Nach ca. 15 Tagen Pause wird der Trojaner Nymaim wieder versendet: Rechnung für (Vorname Nachname) NR226605983 vom 05.09.2017 von Sachbearbeiter GiroPay24 AG ([email protected])

Warum diese betrügerische E-Mail ab ca. dem 21. August 2017 für ca. 15 Tage nicht mehr versendet wurde (und auch bestehende Infektionen keine Daten mehr nachladen konnten), wissen nur die Betrüger. Zuletzt hatte der Trojaner nach der Polizeiaktion vom 01.12.2016 gegen das Avalanche-Botnet eine solche Pause (gleicher Zeitraum von 15 Tagen) eingelegt.

Achtung: Bei der folgenden, durch unbekannte Dritte am Mittwoch, den 06. September 2017 in deutscher Sprache versendeten E-Mail handelt es sich um eine betrügerische Nachricht! Das in der Anlage beigefügte .zip-Archiv enthält ein Programm, welches Trojanische Pferde nachlädt, die u. a. im Online-Banking Geld klauen wollen! Öffnen Sie daher nicht die Anlage!

Betreff: Rechnung für (Vorname Nachname) NR226605983 vom 05.09.2017
Absender: Sachbearbeiter GiroPay24 AG ([email protected])

Sehr geehrte(r) (Vorname Nachname),

zu unserem Bedauern mussten wir gerade feststellen, dass die Aufforderung Nr. 226605983 bis heute ergebnislos blieb. Nun bieten wir Ihnen damit letztmalig die Möglichkeit, den nicht gedeckten Betrag unseren Mandanten GiroPay24 AG zu decken.

Aufgrund des bestehenden Zahlungsausstands sind Sie gezwungen zusätzlich, die durch unsere Tätigkeit entstandene Gebühren von 92,64 Euro zu bezahlen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von drei Tagen. Um zusätzliche Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Bankkonto zu überweisen. Berücksichtigt wurden alle Buchungseingänge bis zum 04.09.2017.

Ihre Personalien:

(Vorname Nachname)
(Straße und Haus-Nr.)
(PLZ und Wohnort)

Überweisen Sie den nun fälligen Betrag unter Angaben der Rechnungsnummer so rechtzeitig, dass dieser sp ätestens zum 08 September 2017 auf unserem Bankkonto verbucht wird. Können wird bis zum genannten Datum keine Überweisung verbuchen, sind wir gezwungen Ihre Forderung an ein Inkassounternehmen zu übergeben. Alle damit verbundenen Zusatzkosten werden Sie tragen müssen.

Die detaillierte Forderungsausstellung NR226605983, der Sie alle Buchungen entnehmen können, ist beigelegt.

Mit freundlichen Grüßen

Sachbearbeiter Vincent Bucer

Achtung: Es handelt sich um gefälschte Nachrichten! Klicken Sie daher nicht auf die Anlage zur E-Mail! In der Anlage ist eine bösartige Software enthalten! 

Den betrügerischen E-Mails mit persönlichen Angaben wie den Adressdaten ist eine Anlage „Max Mustermann 5 August 2017.zip“ beigefügt. Führen Sie die Datei nicht aus!

In der Warnung „Die automatische Lastschrift von GiroPay konnte nicht durchgeführt werden von Stellvertretender Sachbearbeiter GiroPay AG ([email protected])“ vom 01.08.2017 sehen Sie, welche Dateien das Trojanische Pferd nachlädt und wie das Programm versucht, im Online-Banking Geld zu klauen.

Im Gegensatz zu früheren Warnungen hatte der Trojaner den Hinweistext nach der Infektion geändert. Öffnen Sie nicht das ZIP-Archiv und führen Sie die darin enthaltene .com-Datei nicht aus! Nach einer Infektion würden Sie folgenden Hinweis sehen:

Adobe PDF Document
There is a problem with Adobe Acrobat/Reader. If it is running, please exit and try again. (0:104)
OK

Ihr Rechner wurde aber vom Trojanischen Pferd infiziert! Die Warnung soll davon vermutlich nur ablenken.

Im aktuellen Beispiel wären z. B. die Dateien diode-74.exe (Virustotal zeigt eine Erkennungsrate von 10/64), sound-2.exe (Virustotal zeigt eine Erkennungsrate von 13/62) oder voltage-7.exe (Virustotal zeigt eine Erkennungsrate von 13/64) nachgeladen worden.

Kommentar(e)

2 Kommentare

  • Wird wieder verschickt hab inzwischen auch eine Email die als Amazon gespooft wurde erhalten mit der wunderbaren zip Datei. Ich hoffe das ich nicht infiziert wurde. Wodran bemerke ich das?

    • Sebastian Brück

      Ja, diese E-Mails werden wieder verbreitet und neben den ursprünglichen E-Mail-Inhalten gibt es zunehmend gefälschte Amazon-Rechnungen, die diesen Trojaner mitbringen (siehe z. B. Amazon Bestellung von Amazon.de ([email protected]) bringt Online-Banking-Trojaner!).

      Hast Du denn das erste ZIP-Archiv geöffnet? Darin würdest Du zunächst ein zweites ZIP-Archiv finden, was Du auch erst öffnen müsstest. Und im zweiten ZIP-Archiv ist dann eine ausführbare Datei (*.com), die Du noch ausführen müsstest, damit Dein Rechner infiziert wird. Hast Du das gemacht? Dann müsstest Du von einer Infektion ausgehen.

      Sofern er seine Steuerungsserver erreichen kann, wird er versuchen, weitere ausführbare Dateien nachzuladen. Diese würdest Du unter ProgramData, %AppData%/Local und %AppData%/Roaming finden. Er legt dort Unterverzeichnisse an, die einen Begriff, Bindestrich und eine Zahl enthalten. In diesen Unterverzeichnissen befindet sich dann eine ausführbare Datei, die den gleichen Begriff, aber eine andere Zahl enthält.

      Sobald Dein Rechner infiziert ist, würde ich Dir eine Formatierung des Rechners empfehlen (ggf. vorher noch eine Datensicherung machen). Der Virenscanner (zumindest der auf dem infizierten Rechner / dort unter Windows gestartete Virenscanner) wird Deinen Rechner in der Regel nicht mehr bereinigen können.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert