Kryptotrojaner 06 20161

Perfider Trojaner im Anhang: Offene Betrag – Franz Himmel, Rechnung-2016-05-05.doc

Kryptotrojaner 06 20161"Von: [email protected] [mailto:[email protected]]
Gesendet: Montag, 6. Juni 2016 15:17
Betreff: Offene Betrag
Guten Tag,
Im Anhang dieser Email finden Sie Ihre Rechnung.
Wir mussten feststellen das Sie die Rechnung immer noch nicht bezahlt haben.
Der offene Betrag ist innerhalb von 1 Tag zu begleichen.
Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir dies an unser Inkasso weiter.
Mit freudliche Grüssen,
Franz Himmel"
Zugesandt bekam ich heute die oben stehende Mail. Im Anhange bedindet sich ein Word-Dokument (Rechnung-2016-05-05.doc). Keiner der 56 Virenscanner bei Virustotal erkannte inen Trojaner. Trotzdem steht für mich fest, das einer enthalten ist. Die Dokumentenvorschau in MS Outlook fordert mich explizit auf, Makros im Dokument zu zulassen. Ein sehr deutlicher Hinweis auf eine kompromittierte Datei.
Auch hier kann ich nur darauf hinweisen: Nicht Öffnen, Ignorieren, Löschen!

Kryptotrojaner im Anhang: Ihre Mai Rechnung – 0135382

"Von: Bela Takacs [mailto:[email protected]

Gesendet: Montag, 6. Juni 2016 09:35
An: [email protected]
Betreff: Ihre Mai Rechnung - 0135382
Sehr geehrter Kunde,
Wir kontaktieren Sie bezüglich der Rechnung MAI-173650-16 von Truffer Ingenieur-. Die Rechnung ist seit dem 15.Juni 2016 fällig und der ausstehende Betrag beträgt 1159.00 EUR. Wir möchten Sie höflichst bitten, den ausstehenden Betrag schnellstmöglich zu bezahlen.
Wir danken für Ihre prompte Begleichung des Betrages. Bitte kontaktieren Sie uns, wenn Sie weitere Fragen haben.
Mit freundlichen Grüssen.
Bela Takacs
Truffer Ingenieur- | 01 380 56 70"
Mich erreichte mal wieder eine Mail mit Word-Dokument (Rechnung_Mai-16-38877.doc) im Anhang. Angeblich eine Rechnung. Kurze Rede langer Sinn: Natürlich ein Makrovirus, der einen Download-Trojaner enthält. Immerhin 15 von 56 Scannern bei Virustotal erkannten ihn.
Jedenfalls gilt wie immer: Ignorieren, nicht Öffnen und Löschen!

Makrovirus mit Trojaner-Download: Lieferschein Fa. Textilreinigung Klaiber

"Von: Textilreinigung Klaiber [mailto:[email protected]

Gesendet: Dienstag, 22. Dezember 2015 09:16
An: [email protected]
Betreff: Lieferschein

Sehr geehrte Damen und Herren,
in der Anlage erhalten Sie wie gewünscht den aktuellen Lieferschein.
Bei Fragen stehen wir Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen

Textilreinigung Klaiber
Gewerbestrasse 39
78054 VS - Schwenningen
Telefon 07720 / 33238
Telefax 07720 / 33641
ser[email protected]"

Auch heute erreichten mich wieder zahlreiche Makroviren mit Trojaner-Download. Neu war z.B. dieser hier. Im Anhang die 11815–113686.doc enthält den Macro.Trojan-Downloader.Agent.KF. Das Schlimme ist, das nur 1 von 54 Virenscannern den Virus erkennt. Ichhoffe die Erkennungsrate verbessert sich schnell!

Vorsicht – Mail einfach Löschen Anhang nicht öffnen!

bornebusch2

Trojaner im Anhang: Bestellung 96149 von Fa. Bornebusch

bornebusch2"Von: Tobias Baum - Bornebusch [mailto:[email protected]]
Gesendet: Mittwoch, 16. Dezember 2015 08:42
An: [email protected]
Betreff: Bestellung 96149
Mit freundlichen Grüßen
Tobias Baum Chacon
Bornebusch GmbH & Co. KG
Welterstr. 44
57072 Siegen
[email protected]
www.bornebusch.de
tel.: +49 (271) 77 25 9-0
fax: +49 (271) 4 45 08
Unsere allgemeinen Geschäftsbedingungen können Sie unter http://www.bornebusch.de/agb/ einsehen.

Geschäftsführer: Heinrich Bornebusch Amtsgericht Siegen HRB 7971
USt.-Id.-Nr.: DE 814585776
Steuer-Nr.: 342/5803/1390
HINWEIS: Diese Nachricht ist vertraulich und nur für den Adressaten bestimmt.
Sollten Sie irrtümlich diese Nachricht erhalten haben, bitte ich um Ihre Mitteilung per E-Mail oder unter der oben angegebenen Telefonnummer."

 

ACHTUNG! auch das ist keine echte Bestellung! Die angehängte Datei 20151216084136.doc einhält einen Makro-Virus, welcher den Krypto-/ Erpressungstrojaner nachlädt und installiert.

Mail einfach löschen! Anhang nicht öffnen!

Die Fa. Bornebusch weiß wahrscheinlich gar nicht das in Ihrem Namen solche Mails versendet werden. Telefonisch ist auch leider keiner zu erreichen dort.

Nur 4 von 52 Virenscannern erkennen diese Gefahr laut virustotal.com:

Arcabit: HEUR.VBA.Trojan
F-Secure: Trojan:W97M/MaliciousMacro.GEN
Fortinet: WM/Agent!tr
Qihoo-360: heur.macro.download.cc

Trojaner im Anhang: Paket angekommen.

„Von: DHL Paket [mailto:[email protected]]
Gesendet: Mittwoch, 16. Dezember 2015 09:47
An: [email protected]
Betreff: Paket angekommen.
Guten Tag [email protected]
Ihr Paket id_61657147 ist empfangsbereit.
Diese e-mail ist eine Mitteilung für die Ankunft.
Lieferung durch den Absender gezahlt.
Die Hohe der Versicherungspaket € 1.670.
Um das Sendung zu bekommen , bitte drucken Sie das angehangte Dokument und prasentieren sie in einem Lagerhaus.
===
Herzliche Grüße
Ihr DHL Team
________________________________________
DHL Paket GmbH
Sträßchensweg 10
53113 Bonn

Registergericht Bonn
HRB 19565
USt-IdNr.: DE 813312787
Geschäftsführung:
Dr. Andrej Busch
Katja Herbst
Norman Chmiel
Heinrich Eilers
Dr. Thomas Ogilvie
Vorsitzender des Aufsichtsrates: Uwe Brinks © 2015 DHL“

In der angehängte ZIP-Datei befindet sich ein Javascript: DHL_ID_paket.js, welches vermutlich einen Trojaner, wo möglich sogar einen Kryto-Trojaner oder Erpressungs-Trojaner.
Grundsätzlich schickt DHL zwar Benachrichtigungen per E-Mail, aber immer ohne Anhang.
E-Mail also löschen und keinesfalls öffnen. Nicht alle Virenscanner erkennen Ransomware in Javascripten.

Verschiedene Scanner erkennen verschiedene Schädlinge:
ClamAV: Suspect.Bredozip-zippwd-2
Cyren: JS/Downldr.DB
ESET-NOD32: JS/TrojanDownloader.Agent.OEC
F-Prot: JS/Downldr.DB
TrendMicro: Possible_SCRDL
TrendMicro-HouseCall: Possible_SCRDL