Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Diskussionsforum (https://www.trojaner-board.de/diskussionsforum/)
-   -   ElektroshopWagner.de Spam: Rechnung zu Ihrer Bestellung: K10500-648148 (https://www.trojaner-board.de/135012-elektroshopwagner-de-spam-rechnung-ihrer-bestellung-k10500-648148-a.html)

markusg 15.05.2013 23:14

ElektroshopWagner.de Spam: Rechnung zu Ihrer Bestellung: K10500-648148
 
Rechnung zu Ihrer Bestellung: K10500-648148


Wer eine Mail mit dem Betreff
Zitat:

Rechnung zu Ihrer Bestellung: K10500-648148

(Auftragsnummern können varieren)
erhält, sollte diese an uns weiterleiten.

From: "elektroshopwagner.de" <prata@birreriagambrinus.it>
Subject: Rechnung zu Ihrer Bestellung: K10500-648148
(Nummern können varieren)
Rechnung zu Ihrer Bestellung: K10500-648148

Elektroshop Wagner
Rechnung zu Ihrer Bestellung

Sehr geehrte(r) ,

Folgende Artikel wurden an Sie versendet:
Liste mit 1 Einträgen
• Waschsauger Kärcher SE5.100 (1.081-200.0)
Listenende

Anbei befindet sich Ihre Rechnung. Bitte heben sie diese für evtl. Garantieleistungen auf. Ihre Garantie beginnt mit dem Datum der Ablieferung.
**
Mit freundlichen Grüßen,

Ihr Team vom Elektroshop Wagner *

Elektroshop Wagner

Tabelle mit 4 Spalten und 2 Reihen
Firma
Adresse
Kontakt
Bankverbindung*
Elektroshop Tobias Wagner e.K.
Inhaber: Tobias Wagner

Ust-ID-Nr.: DE213689822
Registernr.: HRA 3878
Registergericht: Amtsgericht Gießen
Ladengeschäft:
Flößerweg 2
35418 Alten-Buseck, DE
Verwaltung:
Heinrich-Neeb-Str. 17
35423 Lich, DE
Tel: +49 (0)180 5 805715*
Fax: +49 (0)180 5 600147*

info@elektroshopwagner.de

Elektroshop Wagner
Commerzbank Gießen
Kto: 2041200
BLZ: 513 400 13

IBAN: DE11513400130204120000
BIC/SWIFT: COBADEFF513
Tabellenende

* 0,14 EUR/Min. aus dem dt. Festnetz, dt. Mobilfunknetz max. 0,42 EUR/Min.
Es hängt an:
Rechnung.zip
Rund 46,4 KB groß.
Virustotal Ergebniss der enthaltenen .EXE Datei:
https://www.virustotal.com/file/f6a4...is/1368686059/
MD5: f1e734920ace0acc28730d2c2eb21d0b
SHA1: e8b6f680f92497228ad2aeff2837086810e5cdc1
Detect: 9 / 46

PWS-Zbot-FAZJ!F1E734920ACE (McAfee)
TROJ_GEN.F47V0515 (TrendMicro-HouseCall)
Trojan-Downloader.Win32.Andromeda.vbp (Kaspersky)
TrojWare.Win32.Trojan.Agent.Gen (Comodo)
BackDoor.Andromeda.22 (DrWeb)
TR/Spy.Abvier.A (AntiVir)
Trojan.Downloader.Win32.Andromeda.AMN (A) (Emsisoft)
Win32.TrojDownloader.Andromeda.v.(kcloud) (Kingsoft)
Trojan-Downloader.Win32.Andromeda (Ikarus)


Es handelt sich hierbei um Backdoor.Gamarue

Folgene Autostart Einträge werden erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
49942
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\mstrkueoy.pif*
die Malware verbindet zu:
puppyclothesshop.net/plug/r.pack
drhaycock.com/includes/domit/ci15.exe
puppyclothesshop.net
puppyclothesshop.net/info/gate.php
Diese Malware ist in der Lage, sensible Daten zu stehlen.

- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen.
http://www.trojaner-board.de/log-analyse-auswertung

chrysy 16.05.2013 08:28

bei mir waren heute morgen auch 2 Mails von denen im Posteingang:daumenrunter::daumenrunter:

Felsen2000 16.05.2013 08:54

Werte Experten,
meine Frau hat so ein Ding auf´s Handy bekommen und direkt den Anhang geöffnet. *Seufz*

1. Auf den ersten Blick würde ich das für ein reines Windowsproblem halten. Kann ein Android-Handy davon infiziert werden?

2. Welche AV-Software empfehlt ihr mir, um ein Android-4.1-Handy mal durchzuchecken?

Danke im voraus!
Freundliche Grüße
Felsen

Janna2000 16.05.2013 08:54

Hallo! Auch bei mir fand sich heute morgen so eine Mail :daumenrunter:
Besteht bereits durch das Öffnen der Mail Gefahr oder nur dann, wenn der Anhang geöffnet wurde?
Danke - Janna

Hallo Felsen2000! :singsing:
Der Anhang wurde NICHT geöffnet!

notsure 16.05.2013 09:01

Hallo, meine Frau hat ebenfalls diese Mail erhalten, und natürlich einen Doppelklick auf die .Zip Datei gemacht....:stirn:
Ich hoffe nur, dass er nicht auf Netzlaufwerke etc. losgeht.
Gibt es schon genauere Infos was die Downloader runterladen ?
Komisch ist nur, dass AVIRA anscheinend nichts gefunden hat....

DalilaStumpe 16.05.2013 09:21

Habe dummerweise diese Mail auch mit nem Android Handy geöffnet. Datei konnte allerdings nicht geöffnet werden. Antivirus Programm findet keinen Fehler. Wie würde sich das Problem aufm Handy äußern?

Janna2000 16.05.2013 09:27

Bei mir geht es auch um ein Android-Handy. Hab mir sagen lassen, dass der Doppelclick bereits genügt, auch wenn die Datei sich nicht öffnen lässt. Habe mir zum Test selbst eine Mail mit .zip-Anhang geschickt und dieser ließ sich - nach vorheriger Abfrage seitens des Systems - problemlos öffnen. Tja. :aufsmaul: Brauche nun Hinweise, wie ich weiter vorgehen soll. Handy ist bis auf Weiteres ausgeschaltet.

notsure 16.05.2013 09:53

Was ich auf die schnelle geoogelt habe, sind "Windows Schädlinge" für Android Geräte nicht
schädlich, aber diese Angabe ist natürlich ohne Gewähr !

howe 16.05.2013 10:29

Hallo zusammen,

ich habe selbige Mail erhalten und in unachtsamkeit diese geöffnet! :-(

jetzt bekomme ich u.a. immer die Fehlermeldung von norton wegen spam mail von dieser Adresse...

was ist jetzt zu tun, um mein system abzusichern bzw. zu cleanen?
bin für jede hilfe dankbar!

NACHTRAG zu ebiger Nachricht: habe gerade erst gesehen, dass ich ein neues Thema bei Problem eröffnen soll.
Werde dies dann sogleich erstellen ... :-)

glg

spam_xd 16.05.2013 12:14

Hiho :)

Ich habe auch diese Mail bekommen in der Rechnung.zip ist allerdings eine datei namens Rechnung.scr. Da ich aber mac os x nutze betrifft mich das ja nicht so ^^.falls einer den anhang benötigt einfach melden ;)

markusg 16.05.2013 12:45

so, jeder der kein Windows nutzt, aufatmen.
Jeder der die Mail nur angeguckt hatt, aufatmen.
Jeder der die scr im Anhang geöffnet hatt, thema im Bereich Plagegeister auf.
Wie das mit Netzlaufwerken aussieht, weis ich nicht 100 %ig, aber ich sag mal zu 99 %, keine Gefahr.

peppe 16.05.2013 14:03

Servus,

wollte nur mal eben kurz nachhacken:
Bei mir kam nur eine Mail von GMX, dass die besagte Nachricht
von GMX bereits gelöscht wurde, da sie einen Virus enthalten könnte.
Ist das ungewöhnlich oder ein normaler Vorgang?

Gruß Peppe

markusg 16.05.2013 14:04

ne das ist ok.
Wenn du aber mal allgemein spam bekommst, gerne an uns.

LeeSurfrich 16.05.2013 16:47

Das mit der scr-Datei scheint der neueste Trick zu sein. Wer den Zip-Ordner und die scr-Datei mit Avira AntiVir scannt, erhält keine Fehlermeldung. Diese Datei scheint also harmlos zu sein. Es gibt aber klare Indizien dafür, dass durch das Öffnen des Zip-Ordners die thunderbird.exe (sofern vorhanden) manipuliert wird. Es es kann auch sein, dass davon die Update-Datei für den flashplayer betroffen ist. Um auf der sicheren Seite zu sein, unbedingt die thunderbird.exe durch eine "saubere" Version (von Freunden oder Bekannten) mit gleicher thunderbirdversions-Nummer ersetzen. Vorsichtshalber den Adobe Flashplayer ganz rauswerfen und neu installieren (ist ja kein großes Ding.) Nach Möglichkeit anschließend noch einen Komplett-Scan mit einer alternativen Antiviren-Software durchführen.

markusg 16.05.2013 16:55

hi
die thunderbird.exe zu ersetzen reicht dann natürlich nicht, weil der schädling immernoch aktiv ist.
wie gesagt, wer die scr ausgeführt hatt, bitte anmelden, thema erstellen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131