Booking confirmation 4343294142

Screen shot of booking confirmation message
Dies ist ein screen shot der booking confirmation e-mail

Heute sind gleich zwei Buchungsbestätigungen im Postfach eingetroffen. Nur habe ich meine Buchung schon vor ein paar Tagen vorgenommen und es gibt keine Veranlassung mir heute zwei Bestätigungen zu schicken. Es handelt sich bei den Mails nicht um echte Buchungsbestätigungen, sondern um ein Trojanisches Pferd. Besonders gut gemacht ist die Mail nicht. Zum einen gibt es keinen Empfänger, was bedeutet, mein Adresse ist nur in Blindkopie beteiligt. Warum sollte booking.com dies tun? Zweitens sind zu wenig Informationen in der Mail, womit ich wohl zum Öffnen des Anhanges verleitet werden soll. Drittens ist die Mail sehr kurz und extrem schlecht formatiert. Am Ende der Mail Adresse fehlt eine Leerstelle, so dass das Yours mit der Adresse zu customer.service@booking.comYours verschmilzt. Ein Anhang im ZIP-Format sollte immer Verdacht erregen und einen Blick in das ZIP-File zeigt: Hier wurde ein ausführbares Programm gleichen Namens eingepackt. Dies stinkt gewaltig nach einem trojanischen Pferd. ClamAV und Antivir haben allerdings nicht angeschlagen. Eine Prüfung bei VirusTotal ergibt 17 Treffer von 43 Virenscanner. Mit einer ersten Analyse vor knapp 5 Stunden ist der Gaul noch ein junges Fohlen.

Ein Blick in den Header zeigt, dass mein Server die Mail von einem Rechner mit der Adresse 113.190.224.159, der zum Netz 113.190.224.0/19 der VietNam Post and Telecom Corporation (VNPT) gehört, empfangen hat. Weiter zurückliegende Einträge sehr wahrscheinlich Täuschungen, um eine echte Mail Spam-Filter zu imitieren.

Received: from dynamic.vdc.vn (unknown [113.190.224.159])
by h1383963.stratoserver.net (Postfix) with ESMTP id 29C50206E504
for <thomas@example.com>; Tue, 13 Mar 2012 02:18:01 +0100 (CET)
Received: from [62.190.24.30] ([62.190.24.30:44524] helo=memta-03.booking.com)
by cm-mr27 (envelope-from <noreply@mailer.booking.com>)
(ecelerity 2.2.3.46 r(37554)) with ESMTP
id 9C/1C-30758-1CDDC2F4; Tue, 13 Mar 2012 08:17:59 +0700
Received: from pc02me-01.prod.lhr1.booking.com ([10.141.11.22]:39321 helo=localhost.localdomain)
by memta-03.prod.lhr1.booking.com with esmtp (Exim 4.76)
(envelope-from <noreply@mailer.booking.com>)
id 1Rta1Q-0006QP-KL; Tue, 13 Mar 2012 08:17:59 +0700

Hier steckt etwas mehr Mühe drin. Leider habe ich keine Vergleichsmail von booking.com, so dass ich nichts darüber sagen kann, wie gut dies beiden letzten Einträge mit dem Original übereinstimmen. booking.com ist in den Niederlanden zu hause und wird mir kaum die Mails über einen vietnamesischen Server mit vermutlich dynamischer IP zustellen. Der derzeit unter 113.190.224.159 erreichbare Rechner hat im übrigen nur den Port 80 offen, d.h. er empfängt keine Mails zur Weiterleitung.

Genug der Analyse; hier die Erkenntnisse:

  1. Verfallt nicht in Panik, wenn Ihr nichts gebucht habt, aber Buchungsbestätigungen bekommt. Es könnte zwar ein unfreundlicher Zeitgenosse sein, der mal für Euch gebucht hat, aber es ist eher ein Trojaner.
  2. Nicht auf Spam-Filter und Anti-Viren Software verlassen. Erst nachdenken, dann Anhänge öffnen. Je näher am Original, desto schwerer hat es ein Spam-Filter.

Nachtrag: Es sind auch drei Mails im Spam-Filter hängen geblieben. Dabei fiel mir soeben auf, dass es auch einen HTML-Teil gibt, der etwas besser formatiert ist. Ich bevorzuge – nicht nur , aber auch – aus Sicherheitsgründen die plain text Ansicht. 😉


Siehe auch:

  1. Bericht bei VirusTotal
  2. The Threat Expert: Trojan.Win32.Inject.cqrg

Aliase des Trojaners:

  1. Artemis!C5C106FB214A
  2. Win32/Spy.Bebloh.H
  3. W32/Bublik.A
  4. Trojan.Bebloh
  5. Trojan.Win32.Inject.dfsk
  6. Trojan.Injector.AAO
  7. Trojan.Win32.Inject!IK
  8. Trojan.DownLoader5.56805
  9. Trojan.Win32.Generic!BT
  10. TR/Spy.Bebloh.Q
  11. Artemis!C5C106FB214A
  12. Troj/Bublik-B
  13. Trojan:Win32/Bublik.B
  14. W32/Bublik.A
  15. Trojan.Win32.Generic.12BA6613
  16. Trojan.Win32.Inject
  17. Generic27.ARTN

Update: NACHA Alert

Nachtrag zu den NACHA Trojanern

Die Trojaner lassen sich nicht mehr von den drei Servern herunterladen. Ob dies das Ergebnis dessen ist, dass ich den Admins eine Mail geschrieben habe? Wer weiß? Eine Rückmeldung hab ich nicht bekommen. Schade …

Antivir

Antivir liefert heute zu meinen drei gesammelten Trojanern folgendes Ergebnis:


zPxqxHGf.exe
Datum: 22.02.2012 Zeit: 22:15:20 Größe: 95232
ALERT: [TR/PSW.Fareit.C.241] zPxqxHGf.exe < << Ist das Trojanische Pferd TR/PSW.Fareit.C.241 o3fQ.exe Datum: 22.02.2012 Zeit: 22:15:18 Größe: 95744 ALERT: [TR/Crypt.ZPACK.Gen] o3fQ.exe <<< Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen CcLYgL.exe Datum: 22.02.2012 Zeit: 22:15:18 Größe: 95232 ALERT: [TR/Offend.KD.540289] CcLYgL.exe <<< Ist das Trojanische Pferd TR/Offend.KD.540289

Ich muss die beiden gleich großen Dateien mal vergleichen.

ClamAV

ClamAV erkennt heute leider nur zwei der drei Trojaner.


CcLYgL.exe: Trojan.FareIt-6 FOUND
o3fQ.exe: OK
zPxqxHGf.exe: Trojan.Fareit FOUND

NACHA Alert Trojaner

Trojaner Server
Trojaner Server
Zur Zeit treten vermehrt Mails mit dem Betreff „[e-mail-adresse] Nacha Alert ID[Nummer]“ auf. Der Aufbau der HTML-Mail ist sehr einfach. Sie enthält die Aufforderung seinen NACHA Accout durch folgen des Links aufzudatieren. Die ID-Nummer in der Mail muss dabei nicht mit der im Betreff übereinstimmen. Die Links unter dem Text und dem Logo verweisen auf ein ausführbares Programm. Dabei werden verschiedenen Server verwendet. Die Datei wird bei mir von ClamAV und AntiVir zur Zeit nicht nicht als Schadsoftware erkannt. Auf VirusTotal ergibt sich eine Erkennungsrate von 8/43. BitDefender bezeichnet das Teil als Trojan.Generic.KD.540289 und Kaspersky als Trojan.Win32.Jorik.Downloader.uf

Das Programm liegt auf verschiedenen Servern. In den letzten zwei Tagen waren es folgende:

  1. cattaneoetcie.fr – 87.106.171.182 – Cattaneoet&Cie
  2. machineryvaluerssydney.com.au – 50.22.40.192
  3. rscine.ro – 209.217.228.21 – Romanian Society of Cinematographers
  4. www.soloairesmaduro.com – 72.44.88.111 – Account gesperrt

Die Datei- und Verzeichnisnamen unter denen sich der Trojaner versteckt, sind jeweils andere zufällige Zeichenfolgen. 🙂 Die Clients, die Mails verschicken, sind nicht identisch mit den Servern, auf denen die Trojaner liegen. Mail-Sender-IP: 12.215.64.124, 125.165.177.159, 188.2.55.41, 37.107.20.245. Es scheint hier gibt es ein kommunizierendes Botnetz.

Registrator ist für machineryvaluerssydney.com.au „Crazy Domains“. Passt.

Der Account für die Seite www.soloairesmaduro.com ist suspendiert und der Trojaner kann nicht mehr heruntergeladen werden. Bei den Anderen war er gerade eben noch verfügbar. Bin gespannt, ob sie auf meine E-Mail reagieren.

Es scheint leicht unterschiedliche Varianten des Trojaners zu geben. Größe der gefundenen Dateien: 95232 und 95744 Byte.


Ergänzung: Pressemitteilung NACHA:Fraudulent Emails Appearing to Come from NACHA: Educate Yourself

80legs

80legs ist ein Web-Crawler, der ab und an meine Seiten besucht. Gegen einen entsprechenden Obulus kann ein registrierter Nutzer den Crawler mit einer spezifischen Suchanfrage beauftragen. Im Prinzip bekommt nur der Kunde das Ergebnis zu sehen, der auch dafür bezahlt hat. Wenn ich die Beschreibung richtig verstanden habe, kann ein Kunde bestimmen, welche Seiten durchsucht werden sollen, welchen Links wie tief gefolgt werden soll, usw. Auf die gefundenen Seiten kann – neben allgemeinen Suchkriterien – ein vom Kunden spezifiziertes Programm angewandt werden. Damit lässt sich mit diesem Crawler ganz spezifisch nach bestimmten Inhalten oder Dateien suchen.

Die Case Study: IP Protection by Monotype Imaging gibt einen kleinen Hinweis darauf, dass 80legs Kunden unter anderem gezielt nach Urheberrechtsverstößen (IP bedeutet in diesem Fall Intellectual Property) suchen.

Wer ein Durchsuchen seines Servers nicht möchte, der kann dies über die robots.txt verhindern. Wie der Crawler arbeitet ist in einem Wiki beschrieben. Danach identifiziert sich der Crawler als 008 mit dem aktuellen Firefox Release. Ganz unten auf der Seite, im Abschnitt Web-Masters, ist beschrieben, wie das Crawlen auf der eigene Seite unterbunden werden kann. Dazu ist folgender Eintrag in der robots.txt erforderlich:

User-agent: 008
Disallow: /

Im Gegensatz zum Pixray-Bot[1][2] ist das Verhalten und die Arbeitsweise des Crawler bei 80legs sehr gut erläutert. (Die Firma Pixray sollte sich daran ein Beispiel nehmen.)

Mir ist noch nicht ganz klar, welchen Gewinn ich als Betreiber eines Servers davon habe, dass 80legs kundenspezifisch bei mir sucht und ich Prozessorkapazität und Bandbreite dafür spendieren muss. Ich glaube ich habe nichts davon.

Bei 50.000 Rechnern ist eine Sperrung über IP-Adressen aussichtslos. Wenn die, weil das Geschäftsmodell wegen zu viel „gesperrter“ Seiten nicht funktioniert, werden sie ihre Bedenken über Bord werfen und die robots.txt ignorieren. Watt dann?

Gute Nacht!

Und natürlich:

Kölle Alaaf!

  1. [1]Siehe „Der Pixray-Seeker wird lästig“
  2. [2]Siehe „Unfreundliche Web-Crawler aussperren“

Postbank — Wichtig! — Nein, gewiss nicht!

E-Mail zum Password fischen
Postbak Password Fischer

Nein, wurde nicht! Ich habe kein Postbankkonto und wer sein Konto schnell leer räumen und sein Geld los werden möchte, der folge den Links und Anweisungen. Keine Angst, das Geld verschwindet nicht, es hat nur jemand anderes. Wer? Weiß der Kuckuck. Sie haben / wissen es nicht und ich leider auch nicht.

Wen ich jetzt vor einem Fehler bewahrt habe, der hebe einen ordentlichen Betrag ab und gönne sich etwas Gutes. Das Geld ist dann zwar auch woanders, aber aber das Gute bleibt.

BTW: In einer Mail können Sie als Absender jeden eintragen. Auch die Postbank.

Gute Nacht

Spam von RichVestor und Co

Wie ich in einem früheren Betrag erläutert habe, steht hinter E-Mails der RichVestor GmbH und RS Mobile Marketing GmbH vermutlich die Software von adresspark UG. Heute kam eine Werbung für ein Freundschaftsportal. In dieser Mail war kein direkter Link enthalten, sondern der typische Link über rv-mm.de. Ich möchte meine Adresse nicht auch noch bestätigen und so kann ich im Moment nicht sagen, was sich hinter diesen Links verbirgt.

Da die offenbar reger werden, habe ich mir die Zeit genommen meiner SpamAssassin[1] Konfiguration einen Satz neuer Regeln zu spendieren, die ich hier wiedergebe. Nicht die hohe Kunst, aber ich denke, für eine Weile sind sie wirksam. Die Texte in den Mails lassen sich sehr leicht ändern. Die Serverinfrastruktur ist nicht ganz so einfach geändert. Durch kleine Änderungen wird sich der Bayes Filter sicher nicht täuschen lassen. Für RichVestor und RS Mobile Marketing habe ich keine extra Regeln hinzugefügt. Dies erledigt der Bayes Filter ganz alleine.

# Filter Spam von adresspark.de und freunde

header TA_adresspark_list_01 list-id =~ //i
describe TA_adresspark_list_01 Countains mailing list id "mawuvs.de" from adresspark.de
score TA_adresspark_list_01 10.0

header TA_adresspark_list_02 list-unsubscribe  =~ /http:\/\/rv-mm.de/i
describe TA_adresspark_list_02 Countains mailing list unsubscribe link to RichVestor (rv-mm.de)
score TA_adresspark_list_02 10.0

body TA_adresspark_01 /Dieser Newsletter ist ein unentgeltlicher Service der .* und wurde an Sie versandt, da Sie mit Ihrer E-Mail-Adresse .* an einer von uns oder unseren Partnern veranstalteten Aktion teilgenommen haben./i
describe TA_adresspark_01 Body contains a standard adresspark.de diclaimer
score TA_adresspark_01 0.5
 
body TA_adresspark_02 /Da die .* ausschließlich der Versender dieser E-Mail ist, bitten wir Sie sich bei Fragen zum Inhalt der Mail direkt an den Anbieter zu wenden. Regressansprüche gegen die .* sind ausgeschlossen./i
describe TA_adresspark_01 Body contains a standard adresspark.de diclaimer
score TA_adresspark_02 0.5

meta TA_m_adresspark_01 ( TA_adresspark_01 + TA_adresspark_02 ) > 1
describe TA_m_adresspark_01 Contains at least two lines standard disclaimer from adresspark.de -spam
score TA_m_adresspark_01 10.0

Den Absender habe ich mit spamassassin –add-addr-to-blacklist=send@richvestor.com der Blacklist hinzugefügt.

PS: Liebe Nora Schneider von der Servicezentrale Freundschaftsanfragen, so wird es nicht mit uns.

  1. [1]SpamAssassin ist ein Spam-Filter für Unix Systeme. Mehr auf der SpamAssassin-Homepage

Kann man mit Glücksspielen reich werden?

Ein kurzer Nachtrag zu Spiel-Casino SPAM:

Natürlich, sehr reich sogar! Auch als Spieler. Dies ist nur sehr unwahrscheinlich. Viel wahrscheinlicher ist es, dass der Veranstalter – die Bank – sehr, sehr reich wird. Banken werden viel häufiger mit Sprengstoff als mit Fortune gesprengt. Spielregeln, insbesondere Grenzen für die Einsätze, sorgen dafür, dass die Bank auf Dauer auch bei hohen Gewinnen nicht Pleite geht. Die staatlichen Lotterien (6 aus 49 und ähnliche) haben es ganz pfiffig gemacht: Erstens zahlt der Spieler eine Grundgebühr für jedes Spiel, zweitens werden nur 50% der Einsätze als Gewinn ausgezahlt. „Sprengen“ der Bank unmöglich.

Wer also mit Glücksspiel reich werden will, muss zwei Dinge beherzigen. Erstens: Immer nur die Bank spielen. Zweitens: Genug Dumme finden, die die Rolle der Spieler übernehmen. Statt selbst die Dummen zu suchen, kann man auch Spiel-Casinos verkaufen.

Spiel-Casino SPAM

SPAM: Machen Sie aus 100 EUR ganze 400 EUR indem Sie sich in unserem lukrativen VegasVirtual anmelden
Ein großer Teil der täglichen SPAM Mails lockt mich Ahnungslosen mit einem Willkommens-Bonus zu einem Online – Spielcasino. Es ist nur ein Casino, wie eine Analyse der Mails Adressen schnell zeigt, auch wenn in den Absendern so schillernde Namen verwendet werden wie:

  • Vegas Virtual Club
  • EuroGaming Palace
  • Premier Players
  • Premier Players Club
  • Vegas Club
  • VegasVirtual
  • Vegas Virtual Club

Hier blinkt nicht die erste Warnleuchte: Finger weg! Aber heute bin ich neugierig. Ich würde gern das „Geschäftsmodell“ etwas genauer verstehen.

„Spiel-Casino SPAM“ weiterlesen

Unfreundliche Web-Crawler aussperren

Update 23. Oktober 2012: Inzwischen gibt es neue Erkenntnisse über den Pixray-Seeker. Er meldet sich wahrscheinlich nicht mehr mit Pixray-Seeker, sondern simuliert verschiedene User-Agents. Siehe Freundliche und unfreundliche Crawler

Beim Auswerten der Webalizer Statistiken sind mir Angriffe und verschiedene Suchmaschinen aufgefallen, von denen ich noch nichts gehört hatte. Die Angriffe gingen in der Regel gegen phpMyAdmin Installationen. Die laufen bei mir jedoch ins Leere. Über diese Angriffe schreibe ich später, d.h. in einem anderen Artikel. Heute soll es um eine spezielle Suchmaschine gehen.

„Unfreundliche Web-Crawler aussperren“ weiterlesen