Category Archives: Internet

Nach 10 Jahren – Der ILOVEYOU Virus ist wieder da!

Posted on by

Unglaublich!

Unglaubliche 10 Jahre hat es gedauert, bis der I-Love-U Virus wieder per Email verschickt wurde. Heute war es endlich soweit, unsere Spamfalle bekam Besuch dieses lange verschollenen Gastes. Frisch zum Jubiläum wurde der Virus dann auch gleich noch ins Deutsche übersetzt 🙂

ILoveU-Email

Return-path: <goral@netway-it.de>
Envelope-to: 
Delivery-date: Tue, 03 Jun 2014 12:14:22 +0200
Received: from 97e61ac0.skybroadband.com ([151.230.26.192])
	by  with smtp (Exim 4.80.1) (envelope-from <goral@netway-it.de>) 
        id 1WglBj-00123d-DR for ;
        Tue, 03 Jun 2014 12:14:22 +0200 
MIME-Version: 1.0 
Date: Tue, 03 Jun 2014 12:08:18 +0100 
X-Mailer: Burnley v0.4 
From: "D. Hagen" <goral@netway-it.de> 
Message-ID: <201403435993G39-1692961mucker@netway-it.de>
Die virusenthaltene Email stammt aus England:

inetnum:        151.228.0.0 – 151.231.255.255
netname:        BSKYB-BROADBAND-WIFI
descr:          Sky Broadband
country:        GB

Der ILOVEYOU Virus ist dann gleich passend im Zip benannt: „liebe7087.exe“ worden. Naja..

Wie immer, einfach weg damit !

kurioserweise hatte ich grade die Befürchtung, daß ein Windowsvirus bei dem Stand der WINE Implementierung unter Linux doch tatsächlich funktionieren könnte. Die ist nämlich entgegen ihrem Ruf mittlerweile richtig gut.

Gutschein 8E9661EA41243E

Posted on by

Endlich, jemand verschickt Würstchengutscheine per Email. Vermutlich sollen wir dann die der Email beigefügte Zip Datei an den 3D-Proteindrucker weiterleiten, der uns sodann eine Würstchenprobe ausdruckt. So, aber vermutlich nur so ähnlich, hatten sich das die Sender der jüngsten Virenemail wohl gedacht :

Zur Eröffnung bekommen Sie einen Gutschein für kostenlose Würstchen von uns geschenkt.
Gutscheinnummer: 8E9661EA41243E
Gültigkeit: bis 21.05.2014

Mit freundlichen Grüßen,
Carolin Scheffler
+0174-932-8785

Zur Analyse:

Diese Email hält mal wieder eine nette Kleinigkeiten bereit:

Return-path: <gutschein@gordons-vom-gauhof.de>
Delivery-date: Mon, 12 May 2014 08:24:39 +0400
Received: from [213.110.89.146] (helo=host-213-110-89-146.icom.lv)

Message-ID: <trenail$emis7n8gxb@gordons-vom-gauhof.de>
Date: Mon, 12 May 2014 09:12:16 +0400
From: gordons-vom-gauhof.de>
X-Mailer: Disgustful v4.3

Natürlich paßt der Server, der die Email verschickt hat, von der Länderkennung her nicht zur Domain des Absenders. Der Server steht in Lettland, will aber Deutscher sein.  Es gibt natürlich auch deutsche Firmen, die sich ausländischer Dienstleister bedienen, auch wenn Sie nicht sollten 😉

Der Name des Programms, daß die Email abgeschickt hat und sich im X-Mailer-Header als Disgustful v4.3 geoutet hat, trifft die Situation voll: ekelhaft v4.3. Soviel ironische Selbstkritik ist natürlich einer genauerer Analyse zu unterwerfen.

Wie müßte ein Programmierer drauf sein, damit er sein für kriminelle Zwecke bestimmtes Programm ekelhaft nennt?

Der Entwickler findet sein Produkt entweder ekelhaft oder den Zweck für den es eingesetzt wird. Das bedeutet, daß was auch immer er macht, nicht seine Zustimmung findet. Also entweder tut er das, weil er sonst keine Einnahmen hat, oder weil er dazu gezwungen wird. Da Programmierer versuchen Ihre Programme mit der Zeit immer weiter zu verbessern und es sich um Version 4.3 handelt, wird schon eine Menge Zeit in dieses Programm investiert worden sein. Der Name bezieht sich also nicht mehr auf die Qualität des Codes, denn der würfte in V4.3 schon stark verbessert worden sein.

Gehen wir mal von mehreren Wochen aus, bis Version 4.3  fertig war. In der Zeit hätte jemand, der nur aus Geldnot handelt, bestimmt schon anderweitig einen Job als Entwickler gefunden, selbst wenn es nur ein Geringverdiener Job ist. Wir können also davon ausgehen, daß er jetzt dazu „gezwungen“ wird mit zu machen. Dafür gibt es zwei mögliche Gründe. Er ist dort hinein geschlittert und kann jetzt nicht mehr raus, weil man ihm droht ihn zu verpfeifen, oder er wird durch etwas anderes unter Druck gesetzt. In beiden Fällen, werden wir ohne noch eine V4.4 sehen.

Das Übliche:

Das ZIP ist zur Tarnung des Virus/Trojaners angefügt, also ab in die Tonne mit der Email.

Zu dumm für Dumm-Dreist

Posted on by

Er könnte einem Leid tun, wenn es Ihn wirklich gäbe, denn „Herr“ Haufe wurde binnen 50 Minuten seines Postens beraubt und durch einen anderen „Herren“ namens „Neris Sachse“ ersetzt.

Er wird ihm vermutlich nichts ausmachen, er war eh nur ein lausiger Bot im Dienste seines Herren:

Sehr geehrter Kunde,
 
Wir sind ganz dankbar, dass Sie die Dienstleistungen unserer Bank benutzt haben. 
Wir teilen Ihnen mit, dass vom 28.04.2014 die Schuld beim Konto #958354971355108
2541.42 Euro beträgt. Wir bieten Ihnen an, die Rückzahlung der Geldmittel in vollem
 Umfang bis 17.05.2014 freiwillig durchzuführen. 

Die freiwillige Rückzahlung der Geldmittel zum Vertrag #E4F98383DA9329393322 bietet Ihnen an:
1) Ihre positive Kredit-Geschichte beibehalten 
2) Die Gerichtsverhandlung vermeiden 

Im Falle der Nichtzahlung 2541.42 Euro sind wir im Rahmen der aktuellen Gesetzgebung
 berechtigt, die Gerichtsstrafe wegen der Schuldigkeit auszuführen. Die Vertragskopie 
#E4F98383DA9329393322 und Zahlungsangaben sind zu diesem Brief als ZIP-Datei 
"vertrag_E4F98383DA9329393322.zip" hinzugefügt. 

Mit freundlichen Grüßen, 
Leiter des Departments für die Arbeit mit den Schulden.
Abdul-Raschid Haufe

Nunja, die Analyse dieses Witzes von Scamversuch können wir uns sparen. Der Inhalt ist so schlecht gemacht, wenn auch fast fehlerfrei vertextet, daß keine Gefahr besteht.

„Leiter des Departments für die Arbeit mit den Schulden.“ Ob Google das übersetzt hat, oder doch irgendeine Bürokratenseele diese Bezeichnung tatsächlich mal verwendet hat ?

Selbst wenn man das von Google rückübersetzen läßt, es wird nicht besser.

Die Emails stammen von gehackten Servern auf Korea und Spanien, wie man im Header an den IPs ermitteln kann.

Das obligatorisch angehängte ZIP File enthält natürlich wie immer einen Trojaner. Also ab in die digitale Mülltonne.