|
first-class-zollservice Spam: Luftfrachsendung AWB Luftfrachsendung AWB Wer eine Mail mit dem Betreff "Luftfrachsendung AWB" erhält, sollte diese an uns weiterleiten. From: "Information" <info@first-class-zollservice.de> (gefälschter Absender) To: Subject: Luftfrachsendung AWB Date: Luftfrachsendung AWB Luftfrachsendung AWB Hallo, anbei der AWB bitte bestätigen ob alles Ok ist. Danke** Mit freundlichen Grüßen First Class Zollservice & Transportvermittlungs GmbH Niederlassungsleiter Nordendstraße. 32 B 64546 Mörfelden Walldorf Tel.: 06105 / 40352 11 Fax: 06105 / 40352 20 www.first-class-zollservice.de Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 / Schulungen im Bereich Zoll- und Außenwirtschaft Wir arbeiten ausschließlich auf Grundlage der Allgemeinen Deutschen Spediteurbedingungen(ADSp), jeweils neueste Fassung. Diese beschränken in Ziffer 23 ADSp die gesetzliche Haftung für Güterschäden nach § 431 HGB für Schäden im speditionellen Gewahrsam auf EUR 5,- je Kg. Bei multimodalen Transporten unter Einschluss einer Seebeförderung auf 2 Sonderziehungsrechte je Kg sowie darüber hinaus je Schadenfall bzw. - ereignis auf EUR 1,0 bzw. 2,0 Mio. oder 2 Sonderziehungsrechte /kg, je nach dem, welcher Betrag höher ist. Es hängt an: AWB-Avis 404-45706119.pdf.zip Nummer kann evtl. varieren. Rund 11,3KB groß Scanergebniss der enthaltenen EXE-Datei: https://www.virustotal.com/file/3147...is/1362499166/ MD5: ce02b23b408b4d155f654b3141ca7392 SHA1: 7a028988ed41b15a353c5d7f522143f338f14582 Detect: 28 / 46 Trojan.Generic.KDV.884539 (MicroWorld-eScan) Trojan.Generic.KDV.884539 (nProtect) PWS-Zbot-FAMO!CE02B23B408B (McAfee) Trojan.Ransom.FMS (Malwarebytes) Backdoor.Trojan (Symantec) Troj_Generic.IADUJ (Norman) BKDR_ANDROM.DSA (TrendMicro-HouseCall) Win32:Malware-gen (Avast) Trojan-Downloader.Win32.Andromeda.tcg (Kaspersky) Trojan.Generic.KDV.884539 (BitDefender) Trojan.Win32.Agent.30724.A (ViRobot) Troj/Agent-AAKT (Sophos) Heur.Suspicious (Comodo) Backdoor:W32/Agent.DUJI (F-Secure) Trojan.Packed.23959 (DrWeb) Trojan.Win32.Generic!BT (VIPRE) TR/Andromeda.AQ (AntiVir) BKDR_ANDROM.DSA (TrendMicro) Heuristic.BehavesLike.Win32.Suspicious-BAY.K (McAfee-GW-Edition) Trojan.Win32.Zbot (A) (Emsisoft) Worm:Win32/Gamarue.I (Microsoft) Trojan.Generic.KDV.884539 (GData) Trojan/Win32.Inject (AhnLab-V3) Backdoor.Trojan (PCTools) Win32/TrojanDownloader.Wauchos.A (ESET-NOD32) Trojan-Spy.Zbot (Ikarus) SHeur4.BCPE (AVG) Trj/Zbot.M (Panda) Es handelt sich hierbei um Backdoor.Andromeda Die Malware startet eine Kopie ihrer selbst: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exeEine weitere Kopie des Backdoors, zu finden unter: C:\WINDOWS\system32\logonvdmon.exe Außerdem wird Trojan.Zbot geladen und gestartet: HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Rundie Malware verbindet zu: iprice.pl/image.php dudebox.pl/image.php dyndin.ru/image.php linebench.ru/image.php petblog.pl/image.phpdiese ist in der Lage, sensible Daten zu stehlen, und weitere Malware nachzuladen. Bitte beachten! - Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten. http://markusg.trojaner-board.de/ - Mails, die man erhält, immer gründlich lesen. - wer den Anhang ausgeführt hat, bitte ein Thema hier im Forum eröffnen.[/QUOTE] - Beachtet die doppelte Dateiändung, hiermit wird versucht euch eine PDF als EXe unterzujubeln |
Hallo Markus, Ich habe genau diese Email in meinem Arbeitspostfach gehabt. Der von dir beschriebene Anhang ist auch dabei, habe Ihn aber nicht geöffnet, sondern habe erst mal den Absender gegooglet und bin so auf dich gestossen. Bitte lasse mich wissen, ob ich diese Email noch an dich weiterleiten soll und wie ich dabei vorgehen soll. LG Dirk |
hi war im urlaub. diese spezielle is nu leider zu alt, aber spam im allgemeinen währe interessant. |
Hallo Markus, ... heute eingegangen - offenbar eine neue Welle - nun mit direktem PDF-Anhang (keine verschleierte EXE) - der Inhalt eine %PDF-1.1 mit u.a.: ... 5 0 obj << /Length 46 >> stream BT /F1 12 Tf 100 700 Td (Kann nicht geoffnet Dokumentation. Aktualisieren Sie den Adobe Acrobat Reader.)Tj ET endstream endobj 6 0 obj [/PDF /Text] endobj 7 0 obj << /Type /Font /Subtype /Type1 /Name /F1 /BaseFont /Helvetica /Encoding /MacRomanEncoding >> endobj 8 0 obj << /Type /Action /S /Launch /Win << /F (hxxp://bmconsultingservice.it/download.adobe.com/) >> >> endobj Die Action irritiert: Download von adobe.com ?? Kannst du damit was anfangen (brauchst du die ganze mail)? tschau, jürgen |
Hallo, habe die Mail heute auch bekommen und es wäre fast die Erste gewesen, wo ich drauf rein gefallen bin. Grund: Anhang ist nicht pdf.exe, der Zollservice hat seinen Sitz in Mörfelden Walldorf (also bei mir in der Nähe) und ganz zufällig warte ich auch gerade auf meine erste Bestellung aus Übersee. Gut, dass ich erst noch mal gegooglet habe. Wenn ihr die Mail braucht, wo soll ich sie hin schicken? Gruß, Sebastian |
Habs auch bekommen! pdf Datei ist nur 2kb groß! |
habs auch bekommen aber wie oben geschrieben keinen anhang habe auch geantwortet da ich auch auf eine lieferung warte was soll ich tun grade mir muss das passieren bin immer vorsichtig aber jetzt oh man :kloppen::heulen: mfg bofan |
heute auch diese mail bekommen und aus versehen auf die pdf geklickt, schien aber wirklich ne pdf zu sein. Hinterher mit avast alles gescannt, nichts gefunden. hoffe bleibt alles ok |
hallo hab heute denn 18.01.2014 um 18:51 Uhr eine e-mail bekomm dieses stand in der mail.. Hallo, anbei der AWB bitte bestätigen ob alles Ok ist. Danke Mit freundlichen Grüßen First Class Zollservice & Transportvermittlungs GmbH Niederlassungsleiter Nordendstraße. 37b 26063 Mörfelden Walldorf Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 / Schulungen im Bereich Zoll- und Außenwirtschaft mit ein anhang einer pdf datei was soll ich tun, soll ich sie ignorrieren ..?! ich bitte um antwort lg euer eps01 |
Ich habe diese Mail auch bekommen. Da ich grundsätzlich alles scanne, bevor ich es öffne, habe ich das getan, aber ohne Ergebnis (F-Secure Internetsecurity). Danach habe ich die PDF geöffnet. Die Datei war nach dem Namen nach auch nur eine PDF, ganz ohne exe am Dateieinde. Es kam nur die Meldung, dass mein Reader nicht auf dem neuesten Stand sei, um die Datei lesen zu können. Danach wurde mir etwas mulmig, da der Reader auf dem neuesten Stand ist und habe dann F-Secure den Computer scannen lassen. Ohne Ergebnis. Ich habe die PDF dann mit einem Editor geöffnet und es war der gleiche Text darin zu finden, wie er hier schon zitiert wurde. Die Handüberprüfung der Registrierung und der Systemdateien ergab, dass keine der hier im Thread aufgeführten Daten und Registrierschlüssel zu finden waren. Ich habe die Mail mal an den Inhaber des Fourms weitergeleitet. Mal sehen, was passiert. Ich hoffe, dass der "Schädiger" bei der neuesten Version schlicht vergessen hat, den Trojaner in der Datei zu verstecken und dass nichts passiert ist. Wenn doch, findet F-Secure den Trojaner offenbar nicht. Ich werde aber zusätzlich noch heute die Mail an F-Secure weiterleiten, vielleicht können die bestätigen, dass da ein Trojaner versteckt oder ggf. durch die Mail nachgeladen wird, dazu ein "Gegenmittel" finden oder aber dass die Mail harmlos war, was ich schwer hoffe. Künftig werde ich noch vorsichtiger sein und erst einmal das Board hier kontaktieren, um zu sehen, ob da ggf. schon etwas vorliegt. Da ich in den letzten Wochen so einiges bestellt hatte, auch aus den USA und England, hätte es durchaus sein können, dass diese Mail tatsächlich daher kam, woher sie vermeidlich kam. So, ich habe gestern die Mail samt "PDF" nach F-Secure weitergeleitet, damit die prüfen können, was da in der Mail von gestern tatsächlich drin war, nachdem ich selbst und auch F-Secure nach einem vollständigen Computerscan nichts gefunden hatte. Es musste sich also um eine neue Version handeln, als die, die hier im Thread ganz zu Anfang besprochen wurde, denn auch nach der Handüberprüfung der Registry etc., konnte ich nichts von dem finden, was zu finden sein sollte. Hier die Mail, die ich vor 10 Minuten von F-Secure dazu im Postfach hatte: Zitat:
Vielleicht hilft diese Mail ja, den einen oder anderen zu beruhigen, die diese Mail ebenfalls versehentlich geöffnet haben. Eines ist mir jedenfalls nun klar. Ich werde künftig noch genauer hinschauen. |
Hallo ich habe diese mail auch bekommen und geöffnet wo kannich sie ihn weiterleiten um zu sehen ob ich jetzt ein virus habe? hat mir dann angezeigt das ich eine neue adope version brauche. Antwort WÄRE SUPER Hallo, anbei der AWB bitte bestätigen ob alles Ok ist. Danke Mit freundlichen Grüßen First Class Zollservice & Transportvermittlungs GmbH Niederlassungsleiter Nordendstraße. 6c 71155 Mörfelden Walldorf Schulungen im Bereich Luftsicherheit - ONLINE 3+1 Std. Schulung gemäß 185/2010 Kap. 11.2.3.9 / Schulungen im Bereich Zoll- und Außenwirtschaft |
Wenn Du die PDF einmal mit einem Editor öffnest und Du hast das Gleiche darin stehen, wie der PDF Inhalt vom User "JHi", deren Inhalt mit meinem "PDF" Anhang identisch ist, dann dürftest Du meines Erachtens dann keinen Virus auf Deinem Rechner haben, wenn Du der Aufforderung NICHT nachgekommen bist, Deinen Acrobatreader über deren Link upzudaten. Laut F-Secure Support ist dieser Anhang dazu da, einen "gefakten" Acrobatreader auf Deinem Rechner zu installieren, um darüber Schädlinge auf Deinen Rechner einzuschleusen. Das kannst Du in meinem letzten Post nachlesen. So zumindest übersetze ich einmal die englischsprachige Mail, die ich von F-Secure bekommen habe, nachdem ich denen die Malware zur Überprüfung geschickt habe. Die waren sehr schnell mit der Antwort. Hatte denen die Datei am Sonntag Abend geschickt und heute morgen um 06:00 Uhr war die Antwort da. Wenn Du allerdings ne PDF.zip bekommen hast, dürfte das wohl anders aussehen. Dann musst Du den Weg gehen, der weiter oben beschreiben ist. Möglicherweise gibt es ja auch schon wieder einen Klon davon, mit anderem Inhalt, veränderten Datennamen etc. Das ist ja ein ewiger Kampf und die Virenprogrammierer und Phishingmailsender sind logischerweise immer eine Nasenlänge voraus, worauf hin die Antivirensoftwarehersteller erst reagieren müssen. |
Nein habe ich nicht gemacht. Mein avast hat das auch sofort geblockt. Lasse den Virus Scanner Grad trotzdem noch mal durchlaufen. Trojaner hat er bis jetzt nicht. Nur win 32 pup gen pup hat er gefunden an einigen Dateien. Die ich dann direkt in Container gehen lasse Grade. Denke hab noch mal Glück gehabt da ich keineneue installiert habe. Weist du zufälliger weise was diese win 32 pup gen ist? |
"Pup gen" steht für möglicherweise schädliche Datei. Das Problem dabei ist, dass es auch ein Fehlalarm sein kann. Im Grunde genommen wäre es sinnvoll, falls Du bei Deiner Software Support hast, diese vermeidlich schädliche Datei, dem Support zur Prüfung zu schicken, so wie es der Support bei F-Secure kostenlos anbietet. Es ist ja so, dass bei der heutigen Software auch Dateien, die harmlos sind und für bestimmte Software benötigt wird, als Viren erkannt werden, wenn sie bestimmte Funktionen haben, die auch Viren sich zunutze machen. Ich habe mir z.B. eine Software für meinen Beruf schreiben lassen, deren Dateien teilweise vom Virenscanner als schädlich eingestuft werden, es aber nicht sind, weil die Heuristik falschen Alarm macht. Du solltest also mit dem "In den Container werfen" vorsichtig sein, sonst könnte es sein, dass auf einmal einige Programme oder gar das System aus vermeidlich unerfindlichen Gründen abstürzt. Kontaktiere also mal Deinen Support der Virensoftware und frag die mal, was es mit den Daten auf sich hat, die da als Pup Gen deklariert wurden. |
Man kann den Inhal einer pdf Datei nicht mit einem Editor nicht wirklich komplett lesen. Und die Zeilen, die der User "JHi" geschrieben hat, ist nicht der Inhalt der Datei. :) Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board