[Virus] Neue Bestellung / Lieferschein für xxx / Mahnung

[kjz1]

Und noch eine:

header:

01: Received: from mout-xforward.kundenserver.de ([82.165.159.36]) by
02:  mx-ha.gmx.net (mxgmx106) with ESMTPS (Nemesis) ID: [ID filtered]
03: Received: from localhost ([78.131.144.66]) by mrelayeu.kundenserver.de
04: 	(mreue103) with ESMTPSA (Nemesis) ID: [ID filtered]

78-131-144-66.tktelekom.pl

Sehr geehrter Kunde,

Die Sendung zur Bestellung 97323643723372972364
^whois: [Link nur für registrierte Mitglieder sichtbar. ] ist nun intern bei DHL
erfaßt. Die
Auslieferung ist voraussichtlich für den *04.03.2015* geplant.

Über die nachfolgende Verlinkung werden weitere Informationen zu Ihrer
Sendung
ausgegeben: 97323643723372972364 ^whois: [Link nur für registrierte Mitglieder sichtbar. ].

Mit freundlichen Grüßen,
Ihr Logistik-Team

IP: 66.96.147.71 ---> 71.147.96.66.static.eigbox.net

zum Download:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Sollte schon totgelegt sein.

[kjz1]

Wieder mit Malware unterwegs:

header:

01: Received: from mailout09.t-online.de (mailout09.t-online.de [194.25.134.84])
02: 	by xxxxx (Postfix) with ESMTPS
03: 	for xxxxx; Wed, 18 Mar 2015 xx:xx:xx +0100 (CET)
04: Received: from fwd00.aul.t-online.de (fwd00.aul.t-online.de [172.20.26.147])
05: 	by mailout09.t-online.de (Postfix) with SMTP ID: [ID filtered]
06: 	for xxxxx; Wed, 18 Mar 2015 xx:xx:xx +0100 (CET)
07: Received: from localhost
08: (Z2fyx8ZSYhELo+x1UDB8ZxMF7ql2+QOP9caer06wDC17ScnDGGGlVksGrDuyFH-Z-c@[109.232.191.195])
09: by fwd00.t-online.de
10: 	with (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384 encrypted)
11: 	esmtp ID: [ID filtered]

DHL Sendungsverfolgung

*Sendungsnummer* 264822148592148
*Produkt / Service* DHL RETOURE
*Status vom Mi, 18.03.2015 12:11:09* Die Sendung wurde im
Ziel-Paketzentrum
bearbeitet.
*Zugestellt an* Bevollmächtigter

Detaillierte Empfängerinformationen anzeigen

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Download dann:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

IP: 184.106.55.47 ---> Rackspace Hosting

[ichliebespam]

header:

01: Return-Path: pawel.maciejewicz [at] hydromechanika.pl
02: Received: from ale232.rev.netart.pl ([85.128.161.232]) by mx-ha.web.de
03:  (mxweb101) with ESMTP (Nemesis) ID: [ID filtered]
04:  <xyx>; Thu, 26 Mar 2015 xx:xx:xx +0100
05: Received: from [127.0.0.1] (unknown [213.240.224.232])
06: 	by hydromechanika.nazwa.pl (Postfix) with ESMTP ID: [ID filtered]
07: 	Thu, 26 Mar 2015 xx:xx:xx +0100 (CET)
08: Message-ID: [ID filtered]
09: Date: Wed, 25 Mar 2015 xx:xx:xx -0700
10: From: "pawel.maciejewicz [at] hydromechanika.pl"
11:  <pawel.maciejewicz [at] hydromechanika.pl>
12: Subject: info
13: To: 3verschiedene eMail-Adressen
14: Content-Type: multipart/mixed;
15:  boundary="G7loWIuZ5G=_HDXLq5TIveqjf2f6Tmdpcg"
16: MIME-Version: 1.0
17: Reply-To: pawel.maciejewicz [at] hydromechanika.pl
18: X-Mailer: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.2)
19:  Gecko/20030208 Netscape/7.02
20: Envelope-To: <xyx>

Alle laufenden Arbeiten wurden rechtzeitig durchgeführt ,ich verstehe nicht warum Sie immer noch nicht bezahlt haben und mir 0417 euro schulden.Kostenplan im Anhang.

Anhang Word-Dokument wichtig_4637.doc – virustotal 23 / 50

ALYac W97M.Dropper.H
AVware LooksLike.Macro.Dropper.a (v)
Ad-Aware W97M.Dropper.H
Avast Other:Malware-gen [Trj]
Avira WM/Dropper.AJ
BitDefender W97M.Dropper.H
CAT-QuickHeal W97M.Dropper.CB
Cyren W97M/Dropexe.A
DrWeb W97M.MulDrop.38
ESET-NOD32 VBA/TrojanDropper.Agent.AJ
F-Prot W97M/Dropexe.A
Ikarus Trojan-Downloader.VBA.Agent
McAfee W97M/Downloader.afb
McAfee-GW-Edition W97M/Downloader.afb
MicroWorld-eScan W97M.Dropper.H
Microsoft TrojanDropper:W97M/Gamarue
NANO-Antivirus Trojan.Script.Agent.dowcyf
Symantec Trojan.Mdropper
Tencent Win32.Trojan.Dropper.Szuy
TrendMicro W2KM_DROPPR.UKM
TrendMicro-HouseCall W2KM_DROPPR.UKM
VIPRE LooksLike.Macro.Dropper.a (v)
nProtect W97M.Dropper.H

header:

01: Return-Path: harryhatta.hph [at] iil.co.id
02: Received: from mail.iil.co.ID: [ID filtered]
03:  with ESMTP (Nemesis) ID: [ID filtered]
04:  26 Mar 2015 xx:xx:xx +0100
05: Received: from localhost (localhost [127.0.0.1])
06: 	by mail.iil.co.ID: [ID filtered]
07: 	Thu, 26 Mar 2015 xx:xx:xx +0700 (WIB)
08: X-Virus-Scanned: amavisd-new at iil.co.id
09: Received: from mail.iil.co.ID: [ID filtered]
10: 	by localhost (mail.iil.co.ID: [ID filtered]
11: 	with ESMTP ID: [ID filtered]
12: Received: from localhost (localhost [127.0.0.1])
13: 	by mail.iil.co.ID: [ID filtered]
14: 	Thu, 26 Mar 2015 xx:xx:xx +0700 (WIB)
15: Received: from [127.0.0.1] (rrcs-24-123-40-117.central.biz.rr.com
16: 	[24.123.40.117])
17: 	by mail.iil.co.ID: [ID filtered]
18: 	Thu, 26 Mar 2015 xx:xx:xx +0700 (WIB)
19: Message-ID: [ID filtered]
20: Date: Wed, 25 Mar 2015 xx:xx:xx -0700
21: From: "harryhatta.hph [at] iil.co.id" <harryhatta.hph [at] iil.co.id>
22: Subject: important
23: To: 3 verschiedene eMail-Adressen
24: Content-Type: multipart/mixed;
25:  boundary="OunAVVVer1dri9kLlpQ=_bZgKnNRp06j9F"
26: MIME-Version: 1.0
27: Reply-To: harryhatta.hph [at] iil.co.id
28: X-Mailer: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5)
29:  Gecko/20031013 Thunderbird/0.3
30: Envelope-To: <xyx>

Sehr geehrter Kunde,
Ihre fällige Rechnung #36211 finden Sie im Anhang.
Bitte begleichen Sie diese Rechnung bis spätestens 01.04.2015.

Wir danken Ihnen für die Zusammenarbeit und hoffen dass Sie mit unseren Service zufrieden sind.


Hochachtungsvoll

Anhang Word-Dokument Informationen_4781.doc - 22 / 57

ALYac W97M.Dropper.H
AVware LooksLike.Macro.Dropper.a (v)
Ad-Aware W97M.Dropper.H
BitDefender W97M.Dropper.H
CAT-QuickHeal W97M.Dropper.CB
Cyren W97M/Dropexe.A
DrWeb W97M.MulDrop.38
ESET-NOD32 VBA/TrojanDropper.Agent.AJ
Emsisoft W97M.Dropper.H (B)
F-Prot W97M/Dropexe.A
F-Secure W97M.Dropper.H
GData W97M.Dropper.H
Ikarus Trojan-Downloader.VBA.Agent
Kaspersky Trojan-Downloader.MSWord.Agent.hc
McAfee W97M/Downloader.afb
McAfee-GW-Edition W97M/Downloader.afb
MicroWorld-eScan W97M.Dropper.H
Microsoft TrojanDropper:W97M/Gamarue
NANO-Antivirus Trojan.Script.Agent.dowcyf
Sophos Troj/DocDl-JC
VIPRE LooksLike.Macro.Dropper.a (v)
nProtect W97M.Dropper.H

Makros in beiden 44 seitigen Word-Dokumenten deaktiviert ...

[kjz1]

Neue Runde:

header:

01: Received: from mout.kundenserver.de ([212.227.17.24]) by mx-ha.gmx.net
02:  (mxgmx003) with ESMTPS (Nemesis) ID: [ID filtered]
03: xxxxx; Fri, 27 Mar 2015 xx:xx:xx +0100
04: Received: from eisenbahnpeter ([79.200.116.110]) by mrelayeu.kundenserver.de
05:  (mreue101) with ESMTPSA (Nemesis) ID: [ID filtered]
06:  xxxxx; Fri, 27 Mar 2015 xx:xx:xx +0100

IP: 79.200.116.110 ---> p4FC8746E.dip0.t-ipconnect.de

Guten Tag Mein Name,

das von Ihnen gespeicherte Konto wurde im Moment der Abbuchung nicht
genügend gedeckt um die Kontoabbuchung durchzuführen. Sie haben eine
nicht beglichene Rechnung bei unseren Mandanten Mail & Media AG.

Aufgrund des andauernden Zahlungsausstands sind Sie gezwungen dabei, die
durch unsere Beauftragung entstandenen Gebühren von 22,23 Euro zu tragen
Wir erwarten die vollständige Zahlung einbegriffen der Mahnkosten bis
spätestens 27.03.2015 auf unser Girokonto.

Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die
Angelegenheit dem Staatsanwalt und der Schufa übergeben. Eine
vollständige Forderungsausstellung, der Sie alle Buchungen entnehmen
können, fügen wir bei. Für Fragen oder Unklarheiten erwarten wir eine
Kontaktaufnahme innerhalb des selben Zeitraums.

In Vollmacht unseren Mandanten ordnen wir Ihnen an, die offene Forderung
sofort zu bezahlen.

Mit freundlichen Grüßen

Rechtsanwalt Simons Oskar

Attachement: Forderung an Mein Name 25.03.2015 - Rechtsanwalt Mail & Media AG.zip

Was vielleicht besonders perfide ist: Sowohl in der Mail als auch im Anhang ist der Realname vorhanden, der Virus ging an eine Mailadresse bei 1&1 über einen gecrackten Server bei 1&1 und täuscht auch eine Mahnung von 1&1 vor. Die Ganoven haben also dazugelernt und verfeinern ihr social engineering.

[Levitator]

Dreister gehts immer und eine ZIP als anhang.

Die Frist bis zum 23.04 und Zustellung am 25.04

Ich glaube, das die Christine gar nicht weiß, das ihr Konto gekapert ist.
Habs komplett an Amazon weitergeleitet.
Vielleicht machen die mal was, was aber eher unwarscheinlich ist.
___________________________________________________________

Guten Tag "Mein kompletter Name"

Ihr Kreditinstitut hat die Lastschrift storniert. Sie haben eine nicht bezahlte Rechnung bei der Firma Amazon AG.

Wir erwarten die Überweisung zuzüglich der Gebühren bis spätestens 23.04.2015 auf unser Bankkonto.
Aufgrund des andauernden Zahlungsverzug sind Sie verpflichtet zuzüglich, die durch unsere Beauftragung entstandenen Gebühren von 20,31 Euro zu tragen. Namens unseren Mandanten fordern wir Sie auf, die offene Forderung schnellstens zu begleichen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa übergeben. Die detaillierte Forderungsausstellung, der Sie alle Buchungen entnehmen können, fügen wir bei.

Mit verbindlichen Grüßen

Inkasso Franck Joshua

header:

01: X-UIDL-JANA-SERVER: [UID filtered]
02: Return-Path: christinefrench [at] tiscali.co.uk
03: Received: from out.ipsmtp3nec.opaltelecom.net ([62.24.202.75]) by
04:  mx-ha.gmx.net (mxgmx004) with ESMTPS (Nemesis) ID: [ID filtered]
05:  for <meine poor [at] spamvictim.tld>; Sat, 25 Apr 2015 xx:xx:xx +0200
06: X-SMTPAUTH: christinefrench [at] tiscali.co.uk
07: X-IronPort-Anti-Spam-Filtered: true
08: X-IronPort-Anti-Spam-Result: A2CfBABzwjhV/7wgji7VIQICAYEM
09: X-IPAS-Result: A2CfBABzwjhV/7wgji7VIQICAYEM
10: X-IronPort-AV: E=Sophos;i="5.11,630,1422921600"; 
11:    d="com'96?zip'96,48?scan'96,48,208,96,48";a="555842110"
12: Received: from 188-32-142-46.pool.kielnet.net (HELO frommhol-dg4htm)
13: 	([46.142.32.188])
14:   by out.ipsmtp3nec.opaltelecom.net with ESMTP; 23 Apr 2015 xx:xx:xx +0100
15: From: "Inkasso Amazon AG" <christinefrench [at] tiscali.co.uk>
16: To: "Mein voller Name" <meine poor [at] spamvictim.tld>
17: Subject: Offene Rechnung von Amazon 11683732
18: Date: Thu, 23 Apr 2015 xx:xx:xx GMT
19: Message-ID: [ID filtered]
20: Mime-Version: 1.0
21: Content-Type: multipart/mixed;
22: 	boundary="----=_NextPart_000_0097_2A696BDD.54821ECE"
23: Envelope-To: <meine poor [at] spamvictim.tld>
24: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
25: X-GMX-Antivirus: 0 (no virus found)
26: X-UI-Filterresults: notjunk:1;..................

[Frechdachs]

Moin zusammen,

grade hab wohl was neues im Spamordner gefunden.

Guten Tag "Mein Name",

Sie haben eine nicht bezahlte Rechnung bei unseren Mandanten Pay Online24 GmbH. Das von Ihnen vorliegende Konto ist nicht genügend gedeckt um die Lastschrift zu realisieren.

Wir erwarten die gesamte Überweisung zuzüglich der Gebühren bis spätestens 30.04.2015 auf unser Konto. Aufgrund des andauernden Zahlungsausstands sind Sie gebunden zusätzlich, die durch unsere Beauftragung entstandenen Gebühren von 38,62 Euro zu tragen. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Gesamtforderung sofort zu bezahlen. Bei Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 72 Stunden. Die detaillierte Forderungsausstellung, der Sie alle Positionen entnehmen können, int beigelegt.

Es erfolgt keine weitere Mahnung. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Gericht und der Schufa übergeben.

Mit verbindlichen Grüßen

Rechnungsstelle Haas Jamie

Das ging zwar an meinen richtigen Namen, aber an eine andere Mailadresse, der ich meinen Namen nicht zugeordnet habe.

header:

01: Return-Path: fops [at] dustpirates.com
02: Received: from mx14lb.world4you.com ([81.19.149.124]) by mx-ha.gmx.net
03:  (mxgmx102) with ESMTPS (Nemesis) ID: [ID filtered]
04:  <Name [at] gmx.de>; Tue, 28 Apr 2015 xx:xx:xx +0200
05: Received: from [95.90.238.147] (helo=Lenovo-PC)
06: 	by mx14lb.world4you.com with esmtpsa (TLSv1:AES256-SHA:256)
07: 	(Exim 4.77)
08: 	(envelope-from <fops [at] dustpirates.com>)
09: 	ID: [ID filtered]
10: 	for poor [at] spamvictim.tld; Tue, 28 Apr 2015 xx:xx:xx +0200
11: From: "Rechnungsstelle Pay Online24 GmbH" <fops [at] dustpirates.com>
12: To: "Mein Name" <poor [at] spamvictim.tld>
13: Subject: =?utf-8?q?Die automatische Kontoabbuchung von Pay Online24 konnte nicht
14: 	durchgef=C3=BChrt werden?=
15: Date: Tue, 28 Apr 2015 xx:xx:xx GMT
16: Message-ID: [ID filtered]
17: Mime-Version: 1.0
18: Content-Type: multipart/mixed;
19: 	boundary="----=_NextPart_000_0053_0DA84E3A.39DB9B77"
20: X-SA-Do-Not-Run: Yes
21: X-AV-Do-Run: Yes
22: X-SA-Exim-Connect-IP: 95.90.238.147
23: X-SA-Exim-Mail-From: fops [at] dustpirates.com
24: X-SA-Exim-Scanned: No (on mx14lb.world4you.com); SAEximRunCond expanded to false
25: Envelope-To: <poor [at] spamvictim.tld>
26: X-GMX-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
27: X-GMX-Antivirus: 0 (no virus found)
28: X-UI-Filterresults: junk:von mir gekürzt
29: ------=_NextPart_000_0053_0DA84E3A.39DB9B77
30: Content-Type: text/plain;
31: 	charset="utf-8"
32: Content-Transfer-Encoding: quoted-printable

Anhang
Rechnung nicht gedeckten Zahlung Ihrer Bestellung Pay Online24 GmbH vom 27.04.2015.zip 95,0KB

Gruß Frechdachs

[kjz1]

Diesmal Download von gecracktem Server:

header:

01: Received: from mout-xforward.gmx.net (mout-xforward.gmx.net [82.165.159.41])
02: 	by xxxxx (Postfix) with ESMTPS for xxxxx; Wed, 29 Apr 2015 xx:xx:xx +0200 (CEST)
03: Received: from localhost ([95.90.241.97]) by mail.gmx.com (mrgmx103) with
04: 	ESMTPSA (Nemesis) ID: [ID filtered]

IP: 95.90.241.97 ---> ip5f5af161.dynamic.kabel-deutschland.de

Geschätzte Kundin, geschätzter Kunde,

Ihre Sendung *716337423771633747* wurde an DHL übergeben und wird
voraussichtlich am Mittwoch, den *29.04.* zwischen 12:00 und 16:30 Uhr
zugestellt.

Status der Sendung ist bei DHL abrufbar. ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Bitte halten Sie den *Nachnahmebetrag in Höhe von 13.9 Euro* passend bereit.

Viele Grüße
Ihr DHL Team

Download von:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/DyINhZ3/Status_DHL_Sendungsverfolgung__29__04__2015.zip

[kjz1]

Von den Ganoven aus der neuen Runde:

header:

01: Received: from cp30.ezyreg.com ([202.191.62.218]) by mx-ha.gmx.net (mxgmx001)
02: 	with ESMTPS (Nemesis) ID: [ID filtered]
03: Received: from [88.77.217.140] (port=50856 helo=s1) by cp30.ezyreg.com with
04: 	esmtpsa (TLSv1:AES128-SHA:128) (Exim 4.82) (envelope-from <tim.powers [at] altegis.com.au>)
05: 	ID: [ID filtered]

IP: 88.77.217.140 ---> dslb-088-077-217-140.088.077.pools.vodafone-ip.de

gecrackt: [Link nur für registrierte Mitglieder sichtbar. ]

Guten Tag mein Name,

Sie haben eine nicht bezahlte Forderung bei der Firma Pay Online AG. Das
von Ihnen angegebene Girokonto wurde im Moment der Abbuchung nicht
hinreichend gedeckt um die Lastschrift zu realisieren.

Die Überweisung erwarten wir bis zum 04.05.2015. Aufgrund des
bestehenden Zahlungsausstands sind Sie gezwungen zusätzlich, die durch
unsere Tätigkeit entstandenen Kosten von 35,46 Euro zu bezahlen. In
Vollmacht unseren Mandanten fordern wir Sie auf, die offene Forderung
sofort zu decken. Bei Fragen oder Unklarheiten erwarten wir eine
Kontaktaufnahme innerhalb von 72 Stunden. Die vollständige
Forderungsausstellung, der Sie alle Positionen entnehmen können, int
beigelegt.

Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der
festgelegten Frist wird die Akte dem Staatsanwalt und der Schufa übergeben.

Mit freundlichen Grüßen

Stellvertretender Sachbearbeiter Mayer Elias

im Anhang; Forderung stornierten Lastschrift Ihrer Bestellung Pay Online AG vom 29.04.2015.zip

nichts Gutes:

[Link nur für registrierte Mitglieder sichtbar. ]

[Link nur für registrierte Mitglieder sichtbar. ]

[Katzina]

^whois:82.165.159.36

header:

01:  Return-Path: ***@donner-partner.com
02: Received: from mout-xforward.kundenserver.de ([82.165.159.36]) by mx-ha.web.de
03: 	(mxweb103) with ESMTPS (Nemesis) ID: [ID filtered]
04: Received: from localhost ([188.111.108.206]) by mrelayeu.kundenserver.de
05: 	(mreue103) with ESMTPSA (Nemesis) ID: [ID filtered]
06: Subject: Paketlieferung zu Ihrer Sendung 343038539834303858
07: From: "DHL Logistik-Team"<***@donner-partner.com>
08: To: ****e
09: X-Mailer: Microsoft Windows Live Mail 15.4.3538.513
10: Mime-Version: 1.0
11: Content-Type: multipart/mixed; boundary="jE2PnlQPDAs0naJR"
12: Date: Wed, 29 Apr 2015 xx:xx:xx +0200
13: Message-ID: [ID filtered]
14: X-Provags-ID: [ID filtered]
15: X-UI-Out-Filterresults: junk:10; 

Sehr geehrte DHL-Kundin, sehr geehrter DHL-Kunde,

Ihre Sendung 343038539834303858 ist bei DHL eingetroffen und wird voraussichtlich am Mittwoch, den 29.04. zwischen 10:00 und 16:30 Uhr ausgeliefert.

Über diesen Link können Sie den aktuellen Status der Sendung bei DHL abrufen.

Mit besten Grüßen,
Ihr DHL Team

Diese E-Mail soll lediglich informieren und garantiert nicht die Zustellung der Sendung. Auf diese Mail müssen Sie nicht antworten. Ihre Kontakt-E-Mail wird nur für die Ankündigung der Sendung verwendet. Eine Nutzung zu Werbezwecken ist nicht vorgesehen.
Deutsche Post AG
Charles-de-Gaulle-Str. 20
53113 Bonn
Registergericht Bonn
HRB 6792
USt-IdNr.: DE 169838187

Vertreten durch den Vorstand
***
Website
Kontakt
Impressum

© 2015 DHL

[Ostfriese]

Das dürfte wohl eher ein Phishing-Versuch sein, als Spam