Spam: Reservierungen und Tickets

[vgwort line=“75″ server=“vg08″ openid=“fc927b9f98994932bbdb0a38be751095″]

Nachdem die Trojaner mich einige Tage in Ruhe gelassen haben, wurden sie heute wieder richtig aktiv. Bei zwei Mails handelt es sich um angebliche Hotelbuchungen, drei betrafen angebliche BA- Tickets. Angehängt ist jeweils eine ZIP-Datei mit einem Trojanischen Pferd.

Zuerst schauen wir uns die angeblichen Buchungen bei hotel.de an.

Reservierung [60631157] Wed, 31 Oct 2012 17:43:00 +0800

Der Spammer ist zwar in der Lage, in der Betreffzeile eine wechselnde Nummer und einen Zeitstempel einzufügen, hat aber noch nicht gelernt, dass Reservierungen nicht in der Vergangenheit liegen sollten. Wer hat den Trottel an eine Tastatur gelassen. Das Hotel heißt jetzt nicht Brenner’s Park-Hotel & Spa, sondern Mavida Balance Hotel & Spa hat aber die gleiche Adresse – Turracherhohe 325, 8864 Turracherhohe (Osterreich). Ansonsten gleichen Daten und Aufbau der neuen Mails den früheren Mails. Nicht mal das Reservierungsdatum wurde geändert.

Wenn ich es schaffe, am 9.10.2012 anzureisen, dann komme ich vorbei. Versprochen!

Die Anhänge heißen jetzt alle gleich Reservierung-Mavida_Balance_Hotel.zip und haben in jeder Mail die gleiche MD5-Summe. Die Mühe, die Anhänge mit einer Nummer zu versehen, hat sich der Spammer gespart.


3fb479b9045dc5f0a65e46cdc05cb4b7 Reservierung-Mavida_Balance_Hotel.zip

Am 22. Oktober war es schon eine schwache Leistung. Aber es kommt noch schlechter. Doch zunächst zu den BA e-tickets

BA e-ticket receipt

Hier gibt es auch nichts Neues gegenüber den bisherigen Mails.

a0967bac451e815a72cb06f80da32843 BritishAirways-eticket.zip

Vergleich der Trojaner

Alle gezipten Anhänge enthalten den gleichen Trojaner. Aller Dateien haben die gleiche MD5-Summe.


868d81dfb97e8770be86c5f2f90d6744 BritishAirways-eticket.pdf.exe
868d81dfb97e8770be86c5f2f90d6744 Reservierung-Mavida_Balance_Hotel.pdf.exe

Ich bin enttäuscht. Etwas mehr Mühe erwarte ich schon, wenn Leute aufs Kreuz gelegt werden sollen.

Sollte etwas der alte Trojaner aus der Hotel Reservierungs-Mail auch dieser MD5-Summe haben?


0a0b50e41b96f945aa8708fff1cc5e2e Reservierung-Hotel-Buchungsnummer.pdf.exe

Nein. Wenigstens etwas.

Erkennung als Spam

Bei mir werden alle Mails als Spam erkannt Dies liegt jedoch daran, dass ich

  • die früheren Mails SpamAssassin zum Lernen gegeben habe,
  • den Score für BAYES_99 auf 5.0 hoch gesetzt habe und,
  • den Minimum Score von 5.0 auf 4.5 reduziert habe.

Bei vier der fünf Mails schlagen nur die folgenden Regeln an:


5.0 BAYES_99 BODY: Bayes spam probability is 99 to 100%
[score: 1.0000]
0.0 HTML_MESSAGE BODY: HTML included in message
0.8 RDNS_NONE Delivered to internal network by a host with no rDNS

[vgwort line=“75″ server=“vg08″ openid=“fc927b9f98994932bbdb0a38be751095″]

Da muss ich wohl etwas nacharbeiten oder scheuen, ob schon jemand Regeln entworfen hat. Die für den Versand genutzte Drohnen des Bot-Netzes sind für Spam-Filter recht unauffällig und haben gute Chancen den Spam-Filter zu passieren.

Fazit

Da die MD5-Summen gleich sind, werden auch die Trojaner gleich sein. Beide Spam Mails stammen somit aus der gleichen Quelle und gehören zum gleichen Bot-Netz. Statt die Tarnung zu verbessern, versucht der Spammer es nach zehn Tagen mit fast der gleichen Mail nochmals. Dabei nimmt er im Anhang sogar eine individuelle Buchungsnummer weg und fällt damit hinter dem bisher erreichtem zurück.

Ich glaube, ich habe die Spammer arg überschätzt.
Ich fürchte, er wird trotzdem genug Opfer finden.