Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Good day Elias Schwerdtfeger NowYou Can Get Med

Freitag, 26. Juni 2015, 13:12 Uhr

Wie, jetzt erst?! 😀

Nun gut, greife ich mal eine x-beliebige 08/15-Spam raus, wie sie so allgegenwärtig ist, dass sie sich kaum noch jemand anschaut.

Have a nice day Elias Schwerdtfeger
Here You Can Order Exclusive Pills 🙂
http (doppelpunkt) (doppelslash) tulaykumasci (punkt) com (slash) wp (strich) content (slash) themes (slash) breeze (slash) stuck (punkt) php

Hey, Spammer!

Ist ja toll, dass du meine Mailadresse mit meinem Namen zusammengekriegt hast. Und noch begrüßenswerter finde ichs, dass dir gar nichts gefährliches einfällt, um dieses Wissen für deine kriminellen Machenschaften zu benutzen – denn auch die niedrigsten Preise für irgendwelche Pimmelpillen brächten mich niemals auf die Idee, bei einem gemeingefährlichen Giftmischer von Spam-Apotheker zu kaufen. Allein die Tatsache, dass jemand Medikamente verkauft und zur Auffassung kommt, diese gingen nur mit illegaler und asozialer Spam weg… nee, friss deine Giftpillen einfach selbst!

Ebenfalls lustig ist die angegebene URL. Diese geht direkt in das Theme-Verzeichnis einer WordPress-Installation und legt auf diese Weise Zeugnis davon ab, dass du…

  1. …entweder anderen Leuten WordPress-Themes mit fernsteuerbarem Trojaner-Code zum Download und zur Installation anbietest, oder…
  2. …dass du anfällige WordPress-Installationen crackst, um solchen Trojaner-Code reinzumachen.

In beiden Fällen ist vollkommen klar, dass man von dir nicht einmal ein harmloses Angebot annehmen sollte, weil du ein Verbrecher bist.

Dieser Eindruck wird dann davon verstärkt, was unter dem von dir angegebenen Link zu finden ist. Natürlich liegt dort keine Apotheke, sondern nur ein Weiterleiter, den du brauchst, weil deine richtigen Betrugsdomains sonst binnen einer halben Stunde auf jeder Blacklist dieser Welt stünden. Und dein in JavaScript realisierter Weiterleiter zieht es vor, etwas kryptisch zu sein:

Screenshot eines Terminal-Fenster mit der Ausgabe von lynx -dump -mime_header von der angegebenen URL, die eine in JavaScript programmierte Entschlüsselung verschlüsselten JavaScript-Codes zeigt; der entschlüsselte Code wird dann nach 1,3 Sekunden ausgeführt. Ansonsten gibt es, von einem idiotisch-dadaistischen Titel einmal abgesehen, keine weiteren Inhalte.

Spammer, es besteht kein technischer Grund, da nicht direkt

window.top.location.href = 'http://genericherbpurchase.ru';

reinzuschreiben. Das kommt nämlich bei der „Entschlüsselung“ heraus¹. Der einzige Grund, weshalb du das so verschlüsselst, liegt in der Erschwerung automatischer Scans. Und dir soll ich Pillen abkaufen?

Screenshot der betrügerischen Website. Eine Pimmelpillen-Apotheke der Marke 'Canadian Pharmacy' mit hochnotpeinlichen Amerika-Getümel in deutscher Sprache

Weil du so ein „kanadischer Apotheker“ bist? Dessen Website in der TLD für Russland liegt? Und der mir am 26. Juni erzählt, dass heute der 4. Juli sei, ganz so, als ob der 4. Juli für mich irgendeine Bedeutung habe? (Oder haben die USA inzwischen ein Sternchen mehr auf ihrer Flagge, und ich habs noch nicht mitbekommen? Wäre gar nicht so schlecht, dann hätte die BRD endlich mal eine Verfassung und die Menschen in der BRD Rechte…)

Ach komm, Spammer! Da hättest du dir die „deutsche Übersetzung“ deiner Giftapotheke auch gleich sparen können.

Dein dich „genießender“
Nachtwächter

¹Um das zu „entschlüsseln“, habe ich einfach den Code editiert und anstelle von setTimeout eine Ausgabeanweisung verwendet. Bei solchen Versuchen ist immer Vorsicht geboten, vor allem, wenn man nicht leicht verstehen kann, was im betrachteten Code geschieht oder wenn man nicht genau weiß, was man tut. Es ist Code von Kriminellen, mit dem herumgespielt wird! In diesem Fall war es trivialer und verständlicher Code…

Ein Kommentar für Good day Elias Schwerdtfeger NowYou Can Get Med

  1. Bio sagt:

    In Brasilien stehen die auf Potenzpillen. Da klappt das bestimmt öfter mal 😀
    😉

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert