IP Security Forum

Author Topic: Verbreitet Olaf Tank jetzt auch Viren?  (Read 34731 times)

Offline admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 250
  • Karma: 0
    • http://meineipadresse.de/
Verbreitet Olaf Tank jetzt auch Viren?
« on: Tuesday, 10.04.2007 19:43 »
Jetzt wird´s richtig lustig.

Soeben traf auf meiner privaten, nicht veröffentlichten Email-Adresse die folgende Mail ein:

Anwaltskanzlei Tank
RA Olaf Tank
Rheiner Landstraße 197 49078 Osnabrück
 
Aktenzeichen: 238029/14
Osnabrück, den 31.04.2007
 
Bitte geben Sie Ihr Aktenzeichen bei jeglichem Schriftverkehr und Zahlungen immer an.
 
Sehr geehrte Kunde,
 
hiermit zeige ich die Interessenvertretung der Firma Andreas & Manuel Schmidtlein GbR, Vor der Hube 3, D 64572 Büttelborn an. Ordnungsgemäße Bevollmächtigung wird anwaltlich versichert. Meine Mandantschaft macht gegen Sie folgende Forderung geltend:
 
Rechnung vom 15,08,2006 aus Dienstleistungsvertrag mit der Rechnungsnummer R739336 für die Anmeldung vom 29,07,2006 um 14:33 Uhr auf der Internetseite P2P-heute.com mit folgender Anmelde-IP: 217.053.533.34.
 
Sie schulden meiner Mandantschaft daher 378,00 EUR. Da Sie sich in Verzug befinden, sind Sie gegenüber meiner Mandantschaft verpflichtet, die durch meine Tätigkeit entstandenen Gebühren zu erstatten.
 
Das Originalrechnung finden Sie im Anhang als signierte PDF Datei.
Bitte behalten Sie das Original Rechnung unbedingt für Ihre Unterlagen.
 
Liquidation:
 
1,3 Geschäftsgebühr, Nr. 2300 VV 345,50 EUR
 
Auslagenpauschale, Nr. 7002 VV 6,50 EUR
 
Gesamtsumme 104,00 EUR
 

Der von Ihnen zu zahlende Gesamtbetrag beläuft sich somit auf 946,00 EUR.
 
Ich fordere Sie auf, den Gesamtbetrag, innerhalb einer Frist von 10 Tagen, also bis zum
 
09.04.2007 (hier eingehend)
 
auszugleichen. Bitte überweisen Sie diesen Betrag auf das unten angegebene Konto. Sollte der Gesamtbetrag nicht fristgerecht eingehen, werde ich meiner Mandantschaft empfehlen, die Forderung ohne weitere außergerichtliche Ankündigung, gerichtlich geltend zu machen, wodurch weitere Kosten zu Ihren Lasten entstehen.
 
Wir möchten in diesem Zusammenhang auf die bereits ergangenen Urteile verweisen, welche Sie auf der Internetseite www.forderungseinzug.de einsehen können.
 
Bei der Anmeldung auf oben genannter Internetseite wurde die zu diesem Zeitpunkt übermittelte IP-Adresse gespeichert. Die IP-Adresse ermöglicht den Strafverfolgungsbehörden, im Falle einer strafrechtlichen Ermittlung, die Identifikation des PC's, der zum Zeitpunkt der Anmeldung genutzt wurde.
 
Als weitere Sicherheitsinstanz ist auf oben genannter Internetseite das Geburtsdatum des Users eingegeben worden. Sollte sich bei einer weiteren überprüfung der Daten herausstellen, dass ein falsches Geburtsdatum eingegeben wurde, ist von einem Betrugsdelikt auszugehen. In diesem Fall hätte sich eine gegebenenfalls minderjährige Person eine Leistung erschlichen, die ihr nicht hätte bereitgestellt werden dürfen. Hier behalte ich mir im Namen meiner Mandantschaft die Erstattung einer Strafanzeige vor. Die dabei anfallenden Kosten und Auslagen sind gegebenenfalls gegen Sie geltend zu machen.
 
Mit freundlichen Grüßen
 
Olaf Tank
Rechtsanwalt
 
Anwaltskanzlei Tank
RA Olaf Tank
Postfach 6251
49078 Osnabrück
Tel: 0541-34 97 70-0
Fax: 0541-34 97 70-77
anwalt@forderungseinzug.de
 
Bankverbindung Ausland: Postbank Hannover IBAN DE06 2501 0030 0077 6673 07, BIC: PBNKDEFF
 
Bankverbindung Deutschland: Postbank Hannover Kontonummer: 77 667 307, BLZ 250 100 30
 

Bitte geben Sie als Zahlungsempfänger unbedingt RA Olaf Tank an und Ihr Aktenzeichen als Verwendungszweck.


Das pikante daran: In der Anlage liegt ein ZIP-File mit dem Namen O_Rechnung.zip, diese wiederum enthält ein als PDF-Dokument verschleiertes Programm mit Namen O_rechnung.pdf.exe  (23.040 Bytes)

Dieses Programm hat (wie für Schadcode üblich) keinerlei Datei-, Versions- oder Hersteller-Kennung und wird von McAfee Virusscan in der heute aktuellen Virensignatur nicht erkannt. (also Vorsicht! Keinesfalls öffnen!)

Die Email selbst kommt von einem texanischen Mailserver und gefälschter Absenderadresse und die angeblich gespeicherte IP-Adresse 217.053.533.34 kann es gar nicht geben (Nur Werte von 0 bis 255 sind technisch möglich).

Ich traue ja dem Herrn Rechtsanwalt Olaf Tank viel zu, aber nicht so viel Blödheit. Es sieht also danach aus, als hätte sich jemand einen dummen Scherz auf seine Kosten erlaubt.

Obwohl... Ist der Ruf erst mal ruiniert... Auch ein offensichtlicher Fake spült Geld auf´s Konto, und man kann sich ja bequem davon distanzieren.

Die Kontoverbindung stimmt jedenfalls mit anderen Mails der Kanzlei überein, und dann der horrende Betrag von 946,00 EUR.

Bizarr.
« Last Edit: Tuesday, 10.04.2007 19:51 by admin »

Offline botex

  • Newbie
  • *
  • Posts: 5
  • Karma: 0
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #1 on: Tuesday, 10.04.2007 20:50 »
Hallo,

habe heute ähnliche Mail bekommen. Andere Zahlen und Daten, aber gleiche ZIP angehängt. In der Zip auch die hier genannte "O_rechnung.pdf.exe". Mein Kaspersky hat auch (noch) nicht angeschlagen und keinen Virus erkannt. Mal sehen, wie lange es dauert, bis er erkannt wird. Oder ist es ausnahmsweise mal kein Virus?

Naja egal, die PDF bzw EXE habe ich eh nicht ausgeführt; lediglich die ZIP per WinRAR entpackt - da sollte doch nichts passiert sein, oder irre ich mich da?

Komisch ist, dass die in meiner "Rechnung" angegebenen IP, von der ich den Vertrag geschlossen haben soll, (217.200.099.30) aus Italien ist  ??? ::)

[Edit]
Mein Kaspersky erkennt mit der aktuellen Signatur von von 18:58 UHR folgenden Trojaner:

Trojan-Downloader.Win32.Nurech.bf

Offline admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 250
  • Karma: 0
    • http://meineipadresse.de/
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #2 on: Tuesday, 10.04.2007 21:36 »
Hallo botex,

das ist ja interessant!  Da war also Kaspersky wieder mal schneller als McAfee. (Was mich übrigens nicht wundert, die Firma scheint 50% ihrer Einnahmen in Marketing zu stecken, ein weiteres Viertel in die Entwicklung undurchschaubarer Lizenzmodelle, und was übrig bleibt, in die Entwicklung von Viren.  -  Äh.., wollte natürlich sagen, von Virenschutz!)

Das Auspacken eines Archivs alleine ist übrigens nicht riskant, wenn man weiß, was man tut und nicht zum Beispiel die Option "Offnen durch einfachen Klick" eingeschaltet hat. Wer zittrige Finger hat, oder einen Packer verwendet, der z.B. enthaltene Bilder gleich in der Vorschau zeigt, sollte das lieber lassen.

Aus der Virenbeschreibung ist zu entnehmen, dass nach Aktivierung des Trojaners die Datei ipv6mon.dll erzeugt wird, die dann zwei Dateien aus dem Internet herunterlädt und als ws25.exe und ws26.exe speichert. Was dann noch nachgeladen wird, möchte ich gar nicht wissen.

Trotzdem sehr merkwürdig, das ganze.
« Last Edit: Tuesday, 10.04.2007 21:46 by admin »

Offline botex

  • Newbie
  • *
  • Posts: 5
  • Karma: 0
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #3 on: Tuesday, 10.04.2007 22:04 »
Entpackt habe ich die Rechnung.zip per speichern der ZIP auf der HDD und dann Rechtsklick auf die Datei und "Entpacken nach Ordner Rechnung", mehr nicht.

Ich werde mein System dennoch nach einer "ipv6mon.dll" durchsuchen und sehen was passiert. Erstmal Danke für die Info  ;D

Ansonsten kann ich Kaspersky-Antivirus nur empfehlen; bin sehr zufrieden damit! Gibt es zur Zeit (zumindest bei der letzten Ausgabe war es noch so) bei ComputerBild als Vollversion mit 1 Jahr Update-Service. Sehr zu empfehlen  ;) Von der Firewall von Kaspersky halte ich jedoch nichts; meine persönliche Meinung.


Offline fr.henning

  • Newbie
  • *
  • Posts: 4
  • Karma: 0
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #4 on: Tuesday, 10.04.2007 22:19 »
Hi, habe heute auch sowas bekommen. Mein Antivr hats sofort erkannt!. Habs aber in einem Anderen Thread gepostet. Guckst Du hier....

Bei mir war es ein anderer Betrag und auch eine andere IP (aus Japan - die ich angeblich genutzt hatte  ;D )

Na ja, dass da jemand auf diese Masche anspringt, muss niemanden wundern.  ;D Nun werden wohl viele Mails von dem Mann gleich im Papierkorb verschwinden, falls die diversen Spamfilter ihn nicht sofort kicken.  ;D Viele werden den Absender nämlich in den Filter packen. Ich auch ;-)

Offline botex

  • Newbie
  • *
  • Posts: 5
  • Karma: 0
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #5 on: Tuesday, 10.04.2007 22:31 »
@admin

die Datei "ipv6mon.dll" gehört aber auch zum System von Windows XP, daher ist die Datei IMHO kein Anzeichen dafür, dass der Trojaner auf dem System aktiv ist.

Offline Canon

  • Newbie
  • *
  • Posts: 2
  • Karma: 0
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #6 on: Tuesday, 10.04.2007 23:26 »
Ich habe heute auch so eine Mail bekommen.
Mehrere Rechtschreibfehler waren enthalten, zudem gibt es die Anmelde-IP: 217.902.267.72 doch garnicht oder?
Die gehen doch nur bis 255.255.255.255 oder?

Und ich kann mich nicht entsinnen je auf dieser Seite p2p-heute.de gewesen zu sein.

Einfach ignorieren oder?

Offline admin

  • Administrator
  • Hero Member
  • *****
  • Posts: 250
  • Karma: 0
    • http://meineipadresse.de/
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #7 on: Tuesday, 10.04.2007 23:39 »
@botex: stimmt, eine Datei ipv6mon.dll 59 kByte vom 4.8.2004 gehört zu Windows XP SP2. Angeblich wird aber eine Schad-Datei gleichen Namens angelegt.

Auch Trend Micro kennt den Schädling nicht, wohl aber der Virenscanner der Firma Ikarus aus Wien (www.ikarus-software.at), was hier mal positiv hervorgehoben werden soll. Nach deren Informationen nutzt der Trojaner den ANI Exploit von Windows (Windows Animated Cursor Exploit), der nicht nur beim Internet Explorer 7, sondern theoretisch sogar in Firefox unter Windows wirksam werden kann. (Quelle: determina.com animation)

@canon: richtig, die vier Zahlen der üblichen IP-Adress-Schreibweise können jeweils nur Werte zwischen 0 und 255 annehmen. Am besten ist es, die ganze Email sofort zu löschen.
« Last Edit: Tuesday, 10.04.2007 23:43 by admin »

Offline sanysweb

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #8 on: Wednesday, 11.04.2007 08:07 »
Hallo,

dieser Herr O. Tank betreibt Spamming, bzw. erlaubt sich jemand mit dem Herr O.Tank einen Scherz. Diese ganzen Mails sind nicht ernst zu nehmen. Habe zufällig heute gleich 4 Mails dieser Art bekommen.

Ein guter Tipp von mir: diese Mails nicht löschen und als Beweismittel aufbewahren.

Ausdrucken und der Staatsanwaltschaft überreichen.

Dann muß sich auch der O.Tank outen und Stellung dazu nehmen. Genauso Firma Andreas & Manuel Schmidtlein GbR, Vor der Hube 3, D 64572 Büttelborn

Nicht resignieren, diese Rechnungen haben keine Gültigkeit. Es fehlt in jeder Mail eine persönliche Anrede und eine ordentliche Kanzlei schreibt derartige Nachrichten nicht per Mail.
Diese Mails sind als nachträglicher Aprilscherz einzustufen

LG
SStaud


Jetzt wird´s richtig lustig.

Soeben traf auf meiner privaten, nicht veröffentlichten Email-Adresse die folgende Mail ein:

Anwaltskanzlei Tank
RA Olaf Tank
Rheiner Landstraße 197 49078 Osnabrück
 
Aktenzeichen: 238029/14
Osnabrück, den 31.04.2007
 
Bitte geben Sie Ihr Aktenzeichen bei jeglichem Schriftverkehr und Zahlungen immer an.
 
Sehr geehrte Kunde,
 
hiermit zeige ich die Interessenvertretung der Firma Andreas & Manuel Schmidtlein GbR, Vor der Hube 3, D 64572 Büttelborn an. Ordnungsgemäße Bevollmächtigung wird anwaltlich versichert. Meine Mandantschaft macht gegen Sie folgende Forderung geltend:
 
Rechnung vom 15,08,2006 aus Dienstleistungsvertrag mit der Rechnungsnummer R739336 für die Anmeldung vom 29,07,2006 um 14:33 Uhr auf der Internetseite P2P-heute.com mit folgender Anmelde-IP: 217.053.533.34.
 
Sie schulden meiner Mandantschaft daher 378,00 EUR. Da Sie sich in Verzug befinden, sind Sie gegenüber meiner Mandantschaft verpflichtet, die durch meine Tätigkeit entstandenen Gebühren zu erstatten.
 
Das Originalrechnung finden Sie im Anhang als signierte PDF Datei.
Bitte behalten Sie das Original Rechnung unbedingt für Ihre Unterlagen.
 
Liquidation:
 
1,3 Geschäftsgebühr, Nr. 2300 VV 345,50 EUR
 
Auslagenpauschale, Nr. 7002 VV 6,50 EUR
 
Gesamtsumme 104,00 EUR
 

Der von Ihnen zu zahlende Gesamtbetrag beläuft sich somit auf 946,00 EUR.
 
Ich fordere Sie auf, den Gesamtbetrag, innerhalb einer Frist von 10 Tagen, also bis zum
 
09.04.2007 (hier eingehend)
 
auszugleichen. Bitte überweisen Sie diesen Betrag auf das unten angegebene Konto. Sollte der Gesamtbetrag nicht fristgerecht eingehen, werde ich meiner Mandantschaft empfehlen, die Forderung ohne weitere außergerichtliche Ankündigung, gerichtlich geltend zu machen, wodurch weitere Kosten zu Ihren Lasten entstehen.
 
Wir möchten in diesem Zusammenhang auf die bereits ergangenen Urteile verweisen, welche Sie auf der Internetseite www.forderungseinzug.de einsehen können.
 
Bei der Anmeldung auf oben genannter Internetseite wurde die zu diesem Zeitpunkt übermittelte IP-Adresse gespeichert. Die IP-Adresse ermöglicht den Strafverfolgungsbehörden, im Falle einer strafrechtlichen Ermittlung, die Identifikation des PC's, der zum Zeitpunkt der Anmeldung genutzt wurde.
 
Als weitere Sicherheitsinstanz ist auf oben genannter Internetseite das Geburtsdatum des Users eingegeben worden. Sollte sich bei einer weiteren überprüfung der Daten herausstellen, dass ein falsches Geburtsdatum eingegeben wurde, ist von einem Betrugsdelikt auszugehen. In diesem Fall hätte sich eine gegebenenfalls minderjährige Person eine Leistung erschlichen, die ihr nicht hätte bereitgestellt werden dürfen. Hier behalte ich mir im Namen meiner Mandantschaft die Erstattung einer Strafanzeige vor. Die dabei anfallenden Kosten und Auslagen sind gegebenenfalls gegen Sie geltend zu machen.
 
Mit freundlichen Grüßen
 
Olaf Tank
Rechtsanwalt
 
Anwaltskanzlei Tank
RA Olaf Tank
Postfach 6251
49078 Osnabrück
Tel: 0541-34 97 70-0
Fax: 0541-34 97 70-77
anwalt@forderungseinzug.de
 
Bankverbindung Ausland: Postbank Hannover IBAN DE06 2501 0030 0077 6673 07, BIC: PBNKDEFF
 
Bankverbindung Deutschland: Postbank Hannover Kontonummer: 77 667 307, BLZ 250 100 30
 

Bitte geben Sie als Zahlungsempfänger unbedingt RA Olaf Tank an und Ihr Aktenzeichen als Verwendungszweck.


Das pikante daran: In der Anlage liegt ein ZIP-File mit dem Namen O_Rechnung.zip, diese wiederum enthält ein als PDF-Dokument verschleiertes Programm mit Namen O_rechnung.pdf.exe  (23.040 Bytes)

Dieses Programm hat (wie für Schadcode üblich) keinerlei Datei-, Versions- oder Hersteller-Kennung und wird von McAfee Virusscan in der heute aktuellen Virensignatur nicht erkannt. (also Vorsicht! Keinesfalls öffnen!)

Die Email selbst kommt von einem texanischen Mailserver und gefälschter Absenderadresse und die angeblich gespeicherte IP-Adresse 217.053.533.34 kann es gar nicht geben (Nur Werte von 0 bis 255 sind technisch möglich).

Ich traue ja dem Herrn Rechtsanwalt Olaf Tank viel zu, aber nicht so viel Blödheit. Es sieht also danach aus, als hätte sich jemand einen dummen Scherz auf seine Kosten erlaubt.

Obwohl... Ist der Ruf erst mal ruiniert... Auch ein offensichtlicher Fake spült Geld auf´s Konto, und man kann sich ja bequem davon distanzieren.

Die Kontoverbindung stimmt jedenfalls mit anderen Mails der Kanzlei überein, und dann der horrende Betrag von 946,00 EUR.

Bizarr.

Offline andreas2007

  • Newbie
  • *
  • Posts: 2
  • Karma: 0
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #9 on: Wednesday, 11.04.2007 23:42 »
Dem pflichte ich bei! Hier scheint, dass ein Trittbrettfahrer Emails mit virusverseuchten Anhängen den Internetabzocker den RA Olaf Tank schädigen will. Da spricht doch einiges dafür:

1. Das falsche Datum 31.4.2007
2. Die falsche Aufsummation der Beträge hinsichtlich der Gesamtforderung (Beträge wurden wohl mit einem Zufallsgenerator ermittelt)
3. Die nicht einzuhaltende Frist für die Überweisung: 9.4.2007 (liegt sogar vor dem Datum 31.4.2007 (?) und dem Email-Empfang.

Insoweit tue ich diese Email als Spam ab, denn welcher RA ist dermaßen doof, dass er nicht nachvollziehbare Beträge einfordert.

Glück auf.....

Offline Goldhamster

  • Sr. Member
  • ****
  • Posts: 178
  • Karma: 0
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #10 on: Thursday, 12.04.2007 08:09 »
Schädigen kann man nur jemanden, der einen guten Ruf zu verlieren hat. Ich wusste gar nicht, dass das bei den Herrschaften noch möglich ist.  ;D

Offline Helmut

  • Full Member
  • ***
  • Posts: 47
  • Karma: 0
    • New Orleans Jazz, Dixieland, Swing aus Berlin
mir egal, was Olaf Tank verbreitet
« Reply #11 on: Thursday, 12.04.2007 10:22 »
... dieser Müll bleibt schon in meinem (externen) Spam-Filter hängen, und da wühle ich nur äußerst selten drin rum. Konkret: Da die IP-Adressen nicht existieren (Ziffernblock > 255), braucht man sich auch nicht betroffen zu fühlen. Dennoch wundere ich mich darüber, wie jemand so unfähig sein kann und ungültige Adressen angibt, als ob das Absicht wäre. Vielleicht ist es ein "kleiner Scherz" unter IT-Freaks.

Offline magus

  • Newbie
  • *
  • Posts: 2
  • Karma: 0
Re: Verbreitet Olaf Tank jetzt auch Viren?
« Reply #12 on: Thursday, 12.04.2007 15:05 »
Also wenn ich das hier so lese, ich bleibe bei meinem Antivir. Der hat das Ding sofort erkannt und ab damit. Mittlerweile schickt der Tank ja reihenweise Rechtfertigungsmail`s raus. Naja!