PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Trojaner] Ihre Opodo Tickets wurden bereits versandt



webeinspunktnull
10.08.2005, 23:55
Neue Masche?? Ich bin kein Opodokunde


Return-Path: <mail [at] opodo.de>
Delivery-Date: Wed, 10 Aug 2005 xx:xx:xx +0200
Received: from [66.235.192.199] (helo=host134.ipowerweb.com)
by mxeu2.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from yup (73.70.30.18)
by host134.ipowerweb.com; Wed, 10 Aug 2005 xx:xx:xx -0700
Date: Wed, 10 Aug 2005 xx:xx:xx -0700
From: <mail [at] opodo.de>
X-Mailer: The Bat! (v2.01)
Reply-To: <mail [at] opodo.de>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <
Subject: Ihre Opodo Tickets
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------20A17BA205226"
Envelope-To:

------------20A17BA205226
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

Sehr geehrter Opodo-Kunde,

vielen Dank für Ihre Buchung bei Opodo.

Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb der nächsten drei Werktage
erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.

Bitte begleichen Sie umgehend die offene Rechnung: 759.99 Euro (im Anhang beigelegt)

Bitte überprüfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie
Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder
schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23 Uhr
und am Wochenende von 8 bis 18 Uhr für Sie da.

Denken Sie daran, Ihre Flüge frühestens 48 Stunden vor Abflug bei der
gebuchten Fluggesellschaft rückzubestätigen. Wenn Sie versäumen Ihre Buchung
direkt bei der Fluggesellschaft rückzubestätigen, kann dies zu einer
Stornierung führen.

Die empfohlene Check-In-Zeit vor Abflug beträgt bei internationalen
Flügen 120 Minuten und 60 Minuten bei innerdeutschen Flügen.

Wir wünschen Ihnen eine gute Reise!


Ihr Opodo-Team
------------20A17BA205226
Content-Type: APPLICATION/OCTET-STREAM; name="rechnung.pdf.exe"
Content-transfer-encoding: base64
Content-Disposition: attachment; filename="rechnung.pdf.exe"

Fidul
11.08.2005, 00:01
Na wenn das mal kein niedliches Würmchen ist: rechnung.pdf.exe

webeinspunktnull
11.08.2005, 00:02
sollte man Opodo draufstubben dass sie missbraucht werden... Phisher phischen die nicht mit Würmern???

homer
11.08.2005, 08:04
Ich krieg auch Tickets zugeschickt.
Return-Path: <mail [at] opodo.de>
Received: from host134.ipowerweb.com (66.235.192.199) by 0 with SMTP; 10
Aug 2005 xx:xx:xx -0000
Received: from flqa (69.236.136.82) by host134.ipowerweb.com; Wed, 10 Aug
2005 xx:xx:xx -0700
Date: Wed, 10 Aug 2005 xx:xx:xx -0700
From: <mail [at] opodo.de>
X-Mailer: The Bat! (v2.01)
Reply-To: <mail [at] opodo.de>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <x [at] x.x>
Subject: Ihre Opodo Tickets wurden bereits versandt
MIME-Version: 1.0
Auch ich soll 759,99 € zahlen. Wohin die Reise geht steht leider nicht dabei.

Sirius
11.08.2005, 08:26
Hallo.

Beide Mails stammen aus Kalifornien.

Das von Homer wurde über eine Einwahlverbindung aus der Gegend um Fresno eingeliefert. Das andere Mail läßt sich nicht genau lokalisieren.

Grüße

RA Meier-Bading
11.08.2005, 10:52
ich fliege angeblich auch in Urlaub:From - Thu Aug 11 xx:xx:xx 2005
X-Account-Key: account4
X-UIDL: [UID filtered]
Return-Path: <mail [at] opodo.de>
X-Flags: 0000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 10 Aug 2005 xx:xx:xx -0000
Received: from host134.ipowerweb.com (HELO host134.ipowerweb.com) [66.235.192.199]
by mx0.gmx.net (mx059) with SMTP; 10 Aug 2005 xx:xx:xx +0200
Received: from tsa (23.167.143.69)
by host134.ipowerweb.com; Wed, 10 Aug 2005 xx:xx:xx -0700
Date: Wed, 10 Aug 2005 xx:xx:xx -0700
From: <mail [at] opodo.de>
X-Mailer: The Bat! (v2.01)
Reply-To: <mail [at] opodo.de>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <poor [at] spamvictim.tld>
Subject: Ihre Opodo Tickets wurden bereits versandt
MIME-Version: 1.0
Content-Type: multipart/mixed;

Sirius
11.08.2005, 11:34
Hallo.

Das Mail von TooniX stammt ebenfalls aus Kalifornien.

Ich vermute, dass die Mails direkt von host134.ipowerweb.com [66.235.192.199] stammen. Der Server ist wahrscheinlich gehackt worden. Die angebliche Weiterleitung der Mail über diesen Server ist eine Fälschung:


Eingeliefert Weitergeleitet Differenz (Angaben in UTC)
xx:xx:xx xx:xx:xx -02:51
xx:xx:xx xx:xx:xx -02:51
xx:xx:xx xx:xx:xx -02:51
Das Mailing-Programm ist schlecht eingestellt, da es alle Mails angeblich bereits exakt 2m51s vor der Einlieferung weitergeleitet hat. Die Mails müssen sich also in der Zeit rückwärts bewegen ;-)

Einstein wäre beeindruckt :clown:

Grüße

webeinspunktnull
11.08.2005, 13:41
man sollte Opodo aml anschreiben, dass sie gefakt werden. Bei mir ist es das 2. Mal

Return-Path: <mail [at] opodo.de>
Delivery-Date: Thu, 11 Aug 2005 xx:xx:xx +0200
Received: from [66.225.214.106] (helo=pulsar.biz.ua)
by mxeu3.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
Received: from cmcgbmwc (138.69.171.110)
by pulsar.biz.ua; Thu, 11 Aug 2005 xx:xx:xx -0000
Message-ID: [ID filtered]
Reply-To: <mail [at] opodo.de>
From: <mail [at] opodo.de>
To: <>
Subject: Ihre Opodo Tickets wurden bereits versandt
Date: Thu, 11 Aug 2005 xx:xx:xx -0000
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0067_01C4091B.E287F3CB"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Envelope-To:

------=_NextPart_000_0067_01C4091B.E287F3CB
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Sehr geehrter Opodo-Kunde,

vielen Dank f=FCr Ihre Buchung bei Opodo.

Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb der n=E4chsten drei Werktage
erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.

Bitte begleichen Sie umgehend die offene Rechnung: 869.99 Euro (im Anhang b=
eigelegt)

Bitte =FCberpr=FCfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie
Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder
schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23 Uhr
und am Wochenende von 8 bis 18 Uhr f=FCr Sie da.

Denken Sie daran, Ihre Fl=FCge fr=FChestens 48 Stunden vor Abflug bei der
gebuchten Fluggesellschaft r=FCckzubest=E4tigen. Wenn Sie vers=E4umen Ihre =
Buchung
direkt bei der Fluggesellschaft r=FCckzubest=E4tigen, kann dies zu einer
Stornierung f=FChren.

Die empfohlene Check-In-Zeit vor Abflug betr=E4gt bei internationalen
Fl=FCgen 120 Minuten und 60 Minuten bei innerdeutschen Fl=FCgen.

Wir w=FCnschen Ihnen eine gute Reise!


Ihr Opodo-Team
------=_NextPart_000_0067_01C4091B.E287F3CB
Content-Type: application/octet-stream;
name="rechnung.pdf.exe"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="rechnung.pdf.exe"

trekkie
11.08.2005, 14:16
http://www.heise.de/newsticker/meldung/62713

:sick:

350x2
12.08.2005, 08:28
von opodo habe ich natürlich noch nie etwas gehört,
der pdf-file ist natürlich ungeöffnet,
wem kann ich ihn zum untersuchen schicken?
an wen schick ich den mist?

Gruß 350x2

-----------------------------------------
From - Fri Aug 12 hhhhhhhhhhhhh
X-Account-Key: account2
X-UIDL: [UID filtered]
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
Return-Path: <marketing-de [at] opodo.com>
X-Flags: 0000
Delivered-To: GMX delivery to meine adresse
Received: (qmail invoked by alias); 12 Aug 2005 fake00
Received: from Procyon.neolocation.net (HELO procyon.neolocation.net) [66.148.86.167]
by mx0.gmx.net (mx036) with SMTP; 12 Aug 2005 fake
Received: from axzl (55.67.192.226)
by procyon.neolocation.net; Fri, 12 Aug 2005 fake
Date: Fri, 12 Aug 2005 fake
From: <marketing-de [at] opodo.com>
X-Mailer: The Bat! (v2.01)
Reply-To: <marketing-de [at] opodo.com>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <meine adresse>
Subject: Ihre Opodo Tickets wurden bereits versandt
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------254B87062C"
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

------------fake
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

Sehr geehrter Opodo-Kunde,

vielen Dank für Ihre Buchung bei Opodo.

Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb der nächsten drei Werktage
erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.

Bitte begleichen Sie umgehend die offene Rechnung: 402,16 Euro (Rechnung im Anhang beigelegt)

Bitte überprüfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie
Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder
schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23 Uhr
und am Wochenende von 8 bis 18 Uhr für Sie da.

Denken Sie daran, Ihre Flüge frühestens 48 Stunden vor Abflug bei der
gebuchten Fluggesellschaft rückzubestätigen. Wenn Sie versäumen Ihre Buchung
direkt bei der Fluggesellschaft rückzubestätigen, kann dies zu einer
Stornierung führen.

Die empfohlene Check-In-Zeit vor Abflug beträgt bei internationalen
Flügen 120 Minuten und 60 Minuten bei innerdeutschen Flügen.


Wir wünschen Ihnen eine gute Reise!
Ihr Opodo-Team
------------fake
Content-Type: APPLICATION/OCTET-STREAM; name="rechnung.pdf.exe"
Content-transfer-encoding: base64
Content-Disposition: attachment; filename="rechnung.pdf.exe"

Sandmann
12.08.2005, 08:40
Auch ich habe gestern die nette Mail von Opodo erhalten - gleich zwei mal!
Dank unseres wirklich gut gewarteten Mail-Servers an der Uni habe ich auch gleich die Warnung vor Troj/Vidlo-T erhalten.

Sophos hat seit gestern die Virendefinition dafür parat.

Infizierte Dateien oder Mails kann man übrigens an diese Adresse zum Überprüfen schicken:
support [at] sophos.de

Sophos schreibt dazu hier:
http://www.sophos.de/pressoffice/pressrel/20050606hackergen.html

Zunehmend jedoch stellen die Sicherheitsexperten eine wachsende Bedrohung durch neue Programme fest, mit denen Hacker gezielt versuchen, Geld oder vertrauliche Informationen zu stehlen. So registrierte Sophos in diesem Jahr beispielsweise einen Anstieg bei so genannten Key-logging Trojanern um das Dreifache. Diese hinterlistigen Schädlinge sind gezielt dazu programmiert, auf dem Rechner eingegebene Tastenfolgen zu speichern und damit beispielsweise geheime Bankdaten auszuspionieren. Aktueller Fall: Der von Sophos unter der Bezeichnung Troj/Vidlo-Q geführte Trojaner, den Hacker derzeit über E-Mails, die als angebliche Rechnung der Deutschen Telekom getarnt sind, versuchen, auf dem Rechner der Empfänger einzuschleusen, um so an deren geheimen Daten zu kommen.

Pino von Kienlin: "Viren oder Trojaner, die PC-Benutzer um ihr Geld oder Unternehmen um vertrauliche Daten bringen, sind nicht mehr das Werk Jugendlicher Einzelgänger. Dahinter stehen neue, gut organisierte Hacker-Banden. Ihr Ziel ist es, Bankkonten zu plündern, über fremde Kreditkarten einzukaufen oder vertrauliche Unternehmensdaten zu erschleichen - sei es über breit angelegte Phishing-Angriffe oder auch gezielte Spionage-Attacken via Internet."

Sophos registriert, dass regelrechte Hacker-Banden zunehmend über professionell organisierte, internationale Netzwerke verfügen. Um ihre Profitgier zu stillen oder vertrauliche Firmendaten auszuspionieren, nutzen sie jede Sicherheitslücke und verbreiten über Internet Viren und Trojaner genauso wie groß angelegte Spam-Kampagnen. Dabei wird es immer schwieriger, den Drahtziehern solcher Attacken auf die Spur zukommen. Während unreife Kids wie Sven J. sich oftmals vor ihren Freunden öffentlich mit ihren Taten profilieren und so leichter gefasst werden können, sind die Banden heute weltweit verstreut. Behörden stehen vor der schwierigen Aufgabe, die über das Internet abgewickelten Aktionen über Ländergrenzen hinweg nach zu verfolgen, um die verdeckt agierenden Banden zu ermitteln.



hier noch schnell der Header meiner OPODO-Mail:

Return-Path: <produkt [at] opodo.com>
X-Flags: 0000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 12 Aug 2005 xx:xx:xx -0000
Received: from Procyon.neolocation.net (HELO procyon.neolocation.net) [66.148.86.167]
by mx0.gmx.net (mx052) with SMTP; 12 Aug 2005 xx:xx:xx +0200
Received: from vswppscl (84.244.164.219)
by procyon.neolocation.net; Fri, 12 Aug 2005 xx:xx:xx +0300
Date: Fri, 12 Aug 2005 xx:xx:xx +0300
From: <produkt [at] opodo.com>
X-Mailer: The Bat! (v2.01)
Reply-To: <produkt [at] opodo.com>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <poor [at] spamvictim.tld>
Subject: Ihre Opodo Tickets wurden bereits versandt
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------BD188339DA"
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-Autoresponse-To: produkt [at] opodo.com
X-GMX-UID: [UID filtered]
X-PMFLAGS: 570949760 0 1 PS0LNXEH.CNM

------------BD188339DA
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

Sehr geehrter Opodo-Kunde,

========================

Return-Path: <mail [at] opodo.de>
X-Flags: 0000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 12 Aug 2005 xx:xx:xx -0000
Received: from Procyon.neolocation.net (HELO procyon.neolocation.net) [66.148.86.167]
by mx0.gmx.net (mx056) with SMTP; 12 Aug 2005 xx:xx:xx +0200
Received: from ioptpdq (196.221.142.68)
by procyon.neolocation.net; Fri, 12 Aug 2005 xx:xx:xx +0300
Date: Fri, 12 Aug 2005 xx:xx:xx +0300
From: <mail [at] opodo.de>
X-Mailer: The Bat! (v2.01)
Reply-To: <marketing-de [at] opodo.com>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <poor [at] spamvictim.tld>
Subject: Ihre Opodo Tickets wurden bereits versandt
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------CAB318551234"
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]
X-PMFLAGS: 570949760 0 1 PRQ2VB93.CNM

------------CAB318551234
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit

Sehr geehrter Opodo-Kunde,

dk99hi
12.08.2005, 10:46
War heute in meinem Postfach.
Meine bespammte email-Adr wird seit ca. 6 Jahren nicht mehr benutzt...



From marketing-de [at] opodo.com Fri Aug 12 xx:xx:xx 2005
Return-Path: <marketing-de [at] opodo.com>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 12 Aug 2005 xx:xx:xx -0000
Received: from Procyon.neolocation.net (HELO procyon.neolocation.net) [66.148.86.167]
by mx0.gmx.net (mx027) with SMTP; 12 Aug 2005 xx:xx:xx +0200
Received: from acqsbw (64.59.70.125)
by procyon.neolocation.net; Fri, 12 Aug 2005 xx:xx:xx +0300
Date: Fri, 12 Aug 2005 xx:xx:xx +0300
From: <marketing-de [at] opodo.com>
X-Mailer: The Bat! (v2.01)
Reply-To: <marketing-de [at] opodo.com>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <poor [at] spamvictim.tld>
Subject: Ihre Opodo Tickets wurden bereits versandt
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------156635E6972"
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

webeinspunktnull
12.08.2005, 12:07
siehe hier - Bitte zusammenfügen ;-)

http://www.antispam-ev.de/forum/showthread.php?t=8764

350x2
12.08.2005, 15:13
Sorry,

danke für den hinweis
da hatte ich nicht richtig gesucht :o
passiert bestimmt nochmal :clown:

viele grüsse 350x2

Gool
14.08.2005, 01:09
Ich habs auch bekommen. Und mich kribbelte es so sehr, dass ich das mal ausprobieren musste (mit meinem virtuellen PC). Da wird ja einiges an Dreck auf den Rechner geschmissen. Ich hab mal nen Workaround erstellt, um den PC zu reinigen:
http://board.protecus.de/t18796.htm