Sperrung Ihres Telekom Vertrags ab dem 30.12.2017 von Telekom GmbH ([email protected]) bringt einen Online-Banking-Trojaner (angebliche Fehlgutschrift des Finanzamtes mit der Bitte um Rücküberweisung)!

Am Montag, den 18. Dezember 2017 wurde durch unbekannte Dritte die folgende betrügerische E-Mail in deutscher Sprache versendet. Öffnen Sie nicht die Anlage! Das .zip-Archiv enthält ein Programm, welches Trojanische Pferde nach lädt, die im Online-Banking unter dem Vorwand einer Fehlgutschrift des Finanzamtes Geld klauen wollen!

Betreff: Sperrung Ihres Telekom Vertrags ab dem 30.12.2017
Absender: Telekom GmbH ([email protected])

Sehr geehrte(r) (Vorname Nachname),

leider konnten wir von Ihnen seit dem 11.11.2017 keinen Zahlungseingang feststellen.

Ihr Anschluss wird daher gemäß unseren Allgemeinen Geschäftsbedingungen für weitere Nutzung ab dem 30.12.2017 gesperrt.
Damit Sie Ihren Anschluss weiter vollständig nutzen können, begleichen Sie bitte die beigelegte Rechnung innerhalb von 3 Tagen.

Sollte die Zahlung bereits erfolgt sein, betrachten Sie diese E-Mail bitte als gegenstandslos.

Mit freundlichen Grüßen

Ihre Telekom

Achtung: Es handelt sich um eine gefälschte Nachricht! Die Nachricht stammt nicht von der Telekom! Klicken Sie daher nicht auf die Anlage zur E-Mail! In der Anlage ist eine bösartige Software enthalten! 

Der betrügerischen E-Mail ist eine Anlage „Rechnung 18.12.2017 (Vorname Nachname) Telekom.zip“ beigefügt. Führen Sie die Datei nicht aus! Darin enthalten ist zunächst ein weiteres ZIP-Archiv „rechnung 18.12.2017 (Vorname Nachname) telekom.zip“, welches eine ausführbare Datei „18.12.2017 (Vorname Nachname) Telekom.com“ enthält.

Den Trojaner gibt es schon seit Jahren. Zunächst wurde er über angeblich nicht bezahlte Rechnungen mit den Namen großer Firmen wie Amazon, eBay, PayPal versendet. Anfangs waren den E-Mails die Anschrift und Telefon-/Handy-Nummer des Empfänger beigefügt, um seriös zu wirken. Später kamen die E-Mails auch ohne persönliche Daten.

Auch die Abschaltung des Avalanche-Botnetzes am 01.12.2016 konnte ihn bisher nicht stoppen. 15 Tage später war er wieder da.

Im Jahr 2017 haben die Betrüger als neue E-Mail-Adresse den Newsletter von Karstadt ergänzt, dies aber nur für kurze Zeit.

Zuletzt kam der Trojaner eher als Bestellbestätigung von Amazon:

Vermutlich seit Mitte Dezember wird er nun über die o. g. gefälschten Mahnungen der Telekom verbreitet.

 

Nach der Ausführung der .com-Datei würde folgende Meldung erscheinen:

Adobe PDF Document

There is a problem with Adobe Acrobat/Reader. If it is running, please exit an try again. (0:104)

Auch diese Meldung hat sich im Laufe der Zeit verändert. Früher hat der Trojaner noch den Hinweis „Can not view a PDF in a web browser, or the PDF opens outside the browser.“ nach der Infektion angezeigt (siehe z. B. Warnung „(Vorname Nachname) Ihre Rechnung 54122167 vom 04.10.2016 von [email protected] vom 05.10.2016“).

Der PC wurde aber in dem Moment infiziert. Danach beginnt das Trojanische Pferd, weitere Dateien nachzuladen.

 

Der Trojaner lädt täglich diverse Dateien nach. Meistens befinden sich drei bis vier bösartige Dateien auf dem PC, die sich gegenseitig vor Virenscannern schützen (hier nur Beispiele, die Dateien haben jedesmal einen anderen Namen):

In der Warnung „Die automatische Lastschrift von GiroPay konnte nicht durchgeführt werden von Stellvertretender Sachbearbeiter GiroPay AG ([email protected])“ vom 01.08.2017 sehen Sie, wie das Trojanische Pferd unter dem Vorwand einer angeblichen Fehlgutschrift des Finanzamtes im Online-Banking Geld klauen will.

 

Die Finanzagenten, also die Personen, die für die Täter das Geld waschen, werden übrigens mit gefälschten Stellenanzeigen der Arbeitsagentur geworben.

Anschließend erhalten diese einen angeblichen Arbeitsvertrag von einer Bit-Sup Ltd.

Reagieren Sie daher weder auf die angebliche Rechnung der Telekom, noch auf die gefälschten Stellenangebote.

Kommentar(e)

16 Kommentare

  • Sehr geehrte Damen und Herren,

    ist der Virus für Android Geräte gefährlich? Ich habe das Zip geöffnet, allerdings ist nichts passiert. Der Virenscanner hat nichts gefunden.

    • Sebastian Brück

      Nein. Bisher war der Trojaner (Nymaim bzw. GozNym) nur für Windows-Geräte gefährlich. Im zweiten ZIP-Archiv ist eine .com-Datei. Das ist keine Domain, sondern eine ausführbare Datei für Windows-Geräte. Android wüsste damit nichts anzufangen.

      Damit er Dein Android-Gerät infizieren könnte, müsstest Du Installationen aus fremden Quellen aktivieren und eine .apk-Datei ausführen.

      • Und wenn der zip-Ordner leer war? Bei mir gab es keine .com-Datei und auch keine Fehlermeldung in bezug auf den Adobe Reader. Mein Viren-Scanner hat nichts gefunden und auch sonst läuft bis jetzt alles normal… Danke für die Info!

        • Sebastian Brück

          Beim Versand macht das Programm der Betrüger schon mal Fehler. Theoretisch ist denkbar, dass Du ein leeres ZIP-Archiv bekommen hast. Ich nehme aber an, dass in 99,9 % der E-Mails ein Inhalt im ZIP-Archiv enthalten ist. Manchmal sorgen auch Sonderzeichen im Namen des Empfängers für Fehler.

          Denkbar wäre auch, dass ein Virenscanner für das leere Archiv gesorgt hat. Das kann ein Virenscanner auf Deinem Rechner / Gerät gewesen sein, aber auch ein Virenscanner auf einem zwischengeschalteten Mail-Server.

  • Danke für die Ausführlichkeit der Meldung und die Veröffentlichung. Habe heute eine entsprechende Mail erhalten, angeblich fehlender Zahlungseingang 10.11.2017.

  • Moin. Ich war auch so dumm und habe alle zip Dateien geöffnet. Habe ein mate9 Handy. Die Datei wurde nicht erkannt und es wurden nur ‚chinesische zeichen‘ angezeigt. Habe ich mich nun doch infiziert? Oder besteht keine Gefahr? Lg

    • Sebastian Brück

      Wenn Du chinesische Zeichen gesehen hat, dann konnte Dein Handy vermutlich mit dem Dateiformat nichts anfangen und hat Dir den Inhalt angezeigt. Damit wird er ja nur angezeigt und nicht ausgeführt.

      Es handelt sich um einen Windows-Trojaner. Solange Du mit Android unterwegs bist, hat er Deinem Handy nicht geschadet.

  • Vielen Dank für die sehr hilfreichen Infos hier.
    Ich habe auch diese vermeintliche Telekom-Email mit meinen Namensdaten erhalten.
    Durch eine unglückliche Verkettung von Umständen habe ich die Zip-Datei geöffnet. Darin war wie beschrieben eine weitere Zip-Datei, die aber wegen Umlauten in meinem Namen nicht richtig angezeigt wurde. Auf eine .com-Datei bin ich nicht gestossen. Es ist zunächst auch nichts passiert. Nach ein paar Tagen wollten sich dann laufend neue Prozesse ins Startup einnisten (flywheel-29.exe, photon-30.exe, statics-3.exe). Da bin ich erst aufmerksam geworden und habe diese geblockt. In der Zwischenzeit habe ich zwar Online-Banking gemacht, da gab es aber zum Glück keine Probleme. Die Passwörter habe ich nun natürlich geändert und den Rechner vom Netz genommen. Den Rechner werde ich komplett neu aufsetzen.
    Meine Sorge gilt nun einer externen Festplatte und einem USB-Stick, die in der Zwischenzeit an dem Rechner hingen.
    Wie große Sorgen muss ich mir machen, dass die infiziert sind?
    Ein aktueller Sophos-Virenscannner (noch auf dem infizierten Rechner laufend) hat auf Festplatte und Stick nichts gefunden.

    • Sebastian Brück

      Die von Dir genannten Dateien gehören definitiv zu dem Trojaner. Im Prinzip sind es unterschiedliche Anwendungen. Meistens ist mindestens eine davon ein Banking-Trojaner. Es gibt aber z. B. auch ein SPAM-Modul, welches unerwünschte Werbung versendet, …

      Bisher habe ich nicht gesehen, dass er sich auf andere Datenträger schreibt. Daher dürften weder Dein USB-Stick, noch die andere Festplatte infiziert sein.

  • Vielen Dank! Das beruhigt.

  • Hallo,

    Ich habe die Datei leider auch mit meinem iPhone geöffnet. Ist iOS vor dem Virus geschützt ?

    Danke im Voraus

    • würde ich auch gerne wissen

      • Sebastian Brück

        Das Verhalten eines Trojaners kann sich zwar jederzeit (durch neue Versionen) ändern, bisher war in den E-Mails aber nur eine ausführbare Datei für Windows-Installationen beigefügt, d. h. er war weder für iOS, noch für Android gefährlich.

  • Hallo,
    ich habe leider auch zu spät gemerkt, dass die genannte Mail eine Gefahr darstellen könnte und die zip-Datei geöffnet (Windows 10).
    Während dessen hatte ich meinen Online-Banking Account offen. Kurz nach dem öffnen googelte ich die Mailadresse und führte einen Avira Scan durch, dieser hat keine Viren gefunden.
    Muss ich jetzt Angst um meine Bankdaten haben? Was kann ich tun?
    Grüße Nathalie

    • Sebastian Brück

      Hallo Nathalie,

      die ausführbare Datei im ZIP-Archiv ist meines Wissens nur ein Downloader, der die eigentlichen Trojaner nachlädt. Je nach dem, ob er seinen Steuerungsserver erreicht oder nicht werden dann weitere ausführbare Dateien nachgeladen. Sofern er glaubt, Analyse-Software zu finden, würde er den Rechner z. B. nicht infizieren. Bei den Modulen, die er nachladen würde, ist zwar auch ein Banking-Trojaner dabei. Dieser wird teilweise aber nicht sofort nachgeladen, sondern es kann auch Wochen dauern, bis er den nachlädt.

      Je nach dem, welches Sicherheitsverfahren Du beim Online-Banking hast, kann es unterschiedliche Angriffsmöglichkeiten geben. Beim sichersten Verfahren mit TAN-Generator müsste er Dich auffordern, mit dem TAN-Generator eine TAN zu erzeugen. Eine TAN solltest Du aber immer nur dann erzeugen, wenn Du wirklich eine Rechnung zu bezahlen hast und nicht wenn Dich irgendwer (Dein PC oder auch ein Anrufer, der sich als Deine Bank ausgibt) dazu auffordert. Außerdem solltest Du immer die Empfänger-KontoNr. sowie den Betrag kontrollieren, weil Du nur dadurch Betrugsfälle verhindern kannst.

      Hattest Du nur die erste ZIP-Datei geöffnet oder auch die zweite? Erst wenn Du die .com-Datei öffnest, würde Dein Rechner infiziert. Wenn er das macht, bringt er in der Regel die angebliche Meldung des Adobe Acrobat Reader. Danach wäre der Rechner infiziert und dann würde ich eher drüber nachdenken, den Rechner zu formatieren und neu zu installieren. Da sich die bösartigen Dateien bei diesem Trojaner gegenseitig schützen, würde der Virenscanner unter dem laufenden Windows-Betriebssystem keine Chancen haben (es sei denn, Du hättest eine Boot-CD mit Virenscanner).

      Viele Grüße,

      Sebastian

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.