Tag Archives: Spam

Dümmer als die Polizei erlaubt

Posted on by

Aus der Serie „Wären Verbrecher clever, müßten wir Angst haben“ heute die Telekom RechnungOnline:

Dieser Textblock, der in der Spam als Mine-Type text/plain markiert ist:

sehr geehrter Kunde<BR>
<BR>
Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat November,<BR>
<a href="http://truyenratngan.com/MVs52QmpI">Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 6542265421925 vom 07.11.2014 des Kundenkontos 1925654222).</a>
Mit freundlichen Grüßen,<BR>
Geschäftskundenservice<BR>

fällt definitiv in unsere Reihe „Dümmer, gehts nümmer“. Warum ?

Der Text ist gut kopiert, das Datum im Text aktuelle, die Rechtschreibung ok und einen vietnamesischen Webdienst als Downloadquelle für den lokalen Exploit zu benutzen ist, aus Sicht des Angreifers optimal,
dummerweise muß diese Email so derbe failen, weil die Autoren Ihre Filterfunktionen nicht im Griff haben.
In einem text/plain Textblock, kommt kein HTML vor und mit was sind die Zeilenumbrüche gemacht worden ? 🙂

Dazu noch der immernoch vorhandene HTML Link zum Exploit, der im Klartext sicher gleich aufgefallen wäre, also komplett gefailed 🙂

Wenn man schlechte Viren zu spät mailt

Posted on by

… oder wieso manche Virenmail einfach nur schlecht ist.

Ja, es ist wiedermal soweit, ein Virus hat es mal wieder durch die Servertests geschafft.

Der Virus/Trojaner mit dem bedrohlichen Betreff: „überfällige Zahlung“ schlug heute bei uns in der Spamfalle auf. Ich gebs zu, so eine Spamfalle ist ein 100% Indikator dafür, daß es ein Virus/Trojaner ist und ich schaue nicht mehr selbst nach. Da nicht jeder diesen Luxus hat, hier wieder die Merkmale die nicht stimmen.

Vorweg, die IP Adresse ist nur auf den ersten Blick verdächtig, weil Sie entgegen des verwendeten Hostnames nicht nach Russland zeigt, aber bei einem 65535 IP-Adressen umfassenden Netzwerkblock ist das keine Seltenheit.

From - Thu Apr 17 09:11:52 2014
Return-path: <enfranchised@frankfurterinkasso.de>
Envelope-to: to@address
Delivery-date: Wed, 16 Apr 2014 02:17:37 +0200
Received: from [190.246.114.25] (helo=osafnoby.peerline.ru)
	by hostname with smtp (Exim 4.80.1)
	(envelope-from <enfranchised@frankfurterinkasso.de>)
	id XXXXXXXXXXXXXXXXXXXXXX
	for to@address; Wed, 16 Apr 2014 02:17:37 +0200
Message-ID: <201404152349143086839sochi@frankfurterinkasso.de>
Date: Tue, 16 Apr 2014 18:31:18 -0300
From: "Gutta Sebastian" <enfranchised@frankfurterinkasso.de>
X-Mailer: Vaporier v3.8
MIME-Version: 1.0
To: <to@address>
X-Antivirus: avast! (VPS 140415-2, 16/04/2014), Outbound message
X-Antivirus-Status: Not-Tested
Subject:  =?utf-8?b?w7xiZXJmw6RsbGlnZSBaYWhsdW5n?=

Content-Type: application/x-zip-compressed;
 name="kostenplan.zip"
Content-transfer-encoding: base64
Content-Disposition: attachment;
 filename="kostenplan.zip"

Eine Software Vaporier v3.8 ist im googleindizierten Netz nicht zu finden, und im Stil eines übermächtigen Verbrecheregos ein üblicher Name. Eine Email mit einer deutschen Adresse, kommt selten aus Russland.

Das Attachment ist natürlich ein ZIP, damit die Virenscanner nicht so genau hinsehen.

Wie üblich, ab in die Tonne mit der Email.

Achja, Avira AntiVirus war ausnahmsweise schneller als unser Servervirenscanner und kannte den Virus schon. Deswegen, zu spät gemailt Jungs 🙂

Die Hotelbuchungen sind wieder da…

Posted on by

jaja.. der Trojanerzyklus ist wiedermal bei gefälschten hotel.de Buchungsbestätigungen nebst Virus angekommen.

Aufällig diesmal, ein und dieselbe Buchung kostet mal 88 €, mal 25 € . Natürlich können Sie das nur bemerken, wenn Sie wie ich mehrere davon geschickt bekommen haben.

Am einfachsten schauen Sie sich den Dateinamen des Attachments/Anhangs an: „HotelReservierung8930903.pdf.zip“

„blahblah…..pdf.zip“ macht keinen Sinn, denn PDF Dateien sind bereits gepackt. Ein ZIP Archiver kann daher keinen positiven Effekt auf die Größe der Email haben. ZIP wird dazu benutzt, daß die Antiviren und Antispamprogramme dieser Welt, die ZIP Datei nicht auspacken und somit den Virus durchgehen lassen.

Mittlerweile werden solche Doppelendungsfiles zurecht pauschal als Virus behandelt und aussortiert.