Dichtungstrojaner

Mit Liebesgedichten versuchen Kriminelle derzeit Ihnen Trojaner unter zu jubeln.

Zitate wie diesem :

„Den richtigen Mann liebt man zweimal, einmal am Anfang und dann immer.

K. Hoyer“

folgen Anlagen von Emails wie „6434.zip“  worin dann z.b. das „gambling584.doc“ steckt.

Als treuer Leser dieses Blogs wissen Sie jetzt natürlich bereits, daß das ZIP zur Verdeckung des eigentlichen Trojaners dienen soll, in der Hoffnung, daß die Antispamstools das Zip nicht auspacken. Das Word Document ist wie immer an Windows User gerichtet und sollte auf keinen Fall geöffnet werden.

Neu ist die Gedichtsmasche übrigens nicht. Damit die Heueristiken der Antispamtools nicht so fündig werden, benutzen Spammer schon lange zufällige Textzeilen in den Emails, um die Erkennungsrate niedrig zu halten.

Wem das Gedicht nicht schon merkwürdig vorkam, kann sich natürlich auch mal den Header der Email ansehen:

Received: from [46.27.99.195] (helo=tgssand-soil.com.au)
	by XXXXXXXXXXXXXXXXXXX with smtp (Exim 4.80.1)
	(envelope-from .de>)
	id 1X2Tpg-0007uw-Ha
	for XXXXXXXXXXXXXXXXXXXXXXXXX; Thu, 03 Jul 2014 02:21:57 +0200

Da es sich im eine Deutsche Adresse handeln soll, fällt natürlich der australische Server sofort ins Auge. Da paßt so natürlich nicht zusammen.

X-Mailer: Ironhandedly v3.6

Wie uns Google glaubhaft versichert, gibt es dieses Emailprogramm nicht 🙂

Mehr Beweise braucht man eigentlich nicht mehr um es als Trojaner zu identifizieren. Also weg damit in die digitale Mülltonne.

 

 

 

Sie sind wieder da.. Lufthansa und Vodaphone

Lange Zeit war es still geworden um die Trojanerversender der Lufthansa, aber heute scheint das Eis gebrochen worden zu sein. Die Spamversender um die Vodaphone Trojaner, vermutlich die gleichen wie die der Lufthansa .

Die Lufthansaemail glänzt natürlich wieder durch einfache Fehlermerkmale, z.B. Köln als Koln geschrieben. Da die Mail sehr gut geschrieben ist, fällt das am Ende möglicherweise nicht mehr auf. Dafür gibt es eindeutige Hinweise in den Received Headern der EMail:

Received: from 63-155-89-173.chyn.qwest.net ([63.155.89.173])
	by smtp.xzgame.in with esmtp (Exim 4.76)
	(envelope-from <banistersx86@lufthansa.com>)
	id YYYYYYYYYYYYYYYYYYYYY
	for XXXXXXXXXXXXXXXXXXXX; Mon, 21 Jan 2013 17:26:22 +0100
Received: from mail.pcsoffice02.de (mail.pcsoffice02.de [213.61.9.130]) by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis) id 0MSsSL-1ToYkn2F0v-00SadK for <XXXXXXXXXXXXXXXXXXXX>; Mon, 21 Jan 2013 09:25:59 -0700
Received: from booking-lufthansa.com ([213.61.9.129]) (authenticated user online@booking-lufthansa.com) by mail.pcsoffice02.de for <XXXXXXXXXXXXXXXXXXXX>; Mon, 21 Jan 2013 09:25:59 -0700
Message-ID: <609259-7381797500170091755@booking-lufthansa.com>

Die beiden unteren „Received:“ Zeilen sind ohne Zeilenümbrüche geschrieben worden. Dies ist an sich ok, aber so ungewöhnlich, daß es ins Auge sticht. Nun ist dort die echte Emailadresse als Ziel eingetragen, hier durch XXXXXXXX ersetzt, was auf den ersten Blick für einen echten Header spräche, wenn da nicht mx.kundenserver.de drin stehen würde. D.b. der Header ist aus einer Email kopiert worden, der mit 1und1 Servern zu tun hatte. Nur leider, sind wir nicht bei 1und1 mit unserem Mailkonto, sondern bei jemand anderem . Daher paßt der Received Header nicht zum echten Header, dem einzig wahren Header:

Die Mail kam also definitiv direkt von : 63-155-89-173.chyn.qwest.net ([63.155.89.173])

Dasselbe Muster zeigt sich bei der Vodaphone Spam:

Received: from [85.119.40.167]
by smtp.xzgame.in with esmtp (Exim 4.76)
(envelope-from )
id YYYYYYYYYYYYYYYYYYYYY
for XXXXXXXXXXXXXXXXXXXX; Mon, 21 Jan 2013 10:31:52 +0100
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by
VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 21 Jan 2013 10:31:51 +0100
From:

Auch hier wieder der ungewöhnlich formatierte Received Header. Nur haben die IP Adressen so rein gar nichts mit der Spammer-IP „85.119.40.167“ zu tun. Ein eindeutiges Zeichen für eine Fläschung.

Dazu spricht natürlich auch der Spamreport in der Email eine deutliche Sprache:

Pkte Regelname Beschreibung
—- ———————- ————————————————–
0.8 RCVD_IN_SORBS_WEB RBL: SORBS: Senderechner ist ein ungesicherter
WWW-Server
[85.119.40.167 listed in dnsbl.sorbs.net]
1.4 RCVD_IN_BRBL_LASTEXT RBL: RCVD_IN_BRBL_LASTEXT
[85.119.40.167 listed in bb.barracudacentral.org]
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML
0.8 BAYES_50 BODY: Spamwahrscheinlichkeit nach Bayes-Test: 40-60%
[score: 0.5061]

Die ersten beiden Regeln melden die IP Adresse des Absenders als bekannte Spamquelle. Wenn es noch einen Zweifel gegeben hätte, wäre er damit ausgeräumt gewesen.