Viren-Spam: Personen, die du vielleicht kennst, Mai 2013

virus-fb-login FB-Virus-Zeus-ArtAuchtung neue Virenmail / Spam Email mit dem Namen: Personen, die du vielleicht kennst, Mai 2013 unterwegs.

Die Spam E-Mail: Personen, die du vielleicht kennst, Mai 2013 wird von einer polnischen Adresse und einer dänischen IP versendet.

Es soll einen angehängte Datei geöffnet werden! Achtung dies ist ein Virus!

Banking Tojaner mit dem Namen Personen_die_du_vielleicht_kennst-Mai-2013.jpg.exe ist eine Shell .dll Datei der Größe 0 wird deswegen von keinen AV System erkannt. Schadware wird per loader von anderen IP’s geladen.

Details:
<privatizationmv21@t-mobile.pl>
HELO_NUMERIC=1.5 (check from: .t-mobile. - helo: .
[185.19.132.97]. - helo-domain: .97].)
FROM/MX_MATCHES_NOT_HELO(DOMAIN)=2.5; rate: 1
Received: from [185.19.132.97] (unknown [185.19.132.97])

Art: Zeus Banking Trojan
Datei: exe,.exe-ms,Personen_die_du_vielleicht_kennst-Mai-2013.jpg.exe

Info: http://www.zeit.de/digital/internet/2012-12/eurograbber-onlinebanking-smartphone-trojaner

Auswertung: https://www.virustotal.com/de/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855/analysis/1369748240/

 

Boston Spam Mails gehen in die zweite Runde

Boston Spam Mails gehen in die zweite Runde. Während die Esten Spam Mails der Boston Reihe eher unauffällig waren und die Gefahr darin bestand am Ende der kompromittierten Webseite ein Plugin zu installieren, werden die nächste 2. Versionen schlimmer und übertragenen Javascript-Viren.

Boston Spam Teil 1

Boston Spam Teil 2

So schnell gehts, url kommt per E-Mail. Ein klick drauf reicht aus um sich zu Infizieren!

Angeforderte URL: hxxp://bva.xx/seems.html
Information: Enthält Erkennungsmuster des Java-Scriptvirus JS/BlacoleRef.CZ.7

Dir URL wurde editiert. Es besteht keine Gefahr!

 

Boston-Marathon Spam

Der Boston-Marathon Spam kennen wohl viele. Kurz nach dem die Tragödie mit den Terroranschläge passiert sind nutzen die Spammer diese Sache schamlos für Ihre Zwecke aus.

Wie funktioniert der Boston-Marathon Spam?

Hier werden verschiedene Mails mit einem Satz versendet. Unten eine Domain als IP also http:// IP-Adresse/news.html oder http:// IP-Adresse/texas.html oder http:// IP-Adresse/boston.html.

Klicken Sie diese Url an werden Sie auf eine Seite mit Youtube Videos verbunden. Unten auf der Seiten möchte sich dann ein Java-Applet oder ggf. auch eine Adobe Anwendung aktivieren. Geben Sie dem nach installiert sich ein Java Virus.

Mehr Infos zum Boston-Marathon Spam finden Sie im G Data Blog.

Telecom GmbH Spam Mails im Umlauf

Seit kurzem sind wieder Spam Mails mit gefährlichen Trojanerviren im Umlauf. Die Betrüger versuchen Sie zu überlisten und verwenden dabei oft Namen von bekannten Firmen!

E Mails lauten wie folgt: „1&1 Telecom GmbH – Ihre Rechnung 731267831517 vom 06.04.2013“ oder „1_1 Telecom GmbH – Ihre Rechnung.zip“.

Wichtig!!! Öffnen Sie diese Datei nicht! Sollten Sie diese Datei bereits geöffnet und ausgeführt haben folgen Sie diesen Anweisungen.

Bleiben Sie sicher und schützen sich mir diesen Antivirus Tips.

 

PayPlus Spam Virus Mail Kreditkarte noreply@payplus.de

Vorsicht wieder sind Virus Mails mit ZIP Anhang mit der E-Mail Adresse noreply@payplus.de ( draftsucdc63@payplus.de ) unter dem Namen der Firma PayPlus und dem Betreff: Ihre Rechnung.zip im Umlauf.

Infos zum Trojaner Virus:

Zip Datei: Laufzeitpacker
 Virus: Malware gen32
 Dateigröße: 63178 kb
 Typ: Win32:Evo-gen [Susp]
 X-Amavis-Alert: BANNED, message contains .exe,.exe-ms,
PayPlus - Ihre Rechnung.PDF.exe
Gefährdungsgrad: Hoch

Wichtig!!! Öffnen Sie diese Datei nicht! Sollten Sie diese Datei bereits geöffnet und ausgeführt haben folgen Sie diesen Anweisungen.

Bleiben Sie sicher und schützen sich mir diesen Antivirus Tips.

Spam von Pierre Ledoux – Pierre Ledoux die-analysten.net

Sie haben auch eine Spam E-Mail erhalten von die-analysten.net worin eine dubiose Anlagestrategie von bekannten Spammern beworben wird. Mit der Seite hxxp://vergIeichen-spart.net sollen Menschen speziell Unternehmer anegsprochen werden Ihr Geld in die „komischen Hände“ dieser Spammer zu geben.

Mit lächerlichen Aussagen wie:

Sehr geehrter Herr XYZ,

in den vergangenen Jahren haben sich die Banken sehr viel Mühe gegeben, uns klar zu machen, dass 2,25% Rendite eine gute Verzinsung sind. Die Realität ist die, dass manche Banken das an nur einem einzigen Tag verdienen. Als wir angefangen haben uns mit dieser Frage zu beschäftigen, konnten wir es kaum glauben aber es ist Realität. 20% Rendite im Monat sind kein Problem, wenn man weiß wie.

Als Beweis haben wir Ihnen einen Screenshot von mehreren Konto beigelegt. Es sind Konten das genauso arbeitet, wie es die Banken im ganz großen Stil tun.

 

Was mit diesem Quatsch gemeint ist – ist sehr einfach. Mit dieser Strategie gewinnt nur Pierre Ledoux der laut dem Impressum in der Schweiz sitzt, was aber mit hoher Wahrscheinlichkeit nicht stimmt. Die Domains die-analysten.net und vergIeichen-spart.net sind über sogenannte Wohis Protection Verfahren anonymisiert. Diese Anonymisierungen werden fast ausschließloch von kriminellen Kulturen genutzt.

Darum sein Sie Vorsichtig und trauen Sie diesen Spam Anschreiben auf keinen Fall! Haben Sie Hinweise zu den Spammern posten Sie es einfach!

 

Google Translate Spam E-Mails

Neueste Masche -> Spam E-Mails via Google Translate

Seit Tagen gehen vermehr Spam Mail via Googletranslate herum. Es wird dringend empfohlebn diese Links nicht an zu klicken da so vermutlich Malware verbreitet werden soll.

Mailbeispiel:

If you want to have your potency increased you have to hurry up to get a discount!

Link here! <hxxp://google.com/translate?u=%779%2E%61%68%6F%6F%2E%69%74/oSoQV?/constitutionally%20conceptualize.htm&hl=en>

Auswertung:

Return-Path: <downstagec48@trinity.edu>
Received: from apache by trinity.edu with local (Exim 4.63)
    (envelope-from <irishmanbvxe8@bobandisabelle.com>)
    id HUD095-TRYY65-QP
Subject: [*** SPAM ***]If you want to have your potency increased
you have to
    hurry up to get a discount!
Date: Mon, 25 Mar 2013 18:02:28 +0530
From: "Eugene Newell" <downstagec48@trinity.edu>
Message-ID: <C3033EED72131F71A66DDCE2AB540F58@trinity.edu>
X-Priority: 3
X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="------------06040600609060401030103"

Wichtig!!! Öffnen Sie diese Datei nicht! Sollten Sie diese Datei bereits geöffnet und ausgeführt haben folgen Sie diesen Anweisungen.

Bleiben Sie sicher und schützen sich mir diesen Antivirus Tipps.

Bleiben Sie sicher und schützen sich mir diesen Antivirus Tipps.

Spam Mail *** PROBABLY SPAM *** Fwd: Re: Your Flight F-77-14007

Achtung diese Spam E-Mail enthält Maleware / Virus / TRojaner duch eine Ticket.html Datei welche auf eine Infektion weiterleitet!

Dear Customer,

FLIGHT NR: 9284-4662

DATE/TIME : APR 26, 2013, 14:13 PM

ARRIVING AIRPORT: SAN-DIEGO AIRPORT

PRICE : 604.21 USD

 

Your bought ticket is attached to the letter as a scan document .(Internet Explorer file) To use your ticket you should print it.

TISH Huber,

Spezifikation: Bei diesen Virus-Trojaner / Malware handelt es sich um
Win32:Malware-gen mit einem Schweregrad: Hoch
Weitere Kennungen:
Return-Path: <davisbushway@regie-piguet.ch>
Subject: *** PROBABLY SPAM *** Fwd: Re: Your Flight F-77-14007
Received: from [200.223.26.74] by smtp01.swisscenter.com; Fri,
22 Mar 2013 09:35:26 -0300

Wichtig!!! Öffnen Sie diese Datei nicht! Sollten Sie diese Datei bereits geöffnet und ausgeführt haben folgen Sie diesen Anweisungen.

Bleiben Sie sicher und schützen sich mir diesen Antivirus Tipps.

Virus Spam E-Mail von O2 Trojaner Mail

Seit kurzem gehen verschidene Spam E-Mails mit gefährlichem Trojaner/Virus im Anhang herrum. Die Jetztige wird von O2 mit dem Betreff: Ihre O2 DSL Bestellung (Kundennummer  DE05193726) versendet. Hier soll man die Bestellung prüfen.

So sieht die E-Mail aus:

Lieber O2 Kunde,

Informationen zu Ihrem Auftrag finden Sie im Anhang an diese E-Mail als pdf-Datei. Diese können Sie mit einem Doppelklick ganz einfach öffnen.

Hinweise zum pdf-Format: Zum Lesen, Drucken und/oder Speichern von PDF-Dateien benötigen Sie das Programm Acrobat Reader von Adobe. Haben Sie den Acrobat Reader noch nicht auf Ihrem Computer installiert, können Sie ihn hier kostenlos herunterladen: http://www.adobe.de/products/acrobat/readstep2.html <http://www.adobe.de/products/acrobat/readstep2.html>

Unser persönlicher Tip für Sie: Möchten Sie die Datei auf Ihrem Rechner abspeichern? Verwenden Sie einfach die rechte Maustaste und klicken Ziel speichern unter an. Anschließend wählen Sie das Verzeichnis auf Ihrem Rechner aus, in dem die Datei abgespeichert werden soll.

Freundliche Grüße

Ihr O2 Team

 

Hierbei handelt es sich um einen Backdoor TR Trojaner welcher großen Schaden zufügen kann!

Spezifikation: Bei diesen Virus-Trojaner / Malware handelt es sich um
Win32:Malware-gen mit einem Schweregrad: Hoch
Weitere Kennungen:
Versender: photosynthesizesa76@alice-dsl.de
Received: from klp-ptv-i0.int.balticum.lt (unknown [86.100.3.253])
Land der IP: Lithuania
Received: from mecowteojyeincfhothjeoymc (192.168.1.68) by
mecowteojyeincfhothjeoymc.{SPF_D1} (86.100.3.253) with Microsoft
SMTP Server id 8.0.685.24; Thu, 21 Mar 2013 12:22:03 +0200
Message-ID: <514ADD98.404010@alice-dsl.de>

Wichtig!!! Öffnen Sie diese Datei nicht! Sollten Sie diese Datei bereits geöffnet und ausgeführt haben folgen Sie diesen Anweisungen.

Bleiben Sie sicher und schützen sich mir diesen Antivirus Tipps.

Ähliche Mails:

  1. Spam E-Mail mit Virus Trojaner von Hotel Stuttgarter-Eck
  2. Neue E-Mail Virus Trojaner von first-class-zollservice.de

Spam E-Mail mit Virus Trojaner von Hotel Stuttgarter-Eck

Seit neuestem werden Spam E-Mails mit einem gefährlichen Trojaner Virus Win32 Filename-A versendet.

Aktuell werden über die E-Mail Adresse der Firma Hotel-Pension Stuttgarter Eck spam E-Mails versendet mit einem gefährlichen Trojaner Virus Win32 der Kennung: Filename-A. Diese Viren/Trojaner werden mit E-Mail Adresse info@hotel-stuttgarter-eck.de oder info-noreply@hotel-stuttgarter-eck.de und dem Betreff: Online Anfrage/Reservierung (DE)” versendet werden. Versendet wird der Trojaner über info@hotel-stuttgarter-eck.de oder info-noreply@hotel-stuttgarter-eck.de jedoch die IP: [141.35.158.139] welche der Uni Jena zugeordnet werden kann. Alle Beteiligten wurden von uns über diesen Vorfall informiert.

Hierbei handelt es sich um einen Backdoor TR Trojaner welcher großen Schaden zufügen kann!

Spezifikation: Bei diesen Virus-Trojaner / Malware handelt es sich um
Win32:Malware-gen mit einem Schweregrad: Hoch
Weitere Kennungen:
outlastsn96@hotel-stuttgarter-eck.de
manners9@hotel-stuttgarter-eck.de
from [141.35.158.139]
(account manners9@hotel-stuttgarter-eck.de HELO kkzuvkki.atqrbg.net)
Message-ID: <4Z68GINKV1G2C1QJ2GAJ1X73F95E7QUK@hotel-stuttgarter-eck.de>

Wichtig!!! Öffnen Sie diese Datei nicht! Sollten Sie diese Datei bereits geöffnet und ausgeführt haben folgen Sie diesen Anweisungen.

Bleiben Sie sicher und schützen sich mir diesen Antivirus Tipps.