Tag Archives: Spam

Virus per Online-Einschreiben :D

Posted on by

Ich habe ja gedacht, ich hätte schon jeden Virengag bekommen, aber ein Online-Einschreiben, angeblich von der Post, ich hätte mich fast weggeworfen vor Lachen.

To: "Kundennr. 83386" <SPAMFALLE@SPAMFALLEN.SPAM>
From: "Post AG" <antwort@wildwildsys.com>
Reply-To: <antwort@wildwildsys.com>
Date: Mon, 27 Jun 2016 05:41:45 +0200

Hier der Inhalt:

Sehr geehrte(r)  Kundennr. 83386,

Sie erhalten folgendes Online-Einschreiben mit der Bitte um sofortigen Abruf:

Absender: Rechtsanwalt Maximilian Wagenbauer
Betreff: Auszahlung am 26.06.2016
Online-Ansicht: Hier klicken ( Ablaufdatum 26.06.2016 )
Viren-Prüfung: Erfolgreich, keine Viren

Mit freundlichen Grüßen,
Ihre Post

 

Das „Einschreiben“ kam einen Tag nach dem Datum da drin , also am 27. 😉

Die Domain wildwildsys.com kann man beruhigt auf die Blackliste setzen, die haben in den letzten Tagen nur Spams und Viren verteilt z.B. eine weitere Email auch aus unserer Spamfalle:

wenn Sie unter 55 Jahre alt sind, können Sie jetzt einen extrem

günstigen Krankenkassentarif nutzen:

unter 35 Jahre altab 54,90€/MonatJetzt unverbindlich ansehen
unter 45 Jahre altab 64,90€/MonatJetzt unverbindlich ansehen
unter 55 Jahre altab 79,00€/ MonatJetzt unverbindlich ansehen

Sie sehen, ein Vergleich würde sich in Ihrem Fall sehr lohnen.

Natürlich ist der Vergleich absolut kostenlos und unverbindlich. Mehr dazu auf meiner Seite.

Mit freundlichen Grüßen,

Dr. Hannes Kottke

Ich liebe unsere immer zu 100% richtig liegende Spamfalle 😀

Die Links in diesen Emails gehen praktischerweise auf die Domain wildwildsys.com und nicht wie sonst üblich, auf irgendwelche gehackten Webseiten. Daher kann man annehmen, daß die Betreiber der Domain selbst die Betrüger sind. Soetwas nennt sich dann hochtrabend „Email-Marketingagentur“. Da die Inhaber der Domain sich hinter einem „Privacy Guard“ verstecken, liege ich vermutlich richtig mit meiner Annahme 😉

Einmal gründlich hinsehen lohnt sich : (aus dem Whois )

Name Server: BLOCKEDDUETOSPAM.PLEASECONTACTSUPPORT.COM
Name Server: DUMMYSECONDARY.PLEASECONTACTSUPPORT.COM

Strike! 😀  Und die Domain gibt wirklich …. args..

Sollte Euch also eine Email unter kommen, die diesen Domainnamen nutzt, gleich in die Tonne damit.

Dümmer als die Polizei erlaubt

Posted on by

Aus der Serie „Wären Verbrecher clever, müßten wir Angst haben“ heute die Telekom RechnungOnline:

Dieser Textblock, der in der Spam als Mine-Type text/plain markiert ist:

sehr geehrter Kunde<BR>
<BR>
Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat November,<BR>
<a href="http://truyenratngan.com/MVs52QmpI">Download (Ihre Telekom Mobilfunk RechnungOnline für Geschäftskunden 6542265421925 vom 07.11.2014 des Kundenkontos 1925654222).</a>
Mit freundlichen Grüßen,<BR>
Geschäftskundenservice<BR>

fällt definitiv in unsere Reihe „Dümmer, gehts nümmer“. Warum ?

Der Text ist gut kopiert, das Datum im Text aktuelle, die Rechtschreibung ok und einen vietnamesischen Webdienst als Downloadquelle für den lokalen Exploit zu benutzen ist, aus Sicht des Angreifers optimal,
dummerweise muß diese Email so derbe failen, weil die Autoren Ihre Filterfunktionen nicht im Griff haben.
In einem text/plain Textblock, kommt kein HTML vor und mit was sind die Zeilenumbrüche gemacht worden ? 🙂

Dazu noch der immernoch vorhandene HTML Link zum Exploit, der im Klartext sicher gleich aufgefallen wäre, also komplett gefailed 🙂

Wenn man schlechte Viren zu spät mailt

Posted on by

… oder wieso manche Virenmail einfach nur schlecht ist.

Ja, es ist wiedermal soweit, ein Virus hat es mal wieder durch die Servertests geschafft.

Der Virus/Trojaner mit dem bedrohlichen Betreff: „überfällige Zahlung“ schlug heute bei uns in der Spamfalle auf. Ich gebs zu, so eine Spamfalle ist ein 100% Indikator dafür, daß es ein Virus/Trojaner ist und ich schaue nicht mehr selbst nach. Da nicht jeder diesen Luxus hat, hier wieder die Merkmale die nicht stimmen.

Vorweg, die IP Adresse ist nur auf den ersten Blick verdächtig, weil Sie entgegen des verwendeten Hostnames nicht nach Russland zeigt, aber bei einem 65535 IP-Adressen umfassenden Netzwerkblock ist das keine Seltenheit.

From - Thu Apr 17 09:11:52 2014
Return-path: <enfranchised@frankfurterinkasso.de>
Envelope-to: to@address
Delivery-date: Wed, 16 Apr 2014 02:17:37 +0200
Received: from [190.246.114.25] (helo=osafnoby.peerline.ru)
	by hostname with smtp (Exim 4.80.1)
	(envelope-from <enfranchised@frankfurterinkasso.de>)
	id XXXXXXXXXXXXXXXXXXXXXX
	for to@address; Wed, 16 Apr 2014 02:17:37 +0200
Message-ID: <201404152349143086839sochi@frankfurterinkasso.de>
Date: Tue, 16 Apr 2014 18:31:18 -0300
From: "Gutta Sebastian" <enfranchised@frankfurterinkasso.de>
X-Mailer: Vaporier v3.8
MIME-Version: 1.0
To: <to@address>
X-Antivirus: avast! (VPS 140415-2, 16/04/2014), Outbound message
X-Antivirus-Status: Not-Tested
Subject:  =?utf-8?b?w7xiZXJmw6RsbGlnZSBaYWhsdW5n?=

Content-Type: application/x-zip-compressed;
 name="kostenplan.zip"
Content-transfer-encoding: base64
Content-Disposition: attachment;
 filename="kostenplan.zip"

Eine Software Vaporier v3.8 ist im googleindizierten Netz nicht zu finden, und im Stil eines übermächtigen Verbrecheregos ein üblicher Name. Eine Email mit einer deutschen Adresse, kommt selten aus Russland.

Das Attachment ist natürlich ein ZIP, damit die Virenscanner nicht so genau hinsehen.

Wie üblich, ab in die Tonne mit der Email.

Achja, Avira AntiVirus war ausnahmsweise schneller als unser Servervirenscanner und kannte den Virus schon. Deswegen, zu spät gemailt Jungs 🙂