Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Makro“

USA / ATOMKRIEG – Amen

Mittwoch, 15. Januar 2020

Auf gar keinen Fall den Anhang öffnen! Das Word-Dokument enthält Makros, die Schadsoftware nachladen und installieren, danach hat man einen Computer anderer Leute auf dem Schreibtisch stehen.

So so, Amen! So sei es! Zum Atomkrieg. Komm, Spammer, nimm mal wieder deine Medikamente! 💊

Oh, du kannst aber „schöne“ Bilder basteln:

Es ist gar keine Frage, daß ein Atomkrieg denkbar ist

ATOMKRIEG -- Foto eines Atompilzes -- Die Angst vor einem Atomkrieg ist zurück -- Die 'dunkle Bedrohung' sei zurück, mahnen Experten auf der Sicherheitskonferenz in München. Experten fürchten, dass wir dicht an einer potenziellen nuklearen Katastrophe stehen. -- WAS ZU TUN IST? -- Wir haben 20 nützliche Tipps für Sie zusammengestellt. -- (Alle Informationen in der angehängten Datei) -- ACHTUNG! NICHT IGNORIEREN! -- Dein Leben hängt davon ab -- Gott hilf uns!

Der Anhang, den zu öffnen man derart eindringlich aufgefordert wird, als hinge das ganze Leben davon ab, ist ein Dokument für Microsoft Word. Dieses Dokument besteht aus einer einzigen, völlig leeren Seite. Und natürlich noch aus…

Screenshot des Dialogfensters, das beim Öffnen des Dokumentes mit Libre Office angezeigt wird. -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras - Optionen - LibreOffice-Sicherheit unterbunden. -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. -- [OK]

…ein paar Makros, die beim Öffnen des Dokumentes in Microsoft Word automatisch ausgeführt werden sollen. Der Warnung, die ich hier als Screenshot von LibreOffice wiedergegegeben habe, ist nur eines hinzuzufügen: Wenn einem ein Dokument mit so viel Psychodruck in einer Spam reingedrückt werden soll, dann ist es sogar sicher, dass die Makros Schadsoftware sind. 💀

Und solche Deklarationen von Windows-API-Funktionen, wie ich sie eben gerade in diesen Makros gefunden habe, werden wirklich niemals in einem normalen Dokument benötigt:

Private Declare Function URLDownloadToFile Lib "urlmon" Alias _
  "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal _
    szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long
Private Declare Function CreateProcess Lib "kernel32" Alias "CreateProcessA" (ByVal lpApplicationName As String, ByVal lpCommandLine As String, lpProcessAttributes As Any, lpThreadAttributes As Any, ByVal bInheritHandles As Long, ByVal dwCreationFlags As Long, lpEnvironment As Any, ByVal lpCurrentDriectory As String, lpStartupInfo As STARTUPINFO, lpProcessInformation As PROCESS_INFORMATION) As Long
Private Declare Sub GetStartupInfo Lib "kernel32" Alias "GetStartupInfoA" (lpStartupInfo As STARTUPINFO)

Ich hoffe, dass spätestens jetzt auch jeder verstanden hat, dass ein Makro für Microsoft Office alles kann, was ein ausführbares Programm – eine .exe – für Microsoft Windows auch kann. Das Öffnen eine Office-Dokumentes mit freigeschalteten Makros aus fragwürdiger Quelle ist ganz genau so gefährlich wie das Ausführen eines Programmes aus fragwürdiger Quelle. Wer das macht, geht an den Computer so heran, wie unerfahrene Teenager an die Sexualität: Schnell, einfach und gefährlich. Ich hoffe mal, dass die meisten Computernutzer etwas reifer sind. 😉

Weder muss ein legitimes Makro Dateien aus dem Internet nachladen können, noch muss es einen neuen Prozess erzeugen können, noch muss es an die Verwaltungsinformationen des Betriebssystemes für den neuen Prozess kommen. Das wird in dieser Kombination nur benötigt, wenn eine Datei aus dem Internet nachgeladen werden soll, um dann möglichst unsichtbar ausgeführt werden zu können. Es handelt sich um völlig klare Schadsoftware. Diese wird zurzeit nur von einem Viertel der gängigen Antivirus-Schlangenöle erkannt, wer sich darauf verlässt, ist also einmal mehr verlassen. 🙁

Das ist ja auch der Grund, weshalb man trotz Antivirus-Schlangenöl keine Anhänge aus einer E-Mail öffnet, die nicht vorher über einen anderen Kanal abgesprochen wurden oder deren Absender durch eine überprüfte digitale Signatur jenseits jedes vernünftigen Zweifels feststeht und vertrauenswürdig ist. Die Absenderadresse ist beliebig fälschbar und reicht nicht aus. Man öffnet Anhänge auch nicht, oder besser erst recht nicht, wenn ein Spammer in seiner Spam behauptet, es sei ogottogott jetzt wirklich lebenswichtig, dass man den Anhang öffne. Wenn etwas so wichtig ist, kann man es auch einfach in die Mail hineinschreiben und braucht nicht umständlich einen Anhang dranzuhängen. 😉

Wer das kann, sollte die Ausführung von Makros in Office-Programmen ausschalten. Dies ist bei gewöhnlicher Benutzung mit keinem Funktionsverlust verbunden, aber schließt ein großes Sicherheitsloch, das immer wieder von solchen Halunken wie diesem heutigen Atomspammer ausgebeutet wird. Leider gibt es viele betriebliche Umfelder, in denen das gar nicht so einfach möglich ist, weil Geschäftsprozesse teilweise in Office-Makros programmiert wurden. Ja, das war eine dumme Entscheidung, aber damals in den Neunziger Jahren hat niemand auf mich gehört, als ich davor gewarnt habe, und heute ist es zu spät. Da habt ihr den Salat, und zwar genau so, wie ihr ihn bestellt habt! Da hilft nur noch äußerste Vorsicht in einem unnötig gefährlich gemachten Umfeld.

Faxnachricht [Anrufer-ID: 48-059-680-577] fur gammelfleisch@tamagothi.de

Mittwoch, 18. September 2019

⚠️ Warnung! Gefährliche Schadsoftware! ⚠️

Die Mail geht an die Schrottadresse, und die Empfängeradresse wird noch einmal unnötigerweise im Betreff wiederholt, damit ich auch wirklich daran glaube, dass diese Mail für mich ist. Denn die „Anrufer-ID“ hat ja nix mit mir zu tun, und dass mir Mails gefaxt werden, glaube ich vermutlich erst, nachdem ich zehn Jahre in einer Behörde der Bundesrepublik Deutschland gearbeitet habe, an deren Eingang ein Briefkasten hängt, auf dem „E-Mail bitte hier einwerfen“ steht. 😉

Das muss also mal wieder eine echte Qualitätsspam mit goldenem Prädikat sein. 🏅

Faxnachricht fur gammelfleisch@tamagothi.de

Wir können zwar Mailadressen mit angeblichen Faxen zuballern, aber bekommen keine Umlaute in unsere Spam. Unicode ist so Neunziger Jahre, das haben wir noch nicht gelernt. Wollen wir auch gar nicht. 🐌

Sie haben am Donnerstag, 18.09.2019, ein einseitiges Fax erhalten.

Aber Immerhin: Das Datum stimmt. Das schafft nicht jeder Spammer. Dafür ein kleines Fleißbienchen von mir. 🐝

* die Referenznummer fur dieses Fax ist an efax-49486654106-6639-95477.

Das muss ein wichtiges Fax sein. Es hat eine wichtig aussehende Nummer. Und vor allem…

Bitte laden Sie Microsoft Word-Anhang herunter und betrachten Sie ihn.

…ist es eine Word-Datei und nicht ein PDF. Eine Word-Datei mit Makros drin. Also mit beliebigem Code, der innerhalb von Microsoft Word ausgeführt wird und alles kann, was jedes ausführbare Programm für Microsoft Word auch könnte. Zugestellt von irgendwem. Mit Bullshit-Begründung. 💀

Bitte besuchen Sie www.efax.eu/faq, wenn Sie Fragen zu dieser Nachricht habenoder Ihre Dienstleistung

Das typische Spammerproblem: Die wesentliche Botschaft der Spam ist geschrieben, und schon greift die Hand nach der leckeren Wodkaflasche und sind die Gedanken wieder im Bordell und so schleichen sich kleine, auffällige Fehler wie zusammengeschriebene Wörter oder mitten im Nichts als Sprachruinen verendende Sätze ein. Es ist schon schade, wenn man so ein dummer Krimineller ist, der sich mit seinen hochinfektiösen Spams keine Mühe gibt, weil er ja auch einfach arbeiten gehen könnte, wenn er sich nur Mühe geben wollte. 🧟

efax-49486654106-6639-95477.doc
132KBDownload

Alle Links führen in die Domain efaxcontrol (punkt) efax-office (punkt) xyz, die…

$ whois efax-office.xyz | grep -i ^creation
Creation Date: 2019-09-17T07:59:18.0Z
$ _

…gerade erst gestern für die heutige Spamwelle eingerichtet wurde. Dort kann man dann…

$ file efax-49486654106-6639-95477.doc 
efax-49486654106-6639-95477.doc: Microsoft Word 2007+
$ _

…ein Word-Dokument herunterladen. Es handelt sich also nicht – wie in der Spam behauptet – um einen Anhang, der von vielen Mailservern herausgefiltert würde, um betriebliche Netzwerke vor der Übernahme durch Schadsoftware zu schützen, sondern um einen Download. Von einer Website, die erst gestern eingerichtet wurde. Und die Downloads von angeblichen Faxen anbietet. Als Word-Dokumente. Die beim Öffnen mit LibreOffice erstmal eine unmissverständliche Warnung anzeigen:

Warnung -- Dieses Dokument enthält Makros. -- Makros können Viren enthalten. Die Ausführung dieser Makros wird aufgrund der aktuellen Makrosicherheits-Einstellung unter Extras... Optionen... LibreOffice-Sicherheit unterbunden -- Manche Funktionen stehen daher möglicherweise nicht zur Verfügung. [Ok]

Hier sei zur Verdeutlichung noch einmal der wichtigste Satz aus diesem Dialogfenster wiedergegeben: Makros können Viren enthalten. Das, zusammen mit dem unerfreulichen Kontext, in dem dieses Dokument versendet wurde, sagt hoffentlich alles. Es ist das reinste Gift. Wer die Ausführung von Makros in diesem Dokument zulässt oder ein Office-Programm hat, in dem elementare Sicherheitsfunktionen abgestellt wurden, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen. Im schlimmsten Fall wird ein komplettes Firmennetz mit datenlöschenden Erpressungstrojanern übernommen, bei schlechter Backup-Strategie mit hohen Schäden, die zur Insolvenz führen können, aber selbst bei guter Backup-Strategie mit beachtlichen Schäden durch Arbeits- und Produktionsausfälle. 💣

Das Dokument enthält keinen Text, sondern nur eine eingebettete Grafik…

eFax Corporate -- Du hast 1 neue Nachrichten -- Diese Datei wurde mit einer früheren Version von Microsoft Office Word erstellt -- Um diese Datei zu öffnen, klicken Sie auf 'Inhalt aktivieren' im gelben Bereich und danach auf 'Bearbeitung aktivieren'

…die dazu auffordert, dass man die Ausführung von Makros freischalte, um das angebliche Dokument lesen zu können. Wer das macht, hat verloren und führt eine aus dem Internet nachgeladene Software von kriminellen Spammern auf seinem Computer aus. 🙁

Bitte diese Spam einfach unbeklickt löschen und auf gar keinen Fall auf die Idee kommen, derart windig zugestellte Dokumente zu öffnen und dann auch noch Sicherheitseinstellungen zu lockern! Der Müll gehört dahin, wo Müll hingehört! 🗑️

So, nun noch eine immer wieder interessante Frage: Wie gut schützt eigentlich die ganze Sicherheits- und Antivirus-Software vor diesem Angriff? Leider (im Moment) so gut wie gar nicht. Nur rd. zwölf Prozent der gängigen Antivirus- und Schutzprogramme erkennen im Moment diese klare Schadsoftware als eine mögliche Schadsoftware, und das sind keineswegs die Platzhirsche im Geschäft mit der „gefühlten Sicherheit“. 👎

Wer sich auf sein Antivirus-Programm verlassen hat, ist also einmal mehr verlassen. Wer aber darin geübt ist, Spam als Spam zu erkennen und generell ein solides Misstrauen gegen alle Dateien hat, die über E-Mail zugestellt werden, kann gar nicht überrumpelt werden – denn dazu müsste man nicht einfach nur das Dokument aufmachen, sondern auch ein paar sehr dumme Klicks machen. Und dagegen hilft nun einmal diese „natürliche Intelligenz“, die man einfach so kostenlos im Kopfe hat. 🧠

Ich hoffe mal, dass niemand so dumm ist, darauf reinzufallen. Aber ich befürchte leider, dass heute hunderte, wenn nicht tausende von Computern mit dieser Schadsoftware übernommen wurden und dass ich morgen schon erschreckende Meldungen von einer fiesen, zerstörerischen Trojanerwelle lese. ☹️

Re: Informieren Sie die Steuerbehorden

Dienstag, 12. August 2014

Oh, bestimmt wieder Qualitätsspam!

Wegen der Schuld, die wir stoppen Liefer 08.22.2014
http://www.verploegen.nl/Angaben.zip?txrS=gammelfleisch@tamagothi.de

In der Tat. Wenn ihr doch nur wegen der Schuld, die ihr damit auf euch ladet, die Auslieferung von Spam gestoppt hättet.

Der Link ist ein Download-Link für ein ZIP-Archiv namens Angaben.zip, in dem sich einzige Datei namens Angaben.doc befindet. In diesem Fall handelt es sich ausnahmsweise einmal nicht um eine direkt ausführbare Datei für Microsoft Windows, sondern um ein Dokument für Microsoft Word, das natürlich ebenfalls Code in Form von Makros enthalten kann – und hier auch enthält¹.

Wer dieses Dokument mit Microsoft Word öffnet, erfährt nichts über seine Schuld und irgendwelche Liefer, sondern hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Auf das Antivirus-Programm kann man sich dabei zurzeit nicht verlassen. Nur ein knappes Achtel der Antivirus-Programme erkennt diesen kriminellen Versuch zurzeit als das, was er ist, der Rest der Programme schlägt keinen Alarm – wehe dem, der der breit verabreichten Werbung und Schleichwerbung für Antivirus-Schlangenöl Glauben geschenkt hat und sich sicher wähnte!

Zum Glück haben Menschen mit einem Gehirn statt einem Antivirus es hier sehr leicht gehabt:

  1. Der Text der Spam ist lächerlich, die anonym, patzig und sprachlich inkompetent formulierte Mail ist sofort als Spam zu erkennen. Niemand würde einen echten Kunden so anschreiben.
  2. Wer einen Link in einer klar als kriminelle, asoziale Spam erkennbaren Mail anklickt, der steckt auch eine Stricknadel in die Steckdose und probiert, wenn das Zucken ausbleibt, auch noch das andere Loch aus.
  3. Der Link mit der Mailadresse als URI-Parameter ist hochverdächtig. Er führt ferner in die Domain der Website eines Händlers für Heizungs- und Sanitärbedarf in niederländischer Sprache – die vermutlich von den Kriminellen mit einem Crack (oder mit einem mit Schadsoftware ausgelesenen Passwort) feindselig übernommen wurde.
  4. Warum sollte ein Dokument wie eine Rechnung, Mahnung oder dergleichen irgendwo in das offene, für jeden zugängliche Web abgelegt werden? Niemand würde so etwas tun. Jeder Mensch mit einer Spur von Datenschutzbewusstsein würde darauf achten, dass nicht die gesamte Welt mühelos mitlesen kann und ein derartiges Dokument an eine E-Mail anhängen oder auf anderem Wege (Fax, Briefpost) zustellen. Offenbar sind inzwischen dermaßen viele Mailserver wegen der täglichen Flut von Trojanern so konfiguriert worden, dass sie E-Mail mit ZIP-Anhägen aussortieren, so dass die Verbrecher andere Wege beschreiten müssen, um mit ihrer Pest noch irgendwo anzukommen – ohne schon eine halbwegs glaubwürdige Nummer dafür entwickelt zu haben. Aber keine Sorge, die wird kommen! Zum Beispiel in der Verpackung „Premium-Download“ oder vergleichbarer Bullshit…
  5. Und zu guter Letzt: Wer ein Dokument für Microsoft Office „von irgendwo aus dem Internet“ öffnet, ist nicht mehr ganz bei Troste. Wer nicht ahnt, wieso ich seinen Geisteszustand anzweifele, verwende bitte einfach eine Web-Suchmaschine, um sich weitere Informationen zu holen. Kurze Zusammenfassung von mir: Ob man ein Word-Dokument öffnet, oder ob man gleich eine ausführbare Datei für Microsoft Windows öffnet… es ist in der Praxis kein Unterschied. Nahezu alles, was ein Programm könnte, kann auch ein harmlos aussehendes Office-Dokument. Wieso Microsoft sein beliebtes Office-Paket zu einem riesengroßen Sicherheitsrisiko gemacht hat und diesen Zustand in einem Umfeld organisierter Internet-Kriminalität aufrecht erhält, gehört zu den Fragen, die besser Microsoft gestellt werden². Um einen Brief zu schreiben, wäre keine umfangreiche Programmierbarkeit des Briefschreibprogrammes erforderlich gewesen…

Fazit: Selbst in besserer Formulierung wäre diese Spam für einen Menschen mit eingeschaltetem Gehirn leicht erkennbar gewesen, aber das Antivirus-Schlangenöl hätte vollständig versagt. Deshalb ist es wichtig, das Gehirn zu trainieren, damit es auch bei besser vorgetragenen Spam-Maschen zuverlässig arbeitet.

¹Ich grüße meine Mitleser unter den Spammern, die sich angesichts meines Spotts über blitzschnell erstellte, leere Word-Dokumente mit nur einem Makro drin das bisschen Mühe gemacht haben, in zehn Minuten Arbeit ein sinnloses Dokument mit vielen Windows-Screenshots zu erstellen. Auch der Name für die Office-Registrierung sieht nun nicht mehr wie ein Durchfall nach dem Genuss einer Buchstabensuppe aus, sondern lautet schlicht „Admin“, was eine weitere Verbesserung ist. Das die eifrigen Dokumentschreiber beim Einkopieren von Screenshots ihr Word-Dokument im Verlaufe von zehn Minuten zwanzig Mal zwischengespeichert haben, zeigt, dass Microsoft Word nicht nur seit zwei Jahrzehnten ein klaffendes Sicherheitsrisiko ist, sondern auch immer noch so „stabil“ zu sein scheint, wie ich es von früher her gewohnt bin. Deshalb heißt es ja auch „Word“ und nicht „Text“…

²In gegenwärtigen Word-Versionen gibt es zwei Dateinamenserweiterungen für Word-Dokumente. In Dateien auf .docx werden keine Makros ausgeführt, hierfür bedarf es eines Dateinamens auf .docm. Auch ist die Ausführung von Makros bei der Installation standardmäßig abgeschaltet und muss erst aktiviert werden, dies war früher genau umgekehrt. Die bloße Tatsache, dass trotz alledem noch Spam mit Makroviren versendet wird, zeigt, dass diese von Microsoft eingebauten Scheinsicherungen nicht helfen. Ein Bürorechner, auf dem Vorlagen mit Makros verwendet werden – dafür kann es viele Gründe geben – ist immer noch anfällig. Die Frage, wozu um alles in der Welt ein Word-Dokument mittels eingebetteten Programmcode jemals Zugriff auf das Internet und auf das Dateisystem benötigen sollte, bleibt ebenfalls ungeklärt.