Heute erhielt ich eine lus­tige Mail, schein­bar vom “New York State — Depart­ment of Motor Vehi­cles”. Ich soll am 05.07.2011 eine Geschwin­dig­keits­über­tre­tung in einer 55er Zone began­gen haben?

Ange­hängt ist eine Text­da­tei mit dem Namen “Ticket-064–211.txt”. Offen­sicht­lich ist den Ehren­wer­ten Men­schen, die diese SPAM-Mail beauf­tragt haben, ein win­zi­ger Feh­ler unter­lau­fen, denn es sollte defi­ni­tiv keine Text­da­tei ange­hängt wer­den. In der ver­meint­li­chen Text­da­tei befin­det sich aus­führ­ba­rer Code, sie hätte also “Ticket-064–211.txt.exe” hei­ßen müs­sen. So jeden­falls ist die Datei rela­tiv ungefährlich.

Ich habe sie in “Ticket-064–211.txt.exe” umbe­nannt und mal geschaut, ob meine Micro­soft Secu­rity Essen­ti­als etwas dazu wis­sen. Die Datei wird zwei­fels­frei als Bedro­hung erkannt und blo­ckiert. Hier TrojanDownloader:Win32/Chepvil.N genannt. Wer nach­le­sen möchte, fin­det bei Micro­soft ent­spre­chende Infor­ma­tio­nen.

Der Virus lädt Code nach, den er in das %temp% Ver­zeich­nis ablegt und von dort aus­führt, also Vorsicht!

Soll­ten Sie eine ähnli­che Mail bekom­men, dann leh­nen Sie sich zurück, auch wenn Sie zum frag­li­chen Zeit­punkt in New York gewe­sen sein soll­ten. Die dor­tige Poli­zei ver­schickt sicher keine Straf­zet­tel per eMail.

Löschen Sie die Mail mit ruhi­gem Gewissen.

Mein Tipps gegen sol­che Bedrohungen:

• Arbei­ten und Sur­fen Sie nie­mals als Admi­nis­tra­tor, son­dern immer  nur als nor­ma­ler Benut­zer, soll­ten Sie Admin-Rechte benö­ti­gen, so star­ten Sie die Appli­ka­tion mit der rech­ten Maus­taste und kli­cken dann auf “als Admi­nis­tra­tor ausführen”.
• Deak­ti­vie­ren Sie das “Erwei­te­run­gen von bekann­ten Datei­ty­pen ausblenden”.
• Öffnen Sie Datei­an­hänge von Mails mit unbe­kann­ten Absen­dern oder in fremd­län­di­schen Spra­chen mit Vorsicht.

In die­sen Sinne wün­sche ich all mei­nen Leser einen schö­nen und viren­freien Tag.

ACH­TUNG! Bei dhl-kontakt.info han­delt es sich um eine Phis­hing­seite, ach­ten Sie dar­auf, auf die­ser Seite weder Ihre Post­num­mer oder Ihr Internet-Passwort noch Ihre PIN einzugeben!

Das sind ganz beson­ders feine Kerle, denen ich poli­tisch kor­rekt, eine hoch­gra­dig anste­ckende Infek­ti­ons­krank­heit, die über­wie­gend durch auf hei­mi­schen Nage­tie­ren lebende Insek­ten über­tra­gen wird, an den Hals wünsche!

Ges­tern hatte ich eine Mail in mei­nem Post­fach, die von “Mei­ner DHL Pack­sta­tion” kam, nur habe ich kein Konto bei Pack­sta­tion, auch wenn ich gele­gent­lich meine Pakete an einer sol­chen aufgebe.

Ver­linkt wird in die­ser Mail auf dhl-kontakt.info, die Domain exis­tiert tat­säch­lich und ist auf eine Firma “Ding­host Limited”, Calle 53, Mar­bella in Panama regis­triert. Webad­min ist ein “Dimitri  Povak”. Somit ist die Domain defi­ni­tiv nicht von DHL!

Beson­ders schlimm ist, dass die übli­chen Phis­hing­be­schüt­zer vom Inter­net Explo­rer oder dem Fire­Fox noch nicht reagieren.

Die Seite ist sehr gut nach­ge­macht und eine nahezu 99%-ige Kopie der ori­gi­na­len DHL Seite. Alle Links auf der Seite ver­wei­sen auf dhl.de nur der Link für die Veri­fi­zie­rung” ver­weist auf die Phis­hing­seite von dhl-kontakt.info.

Das fol­gende Tool ver­wen­dete ich zum Ermit­teln der Infor­ma­tio­nen zur Phis­hing Domain. Es ist Free­ware und lässt sich por­ta­bel nutzen.

WhoisT­his­Do­main v1.52 — Domain name search tool (Whois) for Win­dows Copy­right © 2005 — 2010 Nir Sofer. Kli­cken Sie auf das Bild.

Also Augen auf beim Sur­fen im Inter­net. Nicht das Inter­net ist böse, son­dern einige wenige feine Kerle, die sich hier tummeln.

Irgend­wie war der Tag heute ganz schön beschei­den. Erst wurde ich vom Regen total durch­nässt und dann tappte ich mit­tags beim Sur­fen in die sorg­sam aus­ge­legte Schlinge der ehren­wer­ten Damen und Her­ren von “softwaresammler.de” bzw. “software-start.me” aus Mannheim.

Ich war auf dem Blog von Cars­ten Knobloch, einem seriö­sen Men­schen, zu Besuch, dort fand ich ein Pos­ting zum Thema “Kos­ten­lose Fire­wall für Win­dows: ZoneAlarm heute kos­ten­los”, ich sel­ber nutze zwar nur die win­dows­ei­gene Fire­wall, aber der Text ani­mierte mich, das Pro­gramm mal antes­ten zu wollen.

Cars­ten Knobloch schal­tet auf sei­nem Blog per Googles Adwords Pro­gramm Wer­bung. Als ich den Blog besuchte war dort gerade Wer­bung für “Zone Alarm v7.1” geschal­tet, lei­der bemerkte ich nicht, dass es sich um kun­den­fi­nan­zierte Google-Werbung han­delte, erkennt man an dem win­zi­gen Wört­chen Google-Anzeigen.

Lei­der habe ich auf den Link geklickt.

Nun gelangte ich zur Seite des ehren­wer­ten Herrn:

• Alex­an­der Varin
  Con­tent Ser­vices Ltd
  Mun­den­hei­mer­strasse 70
  68219 Mannheim

Die Seite sah für mich sehr echt aus, den win­zi­gen Hin­weis auf 2x96€ über­sah ich, da bei kos­ten­lo­sen Voll­ver­sio­nen von Soft­ware­fir­men meist eine Regis­trie­rung erfor­der­lich ist, daher hegte ich auch kei­nen Arg­wohn. Ich pre­dige immer, gebt keine per­sön­li­chen Daten wei­ter, sagt nie Euer Geburts­da­tum, aber auch ich bin rein getappt, ich schiebe es ein­fach mal auf meine Erkäl­tung und das damit ver­bun­dene Fie­ber. Als ich dann die Bestä­ti­gung mei­ner “Anmel­dung” mit dem Hin­weis auf Zugangs­da­ten per Mail sah, schwante mir Schlimmes.

Zum Glück muss ich nur von mei­nem 2-wöchigen Kün­di­gungs­recht Gebrauch machen und den “Ver­trag” kün­di­gen, sonst schickt mir der ehren­werte Herr aus Mann­heim sei­nen noch viel ehren­wer­te­ren RA, den Herrn Tank, mit net­ten Mahn­schrei­ben, das muss ich nicht haben.

Auch in der Mail mit den Zugangs­da­ten erkennt man die ehren­werte Firma wie­der, kein Impres­sum, keine Steu­er­num­mer und auch keine USt-IdNr., einem fin­di­gen Anwalt könnte das bis 5.000 € wert sein, na Herr Tank, Inter­esse? Siehe heise online vom 24.01.2007.

Soll­ten Sie sich auch “ange­mel­det” haben, schal­ten Sie auf kei­nen Fall Ihren Kos­ten ver­ur­sa­chen­den Zugang zu kos­ten­lo­ser Soft­ware frei. Kün­di­gen Sie dann inner­halb von 2 Wochen, Ein­lie­fe­rungs­da­tum zählt, die­sen nutz­lo­sen Vertrag.

Machen Sie sich einen Kno­ten ins Taschen­tuch, damit Sie zukünf­tig daran den­ken, dass man auf­grund der segens­rei­chen Erfin­dung des Googles Adwords Pro­gramms auch auf seriö­sen Sei­ten mit Ver­su­chun­gen die­ser ehren­wer­ten Damen und Her­ren rech­nen muss. Die wol­len nur Ihr Bes­tes, Ihr Bargeld.

Hier noch ein paar Links mit Infos etc. zum obi­gen Problem:

1. www.abzocknews.de
2. Der Abzock­trend 2009: Unter­schie­ben von Ver­trä­gen und Schad­soft­ware durch dubiose Download-Portale
3. Open­of­fice – Ein Lieb­ling dubio­ser Download-Portale
4. War­nung: Emp­feh­lung von Micro­soft führt zum Abzock­an­ge­bot Opendownload.de!
5. Chip.de und die Download-Abzocker