Home // So nicht // Mail vom Rechtsanwalt E. Rüegsegger aus Bern

Mail vom Rechtsanwalt E. Rüegsegger aus Bern

image_pdfimage_print

Heute hatte ich Post der besonderen Art in meinem elektronischen Briefkasten. Ein gewisser Anwalt namens Hans E. Rüegsegger aus Bern, will anscheinend Geld von mir. Geld in Euro, nicht in Franken.

Warum er das Geld möchte? Nun, angeblich hätte ich am 29.07.2006 um 14:33 Uhr auf der Internetseite P2P-heute.com mich für irgendeinen dubiosen Peer2Peer Download Dienst angemeldet.

Zum Beweis dafür ist auch gleich meine IP Adresse, mit welcher ich damals Online war angegeben.

217.872.373.74

Als ich diese gesehen habe, stellten sich mir folgende Fragen.

  • Will da ein Anwalt Geld von Ahnungslosen Mitschweizern abzocken?
  • Oder hat da jemand einen Racheakt gegen Herrn Rüegsegger geplant?
  • Oder ist Herr Rüegsegger Opfer einer willkürlich gewählten Anschrift für ein Virenverseuchtes Mail geworden?

Nach einer kurzen Analyse war klar, dass Rechtsanwalt Rüegsegger nichts weiter als ein willkürlich gewähltes Opfer von rumänischen Virenschreibern geworden ist.

Aber der Reihe nach.

Wer sich fragt, was denn nun an der IP Adresse so komisch war, dem sei folgendes gesagt. Eine IP Adresse im IPv4 Format (aaa.bbb.ccc.ddd) besteht aus 4 Okttets. Ein Oktett bezeichnet eine Gruppe, die aus acht Teilen besteht. Da wir nun also vier Achtergruppen haben, besitzt eine Ipadresse somit 32 Positionen. Diese 32 Positionen wiederum können jeweils aus einer Null oder einer Eins bestehen.

10000010 01011110 01111010 11000011 wäre nun so eine Adresse. Da die Mehrheit der Menschen nur schon beim Merken von viel kürzeren Telefonnummern mühe haben, wird statt der binären Notation die mit Punkten getrennte Dezimalschreibweise verwendet.

Dabei wird jedes Oktet in eine Zahl umgewandelt. Aus 10000010 wird somit 130, aus 01011110 wird 94, aus 01111010 wird 122 und aus 11000011 wird 195. Somit entspricht die Binäre Schreibweise

10000010 01011110 01111010 11000011
der Adresse 130.94.122.195.

Warum ich das so genau erkläre? Nun, weil die höchst möglich darstellbare Zahl in einem Oktett 11111111 ist. Dies entspricht der Zahl 255 (2^8 ergibt 256. Da Null ebenfalls eine Zahl ist können mit einem Oktett 255 Zahlen sowie die Null (=256’te Zahl) dargestellt werden).

Das wiederum beweist, das eine IP Adresse wie 217.872.373.74 schlicht und ergreifend nicht möglich ist.

Alleine diese Tatsache würde eigentlich schon ausreichen um das Mail in hohem Bogen zu entsorgen. Aber ich wollte mehr Beweise 😉 Also habe ich den Text einmal etwas genauer gelesen bis mir folgende Passage auffiel:

Wir möchten in diesem Zusammenhang auf die bereits ergangenen Urteile verweisen,
welche Sie auf der Internetseite www.ruegsegger-hans.ch einsehen können.

Aha… soso… Nun, wenn man die angegebene Webseite besucht, dann prangt auf der Startseite in grossen Lettern:

Achtung: Wenn Sie kürzlich Mails mit meinem Absender und einer Zahlungsaufforderung erhalten haben,dann telefonieren Sie mir bitte nicht und schicken Sie mir auch keine Faxmitteilung!. Diese Mails, die Sie zur Zahlung eines Betrags auffordern, sind nicht von mir verschickt worden. Sie haben mit meiner Kanzlei nicht das Geringste zu tun!

Bitte haben Sie Verständnis dafür, dass ich Ihre Anfragen per Telefon, Mail und Fax, die bisher eingetroffen sind, nicht mehr beantworten kann. Die Menge ist nicht zu bewältigen.

Zu diesem Zeitpunkt war mir klar, dass nicht der Rechtsanwalt der Täter sondern viel eher das Opfer geworden ist. Aber von wem? Etwa ein Racheakt eines ehemaligen Klienten oder verurteilten? Nein. Viel eher ist Herr Rüegsegger Opfer von Rumänischen Virenschreibern geworden, welche im Netz auf der Suche nach einem Anwalt willkürlich eben diesen gewählt haben.

Hinweise darauf sind das Attachment aber auch der Ursprung der Mail. Eine kurze Analyse der ZIP-Datei hat gezeigt, dass sich darin eine als PDF getarnte ausführbare Datei befindet. Die Datei selber ist mit dem Trojaner TR/Dldr.iBill.AW.2 infiziert. Was dieser genau macht, konnte ich bisher nicht herausfinden. Aber am wahrscheinlichsten ist, dass dieser einen Mailserver aktiviert, welcher dann mit auf dem System gefundenen Adressen den Virus weiter verbreitet.

Die Mail selber ist von irgend einem SMTP Server aus Rumänien abgeschickt worden.

Received: from unknown (HELO ruegsegger-hans.ch) [89.31.89.20]
by mx0.gmx.net (mx031) with SMTP; 02 Jul 2007 20:09:45 +0200

Ein whois auf die Fett gedruckte IP Adresse ergibt:

inetnum: 89.41.16.0 – 89.41.23.255
netname: SC-OMEGA-LINK-SRL
descr: SC Omega Link SRL
descr: Peana, 3 R16, 1, 11
descr: Cluj Cluj
country: ro
admin-c: BS2881-RIPE
tech-c: BS2881-RIPE
status: ASSIGNED PA
remarks: Registered trough http://www.jump.ro/ip.html
mnt-by: RO-MNT
mnt-lower: RO-MNT
mnt-routes: OMEGALINK-MNT
changed: hostmaster@jump.ro 20070213
source: RIPE

person: BOGDAN STEFAN
address: SC Omega Link SRL
address: Peana, 3 R16, 1, 11
address: Cluj Cluj
phone: +40-723-205629
e-mail: stefan.bogdan@gmx.net
nic-hdl: BS2881-RIPE
notify: stefan.bogdan@gmx.net
mnt-by: OMEGALINK-MNT
changed: stefan.bogdan@gmx.net 20060111
source: RIPE

Demnach ist die zuständige Person für diesen IP Bereich ein gewisser Stefan Bogdan. Die Wahrscheinlichkeit, dass er der Ersteller des Viruses ist, ist gering. Viel eher wird es wohl so sein, dass er ebenfalls Opfer dieses Trojaners geworden ist. Wenn man nun weiss, dass besonders in Osteuropäischen Ländern viele Virenschreiber versuchen mit sogenannten Botnets und dergleichen Ihr Geld zu verdienen, dann bleibt nur der Schluss übrig, dass dieser Mist von dort drüben kommen muss.

Posted in So nicht, Tipps

10 Comments

  • Haben die Schmidtlein Brüder endlich einen Anwalt in der Schweiz gefunden? Die Viren werden scheinbar von denen in Umlauf gebracht. Wir haben da schon einiges hin und her geschrieben. Scheinbar ist heute auch ein bericht in der Berner Zeitung.

  • Jetzt wäre noch interessant zu wissen, wem wohl dieses Bankkonto bei der CS gehört…

  • Der Beobachter weiss es. Einer gewissen Firma Delticon.

    Das Bankkonto hingegen gehört gar nicht Rüegsegger, sondern der deutschen Firma Delticom, welche übers Internet Autoreifen vertreibt. Delticom-Sprecherin Susanne Kindor erklärte gegenüber dem Beobachter, ihre Firma habe keinerlei Kontakte in diesem Zusammenhang, weder zu Anwalt Rüegsegger noch zu den Gebrüdern Schmidtlein oder zu Rechtsanwalt Tank. Die Bank (die Credit Suisse) wurde inzwischen über den Missbrauch der Kontonummer informiert. Laut Rüegsegger gab es bereits eine erste Einzahlung; das Geld wird zurücküberwiesen.

  • Meine Mutter hat dass gleichen mail gekriegt! Ich habe es auch gelesen und muss sagen dass es wirklich lang ist!!!
    Konnen Sie vorstellen wie man reagiert wenn Deutsch nicht unsere Muttersprache ist? Zum Glück, hat uns jemand alles richtig übersetzt!!!!
    Es ist unglaublisch!!!!

  • Hallo Leute

    Vielleicht wäre es noch interessant, ob der Virus von aktuellen Programmen erkannt wird…
    Hab das Mail geöffnet, Symantec hat aber gleich reklamiert…

    Sonst noch jemand Erfahrung damit?

  • AntiVir hat es auch erkannt!

  • ich bin auch durch diese mail betroffen worden!
    ich war sicher das den Rechtsanwalt aus Bern eine Opfer war.
    z.B. habe ich sofort die IP hier kontrolliert http://www.whatsmyip.org/
    Die Rechtsanwälte werden wegen Bankgeheimnis, werden sicher nicht so einfach Name + Konto Angabene per e-mail mitteilen.
    Da ich Tessiner bin, aber 8 Jahre lang in Bern gewohnt habe, habe ich zum Glück verstanden um was handelte sich, habe ich sofort die Adresse der Rechtsanwalt in Internet geprüft und die web Seite sofort besucht.
    Zu viele Sache stimmten nicht überein.
    Beim Delticom, habe ich auch Reifen gekauft und per zufall habe ich die beide K.ti Angaben des Delticom und der erhaltene mail des Rechtsanwalt selber vergliechen => die waren änhlich!!

  • Hallo! Es geht weiter mit diesen Rechnungsemails vom Anwalt aus Bern. Hatte soeben ein Neues. Der Rechnungsbetrag ist jetzt sogar in Schweizer Franken angegeben. Das Datum zum bezahlen war aber schon vorbei, irgendwann im Juli………..
    Hoffe, dass das ganze bald aufhört, oder was kommt wohl als nächstes…..
    Liebe Grüsse an alle, die dieses lesen und seid vorsichtig mit Euren Emails!

  • Stimmt Christina.

    Und diesmal wird aus Serbien gesendet…

    organisation: ORG-PSOd1-RIPE
    org-name: PCS – SezamPro On-Line d.o.o.
    org-type: LIR
    address: Lamartinova 21
    address: 11000
    address: Beograd
    address: Serbia

  • Hallo
    wollte mich als erstes für euren blog bedanken…habe alle infos gefunden, die mich in den letzten tagen „beschäftigt“ haben. gestern ist es bei mir mit der tel.-nr. 044 824 71 11 losgegangen.
    vor 2 wochen habe habe ich ein mail einer deutschen firma erhalte. etwa der gleiche text…dass ich über ihrer homepage eine software runtergeladen habe und dass sie als beweis meine ip-adresse haben. ich soll ihnen die vertraglich vereinbarten 96 euro überweisen.
    habe ein bisschen gegooglet und in x foren berichte dazu gefunden. die antwort war immer die gleiche…diese firma ist extrem hartnäckig, wenn man antwortet (also ja nicht antworten). und falls es doch getan hat und sie auf „ihr“ geld bestehen, mit einer anzeige drohen. ich kann mich leider an dem namen der firma nicht mehr erinnern, aber falls sie sich melden, werde ich das hier hinzufügen.
    ps.: der inhaber dieser ist bekannt für seine scheinfirmen, die nach einigen monaten bankrot gehen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.