Category Archives: Security

Nach 10 Jahren – Der ILOVEYOU Virus ist wieder da!

Posted on by

Unglaublich!

Unglaubliche 10 Jahre hat es gedauert, bis der I-Love-U Virus wieder per Email verschickt wurde. Heute war es endlich soweit, unsere Spamfalle bekam Besuch dieses lange verschollenen Gastes. Frisch zum Jubiläum wurde der Virus dann auch gleich noch ins Deutsche übersetzt 🙂

ILoveU-Email

Return-path: <goral@netway-it.de>
Envelope-to: 
Delivery-date: Tue, 03 Jun 2014 12:14:22 +0200
Received: from 97e61ac0.skybroadband.com ([151.230.26.192])
	by  with smtp (Exim 4.80.1) (envelope-from <goral@netway-it.de>) 
        id 1WglBj-00123d-DR for ;
        Tue, 03 Jun 2014 12:14:22 +0200 
MIME-Version: 1.0 
Date: Tue, 03 Jun 2014 12:08:18 +0100 
X-Mailer: Burnley v0.4 
From: "D. Hagen" <goral@netway-it.de> 
Message-ID: <201403435993G39-1692961mucker@netway-it.de>
Die virusenthaltene Email stammt aus England:

inetnum:        151.228.0.0 – 151.231.255.255
netname:        BSKYB-BROADBAND-WIFI
descr:          Sky Broadband
country:        GB

Der ILOVEYOU Virus ist dann gleich passend im Zip benannt: „liebe7087.exe“ worden. Naja..

Wie immer, einfach weg damit !

kurioserweise hatte ich grade die Befürchtung, daß ein Windowsvirus bei dem Stand der WINE Implementierung unter Linux doch tatsächlich funktionieren könnte. Die ist nämlich entgegen ihrem Ruf mittlerweile richtig gut.

Gutschein 8E9661EA41243E

Posted on by

Endlich, jemand verschickt Würstchengutscheine per Email. Vermutlich sollen wir dann die der Email beigefügte Zip Datei an den 3D-Proteindrucker weiterleiten, der uns sodann eine Würstchenprobe ausdruckt. So, aber vermutlich nur so ähnlich, hatten sich das die Sender der jüngsten Virenemail wohl gedacht :

Zur Eröffnung bekommen Sie einen Gutschein für kostenlose Würstchen von uns geschenkt.
Gutscheinnummer: 8E9661EA41243E
Gültigkeit: bis 21.05.2014

Mit freundlichen Grüßen,
Carolin Scheffler
+0174-932-8785

Zur Analyse:

Diese Email hält mal wieder eine nette Kleinigkeiten bereit:

Return-path: <gutschein@gordons-vom-gauhof.de>
Delivery-date: Mon, 12 May 2014 08:24:39 +0400
Received: from [213.110.89.146] (helo=host-213-110-89-146.icom.lv)

Message-ID: <trenail$emis7n8gxb@gordons-vom-gauhof.de>
Date: Mon, 12 May 2014 09:12:16 +0400
From: gordons-vom-gauhof.de>
X-Mailer: Disgustful v4.3

Natürlich paßt der Server, der die Email verschickt hat, von der Länderkennung her nicht zur Domain des Absenders. Der Server steht in Lettland, will aber Deutscher sein.  Es gibt natürlich auch deutsche Firmen, die sich ausländischer Dienstleister bedienen, auch wenn Sie nicht sollten 😉

Der Name des Programms, daß die Email abgeschickt hat und sich im X-Mailer-Header als Disgustful v4.3 geoutet hat, trifft die Situation voll: ekelhaft v4.3. Soviel ironische Selbstkritik ist natürlich einer genauerer Analyse zu unterwerfen.

Wie müßte ein Programmierer drauf sein, damit er sein für kriminelle Zwecke bestimmtes Programm ekelhaft nennt?

Der Entwickler findet sein Produkt entweder ekelhaft oder den Zweck für den es eingesetzt wird. Das bedeutet, daß was auch immer er macht, nicht seine Zustimmung findet. Also entweder tut er das, weil er sonst keine Einnahmen hat, oder weil er dazu gezwungen wird. Da Programmierer versuchen Ihre Programme mit der Zeit immer weiter zu verbessern und es sich um Version 4.3 handelt, wird schon eine Menge Zeit in dieses Programm investiert worden sein. Der Name bezieht sich also nicht mehr auf die Qualität des Codes, denn der würfte in V4.3 schon stark verbessert worden sein.

Gehen wir mal von mehreren Wochen aus, bis Version 4.3  fertig war. In der Zeit hätte jemand, der nur aus Geldnot handelt, bestimmt schon anderweitig einen Job als Entwickler gefunden, selbst wenn es nur ein Geringverdiener Job ist. Wir können also davon ausgehen, daß er jetzt dazu „gezwungen“ wird mit zu machen. Dafür gibt es zwei mögliche Gründe. Er ist dort hinein geschlittert und kann jetzt nicht mehr raus, weil man ihm droht ihn zu verpfeifen, oder er wird durch etwas anderes unter Druck gesetzt. In beiden Fällen, werden wir ohne noch eine V4.4 sehen.

Das Übliche:

Das ZIP ist zur Tarnung des Virus/Trojaners angefügt, also ab in die Tonne mit der Email.

Wenn man schlechte Viren zu spät mailt

Posted on by

… oder wieso manche Virenmail einfach nur schlecht ist.

Ja, es ist wiedermal soweit, ein Virus hat es mal wieder durch die Servertests geschafft.

Der Virus/Trojaner mit dem bedrohlichen Betreff: „überfällige Zahlung“ schlug heute bei uns in der Spamfalle auf. Ich gebs zu, so eine Spamfalle ist ein 100% Indikator dafür, daß es ein Virus/Trojaner ist und ich schaue nicht mehr selbst nach. Da nicht jeder diesen Luxus hat, hier wieder die Merkmale die nicht stimmen.

Vorweg, die IP Adresse ist nur auf den ersten Blick verdächtig, weil Sie entgegen des verwendeten Hostnames nicht nach Russland zeigt, aber bei einem 65535 IP-Adressen umfassenden Netzwerkblock ist das keine Seltenheit.

From - Thu Apr 17 09:11:52 2014
Return-path: <enfranchised@frankfurterinkasso.de>
Envelope-to: to@address
Delivery-date: Wed, 16 Apr 2014 02:17:37 +0200
Received: from [190.246.114.25] (helo=osafnoby.peerline.ru)
	by hostname with smtp (Exim 4.80.1)
	(envelope-from <enfranchised@frankfurterinkasso.de>)
	id XXXXXXXXXXXXXXXXXXXXXX
	for to@address; Wed, 16 Apr 2014 02:17:37 +0200
Message-ID: <201404152349143086839sochi@frankfurterinkasso.de>
Date: Tue, 16 Apr 2014 18:31:18 -0300
From: "Gutta Sebastian" <enfranchised@frankfurterinkasso.de>
X-Mailer: Vaporier v3.8
MIME-Version: 1.0
To: <to@address>
X-Antivirus: avast! (VPS 140415-2, 16/04/2014), Outbound message
X-Antivirus-Status: Not-Tested
Subject:  =?utf-8?b?w7xiZXJmw6RsbGlnZSBaYWhsdW5n?=

Content-Type: application/x-zip-compressed;
 name="kostenplan.zip"
Content-transfer-encoding: base64
Content-Disposition: attachment;
 filename="kostenplan.zip"

Eine Software Vaporier v3.8 ist im googleindizierten Netz nicht zu finden, und im Stil eines übermächtigen Verbrecheregos ein üblicher Name. Eine Email mit einer deutschen Adresse, kommt selten aus Russland.

Das Attachment ist natürlich ein ZIP, damit die Virenscanner nicht so genau hinsehen.

Wie üblich, ab in die Tonne mit der Email.

Achja, Avira AntiVirus war ausnahmsweise schneller als unser Servervirenscanner und kannte den Virus schon. Deswegen, zu spät gemailt Jungs 🙂