Na klasse. Nachdem uns Spammer mit einer gefälschten 1&1-Rechnung weiß machen wollten, dass wir unbedingt die pdf.exe-Datei öffnen sollen, haben es die Betrüger nun auf die GEZ abgesehen. Es werden Rechnungen per Mail verschickt, die das offizielle Logo der GEZ gleich von der dortigen Website laden. 445,99 Euro soll ich bezahlen für den Zeitraum vom 1.12. 2006 bis 12.01. 2007. Besonders witzig der Zusatz: „Bitte beachten Sie, dass diese Rechnung einen Zuschlag beinhaltet, der durch das nicht rechtzeigige Anmelden des Internetverbindung entstanden ist. “

Und während ich das hier schreibe, trudeln weitere dieser Mails ein. Offenbar gibt es mehrere Absender: GEZ AG mit der gefälschten Mailadresse info@gez.de und GEZ Deutschland mit der Mail support@gez.de

In dem Anhang, einer ZIP-Datei, liegt eine Datei, die ich nicht mehr identifizieren kann, da Kaspersky den Inhalt sofort beim Eintreffen der Mail gelöscht hat. Zumindest sagt mir das Backup-File, dass es sich um einen Trojan-Downloader Win32.small.efe handelt. Ein kleines, fieses Ding, dessen „Mutter“ über 370 verschiedene Mutationen hat. Informationen dazu bei F-Secure. Dürftige Infos dazu auch auf der Viruslist von Kaspersky, wobei zur speziellen Form Win32.small.efe noch keine Infos vorliegen. Immerhin: Kaspersky erkennt die Ur-Form und löscht sofort. Konkrete Informationen zum Entfernen bei Befall oder ein Removal-Tool für den Virus habe ich noch nicht gefunden.

Update: Offenbar wurde eine der Mails über den Mailserver von veloxzone.com.br verschickt. Brasilien also. Die zweite Mail scheint aus Oregon in den USA über die Server von Verizon verschickt worden zu sein. Hmmm…

Infos auch bei heise.de, die den Anhang wieder als PDF.exe identifizierten. Danke an Gerald für den Hinweis per Trackback. 🙂