SPAM: DHL Tracking Notification ID: …

Posted on by
Reply

Zur Zeit versuchen es die Trojaner wieder mit DHL Tracking oder Shipment Benachrichtigungen. Die Adressierung erfolgt wieder über Blind-kopie, was bei nur einem Empfänger sehr sinnvoll ist. Die Betreff Zeile verfügt über eine – scheinbar – individuelle ID und die Tracking Number ist in jeder Mail eine andere. Auch die Anhänge haben unterschiedlichen Nummern. In der Zip-Datei ist stets eine ausführbare Datei World-Parcel-Express-Details.exe enthalten, die mal wieder nicht von clamav erkannt wird. Zwischen den einzelnen Nummern (Betreff, Tracking Number, Zip-File) haben keine auf den ersten oder zweiten Blick erkennbare Ähnlichkeit.

Die Prüfung bei Virustotal findet sich hier. 

  SHA256: 	bc30998323b291f152a5f2bd3c682b9105087859cfec8d30bdfcf83f6f4d1778
  File name: 	World-Parcel-Express-Details05_2012-8FIRF1EX67968.zip
  Detection ratio: 	22 / 35
  Analysis date: 	2012-05-16 20:55:01 UTC ( 2 Minuten ago )

Leiber Spammer,
die Formatierung des Text und des HTML-Teiles ist dürftig und bedarf dringend der Verbesserung.

kmail2 und SpamAssassin

Posted on by
Reply

Wie ich schon berichtet habe, kann SpamAssassin mittels sa-learn nicht die im mbox-Format gespeicherten Mails lernen. sa-learn erkennt keine Mails in dem von kmail2 verwendetet mbox-Format. Nach langem Rätseln habe ich gestern eine minimale Mail erzeugt und diese mit kmail (Version 1.36.6) und mit kmail2 (Version 4.8.3) empfangen und gespeichert. Der Vergleich ergab einen wesentlichen Unterschied in der “From_” Zeile und führte schließlich zur Klärung der Ursache.

Beispiel kmail

From thomas@example.com Tue, 15 May 2012 22:01:41 +0200

Beispiel kmail2

From thomas@arend-rhb.de Tue May 15 2012 22:01:41

In kmail (Version 1) Datum und Uhrzeit waren im ctime Format, wie unter RFC 4155 oder man 5 mbox beschrieben. kmail2 verwendet ein Datum-Zeit-Format wie in RFC 822 beschrieben. Leider gibt es keinen – einheitlichen – Standard für das mbox-Format bzw. die Definitionen für das Datums-Zeit-Format in der “From_” Zeile widersprechen sich. Diese Zeile ist jedoch für die Trennung der Mails in der mbox -Datei entscheidend. SpamAssassin erkennt derzeit das zweite Format nicht als eine gültige “From_” Zeile.

Dieses Problem habe ich bei KDE (Bug 297198) und bei SpamAssassin (Bug 6703) gemeldet.

Um SpamAssassin endlich wieder ein paar Mails lernen zu lassen, habe ich das – neue – Format mit sed quick and dirty in das – alte – ctime Format konvertiert. Da rechnen in sed nicht so einfach ist, habe ich von einer Anpassung der Uhrzeit an die Zeitzone UTC (+0000) abgesehen. Für eine bessere Lösung müsste ich wohl mit awk oder anderen Programmen arbeiten, was nicht so schnell umsetzbar ist. Hier der sed-Befehl in seiner vollen Schönheit:

sed ‘/^From / s#\(…\), \([0-3][0-9]\) \(…\) 2012 \([0-2][0-9]:[0-5][0-9]:[0-5][0-9]\) [+-][0-9]\{4\}#\1 \3 \2 \4 2012#’ < spam-kmail2.mbox > spam-kmail1.mbox

Das einfachste wäre, kmail2 ginge zum alten Datum-Zeit-Format zurück. Vielleicht bewegt sich auf der einen oder anderen Seite etwas. Bei SpamAssassin bewegte sich in den letzten Stunden sehr viel – bei KDE nichts außer meine Kommentare.

SPAM: USPS Shipment Info for …

Posted on by
Reply

Heute war es richtig heftig. Zwischen 13 und 14 Uhr habe ich zehn Mails mit dem Betreff “USPS Shipment Info for …” erhalten. Doppelt und dreifach fielen sie ein – an verschiedene Adressen. Alle enthalten wieder eine ZIP-Datei als Anhang, in der eine ausführbare Datei SPS-Shipment_Information-Report.exe mit ca. 106 KiB / 69,2 KiB eingepackt ist.

Der Virenscanner stört sich wieder mal nicht an den Dateien. Ich glaube, den schalte ich ab, der frisst nur Prozessorleistung und damit Strom.

OpenSuSE 12.1 und kontact / kmail 4.7.x oder 4.8.x

Posted on by
3

Ein kleines Update zu meinen Problemen mit kontact und kmail2. Ich bin jetzt bei der Version 4.8.3 angelangt und die wesentlichen Dinge funktionieren noch immer nicht.

  1. Die Mails lassen sich nicht in ein spamassassin verträglichen mbox Format exportieren. Dies ist sehr lästig, da dadurch das training des Bayes Filter in Spamassassin seit Wochen nicht funktioniert.
  2. Nur ein kleiner Teil der Mails wird durch die Filter in die Ordner verschoben. dies ist sehr lästig, weil ich alle Mails der Arten CRON-Job, SPAM oder Newsletter von Hand nachträglich sortieren muss.
  3. Filtern von Hand wirkt neuerdings erst nach zwei bis drei Minuten.

Es bleibt dabei, KDE 4.7 / 4.8 ist nicht für den produktiven Einsatz geeignet.

Und noch eine Rechnung

Posted on by
Reply
Screenshot der Fraud Mail

Betreff: Rechnung Nr. 5986084 vom 9.05.2012

Hallo lieber Kunde/Kundin,

wir sind sehr erfreut Ihnen mitteilen zu können, dass Sie sich für Premium Mail angemeldet haben.
Sie können jetzt bis zu 550 Sms pro Monat umsonst versenden und Ihr Speichervolumen erhöht sich um 12 Gb.

82,49 Euro werden Ihnen monatlich von Ihrem Konto entzogen. Entnehmen Sie die Vertragsdetails bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freundlichen Grüssen
Ihr Kundenservice

Schon etwas besser, aber nicht gut genug. Diese Mail-Adresse nutze ich nicht und schon gar nicht unter dem Pseudonym “yvon camille”. Wenn man schon E-Mail Adressen automatisch generiert, sollte man den Vor- und Nachnamen wenigstens auch als Empfänger nehmen und ihn nicht mit “Lieber Kunde” anreden.

Mein clamav will auch heute die Anhänge nicht als Schadsoftware erkennen. :-(

Gute Nacht

Ihr Lieferschein Nr. 64147052

Posted on by
2

Scrennshot E-Mail - Ihr Lieferschein Nr. 64147052

Oh Schreck, wofür soll ich 937,89 Euro Mitgliedsbeitrag zahlen? Bevor Panik ausbricht, genauer hinschauen. Die Firma Crimen GmbH wird von Google nicht gefunden, die Vorwahl 05403 gehört zu Bad Iburg, Beverungen hat die Postleitzahl 37688, die Umsatzsteuernummer ist ungültig, die E-Mail Adresse “n@…” nutze ich nicht und hartley chakkala heiße beim besten Willen nicht. Der Blick in den Anhang offenbart: Die übliche – unter Windoof – ausführbare Datei. Schlechter ist es kaum noch möglich.

Dear Spammer, there is much room for improvement!

Zur Zeit wir der Trojaner laut VirusTotal nur von fünf Scannern erkannt: AhnLab-V3, Commtouch, DrWeb, F_Prot und Sophos F-Prot. Meine beiden Scanner brauchen mal wieder etwas länger. Allerdings ist dieser Trojaner sehr jung.

Augen auf! Wachsam sein. Keine Panik!

Paypal: Fortsetzung blockiert ! Oder lieber ?

Posted on by
Reply

Screen Shot Paypal Fraud

Heute landete eine obige Mail in meinem Postfach. SpamAssassin hat sie leider durchgelassen. Aber da ich Paypal nutze, ist es nicht ganz einfach die Spreu vom Weizen zu trennen. Eigentlich nichts ungewöhnliches – nur schlechtes Deutsch und die alten Tricks. Interessant ist der angebliche Virenscan und der Hinweis, wie man Spoof- oder Phishing-E-Mails erkennt. Allerdings führt der Link nur zur Hauptseite von Paypal und von dort müsste man noch etwas suchen, um die gewünschte Information zu bekommen. In sich hat es der Link zum Einloggen, dernicht zu Paypal sondern zu einer Seite http://lordandladytantrum.co.uk/… führt. (Den vollständigen Link veröffentliche ich hier lieber nicht.) Eine andere Mail zeigt auf travelling-tots.co.uk. Da wurden wohl wieder ein paar Server gehackt.

Screen Shot der angeblichen Paypal Web Seite

Screen Shot der angeblichen Paypal Web Seite

Ich habe bei Paypal nachgelesen, wie ich echte E-Mails erkennen kann. (Gut, dass ich in diesen Punkten einen robusten Magen habe.) Ich darf mal zitieren:

Daran erkennen Sie echte Paypal E-Mails

Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang. Wir werden Sie darin nie auffordern, eine der folgenden Informationen preiszugeben:

Ihre Kreditkartennummer oder Kontoverbindung
Ihr Passwort, Ihre E-Mail-Adresse oder Ihren vollständigen Namen
die PIN oder TAN Ihres Bankkontos

Das ist ja alles ganz nett und wenig hilfreich – die obige Fraud Mail hält sich an diese Erkennungskriterien. Einzige wertvolle Information ist: Keine Anhänge! Aber bedeutet dies auch kein HTML? Ich schaue mal in mein Postfach. Nein, Paypal nutzt auch für die einfachen Zahlungsbestätigungen HTML. Unterschiede zur Fraud Mail: Paypal verwendet den Absender service (at) paypal.de und nicht PayPal (at) paypal.de. Außerdem nutzt Paypal sowohl Text als auch HTML (also doch Anhänge) und nicht wie die Fraud Mail ausschließlich HTML.

Ob Paypal schon etwas von digitalen Signaturen gehört hat? Wahrscheinlich genauso viel wie Banken, Postbank, Sparkassen und Co. Zu umständlich? Wohl kaum! Eher dürften da die geringen zusätzlichen Kosten pro E-Mail eine Rolle spielen. Die Masse macht es eben. Obwohl! DKIM-Signaturen werden schon genutzt. Nur welcher Nutzer sieht dies in seinem Mail-Client?

Belustigend ist auch der Server, der die Mails schickt (siehe Bild 3). Bei Gelegenheit werde ich recherchieren, wer sich hinter diesen Critcom – Trusted Internet Marketing Professionals verbirgt. “Trusted” müssen die mir mal erklären.

CRITCOM - Trusted Internet Marketing Professionals

CRITCOM - Trusted Internet Marketing Professionals

Sportlerin Ariane Friedrich stellt Follower an den Pranger

Posted on by
1

Es wogt im Internet. Die Sportlerin Ariane Friedrich veröffentlicht den Namen und Wohnort eines angeblichen Absenders einer “schweinischen” Facebookmail.

Liebe Followers, eben erreichte mich folgende Facebookmail : T. D., wohnhaft in A* schrieb:” Willst du mal einen schönen Schw*** sehen, Gerade geduscht und frisch rasiert.”

Zusätzlich hat er noch eine Datei mitgeschickt, die ich nicht öffnen werde.

NEIN HERR D., ich möchte weder Ihr Geschlechtsteil,noch die Geschlechtsteile anderer Fans sehen.

Anzeige folgt.

(Abkürzungen von mir , *** von ?)

Hierzu ein paar Anmerkungen. Wenn ich SPAM analysiere, gehe ich immer mit großer Sorgfalt vor, bevor ich einen Namen nennen. Einige haben schon den Hinweis gegeben, dass es sich auch um ein Scherz handelt könnte und das Bild einen frisch frisierten Pudel zeigt. Die Sorgfalt gebietet sich den Anblick – zumindest wenn es kein Pudel ist – anzutun. (Macht die Mail für einige vielleicht witzig, aber nicht besser.) Mein erster Gedanke bei dem Text war: Spam für Schwule oder für Frauen?

E-Mail Absender kann man fälschen. IP-Adressen lassen sich fälschen. MAC-Adressen ebenfalls – und MAC-Adressen werden nicht im IP-Paket übers Internet übertragen. Wenn der Provider den “From”-Eintrag nicht zwangsweise setzt, wie z.B. T-Online, dann kann unter Absender alles mögliche stehen. (Man schaue nur in seinen SPAM-Ordner und wird schnell feststellen, ein häufiger Absender ist die eigene Adresse.)

Bis zu einem gewissen Grad lässt sich auch die Aufzeichnung des Weges einer Mail durchs Internet im Header fälschen. Grundsätzlich kann man ihn nur bis zum letzten vertrauenswürdigen Server zurückverfolgen. Bevor man den Absender einer Mail öffentlich macht, sollte man den Header einer sehr genauen Analyse unterziehen. Diese gibt verlässlich aber selten mehr als den Client oder Server her, von dem die Mail verschickt wurde. (Wer meine Analyse der SPAM Mails verfolgt, wird feststellen, dass ich sehr wenig auf den “From”-Eintrag eingehe, weil er nicht aussagekräftig ist.)

Ich kann die Reaktion von Frau Friedrich zwar nachvollziehen, aber ich vermute, dass sie die Mail nicht genauer analysiert hat – sonst hätte sie zumindest den Anhang geöffnet – und finde die Namensnennung des angeblichen Absenders daher sehr unüberlegt. Angeblich gibt es in A. mehrere T. D. Einen Facebook Account gab es scheinbar – ich darf jedoch keine Informationen ansehen. Die Behauptung, dass es zwei T. D. im Telefonbuch von A. gibt, konnte ich nicht nachvollziehen. Es scheint sehr wenige T. D. zu geben. Aber mehr als einen.

Einen Facebook Accout unter falschen Namen anzulegen ist trivial, es wäre nicht der erste.

Ich hoffe, es finden sich keine selbsternannten Beschützer der einem unschuldigen Träger des Namens T. D. auf nicht legale Art Anstand beibringen möchte. Idioten, die sich dazu berufen fühlen, gibt es ja ausreichend – siehe Emden.

BTW: Auch mir wurde schon mit dem Rechtsanwalt gedroht, weil ich angeblich SPAM versende.

Ein Schwarz-Weiß Experiment

Posted on by
Reply
Cortendorf ein kleines Experiment in Schwarz-Weiß

Cortendorf Figur

Als ich mir heute das Bilder aus Robert Mapplethropes “The Black Book” anschaute, kam mir die Idee zu diesem Bild. Einige Bilder hatten einen geteilten Hintergrund oder das Bild war nicht auf die Fototapete beschnitten. Als Beispiele seien dieses oder auch dieses Bild genannt. Die Idee, dies mit dieser kleinen Porzellanfigur zu probieren, war geboren.

Die keine Figur reflektiert leider das Licht sehr stark in ihre Umgebung. Dies ergibt aus meiner Sicht hässliche “Lichtschlieren” auf der dunklen Seite und die Figur ist nicht mehr klar abgegrenzt.

Belichtet wurde das Bild mit einem NIKON SB 900 mit einer Softbox aus 2 Uhr (12 Uhr ist hinter der Figur, 6 Uhr die Kamera). Links steht ein schwarzer Fotokarton um das Licht des Blitzes abzuschatten, damit der Rücken nicht zu hell wird. Weißer Fotokarton wirft das Licht zu stark in den Rücken der Figur, möglichst dunkel sein sollte, ohne Zeichnung in der Tiefe zu verlieren.

Dies Bild ist das für mich beste Bild aus der entstandenen Serie. Ich habe es mit bibble5 aus dem RAW-Bild entwickelt. Einstellungen: Produkt Grayscale, leicht dunklere Schatten. Die Vignette wurde mit dem Plugin zBlur erstellt.

Trojaner als DHL Delivery Notification Message

Posted on by
Reply

Zur Zeit sind wieder verstärkt als DHL-Nachrichten getarnte Mails unterwegs, die alle nach dem gleichen Strickmuster arbeiten. Im Anhang befindet sich ein ZIP-File, das wiederum eine ausführbares Programm enthält.

SpamAssassin erkennt diese E-Mails sehr sicher als SPAM doch meine beiden Virenscanner clamav und AnitVir reagieren noch nicht drauf. Gem. Virustotal erkennen zur Zeit (24 Stunden nach dem ersten Auftreten) 27 von 42 Antivirenprogrammen (darunter AntiVir, nicht jedoch clamav) diese Mails als Schadsoftware. Es sieht danach aus, als hätten die “bösen” Jungs 24 Stunden Vorsprung vor den guten. Da bleibt nur die eigene Wachsamkeit.

Es wäre vielleicht hilfreich, wenn Virenscanner grundsätzliche eine Warnung ausgeben, wenn in einem ZIP-File nur eine ausführbare Datei eingebettet ist.

Der Absender ist in allen Fällen angeblich DHL International <notice@dhl.com.ky>

Betreff Zeilen:

  • Re: DHL Parcel Tracking Notification 9083981208723986
  • DHL Delivery Notification Message NEE15KT2VJICW26TT
  • DHL Express Notification for shipment 00325703307459069BID2
  • DHL Delivery Notification Message SHOK8NCDA2T77B7QG
  • DHL Tracking Notification ID: T081TNFNLSZ39PLWICM
  • DHL Delivery Notification Message L7WVZT2MDCZ9Z0NPR

Die Versender täuscht als Absender einen echten Server von DHL vor.

X-Spam-Relays-Untrusted: [ ip=199.40.20.209
	rdns=mykulws2395.kul-dc.dhl.com
	helo=gateway2a.dhl.com
	by=gateway2a.dhl.com ident= envfrom= intl=0 id= auth= msa=0 ]
Received: from [199.40.206.33] ([199.40.206.33:57562] helo=gateway2a.dhl.com)
        by cm-mr13 (envelope-from <notice@dhl.com.ky>)
        (ecelerity 2.2.3.46 r(37554)) with ESMTP
        id 29/97-04068-86BECFE4; Wed, 11 Apr 2012 07:41:58 +0000

Tatsächlich stammt eine näher untersuchte Mail aus einen Mini-Netz in Portugal. Hier haben die Spammer in der letzten Zeit etwas aufgerüstet. Die Received-Kette passt allerdings nicht lückenlos zusammen.

Die Empfänger-Adressen stammen aus einem sehr schlechten Adressverzeichnis. Die Adresse ist der verstümmelte Teil einer meiner Adressen, der sich seit Jahren in den Weiten des Cybernet hält. Abgesehen davon ist unter “To:” nichts eingetragen. Dies ist sehr ungewöhnlich für eine E-Mail von DHL.

Meine letzten Original DHL E-Mails sind einfache Text E-Mails. Kein Anhang, kein HTML. Nur eine Referenznummer im Text, teilweise mit einer Adresse zum direkten Aufruf der Informationen im Brower, aber nicht als Link – da ja kein HTML.

Es ist schon wieder spät. Gute Nacht.