1&1 Internet AG - Ihre Rechnung - Trojaner

[Captain]

Die Sicherheitsinitiative "no abuse in internet" (naiin) warnt vor gefälschten Rechnungen, die derzeit per E-Mail unter dem Namen des Internet-Anbieters "1&1" wahllos an zahlreiche Internet-Nutzer verschickt werden. Die E-Mail mit dem Betreff "1&1 Internet AG - Ihre Rechnung" (gefolgt von Rechnungsnummer und -datum) informiert den Empfänger vorgeblich über eine bevorstehende Abbuchung von seinem Bankkonto.

"Anbei erhalten Sie Ihre Rechnung vom 29.12.2006. Die Gesamtsumme für Ihre Rechnung im Monat Dezember beträgt: 59,99 Euro. Gemäß der erteilten Einzugsermächtigung werden wir den Betrag in den nächsten Tagen von Ihrem Konto einziehen. Ihre Rechnung finden Sie als Anhang im PDF-EXE-Format", heißt es in der Mail.

Spätestens hier sollte der sicherheitsbewusste Internet-Nutzer allerdings aufhorchen. Denn das Format der im Anhang befindlichen Datei "Rechnung.pdf.exe" zeigt, dass es sich keinewegs um eine PDF- sondern um eine ausführbare EXE-Datei handelt. Diese birgt einen Trojaner (Backdoor.Win32.agent.abf) in sich, der derzeit nur von mit heuristischen Technologien ausgestatteten Anti-Viren-Programmen aufgespürt werden kann.

"Anderes Unternehmen aber altbekannte Masche: Nach der Deutschen Telekom und dem Internet-Auktionshaus eBay trifft es nun 1&1", erklärt naiin-Geschäftsführer Dennis Grabowski. Die Methode, gutgläubige Internet-Nutzer mit angeblichen Rechnungen großer Anbieter zum Öffnen von verseuchten Datei-Anhängen zu bewegen, sei keinesfalls neu.

"Kriminelle Gruppierungen nutzen die Reputation der Unternehmen, um ihren verseuchten E-Mails Authentizität und Vertrauen zu verleihen", erläutert Grabowski. In diesem Zusammenhang sei auch der umfangreiche Kundenstamm von Telekom, eBay & Co. für die Täter vorteilhaft. "Dadurch erhöht sich die Wahrscheinlichkeit, dass die mit Spam-Techniken verbreiteten E-Mails tatsächlich einen Kunden dieser Anbieter erreichen. Dieser reagiert dann weitaus weniger misstrauisch auf die E-Mails als Empfänger, die kein Geschäftsverhältnis zum jeweiligen Unternehmen unterhalten."

Jo, stimmt. Hab ich auch ne Menge bekommen. Aber nicht geöffnet ÄTSCH!

[LordZedirdamex]

tz, man weiß doch wo man bestellt hat und man öffnet dementsprechend dann auch nur die emails die einen betreffen könnten und diese fake rechnungen sehen auch vom betreff her meistens leicht anders aus im vergleich zu den originalen!

[Gast]

Ich öffne so etwas auch nicht, weil ich weiss das es nur Trojaner sind.

[Captain]

Aha, 1und1 hat reagiert:

Sehr geehrter Kunde


seit dem Wochenende werden von Unbekannten in großer Anzahl
E-Mails verschickt, die sich als Rechnungen von 1&1 tarnen und
deren vorgeblicher Rechnungsbetrag sich teilweise auf 59,99 EUR
oder 89,99 EUR beläuft.
Die Empfänger der E-Mails sind nicht ausschließlich 1&1 Kunden.

Bitte beachten Sie:
===================

Diese E-Mails stammen nicht von 1&1. Sie tragen einen gefälschten
Absender (info@1und1.de, support@1und1.de oder rechnungsstelle@1und1.de).
Im Anhang befindet sich die Datei Rechnung.pdf.exe, die mit dem
Virus "Backdoor.Win32.agent.akf" infiziert ist.
Wird diese Datei ausgeführt, erhalten Hacker die Möglichkeit, die auf
dem Rechner befindlichen Daten auszuspähen oder diesen für weitere
Angriffe zu missbrauchen.

Da der Virus derzeit nur von etwa der Hälfte der Virenscanner
erkannt wird, empfiehlt 1&1 ein Update auf aktuelle Versionen bzw.
eine Aktualisierung der Anti-Viren-Dateien.
Bitte öffnen Sie auf keinen Fall den Anhang, sondern löschen Sie
die E-Mail.

Wenn Sie die Datei versehentlich geöffnet haben und Sie keine Warnung
Ihres Virenschutzprogrammes erhalten haben, ist Ihr Rechner
höchstwahrscheinlich infiziert. In diesem Fall sollten Sie versuchen,
den Rechner mit einem aktuellen Virenschutzprogramm zu säubern.


Für weitere Informationen besuchen Sie bitte unsere Seite
"Hilfe + Kontakt": http://www.1und1.de/sicherheit

Dort berichten wir auch regelmäßig über die aktuelle Entwicklung und
geben Hilfestellungen.


So unterscheiden Sie E-Mails von 1&1 von Spam-Mails:
====================================================

- Rechnungen von 1&1 werden ausschließlich als PDF-Dateien,
nie als ausführbare Datei wie z.B. .EXE, versendet
- Rechnungen von 1&1 enthalten immer Ihren Namen
- Rechnungen von 1&1 werden zusätzlich in Ihrem Control-Center hinterlegt

Windows-Anwender können auf folgende Weise einstellen, dass
Dateiendungen im Mailprogramm korrekt angezeigt werden:

1. Windows Explorer öffnen
2. Extras > Ordneroptionen wählen
3. Reiter "Ansicht" auswählen
4. Häkchen bei "Erweiterungen bei bekannten Dateitypen
ausblenden" ENTFERNEN!
5. "OK" wählen.


Mit freundlichen Grüßen,

Ihre 1&1 Internet AG

[Gast]

mmhh solche Mails von der Telekom habe ich vor Weihnachten dauern bekommen. Da waren auch solche Trojaner drin.

[Captain]

Hinter der Virenattacke gegen die Kunden des deutschen Internet-Anbieters 1&1 stecken wohlmöglich deutsche Täter. Diesen Verdacht hegen die Experten der Sicherheitsinitiative "no abuse in internet" (naiin). "Die Täter oder Mittäter wissen um die Marktstellung von 1&1 in Deutschland und verfügen über das nötige Textverständnis. Sie haben immerhin eine geeignete Rechnungsvorlage für ihre Virenmails ausgewählt und Details im Sinnzusammenhang umformuliert", erläutert naiin-Geschäftsführer Dennis Grabowski.

Auch hinter den neuesten Trojaner-Mails, die Unbekannte im Namen der Gebühreneinzugszentrale (GEZ) versenden, vermutet die Initiative Täter mit umfassenden Deutschkenntnissen. "Die GEZ genießt nicht gerade einen internationalen Bekanntheitsgrad und dennoch wissen die Täter, wie es um die Haltung der Deutschen zum Thema Rundfunkgebühren bestellt ist. Darüber hinaus wissen selbst viele deutsche Internet-Nutzer nicht, wie sie sich eine E-Mail-Rechnung der GEZ vorzustellen haben."

Die Rechnung der Täter scheint zumindest aufzugehen. Zahlreiche Betroffene hatten sich in der vergangenen Woche bei naiin gemeldet. Als schockierend bezeichnet der naiin-Geschäftsführer das mangelnde Sicherheitsbewusstsein der Anwender: "Einige Nutzer waren derart erpicht darauf, die vorgebliche Rechnung im Anhang besagter Mails zu öffnen, dass sie sogar die Warnmeldungen ihres Virenschutz-Programms ignorierten." Betroffen waren laut naiin im Übrigen auch Unternehmen, deren Mitarbeiter die verseuchten Dateien zur Ausführung gebracht hatten. Grabowski rät Anwendern zu mehr Vorsicht im Umgang mit Anhängen von E-Mails: "Im Zweifelsfall sollte stets Rücksprache mit dem Absender gehalten werden."

Unterdessen hat ein Sicherheitsanbieter ein so genanntes "Removal Tool" zur Verfügung gestellt, das in der Lage ist, den Schädling aus der 1&1-Mail auch nach der Infizierung eines Rechners aufzuspüren und zu entfernen. Informationen zum Tool halten sowohl 1&1 als auch naiin (www.naiin.org) auf ihren Websites bereit. Das Tool hilft allerdings nicht gegen den "GEZ-Trojaner". Dieser ist derzeit selbst vielen Virenscannern unbekannt, so dass auch hier höchste Vorsicht geboten ist.

[Johnny]

bin grad bei ner bekannten "am werkeln", die hat den gekriegt, und die hat den auch geöffnet
kriegste mit kasperspy ... sky..? oder wie das heißt aber wech. natürlich nur mit aktuellem update.

[av3nger]

Hab die Mail auch gesehen und geöffnet (aber natürlich nicht den Inhalt) - wie schön dort sogar beschrieben wird, dass der Anhang im "PDF-EXE Format" ist und ohne irgendwelche Installationen geöffnet werden kann *G*

Aber eigentlich mal eine nicht ganz so schlechte Email - jedenfalls war diese wohl ziemlich ohne Rechtschreibfehler.