Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Re: H i l f e - SPAM-Rechnung

29 views
Skip to first unread message

Thomas Hochstein

unread,
Mar 5, 2013, 2:11:36 PM3/5/13
to
Edith Altmann schrieb:

> Da ich gedanklich sowieso dauernd bei dieser eMail
> an eine ewig nicht genutzte GMX-Adresse bin,
> habe ich mal den Text, der quasi eine Aufforderung
> zum �ffnen des Anhangs enth�lt, abgetippt.

Exakt denselben Text bekam eine Verwandte heute auch, an eine ewig
nicht mehr genutzte GMX-Adresse.

> Absender ist �brigens keine Firmenadresse,
> sondern - etwas abgewandelt - d_h�pf...@t-online.de

Die E-Mail kam hier gleichfalls mit einem Absender bei T-Online und
auch �ber einen T-Online-Mailaccount (und �ber T-Online-Server), aber
von einem Rechner, der mit einer IP von Telefonica O2 online war. Der
T-Online-Account d�rfte missbraucht werden; ich habe das Abuse-Team
von T-Online entsprechend angeschrieben.

> Lieferung erfolgte am 26. Januar 2013 best�tigt von *Vor- + Nachname*
> Offene Rechnung: 856,39 Euro
> Produktnummer: 39408334
> Bearbeitungskosten dieser Mahnung: 11,00 Euro
[...]

Ja, ist - abgesehen von den Zahlen und Daten sowie der
"Unterschriftsteile" - wortgleich. Bei Google findet man ab Mitte/Ende
Februar eine ganze Reihe entsprechender Beispiele.

Definitiv eine F�lschung, mit an Sicherheit grenzender
Wahrscheinlichkeit mit einem Trojaner im Anhang.

Nachdem das mit Rechtsfragen eigentlich nichts zu tun hat, Umleitung
nach de.admin.net-abuse.mail, weil's dahin geh�rt ...

Antworten bitte dort. - Danke!

Gr��e,
-thh

Karl-Josef Ziegler

unread,
Mar 5, 2013, 3:00:32 PM3/5/13
to
>> Lieferung erfolgte am 26. Januar 2013 bestätigt von *Vor- + Nachname*
>> Offene Rechnung: 856,39 Euro
>> Produktnummer: 39408334
>> Bearbeitungskosten dieser Mahnung: 11,00 Euro

War die Rechnung nicht zufälligerweise von 'Motorpark Schremps'? Mit
99,99 prozentiger Sicherheit Virus im Anhang.

Viele Grüße,

- Karl-Josef

Thomas Hochstein

unread,
Mar 5, 2013, 4:47:22 PM3/5/13
to
Karl-Josef Ziegler schrieb:

> War die Rechnung nicht zuf�lligerweise von 'Motorpark Schremps'?

Daten, Summen und Namen variieren offenbar.

> Mit 99,99 prozentiger Sicherheit Virus im Anhang.

Schauen wir mal:

| $ ls -l
| -rwxrw-rw- 1 thh thh 22785 Mar 5 19:19 Abmahnung Hochstein.zip
| $ unzip Abmahnung\ Hochstein.zip
| Archive: Abmahnung\ Hochstein.zip
| inflating: Mahnung 05.03.2013 Kaufvertrag.zip
| $ unzip Mahnung\ 05.03.2013\ Kaufvertrag.zip
| Archive: Mahnung 05.03.2013 Kaufvertrag.zip
| inflating: Mahnung vom 05.03.2013 Kaufvertrag .com
| $ file Mahnung\ vom\ 05.03.2013\ Kaufvertrag\ .com
| Mahnung vom 05.03.2013 Kaufvertrag .com: PE32 executable for MS Windows (GUI) Intel 80386 32-bit

Wie nett.

Und es war schon jemand schneller als ich:
| virustotal
|
| SHA256: b129b8a73ca1edcecdb800a9b244917c94c98bd1193fc72449f9bd14e4e98a0f
| Dateiname: Mahnung vom 05.03.2013 Kaufvertrag .com
| Erkennungsrate: 17 / 46
| Analyse-Datum: 2013-03-05 21:10:16 UTC ( vor 29 Minuten )

Folgende Treffer:
| AntiVir TR/Agent.rtfgg
| Avast Win32:Trojan-gen
| BitDefender Trojan.Injector.AOW
| Comodo Heur.Suspicious
| DrWeb Trojan.DownLoader8.15247
| Emsisoft Trojan.Win32.Agent.AMN (A)
| ESET-NOD32 Win32/Trustezeb.C
| GData Trojan.Injector.AOW
| Ikarus Trojan.Win32.Agent
| Kaspersky Trojan.Win32.Yakes.cniu
| MicroWorld-eScan Trojan.Injector.AOW
| Panda Suspicious file
| Rising Suspicious
| Sophos Troj/FakeAV-GKJ
| Symantec WS.Reputation.1
| TrendMicro PAK_Generic.001
| TrendMicro-HouseCall PAK_Generic.001

Gr��e,
-thh
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<http://th-h.de/faq/danam-intro.html> und ggf. die dort genannten FAQs lesen!

Weitere kleine Texte rund um das Thema E-Mail: <http://th-h.de/infos/email/>

Juergen

unread,
Mar 6, 2013, 5:00:23 PM3/6/13
to
Am 06.03.2013 20:31, schrieb Edith Altmann:
> "Harald Hengel" lachte sich ins F�ustchen:

bitte... _du_ wolltest Hinweise haben, hier ist eigentlich eine Gruppe
zum Thema "Recht", kein Kindergarten.

>> Sie schrieb, dass sie die Mail nicht ge�ffnet,
>> aber einen Screenshot gemacht hat.
>> Ein Screenshot ohne zu �ffnen geht aber nicht. ;-)

richtig, irgendwie muss eine Software, egal welche, den Inhalt "lesen",
um etwas (oder Teile davon) anzuzeigen.

>> Ich habe das so interpretiert, dass sie die Mail
>> gelesen und einen Anhang nicht ge�ffnet hat.
>
> Hallo Harald,
>
> manchmal sollte man Sachverhalte einfach so lesen,
> wie sie geschildert wurden.
^^^^^^^^^^^^^^^^^^^^^^^^^^
Bitte lies deinen eigenen Beitrag noch einmal ganz langsam durch.

> Ich habe ein Programm ("PopTray"), in dem vorab alle
> eMails meiner diversen eMail-Konten ankommen.

Davon stand nichts in deinem Beitrag. Was PopTray macht, weiss ich
nicht, werde ich auch nicht nachlesen.

> Dort "sichte" ich sie, l�sche, was mir von vornherein
> suspekt erscheint - oder sehe sie mir in der "Vorschau"
^^^^^^^^^^^^
> genauer an.
> Und von dieser "Vorschau" habe ich den ScreenShot
> gemacht.
> Die eMail wurde auf dieser Ebene nicht ge�ffnet,

Was glaubst du, was ein Programm machen muss, um den Inhalt (man nennt
es Body) einer Email in einer Vorschau _anzuzeigen_?

> denn "�ffnen" ist ein Unterpunkt von "Vorschau".

Egal ob Unterpunkt, auch eine Vorschau muss den Text der Email _lesen_.
Sonst w�re es doch Glaskugel-Raten, oder?

> Das zum Thema
>> Ein Screenshot ohne zu �ffnen geht aber nicht. ;-)

wo lebst du? ;-)

Bitte frage den Entwickler des Programms, wie er an den Inhalt kommt,
ohne ihn gelesen zu haben. Ob und wie dein Programm sch�dliche Inhalte
interpretiert (oder Schadcode ausf�hrt), ist dann ein anderes Thema.

>> Ein Screenshot ohne zu �ffnen geht aber nicht. ;-)

Stimmt.

Wenn du mehr Fragen zum Thema Email hast (was ist das, Bestandteile
einer Email usw.), solltest du das bitte in der Gruppe
de.comm.software.mailreader.misc
oder
de.comm.software.mailserver
ansprechen.
Das hat hier mit Recht nichts zu tun.

Bei Fragen zu Spam-Mails hat dir Thomas Hochstein schon die richtige
Gruppe genannt... die solltest du abonnieren,
daher auch Umleitung dorthin.

J�rgen

Jörg Tewes

unread,
Mar 6, 2013, 10:29:00 AM3/6/13
to
Thomas Hochstein schrub

> Die E-Mail kam hier gleichfalls mit einem Absender bei T-Online und
> auch �ber einen T-Online-Mailaccount (und �ber T-Online-Server), aber
> von einem Rechner, der mit einer IP von Telefonica O2 online war.

Das mit der Telefonica IP war hoffentlich kein Hinweis der dich zum
Abuse veranla�t hat. Ich k�nnte dir eine Mail, mit T-Online Adresse,
�ber einen T-Online Mailserver, ich bin aber per KDG IP online.

Womit ich keinesfalls deiner Annahme, da� es sich um einen mi�brauchten
Account handelt, widersprechen will.

Wollte nur drauf hinweisen da� eine nicht T-Online IP bei einer T-Online
Mailadresse mit der �ber �ber einen T-Online Mailserver Mail verschickt
wird, allein kein Hinweis auf einen mi�brauchten Account ist.


Bye J�rg

--
"I never start a conversation unless I know where it's going. But I always
leave a little room for someone to disappoint me. Thanks for not doing it."
(Garibaldi (to G'Kar), "Comes the Inquisitor")

Thomas Hochstein

unread,
Mar 6, 2013, 10:33:29 PM3/6/13
to
Jörg Tewes schrieb:

> Thomas Hochstein schrub
>
>> Die E-Mail kam hier gleichfalls mit einem Absender bei T-Online und
>> auch über einen T-Online-Mailaccount (und über T-Online-Server), aber
>> von einem Rechner, der mit einer IP von Telefonica O2 online war.
>
> Das mit der Telefonica IP war hoffentlich kein Hinweis der dich zum
> Abuse veranlaßt hat.

Zum Abuse (Mißbrauch) sehe ich mich sowieso nicht veranlasst. :)

> Ich könnte dir eine Mail, mit T-Online Adresse,
> über einen T-Online Mailserver, ich bin aber per KDG IP online.

Klar, aber mir erschien das eher unwahrscheinlich. Wenn ich kein
T-Online-Kunde mehr bin, könnte ich ja auch einen anderen Mailanbieter
verwenden; so featurereich erschien mir das Mailangebot bei T-Online
nicht zu sein. Mag aber auch daran liegen, daß T-Online für mich immer
primär oder fast ausschließlich Access-Anbieter war und ich die
übrigen Angebote nie wirklich wahrgenommen habe. :)

Anyway, es gibt ja sowieso nur drei Möglichkeiten:

1) Der Accountinhaber versendet bewusst Malware.
2) Der Accountinhaber "versendet" ohne sein Wissen Malware, weil sein
System selbst infiziert ist.
3) Ein Dritter versendet bewusst Malware vermittels der entwendeten
Zugangsdaten des Accountinhabers.

In allen drei Fällen ist ein Einschreiten des Providers geboten.

Grüße,

Michael Landenberger

unread,
Mar 7, 2013, 4:24:00 AM3/7/13
to
"J�rg Tewes" schrieb am 06.03.2013 um 16:29:00:

> Ich k�nnte dir eine Mail, mit T-Online Adresse,
> �ber einen T-Online Mailserver, ich bin aber per KDG IP online.

*Was* k�nntest du mit dieser Mail?

Anyway: wenn ich eine Spam-Mail erhalte, die nachweislich �ber einen
T-Online-Mailserver verschickt wurde (und das ist bei Mails von
T-Online-Servern relativ einfach nachzuweisen), dann bekommt der betreffende
Mailprovider von mir einen Complaint. Wenn ich dar�berhinaus auch die IP des
sendenden Rechners einigerma�en zweifelsfrei feststellen kann, dann bekommt
auch der ISP des Absenders einen Complaint.

W�rdest du mich �ber deinen T-Online-Account zuspammen, gingen also 2
Complaints raus: einer an die Telekom und einer an KDG ;-)

Gru�

Michael
0 new messages