Neue Spammail, die einen auf eine trojaner-verseuchte Seite lenken soll:

Die Mail stammt angeblich von der Mindfactory AG shop@mindfactory.de, was natürlich gefälscht ist und schreibt zum Betreff Betreff: Vielen Dank fur den Kauf




Den Link habe ich wieder maskiert, da sich auch hinter diesem Link eine Webseite verbirgt, die versucht, über Sicherheitsmängel verschiedener Browser einen Trojaner in das System des Surfers zu schmuggeln.

Also bitte nicht dem Link folgen, sondern die Mail einfach löschen.

Moin,Moin,

ist ja interessant, habe diese Mail auch bekommen. Wie kommen die Leute an die Informationen das ich mal bei Mindfactory eingekauft habe ?!?

MfG
R.Vedder

Hallo Ralf,

diese Spammer haben keine Informationen von Dir oder über Dich. Die verschicken diese Spammail einfach haargleich an fünf Millionen E-Mailadressen und hoffen dann darauf, dass einige dem Link folgen und sich einen Trojaner einfangen.

Die Masche, mit solchen fingierten Rechnungen zu arbeiten, wird schon seit einigen Monaten angewendet, da viele ahnungslose Nutzer sich dann fragen, warum sie denn irgendwo was bestellt haben sollen und dann verunsichert dem Link folgen oder - falls vorhanden - einen trojanerverseuchten Anhang öffnen, der angeblich eine Rechnung sein soll.

Darauf kalkulieren diese Spammeridioten, um ihren Trojaner zu verbreiten.

Hi, ich war so selbstsicher und habe mal draufgeklickt - mit aktuellstem Firefox und AVP! "Internal Server Error" => Finde ich den Trojaner jetzt auf meinem System? Bin davon ausgegangen, daß unter dem Link eine Datei zum Download kommt, mach dem Motto "Rechnung.pdf.pif" oder "Rechung.pdf.exe". Aber das war nich der Fall - bin etwas unsicher!

Hallo Robert:

diese Trojaner-verseuchten Seiten, die oft bei geocities gehostet werden, melden immer wieder einen sogenannten "Internal Server Error" (Apache Error 500), allerdings ist schon dies eine Fälschung: denn hier arbeitet nicht der Apache (das ist der Webserver, d.h. Computer, auf dem die Webseite liegt) und meldet einen Fehler, sondern dies ist eine ganz normale Webseite ohne Fehler, deren Inhalt eben aus einer gefälschten Fehlermeldung besteht.

Zudem wird es auf der Seite aber noch einen kleinen Iframe (sozusagen eine Art Fenster) geben, durch den eine weitere Seite eingebunden wird, nämlich hier h**p://203.223.158.26/africaonline/16/. Und auf dieser eingebundenen Seite läuft ein Programm, das Schwachstellen im Browser auskundig macht und dann versucht, diese Schwachstellen zu nutzen, um einen Trojaner in das System zu schleusen. Dieses Programm ist ein sogenanntes Javascript mit dem Namen makemelaugh(), welches schon seit einiger Zeit eingesetzt wird, um Schwachstellen im Browser ausfindig zu machen und Schadcode zu übertragen. Mehr Informationen zu diesem Javascript findet sich z.B. bei der PCWelt.

Da leider noch nicht bekannt ist, welcher Trojaner hier wieder über dieses Javascript verbreitet werden soll, kann ich Dir noch nicht sagen, ob Du eventuell Deinen Computer infiziert hast. Ratsam ist auf jeden Fall, das aktuelle Update Deines Antivirenprogramms einzuspielen - und zwar auch in den nächsten Tagen - und genau zu verfolgen, mit welchen Internetseiten Dein Computer Kontakt aufnimmt - denn der erste durch das Javascript geladene Trojaner ist nur ein Vorbote, ein sogenannter Trojanerdownloader, der auf Deinem Rechner eine Tür für diese Trojanermafia öffnet und dann weitere schädliche Programme nachlädt.

Wie Du siehst, kann ich leider aus der Ferne nicht sicher feststellen, ob sich bei Dir jetzt ein Trojaner festgehangen hat oder nicht - Du solltest einmal genau überprüfen, welche Prozesse gerade auf dem Rechner laufen und dann bei verdächtigen Prozessen nachforschen, was diese tun.

Hi CampusReporter,

danke für die schnelle Antwort. Werde dann einfach mal heute abend den Link auf einer Linux-Live-CD ohne Festplatten-Mounting testen und schauen, ob sich noscript (das ich vorher nicht installiert hatte!) meldet. AntiVir ist immer auf dem neusten Stand und lasse gerade nochmal ClamWin Antivirus drüberlaufen.

Hi Robert,

ok, melde Dich noch mal, falls Du etwas entdeckst.

Falls ich weitere Informationen finde oder erhalte, werde ich sie hier kundtun.

Super Service, dank ;).

Sobald ich was bemerke, melde ich mich!

Sorry, ich wars!!! Hab den Namen vergessen!! Ich hab aber im Firefox alle privaten Daten gelöscht - hoffe, das hat was gebracht!

Robert

Ok, ein wenig mehr zu diesem Javascript habe ich beim Internet Storm Center gefunden, allerdings beziehen sich diese Angaben auf die verseuchten Links in der In Muenchen ist Trauer angekündigt Mail.

Vermutlich wird der Javascriptcode aber hier wieder ähnlich arbeiten, zumal auch schon wieder geocities.com genutzt wird und dann ein Iframe von einer IP-Adresse/africa.../ geladen wird. Also gleiche Masche hier - entweder gleiche Täter oder abgekupfert.

Nach dem Artikel beim Internet Storm Center scheint der FF nicht wirklich anfällig für das Javascript zu sein, anders als der Internet Explorer, wenn nicht das zitierte Patch eingespielt ist. Garantieren kann man dies aber nie, da diese Idioten natürlich auch versuchen, im FF Sicherheitslücken zu finden und sie auszunutzen.

Genauso eine Mail, wie hier beschrieben, habe ich heute auch bekommen. Das ist jetzt schon das 2. mal. Beim ersten mal hatte ich (angeblich) bei Amazon.de etwas bestellt. Ich glaube, auch in etwa gleicher Höhe (Summe). Heute habe ich direkt die örtliche Polizei bei mir darüber informiert, die Ihrerseits das dem Verbraucherschutz in Stuttgart mitgeteilt hat. Ich konnte keinen Anhang sehen und bin mit Firefox im Netz. Meine Antwort diesbezüglich an den dubiosen Absender dieser Mail lautete: Was kann ich noch tun, um diesem verbrecherischen Treiben zu begegnen ?! Bitte um Antwort. Mfg. G. Neitzke (siehe unten)

Von:
"************" <***********@gmx.de>

An:
"Mindfactory AG" <shop@mindfactory.de>
Betreff:
Re: Betreff: Vielen Dank fur den Kauf
Datum: Thu, 03. May 2007 14:08:26 +0200

Einige Elemente dieser E-Mail werden nicht angezeigt. Die Volldarstellung von unbekannten Mails kann ein Sicherheitsrisiko für Ihren PC darstellen.
Bilder anzeigenVolldarstellung

* E-Mail bearbeiten & versenden
* Weiterleiten
* Umleiten
* Löschen

Was soll das ?! Sie spinnen wohl !!! Ich werde Ihre Mail umgehend dem Verbaucherschutz melden - oder der Polizei !

-------- Original-Nachricht --------
Datum: Thu, 3 May 2007 13:46:10 +0200
Von: "Mindfactory AG" <shop@mindfactory.de>
An: "**************+" <*********@gmx.de>
Betreff: Betreff: Vielen Dank fur den Kauf

> Guten Tag! Vielen Dank für den Kauf in unserem Shop. Es wurde von
> Ihrem Konto der Betrag in Höhe von EUR 199 abgebucht. Die Kontobilanz
> sowie den Kaufzettel können Sie hier abrufen:
> h**p://geocities.com/VareseQuinta3450

Hallo Günter,

Mindfactory ist für den Versand dieser Mails nicht verantwortlich.

Diese Mails werden von einer Spammermafia aus Russland, Korea, USA etc. versandt. Die Absenderadresse der Mails ist dabei gefälscht - wenn Du Dir den erweiterten Kopf (Header) der Mail anschaust, wirst Du feststellen können, dass sie vermutlich von einem Rechner in Asien oder Amerika versandt wurde. Dagegen ist sowohl die Firma Mindfactory (oder Amazon) machtlos als auch die deutsche Polizei.

Hilfreich ist nur, wenn man gewisse Vorsichtsmaßnahmen walten lässt, d.h.

- immer ein aktualisiertes Antivirenprogramm benutzen

- nie auf solche Mails antworten

- nie einem Link dieser Mails folgen

- nie einen Anhang solcher Mails öffnen

- nie seine eigene Emailadresse so gut lesbar auf eine Internetseite schreiben, wie Du es gerade getan hattest (ich werde Deine Emailadresse daher oben verschleiern), da sie dann von einem kleinen Roboterprogramm ausgelesen werden kann, welches Emailadressen sammelt, um dann an diese Adressen Spam zu versenden.

Viele Grüße

Christian

Die haben mehr als nur die Mail, nämlich auch den vollständigen Namen, der steht nämlich in der Anrede. So war es bei mir zumindest. Von daher liegt der Verdacht nahe, dass die Mail-Adresse aus irgendeiner Datenbank stammt. Zumal meine Mail nicht bei einem Freemailer liegt und man nicht eben so an den Namen unserer Domain kommt.

@Headache: eigentlich will ich das gar nicht glauben wollen :(

Wenn es diesen Spammern nämlich inzwischen gelingt, solche Mails zur personalisieren, wird deren Erfolgsquote, d.h. verbreitete Trojaner, dramatisch in die Höhe schießen.

Ist die Mail zufälligerweise bei Euch im Impressum aufgeführt oder in den Whois-Daten?

Auch dieser Link ist mit einem Virus verbunden:

h**p://geocities.com/HessianVivie5885

Nein, meine Adresse taucht nirgends auf. Könnte mir vorstellen, dass da mal ein Outlook-Adressbuch opfer eines Angriffs wurde. Oder irgendjemand hat meine Adresse samt Name weitergegeben. Adressverkauf wäre ja nichts ungewöhnliches mehr.

Jedenfalls macht so eine personalisierte Mail erst mal stutzig, zumal ich mal vor Jahren Kunde bei mindfactory war. Prinzipiell ist es auch nicht empfehlenswert, solche Mails zu ignorieren, da nicht ausgeschlossen werden kann, dass tatsächlich Kundendaten für Bestellungen missbraucht werden. Da muss man dann ggf. schnell reagieren (ist mir mal bei ebay passiert), natürlich nicht über den Link in der Mail, sondern per Adresseingabe im Browser, so dass man auf die Startseite des Shops kommt und sich von da aus zu seinen Kundendaten weiterhangelt. Ein guter Shop listet die getätigten Bestellungen auf. Da kann man dann nachschauen.

Auf alle Fälle ziemlich lästig das ganze.

Uups, Name vergessen. Sorry!

habe die email auch gekriegt und hab dummerweise auf den link geklickt
was kann ich jetzt tun???

Bin nur mal schnell rein um DANKE zu sagen. Besuche immer den Forum wenn eigenartige Mails mein Postfach belagern. Mindfactory ist soeben im Mülleimer gelandet.

@Headache:



Definitiv

Was Du zum Datenklau schreibst, stimmt natürlich auch. Mir war bisher zumindest - toktoktok - noch nie so eine personalisierte Spammail untergekommen - aber vermutlich ist auch das in einigen Monaten Standard.

@Gast: leider gibt es bisher noch keine Details, welcher Schadcode über den Link wieder verbreitet wird und daher auch noch keine Anleitung zum Aufspüren & Entfernung. Falls ich etwas finde, schreibe ich es hier. Ansonsten gilt, was ich schon als Antwort zu Roberts Fragen geschrieben habe (weiter vorne in diesem Thread - Seite 1 unten: http://de.campusreporter.net/studentenforu...fahr-t2880.html bzw. Seite 2).

Viele Grüße

Christian

Ich Dödel hab auf den Link draufgeklickt .... hab eine Mac (MacOS 10). Laufen diese Trojaner überhaupt auf einem Mac ?

Der Trojaner heißt TR/Spy.Agent.930
Hoffe bringt Euch weiter
Greetz

[size=6][i] Die Seite auf die verwiesen wird existiert nicht mehr.

@Peter: ich habe bisher noch nicht davon gehört, dass auch ein Mac gefährdet wäre.

@MoeSis: besten Dank!

@Pelyvi: kommt da ein "Internal Server Error"? Dann existiert die Seite leider noch genau so, wie ich auf Seite 1 unten dieses Threads beschrieben habe und damit lauert dann auch weiterhin Gefahr.

Hallo
Habe mal ein bisschen gesucht und dies hier gefunden. Der Link geht zu einem Forum wo die leutz meinen es wäre evtl ein Fehlalarm (TR/Spy.Agent.930).
http://forum.antivir.de/thread.php?postid=181265
MfG

Also, ich habe noch nie was bei mindfactory gekauft und habe die mail auch bekommen...bin sofort zum Auszugautomaten gerannt und habe die Umsätze kontrolliert... dann sofort wieder nach hause mit dem Verdacht mir was eingefangen zu haben... Gott sei dank habe ich den Link nicht betätigt...(puuuhh) und erst gegoogelt und bin heir gelandet... Ist es sicher, dass man sich nur was einfaängt wenn man auf den LINK klickt?
Grüße
Jo

Hi,
hat jemand von Euch Details zu diesem Trojaner (TR/Spy.Agent.930) gefunden. Mich wunderts, dass nichts dazu bei Symantec steht.

MoeSis, woher ist eigentlich die Info, dass es dieser Trojaner (TR/Spy.Agent.930) ist ?

Peter.

danke campusreporter ... hab die mail auch bekommen und tat mich wundern. konnt mir dann aber irgendwie sowas denken.

so und jezt sitz ich hier und bin am überlegen wem ich mal den verseuchten link schicke ^^

aber im ernst: gut erklärt.

@Peter

ich gehe inzwischen auch davon aus, dass MoeSis den Namen genannt hat, weil er zu diesem Zeitpunkt der Falschmeldung von AntiVir erlegen war (siehe auch den Post von 2nd-Reality).

Ich werde nochmal weitersuchen, was damit wieder gestreut werden soll.

@Jo:

"Sicher" im Sinne von "mit Garantie" ist bei diesen Fällen nie etwas, aber ich kann mit ziemlicher Sicherheit sagen, dass diese Art einer "Rechnung" nicht einem realen Hintergrund geschuldet ist, sondern nur darauf abzielt, den Erreicher solcher Mails zu verwirren und auf den verseuchten Link zu schicken - dann kann es allerdings gefährlich werden, da diese Trojanermafia auch sog. Keylogger auf die Rechner pakt, um z.B. Passwörter bei Bankseiten oder Kreditkartendaten, die man irgendwo eingibt, auszulesen.

Viele Grüße

Christian