Neue Spammail, die einen auf eine trojaner-verseuchte Seite lenken soll:

Die Mail stammt angeblich von der Mindfactory AG shop@mindfactory.de, was natürlich gefälscht ist und schreibt zum Betreff Betreff: Vielen Dank fur den Kauf




Den Link habe ich wieder maskiert, da sich auch hinter diesem Link eine Webseite verbirgt, die versucht, über Sicherheitsmängel verschiedener Browser einen Trojaner in das System des Surfers zu schmuggeln.

Also bitte nicht dem Link folgen, sondern die Mail einfach löschen.

Moin,Moin,

ist ja interessant, habe diese Mail auch bekommen. Wie kommen die Leute an die Informationen das ich mal bei Mindfactory eingekauft habe ?!?

MfG
R.Vedder

Hallo Ralf,

diese Spammer haben keine Informationen von Dir oder über Dich. Die verschicken diese Spammail einfach haargleich an fünf Millionen E-Mailadressen und hoffen dann darauf, dass einige dem Link folgen und sich einen Trojaner einfangen.

Die Masche, mit solchen fingierten Rechnungen zu arbeiten, wird schon seit einigen Monaten angewendet, da viele ahnungslose Nutzer sich dann fragen, warum sie denn irgendwo was bestellt haben sollen und dann verunsichert dem Link folgen oder - falls vorhanden - einen trojanerverseuchten Anhang öffnen, der angeblich eine Rechnung sein soll.

Darauf kalkulieren diese Spammeridioten, um ihren Trojaner zu verbreiten.

Hi, ich war so selbstsicher und habe mal draufgeklickt - mit aktuellstem Firefox und AVP! "Internal Server Error" => Finde ich den Trojaner jetzt auf meinem System? Bin davon ausgegangen, daß unter dem Link eine Datei zum Download kommt, mach dem Motto "Rechnung.pdf.pif" oder "Rechung.pdf.exe". Aber das war nich der Fall - bin etwas unsicher!

Hallo Robert:

diese Trojaner-verseuchten Seiten, die oft bei geocities gehostet werden, melden immer wieder einen sogenannten "Internal Server Error" (Apache Error 500), allerdings ist schon dies eine Fälschung: denn hier arbeitet nicht der Apache (das ist der Webserver, d.h. Computer, auf dem die Webseite liegt) und meldet einen Fehler, sondern dies ist eine ganz normale Webseite ohne Fehler, deren Inhalt eben aus einer gefälschten Fehlermeldung besteht.

Zudem wird es auf der Seite aber noch einen kleinen Iframe (sozusagen eine Art Fenster) geben, durch den eine weitere Seite eingebunden wird, nämlich hier h**p://203.223.158.26/africaonline/16/. Und auf dieser eingebundenen Seite läuft ein Programm, das Schwachstellen im Browser auskundig macht und dann versucht, diese Schwachstellen zu nutzen, um einen Trojaner in das System zu schleusen. Dieses Programm ist ein sogenanntes Javascript mit dem Namen makemelaugh(), welches schon seit einiger Zeit eingesetzt wird, um Schwachstellen im Browser ausfindig zu machen und Schadcode zu übertragen. Mehr Informationen zu diesem Javascript findet sich z.B. bei der PCWelt.

Da leider noch nicht bekannt ist, welcher Trojaner hier wieder über dieses Javascript verbreitet werden soll, kann ich Dir noch nicht sagen, ob Du eventuell Deinen Computer infiziert hast. Ratsam ist auf jeden Fall, das aktuelle Update Deines Antivirenprogramms einzuspielen - und zwar auch in den nächsten Tagen - und genau zu verfolgen, mit welchen Internetseiten Dein Computer Kontakt aufnimmt - denn der erste durch das Javascript geladene Trojaner ist nur ein Vorbote, ein sogenannter Trojanerdownloader, der auf Deinem Rechner eine Tür für diese Trojanermafia öffnet und dann weitere schädliche Programme nachlädt.

Wie Du siehst, kann ich leider aus der Ferne nicht sicher feststellen, ob sich bei Dir jetzt ein Trojaner festgehangen hat oder nicht - Du solltest einmal genau überprüfen, welche Prozesse gerade auf dem Rechner laufen und dann bei verdächtigen Prozessen nachforschen, was diese tun.