Your BlackBerry ID has been created

BlackBerry ID created
BlackBerry ID created
Nachdem heute angeblich jemand versucht hat, sich mit meinen Google Account anzumelden, wurde zu allem Überfluss eine BlackBerry ID für mich erstellt. Diese Mail wurde im Gegensatz zur ersten als SPAM erkannt, aber dank der Fehler in Kmail2 nicht in den SPAM-Ordner verschoben.

„Your BlackBerry ID has been created“ weiterlesen

Trojaner als DHL Delivery Notification Message

Zur Zeit sind wieder verstärkt als DHL-Nachrichten getarnte Mails unterwegs, die alle nach dem gleichen Strickmuster arbeiten. Im Anhang befindet sich ein ZIP-File, das wiederum eine ausführbares Programm enthält.

SpamAssassin erkennt diese E-Mails sehr sicher als SPAM. Nur meine beiden Virenscanner clamav und AnitVir reagieren haben keine Signatur für diesen Trojaner – noch nicht. Gem. Virustotal erkennen zur Zeit (24 Stunden nach dem ersten Auftreten) 27 von 42 Antivirenprogrammen (darunter AntiVir, nicht jedoch clamav) diese Mails als Schadsoftware. Warum die Signatur bei der Prüfung durch VirusTotal enthalten ist, jedoch nicht in meinen frisch heruntergeladenen ist mir nicht ganz einsichtig. Sollte VirutTotal mit aktuelleren Signaturen versorgt werden? Es sieht danach aus, als hätten die „bösen“ Jungs 24 Stunden Vorsprung vor den guten. Da bleibt nur die eigene Wachsamkeit.

Es wäre vielleicht hilfreich, wenn Virenscanner grundsätzliche eine Warnung ausgeben, wenn in einem ZIP-File nur eine ausführbare Datei eingebettet ist.

Der Absender ist in allen Fällen angeblich DHL International <notice@dhl.com.ky>

Betreff Zeilen:

  • Re: DHL Parcel Tracking Notification 9083981208723986
  • DHL Delivery Notification Message NEE15KT2VJICW26TT
  • DHL Express Notification for shipment 00325703307459069BID2
  • DHL Delivery Notification Message SHOK8NCDA2T77B7QG
  • DHL Tracking Notification ID: T081TNFNLSZ39PLWICM
  • DHL Delivery Notification Message L7WVZT2MDCZ9Z0NPR

Die Versender täuscht als Absender einen echten Server von DHL vor.

X-Spam-Relays-Untrusted: [ ip=199.40.20.209
	rdns=mykulws2395.kul-dc.dhl.com
	helo=gateway2a.dhl.com
	by=gateway2a.dhl.com ident= envfrom= intl=0 id= auth= msa=0 ]
Received: from [199.40.206.33] ([199.40.206.33:57562] helo=gateway2a.dhl.com)
        by cm-mr13 (envelope-from <notice@dhl.com.ky>)
        (ecelerity 2.2.3.46 r(37554)) with ESMTP
        id 29/97-04068-86BECFE4; Wed, 11 Apr 2012 07:41:58 +0000

Tatsächlich stammt eine näher untersuchte Mail aus einen Mini-Netz in Portugal. Hier haben die Spammer in der letzten Zeit etwas aufgerüstet. Die Received-Kette passt allerdings nicht lückenlos zusammen.

Die Empfänger-Adressen stammen aus einem sehr schlechten Adressverzeichnis. Die Adresse ist der verstümmelte Teil einer meiner Adressen, der sich seit Jahren in den Weiten des Cybernet hält. Abgesehen davon ist unter „To:“ nichts eingetragen. Dies ist sehr ungewöhnlich für eine E-Mail von DHL.

Meine letzten Original DHL E-Mails sind einfache Text E-Mails. Kein Anhang, kein HTML. Nur eine Referenznummer im Text, teilweise mit einer Adresse zum direkten Aufruf der Informationen im Brower, aber nicht als Link – da ja kein HTML.

Es ist schon wieder spät. Gute Nacht.

Booking confirmation 4343294142

Screen shot of booking confirmation message
Dies ist ein screen shot der booking confirmation e-mail

Heute sind gleich zwei Buchungsbestätigungen im Postfach eingetroffen. Nur habe ich meine Buchung schon vor ein paar Tagen vorgenommen und es gibt keine Veranlassung mir heute zwei Bestätigungen zu schicken. Es handelt sich bei den Mails nicht um echte Buchungsbestätigungen, sondern um ein Trojanisches Pferd. Besonders gut gemacht ist die Mail nicht. Zum einen gibt es keinen Empfänger, was bedeutet, mein Adresse ist nur in Blindkopie beteiligt. Warum sollte booking.com dies tun? Zweitens sind zu wenig Informationen in der Mail, womit ich wohl zum Öffnen des Anhanges verleitet werden soll. Drittens ist die Mail sehr kurz und extrem schlecht formatiert. Am Ende der Mail Adresse fehlt eine Leerstelle, so dass das Yours mit der Adresse zu customer.service@booking.comYours verschmilzt. Ein Anhang im ZIP-Format sollte immer Verdacht erregen und einen Blick in das ZIP-File zeigt: Hier wurde ein ausführbares Programm gleichen Namens eingepackt. Dies stinkt gewaltig nach einem trojanischen Pferd. ClamAV und Antivir haben allerdings nicht angeschlagen. Eine Prüfung bei VirusTotal ergibt 17 Treffer von 43 Virenscanner. Mit einer ersten Analyse vor knapp 5 Stunden ist der Gaul noch ein junges Fohlen.

Ein Blick in den Header zeigt, dass mein Server die Mail von einem Rechner mit der Adresse 113.190.224.159, der zum Netz 113.190.224.0/19 der VietNam Post and Telecom Corporation (VNPT) gehört, empfangen hat. Weiter zurückliegende Einträge sehr wahrscheinlich Täuschungen, um eine echte Mail Spam-Filter zu imitieren.

Received: from dynamic.vdc.vn (unknown [113.190.224.159])
by h1383963.stratoserver.net (Postfix) with ESMTP id 29C50206E504
for <thomas@example.com>; Tue, 13 Mar 2012 02:18:01 +0100 (CET)
Received: from [62.190.24.30] ([62.190.24.30:44524] helo=memta-03.booking.com)
by cm-mr27 (envelope-from <noreply@mailer.booking.com>)
(ecelerity 2.2.3.46 r(37554)) with ESMTP
id 9C/1C-30758-1CDDC2F4; Tue, 13 Mar 2012 08:17:59 +0700
Received: from pc02me-01.prod.lhr1.booking.com ([10.141.11.22]:39321 helo=localhost.localdomain)
by memta-03.prod.lhr1.booking.com with esmtp (Exim 4.76)
(envelope-from <noreply@mailer.booking.com>)
id 1Rta1Q-0006QP-KL; Tue, 13 Mar 2012 08:17:59 +0700

Hier steckt etwas mehr Mühe drin. Leider habe ich keine Vergleichsmail von booking.com, so dass ich nichts darüber sagen kann, wie gut dies beiden letzten Einträge mit dem Original übereinstimmen. booking.com ist in den Niederlanden zu hause und wird mir kaum die Mails über einen vietnamesischen Server mit vermutlich dynamischer IP zustellen. Der derzeit unter 113.190.224.159 erreichbare Rechner hat im übrigen nur den Port 80 offen, d.h. er empfängt keine Mails zur Weiterleitung.

Genug der Analyse; hier die Erkenntnisse:

  1. Verfallt nicht in Panik, wenn Ihr nichts gebucht habt, aber Buchungsbestätigungen bekommt. Es könnte zwar ein unfreundlicher Zeitgenosse sein, der mal für Euch gebucht hat, aber es ist eher ein Trojaner.
  2. Nicht auf Spam-Filter und Anti-Viren Software verlassen. Erst nachdenken, dann Anhänge öffnen. Je näher am Original, desto schwerer hat es ein Spam-Filter.

Nachtrag: Es sind auch drei Mails im Spam-Filter hängen geblieben. Dabei fiel mir soeben auf, dass es auch einen HTML-Teil gibt, der etwas besser formatiert ist. Ich bevorzuge – nicht nur , aber auch – aus Sicherheitsgründen die plain text Ansicht. 😉


Siehe auch:

  1. Bericht bei VirusTotal
  2. The Threat Expert: Trojan.Win32.Inject.cqrg

Aliase des Trojaners:

  1. Artemis!C5C106FB214A
  2. Win32/Spy.Bebloh.H
  3. W32/Bublik.A
  4. Trojan.Bebloh
  5. Trojan.Win32.Inject.dfsk
  6. Trojan.Injector.AAO
  7. Trojan.Win32.Inject!IK
  8. Trojan.DownLoader5.56805
  9. Trojan.Win32.Generic!BT
  10. TR/Spy.Bebloh.Q
  11. Artemis!C5C106FB214A
  12. Troj/Bublik-B
  13. Trojan:Win32/Bublik.B
  14. W32/Bublik.A
  15. Trojan.Win32.Generic.12BA6613
  16. Trojan.Win32.Inject
  17. Generic27.ARTN