZEXa7IUndR65UUUUU==
28: X-Originating-IP: [79.236.12.190]
29: X-CM-SenderInfo: xg0gvii6rwjhhfrp/1tbiSgtkAlO-vbe-vwAAsB
30: Envelope-To: <poor [at] spamvictim.tld>
31: X-provider-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
32: X-provider-Antivirus: 0 (no virus found)
33: X-UI-Filterresults: junk:10;V01:K0:EuluVgXLLJc=:w8lT+mUAVZ+Sk4llWkdeTmuGe0lh
34:  4VnkZK4UQ+87ZmkqF7At6poPcyT7spLJfTVxSG33wM5S04PeCBRFfA+y8q0luK3UyXRgtRjzC
35:  K2p/NXJnfrg949hVz/QSAlk8lB/4iP58LEyh+JOv8grWrpdJgdKHFEjmL/C2XLd0uh1TFYams
36:  Ifzr5bhH/kvZFRGFsiFY5MzmLWld7famy8cigmt/NR8UZVGFuPVGxYiSgWRjZQIeE6F5zyhDm
37:  Spzs1zMG5Q/KjE80g1cLYhrnPojr7qS1rivw5pBQ6zhRuTwOpVs8INlRCZSKQ3Ww1zcUFRO8B
38:  8u83Xp8bp0aeHKlqOWW/zIHlZYWYOxzvNpHH/JaUdwBh1FfmzZxGr0kdGSXsBAavpbKdIMLLH
39:  NSnIxy1df3fT9ZuBCUUo5kTB9HIi2IfQnssYPLxf++D/MVv4YZj8tgDvDqowo958i6LI1UeL/
40:  wMwac+gFp4peJtNixqNclsrr1N1GC+fNJZSo5JTTtsK341NG516JNKXTannuV0IEuVWA67ZCF
41:  TOMO8KwtKE0K89jKgCK+td7LnAZuIu+B0A4dEPKzA8Apy4Jvaa411pwDiXHFQ4KZMaYutA+an
42:  iwzYkFljMQtaQF+0FJuLpHMwnbEHiFwKSLXiBIMd0T+tj9isdExTi7672pRASy89buXV3knrh
43:  RKW+AINOx0ZLHVZl1w7mYkuodbhWPkpwiY9OhWYx5H8HSa+bvAicG2KpvEENv5OywRrPd4yMp
44:  Yfm3KCDzdIYVXz6fp0cELnlOZMHrgk41xz6qXkRmkgDq0Ws3vjeg0aW3uXvN/k8FXQi52gUJV
45:  etsx6GM4w+zHQIbgDORUosOhtaByyxsr4Jj/iYpGZu0Jc1/YzH3sq/4vxcJjsjlT4T/ajAQ/r
46:  ir4/RIUN8M/scdrOmoUdMuADYlO0gEKWNbEpRlKPxsRBZAGOHODexBTVLYvXVOd8yFcqEWzxv
47:  4ZM4zUsAv3PVQrfWoxzUSXe0C8bMhqC5KZU9m7h49iOxZaAF6ShZ2q4NO4Cwy6vSoJv2751DO
48:  r7cXTAEab2Z9OutDjdzazQIm4zrVW2woUh3RmqU3fXpHbqpsrIPR41fVb0Ak0SsOUQgisd3p/
49:  Q9n9CdWRML7sDj1QP0NEjuJ5S5xfOxjmk85wQLkaS5GTDksTvKLRS3s4GtKR9gDq2anewpbQf
50:  0w+6kLH9R/fXwIWg3i3sGwxJoXd5sHW9zMLCfn+ySqNCn3q4NKExa/epiqYMzE+BhM2SFCgIW
51:  b++aMb96RMvgcK4PRd10jkPBCttcelePvXbYmuyx8X3mdUsBGnjicWMMzbvaIzoNSeWjbYTI1
52:  4XnCblQekOP4FvnqOPwYR0GwJofYy7ptcDCs64u7sfSQmKLaT7Tt60jFbB7z+pWRnZ6QY5A0Z
53:  NR3AvYBssNVXr+wdmGDxMKsJzc/Uz1dqg89MRJKJUnjYaEICp1PGuAP/0NXaX2XwA11su0Jcm
54:  ZK3/Fg==
55: ------=_NextPart_000_008A_560DCE6D.60A32E64
56: Content-Type: text/plain;
57: 	charset="utf-8"
58: Content-Transfer-Encoding: quoted-printable 

Gruß Frechdachs

[hoppala]

Da hat wohl der "X-provider-Antivirus" gepennt oder ist nicht auf aktuellem Stand. Die ZIP-Datei enthält natürlich einen Trojaner.
Und mit OnlinePay24 hat das Ganze natürlich so wenig zu tun wie die bekannten Sparkassen-Virenmails mit der Sparkasse.

hoppala