Zunächst das Wichtigste: Die Mail, die ich untersucht habe, wurde über eine dynamisch vergebene IP-Adresse aus Tunesien versendet und nicht etwa irgendwo in Freiburg. Sie kommt nicht von der S:FLEX GmbH. Sie wurde von Verbrechern versendet. Mit einem Botnetz aus Computern, die mit Schadsoftware übernommen wurden. Der Absender ist gefälscht. (Es ist übrigens kinderleicht, den Absender einer Mail zu fälschen.) Die Mitarbeiter des Unternehmens, dessen Firmierung und Reputation hier von Kriminellen in den Dreck gezogen wird, tun mir leid, denn sie werden sich heute mit vielen verärgerten Menschen herumschlagen müssen. (Die Website der Unternehmung ist übrigens zurzeit nicht erreichbar, und zwar vermutlich nur wegen der Besuche durch hunderttausende Spamempfänger.) Diese kriminelle Spam hat bereits jetzt einen ordentlichen Schaden angerichtet.
Sehr geehrte Damen und Herren,
vielen Dank für Ihren Auftrag.
Im Anhang erhalten Sie die Rechnung zu unserer aktuellen Lieferung.
Kurzes Spamkompetenztraining! Was bedeutet wohl diese Kombination von Merkmalen:
- Die Mail geht angeblich von einem Unternehmen an einen Kunden, die Ansprache ist aber unpersönlich;
- der Auftrag, um den es geht, ist nicht genauer beschrieben und völlig unklar;
- es gibt dazu eine Rechnung, aber irgendwelche wichtigen Angaben zum Rechnungsbetrag, zur Bankverbindung, zum Zahlungsziel fehlen im Text der Mail, als ob es dort keinen Platz mehr gäbe; und
- alles weitere kann nur dadurch geklärt werden, dass ein Mailanhang geöffnet wird?
Bingo! Es handelt sich um eine Spam, an der eine Schadsoftware hängt. Der Anhang wird das reinste Gift sein. Es handelt sich diesmal um ein Word-Dokument¹…
$ file xxxxxx.doc | sed 's/, /\n/g' xxxxxx.doc: Composite Document File V2 Document Little Endian Os: Windows Version 6.1 Code page: 1251 Title: functional Author: Microsoft Office Template: Normal.dot Last Saved By: Microsoft Office Revision Number: 2 Name of Creating Application: Microsoft Office Word Total Editing Time: 01:00 Create Time/Date: Thu Jan 28 05:44:00 2016 Last Saved Time/Date: Thu Jan 28 05:44:00 2016 Number of Pages: 1 Number of Words: 1 Number of Characters: 10 Security: 0 $ _
…dessen Text aus einem einzigen Wort auf einer Seite besteht – diese vorgebliche „Rechnung“ enthält also nicht einmal die Aufforderung „Geld her“, die schon zweier Worte bedarf. Im Dokument ist ein Makro, das einen Installer für kriminelle Schadsoftware nachlädt und ausführt.
Es handelt sich um aktuelle Schadsoftware, die zurzeit von den meisten Antivirus-Programmen noch nicht erkannt wird. Deshalb ist es so wichtig, derartige Spam selbst zu erkennen und niemals auf die Idee zu kommen, einen Anhang einer Spam zu öffnen. Generell sollten Mailanhänge mit äußerster Vorsicht behandelt werden, denn dabei handelt es sich um einen der Hauptverbreitungswege für die höchst asoziale und kriminelle Schadsoftware-Pest der spammenden Verbrecher.
Und wie schon gesagt:
Mit freundlichen Grüßen
Michael Dietrich
Projektleiter GestelltechnikS:FLEX GmbH Freiburg
Sasbacher Str. 7
79111 FreiburgTel.: +49 (0) 761 888 5xxx 54
Fax: +49 (0) 761 888 5xxx 39
Mobil: +49 (0) 173 70 70 xxx
m (punkt) dietrich (at) sflex (punkt) com
www (punkt) sflex (punkt) com
Der Absender der Spam ist gefälscht und die Angaben unter der Mail – ich habe die Telefonnummern mal unkenntlich gemacht, weil dort momentan Menschen kurz vorm Nervenzusammenbruch an der Leitung hängen werden – haben ebenfalls nichts mit dem Absender zu tun. Es gibt keine Möglichkeit, den wirklichen Absender dieser kriminellen Belästigung zu erreichen, denn dieser bevorzugt aus naheliegenden Gründen die Anonymität. Strafanzeigen wegen versuchter Computersabotage nimmt die Polizei oder Staatsanwaltschaft entgegen, aber die Ermittlungsaussichten sind… ähm… nicht so toll. Aber irgendwann macht auch dieses Pack mal einen Fehler…
Nachtrag: Inzwischen ist die Website der S:FLEX GmbH wieder erreichbar. Ich lege den dort Verantwortlichen nahe, einen deutlichen Hinweis auf die Spam auf ihrer Startseite zu platzieren, um Empfänger zu warnen und die betrieblichen Kräfte auf gewinnbringendere Dinge als eine Flut von Rückfragen auszurichten. Im Moment (15:10 Uhr) ist das nicht der Fall. (Aber ich kann mir gut vorstellen, was dort gerade los ist! Das kleine Serverchen, auf dem Unser täglich Spam läuft, steht jedenfalls wegen dieser einen Spam ordentlich unter Last.)
¹Im originalen Dateinamen ist ein Name enthalten, deshalb die Unkenntlichmachung.
Danke! Sehr hilfreich.
Vielen Dank, eine sehr gute und auch für Laien verständliche Erklärung,
ich habe schon heute morgen nach erhalt der mail, welche korrekt mit meiner mailadresse versehen war versucht den Admin zu erreichen.
Aber wahrscheinlich war schon alles zusammengebrochen oder abgeschaltet
gruß LT
Sehr geehrte Damen und Herren,
vielen Dank für die Info. Leider habe ich etwas geistesabwesend auf den Anhang geklickt. WIe kann ich sicherstellen, dass sich eben nichts auf meinem System installiert hat und wenn doch, wie bekomme ich es wieder weg?
Vielen Dank für die Hilfe und viele Grüße
Es ist leider viel leichter, sich etwas „einzufangen“, als es hinterher wieder loszuwerden. Ein paar kurze, allgemeine Hinweise habe ich bereits gestern für die Pest des gestrigen Tages gegeben, sie gelten auch hier.
Kasperky Internet security 2016 hat nach Prüfung, das MAKRO auch bei mir nicht erkannt
Auch wir haben einen User der auf den Anhang geklickt hat. Wisst ihr kann man Netzwerkvirus ausschließen, bzw. hat schon wer festgestellt was das Makro genau anrichtet ?
Das herauszubekommen, muss ich leider richtigen Experten überlassen. Ich weiß nur, dass es ein „Nachlader“ ist, der eine ausführbare Datei für Microsoft Windows über einen Webserver abholt und ausführt, der dann vermutlich eine Kollektion aktueller Trojaner installieren wird.
Den befallenen Rechner am besten sofort vom Netz trennen und durch einen anderen Rechner ersetzen!
danke f.d. antwort.
vom netz haben wir ihn gleich genommen, dennoch vergingen ca. 5 minuten bis dahin, aktuell setzen wir den betroffenen pc neu auf, dennoch bleibt die ungewissheit ob die heruntergeladene exe sich im netzwerk austoben möchte.
Seervus,
die Mail wurde von Gmx sofort als Virus erkannt und sofort gelöscht, kam erst gar nicht bei mir an.
Aber jeder der ein wenig bei Verstand ist, weiß das man solche Dateien nicht öffnet.
Hallo,
Auch ich war so schlau und habe den Anhang dummerweise mit meinem Iphone geöffnet gibt es eine möglicheit das Makro zu entfernen?
Vermutlich bist du auf der sicheren Seite. 😉
Danke erstmals. Ist das für iOS und OSX Geräte ein Problem?
Meine Version hat eine EXE nachgeladen, und die läuft nicht auf iOS – von daher gebe ich vorsichtig Entwarnung.
Manchmal muss man eben auch mal Glück haben. 😉
(Bislang habe ich nur einmal eine Andeutung gehört, dass Spammer aus irgendwelchen Quellen wussten, welches Betriebssystem von Empfängern benutzt wird und entsprechend angepasste Schadsoftware versendet haben.)
Und wie sieht es bei einer IOS Version mit Jailbreak aus?
Auch ein „Jailbreak“ führt nicht dazu, dass iOS Software für ein völlig anderes Betriebssystem ausführen kann. 😉
Hallo,
ich habe heute ebenfalls 2 verdächtige Emails in meinem Account gefunden.
Die erste Mail war mal wieder von Amazon mit der Bitte „Klicken Sie hier, um ihre Kontodaten zu überprüfen“ – auffällig waren hier wieder Buchstaben die nicht zur Formatierung passten.
Die zweite Mail, mit der angehängten Rechnung von S.Flex, hat mich doch fast überlistet. Im Geiste geht man ja seine getätigten Bestellungen durch, aber da ich keine Befestigungssysteme benötige war klar – SPAM.
Ich habe den Anhang dann mal separat gespeichert und auf meinem Test-Rechner ohne Internetzugang mit Avira Antivirus Pro 2015 überprüft = es wurde nichts gefunden. Habe die Datei dann mit MS Word 2010 geöffnet = ist nur ein weißes Blatt mit dem Wort „functional“.
Mir stellt sich jetzt auch die Frage, was richtet dieses Makro an und wie soll man es beseitigen, wenn es auch Kaspersky Internet Security 2016 (siehe LudwigLustig) nicht erkannt hat?
Die Antivirus-Programme können nur Schadsoftware erkennen, die bei den Herstellern der Antivirus-Programme bereits bekannt ist. Das ist eine ziemlich frische Brut der Verbrecher. In spätestens zwei Tagen (vermutlich schon eher) wird auch Kaspersky die Pest erkennen.
Es lädt eine ausführbare Datei für Microsoft Windows aus dem Internet nach und führt sie im Hintergrund aus. Dieses Programm von Verbrechern wird ein Installer für eine aktuelle Kollektion von Trojanern aller Art sein. Ein davon befallener Computer ist ein Computer anderer Leute.
danke…. wollte die e-mail schon total ungelesen wegwerfen, da habe ich mir gedacht, frag doch mal google, was das soll…
Hui, ist Google heute schnell dabei, dieses kleine Blögchen zu indizieren! 😀
Antivir hat Virus gemeldet und wurde entfernt. Suchlauf negativ.
Hoffentlich!!!!
Hallo!
Ich bin leider auch drauf reingefallen da ich zwar gegoogelt habe, aber die Firma gefunden habe und da ich gerade viele Angebot bzgl Hausbau einhole habe ich mir gedacht jemand hat hier ev meine Kontakdaten weitergegeben.
ich war zwar stutzig aber letzten endes doch dumm genug.
Ich habe das Word mit meine Android Handy (Xperia) geöffnet. Könnt ihr abschätzen welche Folgen das hat bzw was ich am besten tun sollte?
LG
Android kann keine ausführbare Datei für Microsoft Windows ausführen. Du hast Glück gehabt, und das muss man ja auch manchmal haben. 😉
Ist den schon bekannt, wie sich das Programm zu erkennen gibt? Prozessname etc?
Viele Grüße
Fabian
Hallo zusammen,
hatten leider auch einen Nutzer der den Anhang geöffnet hat. Macros sind in Word komplett deaktiviert mit Benachrichtigung. Bei dem User kam allerdings keine Info das ein Makro gefunden wurde. Kann diese Einstellung irgendwie umgangen sein?
Habe den PC erstmal auf letzte Woche zurück gesetzt und vom Netz genommen. Werde am Montag nochmal eine genaue Prüfung drüber laufen lassen. Mich würde jedoch interessieren ob Makros auch ausgeführt werden können wenn die Funktion über Word deaktiviert wurde.
VG
Genau diese Frage würde mich auch brenndend interessieren.
Ich habe davon noch nicht gehört – aber man weiß nie. Wenn das ginge, wäre es die vermutlich zurzeit übelste Sicherheitslücke in einem Microsoft-Produkt, und wenn es bekannt wäre, hätte ich es wohl schon mitbekommen, obwohl ich gar kein Windows benutze…
Bei mir hat Kaspersky am 28.01.2016 um 11:19 den Anhang gelöscht.
Meldung: Suspicious part has benn deletd: :SFLEX Rechnung
Das ist erfreulich, dass es so schnell ging. 😉
Hallo zusammen,
ich hätte zwei Fragen- auch auf die Gefahr hin. mich zu wiederholen:
ich baue auch zur Zeit und habe die Email heute morgen zunächst auf meinem iPhone entdeckt und geöffnet. Dort wurde mir dann eine weiße Seite mit dem Wort „fuctional“ angezeitgt. Sonst passierte nichts. Verstehe ich es richtig, dass iOS nicht infiziert wurde?
Desweiteren wurde die Maill natürlich auch auf unserem Rechner angezeigt. Wir haben ein Homtail Konto. Da uns das ganze Seltsam vorkam, wir aber dennoch nicht sicher waren, ob es relevant ist, haben wir vom Rechner aus auf die Funktion „online Anzeigen“ geklickt. Diese dürfte die Datei doch auch nicht runterladen sondern hoffentlich nur online anzeigen??
Danke schon mal für Eure Hilfe!!!
Ja.
Ehrlich gesagt, da bin ich überfragt – aber das wird sicherlich jemand anders wissen. (Im Zweifelsfall der Support von Microsoft.)
IOS ist zeimlich sicher – der Apfel läßt nichts rein. Das selbe am PC angeklickt wäre aber katastrophal …
Habe die doc-Datei geöffnet, aber die Aufforderung, ein Makro zu aktivieren, weggeklickt. War es trotzdem schädlich?
Kam bei mir gerade auch an. Kasperski hat es nicht erkannt (Kaspersky Internet Security)
Hallo,
habe die Doc-Datei im Outlook.com Mailprogramm online geöffnet. Laut Windows Hilfeseiten sind dort Makros und dergleichen standardmäßig deaktiviert bzw. werden nicht gestartet. Die Datei wurde nicht runtergeladen, nur online angezeigt. Weiß da jemand genaueres?
Vielen Dank schonmal.
Habe heute auch 2 dieser Rechnungen bekommen, aber vorher gegooglet und bin auf euch gestossen… Hab mir gedacht das es sich um sowas handelt….. kriminelle Idioten
Also Incredimail hat das sofort als spam/malware betitelt und aussondiert und die Firma hat einen Warnhinweis auf der Eingangsseite 🙂
Vielen Dank für die wirklich guten Informationen! Ich habe die E-Mail heute schon um 10:17 Uhr erhalten und hätte diese fast wegen Unwissenheit geöffnet. Zu diesem Zeitpunkt gab es noch keine näheren Infos… aber irgendein ungutes Gefühl hielt mich heute Vormittag noch davon ab die Datei zu öffnen 🙂 … Vielen Dank nochmals.
Hallo. Genau diese Mail habe ich bekommen. Betrifft die Schadsoftware auch Android-Geräte? Meine Tochter (4 Jahre) hat leider diesen Anhang geöffnet.
Vielen Dank für Ihre Rückmeldung.
Gruß S.B.
Nein.
(Manchmal muss man ja auch Glück haben!)
Super. Vielen Dank für die erfreuliche Nachricht.
Vielen Dank für Eure unermüdliche Arbeit!
Ihr habt mir schon so manchen Nerv geschont.
Inzwischen ist bei mir buchstäblich jeden Tag
eine neue „Rechnung“ im Mailkasten.
Hab schon darüber nachgedacht, meine
Mailadresse zu löschen und nur noch über
googlemail zu mailen. Dorthin hab ich praktisch
kaum je irgendwelchen Spam erhalten.
LG
Und dabei bin ich nur einer… und oft sehr sehr müde… 😉
Danke, hatte auch diese Mail
der Header
From Michael Dietrich Thu Jan 28 10:50:17 2016
X-Apparently-To: u………….@yahoo.de; Thu, 28 Jan 2016 10:50:19 +0000
Return-Path:
X-YahooFilteredBulk: 217.194.196.40
Received-SPF: none (domain of sflex.com does not designate permitted sender hosts)
X-YMailISG: Vz2.uvcWLDt.1kxGE2_Ety_Jsg7bXBfRAbdGapWUQ1qVwxP1
QNJ9.cwrP6O7Dk9DH1JSJYLckZFKCOjTmIYux4cIbEn0n9qCskcfD6IQ6VCO
W5q99JYUT.H0LcZDiCvL2TuqZ1RphuDxEXwjD_nwGuiljmLrVdFLpY1Afita
.Nh_iXucLlh6TdKp0gcR1TX2j_62BNDJryU314zP7uUZmUYzquxnG3RrLcgm
aFm8×5KzfRRzMd2cdxtJB42m.P7CN0Pm_OrO17YaIvA3By8VpA0tEKLEU.n6
wLdnJM8sURK5HOv53dDhquFK22zEGgkJARsqdjTt9eBep86TEbymzokaV_K3
7AxmL0L6kXDO9BcuKNSklj9nw2U1g4GcGxD.egxC7cBFPCcoC8fDIZ2v5wo_
SEYPJpXkOsubHDb5SwDDxkJhdhJZVkbpIi1WRu8SXYPqkCuPfM1L1MaIOhSr
gqbCkWmMtXhBxBH7DtnfBild10LUB4vKW1a9FuqDOeprwYnAvtHzaZEzQMsR
lfJWnaTXfN2mj5jnutodgTbyEwkfPu_KBP4OPpoD0.r0yc1ZhRiEMA7fWd2p
.FiKWmK2Y6XjwAMKWX4gfLDcqZiQb5bjDfKz6q4pdSBMRhHvkz9MMjN5CGJZ
KTGb4Sv69snss4zvvmtGQh_ZJMGGW.UPwBV0i553eBSw3.Hs33UjnN6p9axy
4YVZRIo8bXErjQfg1Dm8GKBFPCUnofUJbAEbdSX6yKJwvp40ABhhV1HW3E78
8LlIAd74b8JJWuBWlirndjetuoKSMkYaUvE_gnamusmXFSsIJn1WDNfzD.44
TAdnjU6Jv37kVgMcfXTdhIwjxMmzukPwtFxGmtVwVEGFcq2lkj663d4T5QtY
uHhcP0U1aI_dIDjQfSYc6hp6MxsFHy6DHBq8ae1EurNMVwMa4.y8GNpEOLw1
SU7WDJuBRia3gq_4zREOvSnECjX9utretlUD7ECFd2E8XtN2HSpXVXps9NLP
poONCKG.5cQPX1uRePT1V1ECXAFNxqMPgIgl5hcUOg8QztoyLRoRjHoR4Y_x
Mq37eu9pEjcKIL9yWD7Gj4mhnPxFITH7SWOamajN7BFM_q1OD2wqmszKTLXj
uD1WrVnPEjuk2ZJNdvl9DqinIL.heTZutrTyxD_R.VuNPNCMt3u3CCuXvtkw
9H.RCoj8V3QNe8LCnhoxpGF_eJGin0.sKUia7T.KMNHk.cRPHuMPIaQRy9QW
EiteYpISE.m9HI1Tk.dp1jYGKa6ZAgbmz0xAAXi7RBc8bD6nRcbk.D02JSNL
VGKZCsbTOzBYplVNNkbGUi0OOw9RlzPmyTlUM9kIs2NkaQxjh4O32e68nAYD
.rit74EDw3KfbDNtdOIZ8Z.UHP_YRV9XmvdUhwYl2EGCQZVfwM..fpiajht7
scy.OhtLEny3ClxaCwLhYekrINFjUdbq2krpxHBaF4r1q279zw55Mnx_mqD5
YuwF6_evOPh5VSqFxrYUQtbzPQJp5cq4UZiHFUzT77qAxbt3sA–
X-Originating-IP: [217.194.196.40]
Authentication-Results: mta1034.mail.ir2.yahoo.com from=sflex.com; domainkeys=neutral (no sig); from=sflex.com; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO cust.217-194-196-40.bb.safelines.com) (217.194.196.40)
by mta1034.mail.ir2.yahoo.com with SMTP; Thu, 28 Jan 2016 10:50:19 +0000
From: Michael Dietrich
To: „……………@yahoo.de“
Subject: SFLEX Rechnung
Thread-Topic: SFLEX Rechnung
Thread-Index: AdFYQVshJci869uKTh2wThLSmLY7dg==
Date: Thu, 28 Jan 2016 13:50:17 +0300
Message-ID:
Accept-Language: de-DE, en-US
Content-Language: de-DE
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
x-originating-ip: [192.168.1.12]
Content-Type: multipart/mixed;
boundary=“_006_BC2FC48832A43446A9CBFB31788E06AFA40882SBS2011sflexlocal_“
MIME-Version: 1.0
Content-Length: 118764
Guten Abend,
vielen Dank für die Info. Zum Glück hat Apple erkannt dass ein Makro im Dokument vorhanden ist.
MfG
Vielen Dank für die Aufklärungsarbeit!!!
Werde die Seite öfter besuchen…!
…und irgenwann macht das Pack einen Fehler…!
MfG Oliver
Selbst wenn würde man hier nichts davon mit bekommen und wenn einer weg gefangen wird steht der nächste schon in den Startlöchern
Hi,
das Makro lädt über folgende URL den „Dridex.AA“ Trojaner nach: hxxp://yugomisr.com/nuyff45d/87tf23w.exe
VG
Jo auch ich habe heute um 12:04 diese Mail erhalten und mal nach geschaut…bis ich eben dieses hier via Google gefunden habe.
Alles Angaben wie hier geschildert Identisch !
THX