Virus in Ricardo-Mail

[Wotan]

Hi PCtipp-Forum

Seit heute grassiert mal wieder ein Virus, welcher über ein (angebliches) Ricardomail reinkommt. Der Text lautet:

Sehr geehrte Recardo.ch Kunde,

in diesem Mail erhalten Sie ihr aktuelles Kontoübersicht.

Noch nicht verrechnet CHF 420.60
Kontosaldo CHF 270.90
Total zu Gunsten ricardo.ch CHF 691.50

Das ausführliche Kontoübersicht ist dieser Email als PDF-Datei in Attachment angehängt.

Schönen Tag noch,
Wünscht Ihnen ihr Recardo Team

Vierenscaner sind teilweise noch nicht up do date. Also VORSICHT!

Gruss Wotan

 

[POGO 1104]

das war hier in den News schon am 23.8. !
guckst du hier:
http://www.pctipp.ch/news/kommunikation/40771/erneut_gefaelschte_ricardo_mails.html

o.s.t.

 

[Wotan]

OK. Nicht gesehen, aber doppelt genäht hält wohl besser :D

 

[Michel.Eichelberger]

Man kann am inhalt des textes erkennen, dass das ein falsches spiel ist, denn erstens wird Ricardo hier mit Recardo angegeben und zweitens sind diverse schreibfehler aufgetaucht die im normalfall nicht vorkommen bei einem portal wie Ricardo...

Wenn man sich nicht sicher ist ob das ein böses mail ist, so kann man am betreff oder an der adresse erkennen dass da was nicht stimmt...

so ähnliche adressen wie zum beispiel Recardo.ch anstatt Ricardo.ch können auf den ersten blick täuschen... auch möglich wäre beispielsweise Ricardo.net anstatt .ch
Wenn Ricardo.net nicht reserviert wurde, kann man diese missbrauchen und ahnungslose user schädigen..

 

[sergey]

Komisch

Woran leigt es dass ich solche Mails hasse?
Weil Sie unnütz sind, aber zum Glück haben wir ja Thunderbird...

Wie LINK182 schon sagte:
Man achte auf Rechtschreibefehler:

Das ausführliche Kontoübersicht ist dieser Email als PDF-Datei in Attachment angehängt.

Nur alleine schon in dieser Zeile hat es zwei Fehler (betreffen nicht Rechtschreibung aber Aussprache)

Diese Mails sind genau so unschlau wie die Mails von wegen dein Konto werde gelöscht wenn du nicht an so und so viele Leute schreibst.

Gruss

sergey

 

[Wotan]

Man kann am inhalt des textes erkennen, dass das ein falsches spiel ist, denn erstens wird Ricardo hier mit Recardo angegeben und zweitens sind diverse schreibfehler aufgetaucht die im normalfall nicht vorkommen bei einem portal wie Ricardo...

Wenn man sich nicht sicher ist ob das ein böses mail ist, so kann man am betreff oder an der adresse erkennen dass da was nicht stimmt...

so ähnliche adressen wie zum beispiel Recardo.ch anstatt Ricardo.ch können auf den ersten blick täuschen... auch möglich wäre beispielsweise Ricardo.net anstatt .ch
Wenn Ricardo.net nicht reserviert wurde, kann man diese missbrauchen und ahnungslose user schädigen..

Wobei es bei mir tatsächlich als ricardo reinkommt.

http://www.pctipp.ch/forum/attachment.php?attachmentid=78&stc=1&d=1189438577
ricardo.jpg

 

[Dragonlord]

Das ist auch kein Problem. Du kannst ja selber Deine Absendeadresse manipulieren.

lg Roger

 

[Michel.Eichelberger]

Wahrscheinlich kann man auch adressen so editieren, dass man nicht oder zumindest schlecht nachweisen kann, woher die Mail wirklich kommt...

 

[Dragonlord]

Den effektiven Absender kann man herausfinden in dem man bei Thunderbird Ctrl + U drückt. Dann bekommt man die ganzen Headerinformationen als Quellcode dargestellt.

Das ganze sollte eigentlich auch im Outlook oder Outlook Epxress funktionieren.

lg Roger

 

[Wotan]

Den effektiven Absender kann man herausfinden in dem man bei Thunderbird Ctrl + U drückt. Dann bekommt man die ganzen Headerinformationen als Quellcode dargestellt.

Das ganze sollte eigentlich auch im Outlook oder Outlook Epxress funktionieren.

lg Roger

Dann erkläre mir bitte mal was daraus erkennst bzw. in Erfahrung bringen kannst??

From - Mon Sep 10 17:05:29 2007
X-Account-Key: account3
X-UIDL: 46953b9b00000550
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
Return-Path: <support@ricardo.ch>
Received: from wh21.****.ch (root@localhost)
by ****-****.ch (8.12.11.20060308/8.12.11) with ESMTP id l8AEpRp4031401
for <info@****-****.ch>; Mon, 10 Sep 2007 16:51:27 +0200
X-ClientAddr: 201.212.20.147
Received: from jorgito-kqj6lcj.ciudad.com.ar (201-212-20-147.cab.prima.net.ar [201.212.20.147])
by wh21.****.ch (8.12.11.20060308/8.12.11) with SMTP id l8AEpERY022648
for <info@****-****.ch>; Mon, 10 Sep 2007 16:51:18 +0200
Message-ID: <001801c7f3a1$cc05b9c0$00b16ad4@jorgitokqj6lcj>
From: "Ricardo.ch" <support@ricardo.ch>
To: "info" <info@****-****.ch>
Subject: +++SPAM+++ {Filename?} Ricardo Online Rechnung
Date: Mon, 10 Sep 2007 11:54:54 -0300
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="----=_NextPart_000_0015_01C7F3A1.CC05B9C0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-****_GmbH-MailScanner-Information: Please contact the ISP for more information
X-****_GmbH-MailScanner: Found to be infected
X-MailScanner-From: support@ricardo.ch
X-Spam-Prev-Subject: {Filename?} Ricardo Online Rechnung
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.0.2 (2004-11-16) on wh21.****.ch
X-Spam-Level: *
X-Spam-Status: Yes, score=1.6 required=1.0 tests=ALL_TRUSTED,HTML_60_70,
HTML_FONT_BIG,HTML_MESSAGE,RCVD_IN_NJABL_DUL,RCVD_IN_XBL autolearn=no
version=3.0.2
X-Spam-Report:
* -2.8 ALL_TRUSTED Did not pass through any untrusted hosts
* 0.0 HTML_60_70 BODY: Message is 60% to 70% HTML
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.2 HTML_FONT_BIG BODY: HTML tag for a big font size
* 2.5 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
* [201.212.20.147 listed in sbl-xbl.spamhaus.org]
* 1.7 RCVD_IN_NJABL_DUL RBL: NJABL: dialup sender did non-local SMTP
* [201.212.20.147 listed in combined.njabl.org]
Status:

------=_NextPart_000_0015_01C7F3A1.CC05B9C0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Warnung: Diese Nachricht enthielt einen oder mehrere Dateianhaenge, die ent=
fernt wurden=0D
Warnung: (Rechnung___UNB.exe, Rechnung_10.9.2007.zip)=0D
Warnung: Bitte lesen Sie den oder die "****_GmbH-Attachment-Warning.txt"=
Dateianhaenge fuer genauere Informationen.=0D
=0D
=0D
**** Mailscanner=0D
=0D
**** GmbH=0D
Flurstrasse 32=0D
CH-8048 Zuerich=0D
Tel. 0848 00 88 66=0D
Fax. 043 311 88 67=0D
support@****.ch=0D
www.****.ch=0D

Guten Tag,Ihre Ricardo Rechnung finden Sie im Anhang dieser Mail.Bitte spei=
chern Sie die Rechnung und kontrollieren Sie ob die Angaben stimmen.Mit fre=
undlichen GrüssenIhr Ricardo Team

------=_NextPart_000_0015_01C7F3A1.CC05B9C0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">=0D
<HTML><HEAD>=0D
<META http-equiv=3DContent-Type content=3D"text/html; charset=3Diso-8859-1"=
>=0D
<META content=3D"MSHTML 6.00.2900.2180" name=3DGENERATOR>=0D
<STYLE></STYLE>=0D
</HEAD>=0D
<BODY bgColor=3D#ffffff>=0D

<font size=3D4><b>Guten Tag,<br><br>=0D

Ihre Ricardo Rechnung finden Sie im Anhang dieser Mail.<br>=0D

Bitte speichern Sie die Rechnung und kontrollieren Sie ob die Angaben stimm=
en.<br>=0D

Mit freundlichen Grüssen<br><br>=0D

Ihr Ricardo Team=0D
</BODY></HTML>=0D

------=_NextPart_000_0015_01C7F3A1.CC05B9C0
Content-Type: text/plain;
charset="us-ascii";
name="****_GmbH-Attachment-Warning.txt"
Content-Disposition: attachment;
filename="****_GmbH-Attachment-Warning.txt"
Content-Transfer-Encoding: quoted-printable

Dies ist eine Nachricht des **** MailScanner (E-Mail Virus Protection Se=
rvice)=0D
---------------------------------------------------------------------------=
------=0D
=0D
Der Dateianhang "Rechnung_10.9.2007.zip"=0D
ist in der Liste unerwueschter bzw. unsicherer Dateianhaenge und wurde durc=
h =0D
diese Nachricht ersetzt.=0D
=0D
Wenn Sie eine Kopie der Original Nachricht wuenschen, wenden Sie sich bitte=
=0D
per Mail oder Telefon an Ihren Systemadministrator. Bitte halten Sie diese =
=0D
Meldung bereit.=0D
=0D
Am Mon Sep 10 16:51:25 2007 meldete der Virenscanner folgendes:=0D
MailScanner: Very long filenames are good signs of attacks against Micro=
soft e-mail packages (Rechnung___UNB.exe)
=0D
=0D
Hinweis an den Administrator: =0D
Datei: the ****_GmbH MailScanner in /home/virtual/site152/fst/var/spool/=
mail.quarantine/20070910 (Nachrichten l8AEpERY022648).=0D
=0D
**** Mailscanner=0D
=0D
**** GmbH=0D
Flurstrasse 32=0D
CH-8048 Zuerich=0D
Tel. 0848 00 88 66=0D
Fax. 043 311 88 67=0D
support@****.ch=0D
www.****.ch

------=_NextPart_000_0015_01C7F3A1.CC05B9C0


------=_NextPart_000_0015_01C7F3A1.CC05B9C0--

 

[Dragonlord]

Received: from wh21.****.ch (root@localhost)
by ****-****.ch (8.12.11.20060308/8.12.11) with ESMTP id l8AEpRp4031401
for <info@****-****.ch>; Mon, 10 Sep 2007 16:51:27 +0200
X-ClientAddr: 201.212.20.147
Received: from jorgito-kqj6lcj.ciudad.com.ar (201-212-20-147.cab.prima.net.ar [201.212.20.147])
by wh21.****.ch (8.12.11.20060308/8.12.11) with SMTP id l8AEpERY022648
for <info@****-****.ch>; Mon, 10 Sep 2007 16:51:18 +0200
Message-ID: <001801c7f3a1$cc05b9c0$00b16ad4@jorgitokqj6lcj

Ich habe Dir die Stellen Fett markiert. Dort findest Du die Informationen, dass es 100% nicht von Riccardo kommt.

lg Roger

 

[Wotan]

Received: from wh21.****.ch 1 (root@localhost)
by ****-****.ch 2 (8.12.11.20060308/8.12.11) with ESMTP id l8AEpRp4031401
for <info@****-****.ch> 3; Mon, 10 Sep 2007 16:51:27 +0200
X-ClientAddr: 201.212.20.147
Received: from jorgito-kqj6lcj.ciudad.com.ar 4(201-212-20-147.cab.prima.net.ar [201.212.20.147])
by wh21.****.ch (8.12.11.20060308/8.12.11) with SMTP id l8AEpERY022648
for <info@****-****.ch>; Mon, 10 Sep 2007 16:51:18 +0200
Message-ID: <001801c7f3a1$cc05b9c0$00b16ad4@jorgitokqj6lcj

1. ist der Mailserver meines Anbieters
2. ist meine eigene URL
3. ist meine Email-Adresse
4. könntest du Recht haben :) wobei es sich ja nicht um eine Email-Adresse im herkömmlichen Sinn handelt (@-Zeichen fehlt).

Gruss Wotan

 

[Masche]

Ich würde nicht zu sehr auf den Text schauen. Diesen kann man leicht manipulieren. Weit informativer sind die IP-Adressen.

Meinem geübten Auge ist im Header z.B. die IP-Adresse 201.212.20.147 aufgefallen. Diese gehört gemäss DNSStuff.com einer Firma in Argentinien:

owner: Prima S.A.
ownerid: AR-PRSA-LACNIC
responsible: Miguel Fernandez
address: La Rioja, 301,
address: C1214ADG - Buenos Aires -
country: AR
phone: +54 11 43700073 []

Schlage vor, Du gehst persönlich vorbei und beschwerst Dich!