12.08.09

Viren-Warnung entpuppt sich als Abzocke

Mit einer fingierten E-Mail versucht die Webseite mix-download.com seit ein paar Tagen unvorsichtige Anwender zum Download der eigentlich kostenfreien Sicherheitssoftware AntiVir zu bewegen. Zusammen mit der Registrierung wird den Opfer einen mindestens zwei Jahre laufender Abo-Vertrag zu einem Preis von acht Euro pro Monat untergeschoben.

Nach Berichten des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist derzeit ein besonders gefährlicher Virus/Trojaner im Umlauf.

Ihr PC ist ungeschützt und damit potentiell gefährdet. Bitte laden Sie unbedingt in Ihrem eigenen Interesse einen aktuellen Virenscanner herunter.


BSI distanziert sich von angeblicher Viren-Warnung per E-Mail

In den emails wird fälschlich auf das Bundesamts für Sicherheit in der Informationstechnik (BSI) hingewiesen. Dies führte dazu, dass vom BSI eine Pressemitteilung herausgegeben wurde, in der man sich von dieser dreisten Masche distanziert.

Nutzer sollten keine Anti-Virensoftware über unseriöse E-Mail-Angebote beziehen

Zur Zeit kursieren E-Mails eines angeblichen Viren-Warndienstes mit dem Betreff „Ihr PC ist ungeschützt“, in denen zum Download eines Virenscanners aufgefordert wird. In den E-Mails wird Bezug genommen auf angebliche Berichte des Bundesamts für Sicherheit in der Informationstechnik (BSI), in denen vor besonders gefährlichen Viren und Trojanern gewarnt werde. Daher solle der Empfänger seinen Virenschutz erneuern und den auf der Website angebotenen Virenscanner herunter laden. Hinter dem angegebenen Link verbirgt sich ein kostenpflichtiges Abo einer normalerweise kostenfreien Anti-Virensoftware.

Das BSI distanziert sich von dieser Meldung und weist darauf hin, dass es derzeit keine explizite Warnung vor einem besonders gefährlichen Virus seitens des BSI gibt. Grundsätzlich empfiehlt das BSI Anti-Virensoftware nur von bekannten und seriösen Anbietern zu nutzen und diese am besten direkt über die Herstellerseite herunterzuladen. Nutzer sollten keinesfalls Links folgen, die sie von unbekannten Absendern per E-Mail erhalten.

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Nach der Veröffentlichung der Pressemitteilung des BSI ist in den aktuellen Spamemails ein Hinweis auf das BSI nicht mehr vorhanden.

In verschiedenen Medien wurde mittlerweile auch über dieses per Spam beworbene Abzockprojekt berichtet, wie beispielsweise auf dem Webportal Heise.de oder dem Computermagazin Chip.de.

Konkret verbirgt sich hinter dem Link ein Angebot des Online-Dienstes Mix-Download.com der First Level Communication Ltd. Anwendern wird die kostenlose Version von Avira Antivir versprochen, wozu man vorher jedoch ein Formular ausfüllen soll. Daneben steht zwar der Hinweis "Durch Drücken des Buttons "Anmelden" entstehen Ihnen Kosten von 96 Euro inkl. Mehrwertsteuer pro Jahr (12 Monate zu je 8 Euro). Vertragslaufzeit 2 Jahre.", allerdings ist der nicht nur aufgrund der Graufärbung leicht zu übersehen.

Quelle und vollständiger Beitrag: heise.de

Anwender, die dem vermeintlich rettenden Link folgen, landen auf dem Angebot der Webseite mix-download.com. Vor dem Download müssen Sie nicht nur die Allgemeinen Geschäftsbedingungen, sondern auch gleich Ihr Widerrufsrecht abhaken.

Eine whois-Abfrage der besagten Adresse fördert als Betreiber einen Herrn Heiko Fenske von der NOM New Online Media Ltd. in Großbritannien zu Tage. Die Firma betreibt unter anderem die ebenfalls berüchtigte Abzockseite Online-Fahrpruefung.com.

Quelle und vollständiger Beitrag: Chip.de

Vor ein paar Tagen sah das whois der Domain mix-download.com noch wie folgt aus:

DOMAIN: MIX-DOWNLOAD.COM
  
RSP: NOM New Online Media Ltd.
URL: www.domreg4partners.com
 
owner-contact: P-HSF170
owner-organization: First Level Communication Ltd.
owner-title: Mr
owner-fname: Heiko
owner-lname: Fenske 

Wahrscheinlich waren die Verbindungen untereinander zu offensichtlich, denn inzwischen ist der Name Heiko Fenske als Domaininhaber aus dem whois von mix-download.com verschwunden.

DOMAIN: MIX-DOWNLOAD.COM
  
RSP: NOM New Online Media Ltd.
URL: www.domreg4partners.com
  
owner-contact: P-HQS689
owner-organization: First Level Communication Ltd.
owner-title: Mr
owner-fname: Heinz
owner-lname: Soerensen

Die Firma First Level Communication Ltd. findet man zwar im britischen Handelsregister unter der Company-ID 06490995, aber keiner der in diesem Bericht erwähnten Herren (Heiko Fenske von der NOM New Online Media Ltd. Steven Sator, oder Heinz Soerensen) sind als Director der First Level Communication Ltd. im Handelsregister eingetragen. verantwortlich

Für diese dreiste Abzockmasche wurden auch schon eine Menge sogenannter Landingpages registriert. Webseiten also, die zum eigentlichen Ziel weiterleiten und somit nur eine Funktion als Fängerdomain haben.

  • virenwarnung-sofort.info
  • virenschutz-runterladen.info
  • virenschutz-sofort.info
  • virenschutzdownloaden.info
  • virenschutz-downloaden.info
  • virenschutz-download.info
  • sicher-loaden.info

Die Domains leiten dann weiter zu

  • antivir.lad-runter.org

Die Whois-Daten der Domains sind leider nicht sehr aufschlussreich. Ob es sich um korrekte oder gefakte Angaben handelt, lässt sich nicht eindeutig bestimmen. Siehe das Beispiel virenschutzdownloaden.info.

Domain Name:VIRENSCHUTZDOWNLOADEN.INFO
Created On:22-Jul-2009 14:37:53 UTC
Last Updated On:03-Aug-2009 12:25:34 UTC
Expiration Date:22-Jul-2010 14:37:53 UTC
Sponsoring Registrar:Key-Systems GmbH (R124-LRMS)
Status:TRANSFER PROHIBITED
Registrant ID:P-4678470
Registrant Name:Steven Sator
Registrant Organization:HD Communications S.A., c/o Web24 Ltd.
Registrant Street1:Omega 4 No. 116, 6 Roach Road
Registrant Street2:
Registrant Street3:
Registrant City:London

Weder eine Firma Web24 Ltd. noch ein Steven Sator sind im zuständigen Handelsregister zu finden. Wer dahinter steckt kann aber aus dem DNS Record der Domain abgeleitet werden.

www.virenschutzdownloaden.info IN A 91.199.51.41 86400s (1.00:00:00)
virenschutzdownloaden.info IN SOA
server: dns1.tdns.to
email: hostmaster.tdns.to
serial: 2009080703
refresh: 28800
retry: 7200
expire: 604800
minimum ttl: 86400
86400s (1.00:00:00)
virenschutzdownloaden.info IN A 91.199.51.41 86400s (1.00:00:00)
41.51.199.91.in-addr.arpa IN PTR host41.dhms-domainmanagement.net 38400s (10:40:00)

Die Domain dhms-domainmanagement.net gehört zu der Firma DHMS Domain and Management Service Ltd. Über diese Firma findet man in Verbindung mit den Begriffen Spam oder Abzocke eine Menge Treffer im Internet.

Weitere Abzockfallen dieser Bande sind:

  • Proben-jetzt.info
  • Proben-sofort.info
  • Probensofort.info
  • Routenplaner1.com
  • Routenplaner1.net
  • Routenplaner1.org

Vorsicht ist auch bei den folgenden Webseiten geboten, die ebenfalls auf dem gleichen Nameserver zu erreichen sind:

  • lad-runter.org
  • intercombined.co.uk
  • routenplaner1.com
  • altanusprivatemedia.com
  • mix-download.com
  • bestadmarketing.com
  • fix-downloaden.com
  • alpeninvestor.com
  • qwertz01.info
  • virenschutz-download.info
  • angel-dir-geld.info
  • profit-haben.info
  • sicher-loaden.info
  • virenschutz-downloaden.info
  • iphone-holen.info
  • kohle-nehmen.info
  • kapital-bekommen.info
  • profit-bekommen.info
  • moneten-abraeumen.info
  • moneten-scheffeln.info
  • geld-angeln.info
  • monetensofort.info
  • apm001.net
  • nomadminpanel.net
  • abcashen-sofort.eu