SPAM: USPS Shipment Info for …

Heute war es richtig heftig. Zwischen 13 und 14 Uhr habe ich zehn Mails mit dem Betreff „USPS Shipment Info for …“ erhalten. Doppelt und dreifach fielen sie ein – an verschiedene Adressen. Alle enthalten wieder eine ZIP-Datei als Anhang, in der eine ausführbare Datei SPS-Shipment_Information-Report.exe mit ca. 106 KiB / 69,2 KiB eingepackt ist.

Der Virenscanner stört sich wieder mal nicht an den Dateien. Ich glaube, den schalte ich ab, der frisst nur Prozessorleistung und damit Strom.

Ihre Email-Won 915.810,00

Das ist ja unter einer Millionen. Dafür mach ich keinen Finger krumm. Ich habe schon genug Mühen, die vielen Preise, Erbschaften und was weiß ich nicht alles zu verwalten.

Meine E-Mail hat gewonnen, aber steht nicht als To-Adressat in der Mail? Seltsam! Etwas mehr Mühe bei Orthografie und Grammatik wäre auch nicht schlecht. Offensichtlich sind Umlaute dem Schreiber nicht gänzlich unbekannt, aber er geht sehr sparsam mit den doppelten Pünktchen um.

Lästig. Einfach nur lästig. Was mich interessiert: Wer ist noch so dusselig, dass er auf diese Mails herein fällt?

Nachtrag 2: Postbank

Heute hatte ich gleich drei angebliche E-Mails der Postbank mit dem Betreff Kontoüberprüfung im virtuellen Postkasten.

Der Link zur angeblichen Kontoseite ist jetzt: mails.megido.org.il/www.postbank.de/


Siehe auch

  1. „Postbank – Nachtrag“
  2. „Postbank — Wichtig! — Nein, gewiss nicht!“

NACHA Alert Trojaner

Trojaner Server
Trojaner Server
Zur Zeit treten vermehrt Mails mit dem Betreff „[e-mail-adresse] Nacha Alert ID[Nummer]“ auf. Der Aufbau der HTML-Mail ist sehr einfach. Sie enthält die Aufforderung seinen NACHA Accout durch folgen des Links aufzudatieren. Die ID-Nummer in der Mail muss dabei nicht mit der im Betreff übereinstimmen. Die Links unter dem Text und dem Logo verweisen auf ein ausführbares Programm. Dabei werden verschiedenen Server verwendet. Die Datei wird bei mir von ClamAV und AntiVir zur Zeit nicht nicht als Schadsoftware erkannt. Auf VirusTotal ergibt sich eine Erkennungsrate von 8/43. BitDefender bezeichnet das Teil als Trojan.Generic.KD.540289 und Kaspersky als Trojan.Win32.Jorik.Downloader.uf

Das Programm liegt auf verschiedenen Servern. In den letzten zwei Tagen waren es folgende:

  1. cattaneoetcie.fr – 87.106.171.182 – Cattaneoet&Cie
  2. machineryvaluerssydney.com.au – 50.22.40.192
  3. rscine.ro – 209.217.228.21 – Romanian Society of Cinematographers
  4. www.soloairesmaduro.com – 72.44.88.111 – Account gesperrt

Die Datei- und Verzeichnisnamen unter denen sich der Trojaner versteckt, sind jeweils andere zufällige Zeichenfolgen. 🙂 Die Clients, die Mails verschicken, sind nicht identisch mit den Servern, auf denen die Trojaner liegen. Mail-Sender-IP: 12.215.64.124, 125.165.177.159, 188.2.55.41, 37.107.20.245. Es scheint hier gibt es ein kommunizierendes Botnetz.

Registrator ist für machineryvaluerssydney.com.au „Crazy Domains“. Passt.

Der Account für die Seite www.soloairesmaduro.com ist suspendiert und der Trojaner kann nicht mehr heruntergeladen werden. Bei den Anderen war er gerade eben noch verfügbar. Bin gespannt, ob sie auf meine E-Mail reagieren.

Es scheint leicht unterschiedliche Varianten des Trojaners zu geben. Größe der gefundenen Dateien: 95232 und 95744 Byte.


Ergänzung: Pressemitteilung NACHA:Fraudulent Emails Appearing to Come from NACHA: Educate Yourself

World Trade Register Spam

Startseite der World Trade Registry
World Trade Registry - Startseite

Ab und an trudeln bei mir E-Mails des World-Trade-Register ein. Heute waren es drei. Die E-Mail Adressen habe ich nie vorher benutzt, (sales@…, port@…, accounts@…) doch dank „catch all“ wird hier alles akzeptiert, was vor dem „@“ steht. Wieso sollte ich eine Newsletter abmelden, für den ich mich nie registriert habe?

Hier der Text der E-Mail:

Dear Madam/Sir,

In order to have your company inserted in the World Trade Register’s 2012/2013 edition, please print, complete and return the enclosed form to the following address:

World Trade Register
P.O. Box 3079
3502 GB Utrecht
The Netherlands

email: register@2business-list.com
Fax: +31 205 248 107
Business Registration 2012/2013

Updating is free of charge!

To unsubscribe, please send an email to remove@2business-list.com
wtr2012.pdf

Terms of World Trade Registry
AGB des World Trade Registy
Angehängt ist ein Formular als PDF-Datei[1] wtr2012.pdf, das nach dem Ausfüllen an eine niederländische Adresse geschickt werden soll, damit man auf der Seite worldtrageregister.net eingetragen wird. Wer das Kleingedruckte in dem Formular übersieht, ist schnell um 2985€ (Ich habe keinen Punkt zwischen der 29 und 85 vergessen!! Siehe Screenshot.) ärmer. „Updating is free of charge!“. Das darf ich bei der Jahresgebühr wohl erwarten.

Warum die doch sehr dürftigen Angaben, die die Datenbank anzeigt, 995€ pro Jahr bei drei Jahren Mindestlaufzeit wert sein sollen, ist mir nicht ersichtlich. Es gibt zu den verschiedenen Themen nur wenige Adressen, bei einigen gibt hinter dem Link keine Web-Seite oder einen Server-Fehler. Meine Suche nach VW, Volkswagen und IBM war erfolglos. Der Suchbegriff Deutschland liefert keine Treffer und Germany nichts in Germany. Die sind wohl noch im Aufbau begriffen.

Die IP-Adresse 203.142.31.51 gehört zu einen Provider in Singapur. Der whois Eintrag der Domain worldtraderegister.net gibt leider nicht viel her, aber eine niederländische Firma, die ihre Domain in Singapur anonym registrieren lässt, erweckt bei mir den Verdacht auf Abzocke oder Betrug.

Registrant Contact:
        Katz Global Domain Name Trust
        Privacy Protected Domain Name Privacy Enhance Service (domaintrust@katzglobal.com)
        32 Maxwell Road #03-07 c/o
        SG, SG, sg 069115
        P: +65.67228356 F: +0.0
  1. [1]Gemäß Virus-Total keine Schadsoftware

Facebook is following you

You have 4 lost messages on Facebook
Facebook Spam
Heute habe ich mir eine weitere facebook Spam E-Mail angesehen. Kmail zeigt mir grundsätzlich nur den Textteil an und lädt keine Quellen aus dem Internet. Facebook Originale haben einen Text- und einen HTML Teil. durch meine Einstellungen bekomme ich den HTML-Teil nie sehen. Nur die Spam Mails verzichten aus gutem Grund auf den Text-Teil. In diesem Fall verweist kmail mangels Alternativen auf den HTML-Teil. Für den Screenshot und um zu sehen, wie die Spam E-Mail ohne diese Sicherheitseinstellungen aussieht, ließ ich – nach Entschärfen des Inhaltes – die E-Mail im Inline-Browser darstellen.

Nur ein Link führt zu facebook, die anderen auf Seiten des Absenders. Dieses Verhalten kenne ich schon. Es interessierte mich heute nicht. Heute wollte ich dem HTML-Code zu Leibe rücken. Der erwies sich bis auf das Ende als langweilig. Gegen Ende fand ich folgendes Konstrukt:


<img src="http://www.facebook.com/email_open_log_pic.php?mid=[..]" style="border:0;width:1px;height:1px;" />
<bgsound src="http://www.facebook.com/email_open_log_pic.php?mid=[..]&sa" volume="-10000"/>

Hier werden offensichtlich Dateien von facebook nachgeladen. Es handelt sich hier um PHP-Script, das mit dem ersten Abruf ein transparentes GIF-Bild in der Größe 1×1 Pixel und mit dem zweiten eine Sound Datei zurück liefert. Wenig sinnvoll, diese minimale Information mit einem solch großen Parameter zu steuern, wenn man im Hintergrund nicht noch mehr beabsichtigt. Der Name deutet auf die Absicht hin: Hier soll verfolgt werden, ob der Nutzer die Mail geöffnet hat. Mit dem Abruf des für den Nutzer unsichtbaren Bildchen und Sound kann die E-Mail nach Hause telefonieren. Was dann dort wohl alles registriert und gespeichert wird? Auf Web-Seiten wäre dazu noch Javascript und mindestens ein Cookies erforderlich. Diese Dinge sind nicht im Code enthalten. In einer individuellen Mail ist dies nicht erforderlich, da der Absender weiß, wem er die E-Mail schickt und für jeden Adressaten einen individuellen Schlüssel generieren kann.

„Facebook is following you“ weiterlesen

Disclaimer oder Angstklauseln

E-Mail Disclaimer erfreuen sich einer wachsenden Beliebtheit. Automatisch als Signatur angehängt muss man sich keine Gedanken mehr darüber machen. Sie beruhigen das eigene Gewissen und vergeuden unnötig Speicherplatz. In einem großen Unternehmen mit Millionen Mails pro Tag kommen schnell einige Hundert Megabyte pro Tag zusammen. Oft sind die Disclaimer länger als der eigentliche Inhalt. Gelesen und beachtet werden Disclaimer nie, weil sich alle dran gewöhnt haben. Verbindlich für den Empfänger sind sie auch nicht. Heute erhielt ich eine Mail, aus deren Inhalt (z.B. Anrede) nicht hervorging, ob ich der richtige Empfänger bin, was mich zu folgender, leicht verfremdeter Antwort veranlasste.

Sehr geehrter Herr Meier-Müller,

ich habe heute die anliegende Mail erhalten. Aus dem Disclaimer geht hervor, dass Sie annehmen, ich könnte nicht der richtige Adressat Ihrer Mail sein oder diese Mail irrtümlich erhalten haben.

Aus Ihrer Mail geht nicht hervor, ob einer dieser Fälle zutreffen könnte. Zwar habe ich einen entsprechenden Antrag gestellt, allerdings könnte dies auch für andere Antragssteller zutreffen.

Falls ich der falsche Adressat bin oder die anliegende Mail – aus welchen Gründen auch immer – mir irrtümlich zugestellt wurde, bitte ich um Mitteilung.

Mit freundlichen Grüßen

Thomas Arend
[Schnipp – Schnapp]

************************************************************
Dieses Dokument wurde elektronisch erstellt und trägt daher
keine Unterschrift.
************************************************************
Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte
Informationen. Wenn Sie nicht der richtige Adressat sind oder diese
E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den
Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren
sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
[Schnipp – Schnapp]
************************************************************

Ich frage mich, ob es sich lohne könnte auf derartige Disclaimer mit einer automatischen Anfrage an den Absender zu generieren.

Dies ist eine automatische Anfrage und ohne Unterschrift gültig.
Anliegende Mail wurde von mir empfangen. Sollte ich diese Mail irrtümlich erhalten haben oder nicht der richtige Adressat sein, bitte ich um Rückruf, da eine Mail einen unendlichen Regress erzeugen könnte.

Sollten sie nicht der ursprüngliche Absender sein, fühlen Sie sich bitte an Ihren eigenen Disclaimer gebunden. Ach, der stammt ja nicht von Ihnen. Tun Sie es trotzdem.

Mit freundlichen Grüßen

Der automatische Mailbeantworter

Aber ob’s hilft?


Links

http://www.angstklauseln.de/

Mails ausdrucken und in Bilder verwandeln

Hier kurz ein kleiner Tipp wie unter Linux und kmail aus einer Mail ein Bild wird.

  1. Schritt: Ausdrucken
    Mail im Postscript-Format in eine Datei ausdrucken. Kurze Mails ggf. auf A5 statt A4 ausdrucken. Eventuell Ränder vorher anpassen.
  2. Schritt: Umwandeln
    Mail mit dem Script ps2png (siehe unten) ausdrucken. Ggf. ist das Papierformat auch hier umzustellen.
#!/bin/sh

gs -dBATCH -dNOPAUSE -q \
    -sDEVICE=png256 \
    -sPAPERSIZE=a4 -r300 \
    -sOutputFile="`basename \"$1\" .ps`.png" "$1"