Blafasel bloggt

Wo die Macht geistlos ist, ist der Geist machtlos

Bundestrojaner

05.05.2007 von Martin | 60 Kommentare

Ich habe heute zum ersten Mal eine Mail erhalten, die angeblich mit dem so genannten Bundestrojaner zu tun hat. Natürlich ist die Mail nicht echt, ich bin mir aber sicher, dass noch viele folgen werden :-/ .

Es scheint, dass der “Bundestrojaner” nur dazu gut ist, den Bürger zu verunsichern. Und ganz sicher wird hier auch das schlechte Gewissen des einen oder anderen Empfängers ausgenutzt.

Der Text in dieser Mail lautet:

Von: Herbert Klein “derrick@nilsonreport.com”
Betreff: Onlinedurchsuchung [89772619]

Sehr geehrter Internetnutzer,

im Rahmen unserer ständigen automatisierten Überprüfung von sogenannten Tauschbörsen im Internet, wurde folgende IP-Adresse auf unserem System ermittelt.
IP: 81.182.164.117

Der Inhalt Ihres Rechners wurde als Beweismittel mittels den neuen Bundestrojaner sichergestellt.
Es wird umgehend Anzeige gegen Sie erstatten, da sich illegale Software, Filme und/oder Musikdateien auf Ihren System befinden. Durch die Nutzung sogenannter Tauschbörsen, stellen Sie diese auch anderen Nutzern zu Verfügung und verstoßen somit gegen §§ 249ff StGB.

Das vollständige Protokoll Ihrer Online-Durchsuchung finden Sie im Anhang dieser Email.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.

Herbert Klein, Kriminaldirektor, LKA Rheinland-Pfalz
Am Sportfeld 9c, 55124 Mainz
Tel.: 06131 – 970738
Fax: 06131 – 970731
Mobil: 0171 – 7504699
Mail: Hcklein51@aol.com

“Netterweise” wird auch gleich noch eine zip-Datei mit an die Mail gehängt, in dem sich das vollständige Protokoll Ihrer Online-Durchsuchung befinden soll. Ist natürlich ein Virus, klar.

Da ich natürlich keine Tauschbörsen benutze und natürlich auch keine illegale Software auf meinem Rechner habe, kann ich diese Mail ganz entspannt zerpflücken. Was zeigt uns, dass es sich hier um eine Spam/Virus/Worm/Hoax Mail handelt?

Mailheader:
Es lohnt sich immer einen Blick in den Header und auf den Absender zu werfen

Received: from [201.83.52.129] (helo=c9533481.virtua.com.br)
Herbert Klein 'derrick@nilsonreport.com'

Diese Mail wurde über einen brasilianischen SMTP-Server versendet, sehr verdächtig….

Herrn Klein gibt es tatsächlich, er ist, wie es auch richtig in der Mail formuliert ist, Kriminaldirektor beim LKA Rheinland-Pfalz und Chefredakteur des VDP – Verlag Deutsche Polizeiliteratur und erscheint z.B. bei einem Artikel bei der kriminalpolizei.de.
Er wird aber sicher eine andere Mail-Adresse haben und bei einer offiziellen Mail eine andere benutzen als Derrick@nilsonreport.com oder Hcklein51@aol.com. – Das dachte ich, stimmt aber nicht. Siehe hier!

Mailtext:
Wie bei Mails dieser Art üblich, keine direkte Ansprache, die IP-Adresse ist auch interessant. Ein Blick mit whois sagt uns folgendes:

route:        81.182.0.0/15
descr:        Hungarian Telecom
descr:        Public Internet Access Provider
descr:        Budapest, Hungary
descr:        HU
origin:       AS5483
mnt-by:       AS5483-MNT
source:       RIPE # Filtered

Wer bis hier ein schlechtes Gewissen hatte, kann sich ab jetzt entspannt zurücklehnen. Access Provider in Ungarn? OhKay!

Dann natürlich noch das zitierte Gesetz aus dem Strafgesetzbuch: §249 behandelt Raub und räuberischen Diebstahl, was IMHO nicht wirklich etwas mit Tauschbörsen zu tun hat.

Und natürlich noch der Anhang:
Dabei handelt es sich, wie schon erwähnt, um eine zip-Datei mit der Nummer aus dem Betreff, bei mir Nr-[89772619].zip in dieses Archiv befindet sich eine Ausführbare Datei (exe), aber mit pdf-Icon. Wer immer noch mit ausgeblendeten Dateierweiterungen unterwegs ist, hat hier schon verloren! In den Eigenschaften der Datei steht “Zulu.exe” und die Sprache ist ….. russisch.

Aber wie gesagt, derer Mails wird es ab jetzt viele geben. Und das mit dem Bundestrojaner scheint ja, oh Wunder, auch nicht richtig zu funktionieren.

Ach ja, ich bin mir ziemlich sicher, dass die Damen und Herren Strafverfolger einen potentiell verdächtigen nicht vorwarnen und ihm die Gelegenheit geben die Platten aufzuräumen, sondern im Morgengrauen vor der Tür stünden und sämtliches IT- Equipment beschlagnahmten.

60 Kommentare

Schreibe einen Kommentar →

  1. Tim
    11.05.2007 um 23:05 Uhr

    Holla, ich bin sehr dankbar für diesen Beitrag. Habe eben eine ähnliche Mail erhalten, sah für mich tatsächlich zuerst irgendwie echt aus, hatte schon richtig Angst. Gut, dass ich nach Herbert Klein gegoogelt habe und hier auf den Beitrag gestoßen bin :-) Danke nochmal, Blafasel

  2. Günter
    11.05.2007 um 23:19 Uhr

    Habe selbige Email bekommen, jedoch ohne einen Anhang.

    Aber Google sei Dank, wurde diese und eine andere Seite sehr schnell gefunden. Wäre der Anhang noch dabei gewesen wärs ja eh sonnenklar gewesen.

    Schade, dass man die Versender solcher Emails nicht mal zwischen die Hände (Fäuste) bekommt, würd denen sicher nicht schaden.

  3. Ersin
    12.05.2007 um 17:16 Uhr

    hi@all,

    ich habe heute auch so eine e-Mail bekommen und habe aus Dummheit und Leichtsinnigkeit die exe-datei die im Anhang war,geöffnet. Jetzt zahlt sich meine Leichtsinnigkeit dadurch aus,dass ich probleme mit meiner Fritzbox habe(ich habe auch die treiber neu installiert aber die probleme herschen immer noch vor). Ich bitte um Hilfe und bedanke mich recht herzlich im voraus

    mit fruendlichen Grüßen Ersin

  4. Pirat_der_Karibik
    13.05.2007 um 11:26 Uhr

    Hallo,
    bei mir war als Anhang eine SCR (Script-Datei), die sich aber nur öffnen und nicht abspeichern lässt, also in allerhöchstem Maß verdächtig!!!

    Ausserdem war der Text etwas verbessert, die Leute arbeiten also noch daran.

    Ich nehme an, diese Ganoven wollen dadurch Bankkonten von den Empfängern ausspionieren, denn niemand hat etwas davon, nur Viren zu verbreiten. Bei mir ist die Mail gerade zufällig nach einem intensiven Besuch von Torrent-, Fileshare- und Downloadsites angekommen :-( (

  5. maxter
    14.05.2007 um 9:44 Uhr

    puh…das ding hat mir trotzdem ordentlich angst eingejagt :-P bin froh dass ihr mehr ahnung von solchem zeug habt als ich^^ passend zu der mail ist ein polizeiauto mit martinshorn an meinem haus vorbeigefahren…ich bin fast an einem herzkasper gestorben:) danke jetzt bin ich beruhigt

  6. Mohadib
    16.05.2007 um 22:00 Uhr

    Hab heute ne Mail erhalten, aber von einen Herrn Herbert Klein vom LKA Hannover was sehr interessant ist, da die Mail keinen Anhang enthielt und mein Antivirus-Programm sofort Alarm schlug. Danke für die Infos, kann jetzt in Ruhe meinen Rechner neu installieren, danke Microsoft

  7. Irenik
    20.05.2007 um 9:14 Uhr

    guten morgen,
    ja die mail ist schon sehr schön, am besten ist, das die ip nicht richtig ist! einfach mal unter http://www.wieistmeineip.de gehen und dann sieht man seine eigene ip! supi ist natürlich auch eine zip datei im anhang ( muß man immer öffnen und wenns geht natürlich auch installieren :) )
    eine frage hätte ich noch wie kann man sehen von wem die mail gekommen ist ?!

    es lohnt sich immer einen Blick in den Header und auf den Absender zu werfen

    Received: from [201.83.52.129] (helo=c9533481.virtua.com.br)
    Herbert Klein ‘derrick@nilsonreport.com’

    bei mir kann ich nur die email von herrn klein sehen !
    mit freundlichem gruß

  8. Bin Laden
    29.05.2007 um 22:01 Uhr

    Image des Systems Herstellen und damit Online gehen, dadurch wird der Bundestrojaner zwecklos

  9. Skip
    20.07.2007 um 1:03 Uhr

    da ihr das im mai bekommen hab wundere ich mich aber, habe gerade son teil im postfach gehabt, werden die dinger denn immer noch versendet oder wie schaut das aus ?

Leave a Reply

Pflichtfelder sind mit * markiert.

*


Get Adobe Flash playerPlugin by wpburn.com wordpress themes