Trojaner: Angebliche GMX-Rechnung

Heute kam eine angebliche Rechnung von GMX herein. Ihr erster Fehler ist, dass ich nicht Pahling heiße. Außerdem geht die Rechnung an eine Mail Adresse, die ich für diese Zwecke nicht verwende. Im ZIP-Anhang findet sich der erwartete Trojaner. Mit 17 von 46 Virenscannern ist die Erkennungsrate sehr schlecht (Stand: 2013-08-20 13:56:55 UTC). Manche melden auch ein verdächtiges File, was sich einfach aus der Tatsache ZIP-Archiv mit einem File mit der Endung .pdf.exe herleiten lässt. Warum nicht alle Scanner diese Warnungen ausgeben, ist mir schleierhaft.

Falsche GMX Rechnung
Falsche GMX Rechnung

„Trojaner: Angebliche GMX-Rechnung“ weiterlesen

Trojaner: Ihre Vertragsbest tigung

Heute sind drei Vertragsbestätigungen ohne „ä“ im Postfach, die nicht als Spam erkannt wurden. Alle stammen von kontakt-noreply@kundenservice-energie.de. Da braucht man nicht nachdenken, um zu erkennen, was es ist. Der Anhang ist eine Zip-Datei Auftragsbestaetigung_600975.zip, die wiederum einen Trojaner Auftragsbestaetigung_659022.pdf.exe und enthält.

Das ist langweilig; lasst euch etwas Neues einfallen. Gute Nacht

Trojaner: 1&1 Telecom GmbH – Ihre Rechnung 721399563459 vom 05.04.2013

Es wird wieder ein Trojaner über E-Mail verteilt. Diesmal tarnt er sich als 1&1 Telecom GmbH Rechnung mit einer angeblichen Rechnungsnummer im Subject und einer Kundennummer im Text. Einen Anrede gibt es nicht, so dass wahrscheinlich keine guten Adressdaten hinter der verwendeten Adresse stehen. Meinen Anschluss habe ich nur nicht bei 1&1.

Der Anhang zeigt das übliche Vorgehen: Eine angebliche Rechnung im PDF-Format, die in ein ZIP-Archiv verpackt ist. Bei Näherem Hinsehen entpuppt sich die Rechnung als ausführbare Windows-Datei.

Date: Mon, 15 Apr 2013 11:37:34 +0100
Subject: 1&1 Telecom GmbH – Ihre Rechnung 721399563459 vom 05.04.2013
Message-ID: <0EDDDP-5OU8ZGQHS7-00XCF1@mbulk.1and1.com>
From: Rechnungsstelle 1&1 Telecom GmbH <rechnungsstelleservice@1und1.de>
To: <thomas@example.com>

Ihre Kundennummer: 105038665

Sehr geehrter,

heute erhalten Sie Ihre Rechnung vom 05.04.2013 im PDF-Format.
Der Betrag wird in den 7 Tagen von Ihrem Konto abgebucht.

Wichtige Information zu Ihrem Einzelverbindungsnachweis (EVN)
Ihre Einzelverbindungsdaten finden Sie ab sofort unter Ihrer jeweiligen Rechnungsnummer
in Ihrer RechnungsFCbersicht http://login.1und1.de.

Bestimmt wundern Sie sich, weshalb die Einzelverbindungsdaten in Ihrer 1&1
Rechnung fehlen und wir Sie heute auf das Control-Center aufmerksam machen.
Damit Ihre Daten demn4chst noch sicherer sind, hat der BfDI – Bundesbeauftragter
FCr den Datenschutz und die Informationsfreiheit – die 1&1 Internet AG aufgefordert,
den unverschlCsselten E-Mail-Versand der Einzelverbindungsdaten direkt einzustellen.
1&1 ist der Schutz Ihrer persnlichen Daten besonders wichtig.
Ab jetzt stehen Ihnen daher alle Einzelverbindungsdaten ausschlie Flich online bereit.

Um das PDF-Dokument zu lesen und auszudrucken, bentigen Sie das Programm
‚Acrobat Reader‘ von Adobe. Einfach kostenlos unter http://www.adobe.de/products/acrobat/readstep2.html herunterladen.

Mit dem UTF-8 Format hat es der Schreiber der E-Mail nicht so. Dadurch klappt es auch nicht mit den Zeilenumbrüchen. Kann aber auch ein Problem von K-Mail sein.

Trojaner: Bilder von Elena

Warnung Betrug
Liebe Elena, dieser Versuch ist nun ziemlich dreist. Eine reine Text-Mail und darin ein Link auf ein angebliches Bild, das in Wahrheit ein ausführbaren Programm ist. Weniger Aufwand geht kaum noch.

Um die Unterstriche (_) zwischen jpg und exe zu übersehen muss man blind sein. Kleiner Tipp: Mit entsprechender Programmierung des Server ginge es auch ohne Unterstriche und .exe.

From: „Elena“ <new@guest.arnes.si>
To: <thomas@example.com>
Subject: Hallo
Date: Thu, 11 Apr 2013 14:13:01 +0200
Hallo, mein lang erwarteter Freund! Wie geht es?
Sie sind wahrscheinlich erschuttert und fragen sich wo ich Ihre
E-Mail-Adresse bekommen habe? OK, ich mache eine Erklarung. Ihre
E-Mail-Adresse habe ich durch eine Ehevermittlung gekriegt. Ich habe mich an
Heiratsvermittlung gewendet um einen Mann durch Weltnetz kennenzulernen. Ich
mache mit einem Mann zum ersten Mal durch Internet Bekanntschaft, deswegen
habe ich mich an Heiratsvermittlung gewendet. Ich bin interessiert an
ernsten Liebesbeziehungen, ich will es einfach nicht, meine Zeit auf Spiele
zu vergeuden. Ich hoffe, dass Sie auch ernste Liebesbeziehungen bevorzugen
und dass ich Ihre E-Mail-Adresse richtig aufgeschrieben habe, sodass meine
Nachricht Sie erreicht.
Ein wenig uber mich:
Von dem Namen bin ich Elena. Ich wurde am 25. August 1983 geboren. Ich bin
168 cm hoch, mein Gewicht ist ca. 54 kg.
Wahrscheinlich wirst du dich uberraschen, wenn du erfahrst, dass ich nicht
in deinem Land wohne. Ich komme aus Russland. Ich habe eine Hoffnung, du
hast keine Angst davor. Ich bin ja dieselbe Lady, wessen Herz und Seele in
unterschiedlichen Landern sich befinden.

Du kannst mein das Foto sehen, ich schicke dir die Verbannung auf mein das
Foto: http://184.82.222.116/photo.jpg_______.exe

Ich werde uber deiner auf die Antwort auf meinen mail warten:
sindelnatalia@epktmail.com

Dies ist mein erster Probebrief an dich. Ich schicke dir mein Foto, damit du
mich dir besser vorstellen kannst. Ich hoffe, dass mein Bild schon ist, und
dass du keine Angst davor haben wirst, dass ich aus dem anderen Land komme.
Ich warte ungeduldig auf deinen Brief.
Mit allerbesten Wunschen, Elena.

(Hervorhebung in Fett, Rot von mir.)

Trojaner: Blackhole

Heute kam der Trojaner Blackhole in einem neuen Gewand.

From: HamzaKiewiet@t-arend.de
To: <thomas@t-arend.de>
Subject: Re: Changelog New
Date: Fri, 30 Nov 2012 11:01:32 +0100
Good morning,

changelog update – View

I. LENTZ

Die Obfuskierung ist nun etwas „komplexer“. Etwa jedes 8te Zeichen ist ein „=“. Dieses und das nachfolgende Zeichen werden ignoriert. Die aus zwei Zeichen bestehende Zahl wird nun auch durch drei geteilt. Damit müsste ich meine Deobfuskierung anpassen, aber dazu habe ich heute keine Lust.

Trojaner: Ruckzahlung auf PayPal-Guthaben

Und wieder kommt Trojanisches Pferd im PayPal-Kleid. Der Inhalt ist wie immer häßlich – eine Zip_Datei PayPal_Teilruckzahlung.zip mit einem ausführbaren Programm PayPal_Teilruckzahlung.pdf.exe. Diesmal wird eine Teilrückzahlung ohne Umlaute versprochen. Lieber Krimineller, die deutschen PayPal Nachrichten kommen mit Umlauten! Das Geld für die „Tüddelchen“ hat PayPal noch über. An den Umlaut-Doppelpunkten müssen wir trotz Griechenland nicht sparen.

Spam: PayPal_Teilruckzahlung

Text der Mail:

Guten Tag!

GmbH hat Ihnen soeben eine Teilruckzahlung von ˆ291,99 EUR fur Ihren Einkauf gesendet.

Wenn Sie Fragen zu dieser Ruckzahlung haben, wenden Sie sich bitte an GmbH.

Der Ruckzahlungsbetrag wird direkt Ihrem PayPal-Konto gutgeschrieben.

Alle Details zu dieser Zahlung finden Sie in Ihrer PayPal-Kontoubersicht. Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.

Details der ursprunglichen Transaktion: Mehr Details in der beigefugten Datei
Rechnungsnummer: K83918308889015633155
Ihr Team von PayPal

Da fragt man sich: Wer ist GmbH? Und wer fällt darauf rein?

Trojaner: mms@vodafone.de – You have received a new MMS message

Eine angebliche Mail von Vodafone enthält an Stelle des Bildes ein ZIP-Archive mit einem Trojaner, bei dem eine doppelte Dateiendung darüber hinwegtäuschen soll, dass es sich bei der eingepackten Datei um ein Programm und nicht um ein Bild handelt. Das gleich Spiel wie bei der Facebook message.

Vodafone - You have received a new MMS message
Screen Shot der angeblichen Vodafone Nachricht – You have received a new MMS message

Ansonsten nichts keine Neuigkeiten. Der Anhang heißt VodafoneDE_MMS.zip und – keine Überraschung – die eingepackte Datei VodafoneDE_MMS.jpeg.exe. Nicht mal nummeriert werden die Anhänge mehr.

Der HTML-Teil enthält die gleichen Fehler wie die „Facebook message“. Damit könnte sie von gleichen Trottel stammen – oder zumindest vom gleichen Tool Kit. Mehr lohnt sich jetzt nicht zu schreiben. Außer:

Finger weg von der eingepackten Datei

Ich habe es nicht geprüft, aber man sollte davon ausgehen, dass nicht alle Virenscanner den Anhang als Schadsoftware erkennen.

BTW: Noch eine gute Nachricht. SpamAssassin hat in diesem Fall angeschlagen und die Mail als Spam erkannt.

Update: Gestern kamen auch Nachrichten an, bei denen der Anhang Vodafone-Multimedia-Message.zip und das angebliche Bild VodafoneMultimediaMessage.jpeg.exe heißen.

Trojaner: Facebook message

Eine angebliche Mail von Facebook enthält an Stelle des Bildes ein ZIP-Archive mit einem Trojaner, bei dem eine doppelte Dateiendung darüber hinwegtäuschen soll, dass es sich bei der eingepackten Datei um ein Programm und nicht um ein Bild handelt.

Trojaner: Facebook message
Screen Shot der Mail Facebook Message
Date: Tue, 6 Nov 2012 12:31:20 +0100
To: <thomas@byggvir.de>
From: „Facebook“ <notification+aciiy144@facebookmail.com>
Reply-to: noreply <noreply@facebookmail.com>
Subject: Facebook message
Attachment: Facebook-message-Foto.zip 28048 Byte (enthält Facebook-message-Foto.jpeg.exe 40807)

„Trojaner: Facebook message“ weiterlesen

Blackhole with new Obfuscation

In a former article I described a method to deobfuscate Blackhole obfuscated JavaScript with shell commands and two simple C-programs.

Today I got a Blackhole Exploit Kit message which lead to a landing page – http://forumibiza.ru:8080/forum/links/column.php – with a new ( for me) – simpler – obfuscation. They didn’t insert random characters in the strings but ignored every pair of two characters which started with an equal sign „=“. My piRadix program guested the radix correct but the preparation for piDecode failed and naturally the decoding failed. I added a simple line to delete all pairs starting with „=“ and everything worked fine with old and new obfuscation.

| sed ’s#=.##g‘ \

Here comes the new script:

„Blackhole with new Obfuscation“ weiterlesen