Gestern noch Lufthansa, heute schon Condor..

Gar nicht mal so schlecht. Wenn da nicht die falschen Umlaute wären und der Umstand, daß ich grade gar nicht mit Condor fliegen wollte, man könnte versucht sein die EMail zu öffnen. Aber so ? Wie üblich, ab in die Tonne damit.

Einen kleinen Lapsus gab es natürlich: „P�nktlichfliegen: “ also selbst wenn das richtig kodiert gewesen wäre, hätte es „pünktlich Fliegen“ oder am besten gleich „Rechtzeitig am Gate sein:“ lauten sollen.

Lieber Passagier,

im Anhang dieser Mail finden Sie in Form eines PDF Dokumentes, die von Ihnen angeforderte(n) Bordkarte(n). Bitte drucken Sie Ihre Bordkarte(n) im DIN A4 Format aus, Sie ben�tigen Ihre Bordkarte(n) bei den Sicherheitskontrollen, am Abflugsteig (Gate) bzw. wenn Sie mit Gep�ck reisen bereits am Baggage Drop-off.

P�nktlichfliegen: Finden Sie sich sp�testens 45 Minuten vor der geplanten Abflugzeit am Abflugsteig (Gate) ein! Planen Sie unbedingt ausreichend Zeit f�r Pass- und Sicherheitskontrollen ein!

Zur Darstellung von PDF-Dateien benoetigen Sie den Adobe Reader. Sollten Sie den Adobe Reader noch nicht auf Ihrem Computer installiert haben, koennen Sie diesen unter http://get.adobe.com/de/reader kostenlos herunterladen und installieren.

Condor w�nscht Ihnen einen angenehmen Flug.

Diese E-Mail wurde Ihnen von Condor Flugdienst GmbH zugestellt. ... {gekürzt}... 

Gestern haben wir gelernt, daß ZIP Archive genutzt werden, um die Antispam und Antivirenprogramme auszutricksen. Im Gegensatz zu gestern, wo ein Doppelendungfilename benutzt wurde und dieser von den Antivirenprogrammen bereits als Viruserkannt wird, handelt es sich bei der Condoremail um eine reine ZIP Datei:

Content-Type: application/zip; name="BoardingPasses_61539376_373467_01 NEC 38813277 ACE 03.zip"
Content-Transfer-Encoding: base64

Natürlich haben wir uns dieses Zip näher angesehen. Herausgefallen wäre das File „BoardingPasses_61539376_373467_01 NEC 38813277 ACE 03.pdf.exe“ . Hier hätten wir wieder dieses typische Muster mit der doppelten Dateiendung „.pdf.exe“. Als erfahrener Leser dieses Blogs, würden Sie natürlich nicht mehr auf dieses Konstrukt hereinfallen, oder? 😉

Zu allem Überfluß wird der eigentliche Virus derzeit nur von wenigen Antivirenprogrammen erkannt, praktisch gar nicht.

CLAMAV erkennt immerhin das Archiv als verdächtig: Suspect.DoubleExtension-zippwd-15 FOUND