Na das ist doch mal wieder etwas nettes aus meinem Spam-Folder:

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.

IP: xx.xx.xx.xx

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert K., Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – xxx
Fax: 06131 – xxx
Mobil: 0171 – xxx
Mail: xxx51@aol.com

Und im Anhang, natürlich, eine Zip-Datei, die mit an 100% grenzender Wahrscheinlichkeit den eigentlichen Trojaner enthält.

Sorry, das ist SO billig, wer diesen Anhang öffnet und sich auf diese Weise den Rechner infiziert, selbst schuld. Auf die Details muss ich bei dieser Mail sicherlich nicht eingehen, es dürfte für jeden erkennbar sein, woher hier der Wind weht. Insofern: netter Versuch, hab gerade gut gelacht. Und das wars auch schon.

Nachtrag: Die Adresse in der Mail gibt es im übrigen tatsächlich, es scheint sich hier um die Anschrift des als Urheber der Mail bezeichneten Herrn K. zu handeln. Veröffentlicht wurde sie im Impressum des Internetauftrittes der Zeitschrift „Die Kriminalpolizei“ des Verlags Deutsche Polizeiliteratur. Der Herr dürfte heute eine ganze Menge eMails und Anrufe erhalten haben… Was ich nun wieder weniger lustig finde.

Heute morgen im Office kam die Anfrage einer Kollegin, wer denn bei Avira eine Bestellung aufgegeben hätte. Eine Mail mit dem Betreff „Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten“ war angekommen und niemand konnte die Bestellung zuordnen. Ich hab mir die Mail daraufhin mal angeschaut und angesichts der Header-Informationen kamen bei mir Zweifel an der Echtheit auf. Kurze Zeit später dann die Info bei heise: Es ist so, wie ich vermutet hatte – die Mail ist ein Fake und der Anhang liefert ein trojanisches Pferd. Also ungeöffnet vernichten…

Inzwischen gibt es zu dieser Mail auch weiterführende Informationen von Avira selbst.

Seit Sonntagabend werden unter dem Betreff „Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten“ Emails versendet, die angeblich von Avira/Cleverbridge stammen!

Achtung: Im Anhang dieser Mail befindet sich eine ZIP-Datei, die einen Trojaner enthält. Diese Emails stammen nicht von Avira oder Cleverbridge und sollten unbedingt ohne den Anhang zu öffnen gelöscht werden. Der Trojaner wird als „TR/Dldr.iBill.AJ“ mit folgender VDF erkannt : vdf 6.38.01.19 / ivdf 6.38.01.21