Daily Archives: 21. Januar 2013

Sie sind wieder da.. Lufthansa und Vodaphone

Posted on by

Lange Zeit war es still geworden um die Trojanerversender der Lufthansa, aber heute scheint das Eis gebrochen worden zu sein. Die Spamversender um die Vodaphone Trojaner, vermutlich die gleichen wie die der Lufthansa .

Die Lufthansaemail glänzt natürlich wieder durch einfache Fehlermerkmale, z.B. Köln als Koln geschrieben. Da die Mail sehr gut geschrieben ist, fällt das am Ende möglicherweise nicht mehr auf. Dafür gibt es eindeutige Hinweise in den Received Headern der EMail:

Received: from 63-155-89-173.chyn.qwest.net ([63.155.89.173])
	by smtp.xzgame.in with esmtp (Exim 4.76)
	(envelope-from <banistersx86@lufthansa.com>)
	id YYYYYYYYYYYYYYYYYYYYY
	for XXXXXXXXXXXXXXXXXXXX; Mon, 21 Jan 2013 17:26:22 +0100
Received: from mail.pcsoffice02.de (mail.pcsoffice02.de [213.61.9.130]) by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis) id 0MSsSL-1ToYkn2F0v-00SadK for <XXXXXXXXXXXXXXXXXXXX>; Mon, 21 Jan 2013 09:25:59 -0700
Received: from booking-lufthansa.com ([213.61.9.129]) (authenticated user online@booking-lufthansa.com) by mail.pcsoffice02.de for <XXXXXXXXXXXXXXXXXXXX>; Mon, 21 Jan 2013 09:25:59 -0700
Message-ID: <609259-7381797500170091755@booking-lufthansa.com>

Die beiden unteren „Received:“ Zeilen sind ohne Zeilenümbrüche geschrieben worden. Dies ist an sich ok, aber so ungewöhnlich, daß es ins Auge sticht. Nun ist dort die echte Emailadresse als Ziel eingetragen, hier durch XXXXXXXX ersetzt, was auf den ersten Blick für einen echten Header spräche, wenn da nicht mx.kundenserver.de drin stehen würde. D.b. der Header ist aus einer Email kopiert worden, der mit 1und1 Servern zu tun hatte. Nur leider, sind wir nicht bei 1und1 mit unserem Mailkonto, sondern bei jemand anderem . Daher paßt der Received Header nicht zum echten Header, dem einzig wahren Header:

Die Mail kam also definitiv direkt von : 63-155-89-173.chyn.qwest.net ([63.155.89.173])

Dasselbe Muster zeigt sich bei der Vodaphone Spam:

Received: from [85.119.40.167]
by smtp.xzgame.in with esmtp (Exim 4.76)
(envelope-from )
id YYYYYYYYYYYYYYYYYYYYY
for XXXXXXXXXXXXXXXXXXXX; Mon, 21 Jan 2013 10:31:52 +0100
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by
VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 21 Jan 2013 10:31:51 +0100
From:

Auch hier wieder der ungewöhnlich formatierte Received Header. Nur haben die IP Adressen so rein gar nichts mit der Spammer-IP „85.119.40.167“ zu tun. Ein eindeutiges Zeichen für eine Fläschung.

Dazu spricht natürlich auch der Spamreport in der Email eine deutliche Sprache:

Pkte Regelname Beschreibung
—- ———————- ————————————————–
0.8 RCVD_IN_SORBS_WEB RBL: SORBS: Senderechner ist ein ungesicherter
WWW-Server
[85.119.40.167 listed in dnsbl.sorbs.net]
1.4 RCVD_IN_BRBL_LASTEXT RBL: RCVD_IN_BRBL_LASTEXT
[85.119.40.167 listed in bb.barracudacentral.org]
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML
0.8 BAYES_50 BODY: Spamwahrscheinlichkeit nach Bayes-Test: 40-60%
[score: 0.5061]

Die ersten beiden Regeln melden die IP Adresse des Absenders als bekannte Spamquelle. Wenn es noch einen Zweifel gegeben hätte, wäre er damit ausgeräumt gewesen.