Kryptotrojaner 06 20161

Perfider Trojaner im Anhang: Offene Betrag – Franz Himmel, Rechnung-2016-05-05.doc

Kryptotrojaner 06 20161"Von: [email protected] [mailto:[email protected]]
Gesendet: Montag, 6. Juni 2016 15:17
Betreff: Offene Betrag
Guten Tag,
Im Anhang dieser Email finden Sie Ihre Rechnung.
Wir mussten feststellen das Sie die Rechnung immer noch nicht bezahlt haben.
Der offene Betrag ist innerhalb von 1 Tag zu begleichen.
Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir dies an unser Inkasso weiter.
Mit freudliche Grüssen,
Franz Himmel"
Zugesandt bekam ich heute die oben stehende Mail. Im Anhange bedindet sich ein Word-Dokument (Rechnung-2016-05-05.doc). Keiner der 56 Virenscanner bei Virustotal erkannte inen Trojaner. Trotzdem steht für mich fest, das einer enthalten ist. Die Dokumentenvorschau in MS Outlook fordert mich explizit auf, Makros im Dokument zu zulassen. Ein sehr deutlicher Hinweis auf eine kompromittierte Datei.
Auch hier kann ich nur darauf hinweisen: Nicht Öffnen, Ignorieren, Löschen!

Kryptotrojaner im Anhang: Ihre Mai Rechnung – 0135382

"Von: Bela Takacs [mailto:[email protected]

Gesendet: Montag, 6. Juni 2016 09:35
An: [email protected]
Betreff: Ihre Mai Rechnung - 0135382
Sehr geehrter Kunde,
Wir kontaktieren Sie bezüglich der Rechnung MAI-173650-16 von Truffer Ingenieur-. Die Rechnung ist seit dem 15.Juni 2016 fällig und der ausstehende Betrag beträgt 1159.00 EUR. Wir möchten Sie höflichst bitten, den ausstehenden Betrag schnellstmöglich zu bezahlen.
Wir danken für Ihre prompte Begleichung des Betrages. Bitte kontaktieren Sie uns, wenn Sie weitere Fragen haben.
Mit freundlichen Grüssen.
Bela Takacs
Truffer Ingenieur- | 01 380 56 70"
Mich erreichte mal wieder eine Mail mit Word-Dokument (Rechnung_Mai-16-38877.doc) im Anhang. Angeblich eine Rechnung. Kurze Rede langer Sinn: Natürlich ein Makrovirus, der einen Download-Trojaner enthält. Immerhin 15 von 56 Scannern bei Virustotal erkannten ihn.
Jedenfalls gilt wie immer: Ignorieren, nicht Öffnen und Löschen!

Wieder Trojaner per Makrovirus: Rechnung 31074445 – Auftrag: 530655 – Ihre Bestellung: telef. Fa. Heitmann Metallhandel

"Von: [email protected] [mailto:[email protected]]
Gesendet: Donnerstag, 17. Dezember 2015 13:22
An: [email protected]
Betreff: Rechnung 31074445 - Auftrag: 530655 - Ihre Bestellung: telef.
gesendet von
Celine Kollmorgen
Tel: 0221/7772-274 - Fax: 0221/7772-255
--
Heitmann Metallhandel GmbH
Hansekai 3
50735 Köln
Telefon: +49 (0)221 - 77 72 - 1
Telefax: +49 (0)221 - 77 72 - 234
Registergericht: Köln
Registernummer: HRB 24078
Geschäftsführer: Werner Heitmann"

Im Anhang wieder eine Doc-Datei mit Trojaner: 31074445.DOC. Angeblich eine Rechnung der Firma Heitmann Metallhandel GmBH aus Köln. Auch das ist wieder ein Makrovirus, der einen Trojaner nachlädt.
Mail Löschen Anhang keinesfalls öffnen. Nur 6 von 53 Scannern erkennen den aktuell:
AVware LooksLike.Macro.Malware.gen!d3 (v)
Arcabit HEUR.VBA.Trojan
ESET-NOD32 VBA/TrojanDownloader.Agent.AMS
F-Secure Trojan:W97M/MaliciousMacro.GEN
GData Macro.Trojan-Downloader.Agent.FV
VIPRE LooksLike.Macro.Malware.gen!d3 (v)

bornebusch2

Trojaner im Anhang: Bestellung 96149 von Fa. Bornebusch

bornebusch2"Von: Tobias Baum - Bornebusch [mailto:[email protected]]
Gesendet: Mittwoch, 16. Dezember 2015 08:42
An: [email protected]
Betreff: Bestellung 96149
Mit freundlichen Grüßen
Tobias Baum Chacon
Bornebusch GmbH & Co. KG
Welterstr. 44
57072 Siegen
[email protected]
www.bornebusch.de
tel.: +49 (271) 77 25 9-0
fax: +49 (271) 4 45 08
Unsere allgemeinen Geschäftsbedingungen können Sie unter http://www.bornebusch.de/agb/ einsehen.

Geschäftsführer: Heinrich Bornebusch Amtsgericht Siegen HRB 7971
USt.-Id.-Nr.: DE 814585776
Steuer-Nr.: 342/5803/1390
HINWEIS: Diese Nachricht ist vertraulich und nur für den Adressaten bestimmt.
Sollten Sie irrtümlich diese Nachricht erhalten haben, bitte ich um Ihre Mitteilung per E-Mail oder unter der oben angegebenen Telefonnummer."

 

ACHTUNG! auch das ist keine echte Bestellung! Die angehängte Datei 20151216084136.doc einhält einen Makro-Virus, welcher den Krypto-/ Erpressungstrojaner nachlädt und installiert.

Mail einfach löschen! Anhang nicht öffnen!

Die Fa. Bornebusch weiß wahrscheinlich gar nicht das in Ihrem Namen solche Mails versendet werden. Telefonisch ist auch leider keiner zu erreichen dort.

Nur 4 von 52 Virenscannern erkennen diese Gefahr laut virustotal.com:

Arcabit: HEUR.VBA.Trojan
F-Secure: Trojan:W97M/MaliciousMacro.GEN
Fortinet: WM/Agent!tr
Qihoo-360: heur.macro.download.cc

Trojaner im Anhang: FW: Scan from a Samsung MFP

"Von: Gareth Evans [mailto:[email protected]]
Gesendet: Montag, 14. Dezember 2015 11:26
An: [email protected]
Betreff: FW: Scan from a Samsung MFP
Regards
Gareth
-----Original Message-----
Please open the attached document. It was scanned and sent to you using a
Samsung MFP. For more information on Samsung products and solutions, please
visit http://www.samsungprinter.com.
This message has been scanned for malware by Websense. www.websense.com"

In letzter Zeit erreichen mich oft E-Mails, welche so aussehen, als kämen sie von einem Dokumentenscanner. Manchmal sogar mit einer gefälschten Absender E-Mail-Adresse, welche mit einer meiner Domains endet. Meist sind .doc, .pdf oder .zip Dateien im Anhang. Hier z.B. findet sich im Anhang ein .Doc Word-Dokument, welches einen Makrovirus enthält. (w97.Downloader.AKJ)
Ob Canon, Kyocera oder Samsung – auf keinen Fall senden solche Geräte DOC oder ZIP Dateien.
Anhang nicht öffnen, Mail löschen!