SPAM: Luftfrachsendung AWB (79698779548732)

Luftfrachtsendung AWB.pdf
E-Mail mit einem Anhang AWB.pdf, der angeblich geprüft werden soll.

Es ist ein – zumindest mir – neue Form des Trojaners unterwegs. Diesmal ist die angehängte Datei AWB.pdf wirklich eine PDF Datei und kein in einem ZIP File mit doppelter Endung eingepacktes Programm. Beim Aufruf mit Adobe Acroread wird nur eine Seite anzeigt, die mitteilt, dass der Adobe Acrobat Reader aktualisiert werden muss. Unter Windows könnte es einen Link geben. Hier unter Linux wird kein Link angezeigt.

Kann nicht geoffnet Dokumentation. Aktualisieren Sie den Adobe Acrobat Reader.

„SPAM: Luftfrachsendung AWB (79698779548732)“ weiterlesen

Trojaner: Angebliche GMX-Rechnung

Heute kam eine angebliche Rechnung von GMX herein. Ihr erster Fehler ist, dass ich nicht Pahling heiße. Außerdem geht die Rechnung an eine Mail Adresse, die ich für diese Zwecke nicht verwende. Im ZIP-Anhang findet sich der erwartete Trojaner. Mit 17 von 46 Virenscannern ist die Erkennungsrate sehr schlecht (Stand: 2013-08-20 13:56:55 UTC). Manche melden auch ein verdächtiges File, was sich einfach aus der Tatsache ZIP-Archiv mit einem File mit der Endung .pdf.exe herleiten lässt. Warum nicht alle Scanner diese Warnungen ausgeben, ist mir schleierhaft.

Falsche GMX Rechnung
Falsche GMX Rechnung

„Trojaner: Angebliche GMX-Rechnung“ weiterlesen

Trojaner: Ihre Vertragsbest tigung

Heute sind drei Vertragsbestätigungen ohne „ä“ im Postfach, die nicht als Spam erkannt wurden. Alle stammen von kontakt-noreply@kundenservice-energie.de. Da braucht man nicht nachdenken, um zu erkennen, was es ist. Der Anhang ist eine Zip-Datei Auftragsbestaetigung_600975.zip, die wiederum einen Trojaner Auftragsbestaetigung_659022.pdf.exe und enthält.

Das ist langweilig; lasst euch etwas Neues einfallen. Gute Nacht

Trojaner: 1&1 Telecom GmbH – Ihre Rechnung 721399563459 vom 05.04.2013

Es wird wieder ein Trojaner über E-Mail verteilt. Diesmal tarnt er sich als 1&1 Telecom GmbH Rechnung mit einer angeblichen Rechnungsnummer im Subject und einer Kundennummer im Text. Einen Anrede gibt es nicht, so dass wahrscheinlich keine guten Adressdaten hinter der verwendeten Adresse stehen. Meinen Anschluss habe ich nur nicht bei 1&1.

Der Anhang zeigt das übliche Vorgehen: Eine angebliche Rechnung im PDF-Format, die in ein ZIP-Archiv verpackt ist. Bei Näherem Hinsehen entpuppt sich die Rechnung als ausführbare Windows-Datei.

Date: Mon, 15 Apr 2013 11:37:34 +0100
Subject: 1&1 Telecom GmbH – Ihre Rechnung 721399563459 vom 05.04.2013
Message-ID: <0EDDDP-5OU8ZGQHS7-00XCF1@mbulk.1and1.com>
From: Rechnungsstelle 1&1 Telecom GmbH <rechnungsstelleservice@1und1.de>
To: <thomas@example.com>

Ihre Kundennummer: 105038665

Sehr geehrter,

heute erhalten Sie Ihre Rechnung vom 05.04.2013 im PDF-Format.
Der Betrag wird in den 7 Tagen von Ihrem Konto abgebucht.

Wichtige Information zu Ihrem Einzelverbindungsnachweis (EVN)
Ihre Einzelverbindungsdaten finden Sie ab sofort unter Ihrer jeweiligen Rechnungsnummer
in Ihrer RechnungsFCbersicht http://login.1und1.de.

Bestimmt wundern Sie sich, weshalb die Einzelverbindungsdaten in Ihrer 1&1
Rechnung fehlen und wir Sie heute auf das Control-Center aufmerksam machen.
Damit Ihre Daten demn4chst noch sicherer sind, hat der BfDI – Bundesbeauftragter
FCr den Datenschutz und die Informationsfreiheit – die 1&1 Internet AG aufgefordert,
den unverschlCsselten E-Mail-Versand der Einzelverbindungsdaten direkt einzustellen.
1&1 ist der Schutz Ihrer persnlichen Daten besonders wichtig.
Ab jetzt stehen Ihnen daher alle Einzelverbindungsdaten ausschlie Flich online bereit.

Um das PDF-Dokument zu lesen und auszudrucken, bentigen Sie das Programm
‚Acrobat Reader‘ von Adobe. Einfach kostenlos unter http://www.adobe.de/products/acrobat/readstep2.html herunterladen.

Mit dem UTF-8 Format hat es der Schreiber der E-Mail nicht so. Dadurch klappt es auch nicht mit den Zeilenumbrüchen. Kann aber auch ein Problem von K-Mail sein.

Trojaner: Bilder von Elena

Warnung Betrug
Liebe Elena, dieser Versuch ist nun ziemlich dreist. Eine reine Text-Mail und darin ein Link auf ein angebliches Bild, das in Wahrheit ein ausführbaren Programm ist. Weniger Aufwand geht kaum noch.

Um die Unterstriche (_) zwischen jpg und exe zu übersehen muss man blind sein. Kleiner Tipp: Mit entsprechender Programmierung des Server ginge es auch ohne Unterstriche und .exe.

From: „Elena“ <new@guest.arnes.si>
To: <thomas@example.com>
Subject: Hallo
Date: Thu, 11 Apr 2013 14:13:01 +0200
Hallo, mein lang erwarteter Freund! Wie geht es?
Sie sind wahrscheinlich erschuttert und fragen sich wo ich Ihre
E-Mail-Adresse bekommen habe? OK, ich mache eine Erklarung. Ihre
E-Mail-Adresse habe ich durch eine Ehevermittlung gekriegt. Ich habe mich an
Heiratsvermittlung gewendet um einen Mann durch Weltnetz kennenzulernen. Ich
mache mit einem Mann zum ersten Mal durch Internet Bekanntschaft, deswegen
habe ich mich an Heiratsvermittlung gewendet. Ich bin interessiert an
ernsten Liebesbeziehungen, ich will es einfach nicht, meine Zeit auf Spiele
zu vergeuden. Ich hoffe, dass Sie auch ernste Liebesbeziehungen bevorzugen
und dass ich Ihre E-Mail-Adresse richtig aufgeschrieben habe, sodass meine
Nachricht Sie erreicht.
Ein wenig uber mich:
Von dem Namen bin ich Elena. Ich wurde am 25. August 1983 geboren. Ich bin
168 cm hoch, mein Gewicht ist ca. 54 kg.
Wahrscheinlich wirst du dich uberraschen, wenn du erfahrst, dass ich nicht
in deinem Land wohne. Ich komme aus Russland. Ich habe eine Hoffnung, du
hast keine Angst davor. Ich bin ja dieselbe Lady, wessen Herz und Seele in
unterschiedlichen Landern sich befinden.

Du kannst mein das Foto sehen, ich schicke dir die Verbannung auf mein das
Foto: http://184.82.222.116/photo.jpg_______.exe

Ich werde uber deiner auf die Antwort auf meinen mail warten:
sindelnatalia@epktmail.com

Dies ist mein erster Probebrief an dich. Ich schicke dir mein Foto, damit du
mich dir besser vorstellen kannst. Ich hoffe, dass mein Bild schon ist, und
dass du keine Angst davor haben wirst, dass ich aus dem anderen Land komme.
Ich warte ungeduldig auf deinen Brief.
Mit allerbesten Wunschen, Elena.

(Hervorhebung in Fett, Rot von mir.)

Trojaner: YouTube Support sent you a personal message: Your video has been approved

Komisch, dabei habe ich kein Video hoch geladen und und benutze für YouTube eine andere Mail Adresse.

Wieder der alte Trick mit den verdeckten Links in HTML und die Umleitungen von einem Rechner zum nächsten. Langweilig.

Ab in den Müll.

Ich wünsche allen frohes neues Jahr.

Pishing: Facebook – Account verification

Finger weg von den Links in diesen Mails
Facebook - Account verification fake
Facebook – Account verification fake

Netter Versuch Jungs, doch diese Mail-Adresse kennt Facebook nicht.

From: „Facebook.Team“ <9AF3AA6C@moostique.ch>
To: <thomas@excample.com>
Subject: Account verification
Date: Wed, 19 Dec 2012 10:36:39 -0500
Hi thomas,

Your account has been blocked due to spam activity.
To
activate account, please follow this link:
You may be asked to enter this confirmation code: 0754718
The Facebook Team
Didn’t sign up for Facebook? Please let us know.

Hinter dem angeblichen Facebook Link verbirgt sich in Wirklichkeit die Seite datingbest2012.info, die ich hier, genau wie meine Domain, durch example.com ersetzt habe. Die Domain datingbest2012.info ist erst gestern angemeldet worden, hat aber schon heute keine IP-Adresse mehr. Damit läuft der Link ins Leere und ich kann leider nicht ausprobieren, was geschieht. Aber Vorsicht: Es gibt sicher nicht nur einen Server und eine Domain.

Absender ist ein Rechner in Lima, Peru. Wie klein die Welt ist.

Auffällig ist die E-Mail-Adresse des angeblichen Absenders: „Facebook.Team“ <9AF3AA6C@moostique.ch>. So eine Adresse wird sicher nicht von Facebook genutzt. Hier wurde der Lokalteil (Teil vor dem @) der Adresse – zufällig? – generiert und besteht aus acht hexadezimalen Zahlen. Damit entspricht der Aufbau des Lokalteils entspricht dem Aufbau eines bestimmten sehr lästigen Typs Spam. Teilweise werden auch die Empfänger zufällig generiert und dann landen die Rückmeldungen (Zustellfehler) der empfangenden Mail-Server beim Mail-Server missbrauchten Domain. Sehr lästig, wenn man alles als gültigen Adressaten akzeptiert. Das „Default-Postfach“ bekommt dann reichlich Zustellfehler.

Damit soll es genug sein.

Trojaner: eFax message: You have received a 4 page(s) fax from caller ID: 201-895-0425

Man, so viele Leute mit einer FAX-Nummer. Jetzt spinnen die Spammer aber wirklich. Ob sich wirklich Trottel finden, denen nicht auffällt, dass es neben dem To-Adressaten 14 Copy-Adressaten gibt?

From: „eFax“ <mauromoccia@example.com>
To: <ms@example.com>
Cc: <carlson@example.net>, <r@example.de>,
<b_w@example.de>, <t.r@example.de>,
<t.a@example.de>, <s@example.de>,
<p.a@example.de>, <i@example.de>, <r@example.de>,
<d@example.com>, <mhi@example.com>, <c5@example.com>,
<d.h@example.com>, <s@example.com>
Subject: eFax message: You have received a 4 page(s) fax from caller ID: 201-895-0425
Date: Mon, 17 Dec 2012 09:56:22 -0800
Fax Message [Caller-ID: 201-895-0425]

You got a 4 page(s) fax at Mon, 17 Dec 2012 09:56:22 -0800.
* The reference number for this fax is jke3_ngf71-2012171209-7204301216-71

To look obtained fax you need to open a file attached to this message. It should be opened and run by double clicking on the file name. To view a file in PDF format, you need Adobe Reader, a free application distributed by Adobe Systems or any other free viewer for PDF files.

What is PDF format?
Portable Document Format (PDF) is a file format developed by Adobe Systems. PDF captures formatting information from a variety of desktop publishing applications, making it possible to send formatted documents and have them appear on the recipient’s monitor or printer as they were intended.

Change your file format!
You can change the format you receive your faxes in. Go to your Account section (link to my account) to see other file format options.

Please visit www.eFax.com/en/efax/twa/page/help if you have any questions regarding this message or your service.
Thanks for using the eFax® service!

© 2012 j2® Global Communications, Inc. All rights reserved.
eFax® is a registered trademark of j2® Global Communications, Inc.

This account is subject to the terms listed in the eFax Customer Agreement
FAX_20121712_4632664057_2.pdf.zip

Die E-Mail Adressen habe ich verfremdet.

Trojaner: Blackhole

Heute kam der Trojaner Blackhole in einem neuen Gewand.

From: HamzaKiewiet@t-arend.de
To: <thomas@t-arend.de>
Subject: Re: Changelog New
Date: Fri, 30 Nov 2012 11:01:32 +0100
Good morning,

changelog update – View

I. LENTZ

Die Obfuskierung ist nun etwas „komplexer“. Etwa jedes 8te Zeichen ist ein „=“. Dieses und das nachfolgende Zeichen werden ignoriert. Die aus zwei Zeichen bestehende Zahl wird nun auch durch drei geteilt. Damit müsste ich meine Deobfuskierung anpassen, aber dazu habe ich heute keine Lust.