Category Archives: Allgemein

Endlich ist er auch bei mir … der neue Virus

Posted on by

Er wollte einfach nicht kommen, aber jetzt, nach Wochen des Wartens ist er endlich da. Meine Mutter hat mir gestern schon stolz erzählt, wie Sie diesen Virus bekommen hat und er ihr merkwürdig vorkam. Da wurde ich schon neidisch, daß mein Postfach den Virus noch nicht hatte. Aber jetzt, ist er da, der T-MOBILE MMS Virus 2013 .. \o/

Allerdings sieht die Email doch etwas merkwürdig aus, so ganz ohne Inhalt. Nur die Telefonnummer und das T-Mobile Logo sind zu sehen. Mit einem Blick in die rohe Email wird schnell klar wieso: Es steht wirklich nichts drin 🙂

Der Virus ist natürlich drin, sonst wärs ja witzlos gewesen:

Content-Type: application/zip; name="{SYBOL}_foto.zip"

Und hier sieht man am Namen schon, daß das Spamscript von minderer Qualität, um nicht zu sagen, echt beschissen, ist. Es wurden die Platzhalter nicht ersetzt, die den Textteil enthalten sollen, damit man das in mehreren Sprachen schicken kann.

Ich als Auftraggeber dieser Aktion würde mein Geld zurück prügeln lassen. Naja, wie immer gilt, wären die Kriminellen wirklich clever, würde man es ja nicht sofort merken 🙂

Wesentlich besser haben es die Jungs mit Ihrem „Your BlackBerry ID has been created“ Spam getroffen. Da wurde alles, fast alles, richtig gemacht.

Ich glaube zwar nicht, daß RIM über eine Domain aus TUVALU ( kleine Südseeinsel ) sendet „<terrornju98@digiturk.tv>“ und auch nicht aus „host178-13-static.96-5-b.business.telecomitalia.it ([5.96.13.178])“ Italien, aber wem fällt das schon auf ? Die meisten schauen sich die Mailheader ja nicht an.

Eine interessante Frage stellt sich mir allerdings ( rein symbolisch natürlich ), lohnt sich das Blackberryvolk eigentlich als Zielgruppe, wo RIM doch fast vom Markt verschwunden ist ?

 

Die Strompreisbremse

Posted on by

Laut NTV Bericht, hat Bundesumweltminister Altmaiers in seinem neuesten Erguß zum EEG ( Erneuerbare Energien Gesetz ) den „nett klingenden Begriff Strompreisbremse“ erfunden, wenn es nach SPD-Umweltpolitiker Ulrich Kelber geht.

Vielleicht hätte er statt Strompreisbremse lieber Strompreisbunker benutzt, denn Preise gehören zu der Gruppe der Kosten und die, wie wir ja alle wissen, neigen besonders in Politikprojekten zur Explosion. Ein Munitionsbunker ist also für Strompreise der beste Aufbewahrungsort und damit strenggenommen Hoheitsgebiet der Bundeswehr. Womit im übrigen der innere Einsatz der Bundeswehr wieder einen sinnvollen Zweck erfüllen würde.

Quelle: http://www.n-tv.de/politik/Merkel-saegt-an-Oekostromfoerderung-article10055181.html

Sie sind wieder da.. Lufthansa und Vodaphone

Posted on by

Lange Zeit war es still geworden um die Trojanerversender der Lufthansa, aber heute scheint das Eis gebrochen worden zu sein. Die Spamversender um die Vodaphone Trojaner, vermutlich die gleichen wie die der Lufthansa .

Die Lufthansaemail glänzt natürlich wieder durch einfache Fehlermerkmale, z.B. Köln als Koln geschrieben. Da die Mail sehr gut geschrieben ist, fällt das am Ende möglicherweise nicht mehr auf. Dafür gibt es eindeutige Hinweise in den Received Headern der EMail:

Received: from 63-155-89-173.chyn.qwest.net ([63.155.89.173])
	by smtp.xzgame.in with esmtp (Exim 4.76)
	(envelope-from <banistersx86@lufthansa.com>)
	id YYYYYYYYYYYYYYYYYYYYY
	for XXXXXXXXXXXXXXXXXXXX; Mon, 21 Jan 2013 17:26:22 +0100
Received: from mail.pcsoffice02.de (mail.pcsoffice02.de [213.61.9.130]) by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis) id 0MSsSL-1ToYkn2F0v-00SadK for <XXXXXXXXXXXXXXXXXXXX>; Mon, 21 Jan 2013 09:25:59 -0700
Received: from booking-lufthansa.com ([213.61.9.129]) (authenticated user online@booking-lufthansa.com) by mail.pcsoffice02.de for <XXXXXXXXXXXXXXXXXXXX>; Mon, 21 Jan 2013 09:25:59 -0700
Message-ID: <609259-7381797500170091755@booking-lufthansa.com>

Die beiden unteren „Received:“ Zeilen sind ohne Zeilenümbrüche geschrieben worden. Dies ist an sich ok, aber so ungewöhnlich, daß es ins Auge sticht. Nun ist dort die echte Emailadresse als Ziel eingetragen, hier durch XXXXXXXX ersetzt, was auf den ersten Blick für einen echten Header spräche, wenn da nicht mx.kundenserver.de drin stehen würde. D.b. der Header ist aus einer Email kopiert worden, der mit 1und1 Servern zu tun hatte. Nur leider, sind wir nicht bei 1und1 mit unserem Mailkonto, sondern bei jemand anderem . Daher paßt der Received Header nicht zum echten Header, dem einzig wahren Header:

Die Mail kam also definitiv direkt von : 63-155-89-173.chyn.qwest.net ([63.155.89.173])

Dasselbe Muster zeigt sich bei der Vodaphone Spam:

Received: from [85.119.40.167]
by smtp.xzgame.in with esmtp (Exim 4.76)
(envelope-from )
id YYYYYYYYYYYYYYYYYYYYY
for XXXXXXXXXXXXXXXXXXXX; Mon, 21 Jan 2013 10:31:52 +0100
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by
VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 21 Jan 2013 10:31:51 +0100
From:

Auch hier wieder der ungewöhnlich formatierte Received Header. Nur haben die IP Adressen so rein gar nichts mit der Spammer-IP „85.119.40.167“ zu tun. Ein eindeutiges Zeichen für eine Fläschung.

Dazu spricht natürlich auch der Spamreport in der Email eine deutliche Sprache:

Pkte Regelname Beschreibung
—- ———————- ————————————————–
0.8 RCVD_IN_SORBS_WEB RBL: SORBS: Senderechner ist ein ungesicherter
WWW-Server
[85.119.40.167 listed in dnsbl.sorbs.net]
1.4 RCVD_IN_BRBL_LASTEXT RBL: RCVD_IN_BRBL_LASTEXT
[85.119.40.167 listed in bb.barracudacentral.org]
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML
0.8 BAYES_50 BODY: Spamwahrscheinlichkeit nach Bayes-Test: 40-60%
[score: 0.5061]

Die ersten beiden Regeln melden die IP Adresse des Absenders als bekannte Spamquelle. Wenn es noch einen Zweifel gegeben hätte, wäre er damit ausgeräumt gewesen.