Trojaner: Angebliche Bilder vom Handy

Zwei vorgebliche Bilder, die angeblich mit dem Samsung Handy, deren Besitzer ich nicht kenne, gesendet wurden. Nur zu blöde, dass Dateien mit der Endung „cab“ keine Bilder sind, sondern ein spezielles Archivformat für Microsoft Updates. In den Archiven befindet sich ein Programm, dass den Trojaner auf den Rechner bringt.
Laut Virustotal erkennen zur Zeit (18:25 Uhr) nur 7 von 43 Virenscannern den Schädling.

Was mich enttäuscht, dass 46 Virenscanner die Anhänge als in Ordnung einstufen.

Also: Finger weg.

Bitte um Rückruf

Heute kam eine seltsame E-Mail ihn Postfach. Sie kam von einem Absender „Thxxxx Arxxx <ThxxxxArxxx@t-online.de>“ und ging an
„Thxxxx Arxxx <thxxxx.arxxx@t-online.de>. Die Adressen unterscheiden sich nur durch einen Punkt, aber in einer Adresse ist auch ein Punkt wichtig. Diese ist ein eher seltsames Verhalten für Spam. Der Inhalt der Mail lautete:

Herr Test bittet um Rückruf

Anruf 11:20

Probleme mit IT-Programm

Telefon: +99 236116186

Erstellt mit Microsoft OneNote 2013.

Die Landesvorwahl +992 gehört zu Tadschikistan und die Minute kostet bei der Telekom über 1,50€. Was ist die nun wieder für ein Trick, fragte ich mich. Ein Blick in den Header einer E-Mail hilft oft weiter. Die E-Mail wurde von einem T-Online-Anschluss über einen T-Online-Server abgeschickt und landete somit direkt in meinem T-Online-Postfach. Nun ersetzte T-Online früher die Absenderadresse immer durch die E-Mail-Adresse des Abschlusses. Ich gehe davon aus, dass es immer noch so ist. Damit wäre die Absenderadresse echt. Der Absender ist also ein Namensvetter, der die Adresse ohne Punk hat. Wie es ausschaut, testet gerade OneNote.

Werde mir morgen OneNote dahingehend auch mal anschauen.

Server neu installiert

Heute habe ich diesen Server neu installiert. Das lange hinausgezögerte Upgrade von OpenSUSE 12.3 auf OpenSUSE 13.1 war endlich fällig. Leider unterstützt STRATO noch nicht die Version OpenSUSE 13.2, so dass cih sicher in absehbarer Zeit wieder Hand anlegen muss.

Trotz der Vorbereitung in einer virtuellen Maschine auf dem heimischen PC gab es einige Hürden zu überwinden. Mein Verhältbnis zu Postfix hat wieder etwas gelitten. Aber jetzt bin ich wieder per E-Mail erreichbar. Dafür Freunde ich mich mit Dovecot immer mehr an. In den nächsten Tagen werde ich im SSL/TLS beibringen – oder zuerst mir.

Auch der Apache2 bedarf einiger Nacharbeit, damit alle Module, die ich nutze hier laufen. Zu allem Überfluss ändern sich auch noch die Namen und Orte der Module, wenn die 64-Bit Version statt der 32-Bit installiert wird.

Gute Nacht

Phishing Seiten über Google suchen

Sparkasse Phishing mit Login -eite
Sparkasse Phishing mit Login -eite
Eine gutes Hilfsmittel um Phishing-Seiten zu finden, ist Google. Man muss nur die richtigen Kriterien für eine Suche finden. Heute war ich nach einigen „händischen“ Versuchen mit folgende Suche sehr erfolgreich:

„Index of“ +“Parent directory“ inurl:Online-Banking-Konto
  1. casamentodicas.com.br
  2. cephastanesi.org
  3. corprewards.bluebox.co.za
  4. cristoradio.org
  5. dicasdeloterias.com.br
  6. hayleymclean.com
  7. mercadaodostambores.com.br
  8. mockdemos.customerdemourl.com (Hier findet sich die Phishing-Seite gleich in vier Verzeichnissen!)
  9. www.ag2arquitetura.com.br
  10. www.ariostosantos.com.br
  11. www.maianviajes.com.ar
  12. www.maianviajes.com
  13. www.thedentalhouse.ae
  14. www.ziyaz.com

Die Unterverzeichnisse habe ich entfernt. Die Software ist jeweils tief in Unterverzeichnissen, die mit „../Sichern/Sie/Ihre/Online-Banking-Konto/sparkasse.de/“ enden, verborgen.

Obwohl teiweise schon sehr lange Online funktionieren bis auf drei Seiten alle noch. Bei zwei Seiten war die Software entfernt, bei der dritten war der Server so konfiguriert, dass sie nicht funktionierte.

Vor keiner Seite wurde ich durch Safe-Browsing gewarnt.

Drum merke: Verlasse Dich nie auf Deine Sicherheitssoftware.

Gute Nacht

Update 16.03.2015: Heute fehlten einige Seiten, die gestern noch gefunden wurden, in den Suchergebnissen; dafür gab es zwei neue Seiten.

  1. stuckeys.com.au
  2. tanweer-fic.com

Jemand hat dir eine Videobotschaft hinterlassen

Angebliche Videobotschaft
Angebliche Videobotschaft

Wenn mir eine Fabienne Schulz eine Videobotschaft schreibt, dann doch bitte nur mir und nicht einem Thorsten W… Außerdem sollte sie wissen, dass Torsten nicht Fabienne Schulz heißt und sie selbst nicht „jemand“ ist, sondern Fabienne Schulz.

Wer in eine solch plumpe Falle tappt, der ist selber schuld.

Finger weg von solchen E-Mails. Insbesondere das der Flash-Player zur Zeit nicht koscher ist. Der Link führt allerdings über mehrere Umleitungen auf einen Fehler 403.

bit.ly/1vw1WmZ => dgnda.enmyas.su => b-unitd.com => tracker.brokeragecapital.com => bigprofitgenerator.com

Gute Nacht

Wieder Werbung von GELD.de

Nach langer Zeit fand sich heute wieder eine Werbung aus dem Barfußgäßchen, Leipzig im Postfach. Das Jahresende naht und die Provisionsjäger wollen mich zum Wechsel der Kfz-Versicherung animieren. Wie jedes Jahr gibt es auch diese Jahr den neuen Kfz-Versicherungs-Newsletter, auch wenn ich mich vom alten abgemeldet habe. Diesmal unter der Domäne Kfz-Versicherung-2014.de. Leider hat sich Unister die Domains für die nächsten Jahre (2030) reserviert. Anderseits kann ich ganz beruhigt eine SpamAssassin Regel schreiben, die auf Jahre gültig ist.

## Unister Spam erkennen
## Autor: Thomas Arend
## Stand: 13.10.2014

body TA_Unister_001 /GELD.de GmbH/i
describe TA_Unister_001 Eine Firma des Unister Universum
score TA_Unister_001 0.2

body TA_Unister_002 /04109 Leipzig/i
describe TA_Unister_002 Teil der Adresse des Unister Sitzes
score TA_Unister_002 0.2

body TA_Unister_003 /Barfu.*g.*chen /i
describe TA_Unister_003 Postanschrift Barfussgaesschen in verschiedenen Schreibweisen
score TA_Unister_003 0.2

body TA_Unister_004 /Kfz-Versicherung-20[1-2][0-9].de/i
describe TA_Unister_004 Eine der jährlich wiederkehrenden Kfz-Versicherungen
score TA_Unister_004 3.0

meta TA_Unister TA_Unister_001 + TA_Unister_002 + TA_Unister_003
describe TA_Unister Mehrer Kennzeichen für Unister Spam
score TA_Unister 1.0

Trojaner: Abmahnung

Werdermann | von Rüden
(wvr-law.de)
versenden keine Abmahnungen per E-Mail!

Heute habe ich endlich auch einen Abmahn-Trojaner bekommen. Die Rechtsanwaltskanzlei Werdermann | von Rüden, von der die E-Mail vorgibt zu sein, weist darauf hin, dass sie keine Abmahnmails versendet.

Dies macht zur Zeit keine Rechtsanwaltskanzlei! Dies kann sich allerdings mit DE-Mail ändern.

Möglicherweise sind auch andere Kanzleien als Absender benannt. Ich habe allerdings nur eine E-Mail bekommen und kann daher zu anderen Betroffenen (Kanzleien, Bands, Alben) nichts sagen.

Quelle und Lebenslauf des Trojaners

„Trojaner: Abmahnung“ weiterlesen

SPAM: Warnwesten

Die Richpro Internet GmbH legt neue Domains für ihren Warnwestenmüll schneller an, als ich darüber schreiben kann. Nach einer „Erinnerung“ und einer „Achtung“ Mail gibt es jetzt auch die „Letzte Chance“. Ich wette, die letzte Chance ist nicht die allerletzte Chance. Folgende Domains leiten über den Server mit der IP 37.143.52.7 weiter zur Seite www.gratis-warnweste.de

  • wochenendweste.com
  • pflichtweste.com
  • bundesweste.com
  • bussgeldstelle.com

Die an die Domain angehängte kryptische Zeichenfolge scheint dabei ein Schlüssel zu E-Mails Adresse des Empfängers zu sein.

Wer unbedingt eine kostenlose Warnwesten braucht, findet diese zum Beispiel auch bei der DEKRA.

Update 14.07.2014

Timo Richert scheint noch sehr viele Warnwesten zu haben und für jede richtet er eine eigene Domain ein. 😉

  • westefueralle.com

Update 17.07.2014

Die Warnwesten sind ihm immer noch nicht ausgegangen:

  • all-weste.com