Neuer Mailvirus, angeblich von Postbank

Internet Internet Sicherheit
#1

Hallo Leute

Am heutigen Vormittag erhielt ich eine verdächtige Mail angeblich von der Postbank mit der Aufforderung einen darin sich befindenten Link anzuklicken und meine Bankdaten zu vervollständigen.

ICH BIN ABER KEIN KUNDE DER POSTBANK

Also wurde die Mail in einem temporären Verzeichnis abgespeichert und http://virusscan.jotti.org/de/ zum Fraß vorgeworfen und siehe da: Nur Kaspersky fand in der 15 KByte großen Mail den Trojaner „Trojan-Spy.HTML.Citifraud.j“ Alle anderen Scanner versagten. Bei http://www.virustotal.com/ konnte dann noch Sybari eine Festellung machen. Google kannte das Ding nur einmal im arabischen Raum (truehits.com)

Noch etwas ist mir aufgefallen: Diese Mail war gar nicht an mich gerichtet, sondern wurde auf mich umgeleitet. Im Header der Mail stand dann noch folgende drei X-Warning:

postbank.de is listed at abuse.rfc-ignorant.org
Malware found (HTML.Phishing.Bank-1)
Message contains Spam signature (149285::050706094931-09444000-298FAB57)

Alle drei Warnungen sprechen für sich selbst. Es ist also für jeden Empfänger einer solchen Mail angebracht, seinen Kopf zu benutzen und zu überlegen, ob ein solches Ansinnen der Postbank überhaupt einen Sinn ergibt. Im Zweifelsfall sollte man sich vor dem Klick in seiner Filiale erkundigen und sich rückversichern.

Die Malware sollte unbedingt mit einem Dateimanager gelöscht werden, der dies auch kann (TurboNavigator, A43 und ähnlich) und nicht nur in den Papierkorb von Windows verschieben. Auch bei Mozilla & Thunderbird ist der Papierkorb des Clienten zu entlehren. Rechtsklick auf Papierkorb und Entlehren wählen.

der hinterwäldler

#2

Also wurde die Mail in einem temporären Verzeichnis
abgespeichert und http://virusscan.jotti.org/de/ zum Fraß
vorgeworfen und siehe da: Nur Kaspersky fand in der 15
KByte großen Mail den Trojaner „Trojan-Spy.HTML.Citifraud.j“
Alle anderen Scanner versagten. Bei http://www.virustotal.com/
konnte dann noch Sybari eine Festellung machen.

Das wundert mich. ClamAV hat diese Mail bei mir zum ersten mal heute morgen gegen 6 Uhr angemeckert und in mein Viren- und Kuriositätenkabinett verschoben. Frühere, unerkannte Eingänge hat es nach meinen Protokollen nicht gegeben.

Nicht angemeckert wurde hingegen der mehrfache Eingang einer Rechnung.zip, eine .doc.exe beinhaltend und vorgeblich von der Deutschen Telekom kommend(Kaspersky: Trojan-Downloader.Win32.Small.bcb). Da hat dann der Spamassassin erst gegriffen.

Verlassen ist, wer sich auf Virenscanner verlässt
Schorsch

#3

Hallo Leute

postbank.de is listed at abuse.rfc-ignorant.org
Malware found (HTML.Phishing.Bank-1)
Message contains Spam signature
(149285::050706094931-09444000-298FAB57)

Dies wuerde viele Mailserver dazu veranlassen, diese Email entweder gleich zu loeschen oder zumindest als Spam zu kennzeichnen.

Alle drei Warnungen sprechen für sich selbst. Es ist also für
jeden Empfänger einer solchen Mail angebracht, seinen Kopf zu
benutzen und zu überlegen, ob ein solches Ansinnen der
Postbank überhaupt einen Sinn ergibt. Im Zweifelsfall sollte
man sich vor dem Klick in seiner Filiale erkundigen und
sich rückversichern.

Jain!
Man sollte NIE (also wirklich NIE) auf einen Link in einer unerwarteten Email klicken. Serioese Unternehmen stellen sowieso keine Links in Email um zu irgendwelchen Sieten zum Einstellen von Kundendaten (o.ae.) zu gelangen, sondern geben immer an, wie man ueber die Webseite hin kommt.
Also: Immer www.postbank.de von Hand eingeben oder zumindest mit einem Rechtsklick die URL Location kopieren, in den Browser einfuegen und nochmal genau anschauen!

Gruss
Dirk
http://www.phpmybackuppro.net/mozilla_search_plugins/

#4

Hallo Schorch

Das wundert mich. ClamAV hat diese Mail bei mir zum ersten mal
heute morgen gegen 6 Uhr angemeckert und in mein Viren- und
Kuriositätenkabinett verschoben. Frühere, unerkannte Eingänge
hat es nach meinen Protokollen nicht gegeben.

Gugge mal, jetzt eben 13.21 Uhr nochmals bei Jotty gescannt und es wird stündlich ein Update abgeholt:

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Spy.HTML.Citifraud.j gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden

Verlassen ist, wer sich auf Virenscanner verlässt

So ist es, wer nicht Brain 1.0 benutzt ist übel dran

der hinterwäldler

1 Like
#5

hi,

hatte heute nacht auch eine postbank-mail bekommen.
hier sieht das scan-ergebnis mit http://virusscan.jotti.org/de/ so aus:

Datei: nachricht.eml
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
HTML.Phishing.Bank-1 gefunden
Dr.Web
Trojan.Bankfraud gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Phishing (http://202.222.19.25/rpm/) gefunden (mögliche Variante)

lg, pit