Packstation App Manager Trojaner

„Von: DHL Paket [email protected]
Gesendet: Mittwoch, 3. Oktober 2018 22:05
An: [email protected]
Betreff: Ihre Packstation-Sendung liegt nur noch 2 Tage bereit
Guten Tag
Aufgrund des erfolglosen Zustellversuchs wurde das Paket unter der Nummer 00340434334058107863 zur Aufbewahrung an die Packstation 110 in Köln ausgeliefert.
Wenn Sie das Paket innerhalb von zwei Arbeitstagen nicht wegnehmen, wird es an den Absender zurückgeschickt.
WICHTIG: Um den Status des Pakets zu überwachen, die Adresse seiner Zustellung zu ändern oder seine Liegezeit auf der Packstation zu erweitern, müssen Sie eine persönliche TAN-Nummer in unserem System haben.
Um diese Nummer zu erhalten, müssen Sie unsere neueste Anwendung „Packstation App Manager“ installieren und sich dort registrieren. Sie können diese Anwendung direkt auf Ihre Handy herunterladen, indem Sie auf den folgenden Link klicken:
Beste Grüße Ihr DHL Team
Jetzt downloaden >
DHL Paket GmbH
Sträßchensweg 10
53113 Bonn
Registergericht Bonn
HRB 19565
USt-IdNr.: DE 813312787 Geschäftsführung:
Norman Chmiel
Dr. Achim Dünnwald
Martin Linde
Christian Metzner
Dr. Christian Schawel
Vorsitzender des
Aufsichtsrates: Uwe Brinks Website
Kontakt
Impressum
Datenschutz
© 2018 DHL“

Heute erhielt ich diese E-Mail. Der Download läd eine .APK Datei „DHL_Packstation_App_Manager1_nlhdavvhlq2d20qv3hgl1g81hub8h0y9o09q8jda_protected_180155.apk“ herunter. Diese Datei enthält die Schadsoftware.
Man kann leicht am Absender erkenen, dass dieser nichts mit DHL oder der Packstation zu tun hat.
Wie immer gilt: Ignorieren und Löschen!

Trojaner im Anhang: Offene Rechnung: Buchung 37670789 Ebay Amazon

"Von: Stellvertretender Rechtsanwalt Ebay AG [mailto:[email protected]

Gesendet: Dienstag, 3. Januar 2017 05:06
An: Mein Name [email protected]
Betreff: Offene Rechnung: Buchung 37670789
Sehr geehrte(r) Mein Name,
bedauerlicherweise haben wir festgestellt, dass die Zahlungsaufforderung NR. 376707892 bislang erfolglos blieb. Jetzt bieten wir Ihnen hiermit letztmalig die Chance, den nicht gedeckten Betrag der Firma Ebay AG zu decken.
Aufgrund des bestehenden Zahlungsausstands sind Sie verpflichtet dabei, die durch unsere Inanspruchnahme entstandene Gebühren von 95,05 Euro zu tragen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 72 Stunden. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 02.01.2017.
Wir erwarten die gesamte Überweisung inklusive der Gebühren bis spätestens 09.01.2017 auf unser Konto. Können wird bis zum genannten Datum keine Zahlung bestätigen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten gehen zu Ihrer Last.
Vertragliche Personalien:

Mein Name mit Adresse und Handynummer

Die detaillierte Forderungsausstellung Nummer 376707892, der Sie alle Einzelpositionen entnehmen können, ist beigelegt.
Mit freundlichen Grüßen
Stellvertretender Rechtsanwalt Jeremy Kölderer"
Mal wieder ein plumper Versuch einen Trojaner unterzujubeln. Im Anhang befindet sich wieder eine doppelt gezipte Datei mit Javascript, welches den Virus herunterlädt.
Wie immer gilt: Ignorieren und Löschen!

thalia1

Trojaner im Anhang: Auftrag Nr. 450115147 – Thalia

thalia1"Von: Thalia [mailto:[email protected]

Gesendet: Freitag, 2. September 2016 08:51
An: [email protected]
Betreff: Auftrag Nr. 450115147
Ihre Kundennummer: 4472813
Auftragsnummer: 450115147
Auftragssumme: 47 Eur
Liebe Kundinnen und Kunden,
Danke für Ihre Bestellung.
Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).
Mit freundlichen Grüßen
Ihr Thalia-Versand Team
Thalia GmbH
Hinweis:
Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader."
Hier die nächste Version: Im Anhang ist die „info1773700045.zip“, welche den Trojaner in der „info1773700045.pdf .vbe“ enthält.
Ignorieren und Löschen!

 

Susanne Kleinert1

Trojaner im Anhang: Bewerbung – Arbeitsagentur Susanne Kleinert

Susanne Kleinert1"Von: Susanne Kleinert [mailto:[email protected]

Gesendet: Donnerstag, 1. September 2016 10:04
An: [email protected]
Betreff: Bewerbung - Arbeitsagentur
Sehr geehrte Damen und Herren,
anbei erhalten Sie meine Bewerbung für Ihre in der Jobbörse ausgeschriebenen Stelle. Warum ich die Stelle optimal ausfüllen kann und Ihrem Unternehmen durch meine Erfahrung zahlreiche Vorteile biete, entnehmen Sie bitte meinen ausführlichen und angehängten Bewerbungsunterlagen.
Ich freue mich, wenn ich mich Ihnen noch einmal persönlich vorstellen kann.
Mit freundlichen Grüßen,
Susanne Kleinert"
Heute kam auch mal wieder eine „Bewerbung“ an. Im Anhang ein Foto aus dem Internet, welches auch auf verschiedenen Xing Profilen verwendet wird und eine ZIP-Datei (Bewerbung – Susanne Kleinert.zip) mit dem Trojaner, wie bei der Bewerbung von Tim Lerchner 😉 Anscheinend hat man da den Namen und das Foto mal getauscht und versucht auf diesem Wege neue „Opfer“ zu finden. (Update: am 27.10.2016 kam die gleiche Mail nochmals von „Martina Fischer“.
Update: am 14.11.2016: Gleich E-Mail von „Claudia Richter“.)
Auch hier gilt: Ignorieren und Löschen.

trojaner computer

Trojaner im Anhang: UPS Bestellung DE717775418, DE292168661, DE_507312545

trojaner computer"Von: United Parcel Service Deutschland Inc. & Co. OHG [mailto:[email protected]]
Gesendet: Donnerstag, 1. September 2016 08:55
An: [email protected]
Betreff: Bestellung
Sehr geehrter Herr,
bei der Zustellung Ihrer Bestellung DE736125561 hat der Paketbote versucht, Sie telefonisch zu erreichen, leider ohne Gelingen. Aus diesem Grund wurde die Bestellung zuruck zur Sortierstelle buro.
Wir haben festgestellt, dass im Moment der Paketanmeldung eine falsche Telefonnummer angegeben wurde.
Wir bitten Sie den Lieferschein, den wir an dieses Schreiben angehangt haben, auszudrucken, und sich an die nachstliegende UPS-Filiale zu wenden.
Mit freundlichen GruBen,
United Parcel Service Deutschland Inc. & Co. OHG Germany"
Hier mal wieder eine „UPS-Mail“ mit Trojaner im Anhang. Angehängt ist „DE_507312545.rar“, welche ein Javascript „DE_507312545.js“ beinhaltet. Diese Javascript lädt dann die eigentliche Schadsoftware aus dem Internet herunter und infiziert das System.
Diese Mail gibt es in verschiedenen Variationen, z.B: auch mit DE717775418 und DE292168661.rar im Anhang.
Davon abgesehen, das UPS-EMails anders aussehen, erkennt man schon am schlechten Deutsch,sowie an der Absender E-Mailadresse, dass es nicht echt ist.
Wie immer gilt auch hier: Ignorieren und Löschen!

comtech1

Trojaner im Anhang: Betreff: Auftrag Nr. 992829599 Comtech

comtech1"Von: Comtech [mailto:[email protected]

Gesendet: Mittwoch, 24. August 2016 12:38
An: [email protected]
Betreff: Auftrag Nr. 992829599
Ihre Kundennummer: 7725656
Auftragsnummer: 992829599
Auftragssumme: 93 Eur
Liebe Kundin,
Lieber Kunde,
Danke für Ihre Bestellung!
Bitte schauen Sie in den PDF-Anhang für nähere Informationen (klicken Sie doppelt auf das PDF-Dokument).
Mit freundlichen Grüßen
Ihr Comtech-Versand Team
Comtech GmbH
Hinweis:
Zum Öffnen der PDF-Datei im Anhang benötigen Sie den Acrobat Reader.
Den Gratis-Download des Programms finden Sie unter http://get.adobe.com/de/reader."
Wieder Mal was neues: Eine angehängte Auftragsbestätigung, welche angeblich eine PDF Datei sein soll. Schaut man genauer hin, sieht man nach einigen Leerzeichen im Namen die Endung .vbe. Es ist also eine Visual Basic Datei, welche direkt ausgeführt werden kann. Angeklickt und schon zu spät. Glücklicherweise blockiert MS Outlook solche Dateien. Die meisten unbedarften Nutzer würden wohl klicken und dann noch mehrmals, weil sich das vermeindliche PDF nicht öffnet.
Wie immer gilt auch hier: Ignorieren und Löschen!

trojaner computer

Krypto-Trojaner in angeblicher Rechnung:Rechnung für Eigener Name Nr. 674513483

trojaner computer"Von: Abrechnung OnlinePayment GmbH [mailto:[email protected]

Gesendet: Dienstag, 16. August 2016 19:14
An: Mein Name
Betreff: Rechnung für Mein Name Nr. 674513483
Sehr geehrte/r Mein Name,
leider mussten wir feststellen, dass die Erinnerung Nr. 674513483 bislang ergebnislos blieb. Nun geben wir Ihnen nun letztmalig die Möglichkeit, den ausbleibenden Betrag der Firma OnlinePayment GmbH zu begleichen.
Hinterlegte Daten:
Mein Name
Alte echte Adresse
Tel. Meine Handynummer
Aufgrund des bestehenden Zahlungsverzug sind Sie gezwungen dabei, die durch unsere Tätigkeit entstandene Gebühren von 58,30 Euro zu tragen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um weitete Mahnkosten zu vermeiden, bitten wir Sie den fälligen Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungen bis zum 15.08.2016.
Wir erwarten die Überweisung bis zum 18.08.2016 auf unser Bankkonto. Falls wir bis zum genannten Datum keine Überweisung einsehen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Sämtliche damit verbundenen Kosten werden Sie tragen.
Die vollständige Forderungsausstellung ID 674513483, der Sie alle Positionen entnehmen können, ist beigefügt.
Sollten Sie den Rechnungsbetrag bereits vorab an uns überwiesen haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt.
Mit freundlichen Grüßen
Abrechnung Benjamin Wolf"
Das ist natürlich ein Betrugsversuch. Um einen gut personalisierten, sogar. Im Anhang befindet sich eine Zip-Datei: „Mein Name Abrechnung OnlinePayment GmbH.zip“, welche eine weiter Zip-Datei enthält: „Meine Name 15.08.2016 Mahnung Abrechnung OnlinePayment GmbH.zip“. Diese wiederum enthält eine direkt ausführebare .Com-Datei: „15.08.2016 Mein Name Mahnung Abrechnung OnlinePayment GmbH.com“. In dieser ist der Trojaner enthalten.
Virustotal.com zeigt, nur 16 der 54 Viren-Scanner erkennen diesen Virus zur Zeit. Scheinbar handelt es sich um Teslacrypt in der Version 5.

Keiner verschickt Rechnungen, Zahlungserinnerungen oder sonstige Dokumente als Zip-Datei.
Die E-Mail und auch ähnliche einfach ignorieren und löschen!

deutsche bank trojaner 07 2016

Trojaner-Download mit Excel-Datei: Neue Sicherheitsrichtlinien Deutsche Bank

deutsche bank trojaner 07 2016"Von: Deutsche Bank Privat- und Geschaftskunden AG [mailto:[email protected]

Gesendet: Freitag, 8. Juli 2016 07:02
An: [email protected]
Betreff: Neue Sicherheitsrichtlinien
Deutsche Bank
Sehr geehrter Deutsche Bank Kunde,
wir bemühen uns stets, Ihre Sicherheit auf dem höchsten Niveau zu halten.
Kürzlich haben wir unser Sicherheitssystem verbessert und optimiert um Sie noch besser vor Betrug zu schützen.
Bedingt durch die neuen Sicherheitsrichtlinien bitten wir Sie, Ihre Daten, sowie Ihre Mobilfunknummer zu aktualisieren und Ihr Konto den neuen Standarts anzupassen.
Falls in 48 Stunden keine Aktualisierung Ihrerseits erfolgt, erheben wir eine Bearbeitungsgebühr von 23,99 EUR. Der Betrag wird automatisch von Ihrem Konto eingezogen und Sie erhalten den das Schreiben innerhalb weniger Tage per Post.
Bitte öffnen Sie die Exel-Datei im Anhang der Mail und fullen Sie die Form aus. Klicken Sie danach auf "Daten speichern", somit werden die Daten automatisch an die Bank gesendet.
Anmerkung: Makros mussen diese aktiviert sein.
Mit freundlichen Grüßen
Julia Grahle
Deutsche Bank AG
Taunusanlage 12
60325 FRANKFURT AM MAIN (für Briefe und Postkarten: 60262)
DEUTSCHLAND"
Das kam gerade frisch rein. Die subtile Drohung, wenn man nicht reagiert Kosten entstehen zu lassen, hilft möglicherweise bei Einigen. Die Excel-Datei formular_id4007134874.xls im Anhang wird aktuell jedenfalls von KEINEM der 52 Anti-Virus Tests auf virustotal.com erkannt! Vermutlich also eine neue Version eines Kryptotrojaners, wie Teslacrypt oder Locky.
Auf jeden Fall: Datei keinesfalls öffnen und schon gar nicht, wie in der Mail gefordert, die Makros aktivieren. Dadurch startet man den Trojaner und er beginnt den Schad-Code aus dem Internet nachzuladen.
Wie immer: Ignorieren und Löschen!

Komplett personalisierte Viren-Mail: Rechnung für Mein Name noch offen: Nr. 86850817

"Von: Sachbearbeiter GiroPay AG [mailto:[email protected]

Gesendet: Donnerstag, 9. Juni 2016 08:10
An: Mein Name <[email protected]>;
Betreff: Rechnung für Mein Name noch offen: Nr. e
Sehr geehrte/r Mein Name,
bedauerlicherweise mussten wir feststellen, dass die Zahlungsaufforderung Nummer 868508176 bis jetzt ergebnislos blieb. Jetzt gewähren wir Ihnen nun letztmalig die Möglichkeit, den ausbleibenden Betrag unseren Mandanten GiroPay AG zu decken.
Aufgrund des andauernden Zahlungsrückstands sind Sie angewiesen außerdem, die durch unsere Inanspruchnahme entstandene Kosten von 82,45 Euro zu tragen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von drei Werktagen. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 08.06.2016.
Vertragsdaten:
Mein Name
Meine Straße
PLZ Ort
Tel. Meine Handynummer
Die Überweisung erwarten wir bis spätestens 15.06.2016. Können wird bis zum genannten Datum keine Überweisung verbuchen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten gehen zu Ihrer Last.
Eine vollständige Forderungsausstellung ID 868508176, der Sie alle Einzelpositionen entnehmen können, ist beigefügt.
Sollten Sie den Rechnungsbetrag bereits vorab an uns gezahlt haben, ist dieses Schreiben nur für Ihre Unterlagen bestimmt. Falls Sie Fragen haben, stehen wir Ihnen telefonisch gerne zur Verfügung.
Mit besten Grüßen
Sachbearbeiter Jamie Fuch"

Die E-Mail erreichte mich heute. Ich war überrascht, das alle meine Daten korrekt waren, sogar die Handynummer. Wie immer habe ich hier natürlich meinen Namen durch „Mein Name“ ersetzt und auch die Mail-Adresse abgeändert.
Im Anhang befindet isch eine ZIP.Datei (Mein Name Sachbearbeiter GiroPay AG 09.06.2016.zip), welche wiederum eine ZIP.Datei (Mein Name 09.06.2016 Mahnung Sachbearbeiter GiroPay AG.zip) enthielt. Darun war eine ausführbare Datei mitr dem Namen ‚Mein Name Rechnung Sachbearbeiter GiroPay AG.com‘ enthalten. Nur zwei von 57 Virenscannern bei Virustotal.com erkannten einen Virus. Gleichzeitig konnte ich feststellen, dass auch ähnliche Mails an andere Leute gegangen sind. Voan anderen Zahlungsdienstleistern, wie z.B: Directpay24.
Natürlich falle ich auf so etwas nicht herein.
Auch hier gilt: Mail Ignorieren und Löschen!

Kryptotrojaner 06 20161

Perfider Trojaner im Anhang: Offene Betrag – Franz Himmel, Rechnung-2016-05-05.doc

Kryptotrojaner 06 20161"Von: [email protected] [mailto:[email protected]]
Gesendet: Montag, 6. Juni 2016 15:17
Betreff: Offene Betrag
Guten Tag,
Im Anhang dieser Email finden Sie Ihre Rechnung.
Wir mussten feststellen das Sie die Rechnung immer noch nicht bezahlt haben.
Der offene Betrag ist innerhalb von 1 Tag zu begleichen.
Wir raten Ihnen die Rechnung sofort zu bezahlen ansonsten leiten wir dies an unser Inkasso weiter.
Mit freudliche Grüssen,
Franz Himmel"
Zugesandt bekam ich heute die oben stehende Mail. Im Anhange bedindet sich ein Word-Dokument (Rechnung-2016-05-05.doc). Keiner der 56 Virenscanner bei Virustotal erkannte inen Trojaner. Trotzdem steht für mich fest, das einer enthalten ist. Die Dokumentenvorschau in MS Outlook fordert mich explizit auf, Makros im Dokument zu zulassen. Ein sehr deutlicher Hinweis auf eine kompromittierte Datei.
Auch hier kann ich nur darauf hinweisen: Nicht Öffnen, Ignorieren, Löschen!