Seit Mittwoch, 25. Juli 2012, scheint ein alter Trick in neuem Gewand unterwegs zu sein. Der Trojaner gibt vor, ein Dokument zu enthalten, dass von einem Nutzer mittels eines Netzwerkscanners mit mit der Funktion Scan-to-Mail zugeschickt wurde.
Subject: Fwd: Re: Scan from a Hewlett-Packard ScanJet #57350
Attached document was scanned and sentto you using a Hewlett-Packard I-98039SL.SENT BY : GERRY
PAGES : 8
FILETYPE: .DOC [Word2003 File]
In dem Artikel zu den Binary Options Mails habe ich die technische Herkunft der Mails untersucht. Eine bisher vernachlässigte Frage, steht hinter HaJo Erzbach eine reale Person. Diese Frage sollte mit Informationen aus dem Netz zu beantworten sein.
Heute waren neun Mails dieses Typs im Postfach – nicht besonderes. Wechselnde Uhrzeit, wechselnde Zeitzone und eine wechselnde Nummer. Datum und Uhrzeit im Subject stimmen mit der Uhrzeit des Versandes überein. Das ist ein recht einfacher Trick um einen wechselnden Betreff zu erzeugen. Der X-Mailer ist auch eine willkürliche, wechselnde Zeichenfolge. ANsonsten ist der Header sehr spartanisch. Offenbar lohnt es sich nicht mehr, dem Empfänger einen echten Mail-Client vorzugaukeln. Der Anhang ist wieder eine ZIP-Datei mit eingepackten ausführbarem Programm. Gemäß VirusTotal erkennt Antivir zur Zeit (2012-05-21T20:32:25+00:00) den Virus TR/Spy.Bebloh.EB.23, ClamAV hingt wieder hinterher.
Die Trojaner nehmen langsam in der Größe zu (~200kByte). Sie werden recht zuverlässig als SPAM erkannt, aber wenn eine Größenbeschränkung für den SPAM-Check eingestellt ist, kann es sein, dass sie diese Grenze demnächst überspringen. Bei mir steht sie schon länger auf 1 MByte, früher waren es aber nur 100 KByte.
Gute Nacht!
…
From: FedEx
To:
Subject: Shipment Notification from FedEx, Mon, 21 May 2012 10:09:59 +0100, 43938
Date: Mon, 21 May 2012 10:09:59 +0100
MIME-Version: 1.0
X-Priority: 3
X-Mailer: wfwgytb-13
…
wir sind sehr erfreut Ihnen mitteilen zu können, dass Sie sich für Premium Mail angemeldet haben.
Sie können jetzt bis zu 550 Sms pro Monat umsonst versenden und Ihr Speichervolumen erhöht sich um 12 Gb.
82,49 Euro werden Ihnen monatlich von Ihrem Konto entzogen. Entnehmen Sie die Vertragsdetails bitte dem Anhang, dort finden Sie auch die Erläuterung für Ihre 2 Wochen Kündigungsfrist.
Mit freundlichen Grüssen
Ihr Kundenservice
Schon etwas besser, aber nicht gut genug. Diese Mail-Adresse nutze ich nicht und schon gar nicht unter dem Pseudonym „yvon camille“. Wenn man schon E-Mail Adressen automatisch generiert, sollte man den Vor- und Nachnamen wenigstens auch als Empfänger nehmen und ihn nicht mit „Lieber Kunde“ anreden.
Mein clamav will auch heute die Anhänge nicht als Schadsoftware erkennen. 🙁
ACH transfer error Heute flatterte wieder so eine NACHA fraud Mail in mein Postfach. Wie an der Statuszeile links unter unschwer erkennbar, handelt es sich bei dem angeblichen PDF-Dokument um eine HTML-Seite. Diese lädt von drei verschiedenen Server ein und das selbe JavaScript nach (doppelt hält besser und dreifach noch mehr, es müssen also drei Server gesäubert werden, um das System lahm zu legen), dass wiederum von einem vierten Server eine Seite mit obfuscated JavaScript code nach lädt. Was das letzte Script bewirkt, habe ich noch nicht ausprobiert. Ich würde es auch nur in einer virtuellen Maschine tun, die ich anschließend in Nirwana schicke. Aber heute will ich noch zum Sport.
Gestern hatte ich kurz vor einer arglistigen oder betrügerischen(fraudulent)[1] E-Mail [2] gewarnt. Dies ist die Variante der „Chase Account Update Phishing Mails“ für deutsche Postbankkunden.
Schaut man sich die Mail genau an – im HTML-Format – fällt auf, dass an Stelle der deutschen Umlaute kyrillischen Zeichen erscheinen. Dies liegt daran, dass der als Content-Type: text/html; charset=“Windows-1251″[3] angegeben ist. Die 1251 steht dabei für kyrillisch. Um für deutsche Postbankkunden die Umlaute richtig anzuzeigen, muss hier 1252 stehen. Die Mail wurde von einem – vermutlich kompromittierten – Rechner in Amerika verschickt.
In der HTML-Ansicht scheinen die Links auf einen Server der Postbank zu zeigen – ein alter und immer noch beliebter Trick. Versuchen Sie es mal hier: https://banking.postbank.de/rai/login (Auch eine schöne Seite, aber bitte nicht zu lange weg bleiben, wiederkommen und weiter lesen.)
Ein Klick auf den Link in der Mail führt zu einem Server mail.thephx.com und nicht zum Server der Postbank. Einen Screenshot der Seite sehen Sie am Anfang dieses Beitrages. Die IP-Adressen der Rechner gehören zu großen Netzen nord-amerikanischer Provider. Mehr habe ich noch nicht herausgefunden. „The Phonix“ ist ein historischer „Gentleman‘ Club“. Warum in deren Namensraum ein Eintrag auf den Server mail.thephx.com (IP:69.61.181.2) existiert? Gute Frage.
Sicherer surfen? Ja. Sicher surfen? Nein! Ich habe mich dort jetzt als Site Reviewer angemeldet.
Bei dem „Chase Account Update“-Betrug wird die Mail über eine Domain recommendedinns.com (IP:173.224.213.145) verschickt, die zur Seite http://www.recommendedinns.com/ führt. Der Web-Server und der Names-Server liegen auf der gleichen IP-Adresse. Warum der Server die Mails weiter leitet? Vielleicht ist er als offener Relay-Host konfiguriert?
Anmerkung: Wer keine kyrillisch schreibenden E-Mail Partner hat, der hat mit dem Charakter Set Windows-1251 einen guten Spam Indikator.
Diese Website benutzt Cookies und verarbeitet personenbezogene Daten.. Wenn Sie diese Website weiter nutzen, gehe ich von Ihrem Einverständnis gem. Artikel 6 (1) a) DSVGO aus. Weitere Informationen erhalten Sie auf der Seite Datenschutz.OKAblehnenDatenschutz