Betrug: dhl-paketmarken.com

Startseite der DHL Paketmarken
Startseite der DHL Paketmarken
Bei der Seite dhl-paketmarken.com (IP: 91.220.131.32) handelt es sich um ein sehr gut gemachte Betrugsseite, die auf einem russischen Server liegt. Die Domain wurde vor etwa drei Monaten wie üblich anonym registriert.

Auf der Seite dhl-paketmarken.com kann das Opfer Paketmarken von DHL zusammenstelln, bestellen und bezahlen, über die DHL sich sicher sehr wundern wird. Dazu haben die Betrüger einen Warenkorb im Stil der DHL Seiten geschaffen. Ich habe mir nicht die Mühe gemacht, den kompletten Bestellvorgang nachzuvollziehen. Aber die Eingabe einer beliebigen Adresse und eines Paswortes reicht, um sich zu registrieren.

Ein aufwändigerer Versuch die Leute zu betrügen, ist mir bisher nicht begegnet.

„Betrug: dhl-paketmarken.com“ weiterlesen

SPAM: Luftfrachsendung AWB (79698779548732)

Luftfrachtsendung AWB.pdf
E-Mail mit einem Anhang AWB.pdf, der angeblich geprüft werden soll.

Es ist ein – zumindest mir – neue Form des Trojaners unterwegs. Diesmal ist die angehängte Datei AWB.pdf wirklich eine PDF Datei und kein in einem ZIP File mit doppelter Endung eingepacktes Programm. Beim Aufruf mit Adobe Acroread wird nur eine Seite anzeigt, die mitteilt, dass der Adobe Acrobat Reader aktualisiert werden muss. Unter Windows könnte es einen Link geben. Hier unter Linux wird kein Link angezeigt.

Kann nicht geoffnet Dokumentation. Aktualisieren Sie den Adobe Acrobat Reader.

„SPAM: Luftfrachsendung AWB (79698779548732)“ weiterlesen

Trojaner: Deutsche Post. Sie mussen eine Postsendung abholen

Deutsche Post. Sie mussen eine Postsendung abholen #G2TR82V094
Lieber Kunde,Es ist unserem Boten leider misslungen einen Postsendung an =
Ihre Adresse zuzustellen.Grund: Ein Fehler in der Leiferanschrift.Sie kon=
nen Ihre Postsendung in unserer Postabteilung personlich kriegen.Anbei fi=
nden Sie einen Postetikett.Sie sollen dieses Postetikett drucken lassen, =
um Ihre Postsendung in der Postabteilung empfangen zu konnen.Vielen Dank!=
Deutsche Post AG.

Kam gerade wieder frisch rein.

Wie üblich enthält die Mail einen ZIP-Anhang mit dem Trojaner.

Finger weg vom Anhang

SPAM: Deutsche Post. Sie mussen eine Postsendung abholen #9QKVOXDOXS

Gerade habe ich eine SPAM Mail gefunden, die nur einmal in meinem Postfach landete. Dies ist ungewöhnlich, da ich normalerweise aus allen Rohren auf allen Adressen beschossen werde. Entweder ist es nur ein kurzer Versuchsballon oder es kommen demnächst mehr. Bei der VOLKSBANK Spam waren es 13 Stück. Kommt da noch mehr, oder war es das schon?

Dieser Versand mit der Stalinorgel hat für die Absender den Nachteil, dass ich schon allein anhand der Zahl der ähnlichen Eingänge Verdacht schöpfe. Es ist ungewöhnlich, dass eine Mail zweimal kommt. Da ich aber mehrere Mail Adressen verwende, kommen sie Mails natürlich auch mehrfach. Weniger wäre da sicher mehr.

From: Deutsche Post <support-pakete@deutschepost.de>
To: Eigene Adresse
Subject: Deutsche Post. Sie mussen eine Postsendung abholen #9QKVOXDOXS
Attachments: Deutsche_Post_Adresse.zip

Lieber Kunde,

Es ist unserem Boten leider misslungen einen Postsendung an Ihre Adresse zuzustellen.

Grund: Ein Fehler in der Leiferanschrift.

Sie konnen Ihre Postsendung in unserer Postabteilung personlich kriegen.

Anbei finden Sie einen Postetikett.

Sie sollen dieses Postetikett drucken lassen, um Ihre Postsendung in der Postabteilung empfangen zu konnen.

Vielen Dank!
Deutsche Post AG.

Keine Umlaute, schlechte Rechtschreibung …

„SPAM: Deutsche Post. Sie mussen eine Postsendung abholen #9QKVOXDOXS“ weiterlesen

SPAM: Shipment Notification from FedEx, Mon, 21 May 2012 10:09:59 +0100, 43938

Heute waren neun Mails dieses Typs im Postfach – nicht besonderes. Wechselnde Uhrzeit, wechselnde Zeitzone und eine wechselnde Nummer. Datum und Uhrzeit im Subject stimmen mit der Uhrzeit des Versandes überein. Das ist ein recht einfacher Trick um einen wechselnden Betreff zu erzeugen. Der X-Mailer ist auch eine willkürliche, wechselnde Zeichenfolge. ANsonsten ist der Header sehr spartanisch. Offenbar lohnt es sich nicht mehr, dem Empfänger einen echten Mail-Client vorzugaukeln. Der Anhang ist wieder eine ZIP-Datei mit eingepackten ausführbarem Programm. Gemäß VirusTotal erkennt Antivir zur Zeit (2012-05-21T20:32:25+00:00) den Virus TR/Spy.Bebloh.EB.23, ClamAV hingt wieder hinterher.

Die Trojaner nehmen langsam in der Größe zu (~200kByte). Sie werden recht zuverlässig als SPAM erkannt, aber wenn eine Größenbeschränkung für den SPAM-Check eingestellt ist, kann es sein, dass sie diese Grenze demnächst überspringen. Bei mir steht sie schon länger auf 1 MByte, früher waren es aber nur 100 KByte.

Gute Nacht!


From: FedEx
To:
Subject: Shipment Notification from FedEx, Mon, 21 May 2012 10:09:59 +0100, 43938
Date: Mon, 21 May 2012 10:09:59 +0100
MIME-Version: 1.0
X-Priority: 3
X-Mailer: wfwgytb-13

SPAM: DHL Tracking Notification ID: …

Zur Zeit versuchen es die Trojaner wieder mit DHL Tracking oder Shipment Benachrichtigungen. Die Adressierung erfolgt wieder über Blind-kopie, was bei nur einem Empfänger sehr sinnvoll ist. Die Betreff Zeile verfügt über eine – scheinbar – individuelle ID und die Tracking Number ist in jeder Mail eine andere. Auch die Anhänge haben unterschiedlichen Nummern. In der Zip-Datei ist stets eine ausführbare Datei World-Parcel-Express-Details.exe enthalten, die mal wieder nicht von clamav erkannt wird. Zwischen den einzelnen Nummern (Betreff, Tracking Number, Zip-File) haben keine auf den ersten oder zweiten Blick erkennbare Ähnlichkeit.

Die Prüfung bei Virustotal findet sich hier.

  SHA256: 	bc30998323b291f152a5f2bd3c682b9105087859cfec8d30bdfcf83f6f4d1778
  File name: 	World-Parcel-Express-Details05_2012-8FIRF1EX67968.zip
  Detection ratio: 	22 / 35
  Analysis date: 	2012-05-16 20:55:01 UTC ( 2 Minuten ago ) 

Leiber Spammer,
die Formatierung des Text und des HTML-Teiles ist dürftig und bedarf dringend der Verbesserung.

Trojaner als DHL Delivery Notification Message

Zur Zeit sind wieder verstärkt als DHL-Nachrichten getarnte Mails unterwegs, die alle nach dem gleichen Strickmuster arbeiten. Im Anhang befindet sich ein ZIP-File, das wiederum eine ausführbares Programm enthält.

SpamAssassin erkennt diese E-Mails sehr sicher als SPAM. Nur meine beiden Virenscanner clamav und AnitVir reagieren haben keine Signatur für diesen Trojaner – noch nicht. Gem. Virustotal erkennen zur Zeit (24 Stunden nach dem ersten Auftreten) 27 von 42 Antivirenprogrammen (darunter AntiVir, nicht jedoch clamav) diese Mails als Schadsoftware. Warum die Signatur bei der Prüfung durch VirusTotal enthalten ist, jedoch nicht in meinen frisch heruntergeladenen ist mir nicht ganz einsichtig. Sollte VirutTotal mit aktuelleren Signaturen versorgt werden? Es sieht danach aus, als hätten die „bösen“ Jungs 24 Stunden Vorsprung vor den guten. Da bleibt nur die eigene Wachsamkeit.

Es wäre vielleicht hilfreich, wenn Virenscanner grundsätzliche eine Warnung ausgeben, wenn in einem ZIP-File nur eine ausführbare Datei eingebettet ist.

Der Absender ist in allen Fällen angeblich DHL International <notice@dhl.com.ky>

Betreff Zeilen:

  • Re: DHL Parcel Tracking Notification 9083981208723986
  • DHL Delivery Notification Message NEE15KT2VJICW26TT
  • DHL Express Notification for shipment 00325703307459069BID2
  • DHL Delivery Notification Message SHOK8NCDA2T77B7QG
  • DHL Tracking Notification ID: T081TNFNLSZ39PLWICM
  • DHL Delivery Notification Message L7WVZT2MDCZ9Z0NPR

Die Versender täuscht als Absender einen echten Server von DHL vor.

X-Spam-Relays-Untrusted: [ ip=199.40.20.209
	rdns=mykulws2395.kul-dc.dhl.com
	helo=gateway2a.dhl.com
	by=gateway2a.dhl.com ident= envfrom= intl=0 id= auth= msa=0 ]
Received: from [199.40.206.33] ([199.40.206.33:57562] helo=gateway2a.dhl.com)
        by cm-mr13 (envelope-from <notice@dhl.com.ky>)
        (ecelerity 2.2.3.46 r(37554)) with ESMTP
        id 29/97-04068-86BECFE4; Wed, 11 Apr 2012 07:41:58 +0000

Tatsächlich stammt eine näher untersuchte Mail aus einen Mini-Netz in Portugal. Hier haben die Spammer in der letzten Zeit etwas aufgerüstet. Die Received-Kette passt allerdings nicht lückenlos zusammen.

Die Empfänger-Adressen stammen aus einem sehr schlechten Adressverzeichnis. Die Adresse ist der verstümmelte Teil einer meiner Adressen, der sich seit Jahren in den Weiten des Cybernet hält. Abgesehen davon ist unter „To:“ nichts eingetragen. Dies ist sehr ungewöhnlich für eine E-Mail von DHL.

Meine letzten Original DHL E-Mails sind einfache Text E-Mails. Kein Anhang, kein HTML. Nur eine Referenznummer im Text, teilweise mit einer Adresse zum direkten Aufruf der Informationen im Brower, aber nicht als Link – da ja kein HTML.

Es ist schon wieder spät. Gute Nacht.