SPAM: Deutsche Post. Sie mussen eine Postsendung abholen #9QKVOXDOXS

[vgwort line=“62″ server=“vg08″ openid=“b94482ca4bb9492281ad87112c47c988″]

Gerade habe ich eine SPAM Mail gefunden, die nur einmal in meinem Postfach landete. Dies ist ungewöhnlich, da ich normalerweise aus allen Rohren auf allen Adressen beschossen werde. Entweder ist es nur ein kurzer Versuchsballon oder es kommen demnächst mehr. Bei der VOLKSBANK Spam waren es 13 Stück. Kommt da noch mehr, oder war es das schon?

Dieser Versand mit der Stalinorgel hat für die Absender den Nachteil, dass ich schon allein anhand der Zahl der ähnlichen Eingänge Verdacht schöpfe. Es ist ungewöhnlich, dass eine Mail zweimal kommt. Da ich aber mehrere Mail Adressen verwende, kommen sie Mails natürlich auch mehrfach. Weniger wäre da sicher mehr.

From: Deutsche Post <support-pakete@deutschepost.de>
To: Eigene Adresse
Subject: Deutsche Post. Sie mussen eine Postsendung abholen #9QKVOXDOXS
Attachments: Deutsche_Post_Adresse.zip

Lieber Kunde,

Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen.

Grund: Ein Fehler in der Leiferanschrift.

Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen.

Anbei finden Sie einen Postetikett.

Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.

Vielen Dank!
Deutsche Post AG.

Keine Umlaute, schlechte Rechtschreibung …

Bei solchen Mails sollte sich jeder Fragen: Warum kann die deutsche Post so schlecht Deutsch? Wieso hat der Absender meine E-Mail-Adresse auf der Sendung angegeben? Woher sonst kennen die meine E-Mail Adresse? Warum kann ich die richtige Adresse nicht einfach angeben und es wird mir am nächsten Tag zugestellt?

Von der Quelle zum Ziel

Folgende Passage im Header beschreibt den angeblichen Weg des Mail zum Ziel.


X-Spam-Relays-Untrusted: [
ip=199.40.206.33 rdns= helo=gateway2e.dhl.com by=cm-mr13 ident=
envfrom=
intl=0 id=23/77-03268-86BBBFE4 auth= msa=0 ] [ ip=199.40.20.207 rdns=
helo=mykulws2393.kul-dc.dhl.com by=gateway2e.dhl.com ident= envfrom=
intl=0
id= auth= msa=0 ] [ ip=23.252.17.99 rdns=
helo=MYKULWS2399.kul-dc.dhl.com by=MYKULWS2395.kul-dc.dhl.com ident=
envfrom=
intl=0 id=14.1.339.1 auth= msa=0 ]
Received: from mykulws2393.kul-dc.dhl.com ([199.40.20.207])
by gateway2e.dhl.com with ESMTP/TLS/AES128-SHA;
Mon, 15 Oct 2012 10:25:48 +0200
Received: from MYKULWS2362.kul-dc.dhl.com (169.254.5.235) by
MYKULWS2393.kul-dc.dhl.com (199.40.20.207) with Microsoft SMTP Server
(TLS) id 14.1.339.6; Mon, 15 Oct 2012 10:25:48 +0200

Wie die Received-Einträge im Header zeigen, soll eine Quelle aus dem DHL Netz vorgetäuscht werden. Dabei wurde das reservierte Link-Local-Net 169.254.0.0/16 (LINKLOCAL-RFC3927-IANA-RESERVED), das bei fehlenden DHCP-Servers genutzt wird, als erste Quelle der Mail angegeben. Die Nutzung dieser Adressen durch eine größere Organisation halte ich für unwahrscheinlich. Private, reservierte Class A, B und C Netze finden sich in jedem Firmennetz, aber sicher keine Link-Local-Adressen. dies dürfte zu unerwünschten Problemen führen.

Das Netz 199.40.20.207 gehört zum DHL Information Services (Europe) s.r.o (Praha; Czech Republic). Bei mir kam die Mail aber von einem Server 192.117.155.18, der zu einem Netz EURONET – SMILE Internet Gold – ADSL Fixed IP’s in Israeln gehört. Dazwischen gibt es jedoch keine Verbindung.


Received: from my.firewall (unknown [192.117.155.187])
by h1383963.stratoserver.net (Postfix) with ESMTP id A1A55206E018
for <thomas@example.com>; Mon, 15 Oct 2012 10:25:49 +0200 (CEST)

Glücklicherweise lässt sich SpamAssassin von solchen Verschleierungen nicht täuschen. Hier dient wieder einmal der Spam-Filter als Trojanerschutz.

Payload der Mail

Angehängt ist ein ZIP-Archiv mit einer angeblichen PDF-Datei, die der Empfänger ausdrucken soll, die aber ein ausführbares Programm ist. Der übliche Trick halt. Das Ergebnis von ClamAV ist mal wieder traurig. Es ist aber auch wirklich nicht leicht, mit der Geschwindigkeit mit der neue Trojaner aufkreuzen, mitzuhalten. Siehe den aktuellen Stand der Erkennung unter virustotal.com. Zum Zeitpunkt meines Abrufens waren es 30 von 43. Dabei war der Trojaner schon über einen Tag alt.

Mich wundert, dass es in großen Organisationen nicht mehr Probleme mit Viren gibt.


Liste der Name des Trojaner:

  • Artemis!08A2E28D355C
  • BackDoor.Andromeda.22
  • Backdoor.Trojan
  • BDS/Androm.EB.19
  • FakeAlert
  • Heur.Dual.Extensions
  • Trj/CI.A
  • Trojan.Generic.KDV.761361
  • Trojan.Injector!yVqX9u7dxX8
  • Trojan.Win32.A.Zbot.53095
  • Trojan/Win32.Buzus
  • Trojan.Zip.Bredozp.b
  • TROJ_DLOADER.GML
  • VIRUS_UNKNOWN
  • W32/EncPk.CWP!tr
  • W32/Trojan2.NTKJ
  • W32/Troj_Generic.ETURU
  • Win32/Mal!Zip
  • Win32/TrojanDownloader.Wauchos.A
  • Worm:Win32/Gamarue.I

4 Kommentare

  1. Gute Frage,
    da ich kein Windows Nutzer bin, ist es schwer diese Frage qualifiziert zu beantworten. Das Beste wird es sein, den Rechner mit einem Life-System zu booten. Dazu würde ich Knoppix mit AntiVir bzw. ClamAV nehmen. Die erkennen die Viren zwar nicht in der Mail, aber auf dem Rechner könnte es anders sein.

    Möglicherweise gibt es auch ein Removal-Tool, habe aber keines bei Google gefunden. Nach einer Datensicherung würde ich den Rechner neu aufsetzten, egal was die Anti-Virensoftware meint. Bevor irgendeine andere Software oder ein Update auf den Rechner kommt, die Anti-Virensoftware installieren. Dann die Daten prüfen.

    Aber Vorsicht: Nur die Daten, nicht den Trojaner sichern und zurück spielen.

  2. Das Programm enthält laut Avira-VirusLab den „BDS/Androm.EB.19“, den habe ich auch schon entfernt. Leider wird ein Benutzer der sich anmeldet immer noch sofort wieder abgemeldet – außer im abgesicherten Modus.

    1. Da bleibt als sicherste Methode wohl nur die Neuinstallation.
      Vielleicht auch mal in der Registry die Run und RunOnce Einträge ändern. Aber Vorsicht. Manche Trojaner schreiben die Einträge beim Shut Down neu. Dagegen hilft nur Stecker ziehen – soweit ich weiß.

Kommentare sind geschlossen.