Last Updated on 8 Jahren by TmoWizard
Werte Leserinnen und Leser,
wieder einmal ist ein relativ neuer Trojaner per E-Mail unterwegs! Diese hat bei mir den in der Überschrift genannten Betreff, wobei die dort stehende Nummer wohl per Zufall geändert wird.
Der Text der Mail lautet bei mir wie folgt:
Guten Tag,
das von Ihnen gespeicherte Bankkonto wurde nicht genügend gedeckt, um die Kontoabbuchung durchzuführen. Sie haben eine ungedeckte Rechnung beim Unternehmen Bank-Pay AG.
Rechnung: 82,41 EU
Gebühren: 56,40 EUDer gesamte Betrag kann aufgrund berechneter Zinsen möglicherweise abweichen.
In Vollmacht unseren Mandanten Bank-Pay AG ordnen wir Ihnen an, die offene Gesamtforderung unverzüglich zu begleichen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen Die detaillierte Forderungsausstellung, der Sie alle Positionen entnehmen können, ist beigefügt. Wir erwarten die Zahlung inklusive der Mahnkosten bis zum 21.12.2015 auf unser Konto.
Erfolgt kein Ausgleich der offenen Gesamtforderung bis bis zum festgelegtem Datum, werden wir ohne weitere Kontaktaufnahme den Vorgang an das Gericht übergeben und der SCHUFA Holding AG melden.
Es grüßt Sie Ihre
Rechnungsstelle Jamie Althusius
Das Datum und auch die Beträge können dabei ebenfalls variieren, ich habe mir nur die eine raus gepickt.
Die E-Mail hat bei mir eine „15.12.2015 Ihrer Bestellung Bank-Pay AG.zip“ als Anhang, welche eine „Rechnungsstelle Bank-Pay AG Ausgleich 15.12.2015.zip“ beinhaltet. Erst nach Auspacken dieser Letzteren kommt dann die wahre Datei zu Tage, welche bei mir den Namen „Ausgleich Rechnungsstelle Bank-Pay AG.com“ trägt, sie kann aber auch den Namen „Rechnung Abrechnung Pay Online AG.com“ haben.
Warnung: Keine dieser Dateien wird derzeit von allen Virenscannern bei VirusTotal erkannt (29/54), das Ding ist also gefährlich!
Hinweis für Windows: Leute, laßt euch bitte unbedingt die Endungen von allen Dateien anzeigen. *.com und ähnliches seht ihr normaler Weise nicht, sowas kann ganz böse enden!
Das ist ein Trojaner, der wahrscheinlich an eure Daten heran will. Falls ihr also solch eine E-Mail bekommt dann als Junk/Spam markieren und weg damit, auf keinen Fall den Anhang starten, sonst habt ihr eventuell einige Probleme!
Die E-Mail bei mir scheint übrigens von einem befallenen Rechner hier aus Deutschland zu kommen, wenn ich das im Quelltext richtig interpretiert habe. Der könnte also zu einem Botnet gehören, genaues dazu weiß ich aber nicht. Nur folgendes:
Der Besitzer des PCs mit dem Namen „Grauerwolf-PC“ sollte dringendst seinen PC säubern, mit dem stimmt nämlich was ganz und gar nicht!
Ach ja, noch was: Die in der E-Mail genannte „Bank-Pay AG“ konnte ich trotz aller Bemühungen nicht finden, das scheint wohl ein Fantasiename zu sein.
Ich wünsche euch allen noch ein schadwarefreies restliche Jahr 2015, ich werde den nächsten Tagen nicht viel Zeit für neue Artikel haben! Weihnachten steht vor der Tür, mein Sohn hatte letztens Geburtstag und kommt zu Besuch.
Viele Grüße aus TmoWizard’s Castle zu Augsburg
Mike, TmoWizard 
#Trojanerwarnung: Offene Rechnung: Buchung 48271824 von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.
wird der Trojaner-Schrott von ClamAV mit aktuellen Signaturen erkannt ?
MfG
Andreas
Hallo Andreas!
Leider nein, ebenso wenig wie von vielen anderen Virenscannern! Wie geschrieben scheint das Ding relativ neu zu sein, da hinken die Hersteller von Sicherheitssoftware ja immer etwas hinterher.
Grüße aus Augsburg
Mike, TmoWizard
Und mit den inoffiziellen Signaturen ?
Erkennt ClamAV damit den Trojaner ?
MfG
Andreas
Nein, leider auch nicht! :-(
Auch AVG, Comodo, F-Prot und etliche andere Scanner erkennen das Teil immer noch nicht, hab ich gerade eben nochmal getestet!