Angehängt ist eine Textdatei mit dem Namen “Ticket-064–211.txt”. Offensichtlich ist den Ehrenwerten Menschen, die diese SPAM-Mail beauftragt haben, ein winziger Fehler unterlaufen, denn es sollte definitiv keine Textdatei angehängt werden. In der vermeintlichen Textdatei befindet sich ausführbarer Code, sie hätte also “Ticket-064–211.txt.exe” heißen müssen. So jedenfalls ist die Datei relativ ungefährlich.

Ich habe sie in “Ticket-064–211.txt.exe” umbenannt und mal geschaut, ob meine Microsoft Security Essentials etwas dazu wissen. Die Datei wird zweifelsfrei als Bedrohung erkannt und blockiert. Hier TrojanDownloader:Win32/Chepvil.N genannt. Wer nachlesen möchte, findet bei Microsoft entsprechende Informationen.

Der Virus lädt Code nach, den er in das %temp% Verzeichnis ablegt und von dort ausführt, also Vorsicht!

Sollten Sie eine ähnliche Mail bekommen, dann lehnen Sie sich zurück, auch wenn Sie zum fraglichen Zeitpunkt in New York gewesen sein sollten. Die dortige Polizei verschickt sicher keine Strafzettel per eMail.

Löschen Sie die Mail mit ruhigem Gewissen.

Mein Tipps gegen solche Bedrohungen:

• Arbeiten und Surfen Sie niemals als Administrator, sondern immer  nur als normaler Benutzer, sollten Sie Admin-Rechte benötigen, so starten Sie die Applikation mit der rechten Maustaste und klicken dann auf “als Administrator ausführen”.
• Deaktivieren Sie das “Erweiterungen von bekannten Dateitypen ausblenden”.
• Öffnen Sie Dateianhänge von Mails mit unbekannten Absendern oder in fremdländischen Sprachen mit Vorsicht.

In diesen Sinne wünsche ich all meinen Leser einen schönen und virenfreien Tag.

Das sind ganz besonders feine Kerle, denen ich politisch korrekt, eine hochgradig ansteckende Infektionskrankheit, die überwiegend durch auf heimischen Nagetieren lebende Insekten übertragen wird, an den Hals wünsche!

Gestern hatte ich eine Mail in meinem Postfach, die von “Meiner DHL Packstation” kam, nur habe ich kein Konto bei Packstation, auch wenn ich gelegentlich meine Pakete an einer solchen aufgebe.

Verlinkt wird in dieser Mail auf dhl-kontakt.info, die Domain existiert tatsächlich und ist auf eine Firma “Dinghost Limited”, Calle 53, Marbella in Panama registriert. Webadmin ist ein “Dimitri  Povak”. Somit ist die Domain definitiv nicht von DHL!

Besonders schlimm ist, dass die üblichen Phishingbeschützer vom Internet Explorer oder dem FireFox noch nicht reagieren.

Die Seite ist sehr gut nachgemacht und eine nahezu 99%-ige Kopie der originalen DHL Seite. Alle Links auf der Seite verweisen auf dhl.de nur der Link für die Verifizierung” verweist auf die Phishingseite von dhl-kontakt.info.

Das folgende Tool verwendete ich zum Ermitteln der Informationen zur Phishing Domain. Es ist Freeware und lässt sich portabel nutzen.

WhoisThisDomain v1.52 — Domain name search tool (Whois) for Windows Copyright © 2005 — 2010 Nir Sofer. Klicken Sie auf das Bild.

Also Augen auf beim Surfen im Internet. Nicht das Internet ist böse, sondern einige wenige feine Kerle, die sich hier tummeln.

Ich war auf dem Blog von Carsten Knobloch, einem seriösen Menschen, zu Besuch, dort fand ich ein Posting zum Thema “Kostenlose Firewall für Windows: ZoneAlarm heute kostenlos”, ich selber nutze zwar nur die windowseigene Firewall, aber der Text animierte mich, das Programm mal antesten zu wollen.

Carsten Knobloch schaltet auf seinem Blog per Googles Adwords Programm Werbung. Als ich den Blog besuchte war dort gerade Werbung für “Zone Alarm v7.1” geschaltet, leider bemerkte ich nicht, dass es sich um kundenfinanzierte Google-Werbung handelte, erkennt man an dem winzigen Wörtchen Google-Anzeigen.

Leider habe ich auf den Link geklickt.

Nun gelangte ich zur Seite des ehrenwerten Herrn:

• Alexander Varin
  Content Services Ltd
  Mundenheimerstrasse 70
  68219 Mannheim

Die Seite sah für mich sehr echt aus, den winzigen Hinweis auf 2x96€ übersah ich, da bei kostenlosen Vollversionen von Softwarefirmen meist eine Registrierung erforderlich ist, daher hegte ich auch keinen Argwohn. Ich predige immer, gebt keine persönlichen Daten weiter, sagt nie Euer Geburtsdatum, aber auch ich bin rein getappt, ich schiebe es einfach mal auf meine Erkältung und das damit verbundene Fieber. Als ich dann die Bestätigung meiner “Anmeldung” mit dem Hinweis auf Zugangsdaten per Mail sah, schwante mir Schlimmes.

Zum Glück muss ich nur von meinem 2-wöchigen Kündigungsrecht Gebrauch machen und den “Vertrag” kündigen, sonst schickt mir der ehrenwerte Herr aus Mannheim seinen noch viel ehrenwerteren RA, den Herrn Tank, mit netten Mahnschreiben, das muss ich nicht haben.

Auch in der Mail mit den Zugangsdaten erkennt man die ehrenwerte Firma wieder, kein Impressum, keine Steuernummer und auch keine USt-IdNr., einem findigen Anwalt könnte das bis 5.000 € wert sein, na Herr Tank, Interesse? Siehe heise online vom 24.01.2007.

Sollten Sie sich auch “angemeldet” haben, schalten Sie auf keinen Fall Ihren Kosten verursachenden Zugang zu kostenloser Software frei. Kündigen Sie dann innerhalb von 2 Wochen, Einlieferungsdatum zählt, diesen nutzlosen Vertrag.

Machen Sie sich einen Knoten ins Taschentuch, damit Sie zukünftig daran denken, dass man aufgrund der segensreichen Erfindung des Googles Adwords Programms auch auf seriösen Seiten mit Versuchungen dieser ehrenwerten Damen und Herren rechnen muss. Die wollen nur Ihr Bestes, Ihr Bargeld.

Hier noch ein paar Links mit Infos etc. zum obigen Problem:

1. www.abzocknews.de
2. Der Abzocktrend 2009: Unterschieben von Verträgen und Schadsoftware durch dubiose Download-Portale
3. Openoffice – Ein Liebling dubioser Download-Portale
4. Warnung: Empfehlung von Microsoft führt zum Abzockangebot Opendownload.de!
5. Chip.de und die Download-Abzocker