Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


SFLEX Rechnung

Donnerstag, 28. Januar 2016, 12:45 Uhr

Zunächst das Wichtigste: Die Mail, die ich untersucht habe, wurde über eine dynamisch vergebene IP-Adresse aus Tunesien versendet und nicht etwa irgendwo in Freiburg. Sie kommt nicht von der S:FLEX GmbH. Sie wurde von Verbrechern versendet. Mit einem Botnetz aus Computern, die mit Schadsoftware übernommen wurden. Der Absender ist gefälscht. (Es ist übrigens kinderleicht, den Absender einer Mail zu fälschen.) Die Mitarbeiter des Unternehmens, dessen Firmierung und Reputation hier von Kriminellen in den Dreck gezogen wird, tun mir leid, denn sie werden sich heute mit vielen verärgerten Menschen herumschlagen müssen. (Die Website der Unternehmung ist übrigens zurzeit nicht erreichbar, und zwar vermutlich nur wegen der Besuche durch hunderttausende Spamempfänger.) Diese kriminelle Spam hat bereits jetzt einen ordentlichen Schaden angerichtet.

Sehr geehrte Damen und Herren,

vielen Dank für Ihren Auftrag.

Im Anhang erhalten Sie die Rechnung zu unserer aktuellen Lieferung.

Kurzes Spamkompetenztraining! Was bedeutet wohl diese Kombination von Merkmalen:

  1. Die Mail geht angeblich von einem Unternehmen an einen Kunden, die Ansprache ist aber unpersönlich;
  2. der Auftrag, um den es geht, ist nicht genauer beschrieben und völlig unklar;
  3. es gibt dazu eine Rechnung, aber irgendwelche wichtigen Angaben zum Rechnungsbetrag, zur Bankverbindung, zum Zahlungsziel fehlen im Text der Mail, als ob es dort keinen Platz mehr gäbe; und
  4. alles weitere kann nur dadurch geklärt werden, dass ein Mailanhang geöffnet wird?

Bingo! Es handelt sich um eine Spam, an der eine Schadsoftware hängt. Der Anhang wird das reinste Gift sein. Es handelt sich diesmal um ein Word-Dokument¹…

$ file xxxxxx.doc | sed 's/, /\n/g'
xxxxxx.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title: functional
Author: Microsoft Office
Template: Normal.dot
Last Saved By: Microsoft Office
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Total Editing Time: 01:00
Create Time/Date: Thu Jan 28 05:44:00 2016
Last Saved Time/Date: Thu Jan 28 05:44:00 2016
Number of Pages: 1
Number of Words: 1
Number of Characters: 10
Security: 0
$ _

…dessen Text aus einem einzigen Wort auf einer Seite besteht – diese vorgebliche „Rechnung“ enthält also nicht einmal die Aufforderung „Geld her“, die schon zweier Worte bedarf. Im Dokument ist ein Makro, das einen Installer für kriminelle Schadsoftware nachlädt und ausführt.

Es handelt sich um aktuelle Schadsoftware, die zurzeit von den meisten Antivirus-Programmen noch nicht erkannt wird. Deshalb ist es so wichtig, derartige Spam selbst zu erkennen und niemals auf die Idee zu kommen, einen Anhang einer Spam zu öffnen. Generell sollten Mailanhänge mit äußerster Vorsicht behandelt werden, denn dabei handelt es sich um einen der Hauptverbreitungswege für die höchst asoziale und kriminelle Schadsoftware-Pest der spammenden Verbrecher.

Und wie schon gesagt:

Mit freundlichen Grüßen

Michael Dietrich
Projektleiter Gestelltechnik

S:FLEX GmbH Freiburg
Sasbacher Str. 7
79111 Freiburg

Tel.: +49 (0) 761 888 5xxx 54
Fax: +49 (0) 761 888 5xxx 39
Mobil: +49 (0) 173 70 70 xxx
m (punkt) dietrich (at) sflex (punkt) com
www (punkt) sflex (punkt) com

Der Absender der Spam ist gefälscht und die Angaben unter der Mail – ich habe die Telefonnummern mal unkenntlich gemacht, weil dort momentan Menschen kurz vorm Nervenzusammenbruch an der Leitung hängen werden – haben ebenfalls nichts mit dem Absender zu tun. Es gibt keine Möglichkeit, den wirklichen Absender dieser kriminellen Belästigung zu erreichen, denn dieser bevorzugt aus naheliegenden Gründen die Anonymität. Strafanzeigen wegen versuchter Computersabotage nimmt die Polizei oder Staatsanwaltschaft entgegen, aber die Ermittlungsaussichten sind… ähm… nicht so toll. Aber irgendwann macht auch dieses Pack mal einen Fehler…

Nachtrag: Inzwischen ist die Website der S:FLEX GmbH wieder erreichbar. Ich lege den dort Verantwortlichen nahe, einen deutlichen Hinweis auf die Spam auf ihrer Startseite zu platzieren, um Empfänger zu warnen und die betrieblichen Kräfte auf gewinnbringendere Dinge als eine Flut von Rückfragen auszurichten. Im Moment (15:10 Uhr) ist das nicht der Fall. (Aber ich kann mir gut vorstellen, was dort gerade los ist! Das kleine Serverchen, auf dem Unser täglich Spam läuft, steht jedenfalls wegen dieser einen Spam ordentlich unter Last.)

¹Im originalen Dateinamen ist ein Name enthalten, deshalb die Unkenntlichmachung.

48 Kommentare für SFLEX Rechnung

  1. Nono sagt:

    Danke! Sehr hilfreich.

  2. LudwigLustig sagt:

    Vielen Dank, eine sehr gute und auch für Laien verständliche Erklärung,
    ich habe schon heute morgen nach erhalt der mail, welche korrekt mit meiner mailadresse versehen war versucht den Admin zu erreichen.
    Aber wahrscheinlich war schon alles zusammengebrochen oder abgeschaltet

    gruß LT

  3. Andreas sagt:

    Sehr geehrte Damen und Herren,

    vielen Dank für die Info. Leider habe ich etwas geistesabwesend auf den Anhang geklickt. WIe kann ich sicherstellen, dass sich eben nichts auf meinem System installiert hat und wenn doch, wie bekomme ich es wieder weg?

    Vielen Dank für die Hilfe und viele Grüße

  4. LudwigLustig sagt:

    Kasperky Internet security 2016 hat nach Prüfung, das MAKRO auch bei mir nicht erkannt

  5. GerhardS sagt:

    Auch wir haben einen User der auf den Anhang geklickt hat. Wisst ihr kann man Netzwerkvirus ausschließen, bzw. hat schon wer festgestellt was das Makro genau anrichtet ?

    • […] was das Makro genau anrichtet

      Das herauszubekommen, muss ich leider richtigen Experten überlassen. Ich weiß nur, dass es ein „Nachlader“ ist, der eine ausführbare Datei für Microsoft Windows über einen Webserver abholt und ausführt, der dann vermutlich eine Kollektion aktueller Trojaner installieren wird.

      Den befallenen Rechner am besten sofort vom Netz trennen und durch einen anderen Rechner ersetzen!

      • GerhardS sagt:

        danke f.d. antwort.
        vom netz haben wir ihn gleich genommen, dennoch vergingen ca. 5 minuten bis dahin, aktuell setzen wir den betroffenen pc neu auf, dennoch bleibt die ungewissheit ob die heruntergeladene exe sich im netzwerk austoben möchte.

  6. fiatpanda sagt:

    Seervus,

    die Mail wurde von Gmx sofort als Virus erkannt und sofort gelöscht, kam erst gar nicht bei mir an.

    Aber jeder der ein wenig bei Verstand ist, weiß das man solche Dateien nicht öffnet.

  7. Sebastian sagt:

    Hallo,

    Auch ich war so schlau und habe den Anhang dummerweise mit meinem Iphone geöffnet gibt es eine möglicheit das Makro zu entfernen?

  8. Martins sagt:

    Danke erstmals. Ist das für iOS und OSX Geräte ein Problem?

    • Meine Version hat eine EXE nachgeladen, und die läuft nicht auf iOS – von daher gebe ich vorsichtig Entwarnung.

      Manchmal muss man eben auch mal Glück haben. 😉

      (Bislang habe ich nur einmal eine Andeutung gehört, dass Spammer aus irgendwelchen Quellen wussten, welches Betriebssystem von Empfängern benutzt wird und entsprechend angepasste Schadsoftware versendet haben.)

  9. Carly2014 sagt:

    Hallo,

    ich habe heute ebenfalls 2 verdächtige Emails in meinem Account gefunden.
    Die erste Mail war mal wieder von Amazon mit der Bitte „Klicken Sie hier, um ihre Kontodaten zu überprüfen“ – auffällig waren hier wieder Buchstaben die nicht zur Formatierung passten.
    Die zweite Mail, mit der angehängten Rechnung von S.Flex, hat mich doch fast überlistet. Im Geiste geht man ja seine getätigten Bestellungen durch, aber da ich keine Befestigungssysteme benötige war klar – SPAM.

    Ich habe den Anhang dann mal separat gespeichert und auf meinem Test-Rechner ohne Internetzugang mit Avira Antivirus Pro 2015 überprüft = es wurde nichts gefunden. Habe die Datei dann mit MS Word 2010 geöffnet = ist nur ein weißes Blatt mit dem Wort „functional“.

    Mir stellt sich jetzt auch die Frage, was richtet dieses Makro an und wie soll man es beseitigen, wenn es auch Kaspersky Internet Security 2016 (siehe LudwigLustig) nicht erkannt hat?

    • Die Antivirus-Programme können nur Schadsoftware erkennen, die bei den Herstellern der Antivirus-Programme bereits bekannt ist. Das ist eine ziemlich frische Brut der Verbrecher. In spätestens zwei Tagen (vermutlich schon eher) wird auch Kaspersky die Pest erkennen.

      […] was richtet dieses Makro an […]

      Es lädt eine ausführbare Datei für Microsoft Windows aus dem Internet nach und führt sie im Hintergrund aus. Dieses Programm von Verbrechern wird ein Installer für eine aktuelle Kollektion von Trojanern aller Art sein. Ein davon befallener Computer ist ein Computer anderer Leute.

  10. elbe2302 sagt:

    danke…. wollte die e-mail schon total ungelesen wegwerfen, da habe ich mir gedacht, frag doch mal google, was das soll…

  11. Hannibal sagt:

    Antivir hat Virus gemeldet und wurde entfernt. Suchlauf negativ.
    Hoffentlich!!!!

  12. Chris sagt:

    Hallo!
    Ich bin leider auch drauf reingefallen da ich zwar gegoogelt habe, aber die Firma gefunden habe und da ich gerade viele Angebot bzgl Hausbau einhole habe ich mir gedacht jemand hat hier ev meine Kontakdaten weitergegeben.
    ich war zwar stutzig aber letzten endes doch dumm genug.

    Ich habe das Word mit meine Android Handy (Xperia) geöffnet. Könnt ihr abschätzen welche Folgen das hat bzw was ich am besten tun sollte?

    LG

  13. Fabian sagt:

    Ist den schon bekannt, wie sich das Programm zu erkennen gibt? Prozessname etc?

    Viele Grüße

    Fabian

  14. Felix sagt:

    Hallo zusammen,
    hatten leider auch einen Nutzer der den Anhang geöffnet hat. Macros sind in Word komplett deaktiviert mit Benachrichtigung. Bei dem User kam allerdings keine Info das ein Makro gefunden wurde. Kann diese Einstellung irgendwie umgangen sein?

    Habe den PC erstmal auf letzte Woche zurück gesetzt und vom Netz genommen. Werde am Montag nochmal eine genaue Prüfung drüber laufen lassen. Mich würde jedoch interessieren ob Makros auch ausgeführt werden können wenn die Funktion über Word deaktiviert wurde.

    VG

    • Fabian sagt:

      Genau diese Frage würde mich auch brenndend interessieren.

    • […] ob Makros auch ausgeführt werden können wenn die Funktion über Word deaktiviert wurde

      Ich habe davon noch nicht gehört – aber man weiß nie. Wenn das ginge, wäre es die vermutlich zurzeit übelste Sicherheitslücke in einem Microsoft-Produkt, und wenn es bekannt wäre, hätte ich es wohl schon mitbekommen, obwohl ich gar kein Windows benutze…

  15. Gerhard Pidd sagt:

    Bei mir hat Kaspersky am 28.01.2016 um 11:19 den Anhang gelöscht.
    Meldung: Suspicious part has benn deletd: :SFLEX Rechnung

  16. Jan sagt:

    Hallo zusammen,
    ich hätte zwei Fragen- auch auf die Gefahr hin. mich zu wiederholen:

    ich baue auch zur Zeit und habe die Email heute morgen zunächst auf meinem iPhone entdeckt und geöffnet. Dort wurde mir dann eine weiße Seite mit dem Wort „fuctional“ angezeitgt. Sonst passierte nichts. Verstehe ich es richtig, dass iOS nicht infiziert wurde?
    Desweiteren wurde die Maill natürlich auch auf unserem Rechner angezeigt. Wir haben ein Homtail Konto. Da uns das ganze Seltsam vorkam, wir aber dennoch nicht sicher waren, ob es relevant ist, haben wir vom Rechner aus auf die Funktion „online Anzeigen“ geklickt. Diese dürfte die Datei doch auch nicht runterladen sondern hoffentlich nur online anzeigen??

    Danke schon mal für Eure Hilfe!!!

    • ich baue auch zur Zeit und habe die Email heute morgen zunächst auf meinem iPhone entdeckt und geöffnet. Dort wurde mir dann eine weiße Seite mit dem Wort „fuctional“ angezeitgt. Sonst passierte nichts. Verstehe ich es richtig, dass iOS nicht infiziert wurde?

      Ja.

      […] haben wir vom Rechner aus auf die Funktion „online Anzeigen“ geklickt. Diese dürfte die Datei doch auch nicht runterladen sondern hoffentlich nur online anzeigen??

      Ehrlich gesagt, da bin ich überfragt – aber das wird sicherlich jemand anders wissen. (Im Zweifelsfall der Support von Microsoft.)

  17. Peter sagt:

    Habe die doc-Datei geöffnet, aber die Aufforderung, ein Makro zu aktivieren, weggeklickt. War es trotzdem schädlich?

  18. LeDav sagt:

    Kam bei mir gerade auch an. Kasperski hat es nicht erkannt (Kaspersky Internet Security)

  19. Eskolol sagt:

    Hallo,

    habe die Doc-Datei im Outlook.com Mailprogramm online geöffnet. Laut Windows Hilfeseiten sind dort Makros und dergleichen standardmäßig deaktiviert bzw. werden nicht gestartet. Die Datei wurde nicht runtergeladen, nur online angezeigt. Weiß da jemand genaueres?

    Vielen Dank schonmal.

  20. JuBo sagt:

    Habe heute auch 2 dieser Rechnungen bekommen, aber vorher gegooglet und bin auf euch gestossen… Hab mir gedacht das es sich um sowas handelt….. kriminelle Idioten

  21. CHG sagt:

    Also Incredimail hat das sofort als spam/malware betitelt und aussondiert und die Firma hat einen Warnhinweis auf der Eingangsseite 🙂

  22. Chris88 sagt:

    Vielen Dank für die wirklich guten Informationen! Ich habe die E-Mail heute schon um 10:17 Uhr erhalten und hätte diese fast wegen Unwissenheit geöffnet. Zu diesem Zeitpunkt gab es noch keine näheren Infos… aber irgendein ungutes Gefühl hielt mich heute Vormittag noch davon ab die Datei zu öffnen 🙂 … Vielen Dank nochmals.

  23. Willi Wurm sagt:

    Hallo. Genau diese Mail habe ich bekommen. Betrifft die Schadsoftware auch Android-Geräte? Meine Tochter (4 Jahre) hat leider diesen Anhang geöffnet.
    Vielen Dank für Ihre Rückmeldung.
    Gruß S.B.

  24. Eyspfeil sagt:

    Vielen Dank für Eure unermüdliche Arbeit!
    Ihr habt mir schon so manchen Nerv geschont.
    Inzwischen ist bei mir buchstäblich jeden Tag
    eine neue „Rechnung“ im Mailkasten.
    Hab schon darüber nachgedacht, meine
    Mailadresse zu löschen und nur noch über
    googlemail zu mailen. Dorthin hab ich praktisch
    kaum je irgendwelchen Spam erhalten.

    LG

  25. ulli sagt:

    Danke, hatte auch diese Mail

    der Header

    From Michael Dietrich Thu Jan 28 10:50:17 2016
    X-Apparently-To: u………….@yahoo.de; Thu, 28 Jan 2016 10:50:19 +0000
    Return-Path:
    X-YahooFilteredBulk: 217.194.196.40
    Received-SPF: none (domain of sflex.com does not designate permitted sender hosts)
    X-YMailISG: Vz2.uvcWLDt.1kxGE2_Ety_Jsg7bXBfRAbdGapWUQ1qVwxP1
    QNJ9.cwrP6O7Dk9DH1JSJYLckZFKCOjTmIYux4cIbEn0n9qCskcfD6IQ6VCO
    W5q99JYUT.H0LcZDiCvL2TuqZ1RphuDxEXwjD_nwGuiljmLrVdFLpY1Afita
    .Nh_iXucLlh6TdKp0gcR1TX2j_62BNDJryU314zP7uUZmUYzquxnG3RrLcgm
    aFm8×5KzfRRzMd2cdxtJB42m.P7CN0Pm_OrO17YaIvA3By8VpA0tEKLEU.n6
    wLdnJM8sURK5HOv53dDhquFK22zEGgkJARsqdjTt9eBep86TEbymzokaV_K3
    7AxmL0L6kXDO9BcuKNSklj9nw2U1g4GcGxD.egxC7cBFPCcoC8fDIZ2v5wo_
    SEYPJpXkOsubHDb5SwDDxkJhdhJZVkbpIi1WRu8SXYPqkCuPfM1L1MaIOhSr
    gqbCkWmMtXhBxBH7DtnfBild10LUB4vKW1a9FuqDOeprwYnAvtHzaZEzQMsR
    lfJWnaTXfN2mj5jnutodgTbyEwkfPu_KBP4OPpoD0.r0yc1ZhRiEMA7fWd2p
    .FiKWmK2Y6XjwAMKWX4gfLDcqZiQb5bjDfKz6q4pdSBMRhHvkz9MMjN5CGJZ
    KTGb4Sv69snss4zvvmtGQh_ZJMGGW.UPwBV0i553eBSw3.Hs33UjnN6p9axy
    4YVZRIo8bXErjQfg1Dm8GKBFPCUnofUJbAEbdSX6yKJwvp40ABhhV1HW3E78
    8LlIAd74b8JJWuBWlirndjetuoKSMkYaUvE_gnamusmXFSsIJn1WDNfzD.44
    TAdnjU6Jv37kVgMcfXTdhIwjxMmzukPwtFxGmtVwVEGFcq2lkj663d4T5QtY
    uHhcP0U1aI_dIDjQfSYc6hp6MxsFHy6DHBq8ae1EurNMVwMa4.y8GNpEOLw1
    SU7WDJuBRia3gq_4zREOvSnECjX9utretlUD7ECFd2E8XtN2HSpXVXps9NLP
    poONCKG.5cQPX1uRePT1V1ECXAFNxqMPgIgl5hcUOg8QztoyLRoRjHoR4Y_x
    Mq37eu9pEjcKIL9yWD7Gj4mhnPxFITH7SWOamajN7BFM_q1OD2wqmszKTLXj
    uD1WrVnPEjuk2ZJNdvl9DqinIL.heTZutrTyxD_R.VuNPNCMt3u3CCuXvtkw
    9H.RCoj8V3QNe8LCnhoxpGF_eJGin0.sKUia7T.KMNHk.cRPHuMPIaQRy9QW
    EiteYpISE.m9HI1Tk.dp1jYGKa6ZAgbmz0xAAXi7RBc8bD6nRcbk.D02JSNL
    VGKZCsbTOzBYplVNNkbGUi0OOw9RlzPmyTlUM9kIs2NkaQxjh4O32e68nAYD
    .rit74EDw3KfbDNtdOIZ8Z.UHP_YRV9XmvdUhwYl2EGCQZVfwM..fpiajht7
    scy.OhtLEny3ClxaCwLhYekrINFjUdbq2krpxHBaF4r1q279zw55Mnx_mqD5
    YuwF6_evOPh5VSqFxrYUQtbzPQJp5cq4UZiHFUzT77qAxbt3sA–
    X-Originating-IP: [217.194.196.40]
    Authentication-Results: mta1034.mail.ir2.yahoo.com from=sflex.com; domainkeys=neutral (no sig); from=sflex.com; dkim=neutral (no sig)
    Received: from 127.0.0.1 (EHLO cust.217-194-196-40.bb.safelines.com) (217.194.196.40)
    by mta1034.mail.ir2.yahoo.com with SMTP; Thu, 28 Jan 2016 10:50:19 +0000
    From: Michael Dietrich
    To: „……………@yahoo.de“
    Subject: SFLEX Rechnung
    Thread-Topic: SFLEX Rechnung
    Thread-Index: AdFYQVshJci869uKTh2wThLSmLY7dg==
    Date: Thu, 28 Jan 2016 13:50:17 +0300
    Message-ID:
    Accept-Language: de-DE, en-US
    Content-Language: de-DE
    X-MS-Has-Attach: yes
    X-MS-TNEF-Correlator:
    x-originating-ip: [192.168.1.12]
    Content-Type: multipart/mixed;
    boundary=“_006_BC2FC48832A43446A9CBFB31788E06AFA40882SBS2011sflexlocal_“
    MIME-Version: 1.0
    Content-Length: 118764

  26. Andres sagt:

    Guten Abend,
    vielen Dank für die Info. Zum Glück hat Apple erkannt dass ein Makro im Dokument vorhanden ist.

    MfG

  27. Oliver sagt:

    Vielen Dank für die Aufklärungsarbeit!!!
    Werde die Seite öfter besuchen…!
    …und irgenwann macht das Pack einen Fehler…!
    MfG Oliver

    • Alex Lexi Tsch sagt:

      Selbst wenn würde man hier nichts davon mit bekommen und wenn einer weg gefangen wird steht der nächste schon in den Startlöchern

  28. RL sagt:

    Hi,

    das Makro lädt über folgende URL den „Dridex.AA“ Trojaner nach: hxxp://yugomisr.com/nuyff45d/87tf23w.exe

    VG

  29. Alex Lexi Tsch sagt:

    Jo auch ich habe heute um 12:04 diese Mail erhalten und mal nach geschaut…bis ich eben dieses hier via Google gefunden habe.
    Alles Angaben wie hier geschildert Identisch !

    THX

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert