[HaBo]

echo · 25.10.08, 18:55

Mit gefälschten Emails, die angeblich von der Firma ?TESCHINKASSO Forderungsmanagement GmbH? stammen, werden Kunden über den Einzug hoher Summen benachrichtigt. Angeblich sollen Beträge von 4527.00 Euro, 6397.00 Euro oder 9784.00 Euro von dem eigenen Konto abgebucht worden sein, weitere Informationen würden sich in der beigefügten Rechnung befinden.

In der angehängten ZIP Datei ?Rechnung.zip? befinden sich statt der erwarteten Rechnung allerdings die schädlichen Programme ?Rechnung.txt.lnk? und ?zertifikat.ssl?, die auf keinen Fall angeklickt und ausgeführt werden dürfen.

Der Betreff der Emails lautet ?Auflistung der Kosten? oder ?TESCHINKASSO?, als Absender wurden unter anderem die Namen ?Tesch Inkasso?, ?Sybilla Sollner?, ?Isolde Nies? und ?Suleima Romer? genutzt. Zur Sicherheit finden Sie hier den gesamten Text der gefälschten Email:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.782117855433 ist erfolgt
Es wurden 4527.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

TESCHINKASSO Forderungsmanagement GmbH

Geschaeftsfuehrer: Siegward Tesch
Bielsteiner Str. 43 in 51674 Wiehl
Telefon (0 22 62) 7 11-9
Telefax (0 22 62) 7 11-806

Ust-ID Nummer: 212 / 5758 / 0635

Amtsgericht Koeln HRB 39598

Bei den Emails variieren die Beträge sowie die ?Anzahlung Nr.?. Neben der Nr. 782117855433 wurden auch Emails mit den Zahlungsnummern ?034929561320? und ?082480759671? gesichtet. Besonders gefährlich ist die Email allerdings, da die Firma Tesch Inkasso tatsächlich existiert und auch die Adresse stimmt. Die für den Versand genutzten Email-Adressen (z.B. ?ngbnfcugrlvd@bogfire.com? oder ?ore@bommer.com?) verraten aber, dass es sich nicht um echte Rechnungen handelt.

Die angebliche Rechnung versucht - soweit sich aus dem Quelltext erkennen lässt, auf die Dateien SHELL32.DLL und CMD.EXE sowie die Windows Registry zuzugreifen.

Update:

Laut Avira infiziert der Trojan-Downloader TR/Dldr.iBill.BD beim Ausführen des Anhangs das System. Er legt eine Kopie von sich in den Unterordner ?Microsoft common\svchost.exe? des Standard-Programmverzeichnisses ab und löscht die anfangs heruntergeladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt.

original text von http://www.computerhilfen.de/info/vi...h-inkasso.html

65.55.136.121 IP zum TRACERN,habe die durch den Dowload bekommen.
Muss aber erwähnen das die evl. hinter proxys in Russland stehen wodurch ich den provider nicht herausfinden konnte..

keksinat0r · 25.10.08, 20:59

Zitat:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.737385577928 ist erfolgt
Es wurden 5356.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung

TESCHINKASSO Forderungsmanagement GmbH

Geschaeftsfuehrer: Siegward Tesch
Bielsteiner Str. 43 in 51674 Wiehl
Telefon (0 22 62) 7 11-9
Telefax (0 22 62) 7 11-806

Ust-ID Nummer: 212 / 5758 / 0635

Amtsgericht Koeln HRB 39598

ist bei mir auch eingegangen, desweiteren auch eine Mail der SCHUFA:

Zitat:

Sehr geehrte Damen und Herren,

Usenet GmbH - usenext.de
88,72 EUR

Beate Uhse GmbH beate-uhse.de
49,94 EUR

bisherige Mahnkosten unserer Mandanten:
99,28 EUR

vorgerichtliche Inkassogebuehren:
67,77 EUR

noch offener Gesamtbetrag inklusive unserer Bearbeitungskosten:
571,89 EUR

bislang ist der von uns angemahnte Betrag nicht ausgeglichen worden!

Als Vertragspartner der SCHUFA Holding AG weisen wir darauf hin, dass wir Daten ueber aussergerichtliche und gerichtliche Einziehungsmassnahmen bei ueberfaelligen und unbestrittenen Forderungen an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, uebermitteln. Vertragspartner der SCHUFA sind vor allem Kreditinstigute sowie Kreditkarten- und Leasinggesellschaften.
Moechten Sie diese Schritte vermeiden, zahlen Sie bitte bis zum 09.12.2008 Ihren Schuldbetrag unter Angabe Ihres
Aktenzeichens (siehe Anhang) auf die in der Auflistung genannte Bankverbindung.
Die detailierte Auflistung Ihrer Rechnungen, Mahngebuehren und die Zahlungs bzw. Wiederspruchshinweise finden Sie im Anhang.

Mit freundlichen Gruessen Ihr Proinkasso Team

Dieser Brief wurde maschinell erstellt und ist deshalb ohne Unterschrift gueltig

und

Zitat:

Sehr geehrte Damen und Herren,

wir vertreten die Ebay GmbH mit Sitz in Dreilinden in der nachfolgend genannten Angelegenheit. Das Vorliegen einer Vollmacht wird anwaltlich versichert.Genaue
Übersicht Ihrer Verkäufe, Rechnungen, Daten und unsere Zahlungsaufforderung mit der Mahngebührenauflistung finden Sie im Anhang.

Sie bieten unter der Internethandelsplattform Ebay Computerartikel im Wege des Fernabsatzes an, ohne dabei auf das Verbrauchern zustehende gesetzliche Widerrufsrecht hinzuweisen, wie bei dem von Ihnen angebotenen Ebay Artikel mit der Nummer 48598764 geschehen.

Damit verstossen Sie gegen §312c Abs.1 BGB sowie gegen §1 Abs.1 S.10 BGB-InfoV und führen unlauteren Wettbewerb nach §3, §4 Abs.1 S. 11 UWG. Unserer Mandantin steht damit ein Unterlassungsanspruch gemäß §8 Abs.1,Abs. 3 S. 1 UWG zu.

Ebenso sind sie nach §9 UWG unserer Mandanten zum Schadensersatz verpflichtet und damit zur Uebernahme der Kosten unserer Beauftragung in Höhe der beigefügten Kostennote 544 Euro.

Die Wiederholungsgefahr kann nach ständiger Rechtsprechung nur durch Abgabe einer strafbewehrten Unterlassungserklärung beseitigt werden.

Wir fordern Sie daher im Namen unserer Mandantin auf, die beigefügte Unterlassungserklärung abzugeben. Dafür setzen wir Ihnen eine Frist bis zum 05.11.2008 - 18:00 Uhr bei uns eingehend.

Sollte die Erklärung innerhalb dieser Frist nicht oder nicht im geforderten Umfang bei uns eingehen, werden wir gerichtliche Schritte einleiten, durch die zusätzliche Kosten entstehen, die sie durch Abgabe der Erklärung vermeiden können.

Mit freundlichen Grüßen,

Günter Frhr. v. Gravenreuth
Rechtsanwalt ? Dipl.-Ing. (FH)

Marktstraße 14
Münchener Freiheit
80802 München

in deren Anhang sich eine scr, bzw pif Datei befindet.

HaBo Ads

**bitmuncher** · 26.10.08, 02:59

http://www.spiegel.de/netzwelt/web/0...586416,00.html
http://www.heise.de/security/news/meldung/117888

Da berichtet doch momentan so ziemlich jede News-Seite drüber. Wem das bisher entgangen ist, der muss aber ganz schön gepennt haben.

beavisbee · 26.10.08, 09:52

*lol* - Faken will gelernt sein....

ich habe gestern eine ähnliche Mail bekommen - Absender angeblich StayFriends...
im Betreff steht allerdings

Zitat:

Srayfriends Anmeldung ID 3882798

heute kamen noch 4 weitere StayFriends-Mails und eine angebliche Abmahnung angeblich von GvG wegen eBay...

alle Mails haben total unglaubwürdige Absender-Namen und Absender-Mail-Adressen...
also wenn schon Faken, dann doch bitte glaubwürdig.... das ist doch alles voll stümperhaft....

**bitmuncher** · 26.10.08, 15:11

Stayfriends verschickt deswegen sogar schon Warnungen an seine User:

Zitat:

Seit Freitag Mittag werden wahllos E-Mails an Personen in Deutschland verschickt,
die vortäuschen, von großen Webportalen (u.a. auch StayFriends) verschickt worden zu sein
und einen hohen Geldbetrag (meist mehrere hundert Euro) einforderrn.

Wir versichern Ihnen, dass diese E-Mails keinesfalls von StayFriends stammen.
Bitte öffnen Sie auch keinesfalls den Anhang, dieser enthält einen Virus.
Löschen Sie einfach diese E-Mail.

E-Mails, die von StayFriends kommen, sprechen Sie mit Ihrem Namen an und enthalten
andere personalisierte Inhalte. Sollten Sie beide Merkmale nicht erkennen, können Sie
davon ausgehen, dass die E-Mail nicht von StayFriends kommt.

Bei Spiegel Online finden Sie einen aktuellen Artikel zu diesem Thema:
http://www.spiegel.de/netzwelt/web/0...586416,00.html

Mit freundlichen Grüßen
Oliver Thiel
[StayFriends Mitgliederbetreuung]

================================================== ==
Sie möchten Ihre E-Mail-Adresse oder Postanschrift ändern?
http://go.stayfriends.de/Xk2b-fkXMQo18f0/change_address
================================================== ==

StayFriends GmbH
Neustädter Kirchenplatz 1a
D-91054 Erlangen

Registergericht Fürth: HRB 10669

Geschäftsführer:
Michel Lindenberg, Steven B. McArthur, Peter Wiederspan

**CDW** · 26.10.08, 15:36

Naja, auf einige meiner Adressen bekomme ich Angebote für umgerechnet 400 Euro Mails meiner Wahl an bis zu 40 Mio Emailadressen verschicken zu lassen (wobei das dann sehr variabel ist - ich kann sowohl das Land wie Domainbereich einschränken und auch eine Proberunde bekommen).
Die Preise sind also nicht soo hoch. Trotzdem wundert es mich, dass so viele Mails vor dem Verschicken einfach durch einen automatischen Übersezter durchgejagt werden - worauf die Versender dabei hoffen, bleibt für mich ein Rätsel

SUID:root · 26.10.08, 20:34

Zitat:

[...]worauf die Versender dabei hoffen, bleibt für mich ein Rätsel

Auf Menschen die der deutschen Sprache nicht sooo mächtig sind. Und das sind keineswegs nur Ausländer.

Reicht doch bei 40 Mio Mails, wenn nur 1 % drauf klickt und den Anhang öffnet.

Am auffälligsten bei solchen Mails finde ich immer, dass Umlaute (Ä,Ö, etc) nicht getippt werden sondern eben immer mit AE, OE geschrieben wird. Allein daran sollte man merken, dass die Mails aus dem Auslang kommen.

Schurke · 03.11.08, 00:09

ich find bei sowas die anhänge doch immer recht interessant, bin jedoch selten ein opfer solcher mails. hat jemand da die mal für mich damit ich die mal in ner sandbox testen und nen bissel aufschlüsseln kann

?

beavisbee · 03.11.08, 20:36

hab dir mal 4 Exemplare an deine gmail-Adresse, die du hier angegeben hast, zukommen lassen.
Ich hoffe, sie werden auf dem Weg zu dir nirgends gefiltert....

Viel Spaß damit!

edit:
meine Befürchtung wurde wahr... bis jetzt kamen 3 der 4 Mails postwendend zurück...

Zitat:

The original message was received at Mon, 3 Nov 2008 20:35:08 +0100
from schnapphans2.rz.uni-jena.de [141.35.1.25]

----- The following addresses had permanent fatal errors -----
<Schurkexd at bla (spamschutz, ich war so frei) >
(reason: 552-5.7.0 Our system detected an illegal attachment on your message.)

----- Transcript of session follows -----
... while talking to gmail-smtp-in.l.google.com.:
>>> >>> DATA
<<< 552-5.7.0 Our system detected an illegal attachment on your message.
<<< 552-5.7.0 Please visit http://mail.google.com/support/bin/a...py?answer=6590
<<< 552 5.7.0 to review our attachment guidelines. l19si8964664fgb.7
554 5.0.0 Service unavailable

lass mir bitte per PN mal noch ne andere Adresse zukommen... ansonsten - falls das mittlerweile auch andere Provider blocken - lad ich dir die Anhänge mal irgendwo hoch... schreib mich einfach mal per PN an...

**CDW** · 03.11.08, 21:33

Zitat:

beavisbee:lass mir bitte per PN mal noch ne andere Adresse zukommen... ansonsten - falls das mittlerweile auch andere Provider blocken - lad ich dir die Anhänge mal irgendwo hoch... schreib mich einfach mal per PN an...

Ich denke, es spricht nichts dagegen, wenn Du das hochlädst und hier verlinkst - sofern der Link und der Inhalt deutlich gekennzeichnet ist (z.B alles in ein Ziparchiv packen mit dem Passwort "malware" damit auch ja niemand es aus versehen starten kann)

BTW: das ist auch die Erklärung, warum der Schurke keine Mails bekommt.

PS:
Bei mir kommen auf den Freemail Adressen gar keine Mails mit Executables an - diese werden fleißig aus dem Anhang entfernt - egal ob da Malware drin ist oder ob diese gewünscht sind.

beavisbee · 03.11.08, 22:26

Zitat:

Original von CDW
Bei mir kommen auf den Freemail Adressen gar keine Mails mit Executables an

daher nutze ich nur noch meinen eigenen Root

Mail-Anhänge sind im ZIP-Archiv angehängt. Passwort ist "malware"

Viel Spaß damit im Sandkasten!

( oder auch sandbox

)

3X!_d0S · 24.11.08, 09:16

@ echo

Bist du dir sicher das das 65.55.136.121 die richtige IP ist?

Wenn ich ein Whois starte, kommt folg.:

Code:

OrgName:    Microsoft Corp 
OrgID:      MSFT
Address:    One Microsoft Way
City:       Redmond
StateProv:  WA
PostalCode: 98052
Country:    US

NetRange:   65.52.0.0 - 65.55.255.255 
CIDR:       65.52.0.0/14 
NetName:    MICROSOFT-1BLK
NetHandle:  NET-65-52-0-0-1
Parent:     NET-65-0-0-0-0
NetType:    Direct Assignment
NameServer: NS1.MSFT.NET
NameServer: NS5.MSFT.NET
NameServer: NS2.MSFT.NET
NameServer: NS3.MSFT.NET
NameServer: NS4.MSFT.NET
Comment:    
RegDate:    2001-02-14
Updated:    2004-12-09

RTechHandle: ZM23-ARIN
RTechName:   Microsoft Corporation 
RTechPhone:  +1-425-882-8080
RTechEmail:  ***@microsoft.com 

OrgAbuseHandle: ABUSE231-ARIN
OrgAbuseName:   Abuse 
OrgAbusePhone:  +1-425-882-8080
OrgAbuseEmail:  *****@hotmail.com

OrgAbuseHandle: HOTMA-ARIN
OrgAbuseName:   Hotmail Abuse 
OrgAbusePhone:  +1-425-882-8080
OrgAbuseEmail:  *****@hotmail.com

OrgAbuseHandle: MSNAB-ARIN
OrgAbuseName:   MSN ABUSE 
OrgAbusePhone:  +1-425-882-8080
OrgAbuseEmail:  *****@msn.com

OrgNOCHandle: ZM23-ARIN
OrgNOCName:   Microsoft Corporation 
OrgNOCPhone:  +1-425-882-8080
OrgNOCEmail:  ***@microsoft.com

OrgTechHandle: MSFTP-ARIN
OrgTechName:   MSFT-POC 
OrgTechPhone:  +1-425-882-8080
OrgTechEmail:  ******@microsoft.com

# ARIN WHOIS database, last updated 2008-11-23 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Quelle: dnsstuff.com

bye 3X!_d0S

Empfehlung

25.10.08, 18:55	#1 (permalink)
echo Registriert seit: 19.06.08 Likes: 0	Virus Tesch Inkasso virus mail Mit gefälschten Emails, die angeblich von der Firma ?TESCHINKASSO Forderungsmanagement GmbH? stammen, werden Kunden über den Einzug hoher Summen benachrichtigt. Angeblich sollen Beträge von 4527.00 Euro, 6397.00 Euro oder 9784.00 Euro von dem eigenen Konto abgebucht worden sein, weitere Informationen würden sich in der beigefügten Rechnung befinden. In der angehängten ZIP Datei ?Rechnung.zip? befinden sich statt der erwarteten Rechnung allerdings die schädlichen Programme ?Rechnung.txt.lnk? und ?zertifikat.ssl?, die auf keinen Fall angeklickt und ausgeführt werden dürfen. Der Betreff der Emails lautet ?Auflistung der Kosten? oder ?TESCHINKASSO?, als Absender wurden unter anderem die Namen ?Tesch Inkasso?, ?Sybilla Sollner?, ?Isolde Nies? und ?Suleima Romer? genutzt. Zur Sicherheit finden Sie hier den gesamten Text der gefälschten Email: Sehr geehrte Damen und Herren! Die Anzahlung Nr.782117855433 ist erfolgt Es wurden 4527.00 EURO Ihrem Konto zu Last geschrieben. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung. Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung TESCHINKASSO Forderungsmanagement GmbH Geschaeftsfuehrer: Siegward Tesch Bielsteiner Str. 43 in 51674 Wiehl Telefon (0 22 62) 7 11-9 Telefax (0 22 62) 7 11-806 Ust-ID Nummer: 212 / 5758 / 0635 Amtsgericht Koeln HRB 39598 Bei den Emails variieren die Beträge sowie die ?Anzahlung Nr.?. Neben der Nr. 782117855433 wurden auch Emails mit den Zahlungsnummern ?034929561320? und ?082480759671? gesichtet. Besonders gefährlich ist die Email allerdings, da die Firma Tesch Inkasso tatsächlich existiert und auch die Adresse stimmt. Die für den Versand genutzten Email-Adressen (z.B. ?ngbnfcugrlvd@bogfire.com? oder ?ore@bommer.com?) verraten aber, dass es sich nicht um echte Rechnungen handelt. Die angebliche Rechnung versucht - soweit sich aus dem Quelltext erkennen lässt, auf die Dateien SHELL32.DLL und CMD.EXE sowie die Windows Registry zuzugreifen. Update: Laut Avira infiziert der Trojan-Downloader TR/Dldr.iBill.BD beim Ausführen des Anhangs das System. Er legt eine Kopie von sich in den Unterordner ?Microsoft common\svchost.exe? des Standard-Programmverzeichnisses ab und löscht die anfangs heruntergeladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt. original text von http://www.computerhilfen.de/info/vi...h-inkasso.html 65.55.136.121 IP zum TRACERN,habe die durch den Dowload bekommen. Muss aber erwähnen das die evl. hinter proxys in Russland stehen wodurch ich den provider nicht herausfinden konnte..

26.10.08, 02:59	#3 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 371	http://www.spiegel.de/netzwelt/web/0...586416,00.html http://www.heise.de/security/news/meldung/117888 Da berichtet doch momentan so ziemlich jede News-Seite drüber. Wem das bisher entgangen ist, der muss aber ganz schön gepennt haben. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

26.10.08, 15:36	#6 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 156	Naja, auf einige meiner Adressen bekomme ich Angebote für umgerechnet 400 Euro Mails meiner Wahl an bis zu 40 Mio Emailadressen verschicken zu lassen (wobei das dann sehr variabel ist - ich kann sowohl das Land wie Domainbereich einschränken und auch eine Proberunde bekommen). Die Preise sind also nicht soo hoch. Trotzdem wundert es mich, dass so viele Mails vor dem Verschicken einfach durch einen automatischen Übersezter durchgejagt werden - worauf die Versender dabei hoffen, bleibt für mich ein Rätsel __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Virus Tesch Inkasso virus mail	echo	Spiced Pork and Ham - Spam & seine Brüder	1	25.10.08 20:59
Virus Tesch Inkasso virus mail	echo	Windows	1	25.10.08 20:59
Virus?	Teletappy	Virenschutz · Tools & Aggressive Software	9	11.08.08 17:56
Virus?	julack91	Windows	1	11.05.07 14:57
Virus-Hysterie: Gefährlicher Handy-Virus entpuppt sich als Panikmache	Tec	News & Ankündigungen	0	07.11.02 13:25

03.11.08, 00:09	#8 (permalink)
Schurke Registriert seit: 10.01.08 Likes: 0	ich find bei sowas die anhänge doch immer recht interessant, bin jedoch selten ein opfer solcher mails. hat jemand da die mal für mich damit ich die mal in ner sandbox testen und nen bissel aufschlüsseln kann ?


HaBo Ads HaBOT

[HaBo]

Virus Tesch Inkasso virus mail