Verseuchter UPS-Spam

Vorsicht vor einer gefälschten UPS-Mail, die im Anhang einen Trojaner enthält. Betreff und Text der der Mail lauten:

Ihr UPS Paket N1576767075
Guten Tag,
leider konnten wir ihren Paket gesendet am 01. Juli nicht zustellen, da
die Adresse des Empfangers nicht existiert. Drucken Sie bitte den Lieferschein im Anhang dieser Mail aus,
und holen Sie ihr Paket bei uns ab.
Mit freundlichen Grussen,
Ihre UPS

Angehängt ist das ZIP-Archiv „UPS_Lieferschein_8102.zip“, das die Datei „UPS_Lieferschein.exe“ enthält, die mit „Trojan-Downloader.Win32.Tiny.brm“ verseucht ist. Bei Virustotal erkennen momentan 17 von 33 Scannern den Schädling.

Der Text der Mail ist so lala, und ich kann mir schon vorstellen, dass der eine oder andere darauf hereinfällt. Allerdings sollte stutzig machen, dass die Mail nicht mit HTML formatiert ist und mehrere kleinere sprachliche Fehler enthält. Außerdem ist die angehängte Datei kein PDF, sondern eine EXE.

Interessant finde ich noch zwei Punkte:

Die Mail, die ich erhalten habe, enthält folgende Zeile im Header:

Received: from [80.177.xx.xxx] by xxx.pla.dc.xo.com; Mon, 14 Jul 2008 09:29:30 +0000

Ein Arbeitskollege hat die Mail etwa zeitgleich erhalten, mit allerdings leicht anderer Absenderzeile im Header:

Received: from [217.6.xxx.xxx] by xxx.valueweb.com; Mon, 14 Jul 2008 10:07:33 +0100

Der Versand erfolgt also von einem Botnet aus. Die „xxx“ habe ich eingefügt.

Außerdem wurde die an mich gesandte Mail an die hier im Impressum genannte Adresse geschickt. Diese enthält als einfache Sicherheitsmaßnahme mehrere Leerzeichen, die vom Spammer aber erkannt und entfernt wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.