SPAM: Supreme Employees Solution Limited

Nein, dieses Arbeitsangebot per E-Mail ist nicht von Supreme Employees Solution Limited. Die richtige Adresse dieser Firma lautet (wahrscheinlich) www.supremeemployees.co.uk. Diese Web-Seite ist aber auch noch kein Jahr alt. supremeemployees.com ist erst am 16. Juli 2014 registriert worden und die IP Adresse 91.220.131.32 ist bereits von früheren Betrugsversuchen bekannt. Auf diesem Server sind / waren auch die gefälschten Seiten der Lismore Recruitment oder Direct Personnel Midlands beheimatet.

Über tcpiputils.com finden sich weiteren Domains in der Nachbarschaft, die gefälschte Web-Seiten enthalten.

Liste der Domains

„SPAM: Supreme Employees Solution Limited“ weiterlesen

Gesundheit der russischen Bevölkerung spürbar verbessert

Nach dem Einfuhrverbot europäischen Gewächshausgemüses und der Schließung von drei Fast Food Läden der amerikanischen Kette Mc Donalds hatte sich die durchschnittliche Gesundheit der russischen Bevölkerung binnen Tagen messbar verbessert. Mediziner der Moskauer Universität führen dies auf die höhere Qualität der Produkte aus dem eigenen Garten zurück. Aufgrund der gestiegen Preise auf dem freien Markt, die kaum ein Russe bezahlen kann, weicht die Bevölkerung verstärkt auf gesündere Produkte aus eigenem Anbau aus.

Die deutlich höhere Qualität der eigenen Produkte führen die Wissenschaftler auf die große Sorgfalt beim Abbau zurück. Auch Holländer essen aus gutem Grund nicht alles, was sie selbst anbauen, stellt ein namentlich nicht genannter Wissenschaftler fest. Wer weiß, dass er das Zeug später selbst essen wird, legt besonderen Wert auf hochwertigen Anbau.

SPAM: Nun geht es endlich los, …

ich kann mit meinem Nebenjob mein erstes Geld verdienen. Und ich dachte Hubert Schlosser hätte mich vergessen. Jetzt muss ich nur noch die Casino Software herunterladen, seinem ABSOLUT sicheren System folgen und … Roulette spielen. Moment mal, seit wann ist Roulette spielen eine Arbeit? Und erst einmal verdiene ich kein Geld, sondern darf 40€ bis 50€ oder gerne mehr zahlen.

„SPAM: Nun geht es endlich los, …“ weiterlesen

SPAM: Nebenjob August


Landing Page Screen Shot Nebenjob
Landing Page der RichPro Internet GmbH für Nebenjobangebote.
Heute habe ich unter dem Betreff „Aktuelle Nebenjobangebote“ wieder tolle Angebote für tolle Jobs von Hubert Schlosser erhalten. Ich kenne keinen Hubert Schlosser, aber er kennt teilweise er zu meinen E-Mail-Adressen meinen Namen und Vornamen.

Wer steckt dahinter?

„SPAM: Nebenjob August“ weiterlesen

Neuer MS-Word Trojaner

Erste Seite des MS-Word Trojaners
Erste Seite des MS-Word Trojaners
Heute habe ich zahlreichen E-Mails mit einem neuen MS-Word Trojaner erhalten. Entweder konnte ich das Dokument direkt herunterladen, oder es war in einer Zip-Datei eingebunden. Die älteste E-Mail ist von heute 8:32 MESZ.

Betreff Zeilen sind beispielsweise:

  1. The answer from the forum id 56681472642
  2. Re: Erforderliche Dokumentation #454012
  3. Die Anfrage ist erfolgreich abgeschlossen

Die Nummern können dabei durchaus variieren. Auch wird die Schadsoftware über zahlreiche gehackte Server bereitgestellt.

Die Dateien heißen Dokumentation.zip, Abschluss.Doc, oder Die_Anforderung.zip. Teilweise wird dem Downloadlink auch die E-Mailadresse des Adressaten angefügt. Z.B. …/Dokumentation.zip?posnmaster@example.com. Die Datenbank der E-Mail-Adressen, die die Kriminellen verwenden, ist sehr schlecht. Für eine meiner Domains werden Adressen genutzt, die ich nie verwendet habe. Wie hier zu sehen posnmaster statt postmaster.

Sichtbar gemachter Beginn des Programmcodes des Trojaners.
Sichtbar gemachter Beginn des Programmcodes des Trojaners.

Das Word-Dokument enthält Hinweise, wie der Empfänger die Makro-Sicherheit ändern muss, damit der Trojaner funktioniert. Netter Trick. Im hinteren Teil ist der Code des Programms als Text eingetragen, allerdings in weißer Schrift auf weißem Grund, so dass der Programmcode auf den ersten Blick nicht erkennbar ist. Das Dokument scheint nur unsinnig viele leere Seiten zu enthalten.

Die Subroutinen des Trojaners ist stärker obfuskiert als bei den bisherigen Makro_Trojaner. Sogar der Text des Dokumentes wird am Ende geändert. Im Kern wird recht umständlich nach einem Marker „XsTSveotalxVWX“ gesucht, der den Beginn des Programmcodes kennzeichnet. Anschließend wird der Code in eine Datei im Userprofile – in einem Fall hgZWJKrXclYjI.exe – gespeichert und anschließend ausgeführt. Einige Seiten werden bereits als gefährliche Seiten erkannt. Die meisten Antiviren-Programme erkennen die Dateien und die Server immer noch nicht als Schadsoftware oder als befallene Seiten.

Hier geht es zu einem Report bei Virustotal.

Gute Nacht.