PC-Notfallklinik

Hallo.

Ich habe heute eine komische Mail bekommen. Der Inhalt ist wie folgt:

Absender: Sachbearbeiter GiroPay24 AG <service@giropay.com>
Empfänger: "ich mit Vor- und Nachnamen sowie meine E-mail-Adresse" ---> entfernt
Betreff: Rechnung für xxx xxxxxxxxx zur Bestellung NR432962283
Datum: 09.01.2017 14:22

Sehr geehrte(r) xxx xxxxxxxxx,

leider haben wir festgestellt, dass die Zahlungsaufforderung Nummer 432962283 bis heute ergebnislos blieb. Jetzt gewähren wir Ihnen damit letztmalig die Möglichkeit, den ausstehenden Betrag der Firma GiroPay24 AG zu decken. Aufgrund des andauernden Zahlungsrückstands sind Sie gezwungen zuzüglich, die durch unsere Beauftragung entstandene Gebühren von 82,30 Euro zu tragen. Bei Rückfragen oder Anregungen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um zusätzliche Kosten zu vermeiden, bitten wir Sie den fälligen Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungen bis zum 06.01.2017.

Verbindliche Personalien:

Mein Vor- und Nachname (korrekt geschrieben)
Straße (ein Teil des zweiten Teil des Straßennamens klein obwohl groß richtig)
richtige Postleitzahl und Ort

Tel. meine Handynummer (richtig angegeben)

Die Zahlung erwarten wir bis zum 16.01.2017. Falls wir bis zum genannten Termin keine Überweisung einsehen, sehen wir uns gezwungen unsere Forderung an ein Gericht abzugeben. Alle damit verbundenen Zusatzkosten gehen zu Ihrer Last. Eine vollständige Forderungsausstellung Nr. 432962283, der Sie alle Einzelpositionen entnehmen können, befindet sich im Anhang.

Mit verbindlichen Grüßen

Sachbearbeiter Lennox Koberger

Der Anhang ist eine Zip-Datei. In dieser ist eine Datei mit der Endung ".com". Die habe ich nicht geöffnet, so blöd bin ich erstmal nicht. Ich habe die Zip-Datei erst mal auf meinem Rechner gespeichert. Bevor ich diese gespeichert habe, habe ich online bei Arcor und auch nochmal hier an meinem Rechner mit Avira (neuster Update-Stand) die Datei scannen lassen. Jeweils ohne Fund. Ich habe die Zip-Datei dann auch noch an Avira zur Prüfung geschickt. Auf das Ergebnis warte ich noch.

Ich hab erstmal nichts weiteres gemacht. Schon gar nicht geantwortet. Auch keinen Kontakt aufgenommen. Zumal mir nicht bekannt ist, dass ich bei der Firma einen Rückstand oder bei irgendeiner anderen Firma einen Rückstand haben sollte. Die o.g. Firma ist mir völlig unbekannt. Ich halte das für Spam. Was meint Ihr?

Gruß

Hallo.

Die Antwort von Avira ist schon da. Ergebnis:

TR/AD.Nymaim.Y

Also war mein Verdacht richtig. Könnt Ihr mir mal sagen, was der macht? Ich lösche die Datei mal von meinem Rechner und lasse einen vollständigen Virenscan laufen. Obwohl eigentlich nichts passiert sein dürfte, denn die ".com"-Datei habe ich nicht geöffnet.

Gruß

Die viel interessantere Fragestellung sollte sein, in welchem Online-Shop Du diesen kleinen Schreibfehler bei der Anschrift in den Kundendaten hast.

Was meint denn virustotal.com? Mehrere Meinungen sind manchmal interessanter..

Na der Name kommt mir doch bekannt vor

das ist ähnlich wie in meinem Thread, die verändern solche Mails leicht, is aber im Prinzip dasselbe. Der Versuch nen Trojaner zu installieren, bei denen die die Zip öffnen

http://www.pc-notfallklinik.de/viewtopic.php?f=21&t=981" onclick="window.open(this.href);return false;

Der vollständige Systemscan mit Avira löuft noch. Bisher keinerlei Funde. Wie ich vorhin schon geschrieben habe, habe ich die Datei schon gelöscht bevor ich den Scan startete. Als ich nun diese wieder runderladen und speichern wollte (ohne zu öffnen wohlgemerkt), schlug sofort Avira an und verschob diese in die Quarantäne. Dort ist sie nun. Ich habe diese mal bei Virustotal scannen lassen. Das Ergebnis ist, dass diese aktuell nur von folgenden Scannern erkannt wird:

Ad-Aware ==> Trojan.GenericKD.4155072
Arcabit ==> Trojan.Generic.D3F66C0
BitDefender ==> Trojan.GenericKD.4155072
Emsisoft ==> Trojan.GenericKD.4155072 (B)
eScan ==> Trojan.GenericKD.4155072

Bei allen anderen wird diese bisher nicht erkannt. Ich lass die Datei mal in der Quarantäne von Avira. Und meine Online-Shops werde ich mal in den nächsten Tagen durchforsten, ob da irgendwo der Schreibweise des Straßennamens der Fehler drin ist. Dann sehe ich weiter.

Gruß

Nachtrag: Der Virenscan ist abgeschlossen. Es wurde von Avira nichts gefunden. Nun bin ich mir sicher, dass nichts auf dem Rechner ist. Soweit schon mal gut.

So, ich habe jetzt mal alle Online-Shops durchgeschaut. Da ist nirgends der Schreibfehler im Straßennamen drin. Weiß der Kuckuck, woher die meine Daten haben. Ich kann es auf jeden Fall nicht nachvollziehen. Ich hatte noch nie irgendeinene Schädling auf meinem Rechner seit ich PC (seit 2001) habe. Nun gehe ich aber in die Federn, morgen früh 05:15 Uhr klingelt wieder der Wecker. Gute Nacht.

Gruß

Ich waere wirklich bereit zu wetten, dass Du den entsprechenden Shop nur noch nicht gefunden hast....

NoG,

die Wette würdest Du verlieren. Ich habe von jedem Onlineshop, bei dem ich einkaufe, die Zugangsdaten auf Papier in einer Liste. Bei anderen, die ich nicht in der Liste habe, kaufe ich nicht ein.

Ich habe diese Liste komplett abgearbeitet. Nichts. In keinem Shop war der Straßenname falsch hinterlegt. Auch ansonsten habe ich in den Shops keinerlei Unregelmäßigkeiten in den dort vorhandenen Daten gefunden. Mehr kann ich ja wohl nicht machen, oder?

Gruß

Ach ja, hier noch der Header der Mail:

Return-Path: <service@giropay.com>
X-Original-To: xxx.xxxxxxxxx@arcor.de
Received: from mail-in-09.arcor-online.net (mail-in-09.arcor-online.net [151.189.21.49])
by mail-in-17-z2.arcor-online.net (Postfix) with ESMTP id AB5FD118B6C
for <xxx.xxxxxxxxx@arcor.de>; Mon, 9 Jan 2017 14:29:29 +0100 (CET)
Received: from vsmx002.vodafonemail.xion.oxcs.net (vsmx002.vodafonemail.xion.oxcs.net [153.92.65.116])
(using TLSv1 with cipher ADH-AES256-SHA (256/256 bits))
(No client certificate requested)
by mx.arcor.de (Postfix) with ESMTPS id 3txwx53Mcfz2KQw
for <xxx.xxxxxxxxx@arcor.de>; Mon, 9 Jan 2017 14:29:29 +0100 (CET)
Received: from mta-p1.oxcloud-vadesecure.net (mta-p1.oxcloud-vadesecure.net [153.92.174.49])
by mx.vodafonemail.xion.oxcs.net (Postfix) with ESMTP id 3txwx51WpXzFqhB
for <xxx.xxxxxxxxx@arcor.de>; Mon, 9 Jan 2017 13:29:29 +0000 (UTC)
Received: from mout.perfora.net (unknown [74.208.4.197])
(using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by mta-p1.oxcloud-vadesecure.net (ox1mtai07p) with ESMTPS id D6E5C1A1DCC
for <xxx.xxxxxxxxx@arcor.de>; Mon, 9 Jan 2017 13:22:29 +0000 (UTC)
Received: from infong1298.perfora.net ([74.208.16.187]) by mrelay.perfora.net
(mreueus001 [172.19.143.3]) with ESMTPA (Nemesis) id 0MQxIW-1c317t0vhW-00UNPI
for <xxx.xxxxxxxxx@arcor.de>; Mon, 09 Jan 2017 14:22:03 +0100
Received: from 217.29.58.144 (IP may be forged by CGI script)
by infong1298.perfora.net with HTTP
id 0EYdAx-1cyoS80qJP-00aBqm; Mon, 09 Jan 2017 08:22:03 -0500
X-Sender-Info: <461650979@infong1298.perfora.net>
Precedence: bulk
Date: Mon, 9 Jan 2017 08:22:03 -0500
To: xxx xxxxxxxxx <xxx.xxxxxxxxx@arcor.de>
From: Sachbearbeiter GiroPay24 AG <service@giropay.com>
Subject: Rechnung für xxx xxxxxxxxx zur Bestellung NR432962283
Message-ID: <a6ef9f26734ec34c78919ee8b44b39cb@noisytenants.com>
X-Priority: 3
X-Mailer: Apple Mail
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="b1_a6ef9f26734ec34c78919ee8b44b39cb"
Content-Transfer-Encoding: 8bit
X-Provags-ID: V03:K0:mNiGgR9SpLC7pnqlZHcUW//lCQHzv0ovNQU/PR8uIZ8gUJb9O6N
W8NheRvFFQV/5iG428axc8TLXe2afd3z4NaDYmIV5Q1HQHaKDWUXQDBf6dtSljCejX20mRS
NCZcTQTVa91OHWrmkocKWt8LDz+9+S4hhFozZRrUE7Ac+CNWkC6bjSsCS4IS4qnbOiPFs4o
hUTN4P+zdTFR4HsbQX6mgA9Ucvvfdfs++SsCLG0sDo=
X-UI-Out-Filterresults: notjunk:1;V01:K0:p5+srZdF9Vo=:O/m7B8ZO9nZrMJ3135zHRr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X-VRC-SPAM-STATUS: 2,9999,Vade Retro 01.394.24#53 AS+AV+RT Profile: OXEU; Bailout: 300; VIRUS VirusHdr; Hdr=pDTFSIPMVcE@m8jph07; From=Sachbearbeiter GiroPay24 AG <service@giropay.com>; Ip=74.208.4.197,217.29.58.144; Param=maxmsgsize=1048576,helo=mout.perfora.net,inet=74.208.4.197,mailfrom=service@giropay.com,rcptto=xxx.xxxxxxxx@arcor.de
X-VRSPAM-STATE: virus
X-Arcor-Antispam: SPF_SOFTFAIL RECEIVED_FROM_UNKNOWN
X-ArcorSpamBlocker: Spamcount: 4 Sensitivity: 10

Mit den "x" habe ich meinen Namen unkenntlich gemacht.

Gruß

Hallo.

Zu den IP-Adressen, die man im Header sieht, habe ich noch folgendes gefunden:

Details zur IP-Adresse 74.208.4.197

NetRange: 74.208.0.0 - 74.208.255.255
CIDR: 74.208.0.0/16
NetName: 1AN1-NETWORK
NetHandle: NET-74-208-0-0-1
Parent: NET74 (NET-74-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS8560
Organization: 1&1 Internet Inc. (11INT)
RegDate: 2006-11-22
Updated: 2012-02-02
Comment: For abuse issues, please use only abuse@1and1.com
Ref: https://whois.arin.net/rest/net/NET-74-208-0-0-1" onclick="window.open(this.href);return false;
OrgName: 1&1 Internet Inc.
OrgId: 11INT
Address: 701 Lee Rd
Address: Suite 300
City: Chesterbrook
StateProv: PA
PostalCode: 19087
Country: US
RegDate: 2006-09-05
Updated: 2016-04-15
Comment: http://www.1and1.com" onclick="window.open(this.href);return false;
Comment: For abuse issues, please use only abuse@1and1.com
Ref: https://whois.arin.net/rest/org/11INT" onclick="window.open(this.href);return false;

Details zur IP-Adresse 153.92.174.49

inetnum: 153.0.0.0 - 153.255.255.255
netname: ERX-NETBLOCK
descr: Early registration addresses
remarks: ------------------------------------------------------
remarks: Important:
remarks:
remarks: Networks in this range were allocated by InterNIC
remarks: prior to the formation of Regional Internet
remarks: Registries (RIRs): AfriNIC, APNIC, ARIN, LACNIC and RIPE NCC.
remarks:
remarks: Address ranges from this historical space have now
remarks: been transferred to the appropriate RIR database.remarks:
remarks: If your search has returned this record, it means the
remarks: address range is not administered by APNIC.
remarks:
remarks: Instead, please search one of the following databases:
remarks:
remarks: - AfriNIC (Africa)
remarks: website: http://www.afrinic.net/" onclick="window.open(this.href);return false;
remarks: command line: whois.afrinic.net
remarks:
remarks: - ARIN (Northern America)
remarks: website: http://www.arin.net/" onclick="window.open(this.href);return false;
remarks: command

Details zur IP-Adresse 151.189.21.49

Leider keine Einträge gefunden.

Details zur IP-Adresse 153.92.65.116

inetnum: 153.0.0.0 - 153.255.255.255
netname: ERX-NETBLOCK
descr: Early registration addresses
remarks: ------------------------------------------------------
remarks: Important:
remarks:
remarks: Networks in this range were allocated by InterNIC
remarks: prior to the formation of Regional Internet
remarks: Registries (RIRs): AfriNIC, APNIC, ARIN, LACNIC and RIPE NCC.
remarks:
remarks: Address ranges from this historical space have now
remarks: been transferred to the appropriate RIR database.remarks:
remarks: If your search has returned this record, it means the
remarks: address range is not administered by APNIC.
remarks:
remarks: Instead, please search one of the following databases:
remarks:
remarks: - AfriNIC (Africa)
remarks: website: http://www.afrinic.net/" onclick="window.open(this.href);return false;
remarks: command line: whois.afrinic.net
remarks:
remarks: - ARIN (Northern America)
remarks: website: http://www.arin.net/" onclick="window.open(this.href);return false;
remarks: command

Details zur IP-Adresse 217.29.58.144

inetnum: 217.29.58.128 - 217.29.58.191
netname: SERVERNIYE-TECHNOLOGII-NET
descr: Moscow, Russian Federation
country: RU
admin-c: SK4292-RIPE
tech-c: SK4292-RIPE
status: ASSIGNED

Interessant, dass da Russland dabei ist, nicht?

Gruß

Inwiefern sollte das interessant sein?

Dann vergiß es einfach.

Gruß

Ähnliche E-Mails haben wir in den letzten Wochen auch erhalten, da sind wie NoG schon richtig geschrieben hat, irgendwelche Online Shops infiziert oder gehackt worden. Beim großen Online Auktionshaus habe ich erst mal unsere FN Telefonnummer durch Nullen ersetzt, damit diese zumindest nicht mehr weiter gegeben werden kann. Wer was von uns will der muss uns anschreiben! E-Mails mit Anlage per ZIP, dazu mehrfach gepackt, sind immer sehr verdächtig und werden in der Regel von uns immer gelöscht.

Takko,

danke für die Antwort. Weiß man eigentlich, welche Onlineshops gehackt worden sind? Wie ich schon schrieb, in den Onlineshops in denen ich einkaufe, konnte ich nirgends den Schreibfehler im Straßennamen finden. Wenn ich wüsste wo ich sonst noch suchen müsste, könnte ich reagieren. So kann man nur spekulieren. Werde am Wochenende mal bei allen Onlineshops die Telefonnummer rausnehmen soweit möglich und auch alle Passwörter ändern. Zuvor komme ich zeitlich wohl nicht dazu.

Gruß

Welche Shops gehackt worden sind lässt sich so im Prinzip niemals ermitteln. Es sei denn, jemand gibt zu, dass sein Shop gehackt wurde, zum Beispiel die Plattform Yahoo und die haben das zuerst auch nicht gemerkt!

Ich meine im allgemeinen auch eher die Einkäufe beim großen Auktionshaus. Bei jedem Händler wo man was kauft werden auch die Adressdaten zur Rechnungserstellung übermittelt. Werden dort Daten gestohlen, dann haben die Diebe ja deinen Adressdatensatz und ggf. auch deine FN Telefonnummer, soweit sie angegeben wurde, denn die wird ja meistens mit an den Verkäufer übertragen oder man hat sie freiwillig angegeben. Aus diesem Grunde geben wir grundsätzlich niemals unsere FN Nummer mit an und wenn, dann nur noch eine unserer Handy Nummern. Wenn man eine angeben muss, dann gebe ich immer nullen ein

. Unsere FN Nummer wissen nur Freunde unsere Bank oder die Versicherungen.

Hierzu mal eine aktuelle Meldung von heise.de:
https://www.heise.de/newsticker/meldung ... 92281.html

Danke für den Link Alfa, Gott sei dank ist kein Shop,dabei den ich nutze. Aber das Schacht und Westerich auch betroffen ist finde ich für den Shop jetzt etwas peinlich, denen hätte ich eigentlich vertraut so klein sind die ja nu nicht

Wenn ich den Link von Alfa richtig gelesen habe, muss ich wohl jeden einzelnen Online-Shop auf die Sicherheitslücke überprüfen. Richtig? Dann kann ich nur hoffen, dass nicht ein Shop dabei ist, bei dem ich online bestellt habe. Dann habe ich wahrscheinlich ein Problem, denn manches findet man im stationären Handel nicht mehr oder nur sehr schwer und ist aufs Internet angewiesen. Na ja, mal sehen.

Gruß

PC-Notfallklinik

[✅] Verdächtige E-mail mit Zip-Datei

[✅] Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei

Re: Verdächtige E-mail mit Zip-Datei