Nach der 50 EUR Media Markt Geschenkkarte (wir berichteten), haben sich die Internetbetrueger was neues ueber FAcebook ueberlegt, neu ? nun nicht wirklich neu aber man ist nun nach Saturn ueber gegangen und verspricht nun : “Saturn Gutscheine” Natuerlich zum Saturn Jubilaeum 😉
So sehen z.b. die Postings aus :
Verwiesen wird auf die Domain “spurenvid.info” Interessant daran ist das auf der IP Des Servers wo der die Seite liegt : “95.0.239.146” noch einige doch von frueher Sehr bekannte Seiten liegen wie z.b. :
badfootballfan.net
badfootballfan.org
bohlen.top-like-news.info
changefb.info
dsds.funtube.ws
everybody.top-like-news.info
funtube.ws
germany4.makingamovie.info
gewinner.top-like-news.info
ilusion.top-like-news.info
krank.top-like-news.info
login.faseb0ok.com
makingamovie.info
mm-gutscheine.info
monster-energy.top-like-news.info
nobfb.us
pietro-news.ilike-vids.info
rb-cola.com
sarah.top-like-news.info
spam.tryitfb.me
spurenvid.info
terrornews-network.info
thevideo-like.info
top-like-news.info
videolike.info
worldoffunvideo.info
www.butt-hot-and-funny.com
www.dance-fail.info
www.faicsebook.com
www.fasebo0k.com
www.nobfb.us
www.yuotube.info
Interessant ist auch das das Portal funtube.ws mit dort auf dem Server liegt, an einem zufall glauben wir jetzt mal nicht, zu mal man dort auch immer egal fuer welches eigentlich kostenfreies Video was von youtube verlinkt ist erst ein “gefaellt mir” klick bedarf.
Der Betreiber von der Seite ist ein Gewisser Thorsten Colle aus 84503 Altötting, es darf auch bezweifelt werden ob er das ok von den Video Machern hat, deren Videos einfach mal fremd anzubieten, und es darf auch bezweifelt werden das die Firmen die hier per Gewinnspielfalle genutzt werden damit einverstanden sind.
Interessant waere nun in wie weit Herr Colle, den nun auch fuer die anderen Webseiten verantwortlich ist die auf dem Selben Server verweilen und sich mit solchen Internetbetruegereien bereichern.
So sieht die Seite spurenvid.info aus, man sollte dort einen grossen Bogen machen und schnellstmoeglich den Browser schliessen bzw. den Tab :
Nun war einige Wochen eine Ruhe aber nun dürfte der “JPG.scr” Virus wieder seinen Weg zu Facebook gefunden haben. Der neuerliche Virus verbreitet sich wieder sehr rasant über den Facebook-Chat und kann dadurch auch in den “persönlichen Nachrichten” auftauchen. Die URL, über welche der Viurslink versendet wird lautet “studiomagos.ru/Image/images…”. Der Virus geht folgendermaßen vor:” Freunde erhalten einen Link mit der Dateiendung “JPG” über den Facebook-Chat bzw. über die persönlichen Nachrichten.
Sobald nun ein Nutzer diesen Link klickt wird dieser aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren.
Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet und so verbreitet sich der Virus / Trojaner sehr rasch. In diesem Artikel möchten wir Euch zeigen wie der Virus sich verbreitet, über welche URL der Virus sich einschleust, was ein Antiviren-Experte dazu sagt, wie man sich davor schützen kann und was man tun kann wenn man den Link bereits geklickt hat.
Der Link sieht in etwa so aus (beginnt aber im Moment mit der URL “studiomagos.ru/Image/images…”
hinter “/images.php?show_image305=…3798” können sich die Ziffern jedoch immer wieder ändern!
Wenn man nun den Link “versehentlich” klickt so dürfte nichts passieren aber wenn man die dahinterliegende Datei speichert und ausführt dann ist es so, dass man sich einen Trojaner eingefangen hat und dass der Link an die gesamte Freundesliste gesendet wird.
Diese Information erschein wenn man den Link folgt (kann auch ggf. anders aussehen)
Bereits Anfang November 2011 waren sehr viele Domänen betroffen, über welche der Virus versendet wurde.
An dieser Stelle möchten wir anmerken, dass die Domaininhaber, der folgenden Domänen, wahrscheinlich gar nicht wissen, dass Ihre URL dafür verwendet wird. Wir nehmen an, dass diese URL gehackt wurden und die Inhaber selbst mit der verseuchten Datei nichts zu tun haben!
Hinter den genannten Domänen wird jedoch noch eine “Unterseite” mit dem Dateinamen angegeben.
Was ist das für ein Virus bzw. was kann ich dagegen machen?
der mimikama – Antivirus Experte Christian Singhuber (avast! antivirus center) hat uns zu diesem Trojanischen Pferd folgende Information gesendet:
Der Trojaner Win32.Zbot-NPU [Trj] gehört zum weiten Kreis des Stamms Win32.Zbot. Das Ziel der meisten Angehörigen dieses Stamms ist es, sensible Internet-Daten des betroffenen Users auszulesen.
Dazu gehören u.a. auch Passwörter, besuchte zertifizierte Websites und Cookies.
Besonders die Kombination aus Passwörtern und zertifizierte Websites ist hier die große Gefahr, da hier mittels nachfolgender automatisierte Routine alle Varianten durch kombiniert werden – und so schlimmstenfalls der Zugang zu einer sensiblen Website des Users erlangt werden kann.
Um sich zu schützen gelten die bekannten Regeln:
– Ein aktuelle Antivirus Programm mit Echtzeitschutz
– Eine aktiveFirewall (am Besten 2-Wege – Datenverkehr rein/raus)
– Keine Dateien unbekannter Herkunft anklicken
– Keine Links mit zweifelhaftem Inhalt (auch von Freunden!) anklicken
Was kann ich tun, wenn ich den Link geklickt habe?
1.) Trenne deinen PC sofort von der Internetleitung, da hierbei weitere mögliche Schäden erspart bleiben.
2.) Überprüfe deinen PC umgehend mit einem Virenscanner deiner Wahl!
(Wir selbst verwenden avast! Free Antivirus und / oder Kaspersky
3.) Überprüfe deinen PC noch zusätzlich mit einem Malware-Scanner wie Malwarebytes
4.) Tätige keine Online-Banking Geschäfte (informiere auf ggf. deine Bank darüber) mehr, sende keine Infos mehr per Mail, Chat, Facebook-Nachrichten usw. solange dein System nicht Virenfrei ist.
5.) Wenn die Punkte 1., 2., 3., keinerlei Erfolg gebracht haben dann sollte man eine Neuinstallation in Betracht ziehen!
Was kann der Virus anrichten?
Der Rechner wird mit mehreren “Backdoors” infiziert! Durch diese “Backdoors” ist ein System kompromittiert und daher nicht mehr vertrauenswürdig. Sichere deine EIGENEN wichtigen Daten (keine ausführbaren Dateien wie *.exe Dateien), formatiere die Systempartition und setz Windows neu auf.
AVAST! und KASPERSKY konnten bereits im Vorfeld den Trojaner / Virus abfangen:
Schon wieder versucht jemand seine Seite mit spam und Betruegereien per Facebook zu Bewerben, diesmal verspricht man MC Donalds gutscheine, natuerlich soll man dafuer auf Gefaellt mir druecken bzw. “teilnehmen” und dieses dann an 30 Freunde weiter schicken und danach dann sehen ob man Gutscheine bekommt, der link dazu fuehrt uns aber auf die nicht unbekannte Seite videokingz.net diese auch zur fbvids.net, das Impressum auf den Beiden seiten ist fehlerhaft den es stehen dort keine angaben wie Name und Adresse des Betreibers, was hier sicherlich Abnahmefaehig ist.
Hier einmal ein Screenshot der Betrugsseite : Jeder bekommt 50 € McDonalds Gutscheine GRATIS
Eine Whois abfrage fuer die Seite videokingz.net erbrachte folgendes Ergebnis :
Owner Contact:
Sercan Yildiz
none
Waldstrasse 27
Wahlstedt, 23812, DE
Erstellt wurde die Jeder bekommt 50 € McDonalds Gutscheine GRATIS von McD0NALDS Gutscheincenter was eben so zu den Betreiber von videokingz.net und fbvids.net
gehoert, diesse hatten z.b. auch sehr gross das Miley Cyrus ohne Unterwäsche Video angepriesen mit einem “like” und “teil” Zwang natuerlich hier ohne like zwang : geil-miley-cyrus-ohne-unterwaesche
Hier heisst es Grossen Bogen um die Seite machen, bzw. noch besser melden, und dann einen Grossen Bogen darum machen 😉
Vermehrt sieht man nun neue Postings welche in etwa so lauten: “Mein Profil ist jetzt rot und nicht mehr blau” Dahinter verbirgt sich eine Seite bei welcher man zuerst “Gefällt mir” klicken muss damit man eine angebliche Lieblingsfarbe wählen kann! Dem ist aber nicht so denn dahinter verbergen sich wieder die verschiedensten Testfragen. Bei jeder einzelnen verbirgt sich aber wiederum eine Abofalle! Bitte passt vor solche dubiosen Anwendungen auf!
So sieht diese Seite aus:
Klickt man auf “Gefällt mir” wird man auf eine EXTERNE Webseite weiter geleitet welche aussieht wie Facebook – dem ist aber NICHT SO! (Auch bei der Domainwahl waren die Betrüger sehr kreativ)
Ein weiterer Klick bringt die Nutzer auf diese Seite wo Sie aufgefordert werden etwas auf Ihre eigene Pinnwand zu posten!
Nach dem “Absenden” kommen Sie zu den “üblichen” Abofallen-Test!
Wir schreiben nun bereits die dritte Woche und der Virus, mit der Dateiendung “JPG” verbreitet sich noch immer rasant über den Facebook-Chat bzw. über die Nachrichtenfunktion. Die aktuelle Domain, über welcher der Virus versendet wird lautet “http://w*w.vinamost.net” Der Virus geht folgendermaßen vor:” Freunde erhalten einen Link mit der Dateiendung “JPG” über den Facebook-Chat bzw. über die persönlichen Nachrichten. Sobald nun ein Nutzer diesen Link klickt wird dieser aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren. Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet und so verbreitet sich der Virus / Trojaner sehr rasch. In diesem Artikel möchten wir Euch zeigen wie der Virus sich verbreitet, über welche Domainen der Virus sich einschleust, was ein Antiviren-Experte dazu sagt, wie man sich davor schützen kann und was man tun kann wenn man den Link bereits geklickt hat.
Mittlerweile sind sehr viele Domainen betroffen, über welche der Virus versendet werden.
An dieser Stelle möchten wir anmerken, dass die Domaininhaber, der folgenden Domainen, wahrscheinlich gar nicht wissen, dass Ihre Domaine dafür verwendet wird. Wir nehmen an, dass diese Domainen gehackt wurden.
Wenn man nun den Link “versehentlich” klickt so dürfte nichts passieren aber wenn man die dahinterliegende Datei speichert und ausführt dann ist es so, dass man sich einen Trojaner eingefangen hat und dass der Link an die gesamte Freundesliste gesendet wird.
Diese Information erschein wenn man den Link folgt (kann auch ggf. anders aussehen)
Was ist das für ein Virus bzw. was kann ich dagegen machen?
Der Antivrus Experte Christian Singhuber sagt dazu…
der mimikama – Antivirus Experte Christian Singhuber (avast! antivirus center) hat uns zu diesem Trojanischen Pferd folgende Information gesendet:
Der Trojaner Win32.Zbot-NPU [Trj] gehört zum weiten Kreis des Stamms Win32.Zbot. Das Ziel der meisten Angehörigen dieses Stamms ist es, sensible Internet-Daten des betroffenen Users auszulesen.
Dazu gehören u.a. auch Passwörter, besuchte zertifizierte Websites und Cookies.
Besonders die Kombination aus Passwörtern und zertifizierte Websites ist hier die große Gefahr, da hier mittels nachfolgender automatisierte Routine alle Varianten durch kombiniert werden – und so schlimmstenfalls der Zugang zu einer sensiblen Website des Users erlangt werden kann.
– Eine aktive Firewall (am Besten 2-Wege – Datenverkehr rein/raus)
– Keine Dateien unbekannter Herkunft anklicken
– Keine Links mit zweifelhaftem Inhalt (auch von Freunden!) anklicken
Der Antivirus Experte, Christian Singhuber steht Euch am 2.11.2011, bei der ersten Zuerst denken-dann klicken” Veranstaltung, Rede uns Antwort wenn es um das Thema: Computervirus ohne Ende-wieso ist das Eigentlich so? geht!
Gerne laden wir Dich zu dieser Veranstaltung, welche LIVE auf Facebook stattfinden wird, ein!
Was kann ich tun, wenn ich den Link geklickt habe?
1.) Trenne deinen PC sofort von der Internetleitung.
1.) Überprüfe deinen PC umgehend mit einem Virenscanner
(Unser Tipp an dieser Stelle ist avast! Free Antivirus und / oder Kaspersky
2.) Überprüfe deinen PC noch zusätzlich mit einem Malware-Scanner wie Malwarebytes
3.) Tätige keine Online-Banking Geschäfte (informiere auf ggf. deine Bank darüber) mehr, sende keine Infos mehr per Mail, Chat, Facebook-Nachrichten usw. solange dein System nicht Virenfrei ist.
Was kann der Virus anrichten?
Der Rechner wird mit mehreren “Backdoors” infiziert! Durch diese “Backdoors” ist ein System kompromittiert und daher nicht mehr vertrauenswürdig. Sichere deine EIGENEN wichtigen Daten (keine ausführbaren Dateien wie *.exe Dateien), formatiere die Systempartition und setz Windows neu auf.
AVAST! und KASPERSKY konnten bereits im Vorfeld den Trojaner / Virus abfangen
In den letzten beiden Tagen haben wir immer wieder die Info bekommen, dass viele Nutzer immer wieder Anfragen bzgl. “Mario Kart” bekommen haben. Der Titel des Postings lautete: “Play Mario Kart on Facebook” Hinter dieser Geschichte verbirgt sich wieder einmal eine Abfofalle. Wir haben uns dieses Posting und die Seite angesehen und dürfen Euch darüber berichten! (Update: 27.10.2011) Die Domain, auf welche “Play Mario Kart on Facebook” gezeigt hat, dürfte bereits gesperrt worden sein.
So sieht das Posting aus:
Anmerkung: Der Hersteller “Nintendo” hat Facebook bis dato KEINE Lizenz vergeben und daher kann es nicht sein, dass man “Mario Kart” auf Facebook spielen kann!
Ein Klick auf den Link und man wird auf eine “nachgebaute” Facebookseite weiter geleitet
Klickt man nun auf “Play now” öffnet sich das bereits typische “Gewinnfragen-Fenster”
Wenn man nun z.B die erste Frage anklickt gelangt man zu einer Seite, auf welcher man ein iPhone 5 gewinnen kann und genau hier kann man in die Abofalle tappen!
Wie wir bereits am 11.10.2011 berichtet haben verbreitet sich sehr rasant ein Virus über den “Facebook-Chat” bzw. über die “Persönlichen Nachrichten“. Freunde erhalten einen Link mit der Dateiendung “JPG.scr” Hinter diesem Link verbirgt sich ein Virus / Trojaner welcher eine Backdoor-Funktion in sich birgt. Sobald nun ein Nutzer diesen Link klickt wird man aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren. Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet und so verbreitet sich der Virus / Trojaner sehr rasch. In diesem Artikel möchten wir Euch zeigen wie der Virus sich verbreitet, über welche Domainen der Virus sich einschleust, was ein Antiviren-Experte dazu sagt, wie man sich davor schützen kann und was man tun kann wenn man den Link bereits geklickt hat.
Alt bekannte leben laenger oder wie man da noch zu sagen sollte, auf jeden fall ist die Nutzlos Firma Paid Content GmbH ( zuvor die Firma OPM Media GmbH) des Herrn Frank Drescher auch nicht von Gestern und steigt auf kostenlose Werbung um und geht mit der Zukunft, so findet man z.b. nun die Abofallen Mitfahrzentrale-24.de und die mitwohnzentrale-24.de der aus Gammelsdorf stammender Abzock Firma bei Facebook.
Hier wird nun Versucht neue Potentielle Opfer zu finden, den ueber Facebook, kostet es ja nichts und es verbreitet sich sehr eigenstaendig, Werbung ohne das man Zahlen muss, darauf setzten wohl mittlerweile die ganze Nutzlosbranche.
Hier haben wir mal die Facebook Seite Mitfahrzentrale-24.de :
Also da bleibt einem echt die Spucke Weg, wir haben mal den Kasten fuer Fans rot markiert, ganze 4.192 dafuer dann fuer das erste Jahr 132 Euro das Abo belaeuft sich aber auf 2 Jahre
Versteckt wie gewohnt natuerlich in einem Fliesstext, wir haben den text erst einmal Rot markiert wo man es finden kann, aber leicht zu finden es es dort so auch nicht erst beim gruendlichem und langsamen lesen :
Dann findet man auch noch folgendes auf Facebook und zwar die Seite auch der Firma Paid Content GmbH ( zuvor die Firma OPM Media GmbH) des Herrn Frank Drescher die mitwohnzentrale-24.de, selbe Abzocke nur eben das es hier um Mitwohnen geht und nicht um das mitfahren, wobei der aufbau aber der selbe ist, die eintraege die man dort findet sind aber zu meist fakes und selbst von dem Herrn Geschaeftsfuehrer erstellt worden damit es nicht ganz so leer aussieht.
Hier ein Screenshot von der Seite mitwohnzentrale-24.de auf Facebook :
Diese Seite hat auch bereits schon 2.757 Fans die auf “gefaellt mir” geklickt haben und es so auch an seine Freunde beworben hat.
Die Kosten und der Fliesstext ist der selbe daher sparen wir uns hier mal den erneuten Screenshot.
Schauen wir mal wo bzw. was den so alles auf dem Server dieser Seiten liegt, und man ist nicht ganz so ueberrascht das man doch alte bekannte Webseiten aus der Abzock Szene wiederfindet :
Found 6 domains hosted on the same web server as mitfahrzentrale-24.de (46.4.81.4).
live2gether.de
mitfahrzentrale-24.de
www.drive2u.de
www.mitfahrzentrale-24.de
www.mitwohnzentrale-24.de
www.opm-media.de
Na wer hat den hier auch bekannte Webseiten die sogar noch online sind wieder gefunden ? Nun ist Facebook wohl die neue Werbeplattform fuer die Nutzlosbranche um kostenlos und effektiv die Abofallen zu Bewerben.
Hier kann man wie immer nur Warnen vor diesen Seiten dieser Abzocker und sollte bei Facebook diese Seiten als Betrug melden mit der Hoffnung das Facebook diese Seiten loescht.
Es waere toll wenn ihr diesen Artikel Teilt und an eure Freunde weiter empfehlen wuerdet um auch wirklich jeden zu Warnen, ist kein zwang niemand muss waere aber sicher auch fuer eure Freunde und bekannte von Vorteil bevor sie in die Abofalle Tappen.
Es ist echt erstaunlich wie viele Abofallen domains bzw. landingpages in kurzer Zeit sich so Ansammelt und erstellt werden von den nutzlos Anbietern.
So haben wir nun mal vom 07.10.2011 bis zum 22.10.2011 geschaut und verglichen es kamen in diesen 15 Tagen ganze 537 neue Adressen fuer Abofallen zusammen, viele davon fuehren zur Seite outlets.de der Firma IContent GmbH wo Herr Michael Burat Geschaeftsfuehrer ist.
Die Adressen bzw. Fangseiten fangen an bei Adidas Artikeln gegen ueber zu Kinderwagen, Fahrrad, Felgen bis hin zu Trachten und Kuechen.
Andere der hier neu gelisteten Domains fueren zu vorlagen-download.de der Firma Webtains GmbH wo auch Herr Burat der Geschaeftsfuehrer ist.
Hier mal alle 537 Domains, einige viele sind direkt auch schon wieder offline, da die Lebenserwartung der Seiten meist nie lange geben ist damit man nicht unbedingt aufzeigen kann in wie Weit hier Betrogen wird und keinerlei Kosten zu sehen bekommt.
Aber auch hier vertreten die Firma Online Web-Connection Ltd. ehemals United Payment Ltd. mit der Seite sexy-melli.de, also wie man sieht die Nutzlosanbieter sind nicht Weg, sondern es kommt immer wieder was, nur unter neuen Adressen, firmen, und ggf. Geschaeftsfuehrern.
Zur Zeit häufen sich auf Facebook immer wieder die Videos mit dem Titel “Schockierendes Video vom Oktoberfest” Im Moment sind es 2 verschiedene Postings welche herumschwirren. Das eine zeigt eine Hochschaubahn und das andere ein Kindergesicht. Hinter diesen Postings stecken immer wieder Fan-Seiten und beide haben enorm viel Fans da die Facebook-Nutzer immer auf “Gefällt mir” und “Teilen” klicken müssen um das Video sehen zu können! Ein Video bekommt man (wie immer) natürlich nicht zu sehen aber dafür kann man an Gewinnspielen teilnehmen und hinter diesen Gewinnspielen verbirgt sich eine Abofalle! Wie die Postings aussehen haben wir in diesem Artikel beschrieben!
So sehen die beiden Postings aus:
Nach einem Klick landet man hier:
oder hier:
Nach einem “Gefällt mir” wird man auf eine nachgebaute Facebook-Seite weiter geleitet! Man beachte jedoch die Domain (oktoberfestnewsx.info) ! Das Layout sieht zwar aus wie bei Facebook aber die Domain sagt schon alles aus!
Man muss nun 4 Schritte tätigen um das angebliche Video sehen zu können!
In beiden Fällen muss man Gewinnspiel-Fragen beantworten bzw. klicken und hier ist auch schon wieder Endstation! Man wird auf Gewinnspielseiten weitergeleitet wie z.B für das iPhone 5 oder für ein iPad2 color!
Achtung! Hinter beiden Seiten verbirgt sich eine Abofalle!
Auszug aus den externen Seiten:
Dies ist ein Abonnement; es kostet EUR 3.00/SMS. Max. 4 digitale Inhalte pro Woche. Um dich abzumelden, sende eine SMS mit dem Inhalt STOP an die 0900255366
Die Seiten und Masche erinnert hier sehr an die Firma Guerilla Mobile Berlin GmbH hier nennt sich die Firma aber GOGOGY, ggf. hier ein neuer Firmen Name den es gibt ja schliesslich die BoB Mobil GmbH, hier ist vorsicht geboten, den niemand verschenkt so etwas einfach so wie ein iphone 5 was noch nicht auf dem Markt ist.
Die Guerilla Mobile Berlin GmbH war bei facebook ja schon mehrmals auf Kunden Fang wenn man das so milde sagen kann.
Wer sich nun fragt warum das ganze ueber facebook, dem sei gesagt facebook ist Kostenlos und erreicht hunderte user mit der richtigen Meldung, und das wie bereits erwaehnt Kostenlos, und da bedarf es wohl nicht mehr die Keywort masche der Abofallen Anbieter, also macht man z.b. eine Facebook seite mit links auf seine Seiten oder eine APP und versendet irgend ein Video mit irgend welchen Kritischen oder Schocker Video, und schon verbreitet es sich durch die Neugier fast von alleine, und die Nutzlos Anbieter verdienen sich eine Goldende Nase.