Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

Trojaner-Mail mit persönlichen Daten

27. Januar 2017 um 23:55 Uhr von Atari-Frosch

Da habe ich ja heute Nachmittag nicht schlecht gestaunt: Ich bekam eine Mail von „Beauftragter Rechtsanwalt von Pay Online24 GmbH“ mit einer @paypal-Mailadresse als Absender und dem Betreff „Rechnung noch offen 26.01.2017 Nr. 79129578“. Im Text der Mail wurde ich mit vollem Namen angesprochen, außerdem wurden meine Postadresse und meine Festnetz-Telefonnummer genannt. Gesendet wurde das an meine @bilkinfo-Adresse, die ich bis vor einiger Zeit im Impressum meiner Website stehen hatte; die Kombination aus Post-, Mailadresse und Telefonnummer könnte aber auch aus einer Firmen-Datenbank abgegriffen worden sein.

Im Anhang der Mail befand sich das Sahnehäubchen: Eine ZIP-Datei.

Der vollständige Text:

Sehr geehrte/r Sabine Becker,

zu unserem Bedauern mussten wir feststellen, dass unsere Erinnerung Nr. 791295786 bisher erfolglos blieb. Nun bieten wir Ihnen damit letztmalig die Chance, den ausstehenden Betrag unseren Mandanten Pay Online24 GmbH zu decken.

Aufgrund des bestehenden Zahlungsausstands sind Sie verpflichtet außerdem, die durch unsere Beauftragung entstandene Kosten von 92,93 Euro zu bezahlen. Bei Fragen oder Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden. Um weitete Kosten zu vermeiden, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 26.01.2017.

*Verbindliche Personalien:*

*Sabine Becker
Helmholtzstraße 53
40215 Düsseldorf

Tel. 02113368730*

Wir erwarten die vollständige Zahlung bis spätestens 30.01.2017 auf unser Bankkonto. Können wird bis zum genannten Termin keine Zahlung einsehen, sehen wir uns gezwungen Ihre Forderung an ein Gericht abzugeben. Sämtliche damit verbundenen Zusatzkosten werden Sie tragen müssen.

*Eine vollständige Kostenaufstellung NR791295786, der Sie alle Buchungen entnehmen können, ist beigelegt.
*
Mit besten Grüßen

Beauftragter Rechtsanwalt Benjamin Trautsun

(Ja, die Sternchen standen so da drin.)

Das beste Deutsch ist das ja nicht, aber beim ersten Überfliegen kann man leicht übersehen, daß die Sätze teilweise etwas seltsam aufgebaut sind. Kleine Rechtschreibfehler sind ebenfalls enthalten.

Als erstes befaßte ich mich allerdings mit der angehängten ZIP-Datei. Diese Datei mit dem Namen 26.01.2017 Sabine Becker.zip (388.110 Bytes) speicherte ich auf die Platte und schickte unzip drüber. Das entpackte daraus eine Datei namens Sabine Becker Rechnung 26.01.2017.zip (389.522 Bytes). Also ein ZIP im ZIP? Na gut, dann eben nochmal ein unzip über die neue Datei, und siehe da, heraus kam Sabine Becker 26.01.2017.com (759.808 Bytes).

Zunächst schickte ich die erste Datei, also den Anhang, wie er angekommen war, auf Virustotal. Ergebnis: 31 von 56 Scannern erkannten einen Virus. Dabei tauchen Namen auf wie „Win32/TrojanDownloader.Nymaim.BA“ oder „BehavesLike.Gamarue.fc“.

Moment mal, Gamarue? Der Name kam mir bekannt vor. Und ich hatte den tatsächlich schonmal erwähnt, und zwar 2012 im Artikel (K)eine Einladung von Facebook:

Also: Gamarue.I ist eine Schadsoftware, die sich über externe Laufwerke verbreitet [die von einem PC zum anderen umgestöpselt werden] – und, wie wir gerade gelernt haben, auch über Spam-Mails. Das Programm kommuniziert mit einem Server, um die Infektion mitzuteilen, und ist in der Lage, weitere Dateien herunterzuladen. Hübsch, ne? Einmal eingenistet, kann er sich weitere Programmteile nachladen und dann auf dem infizierten Computer machen, was er bzw. sein Programmierer will.

Das würde dann auch mit der Bezeichnung „TrojanDownloader“, die einige Scanner ausspuckten, übereinstimmen. Vielleicht ist es nicht der ursprüngliche Gamarue.I, aber zumindest könnte das Verhalten dasselbe sein.

So richtig peinlich bei der Überprüfung durch Virustotal ist, daß gängige Virenscanner wie Avira, F-Prot, Malwarebytes, Panda und Symantec die Datei für sauber halten.

Zusätzlich ließ ich Virustotal aber auch die ausgepackte Datei überprüfen. bzw. wollte: Die war nämlich schon bekannt, und zwar seit 24.01., also seit drei Tagen. Es änderten sich immer nur die Dateinamen des Anhangs – klar, da steht ja jeweils der volle Name des Empfängers mit drin. Das Verhältnis war diesmal 37/56, also 37 von 56 Scannern konnten zumindest erkennen, daß mit der Datei was nicht stimmt. Weiterhin außen vor: Avira, F-Prot, Malwarebytes und Panda (Symantec hat diesmal zumindest erkannt, daß da was drin sein muß).

Aus dieser zweiten Überprüfung geht dann auch hervor, daß es sich hier um eine auf Windows ausführbare 32-bit-Datei handelt. Die ausführbare Datei selbst könnte also schon älter sein. Interessant ist auch, daß diese Datei angeblich bereits am 03.11.2000 compiliert worden sein soll; da kann aber auch das Systemdatum des compilierenden Rechners verstellt gewesen sein. Gamarue.I, der echte, ist wohl erst seit Mai 2012 bekannt.

Nach der Datei selbst geht es als nächstes an den Mailheader. Die relevante Received-Zeile aus dem Header lautet:

Received: from 99.ip-92-222-219.eu ([92.222.219.99] 
  helo=vps86938.ovh.net) by mail.dasr.de with esmtps
  (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32) (Exim 4.76)
  (envelope-from ) id 1cWwmN-0004Xz-9j
  for frosch@bilkinfo.de; Fri, 27 Jan 2017 03:00:47 +0000

Das Ding kam (zumindest bei mir) von einem virtuellen Server bei OVH. Da brauche ich gar nicht erst hinzuschreiben, da wird erfahrungsgemäß nichts passieren. Allerdings paßt das schon so ein bißchen zu der Beobachtung, daß derzeit wieder einmal viele OVH-Hosts Kommentarspam verschicken. Vor allem mein Bahnblog ist davon massiv betroffen. Die Spams kommen aus allen mir bekannten OVH-IP-Ranges. Ich kann nur vermuten, daß da (mal wieder?) serienweise Hosts aufgemacht worden sind und jetzt für, sagen wir, unterschiedliche Aktivitäten mißbraucht werden. Bis OVH das bereinigt, kann erfahrungsgemäß Monate dauern. Mindestens.

Aber auch der Mailtext hat noch eine kleine Überraschung parat: Da wird ja ein nicht ganz so gewöhnlicher Name genannt, nämlich „Benjamin Trautsun“. Googlet man nach „Trautsun“, landet man schnell bei Spam-Info und dort auf einem Artikel vom Juni 2013: Neuer Spam-Betrug droht mit Anwälten. Der Name Trautsun – mit verschiedenen Vornamen – wird mehrfach in den Kommentaren zu diesem Artikel erwähnt. Die Texte ähneln inhaltlich dem, den ich bekommen habe, auch wenn der angebliche „Klient“ ein anderer ist.

Auch in diesem Artikel wird auf einen gefährlichen Anhang hingewiesen:

Noch schlimmer wird der E-Mail-Betrug aber durch den angehängten .zip-Ordner, der einen gefährlichen Trojaner enthält. Zwar ist nicht genau klar, wie der Schädling arbeitet; trotzdem sollte der Anhang auf keinen Fall geöffnet werden.

Leider wird auf den Anhang nicht genauer eingegangen, vermutlich haben sie ihn gar nicht näher untersucht. Es wäre schon interessant gewesen, ob das auch ein Gamarue-Verwandter war, der da vor 3,5 Jahren mit derselben Masche herumging.

Während die meisten wohl als Anrede „Sehr geehrter Kunde“ oder ähnliches in der Spam-Mail stehen hatten, berichtet eine Dietlinde davon, namentlich angesprochen worden zu sein, und das bereits Ende Juni 2013. Im Januar 2014 gab es nochmal einen mit namentlicher Anrede, ebenso im März 2016. Die Mehrzahl kommt aber offenbar ohne die persönlichen Daten daher.

Allerdings finde ich es schon erstaunlich, daß ich mit deutlich mehr Mailadressen als bei Otto-Normaluser bisher noch nie so eine Mail bekam, und auch jetzt ist nur eine meiner Adressen betroffen. Auch ohne persönliche Daten hatte ich bislang, soweit ich mich erinnern kann, keine E-Mail bekommen, die in genau diesem Stil (oder so wie auf Spam-Info zitiert) geschrieben worden war. Dabei fange ich mir doch sonst so ziemlich jeden Müll ein 😉

Lange Rede kurzer Sinn: Selbst wenn persönliche Daten von Euch in einer Mail erwähnt werden, ist das mittlerweile kein eindeutiges Zeichen für Vertrauenswürdigkeit, auch wenn das früher mal so war. Ein ZIP im Anhang ist fast immer böse™, und Ihr solltet Euch mindestens 100%ig sicher sein, daß dieser Anhang sauber ist, bevor (!) Ihr ihn aufmacht. Anhänge automatisch entpacken und/oder ausführen sollte man sowieso nicht! Auch wenn es umständlicher ist, die Datei erst zu exportieren, dann zu entpacken und zu gucken, ob das drin ist, was man erwartet. Oder zumindest keine ausführbare Datei. (Makroviren sind dann noch ein anderes Thema, aber die sind in diesem Fall nicht involviert.)

Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>