Die Masche ist mir gekannt: Im Anhang ist eine Rechnung, die bezahlt werden soll, andernfalls droht ein Mahnverfahren... Doch was ist diesmal drin im Paket?
Was ist im Mailer zu sehen:
From: "Mediathek AG Video" <tamas.laszlo@lande.hu>
To: "Damian Thater" <eine-sehr-alte-adresse@das-internet-vergisst.nix>
Betreff: Abo-Abrechnung für Damian Thater vom 02.05.2014
Sehr geehrter Nutzer Damian Thater,
wir begrüßen Sie als neuen Kunden und bedanken uns bei Ihnen
für Ihr Vertrauen. Wir freuen uns sehr, dass Sie sich
für „Video Mediathek AG“ entschieden haben.
Die monatliche Abogebühr beträgt 49,90 €. Die Laufzeit Ihres ABOs
beträgt 6 Monate und kann jeweils zum Monatsende gekündigt werden.
Wir weisen Sie freundlich darauf hin, dass durch die Annahme der AGBs
von Video Mediathek AG ein rechtskräftiger Vertrag abgeschlossen wurde.
Anbei finden Sie nochmal die Bestätigung mit unseren Daten.
Die Rechnung ist innerhalb von 7 Tagen zu begleichen. Falls Ihnen
unsere Dienste nicht gefallen, können Sie bequem innerhalb von 2
Wochen mit Hilfe des im Anhang befindlichen Antrages den Vertrag
kündigen. Sollten wir weder eine Zahlung, noch eine Kündigung
innerhalb von 7 Tagen erhalten, werden wir die Gebühren des
Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen.
Wir wünschen Ihnen weiterhin gute Unterhaltung auf unserer Plattform.
Mit freundlichen Grüßen.
PayNow Office GmbH Colin Weydehart
Video Mediathek AG
+ Anhang: Mediathek AG Video Damian Thater 02.05.2014.zip
Erster Eindruck
- "Sehr geehrter Nutzer Damian Thater",... geehrter Nutzer? Hm...
- "Wir freuen uns sehr, dass Sie sich für „Video Mediathek AG“ entschieden haben."... Was hab ich denn da gekauft?
- "...und kann jeweils zum Monatsende gekündigt werden. "... Widerrufsrecht ist einwenig spärlich formuliert nach Fernabsatzgesetz für einen Onlinedienst...
- "Wir weisen Sie freundlich darauf hin"... Zuckerbrot und...
- "dass durch die Annahme der AGBs ... ein rechtskräftiger Vertrag abgeschlossen wurde."... und Peitsche!
- "Bestätigung mit unseren Daten."... wieso euren Daten? Ich will meine Daten verifizieren!
- "unsere Dienste..." Herrgott, welche denn? Habt ihr denn keine Links wo man das Angebot nachvollziehen kann?
- "können Sie bequem innerhalb von 2 Wochen"... HAR HAR HAR... Ich soll innerhalb von 7 Tagen zahlen, hab aber ein Kündigungsrecht von 14 Tagen... Spinner!
- "im Anhang befindlichen Antrages"... dafür brauch ich keinen Antrag...
- "Sollten Sie weder... noch eine Kündigung innerhalb von 7 Tagen erhalten"... danke, habs's kapiert: ich habe NICHT wirklich 14 Tage Widerrufsrecht...
- "werden wir die Gebühren des Mahnverfahrens und Verzugszinsen Ihnen in Rechnung stellen müssen."... Jungs, ihr macht euch schon im ersten Auftritt echt unbeliebt beim mir...
- "PayNow Office GmbH"... Hast den Schuss nicht gehört "pay no"! Und überhaupt, in welcher Form ist denn der Auftritt formuliert: GmbH oder AG?
- "Mediathek AG Video Damian Thater 02.05.2014.zip"... meine Mamma hat immer gesagt, "Junge, wenn du unbekannte, virenverseuchte Dateien im Mailer aufmachst, musst du zur Strafe den Binary-Inhalt händisch auf abschreiben... auf Post-its!" Das hat gesessen!
Wiedermal fehlt hier klassisch der Internetauftritt, Impressum, Umsatzsteuer-ID, Geschäftsführerangabe und Postanschrift für Beschwerden, wenigstens Hilfe oder Support-Links... Kannste suchen bis zum Sanktnimmerleinstag...
Internet-Check
Auch bereits am Erscheinnungstag gibt es mit dem ersten Satz wir begrüßen Sie als neuen Kunden und bedanken uns bei Ihnen für Ihr Vertrauen. einige Hinweise
auf einen Betrug.
Google meint dazu: Trojaner, Betrugsversuch
Unter der Haube
Wohin geht die Email denn zurück, wenn ich sie nicht annehme?
Return-Path: tamas.laszlo@lande.hu
Received: from pityuka.hisztis.hu ([193.142.209.22])
Ungarn? Ey, aber echt gute Deutschkenntnisse in so einer langen Email... Respekt. OK, zugegeben, das ist nicht ganz fair, schließlich kann der Server kompromittiert sein, also Schluss mit Sarkasmus.
> whois lande.hu
record created: 2002.12.12 01:00:05
> whois
record created: 2008.08.18 23:16:18
Krass, beide Einträge sind Urgesteine des Internets, aber wenig aussagekräftig, denn mehr brauchbare Infos gibt es kaum.
Mal sehen, im Paket drin ist.
Mit less /tmp/Mediathek\ AG\ Video\ Damian\ Thater\ 02.05.2014.zip analysieren
wir mal die Datei..., auch wenn es durch den Maschinen-Code nur schwer lesbar ist.
Nach und nach tauchen einige alte Bekannte auf. Dateioperationen auf
C:\\MYApp.EXE durchgeführt.
Darunter befindet sich ein Text "Local AppWizard-Generated Applications",
was bei Google als Trojaner bzw. Backdoor geführt wird. Irgendwie ist
das eine Seuche...
Ein sehr wichtiger und deshalb verdächtiger Pfad taucht auf:
C:ProgramFiles\Explorer\explorer.exer.Exe
bzw.
C:\ProgramFiles\Explorer\explorer.exe
OH, oh... wenn Rechnungsdokumente systemverwandte Pfade benennen, kann das doch nur bedeuten, dass etwas faul ist...
Anbei ist der Text Matrix.Document und einige Chinesische Zeichen erkennbar.
Bei der Dateibeschreibung (VS_VERSION_INFO) befindet sich der Originalname
der Datei, der bei der Herstellung verwendet wurde:
OriginalFilename Matrix.exe
ProductName Matrix
FileDescription Matrix
LegalCopyright 2014
Online-Analyse
Was sagt denn virustotal.com zu dem Thema?
15 von 52 Virenscannern können einen Schädling ausfindig machen... WOW...!
Fazit
Was haben Diese Begriffe "MyApp, Local AppWizard-Generated Applications, explorer.exe, Matrix" mit einigen chinesischen Zeichen gemeinsam? Na?