BAS Logistics PLC

Vor einiger Zeit hatte ich etwas über die BAS Logistics PLC und den Frankfurt-Investor geschrieben[1] Seit Wochen ist es um den Frankfurt-Investor und die BAS Logistics PLC sehr still worden. Die letzte Mitteilung stammt vom 19. Februar 2012. Die Aktie ist von den vorhergesagten Höhen weit entfernt und nähert sich heute mit 2,52€ und -16,46% Verlust gegenüber dem Vortrag alten Tiefstkursen.

  1. [1]Aktienchance

Arbeit für Dich – Gut bezahlte Arbeit

Vor einigen Tagen fand ich folgende Mail im Postfach:

Screen Shot Spam, Mail - Betreff: Arbeit für Dich
Spam: Arbeit für Dich - Gut bezahlte Arbeit

Der Transfer von Geld erfolgt im Normalfall durch Banken. Diese nehmen in der Regel keine Gebühren in Höhe von 20%. Wenn hier Geld über ein drittes Konto transferiert werden soll und der Überweisende dem Kontoinhaber dafür 20% Provision ohne sonstige Leistungen zahlen will, dann kann es sich nur um Geldwäsche handeln, die in Deutschland nicht legal ist. Mein Verdacht: Das Geld stammt aus Online-Banking Betrug.

Die Mail wurde von einem Rechner mit der Adresse 125.162.233.37 verschickt, der in Indonesien stehen dürfte. Ein sicheres Zeichen, dass der Absender wenig Interesse daran hat, Fragen deutscher Ermittlungsbehörden zu beantworten.

Die Adresse del@reng-gruppe.com / de@reng-gruppe.com gehört zur Domain reng-gruppe.com, die auf einen Deutschen mit Wohnort in Braunschweig registriert ist. Ich vermute, dass er mehr Opfer – vielleicht nicht ganz unschuldiges – als Täter ist, daher lasse ich den Namen hier weg. Wer Name und Kontonummer eines Anderen kennt, hat kein Problem auf fremden Namen eine Domain anzumelden. Bis der Kontoinhaber seine Auszüge kontrolliert und sich über die unrechtmäßige Abbuchung beschwert, kann einige Zeit vergehen.

host reng-gruppe.com
reng-gruppe.com has address 31.184.241.31
reng-gruppe.com mail is handled by 10 mail.reng-gruppe.com.

Der Web-Server www.reng-gruppe.com ist zwar erreichbar, aber er meldet: „This account has been suspended. Either the domain has been overused, or the reseller ran out of resources.“

Der Server mit der Adresse 31.184.241.31 gehört zu einem russischen Class-C Netz:

..
inetnum:         31.184.241.0 - 31.184.241.255
netname:         PIN-DEDICATEDCUSTOMER-net
descr:           net for customer no. 31654
country:         RU
..

Also: Finger weg!!!

Hier noch eine kleine Sammlung zum Thema Finanzagenten haften für Phishing bei den Pfiffigen Senioren.

Nachtrag: Es gibt eine Firmengruppe Reng, gegründet von Ludwig Reng. Diese Firmengruppe hat die Domains reng-gruppe.de, renggruppe.de und renggruppe.com registriert. Vielleicht wurde die Domain reng-gruppe.com vergessen und ein kluger Kopf hat sich gedacht, dies könnte er ausnutzen. Zur Zeit meldet der Server noch „This account has been suspended. …“ (siehe oben). Ein vorgetäuschter Web-Auftritt unter dieser Domain würde das Angebot seriöser erscheinen lassen und die Absichten des Absenders der Mail wären schwerer zu durchschauen.

Ihre Email-Won 915.810,00

Das ist ja unter einer Millionen. Dafür mach ich keinen Finger krumm. Ich habe schon genug Mühen, die vielen Preise, Erbschaften und was weiß ich nicht alles zu verwalten.

Meine E-Mail hat gewonnen, aber steht nicht als To-Adressat in der Mail? Seltsam! Etwas mehr Mühe bei Orthografie und Grammatik wäre auch nicht schlecht. Offensichtlich sind Umlaute dem Schreiber nicht gänzlich unbekannt, aber er geht sehr sparsam mit den doppelten Pünktchen um.

Lästig. Einfach nur lästig. Was mich interessiert: Wer ist noch so dusselig, dass er auf diese Mails herein fällt?

FedEx, Shipment Notification

Heute waren wieder einigen Mails mit angeblichen Versandbestätigungen von FedEx im elektronischen Briefkasten. Wie die Auswertung bei Virus Total zeigt, liegt die Erkennungsrate nach mehreren Stunden nur bei 15 von 43 Scannern. ClamAV erkennt den Trojaner nicht und Antivir nur in der Online Version.

Die Virenscannner sind einige Stunden nach der Freilassung eines neuen Trojaners keine guten Ratgeber.

You are one of the shortlisted winners!

Hurra, ich habe ein neues Black Berry gewonnen. Und RIM gibt sich richtig knauserig und legt nur läppische One Million, Eight Hundred and Fifty Thousand Pound Sterling £1,850,000.00 oben drauf. (Wahrscheinlich wurde der Betrag für einzelne deutsche bayrische Ministerpräsidenten „buchstabiert“, die die Zahl nicht lesen können.) Gewonnen in einem Preisausschreiben, an dem ich nicht teilgenommen habe. Wer es glaubt.

From customerserviceofficer@blackberrydraw.co.cc Wed, 14 Mar 2012 14:05:25 +0200
Return-Path: <customerserviceofficer@blackberrydraw.co.cc>
Received: from mailin13.aul.t-online.de (mailin13.aul.t-online.de [172.20.27.48])
by mhead804 (Cyrus v2.3.15-fun-3.2.13.0-1) with LMTPA;
Wed, 14 Mar 2012 13:27:50 +0100
X-Sieve: CMU Sieve 2.3
Received: from server.boice.com ([69.106.78.91]) by mailin13.aul.t-online.de
with esmtp id 1S7nIq-0GKU4o0; Wed, 14 Mar 2012 13:27:40 +0100
Received: from User ([46.4.241.3]) by server.boice.com with Microsoft SMTPSVC(6.0.3790.4675);
Wed, 14 Mar 2012 05:05:30 -0700
Reply-To: <ahmed.murray2012@zh8844.com>
From: „Blackberry promotion board“<customerserviceofficer@blackberrydraw.co.cc>
Subject: You are one of the shortlisted winners!
Date: Wed, 14 Mar 2012 14:05:25 +0200
MIME-Version: 1.0
Content-Type: text/plain;
charset=“Windows-1251“
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: <SERVERTcjJxWY5pCxlI00004b8b@server.boice.com>
X-OriginalArrivalTime: 14 Mar 2012 12:05:30.0519 (UTC) FILETIME=[C0595270:01CD01DA]
X-TOI-SPAM: u;0;2012-03-14T12:27:50Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: 5ed6820c-45e8-43b9-b77e-a198b23efca4
X-Seen: false
X-ENVELOPE-TO: <thomas.arend@excample.com>
To: undisclosed-recipients:;

UNITED KINGDOM BLACK BERRY
PROMOTION BOARD
LONDON ENGLAND
http://uk.blackberry.com/
P.O. Box 3067
Tunstal road
e17gb
=====================================================
Winning Notification from blackberry promotion board
=====================================================

Congratulations!!!
We wish to inform you that your email address is one of the shortlisted winners on our „polled NEW RIM BlackBerry COLT 2012 comment platform“ promo. Therefore you have won RIM`s first QNX phone revealed: BlackBerry Colt to launch in Q1 2012 and the sum of One Million, Eight Hundred and Fifty Thousand Pound Sterling £1,850,000.00.

Your Reference Number: BB-op-16-14-2010

This promo is being necessitated for the purpose of promoting our site and encourages public opinion about our NEW RIM BlackBerry COLT products so that we can provide a better and excellent service.

Contact our promo coordinator via email: < Contact our promo coordinator via email:
Name… Ahmed Murray
Email:- ahmed.murray2012@zh8844.com
Email:- ahmed.murray2012@blackberrydraw.co.cc
Phone:- +447410298770

> To claim your winning cash prize!

You are one of the shortlisted winners!

For more inquiries visit our site: http://uk.blackberry.com/

Congratulations!!
Ms. Melyn Edwards
Customer Service Officer –
Proudly sponsored by United Kingdom Black-Berry® Inc
Comment Promotion® Satisfaction
——————————————————
e-Notification Alert Number:58GVYUF6FU0004SDGU8FF7G7GF7 ——————————————————-

Fette Hervorhebungen von mir!

Wo ist hier der Haken? Die Adresse uk.blackberry.com ist tatsächlich die Seite von BlackBerry. Bleiben nur die beiden E-Mail Adressen. blackberrydraw.co.cc (cc steht für China) löst zu IPv4 Adresse 10.10.10.10 auf. Dies ist jedoch eine private Class A Adresse im Netz 10.0.0.0/8, das nicht geroutet wird. Beleibt nur zh8844.com. Alsoi nachschauen.

host zh8844.com
zh8844.com has address 114.80.210.243
zh8844.com mail is handled by 20 49103046.pamx1.hotmail.com.
whois zh8844.com
...
Registrant:
  Organization   : kevinmo
  Name           : kevin mo
  Address        : Guangdong Zhuhai Tongxi Load 18
  City           : zhuhaishi
  Province/State : guangdongsheng
  Country        : china
  Postal Code    : 519070
...

Nun sind wir wieder in China und es soll mit der Analyse gut sein. Wartehn wir ab, was passiert, wenn ich antworte.

Booking confirmation 4343294142

Screen shot of booking confirmation message
Dies ist ein screen shot der booking confirmation e-mail

Heute sind gleich zwei Buchungsbestätigungen im Postfach eingetroffen. Nur habe ich meine Buchung schon vor ein paar Tagen vorgenommen und es gibt keine Veranlassung mir heute zwei Bestätigungen zu schicken. Es handelt sich bei den Mails nicht um echte Buchungsbestätigungen, sondern um ein Trojanisches Pferd. Besonders gut gemacht ist die Mail nicht. Zum einen gibt es keinen Empfänger, was bedeutet, mein Adresse ist nur in Blindkopie beteiligt. Warum sollte booking.com dies tun? Zweitens sind zu wenig Informationen in der Mail, womit ich wohl zum Öffnen des Anhanges verleitet werden soll. Drittens ist die Mail sehr kurz und extrem schlecht formatiert. Am Ende der Mail Adresse fehlt eine Leerstelle, so dass das Yours mit der Adresse zu customer.service@booking.comYours verschmilzt. Ein Anhang im ZIP-Format sollte immer Verdacht erregen und einen Blick in das ZIP-File zeigt: Hier wurde ein ausführbares Programm gleichen Namens eingepackt. Dies stinkt gewaltig nach einem trojanischen Pferd. ClamAV und Antivir haben allerdings nicht angeschlagen. Eine Prüfung bei VirusTotal ergibt 17 Treffer von 43 Virenscanner. Mit einer ersten Analyse vor knapp 5 Stunden ist der Gaul noch ein junges Fohlen.

Ein Blick in den Header zeigt, dass mein Server die Mail von einem Rechner mit der Adresse 113.190.224.159, der zum Netz 113.190.224.0/19 der VietNam Post and Telecom Corporation (VNPT) gehört, empfangen hat. Weiter zurückliegende Einträge sehr wahrscheinlich Täuschungen, um eine echte Mail Spam-Filter zu imitieren.

Received: from dynamic.vdc.vn (unknown [113.190.224.159])
by h1383963.stratoserver.net (Postfix) with ESMTP id 29C50206E504
for <thomas@example.com>; Tue, 13 Mar 2012 02:18:01 +0100 (CET)
Received: from [62.190.24.30] ([62.190.24.30:44524] helo=memta-03.booking.com)
by cm-mr27 (envelope-from <noreply@mailer.booking.com>)
(ecelerity 2.2.3.46 r(37554)) with ESMTP
id 9C/1C-30758-1CDDC2F4; Tue, 13 Mar 2012 08:17:59 +0700
Received: from pc02me-01.prod.lhr1.booking.com ([10.141.11.22]:39321 helo=localhost.localdomain)
by memta-03.prod.lhr1.booking.com with esmtp (Exim 4.76)
(envelope-from <noreply@mailer.booking.com>)
id 1Rta1Q-0006QP-KL; Tue, 13 Mar 2012 08:17:59 +0700

Hier steckt etwas mehr Mühe drin. Leider habe ich keine Vergleichsmail von booking.com, so dass ich nichts darüber sagen kann, wie gut dies beiden letzten Einträge mit dem Original übereinstimmen. booking.com ist in den Niederlanden zu hause und wird mir kaum die Mails über einen vietnamesischen Server mit vermutlich dynamischer IP zustellen. Der derzeit unter 113.190.224.159 erreichbare Rechner hat im übrigen nur den Port 80 offen, d.h. er empfängt keine Mails zur Weiterleitung.

Genug der Analyse; hier die Erkenntnisse:

  1. Verfallt nicht in Panik, wenn Ihr nichts gebucht habt, aber Buchungsbestätigungen bekommt. Es könnte zwar ein unfreundlicher Zeitgenosse sein, der mal für Euch gebucht hat, aber es ist eher ein Trojaner.
  2. Nicht auf Spam-Filter und Anti-Viren Software verlassen. Erst nachdenken, dann Anhänge öffnen. Je näher am Original, desto schwerer hat es ein Spam-Filter.

Nachtrag: Es sind auch drei Mails im Spam-Filter hängen geblieben. Dabei fiel mir soeben auf, dass es auch einen HTML-Teil gibt, der etwas besser formatiert ist. Ich bevorzuge – nicht nur , aber auch – aus Sicherheitsgründen die plain text Ansicht. 😉


Siehe auch:

  1. Bericht bei VirusTotal
  2. The Threat Expert: Trojan.Win32.Inject.cqrg

Aliase des Trojaners:

  1. Artemis!C5C106FB214A
  2. Win32/Spy.Bebloh.H
  3. W32/Bublik.A
  4. Trojan.Bebloh
  5. Trojan.Win32.Inject.dfsk
  6. Trojan.Injector.AAO
  7. Trojan.Win32.Inject!IK
  8. Trojan.DownLoader5.56805
  9. Trojan.Win32.Generic!BT
  10. TR/Spy.Bebloh.Q
  11. Artemis!C5C106FB214A
  12. Troj/Bublik-B
  13. Trojan:Win32/Bublik.B
  14. W32/Bublik.A
  15. Trojan.Win32.Generic.12BA6613
  16. Trojan.Win32.Inject
  17. Generic27.ARTN

Pfiffe

Pfiffe: Übrig gebliebene, primitive Form der Meinungsäußerung aus vorsprachlichen Entwicklungsstufen des Menschen. Erst seit Entwicklung der Stimmbänder ist der Mensch zu komplexeren Meinungsäußerungen fähig. Die Hirnentwicklung scheint jedoch noch nicht so weit fortgeschritten zu sein, dass diese komplexen Fähigkeiten von allen Individuen genutzt werden können.

In vielen Fällen wird die Kraft der Stimme auch mit der Kraft des Argumentes verwechselt. Was dazu führt, dass statt der Lippen primitive Instrumente als Argument- oder Pfeiffverstärker genutzt werden.

Wer schreit und pfeift hat unrecht!

Heute Abend wurde der Bundespräsident Christian Wulff von der Bundeswehr mit einen Großen Zapfenstreich geehrt und verabschiedet. Dies ist eine Ehrung der Bundeswehr, vertreten durch den Minister und den Generalinspekteur. Das dem amtierenden Bundespräsidenten als Hausherrn eine besondere Rolle zukommt, versteht sich von selbst. Die Bundeskanzlerin und der Rest der Bundesregierung ist nur Gast!

Schlagzeilen wie „Wulff will eine Zugabe“ sind da deplatziert und reine Stimmungsmache und erklären Gebräuche zur Regel, wo keine sind. Durch Ereifern über die Form verkennen sie Inhalt und Botschaft der Lieder.

Einige Bürger konnten ihre Wut nicht in Zaum halten und fühlten sich bemüßigt dies aller Welt durch ein Tröt- und Pfeifkonzert Kund zu geben und die Veranstaltung zu stören. (Wutbürger scheint ein neues Markenzeichen für besondere moralische Reife zu sein.) Dies ist nicht eine Respektlosigkeit gegenüber dem Bundespräsidenten, sondern gegenüber der Bundeswehr.

Außer Wut trat auf die Fragen des Reporters hin für mich keine vernünftige Meinung zu Tage. Diese Art Demonstration hat meines Erachtens mit Meinungsfreiheit nicht zu tun. Außer in dem Sinne, dass die Befragten frei von einer Meinung sind. Das Verhalten zeugt vielmehr von einer ungezügelten Aggression, Respekt- und Anstandslosigkeit. Dies sind keine Grundrechte! (Meinungs-)Freiheit bedeutet nicht, die Meinungsäußerung anderer mit Pfeifen unterdrücken zu dürfen.

BTW: Pfiffe sind zwar sehr universell einsetzbar, stellen allerdings eine sehr primitive Form der Meinungsäußerung aus der vorsprachlichen Entwicklung des Menschen dar und sind als Ausgangsbasis für eine ernsthafte Diskussion ungeeignet.

Ex-Bundespräsidenten
Bashing und Mobbing

Immer diese englischen Ausdrücke, aber ich verwende sie heute sehr bewusst.

Man mag über Herrn Wulff denken was man will. Aber dieses öffentliche Ex-Präsidenten Bashing und Mobbing geht mir langsam gegen den Strich. Kein Stunde in SWR 3 – ja, ich höre den Sender bei der Fahrt von und zur Arbeit (… noch) – ohne irgendwelche niveaulosen Witze Plattitüden über den Ex-Präsidenten Wulff. Anrufaktionen zu den hoch wichtigen Fragen, was er denn nun mit Büro und Fahrer tun könnte oder welche Lieder er sich für den großen Zapfenstreich wünschen sollte. Zugegeben, zwei nicht ganz einfache Fragen, zu denen konstruktive Antworten nicht einfach sind – aber es muss sie ja nicht jeder beantworten. Antworten sind auch nicht gefragt. Die Moderatoren und Anrufer scheuen sich nicht zu beweisen, dass sie das Volk der Dichter und Denker eher in nie geahnte Tiefen als zu neuen Höhen führen und zu ernsthaften Antworten weder willens noch im geringsten fähig sind. Statt letzteres mit Schweigen zu kaschieren, ereifern sie sich in einem Wettschreien: „Leute, hört alle her, ich kann es noch viel niveau- und respektloser“.

Was als Cyber-Mobbing unter Kinder und Jugendlichen als Problem betrachtet wird, wird hier im öffentlich-rechtlichen Rundfunk vom Gebührenzahler finanziert kultiviert und als Unterhaltung verkauft. Menschen, scheinbar im Vollbesitz ihrer – offensichtlich nicht sonderlich hohen – geistigen Kräfte, lassen ihrem Frust und ihren Stimmbändern und Atemorgan freien Lauf. Oder sollten sie dabei wirklich ihr Großhirn zu rate gezogen haben?

„Wollte Gott, dass ihr geschwiegen hättet, so wäret ihr weise geblieben.“ – Hiob 13,5

„Schweigen verständige Leute, so redet der Tor; der spricht sodann desto unbesonnener und lauter.“ – Herder, Johann Gottfried

„Ein Gentleman ist ein Mensch, der selbst jenen Leuten Respekt entgegenbringt, die für ihn keinerlei Nutzen haben.“ – William Lyon Phelps

Und zu guter Letzt noch Kant:

Reich-der-Zwecke-Formel

„Demnach muss ein jedes vernünftige Wesen so handeln, als ob es durch seine Maximen jederzeit ein gesetzgebendes Glied im allgemeinen Reiche der Zwecke wäre. “ – vgl. GMS, BA 83 (Akademie-Ausgabe Kant Werke IV, S. 438, 18–21).

Möchten die Moderatoren wirklich, dass sie selbst im Falle eines Falles öffentlich mit Spott überzogen werden? Kant hat es schon richtig erkannt, nur jedes vernünftige Wesen muss so handeln.

Bis jetzt wird nur ermittelt. Aber für manche scheint das Ergebnis schon fest zu stehen. Und wenn nun nichts greifbares dabei heraus kommt? Dann haben wir es geschafft, dann hat die vierte Gewalt es geschafft, einen Präsidenten aus dem Amt zu mobben. Darauf dann ein dreifach kräftiges: Hurra!

Respekt ist nicht das, was andere sich von mir verdienen, sondern das was ich vor ihnen habe.

2011 – zu Guttenberg
2012 – Wulff
2013 – Wer meldet sich freiwillig? Oder brauchen wir schon jemanden im Herbst?


Siehe auch:

  1. „Bundespräsident Wulff im Interview“
  2. „Wen wundert es?“