gefälschte 1 & 1 rechnung

Sehr geehrter 1&1 Kunde,

anbei erhalten Sie Ihre Rechnung vom 29.12.2006.
die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro.

Gemäß der erteilten Einzugsermächtigung werden wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen.

Ihre Rechnung finden Sie als Anhang im PDF-EXE-Format. Zum Lesen und Ausdrucken benötigen Sie kein zusätzliches Programm!
Meine Freundin hat auch so ein Teil bekommen, die war noch nie Kunde bei 1&1, ich geh mal davon aus das der PDF Anhang ein Virus ist

Gruss KT
Fragen zu Ihrer Rechnung beantwortet Ihnen gerne unsere 1&1 Rechnungsstelle unter 0180 5 201 026 (12 ct/Min.)
Übrigens: Wir haben unsere Servicezeiten für Sie erweitert und sind nun von Mo - Sa 08:00 - 20:00 Uhr für Sie da.

Mit freundlichen Grüßen

Ihr 1&1 WebHosting-Team

[Dies ist eine automatisch generierte Nachricht, bitte antworten Sie nicht an diesen Absender. Falls Sie Fragen an den 1&1 Support haben, verwenden Sie bitte das Kontaktformular unter www.1und1.de/cc ]

Ich habe auch ein rechnung bekommen.
bin aber kein kunde bei 1&1.

Ich auch...
diese Betrügereien stinken mich langsam echt an!

Benutzer schwarze_dame schrieb:

Hallo,

zu dieser Thematik habe ich gerade eine Pressemitteilung gelesen; es befindet sich tatsächlich ein Trojaner in der angefügten PDF-Datei.
Hier der Link: http://openpr.de/news/114510/Gefaelschte-1-1-Rechnungen-beherbergen-Computer-Schaedling.html

Estico

Mich hat es leider erwischt....bekomme die net mal gelöscht :-(

HHIIIIIIIIIIIIIIILL­LLFFFFFFFFFFEEEEEEEE

Hi
Habe die mail auch bekommen. Da ich kein 1&1 Kunde bin wurde ich neugierig.
Also ich weis ja nicht wie man darauf reinfallen kann.

Meines wissens nach hat eine normale Pdf Datei keine exe als Endung!
Und seid wann hat den 1&1 ein cc am Ende ihrer Adresse!

Muss sagen guter Versuch aber leider nicht ausgereift.

Wer seine Mails so unvorsichtig liest und darauf reinfällt tut mir Leid.

Gruss

http://magazine.web.de/de/themen/computer/internet/sicherheit/3445732.html

Geh mal auf die Seite eines renomierten Herstellers von Anti-Viren Software. In aller Regel findest Du dort einen Online-Check. Könnte - muss aber nicht - helfen. Ansonsten mal für teuer Geld (so um die 3 € rum) mal ´ne Computer-Zeitschrift mit CD / DVD kaufen. Sind in aller Regel Schutzprogramme drauf. Als Shareware oder zwecks Werbung vorübergehend kostenlos.
Und wenn Du auch künftig keine Lust haben solltest E-mails vor dem Öffnen zu prüfen - abonniere ein Schutzprogramm (Norton, F-Secure, Kaparsky etc). Kostet zwar Kohle, spart aber aber ggf auch eine Menge. Stress, Formatieren oder Rechnungen Deines PC-Spezialisten zum Beispiel.

Deine freundlichkeit lässt auch zu wünschen übrig.
Entschuldigung der Nachfrage!!!!!!!!!!

Benutzer sternchen179 schrieb:


Was heißt "erwischt"? Hast du nur die Mail geöffnet (dann passiert nix) oder auch den Anhang? Im letzteren Fall gibt es nur eins: Rechner *sofort* vom Internet trennen (Stecker raus!). Dann ein Backup von allen Datendateien (also Word-Dokumenten, Bildern etc., keinesfalls Programmdateien!) anlegen, anschließend Festplatte formatieren und Betriebssystem und alle Programme von sauberen CDs neu installieren. Zum Schluss den Rechner mit einer Firewall sichern (bei Windows XP die Windows-Firewall aktivieren) und erst nach dieser Sicherung den Rechner wieder mit dem Internet verbinden. Allererste Aktion nach diesen Maßnahmen sollte dann der Besuch von http://windowsupd­ate.microsoft.com sein, um das System auf den neuesten Stand zu bringen. Danach kannst du die gesicherten Dateien zurückspielen.

Jeder Reparaturversuch eines kompromittierten Systems ist zwecklos und Augenwischerei, denn du weißt ebensowenig wie irgendein Removal-Tool, was der Trojaner inzwischen alles an unbekannter Malware nachgeladen hat. Du wirst den Schädling nur durch eine Neuinstallation wieder los.

Gruß

niknuk

Hallo,

ja leider habe ich auch versucht den Anhang zu öffnen. Jetzt bin ich vom trojanischen Pferd bedroht.
DAs heißt ich sollte den kompletten Rechner platt machen?
Bekomm sie halt net alles gelöscht :-(

Benutzer niknuk schrieb:

Humbug! Es können auch Skriptdateien beim öffnen nachgeladen werden. Das Öffnen kann schon ausreichen.
Nur mit einem reinen Textmailer passiert nichts beim öffnen.


Das ist auch nicht in jedem Fall nötig und individuell zu sehen.


lol. Du behauptest das mit einer unwissenden Selbstsicherheit, da bin ich (fast) sprachlos.:-)


Humbug. Es gibt genügend Möglichkeiten diverse Viren und Trojaner zu killen. Nur bei wenigen ist es fast unmöglich.



Zulu... es gibt auch PC-Kurse für Elektroingenieure. :-)

Benutzer Zulu schrieb:

Individuell sehen kann man dabei nur, welches Medium man als sauber ansieht. Nein, eine kompromitierte Maschine sollte nie wieder eingesetzt werden. Sowas Dummes machen nur Windoof-User.


Das ist digitaler Selbstmord (oder doch eher typisches Windoof-Denken?). Wer sagt Dir z.B., daß nicht Huckepack ein rootkit eingeschleust wurde?

Benutzer niknuk schrieb:

unqualifizierte Aussage. Dank so einiger Mail-Clients (z.B. aus dem Hause Redmond) reicht bei guter Programmierung des digitalen Ungeziefers bereits die Voransicht einer eMail (dies ist eine _kann_ Aussage und trifft nicht auf alle Malware zu - wie gesagt, hängt von der Programmierung und den Client-Einstellungen ab).


Sinnvoll wäre erstmal jegliche Panik zu vermeiden, denn dabei macht man die meisten Fehler.


Uii... schöne Aussage. Und wer sagt, daß nicht auch Datendateien bereits a) beschädigt, b) zerstört oder c) mit Code bepflastert wurden? Und selbst wenn nicht harmlose Datendateien in Binärcode umgewandelt wurde, so könnten selbst z.B. bei Dokumenten (DOC, XLS, PDF, um nur ein paar Beispiele zu nennen) Skripte eingeschleust worden sein.


Das stimmt allerdings. Nur wie paßt das zu Deiner Empfehlung eines Backups _nach_ Infizierung zusammen? _Nach_ einer Infizierung sollte die Maschine nur noch platt gemacht werden und von _sauberen_ Backups alle Dateien restauriert werden.

Wir erinnern uns doch noch an die Grundsätze ordnungsgemäßer Computernutzung "mache regelmäßige Backups" - gelle?

Benutzer techie schrieb:

Nein.


Eben. Es trifft nicht auf alle Mail-Clients und insbesondere nicht auf die gefälschte 1&1-Mail zu. Und genau auf die bezog ich mich. Bei der gefälschten 1&1-Mail *muss* man den Anhang öffnen, um sich was einzufangen. Bloßes Öffnen der Mail reicht nicht.


Auch richtig. Ein Fehler wäre es beispielsweise, einen infizierten Rechner mit dem Internet verbunden zu lassen.


Ich wollte Sternchen nicht ganz entmutigen und ihr verklickern, dass ihre Daten jetzt weg sind ;-) Außerdem ist bisher kein Schädling bekannt, der z. B. Exploits nachträglich in vorhandene Bilddateien einbaut. Bei Dateien, die Makros enthalten (wie z. B. solche von MS Office), sieht das schon etwas anders aus, aber auch hier richtet der speziell in der 1&1-Mail enthaltene Trojaner, wie mittlerweile bekannt ist, keinen Schaden an. Seine Schadroutinen setzen woanders an. Aber du hast recht, er kann durchaus was nachgeladen haben, was dann tatsächlich auch Office-Dateien und andere Dokumente, die Skripte enthalten, manipuliert.


Naja, ich bezweifle, dass "sternchen" ein sauberes Backup hat ;-)


Spätestens nach dem ersten Befall beherzigt das so mancher, der es vorher vernachlässigt hat.

Gruß

niknuk

Moin...

was richtet jetzt den der Schädling von den 1&1 Mails eigendlich an. Hat er den ganzen PC verseucht oder nur das Betriebssystem ?
Ich hab sofort nach dem öffnen ein Image von meinem LW C: gemacht dort befindet sich nur mein Betriebssystem.

Ist der Virus jetzt auf die anderen LW übergesprungen und hat sich eingenistet. ich habe habe den Norten upgedatet und dann das System gescannt, dort war kein Befund.


Gruss KT

Hallo,

ich drehe hier bald durch.
Weiß net mehr was ich machen soll. Mein Virenprogramm sagt inzwischen gar nix mehr. Aber werde trotzdem ständig gewarnt. DAs Pferd :-) muß irgendwo im System 32 sein HHHILFFFFFFFFFFFEEEE
Aber mit dem PC komplett platt machen habe ich nicht so die Erfahrung ;-(

Benutzer niknuk schrieb:

Doch.

Nehmen wir mal eine aktuelle Schwachstelle (Meldung von heute):

[cite: CERT]Das Microsoft-Update MS07-003 schliesst drei Schwachstellen in Outlook, die es Angreifern erlauben, ungewollte Kommandos auf Anwenderrechnern auszufuehren oder das Programm zum Absturz zu bringen. [/cite]

Kombiniert man eine solche Schwachstelle mit Schadcode, braucht der Benutzer gar nichts zu tun, um den Schadcode auszuführen. Solche Fälle gab es auch schon in der Wildbahn - auch wenn dies evtl. auf die 1&1 Rechnungen nicht zutrifft. Als generelle Aussage ist Dein Statement einfach falsch.


Aha. Echt? Hast Du den Schadcode selbst analysiert oder beziehst Du Dich auf Meldungen von Computer-Blöd?


Und wieder ein Aha-Effekt bei mir! Welche Mailinglisten liest Du denn mit? Ich lese seit mehr als 6 Jahren bugtraq und vuln-dev mit und dort wurde genau das bereits vor Jahren diskutiert.

Wir hatten auch schon mal einen Befall in der freien Wildbahn, der die lokale Platte und smb Laufwerke nach Dateiendungen *.mp3 und *.jpg abgesucht hat und dort Schadcode reinschrieb. Hier wird dann die Schwachstelle ausgenutzt, daß M$ nicht nur nach der Extension guckt, um zu entscheiden, mit welchem Programm die Datei auszuführen ist, sobald ein Doppelclick darauf ausgelöst wird.

Benutzer techie schrieb:

Nein.


Die mit der gefälschten 1&1-Mail nicht das Allergeringste zu tun hat.


Eben.


Als generelle Aussage war sie auch nicht gedacht.


Es gibt außer Computer Blöd noch andere, seriösere Quellen. Und die sagen ausnahmslos, dass der Text der Mail keinen Exploit enthielt, sondern harmloses HTML war. Der Schädling steckte im Anhang und nur dort.


Quelle?


Ich dachte, M$ richtet sich hier ausschließlich nach der Extension?


Es gab mal einen Schädling, der hat die *Verknüpfung* von eigentlich harmlosen Extensions auf Malware "umgebogen". Die wurde dann beim Doppelklick auf eine Datei mit dieser Endung gestartet. Die Malware hat dann einerseits ihre Schadfunktion ausgeführt, andererseits aber die "richtige" Anwendung aufgerufen, so dass der Benutzer nicht mitbekommen hat, dass nebenbei auch Schadcode ausgeführt wird. Eine solche Manipulation findet aber am Betriebssystem statt, nicht an den betroffenen Dokumentdateien (die bleiben unverändert, es wird ja nur die Verknüpfung geändert). Und Betriebssystem-Manipulationen macht eine Neuinstallation rückgängig.

Weiter gab es noch den Fall, dass manipulierte Bild- und Dokumentdateien Schwachstellen im zugehörigen Viewer ausgenutzt haben, um Schadcode auszuführen. Hier musste aber eine bereits präparierte Datei auf einen Rechner geladen und geöffnet werden.

Sei's drum, das alles hat nix mit den gefälschten 1&1-Mails zu tun. Da versteckt sich der Schädling nämlich in einer ganz banalen EXE-Datei, die der Benutzer bewusst starten muss, damit sie aktiv wird.

Gruß

niknuk

Benutzer niknuk schrieb:

Diese Rekursion führen wir nicht weiter... :)


fulldisclose, securityfocus u.v.a.


Ich habe das gerade ausgetestet und offensichtlich scheint (zumindest unter W2k) M$ diesen Mechanismus aus Sicherheitsgründen wieder entfernt zu haben. Frühere / ungepatchte Systeme haben in die Datei geguckt und dann entschieden, mit welchem Programm ausgeführt werden soll. Dieses Verhalten führte dann auch mal dazu, daß der (native Maschinen-)Code in einer harmlos scheinenden Datendatei ausgeführt wurde.