Trojanisches Pferd statt Lieferschein

Angreifer versenden gefaelschte E-Mails im Namen von UPS

Zur Zeit versenden Angreifer in grossem Stil gefaelschte E-Mails im
Namen des Paketdienstes UPS in deutscher und englischer Sprache. Der
Absender der E-Mails gibt vor, dass ein Paket aufgrund einer nicht
existierenden Adresse nicht zugestellt werden konnte. Der Empfaenger der
E-Mail wird aufgefordert, den im Anhang befindlichen Lieferschein
auszudrucken, um das Paket abzuholen. Anstatt eines Lieferscheins
enthaelt der Dateianhang jedoch ein Trojanisches Pferd. Die
Betreffzeilen der E-Mails lauten zum Beispiel "Ihr UPS Paket
N6847454574".

Das Buerger-CERT empfiehlt, derartige E-Mails umgehend zu loeschen und
keinesfalls den Dateianhang zu oeffnen.

Aus gegebenem Anlass raet das Buerger-CERT weiterhin zur Vorsicht beim
Download von Dokumentenvorlagen aus dem Internet. Angreifer platzieren
derzeit Webseiten, auf denen angebliche Vorlagen zu Arbeitsvertraegen,
Versicherungskuendigungen oder auch Gedichte im PDF- oder Word-Format
zum kostenlosen Download angeboten werden. Beim Download erhaelt der
Nutzer jedoch anstelle eines PDF- oder Word-Dokuments eine ausfuehrbare
Datei, welche ein Schadprogramm enthaelt.

Quelle bsi Buerger-CERT

Danke @bigsurfer

Wer diese Mail auch bekommen und sie geöffnet hat, sollte sie schnellstmöglich wieder schließen und löschen!

Eine Gefahr besteht nur wenn die im Anhang vorhandene .exe angeklickt/geöffnet wurde.
Wenn dies geschehen ist bitte einen Beitrag im entsprechenden Forum öffnen, nur wenn man die Datei ausgeführt hat.

Jedoch keinen Beitrag erstellen wenn nur die Mail geöffnet wurde!

Gruß
Sunny

Hier gibt es noch weitere Information zur UPS-Mail:

Avira warnt vor falscher UPS-Mail - News | ZDNet.de Security - Sicherheit

Ähnlich der UPS-Geschichte nur diesmal mit Zbot anstatt eines Downloaders.
Davon schlägt grad recht viel bei uns aufm Mailserver ein:

Betreff:
36266977 Rechnung (Nummer variiert)

Anhang:
Rechnung_S833.zip Virustotal. MD5: faac1dd2d137550b00f370b4fc257269 Backdoor.Trojan Worm.Win32.Socks.agw Win32/AutoRun.TW

Beispiel:
Guten Tag,
Ihr Auftrag Nr. SP4362401 wurde erfullt.
Ein Betrag von 6886.57 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Paypalabbuchung ” angezeigt.
Sie finden die Details zu der Rechnung im Anhang

PayPal (Europe)
S.364; r.l. & Cie, S.C.A.
06-75 Boulevard Royal
L-4009 Luxembourg

Gruss,
Vertretungsberechtigter: Madelyn Kaiser
Handelsregisternummer: R.C.S. Luxembourg B 719 688



aber auch

Betreff:
Parcel requires declaration oder Your parcel is at the customs office

Anhang:
Tax_Invoice.zip VirusTotal - Kostenloser online Viren- und Malwarescanner - Neu analysieren

Beispiel:
Good afternoon,

We have received a parcel for you, sent from France on July 9. Please fill out the customs declaration attached to this message and send it to us by mail or fax. The address and the fax number are at the bottom of the declaration form.

Kind regards,
Olivia Polk
Your Customs Service


%ComSpec%

Aus unserer IT kam das selbe per Rundmail, scheint dieses mal ein größerer Angriff zu werden:

Zitat:

24.07.2008 - Eine neue Spam-Attacke birgt große Gefahren:

In einer vermeintlichen PayPal Lastschrift verbirgt sich ein Trojaner! Erst vor wenigen Tagen wurde millionenfach eine Mail mit dem Betreff "Ihr UPS Paket Nxxxxxxxxxx" verschickt worden, die ebenfalls verseucht war und nun gibt es einen neuen Versuch, Schadsoftware auf den PCs ahnungsloser User zu installieren.
Ein solcher Trojaner bzw. Computervirus kann unter Umständen großen Schaden anrichten, denn hierbei besteht die Möglichkeit, dass geheime Passwörter auf dem Rechner ermittelt werden, die dann Zugriff zu Kreditkarten-Zahlungen oder Online-Banking-Accounts ermöglichen. Experten warnen davor, die entsprechenden Anhänge (z. B. “Rechnung_S833.zip (20 KB)”) zu öffnen, denn die Trojaner installieren sich sofort unbemerkt.

Die einzige Lösung ist - solange solche Spam-Nachrichten nicht von den Virenprogrammen erkannt werden - diese Mails sofort zu löschen.

Absender sind “Chance Drake”, “Sondra Hare”, “Foster Ybarra”, “Robt Law”, “Elaine Crump”, “Victoria Langford” oder andere und der Betreff lautet “Lastschrift 90056029″, “Lastschrift N 09067770″, “BITTE BEACHTEN - IHRE RECHNUNG N 70542119″ bzw. “Rechnung 10241954″, “Rechnung N48449726″ oder ähnlich.

/EDIT

Hab die Themen mal zusammengeführt, ist übersichtlicher so

//EDIT

Also jede infektiöse Mail hier posten? Dann ist das Nachtcafé schnell ein ganz kurzer Thread.

-----

Ich hab gerade die Einladung einer Frau aus Brasilien bekommen, mir mal ihre ganz privaten Bilder anzusehen. Mit Link, wie geil ist das denn. (Woher kennt die mich eigentlich?)

UPS bietet an, dass ich ein Paket abholen kann, das ich nie verschickt habe. Toll, dass die Pakete packen mit Überraschungen für mich, anscheinend haben die den Weihnachtsmann eingestellt. Wer immer noch nicht misstrauisch ist sondern wie ein Geier den Anhang öffnet (haben haben, lechz), sich noch nicht einmal wundert dass es eine EXE ist, tja: selbst schuld. Die Windows-CD liegt ja hoffentlich noch vom letzten Mal bereit.

-----

Ich halte die Warnungen vor bestimmten Mails sogar für latent gefährlich: Wir können uns das nicht vorstellen, aber da draußen sitzen eine Menge Leute, die dann jede andere Mail erst recht vertrauenswürdig finden, weil ja nicht vor ihr gewarnt wurde.

Grundsätzlich ist jede Mail verdächtig. Ganz besonders verdächtig wird sie, wenn sie von unbekannten kommt, wenn sie unerwartet ist, wenn sie Links enthält, wenn sie Anhänge enthält. HTML-Mails sind sowieso Mist und gehören gleich Richtung Papierkorb ausgefiltert. Wie heißt es doch:

Zitat:

Wenn Gott gewollt hätte, dass Mail HTML ist, dann würde das Vaterunser auf </amen> enden.

Ich finde estoll, wie ihr uns vor Spam-Mails warnt. Hatte die UPS mail auch schohn im Posteingang.

Ich hab bloß nicht die Zeit hier jetzt 374 Beiträge zu schreiben mit den 374 Spammails, die ich letzte Woche bekommen habe. Gleichzeitig habe ich Angst, dass andere Leute die Anhänge aus diesen Mails auf ihren Computer installieren, denn es steht ja keine Warnung im Trojanerboard. Da ist einiges bei, wo der erste und einzige Preis eine Neuinstallation ist.

Zitat:

Zitat von KarlKarl

Grundsätzlich ist jede Mail verdächtig. Ganz besonders verdächtig wird sie, wenn sie von unbekannten kommt, wenn sie unerwartet ist, wenn sie Links enthält, wenn sie Anhänge enthält.

so sehe ich das auch, und wenn man das beherzigt, dann sind jegliche Warnungen überflüssig.

und immer dran denken: auch Mails von Bekannten könnten infiziert sein, denn sie könnten Opfer sein und jemand nutzt ihren Account, um weitere Opfer zu ownen.