PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Merkwürdige E-Bay Mails auf Deutsch,Phishing?



stieglitz
12.09.2005, 09:43
Bei mir sind gestern gleich zwei fast ähnlich Mails mit angeblichen Ebay Absender aufgeschlagen. Nur die Beträge sind verschieden. Die angeblich beigefügte Rechnung war aber nicht dabei. Sieht so aus als ob der unbedarfte Kunde veranlasst werden soll, Geld an Ebay zu überweisen.
So habe ich das bisher noch nicht gesehen.
Vom zweiten Mail nur der Header, da sonst Text zu lang.


Microsoft Mail Internet Headers Version 2.0
Received: from mail.LF.net ([212.9.123.2]) by xxxxxxex01.xxxxxx.com with Microsoft SMTPSVC(6.0.3790.211);
Sun, 11 Sep 2005 xx:xx:xx +0200
Received: from 200-122-59-207.dsl.prima.net.ar ([200.122.59.207])
by mail.LF.net with smtp (Exim 4.51)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sun, 11 Sep 2005 xx:xx:xx +0200
Received: from ebay.de (lore.ebay.com [66.135.195.181])
by 200-122-59-207.dsl.prima.net.ar (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sun, 11 Sep 2005 xx:xx:xx -0400
From: eBay Collections <support [at] ebay.de>
To: xxxxxx <poor [at] spamvictim.tld>
Subject: Die Zahlung Ihrer eBay-Gebuehren ist demnaechst faellig DEPRE
Date: Sun, 11 Sep 2005 xx:xx:xx -0400
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0013_15786DDA.2E66378E"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2616
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
X-Virus-Scanned: by AMaViS perl-11 mion
Return-Path: support [at] ebay.de
X-OriginalArrivalTime: 11 Sep 2005 xx:xx:xx.0616 (UTC) FILETIME=[C8583580:01C5B6BF]

------=_NextPart_000_0013_15786DDA.2E66378E
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable

------=_NextPart_000_0013_15786DDA.2E66378E
Content-Type: image/gif;
name="5.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="5.gif"
Content-ID: [ID filtered]

------=_NextPart_000_0013_15786DDA.2E66378E
Content-Type: image/gif;
name="4.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="4.gif"
Content-ID: [ID filtered]

------=_NextPart_000_0013_15786DDA.2E66378E
Content-Type: image/gif;
name="3.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="3.gif"
Content-ID: [ID filtered]

------=_NextPart_000_0013_15786DDA.2E66378E
Content-Type: image/gif;
name="2.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="2.gif"
Content-ID: [ID filtered]

------=_NextPart_000_0013_15786DDA.2E66378E
Content-Type: application/x-msdos-program;
name="Ebay-Rechnung.pdf.exe"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Ebay-Rechnung.pdf.exe"


------=_NextPart_000_0013_15786DDA.2E66378E--

eBay hat diese Mitteilung an Sie gesendet.
Ihr Mitgliedsname ist in der von eBay gesendeten Mitteilung enthalten.
Mehr zum Thema.

Die Zahlung Ihrer eBay-Gebuehren ist demnaechst faellig





Hallo sehr geehrter Ebay Nutzer,

wir moechten Sie freundlich daran erinnern, dass Ihre eBay-Gebuehren in Hoehe von 90,43 do 500,19 EUR gemaess unserer letzten Rechnung in den naechsten 5 - 7 Tagen zum Ende dieses Rechnungszyklus faellig werden.

Bis zum Zeitpunkt des Versands dieser E-Mail haben wir Ihre Zahlung noch nicht (vollstaendig) verbuchen koennen. Wenn Sie die Zahlung bereits veranlasst haben, betrachten Sie diese Nachricht bitte als gegenstandslos.

Um zu vermeiden, dass Sie nach Verstreichen des Faelligkeitstermins vom Handel bei eBay ausgeschlossen werden, bitten wir Sie, umgehend eine Zahlung zu veranlassen.

Gehen Sie hierzu bitte wie folgt vor:
1. Drucken Sie bitte die mitgesandte Rechnung aus (Ebay-Rechnung.pdf)
2. Überweisen Sie den gesamten Betrag auf die in Rechnung genannten Kontodaten.

Sie haben derzeit keine automatische Zahlungsmethode gewaehlt. Dabei sind das Lastschriftverfahren oder die monatliche Zahlung per Kreditkarte die schnellsten und bequemsten Wege, Ihre eBay-Gebuehren zu zahlen. Wenn Sie sich jetzt fuer eine dieser beiden Zahlungsmethoden anmelden moechten, folgen Sie bitte ebenfalls den oben beschriebenen vier Schritten.

Bitte antworten Sie nicht direkt auf diese automatisch versendete E-Mail. Antworten auf System-E-Mails erreichen uns leider nicht.

Mit freundlichen Gruessen,
eBay International AG



--------------------------------------------------------------------------------
Fragen und Antworten:

Wie kann ich meinen letzten Rechnungsbetrag einsehen?
Gehen Sie bitte wie folgt vor:
1. Oeffnen Sie die eBay-Startseite unter www.ebay.de
2. Klicken Sie in der Navigationsleiste auf Uebersicht
3. Klicken Sie links unten unter Hilfe auf den Link Mein Verkaeuferkonto
4. Klicken Sie auf den Link Kontostand

Wohin kann ich mich mit Fragen zu meiner Rechnung wenden?
Gehen Sie bitte wie folgt vor:
1. Oeffnen Sie die eBay-Startseite unter www.ebay.de
2. Klicken Sie in der Navigationsleiste auf Hilfe
3. Klicken Sie auf den Link Kontakt
4. Waehlen Sie als Betreff Fragen zum Verkaufen und zur Gebuehrenberechnung und dann Fragen zur Gebuehrenberechnung und Verkaeufergebuehren




Diese E-Mail wurde von der eBay International AG im Zusammenhang mit Ihrem Konto bei http://my.ebay.de/ws/www.ebay.de gesendet.

Es handelt sich hierbei um eine einmalige Mitteilung. Eine Änderung Ihrer Benachrichtigungseinstellungen ist nicht erforderlich. Die eBay International AG fragt niemals per E-Mail nach persönlichen Daten (wie z.B. Passwort, Kreditkarten- oder Bankkontonummern).

Copyright 2005 eBay Inc. Alle Rechte vorbehalten.
Die ausgewiesenen Marken gehören ihren jeweiligen Eigentümern.
eBay und das eBay-Logo sind Marken von eBay Inc.


Microsoft Mail Internet Headers Version 2.0
Received: from mail.LF.net ([212.9.999.2]) by xxxxxxex01.xxxxxx.com with Microsoft SMTPSVC(6.0.3790.211);
Sun, 11 Sep 2005 xx:xx:xx +0200
Received: from c-24-60-99-117.hsd1.ma.comcast.net ([24.60.99.117])
by mail.LF.net with smtp (Exim 4.51)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sun, 11 Sep 2005 xx:xx:xx +0200
Received: from ebay.de (data.ebay.com [66.135.195.180])
by c-24-60-99-117.hsd1.ma.comcast.net (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Sun, 11 Sep 2005 xx:xx:xx -0400
From: eBay Finance <support [at] ebay.de>
To: xxxxxx <poor [at] spamvictim.tld>
Subject: Ihre Gebuehren
Date: Sun, 11 Sep 2005 xx:xx:xx -0400
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0020_8137F0F7.96837B5F"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2605
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1123
X-AntiVirus: Checked by Dr.Web (http://www.drweb.net)
Return-Path: support [at] ebay.de
X-OriginalArrivalTime: 11 Sep 2005 xx:xx:xx.0570 (UTC) FILETIME=[56053E20:01C5B709]

------=_NextPart_000_0020_8137F0F7.96837B5F
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable

------=_NextPart_000_0020_8137F0F7.96837B5F
Content-Type: image/gif;
name="5.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="5.gif"
Content-ID: [ID filtered]

------=_NextPart_000_0020_8137F0F7.96837B5F
Content-Type: image/gif;
name="4.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="4.gif"
Content-ID: [ID filtered]

------=_NextPart_000_0020_8137F0F7.96837B5F
Content-Type: image/gif;
name="3.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="3.gif"
Content-ID: [ID filtered]

------=_NextPart_000_0020_8137F0F7.96837B5F
Content-Type: image/gif;
name="2.gif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="2.gif"
Content-ID: [ID filtered]

------=_NextPart_000_0020_8137F0F7.96837B5F
Content-Type: application/x-msdos-program;
name="Ebay-Rechnung.pdf.exe"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Ebay-Rechnung.pdf.exe"


------=_NextPart_000_0020_8137F0F7.96837B5F--

homer
12.09.2005, 10:09
Die angeblich beigefügte Rechnung war aber nicht dabei. Sieht so aus als ob der unbedarfte Kunde veranlasst werden soll, Geld an Ebay zu überweisen.
[...]
1. Drucken Sie bitte die mitgesandte Rechnung aus (Ebay-Rechnung.pdf)
[...]

Nö, die "Rechnung" heisst Ebay-Rechnung.pdf.exe und ist ein kleiner Virus/Trojaner. Wer die Datei haben will, bei mir hängt die korrekt an der Mail dran.
BTW: Meine Mail kommt von:

Return-Path: <robot [at] ebay.de>
Received: from unknown (HELO horafeliz.com) (58.237.99.115) by 0 with SMTP;
12 Sep 2005 xx:xx:xx -0000
Received: from ebay.de (lore.ebay.com [66.135.195.181]) by horafeliz.com
(Postfix) with ESMTP ID: [ID filtered]
xx:xx:xx -0400
From: eBay Collections <robot [at] ebay.de>
To: localpart <me [at] work>
Subject: 7 Tage bis Ihre Kontosperrung
Date: Mon, 12 Sep 2005 xx:xx:xx -0400
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----=_NextPart_000_0028_X.X"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.4510
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
X-Virus-Scanned: by amavisd-milter at horafeliz.com

stieglitz
12.09.2005, 10:36
Nö, die "Rechnung" heisst Ebay-Rechnung.pdf.exe und ist ein kleiner Virus/Trojaner. Wer die Datei haben will, bei mir hängt die korrekt an der Mail dran.
Ich habe gerade nochmal nachgeschaut.
Outlook schreibt:

Outlook hat den Zugriff auf die folgenden potenziell unsichern Anlagen blockiert: Ebay-Rechnung.pdf.exe.
Das hatte ich voerher übersehen.

Das heisst aber, das diese Datei vom Vierenscanner nicht erkannt wurde.
Auch nicht schön.

hanno
12.09.2005, 11:36
Seufz und meine Lebensgefährtin hatte dummerweise auf die exe datei auf ihren PC geklickt obwohl ich ihr immer wieder gesagt hattee das sie nicht auf irgendwas klicken soll wenn sie ne mail mit anhang bekommt und mir bescheID: [ID filtered]
Weis zufällig jemand was das ding bewirkt ?????

homer
12.09.2005, 11:50
Weis zufällig jemand was das ding bewirkt ?????
VirusTotal (http://www.virustotal.com) sagt:

Antivirus Version Update Result
AntiVir 6.31.1.0 09.12.2005 TR/Dldr.Agent.uf
Avast 4.6.695.0 09.09.2005 no virus found
AVG 718 09.10.2005 no virus found
Avira 6.31.1.0 09.12.2005 TR/Dldr.Agent.uf
BitDefender 7.0 09.02.2005 no virus found
CAT-QuickHeal 8.00 09.12.2005 Agent.uf
ClamAV devel-20050725 09.12.2005 Trojan.Downloader.Agent-169
DrWeb 4.32b 09.12.2005 Trojan.DownLoader.4219
eTrust-Iris 7.1.194.0 09.12.2005 no virus found
eTrust-Vet 11.9.1.0 09.12.2005 Win32.DlVeeb.A
Fortinet 2.41.0.0 09.07.2005 suspicious
F-Prot 3.16c 09.09.2005 no virus found
Ikarus 0.2.59.0 09.12.2005 Trojan-Downloader.Win32.Agent.UF
Kaspersky 4.0.2.24 09.12.2005 Trojan-Downloader.Win32.Agent.uf
McAfee 4578 09.09.2005 no virus found
NOD32v2 1.1213 09.09.2005 probably a variant of Win32/TrojanClicker.Small.GP
Norman 5.70.10 09.09.2005 no virus found
Panda 8.02.00 09.11.2005 no virus found
Sophos 3.97.0 09.12.2005 Troj/Dloader-UC
Symantec 8.0 09.11.2005 no virus found
TheHacker 5.8.2.104 09.12.2005 no virus found
VBA32 3.10.4 09.12.2005 no virus found

Da scheint also ein Schadcode nachgeladen zu werden.

stieglitz
12.09.2005, 13:58
Jetzt auch bei Heise:
http://www.heise.de/newsticker/meldung/63804

Gool
12.09.2005, 20:05
Weis zufällig jemand was das ding bewirkt ?????

Wenn ich morgen dazu komme, meinen Testrechner damit zu infizieren, erstelle ich einen Workaround, um das Ding wieder loszuwerden.

Bis dahin kann ich nur die Schritte empfehlen, wie auch bei dem Opodo-/T-Com-Rechnung.pdf.exe:
http://board.protecus.de/t18796.htm

hanno
12.09.2005, 23:09
@Managor
ich habe jetzt ca. 4 mal antivir durchlaufen lassen und
zudem noch die datein winut.dat und backup.exe gelöscht aus den system verzeichnis
und hoffe das der rechner jetzt nicht mehr infiziert ist
und wenn die nächsten tage doch noch was passieren sollte wird halt formatiert :-)

Sirius
12.09.2005, 23:23
Soeben hereingekommen: http://www.antiviruslab.com/description.php?virus=273329&lang=de

[Update]
So wie es aussieht, werden Passwörter ausspioniert.

Gool
12.09.2005, 23:50
Ich glaube nicht, dass es reicht, viermal Antivir durchlaufen zu lassen. Da muss schon mehr gemacht werden.

Die Kurzanleitung zum Entfernen des Dings ist hier:
http://board.protecus.de/t18796-lastpage.htm#198328

Ich mache einen zweiten Durchlauf, um zu sehen, ob es Abweichungen gibt.