Luftfrachsendung AWB


Wer eine Mail mit dem Betreff "Luftfrachsendung AWB"
erhält, sollte diese an uns weiterleiten.

From: "Information" <info@first-class-zollservice.de> (gefälschter Absender)
To:
Subject: Luftfrachsendung AWB
Date:
Luftfrachsendung AWB
Luftfrachsendung AWB

Hallo,

anbei der AWB bitte bestätigen ob alles Ok ist.

Danke**

Mit freundlichen Grüßen

First Class Zollservice &

Transportvermittlungs GmbH

Niederlassungsleiter

Nordendstraße. 32 B

64546 Mörfelden Walldorf

Tel.: 06105 / 40352 11

Fax: 06105 / 40352 20

www.first-class-zollservice.de

Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 /

Schulungen im Bereich Zoll- und Außenwirtschaft

Wir arbeiten ausschließlich auf Grundlage der Allgemeinen Deutschen Spediteurbedingungen(ADSp), jeweils neueste Fassung.

Diese beschränken in Ziffer 23 ADSp die gesetzliche Haftung für Güterschäden nach § 431 HGB für Schäden im speditionellen

Gewahrsam auf EUR 5,- je Kg. Bei multimodalen Transporten unter Einschluss einer Seebeförderung auf 2 Sonderziehungsrechte

je Kg sowie darüber hinaus je Schadenfall bzw. - ereignis auf EUR 1,0 bzw. 2,0 Mio. oder 2 Sonderziehungsrechte /kg, je nach dem,

welcher Betrag höher ist.

Es hängt an:
AWB-Avis 404-45706119.pdf.zip
Nummer kann evtl. varieren.
Rund 11,3KB groß

Scanergebniss der enthaltenen EXE-Datei:

https://www.virustotal.com/file/3147...is/1362499166/
MD5: ce02b23b408b4d155f654b3141ca7392
SHA1: 7a028988ed41b15a353c5d7f522143f338f14582
Detect: 28 / 46

Trojan.Generic.KDV.884539 (MicroWorld-eScan)
Trojan.Generic.KDV.884539 (nProtect)
PWS-Zbot-FAMO!CE02B23B408B (McAfee)
Trojan.Ransom.FMS (Malwarebytes)
Backdoor.Trojan (Symantec)
Troj_Generic.IADUJ (Norman)
BKDR_ANDROM.DSA (TrendMicro-HouseCall)
Win32:Malware-gen (Avast)
Trojan-Downloader.Win32.Andromeda.tcg (Kaspersky)
Trojan.Generic.KDV.884539 (BitDefender)
Trojan.Win32.Agent.30724.A (ViRobot)
Troj/Agent-AAKT (Sophos)
Heur.Suspicious (Comodo)
Backdoor:W32/Agent.DUJI (F-Secure)
Trojan.Packed.23959 (DrWeb)
Trojan.Win32.Generic!BT (VIPRE)
TR/Andromeda.AQ (AntiVir)
BKDR_ANDROM.DSA (TrendMicro)
Heuristic.BehavesLike.Win32.Suspicious-BAY.K (McAfee-GW-Edition)
Trojan.Win32.Zbot (A) (Emsisoft)
Worm:Win32/Gamarue.I (Microsoft)
Trojan.Generic.KDV.884539 (GData)
Trojan/Win32.Inject (AhnLab-V3)
Backdoor.Trojan (PCTools)
Win32/TrojanDownloader.Wauchos.A (ESET-NOD32)
Trojan-Spy.Zbot (Ikarus)
SHeur4.BCPE (AVG)
Trj/Zbot.M (Panda)



Es handelt sich hierbei um Backdoor.Andromeda

Die Malware startet eine Kopie ihrer selbst:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"49942"
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msolaaaz.com

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Debugger
logonvdmon.exe

Eine weitere Kopie des Backdoors, zu finden unter:
C:\WINDOWS\system32\logonvdmon.exe

Außerdem wird Trojan.Zbot geladen und gestartet:

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
Random Name
C:\Documents and Settings\Administrator\Application Data\Anory\idwehog.exe

die Malware verbindet zu:

iprice.pl/image.php

dudebox.pl/image.php

dyndin.ru/image.php

linebench.ru/image.php

petblog.pl/image.php

diese ist in der Lage, sensible Daten zu stehlen, und weitere Malware nachzuladen.

Bitte beachten!
- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
http://markusg.trojaner-board.de/
- Mails, die man erhält, immer gründlich lesen.
- wer den Anhang ausgeführt hat, bitte ein Thema hier im Forum eröffnen.[/QUOTE]
- Beachtet die doppelte Dateiändung, hiermit wird versucht euch eine PDF als EXe unterzujubeln

Hallo Markus,

Ich habe genau diese Email in meinem Arbeitspostfach gehabt. Der von dir beschriebene Anhang ist auch dabei, habe Ihn aber nicht geöffnet, sondern habe erst mal den Absender gegooglet und bin so auf dich gestossen.

Bitte lasse mich wissen, ob ich diese Email noch an dich weiterleiten soll und wie ich dabei vorgehen soll.

LG

Dirk

hi
war im urlaub.
diese spezielle is nu leider zu alt, aber spam im allgemeinen währe interessant.

Hallo Markus,
... heute eingegangen - offenbar eine neue Welle - nun mit direktem PDF-Anhang (keine verschleierte EXE) - der Inhalt eine %PDF-1.1 mit u.a.:
...
5 0 obj
<< /Length 46 >>
stream
BT
/F1 12 Tf
100 700 Td
(Kann nicht geoffnet Dokumentation. Aktualisieren Sie den Adobe Acrobat Reader.)Tj

ET
endstream
endobj

6 0 obj
[/PDF /Text]
endobj

7 0 obj
<<
/Type /Font
/Subtype /Type1
/Name /F1
/BaseFont /Helvetica
/Encoding /MacRomanEncoding
>>
endobj

8 0 obj
<<
/Type /Action
/S /Launch
/Win
<<
/F (hxxp://bmconsultingservice.it/download.adobe.com/)

>>
>>
endobj

Die Action irritiert: Download von adobe.com ??

Kannst du damit was anfangen (brauchst du die ganze mail)?

tschau, jürgen

Hallo,
habe die Mail heute auch bekommen und es wäre fast die Erste gewesen, wo ich drauf rein gefallen bin. Grund: Anhang ist nicht pdf.exe, der Zollservice hat seinen Sitz in Mörfelden Walldorf (also bei mir in der Nähe) und ganz zufällig warte ich auch gerade auf meine erste Bestellung aus Übersee.
Gut, dass ich erst noch mal gegooglet habe.

Wenn ihr die Mail braucht, wo soll ich sie hin schicken?

Gruß, Sebastian

Habs auch bekommen!
pdf Datei ist nur 2kb groß!

habs auch bekommen aber wie oben geschrieben keinen anhang
habe auch geantwortet da ich auch auf eine lieferung warte

was soll ich tun

grade mir muss das passieren bin immer vorsichtig aber jetzt oh man

mfg
bofan

heute auch diese mail bekommen und aus versehen auf die pdf geklickt, schien aber wirklich ne pdf zu sein. Hinterher mit avast alles gescannt, nichts gefunden. hoffe bleibt alles ok

hallo hab heute denn 18.01.2014 um 18:51 Uhr eine e-mail bekomm dieses stand in der mail..
Hallo,

anbei der AWB bitte bestätigen ob alles Ok ist.

Danke



Mit freundlichen Grüßen
First Class Zollservice &
Transportvermittlungs GmbH
Niederlassungsleiter
Nordendstraße. 37b
26063 Mörfelden Walldorf


Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 /
Schulungen im Bereich Zoll- und Außenwirtschaft


mit ein anhang einer pdf datei
was soll ich tun, soll ich sie ignorrieren ..?!

ich bitte um antwort
lg
euer eps01

Ich habe diese Mail auch bekommen. Da ich grundsätzlich alles scanne, bevor ich es öffne, habe ich das getan, aber ohne Ergebnis (F-Secure Internetsecurity).
Danach habe ich die PDF geöffnet. Die Datei war nach dem Namen nach auch nur eine PDF, ganz ohne exe am Dateieinde.
Es kam nur die Meldung, dass mein Reader nicht auf dem neuesten Stand sei, um die Datei lesen zu können.
Danach wurde mir etwas mulmig, da der Reader auf dem neuesten Stand ist und habe dann F-Secure den Computer scannen lassen. Ohne Ergebnis.
Ich habe die PDF dann mit einem Editor geöffnet und es war der gleiche Text darin zu finden, wie er hier schon zitiert wurde.
Die Handüberprüfung der Registrierung und der Systemdateien ergab, dass keine der hier im Thread aufgeführten Daten und Registrierschlüssel zu finden waren.
Ich habe die Mail mal an den Inhaber des Fourms weitergeleitet.
Mal sehen, was passiert.
Ich hoffe, dass der "Schädiger" bei der neuesten Version schlicht vergessen hat, den Trojaner in der Datei zu verstecken und dass nichts passiert ist. Wenn doch, findet F-Secure den Trojaner offenbar nicht.
Ich werde aber zusätzlich noch heute die Mail an F-Secure weiterleiten, vielleicht können die bestätigen, dass da ein Trojaner versteckt oder ggf. durch die Mail nachgeladen wird, dazu ein "Gegenmittel" finden oder aber dass die Mail harmlos war, was ich schwer hoffe.
Künftig werde ich noch vorsichtiger sein und erst einmal das Board hier kontaktieren, um zu sehen, ob da ggf. schon etwas vorliegt.
Da ich in den letzten Wochen so einiges bestellt hatte, auch aus den USA und England, hätte es durchaus sein können, dass diese Mail tatsächlich daher kam, woher sie vermeidlich kam.

So, ich habe gestern die Mail samt "PDF" nach F-Secure weitergeleitet, damit die prüfen können, was da in der Mail von gestern tatsächlich drin war, nachdem ich selbst und auch F-Secure nach einem vollständigen Computerscan nichts gefunden hatte.
Es musste sich also um eine neue Version handeln, als die, die hier im Thread ganz zu Anfang besprochen wurde, denn auch nach der Handüberprüfung der Registry etc., konnte ich nichts von dem finden, was zu finden sein sollte.

Hier die Mail, die ich vor 10 Minuten von F-Secure dazu im Postfach hatte:

Zitat:

Hello,

Thank you for your submission.

The file you sent was found to be malicious. We will be detecting the sample you submitted as Trojan.PDF.Agent.K in the next database update.

The PDF itself does not infect the system, but it tries to trick the user into installing a fake Adobe Reader update. As long as you don't download nor execute the fake update, your computer is safe.

Our latest database updates are available here:

How To - Remove threats - Removal Tools | F-Secure

Best regards,
--------
F-Secure Security Labs F-Secure Weblog : News from the Lab
F-Secure Corporation F-Secure | 25 Jahre der weltweit beste Schutz | F-Secure

Es handelt sich bei dieser Version (es ist die gleiche, die "JHi" hier gepostet hatte) offenbar um eine Mail, die versucht, zu einem Update des Acrobatreader zu "überreden", welches dann ermöglicht, den Rechner zu verseuchen. Zumindest verstehe ich diese Mail von F-Secure so. Somit ist mein Rechner offenbar sauber geblieben.

Vielleicht hilft diese Mail ja, den einen oder anderen zu beruhigen, die diese Mail ebenfalls versehentlich geöffnet haben.

Eines ist mir jedenfalls nun klar. Ich werde künftig noch genauer hinschauen.

Hallo ich habe diese mail auch bekommen und geöffnet wo kannich sie ihn weiterleiten um zu sehen ob ich jetzt ein virus habe? hat mir dann angezeigt das ich eine neue adope version brauche. Antwort WÄRE SUPER


Hallo,

anbei der AWB bitte bestätigen ob alles Ok ist.

Danke



Mit freundlichen Grüßen
First Class Zollservice &
Transportvermittlungs GmbH
Niederlassungsleiter
Nordendstraße. 6c
71155 Mörfelden Walldorf


Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 /
Schulungen im Bereich Zoll- und Außenwirtschaft

Wenn Du die PDF einmal mit einem Editor öffnest und Du hast das Gleiche darin stehen, wie der PDF Inhalt vom User "JHi", deren Inhalt mit meinem "PDF" Anhang identisch ist, dann dürftest Du meines Erachtens dann keinen Virus auf Deinem Rechner haben, wenn Du der Aufforderung NICHT nachgekommen bist, Deinen Acrobatreader über deren Link upzudaten.

Laut F-Secure Support ist dieser Anhang dazu da, einen "gefakten" Acrobatreader auf Deinem Rechner zu installieren, um darüber Schädlinge auf Deinen Rechner einzuschleusen.
Das kannst Du in meinem letzten Post nachlesen. So zumindest übersetze ich einmal die englischsprachige Mail, die ich von F-Secure bekommen habe, nachdem ich denen die Malware zur Überprüfung geschickt habe. Die waren sehr schnell mit der Antwort. Hatte denen die Datei am Sonntag Abend geschickt und heute morgen um 06:00 Uhr war die Antwort da.

Wenn Du allerdings ne PDF.zip bekommen hast, dürfte das wohl anders aussehen. Dann musst Du den Weg gehen, der weiter oben beschreiben ist.

Möglicherweise gibt es ja auch schon wieder einen Klon davon, mit anderem Inhalt, veränderten Datennamen etc. Das ist ja ein ewiger Kampf und die Virenprogrammierer und Phishingmailsender sind logischerweise immer eine Nasenlänge voraus, worauf hin die Antivirensoftwarehersteller erst reagieren müssen.

Nein habe ich nicht gemacht. Mein avast hat das auch sofort geblockt. Lasse den Virus Scanner Grad trotzdem noch mal durchlaufen. Trojaner hat er bis jetzt nicht. Nur win 32 pup gen pup hat er gefunden an einigen Dateien. Die ich dann direkt in Container gehen lasse Grade. Denke hab noch mal Glück gehabt da ich keineneue installiert habe. Weist du zufälliger weise was diese win 32 pup gen ist?

"Pup gen" steht für möglicherweise schädliche Datei. Das Problem dabei ist, dass es auch ein Fehlalarm sein kann.
Im Grunde genommen wäre es sinnvoll, falls Du bei Deiner Software Support hast, diese vermeidlich schädliche Datei, dem Support zur Prüfung zu schicken, so wie es der Support bei F-Secure kostenlos anbietet.
Es ist ja so, dass bei der heutigen Software auch Dateien, die harmlos sind und für bestimmte Software benötigt wird, als Viren erkannt werden, wenn sie bestimmte Funktionen haben, die auch Viren sich zunutze machen.
Ich habe mir z.B. eine Software für meinen Beruf schreiben lassen, deren Dateien teilweise vom Virenscanner als schädlich eingestuft werden, es aber nicht sind, weil die Heuristik falschen Alarm macht.
Du solltest also mit dem "In den Container werfen" vorsichtig sein, sonst könnte es sein, dass auf einmal einige Programme oder gar das System aus vermeidlich unerfindlichen Gründen abstürzt.
Kontaktiere also mal Deinen Support der Virensoftware und frag die mal, was es mit den Daten auf sich hat, die da als Pup Gen deklariert wurden.

Man kann den Inhal einer pdf Datei nicht mit einem Editor nicht wirklich komplett lesen. Und die Zeilen, die der User "JHi" geschrieben hat, ist nicht der Inhalt der Datei.

Zitat:

was diese win 32 pup gen ist?

Könnte Adware sein. Man kann mehr sagen wenn du mehr Infos gibst. (Pfad der gefundenen Datei)