Spam: Reservierungen und Tickets

Nachdem die Trojaner mich einige Tage in Ruhe gelassen haben, wurden sie heute wieder richtig aktiv. Bei zwei Mails handelt es sich um angebliche Hotelbuchungen, drei betrafen angebliche BA- Tickets. Angehängt ist jeweils eine ZIP-Datei mit einem Trojanischen Pferd.

Zuerst schauen wir uns die angeblichen Buchungen bei hotel.de an.

„Spam: Reservierungen und Tickets“ weiterlesen

SPAM: Arbeitsangebote.com (3)

Die Adressen der Mail-Server mx.arbeitdeutschland.com und mx.technojobse.com werden zur Zeit nicht mehr aufgelöst. Dafür gibt es eine Neue Mail, diesmal in Englisch in der einen angeblich auf Gibraltar beheimatete Firma nach Finanzagenten sucht. Die E-Mail-Adressen lauten hier:

„SPAM: Arbeitsangebote.com (3)“ weiterlesen

Hilfe! Mir wird vorgeworfen, dass mein Rechner einen Trojaner hat und ich Spam verschicke

Freitag bekam ich einen weniger netten Anruf aus Hamburg. Der Anrufer forderte, dass sich sofort damit aufhöre, ihn mit Spam Mails das Postfach zuzumüllen. Auf meine Nachfrage hin, bekam ich zur Antwort, dass ich doch mit meiner Firma hinter dieser Werbung für arbeitdeutschland.com stehen würde. Nun, da ich keine Firma habe, blieb ich gelassen. Der Anrufer hatte offensichtlich meine Web-Seite gefunden und sich nicht die Mühe gemacht, sie genauer zu lesen. Meine Auskunft, dass ich diese Mails nicht verschicke, sondern nur über sie schreibe und genau wie er leide, konnte ihn nur begrenzt überzeugen. Er wird mich jetzt weiter beobachten.

Es ist nicht das erste Mal, dass diese Behauptung aufgestellt wurde und mir sogar mit dem Anwalt gedroht wurde. Ich hoffe, dass die Leute sich etwas besser informieren, bevor sie voreilig Anzeige gegen mich erstatten oder einen Anwalt einschalten. Die Kosten können sie sich sparen.

Nun deutet ein Kommentar hier darauf hin, dass ich nicht der einzige bin, dem solches vorgeworfen wird. Den Vorwurf stets einfach von der Hand zu weisen, geht jedoch nicht. Es ist nicht auszuschließen, dass an dem Vorwurf etwas dran ist. „Was tun?“, spricht Zeus. Schauen wir uns die Sache näher an.

„Hilfe! Mir wird vorgeworfen, dass mein Rechner einen Trojaner hat und ich Spam verschicke“ weiterlesen

SPAM: Arbeitsangebot arbeitdeutschland.com (2)

Eine kleine Ergänzung zu meinem Artikel SPAM: Arbeitsangebot arbeitdeutschland.com.

Der Mailserver mx.arbeitdeutschland.com ist umgezogen. Ich bekomme jetzt als IP-Adresse die 85.17.188.210, die zum Netz 85.17.188.0/24 eines niederländischen Anbieters LeaseWeb, P.O. Box 93054, 1090BB AMSTERDAM, Netherlands, www.leaseweb.com gehört.

Der Mail Server mx.technojobse.com für die schwedische Variante ist auch dorthin umgezogen.

Sind Deutsch und Schwedisch die einzigen genutzten Sprachen?

WordPress Kommentar Spam

Heute erhielt ich folgenden Kommentar auf einen meiner Artikel.

{Online|On-line|On the internet|On the web|On the net|On line|Internet|Over the internet|Via the internet|Web based|Using the web} {Article|Post|Write-up|Short article|Report|Posting|Piece of writing|Guide|Content|Document|Brief article}…

The knowledge outlined inside the posting are some of the greatest readily available…

Es ist mir schleierhaft, was mein Post mit einem Artikel über eine X-Box zu tun hat, auf die der Link verwies. Aber ich muss nicht alles verstehen. Natürlich gebe ich dem Spammer auch recht, was seine – wenn auch untertriebene – Bewertung meines Artikels angeht, aber dies ist doch selbstverständlich und nicht der Rede wert. 😉

Das mein captcha von einigen Tools gelöst werden kann, ist mir auch bekannt. Aber es reicht um die Zahl der Spam-Kommentare, die ich prüfen muss, zu reduzieren.

Nein, was ich gerne verstehen würde, ist die erste Zeile. Hat der Spammer versehentlich seine Versatzstücke mit in den Kommentar kopiert? Als zusätzliche Stichwörter sind diese Worte wenig hilfreich. Sinnvoll wäre es einen Text mittels derartiger Auswahllisten zu modifiziert und so jeden Eintrag individuell erscheinen zu lassen.

Spam und nochmals Spam

Hier habe ich die Charts der gesammelten Betreffzeilen der Spam-Mails des gestrigen Tages zusammengestellt. Arbeitsangebote sind zur Zeit der absolute Renner.

  1. Arbeitsangebote
    • Angebote im Netz
    • Arbeit in Deutschland
    • Arbeitsmarkt Naturwissenschaften
    • Information zur JOBBORSE
    • Wir suchen einen Operationsmanager
  2. Handy Spionage
    • Handys ausspionieren
    • Achtung: HandySpionage
    • Interessante Software
    • S p i o n a g e
  3. Online Casinos
    • Knacken Sie jede Menge Jackpots bei EuroDice Stars!
    • Zahlen Sie 100 EUR ein und erhalten Sie einen Willkommensbonus von 300%
    • Zahlen Sie 100 Euro ein und spielen Sie mit 400 Euro!
  4. Viagra und Co
    • Order Vmax Today & Save up to $339.45! 100% Guaranteed to Work or Your Money Back. Click Here! q906uk1351
    • Buy Cheap Generic Viagra from $1.12. Easy and Safely, Visa and Mastercard Accepted. hwhr62bubb
    • Viagra 100mg x 120 pills $152 !!! bdr0jx2tdj
  5. Much money
    • Your atm card us$12.5m is ready for collection
  6. Nigerian Spam
    • Partnerschafts-Anfrage
  7. Uhren Repliken
    • Sale of a Swiss watch has begun. Precisely same as at Bill Gates and Hillary Clinton
  8. SEO
    • W e b s i t e – T r a f f i c – G e n e r a t o r

Die Arbeitsangebote kommen mit jedem Betreff mehrfach und liegen eindeutig auf Platz 1 der Charts. Weit Abgeschlagen sind die Online-Casinos. Platz 3 belegt die Handy Spionage. Platz vier hält Viagra und Co. Die meisten machen sich nicht mehr die Mühe die einschlägigen Begriffe zu verschleiern. Haben die den Kampf gegen die Spam-Erkennung aufgegeben?

Was auffällt, dass gestern keine Trojaner eingingen. Ärgerlich. Nun habe ich so viel Zeit in die Entzifferung gesteckt und die lassen mich aus.

How to deobfuscate Blackhole Java-Script

This article describes my investigations of the Java-Script obfuscation currently used by the Blackhole Exploit Kit. My intend was to write some smal scripts to automatically deobfuscate the Java-Script without using Java-Script itself. Using Java-Script with a little help would be an easy task because you only have to identify the point where the „eval“-fucntion is called and repalce it with an alert- or document-write function. My intend was to fully automate the deobfuscation to used it by an mail-scanner or a proxy-server.

I an former article I investigated the LinkedIn Spam and showed an example of a landing page assure_numb_engineers.php I downloaded from the server. Thanks to the daily spam and some web-sites listing the active servers I could get my hand on some more landing pages. Most of them looked like the example below.

In the next few paragraphs I will explain how the decoding and encoding works and develop explain a solution for decoding without deciphering the javascripts of a certain class.

„How to deobfuscate Blackhole Java-Script“ weiterlesen

Trojaner: BA e-ticket receipt

BA e-ticket receipt
BA e-ticket receipt

Auf frisch im Postkaten. Interessant ist der Disclaimer am Anfang der E-Mail:

THIS IS AN AUTOMATED EMAIL – PLEASE DO NOT REPLY AS EMAILS RECEIVED AT THIS ADDRESS WILL BE AUTOMATICALLY DELETED.

Virus checking of emails (including attachments) is the responsibility of the recipient.

This message is private and confidential and may also be legally privileged. If you have received this message in error, please advise the sender and immediately, permanently destroy the document. Please do not read, print, re-transmit, store or act in reliance on it or any attachments.

Weder sollte der Empfänger sich über die versehentliche Sendung an ihn beschweren, noch sollte er den ZIP-Anhang öffnen.

Trojaner: Deutsche Post. Sie mussen eine Postsendung abholen

Deutsche Post. Sie mussen eine Postsendung abholen #G2TR82V094
Lieber Kunde,Es ist unserem Boten leider misslungen einen Postsendung an =
Ihre Adresse zuzustellen.Grund: Ein Fehler in der Leiferanschrift.Sie kon=
nen Ihre Postsendung in unserer Postabteilung personlich kriegen.Anbei fi=
nden Sie einen Postetikett.Sie sollen dieses Postetikett drucken lassen, =
um Ihre Postsendung in der Postabteilung empfangen zu konnen.Vielen Dank!=
Deutsche Post AG.

Kam gerade wieder frisch rein.

Wie üblich enthält die Mail einen ZIP-Anhang mit dem Trojaner.

Finger weg vom Anhang

Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)

Achtung: Maus weg vom Anhang!

Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)
Sceenshot einer angeblichen UPS Mail.
Text: Dear Bank Operator,WIRE TRANSFER: FEDW-…STATUS: REJECTED You can find details in the attached file.(Internet Explorer format)

Diesmal kommt ein Trojaner in einem neuem Gewand mit einem HTML-Anhang. Dieser enthält ein verschleiertes Script, das auf eine Web-Seite umleitet. Von dieser wird wiederum eine Datei heruntergeladen, die wiederum ein verschleiertes Script enthält und nach der Dekodierung den Rechner auf Schwachstellen prüft. Letzteres Script trägt die Bezeichnung version:“0.7.8″,name:“PluginDetect“ in seinem Quellcode. Damit gehört dieser Trojaner Script zum Blackhole Exploit Kit wie auch die Spams zu YouTube und LinkedIn.
„Trojaner: Re: Wire Transfer Confirmation (FED REFERENCE xxxxx)“ weiterlesen