RE:Why did you put this photo online?

Why did you put this photo online?
Why did you put this photo online?

Hab ich nicht und so blöd nicht zu erkennen, dass das Bild eine ZIP-Datei mit ausführbarem Programm ist, bin ich auch nicht. Wie üblich ist der Trojaner zu neu, um von den meisten Scannern erkannt zu werden. Scheinbar funktionieren auch heuristische Verfahren kaum noch. Wer sein E-Mail-Postfach durch einen Virenscanner und nicht die eigene Wachsamkeit schützen lassen will, sollte seine E-Mails erst mit mehreren Tagen Verzögerung lesen.

Ein anderer netter Versuch ist eine E-Mail mit dem Betreff: RE:They killed your privacy man your photo is all over facebook! NAKED! Hier war der Trick etwas billiger: Erst der übliche Trick mit der Exe in der ZIP-Datei – aber mit doppelter Endung getarnt – IMG9321.jpg.zip, dann einen Tag später eine Exe-Datei mit doppelter Erweiterung IMG6897.jpg.exe. Wobei die reine Exe-Datei nach einer Woche von clamscan nicht als Schädling erkannt wird. Die einen Tag ältere Datei wird als W32.Trojan.Jorik-2 erkannt.

Mircosofts Idee, die Dateiendungen standardmäßig auszublenden, ist eine der dümmsten, die sie bisher hatten. Warum sie in den neusten Windows Versionen immer noch an diesem Schwachsinn festhalten ist mir schleierhaft.

Zwei wie Bonnie und Clyde

Gestern waren wir in der Komödie von Tom Müller und Sabine Misiorny „Zwei wie Bonnie und Clyde“ mit Cheryl Angelika Baulig, Oliver Grabus, Nikolas Knauf. Nach dem Lesen der Programmbeschreibung habe ich mich gefragt, wie der Inhalt auf der kleinen Bühne umgesetzt werden soll. Es geht. Mehr verrate ich nicht.

Cheryl Angelika Baulig spielt die strohdumme Chantal sehr überzeugend und schafft es niemals albern zu wirken. Oliver Grabus als Manni gelingt ausdrucksvoll nach jedem missglückten Überfall ein weitere, kontinuierliche Steigerung seines Leidens an Chantals Dummheit – von Wutausbrüchen bis zum Nervenzusammenbruch, während Chantal ihn immer wieder mir ihren großen Augen – und Cheryl Bauligs Augen sind ideal für diese Rolle – bezirzt: „Und dann wirst Du wieder böse …“

Der Abend war ein Fest für die Lachmuskeln – nicht immer nur für das Publikum. Danke für den tollen Abend.


Inszenierung: Peter Nüesch
Bühnebild: Frank Joseph
Kostüme: Sylvia Rüger
Mit: Cheryl Angelika Baulig, Oliver Grabus, Nikolas Knauf

SPAM: Shipment Notification from FedEx, Mon, 21 May 2012 10:09:59 +0100, 43938

Heute waren neun Mails dieses Typs im Postfach – nicht besonderes. Wechselnde Uhrzeit, wechselnde Zeitzone und eine wechselnde Nummer. Datum und Uhrzeit im Subject stimmen mit der Uhrzeit des Versandes überein. Das ist ein recht einfacher Trick um einen wechselnden Betreff zu erzeugen. Der X-Mailer ist auch eine willkürliche, wechselnde Zeichenfolge. ANsonsten ist der Header sehr spartanisch. Offenbar lohnt es sich nicht mehr, dem Empfänger einen echten Mail-Client vorzugaukeln. Der Anhang ist wieder eine ZIP-Datei mit eingepackten ausführbarem Programm. Gemäß VirusTotal erkennt Antivir zur Zeit (2012-05-21T20:32:25+00:00) den Virus TR/Spy.Bebloh.EB.23, ClamAV hingt wieder hinterher.

Die Trojaner nehmen langsam in der Größe zu (~200kByte). Sie werden recht zuverlässig als SPAM erkannt, aber wenn eine Größenbeschränkung für den SPAM-Check eingestellt ist, kann es sein, dass sie diese Grenze demnächst überspringen. Bei mir steht sie schon länger auf 1 MByte, früher waren es aber nur 100 KByte.

Gute Nacht!


From: FedEx
To:
Subject: Shipment Notification from FedEx, Mon, 21 May 2012 10:09:59 +0100, 43938
Date: Mon, 21 May 2012 10:09:59 +0100
MIME-Version: 1.0
X-Priority: 3
X-Mailer: wfwgytb-13

SPAM: DHL Tracking Notification ID: …

Zur Zeit versuchen es die Trojaner wieder mit DHL Tracking oder Shipment Benachrichtigungen. Die Adressierung erfolgt wieder über Blind-kopie, was bei nur einem Empfänger sehr sinnvoll ist. Die Betreff Zeile verfügt über eine – scheinbar – individuelle ID und die Tracking Number ist in jeder Mail eine andere. Auch die Anhänge haben unterschiedlichen Nummern. In der Zip-Datei ist stets eine ausführbare Datei World-Parcel-Express-Details.exe enthalten, die mal wieder nicht von clamav erkannt wird. Zwischen den einzelnen Nummern (Betreff, Tracking Number, Zip-File) haben keine auf den ersten oder zweiten Blick erkennbare Ähnlichkeit.

Die Prüfung bei Virustotal findet sich hier.

  SHA256: 	bc30998323b291f152a5f2bd3c682b9105087859cfec8d30bdfcf83f6f4d1778
  File name: 	World-Parcel-Express-Details05_2012-8FIRF1EX67968.zip
  Detection ratio: 	22 / 35
  Analysis date: 	2012-05-16 20:55:01 UTC ( 2 Minuten ago ) 

Leiber Spammer,
die Formatierung des Text und des HTML-Teiles ist dürftig und bedarf dringend der Verbesserung.

kmail2 und SpamAssassin

Wie ich schon berichtet habe, kann SpamAssassin mittels sa-learn nicht die im mbox-Format gespeicherten Mails lernen. sa-learn erkennt keine Mails in dem von kmail2 verwendetet mbox-Format. Nach langem Rätseln habe ich gestern eine minimale Mail erzeugt und diese mit kmail (Version 1.36.6) und mit kmail2 (Version 4.8.3) empfangen und gespeichert. Der Vergleich ergab einen wesentlichen Unterschied in der „From_“ Zeile und führte schließlich zur Klärung der Ursache.

Beispiel kmail

From thomas@example.com Tue, 15 May 2012 22:01:41 +0200

Beispiel kmail2

From thomas@example.com Tue May 15 2012 22:01:41

In kmail (Version 1) Datum und Uhrzeit waren im ctime Format, wie unter RFC 4155 oder man 5 mbox beschrieben. kmail2 verwendet ein Datum-Zeit-Format wie in RFC 822 beschrieben. Leider gibt es keinen – einheitlichen – Standard für das mbox-Format bzw. die Definitionen für das Datums-Zeit-Format in der „From_“ Zeile widersprechen sich. Diese Zeile ist jedoch für die Trennung der Mails in der mbox -Datei entscheidend. SpamAssassin erkennt derzeit das zweite Format nicht als eine gültige „From_“ Zeile.

Dieses Problem habe ich bei KDE (Bug 297198) und bei SpamAssassin (Bug 6703) gemeldet.

Um SpamAssassin endlich wieder ein paar Mails lernen zu lassen, habe ich das – neue – Format mit sed quick and dirty in das – alte – ctime Format konvertiert. Da rechnen in sed nicht so einfach ist, habe ich von einer Anpassung der Uhrzeit an die Zeitzone UTC (+0000) abgesehen. Für eine bessere Lösung müsste ich wohl mit awk oder anderen Programmen arbeiten, was nicht so schnell umsetzbar ist. Hier der sed-Befehl in seiner vollen Schönheit:

sed ‚/^From / s#\(…\), \([0-3][0-9]\) \(…\) 2012 \([0-2][0-9]:[0-5][0-9]:[0-5][0-9]\) [+-][0-9]\{4\}#\1 \3 \2 \4 2012#‘ < spam-kmail2.mbox > spam-kmail1.mbox

Das einfachste wäre, kmail2 ginge zum alten Datum-Zeit-Format zurück. Vielleicht bewegt sich auf der einen oder anderen Seite etwas. Bei SpamAssassin bewegte sich in den letzten Stunden sehr viel – bei KDE nichts außer meine Kommentare.

SPAM: USPS Shipment Info for …

Heute war es richtig heftig. Zwischen 13 und 14 Uhr habe ich zehn Mails mit dem Betreff „USPS Shipment Info for …“ erhalten. Doppelt und dreifach fielen sie ein – an verschiedene Adressen. Alle enthalten wieder eine ZIP-Datei als Anhang, in der eine ausführbare Datei SPS-Shipment_Information-Report.exe mit ca. 106 KiB / 69,2 KiB eingepackt ist.

Der Virenscanner stört sich wieder mal nicht an den Dateien. Ich glaube, den schalte ich ab, der frisst nur Prozessorleistung und damit Strom.

OpenSuSE 12.1 und kontact / kmail 4.7.x oder 4.8.x

Ein kleines Update zu meinen Problemen mit kontact und kmail2. Ich bin jetzt bei der Version 4.8.3 angelangt und die wesentlichen Dinge funktionieren noch immer nicht.

  1. Die Mails lassen sich nicht in ein spamassassin verträglichen mbox Format exportieren. Dies ist sehr lästig, da dadurch das training des Bayes Filter in Spamassassin seit Wochen nicht funktioniert.
  2. Nur ein kleiner Teil der Mails wird durch die Filter in die Ordner verschoben. dies ist sehr lästig, weil ich alle Mails der Arten CRON-Job, SPAM oder Newsletter von Hand nachträglich sortieren muss.
  3. Filtern von Hand wirkt neuerdings erst nach zwei bis drei Minuten.

Es bleibt dabei, KDE 4.7 / 4.8 ist nicht für den produktiven Einsatz geeignet.

Und noch eine Rechnung

Screenshot der Fraud Mail
Betreff: Rechnung Nr. 5986084 vom 9.05.2012
Hallo lieber Kunde/Kundin,

wir sind sehr erfreut Ihnen mitteilen zu können, dass Sie sich für Premium Mail angemeldet haben.
Sie können jetzt bis zu 550 Sms pro Monat umsonst versenden und Ihr Speichervolumen erhöht sich um 12 Gb.

82,49 Euro werden Ihnen monatlich von Ihrem Konto entzogen. Entnehmen Sie die Vertragsdetails bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.

Mit freundlichen Grüssen
Ihr Kundenservice

Schon etwas besser, aber nicht gut genug. Diese Mail-Adresse nutze ich nicht und schon gar nicht unter dem Pseudonym „yvon camille“. Wenn man schon E-Mail Adressen automatisch generiert, sollte man den Vor- und Nachnamen wenigstens auch als Empfänger nehmen und ihn nicht mit „Lieber Kunde“ anreden.

Mein clamav will auch heute die Anhänge nicht als Schadsoftware erkennen. 🙁

Gute Nacht

Ihr Lieferschein Nr. 64147052

Scrennshot E-Mail - Ihr Lieferschein Nr. 64147052

Oh Schreck, wofür soll ich 937,89 Euro Mitgliedsbeitrag zahlen? Bevor Panik ausbricht, genauer hinschauen. Die Firma Crimen GmbH wird von Google nicht gefunden, die Vorwahl 05403 gehört zu Bad Iburg, Beverungen hat die Postleitzahl 37688, die Umsatzsteuernummer ist ungültig, die E-Mail Adresse „n@…“ nutze ich nicht und hartley chakkala heiße beim besten Willen nicht. Der Blick in den Anhang offenbart: Die übliche – unter Windoof – ausführbare Datei. Schlechter ist es kaum noch möglich.

Dear Spammer, there is much room for improvement!

Zur Zeit wir der Trojaner laut VirusTotal nur von fünf Scannern erkannt: AhnLab-V3, Commtouch, DrWeb, F_Prot und Sophos F-Prot. Meine beiden Scanner brauchen mal wieder etwas länger. Allerdings ist dieser Trojaner sehr jung.

Augen auf! Wachsam sein. Keine Panik!

Paypal: Fortsetzung blockiert ! Oder lieber ?

Screen Shot Paypal Fraud

Heute landete eine obige Mail in meinem Postfach. SpamAssassin hat sie leider durchgelassen. Aber da ich Paypal nutze, ist es nicht ganz einfach die Spreu vom Weizen zu trennen. Eigentlich nichts ungewöhnliches – nur schlechtes Deutsch und die alten Tricks. Interessant ist der angebliche Virenscan und der Hinweis, wie man Spoof- oder Phishing-E-Mails erkennt. Allerdings führt der Link nur zur Hauptseite von Paypal und von dort müsste man noch etwas suchen, um die gewünschte Information zu bekommen. In sich hat es der Link zum Einloggen, der nicht zu Paypal sondern zu einer Seite http://lordandladytantrum.co.uk/… führt. (Den vollständigen Link veröffentliche ich hier lieber nicht.) Eine andere Mail zeigt auf travelling-tots.co.uk. Da wurden wohl wieder ein paar Server gehackt.

Screen Shot der angeblichen Paypal Web Seite
Screen Shot der angeblichen Paypal Web Seite

Ich habe bei Paypal nachgelesen, wie ich echte E-Mails erkennen kann. (Gut, dass ich in diesen Punkten einen robusten Magen habe.) Ich darf mal zitieren:

Daran erkennen Sie echte Paypal E-Mails

Sie können sich darauf verlassen: Unsere E-Mails kommen immer ohne Anhang. Wir werden Sie darin nie auffordern, eine der folgenden Informationen preiszugeben:

Ihre Kreditkartennummer oder Kontoverbindung
Ihr Passwort, Ihre E-Mail-Adresse oder Ihren vollständigen Namen
die PIN oder TAN Ihres Bankkontos

Das ist ja alles ganz nett und wenig hilfreich – die obige Fraud Mail hält sich an diese Erkennungskriterien. Einzige wertvolle Information ist: Keine Anhänge! Aber bedeutet dies auch kein HTML? Ich schaue mal in mein Postfach. Nein, Paypal nutzt auch für die einfachen Zahlungsbestätigungen HTML. Unterschiede zur Fraud Mail: Paypal verwendet den Absender service (at) paypal.de und nicht PayPal (at) paypal.de. Außerdem nutzt Paypal sowohl Text als auch HTML (also doch Anhänge) und nicht wie die Fraud Mail ausschließlich HTML.

Ob Paypal schon etwas von digitalen Signaturen gehört hat? Wahrscheinlich genauso viel wie Banken, Postbank, Sparkassen und Co. Zu umständlich? Wohl kaum! Eher dürften da die geringen zusätzlichen Kosten pro E-Mail eine Rolle spielen. Die Masse macht es eben. Obwohl! DKIM-Signaturen werden schon genutzt. Nur welcher Nutzer sieht dies in seinem Mail-Client?

Belustigend ist auch der Server, der die Mails schickt (siehe Bild 3). Bei Gelegenheit werde ich recherchieren, wer sich hinter diesen Critcom – Trusted Internet Marketing Professionals verbirgt. „Trusted“ müssen die mir mal erklären.

CRITCOM - Trusted Internet Marketing Professionals
CRITCOM - Trusted Internet Marketing Professionals