SPAM: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100

Und noch eine Mail aus der Kategorie ZIP-Anhang mit Trojaner.

Auffällig ist, dass eine die Reservierung für ein Datum in der Vergangenheit erfolgt. Aber wer liest schon so eine Mail im Detail. Selbst wenn ich heute ein Zimmer reserviert hätte, gäbe es kaum einen Grund den Anhang zu öffnen.

From: „hotel.de“ &lt>Confirmations@hotel.de>
To: <thomas@t-arend.de>
Date: Mon, 22 Oct 2012 12:50:46 +0100
Subject: Reservierung [49886788], Mon, 22 Oct 2012 12:50:46 +0100
Attachment: Reservierung-Hotel-BuchungsnummerM22942359.zip
Reservierung
Buchungsnummer: 3H6768378
Buchungsdatum: Mon, 22 Oct 2012 12:50:46 +0100

Mehr Details in der beigefugten Datei   
Hotelname: Brenner’s Park-Hotel & Spa
Straße: Turracherhohe 325
PLZ/Ort: 8864 Turracherhohe (Osterreich)

Fax: +43/4275/2675670

Anreise: 09.10.2012 Anzahl Nächte: 1
Abreise: 10.10.2012 Gesamtanzahl Personen: 1
Preis: 53,05 EUR
Der Gesamtpreis beinhaltet 3,30 EUR Steuern und Abgaben.

Hinweis: Diese Buchung ist per Bankkarte gesichert.
——————————————————————————–
Mit freundlichen grüßen Ihr hotel.de/hotelinfo-Teamhotel.de AG – www.hotel.de – www.hotel.info
Aufsichtsratsvorsitzender: Tobias Ragge
HRB 22864, Amtsgericht Nurnberg

Anmerkung: Zur besseren Darstellung habe ich die überreichlichen vorhandenen Tabulatoren aus dem Textteil der Mail entfernt und die Zeilenumbrüche etwas geändert.

SPAM: You have 1 Unread Message From PayPal!

Hier heute flatterte wieder eine Password Pishing Mail in meinen Briefkasten. Interessant war nur, dass es sich bei den Rechnern um T-Online – pdxxxxxxxx.dip0.t-ipconnect.de Kunden mit DSL-Anschluss handelt. Die IP-Adresse dieser Rechner wechselt mindestens täglich und so kann dies nur 24 Stunden. Der Weg zur falschen Web-Seite führt über eine Weiterleitung (über den selben Rechner)

From: „PayPal Account“<secure@mailservice.Paypal.com>
Subject: You have 1 Unread Message From PayPal!


———————————————————————-
We need your help
———————————————————————-

Dear valued PayPaI® Customer,

We need your help resolving an issue with your account. To give us time to
work together on this, we’ve temporarily limited what you can do with your
account until the issue is resolved.

What’s the problem?

We noticed some unusual activity on the credit card linked to your PayPaI® account.

Case ID Number: PP-001-212-055-698

How you can help

It’s usually pretty easy to take care of things like this. Most of the
time, we just need a little more information about your account.

To help us with this and to find out what you can and can’t do with your
account until the issue is resolved, please proceed to our secure webform by clicking here.

Thanks,
PayPaI®



Please do not reply to this email. This mailbox is not monitored and you
will not receive a response.
—————————————————————-
Copyright © 1999-2012 PayPaI®. All rights reserved.
Screen Shot E-Mail
Screen Shot der gefälschten E-Mail
Screen Shot der gefälschten Seite
Screen Shot der Pishing Seite auf einen Telekom-Kunden Rechner.

SPAM: UPS Worldship Sendungsimport Beispieldatei

Ob dieser Text geschickt ist? Wer nicht mit UPS telefoniert hat, wird sich wundern igrend etwas vereinbart zu haben und den Braten riechen. Wer allerdings aus welchen Gründen auch immer mit UPS etwas telefonisch vereinbart hat, könnte auf den Trick hereinfallen. Frage mich. Wie groß ist der Streuverlust. Welches E-Mail Programm erzeugt eine Text/HTML Mail, in der der Textteil alle Absätze und teilweise die Leerstellen verliert? Sehr unprofessionell diese Mail.

From: <no-reply@notification.ups.com>
To: <thomas@example.com>
Date: Mon, 22 Oct 2012 16:49:56 +0700
Subject: UPS Worldship Sendungsimport Beispieldatei
Attachments: Sendungsimport_Beispiel.zip
Sehrgeehrter UPS Kunde,Wie telefonisch vereinbart sende ichIhnen hiermit die Beispieldatei als Anhang zu.Bei eventuellen Fragen rufen Siebitte die folgende Nummer: 0800 100 9079.Das ist eine automatisch generierteNachricht, bitte beantworten Sie es nicht.Mit freundlichen: UPS IntermediateTechnical SupportThe information provided by UnitedParcel Service (UPS) technical support is provided “as is” withoutwarranty of any kind. UPS disclaims all warranties, either express or implied,including the warranties of merchantability and fitness for a particularpurpose. In no event shall United Parcel Service, Inc. or its suppliers beliable for any damages whatsoever including direct, indirect, incidental,consequential, loss of business profits or special damages, even if UnitedParcel Service or its suppliers have been advised of the possibility of suchdamages. Some states do not allow the exclusion or limitation of liability forconsequential or incidental damages so the foregoing limitation may not apply.© 2012 United Parcel Service of America, Inc.

Die Beispieldatei Sendungsimport_Beispiel.zip enthält – wie erwartet – einen Trojaner Sendungsimport_Beispiel.pdf.exe und ist 13 von 43 Virenscannern unter den folgenden Namen bekannt:

  1. FakeAlert
  2. Heur.Dual.Extensions
  3. Mal/BredoZp-B
  4. PWS-Zbot.gen.anm
  5. Suspicious.Cloud.5
  6. Trj/CI.A
  7. Trojan.Zip.Bredozp.b (v)
  8. W32/Crypt.BGHX
  9. W32/EncPk.CWP!tr
  10. W32/Generic!zip-dobleextension
  11. W32/Heuristic-300!Eldorado

Wenn ich mir die „Namen“ Heur.Dual.Extensions und W32/Generic!zip-dobleextension anschaue, frage ich mich, warum andere Virenscanner dies nicht erkennen können.

Freundliche und unfreundliche Crawler

Vor einigen Monaten habe ich schon einmal etwas über die Möglichkeiten unfreundliche Crawler (Siehe: Unfreundliche Web-Crawler aussperren) zu sperren geschrieben. Heute war wieder etwas Zeit, nach zu schauen, ob die Maßnahmen gewirkt haben.

Sehr viele Zugriffe kamen bisher vom Pixray-Seeker, dem ich daraufhin den Zugriff auf jpg und gif Dateien verboten hatte. Nun, da ich Screen Shots als png einstelle, hat er sich über dieser her gemacht. Durch einen aktuellen Artikel – ich glaube, es war Evil Azraels Stänkerblog – bin ich darauf gekommen, dass Pixray auch andere User-Agent Angaben beim Zugriff schickt. Nun, wenn nicht Pixray drin steht, geht mein Eintrag in der .htaccess ins Leere.

Eine Log-Auswertung für den Pixray-Seeker ergab, dass er zwar die robots.txt las, aber zeitgleich eine Abfrage nach einer Datei schickte. Fast jeder Besuch bestand nur aus diesen beiden Zugriffen. Diesen Monat fand ich aber nur noch 14 Zugriffe eines Pixray-Seeker. Eine Auswertung der Zugriffe anhand der IP-Adressen ergab, dass sich ein Rechner mit mindestens 12 verschiedenen User-Agent Angaben meldete. Dateien (z.B. *.css), die für die Anzeige dieser Seiten wichtig sind, werden nie runter geladen. Dieses Muster und die verwendeten User-Agents trafen für viele Rechner zu. Dass es sich um Proxy-Server handelt, schließe ich daher aus.

„Freundliche und unfreundliche Crawler“ weiterlesen