Mit gefälschten Emails, die angeblich von der Firma ?TESCHINKASSO Forderungsmanagement GmbH? stammen, werden Kunden über den Einzug hoher Summen benachrichtigt. Angeblich sollen Beträge von 4527.00 Euro, 6397.00 Euro oder 9784.00 Euro von dem eigenen Konto abgebucht worden sein, weitere Informationen würden sich in der beigefügten Rechnung befinden.
In der angehängten ZIP Datei ?Rechnung.zip? befinden sich statt der erwarteten Rechnung allerdings die schädlichen Programme ?Rechnung.txt.lnk? und ?zertifikat.ssl?, die auf keinen Fall angeklickt und ausgeführt werden dürfen.
Der Betreff der Emails lautet ?Auflistung der Kosten? oder ?TESCHINKASSO?, als Absender wurden unter anderem die Namen ?Tesch Inkasso?, ?Sybilla Sollner?, ?Isolde Nies? und ?Suleima Romer? genutzt. Zur Sicherheit finden Sie hier den gesamten Text der gefälschten Email:
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.782117855433 ist erfolgt
Es wurden 4527.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
TESCHINKASSO Forderungsmanagement GmbH
Geschaeftsfuehrer: Siegward Tesch
Bielsteiner Str. 43 in 51674 Wiehl
Telefon (0 22 62) 7 11-9
Telefax (0 22 62) 7 11-806
Ust-ID Nummer: 212 / 5758 / 0635
Amtsgericht Koeln HRB 39598
Bei den Emails variieren die Beträge sowie die ?Anzahlung Nr.?. Neben der Nr. 782117855433 wurden auch Emails mit den Zahlungsnummern ?034929561320? und ?082480759671? gesichtet. Besonders gefährlich ist die Email allerdings, da die Firma Tesch Inkasso tatsächlich existiert und auch die Adresse stimmt. Die für den Versand genutzten Email-Adressen (z.B. ?ngbnfcugrlvd@bogfire.com? oder ?ore@bommer.com?) verraten aber, dass es sich nicht um echte Rechnungen handelt.
Die angebliche Rechnung versucht - soweit sich aus dem Quelltext erkennen lässt, auf die Dateien SHELL32.DLL und CMD.EXE sowie die Windows Registry zuzugreifen.
Update:
Laut Avira infiziert der Trojan-Downloader TR/Dldr.iBill.BD beim Ausführen des Anhangs das System. Er legt eine Kopie von sich in den Unterordner ?Microsoft common\svchost.exe? des Standard-Programmverzeichnisses ab und löscht die anfangs heruntergeladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt.
original text von http://www.computerhilfen.de/info/virenwarnung-tesch-inkasso.html
65.55.136.121 IP zum TRACERN,habe die durch den Dowload bekommen.
Muss aber erwähnen das die evl. hinter proxys in Russland stehen wodurch ich den provider nicht herausfinden konnte..
In der angehängten ZIP Datei ?Rechnung.zip? befinden sich statt der erwarteten Rechnung allerdings die schädlichen Programme ?Rechnung.txt.lnk? und ?zertifikat.ssl?, die auf keinen Fall angeklickt und ausgeführt werden dürfen.
Der Betreff der Emails lautet ?Auflistung der Kosten? oder ?TESCHINKASSO?, als Absender wurden unter anderem die Namen ?Tesch Inkasso?, ?Sybilla Sollner?, ?Isolde Nies? und ?Suleima Romer? genutzt. Zur Sicherheit finden Sie hier den gesamten Text der gefälschten Email:
Sehr geehrte Damen und Herren!
Die Anzahlung Nr.782117855433 ist erfolgt
Es wurden 4527.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.
Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen - der ist fuer Sie nicht von Bedeutung
TESCHINKASSO Forderungsmanagement GmbH
Geschaeftsfuehrer: Siegward Tesch
Bielsteiner Str. 43 in 51674 Wiehl
Telefon (0 22 62) 7 11-9
Telefax (0 22 62) 7 11-806
Ust-ID Nummer: 212 / 5758 / 0635
Amtsgericht Koeln HRB 39598
Bei den Emails variieren die Beträge sowie die ?Anzahlung Nr.?. Neben der Nr. 782117855433 wurden auch Emails mit den Zahlungsnummern ?034929561320? und ?082480759671? gesichtet. Besonders gefährlich ist die Email allerdings, da die Firma Tesch Inkasso tatsächlich existiert und auch die Adresse stimmt. Die für den Versand genutzten Email-Adressen (z.B. ?ngbnfcugrlvd@bogfire.com? oder ?ore@bommer.com?) verraten aber, dass es sich nicht um echte Rechnungen handelt.
Die angebliche Rechnung versucht - soweit sich aus dem Quelltext erkennen lässt, auf die Dateien SHELL32.DLL und CMD.EXE sowie die Windows Registry zuzugreifen.
Update:
Laut Avira infiziert der Trojan-Downloader TR/Dldr.iBill.BD beim Ausführen des Anhangs das System. Er legt eine Kopie von sich in den Unterordner ?Microsoft common\svchost.exe? des Standard-Programmverzeichnisses ab und löscht die anfangs heruntergeladene Version. Zudem verankert er den automatischen Aufruf der Kopie in der Systemregistrierung, indem er sie automatisch mit der Windows-Bedienoberfläche Explorer mitstartet. Danach lädt der Schädling eine Datei aus dem Internet herunter, die er im Windows-Systemverzeichnis ablegt.
original text von http://www.computerhilfen.de/info/virenwarnung-tesch-inkasso.html
65.55.136.121 IP zum TRACERN,habe die durch den Dowload bekommen.
Muss aber erwähnen das die evl. hinter proxys in Russland stehen wodurch ich den provider nicht herausfinden konnte..