Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Makrovirus“

Reservierungsliste

Mittwoch, 27. Januar 2016

Das ist die heutige Pest im Posteingang!

Von: Velotours Touristik <reservierung (at) velotours (punkt) de>

Diese E-Mail (also das eine Exemplar aus der Flut, das ich mir gerade vorgeknöpft habe) wurde über eine dynamisch vergebene IP-Adresse aus Taiwan versendet, kommt also vermutlich von einem mit Schadsoftware zum Bot gemachten Privatrechner. Der Absender ist – wie immer in der Spam – gefälscht. Die armen Mitarbeiter von Velotours, die heute eine Menge Arbeit mit verärgerten Empfängern dieser Spam haben werden, tun mir leid. Einen asozialen, kriminellen Spammer interessiert das leider nicht, und die wirtschaftlichen Schäden bei anderen nimmt er billigend in Kauf, wenn nur das eigene „Geschäftchen“ läuft.

Sehr geehrte Damen und Herren,

anbei finden Sie unsere neue Reservierungsliste.

Ihr VELOTOURS-Team

Kleines Spamkompetenztraining. Was bedeutet die folgende Kombination von Merkmalen:

  1. Unpersönliche Anrede von einer Unternehmung, die so tut, als sei man dort Kunde.
  2. In der Mail steht nichts Substanzielles.
  3. Alles weitere erfährt man nur durch Öffnen eines Mailanhanges.

Bingo! Es ist mit an Sicherheit grenzender Wahrscheinlichkeit eine Schadsoftware im Anhang.

In diesem Fall ist der Anhang ein Dokument für Microsoft Word. Dieses Dokument¹…

$ file ResLi_9_Lauf_3261_vom_27.01.2016.DOC | sed 's/, /\n/g'
ResLi_9_Lauf_3261_vom_27.01.2016.DOC: Composite Document File V2 Document
Little Endian
Os: Windows
Version 5.1
Code page: 1251
Author: Administrator
Template: Normal.dot
Last Saved By: User
Revision Number: 7
Name of Creating Application: Microsoft Office Word
Total Editing Time: 03:00
Create Time/Date: Wed Jan 27 11:07:00 2016
Last Saved Time/Date: Wed Jan 27 11:15:00 2016
Number of Pages: 1
Number of Words: 27
Number of Characters: 511
Security: 0
$ _

…enthält stolze 27 Wörter auf einer einzigen Seite. Es wurde im Verlaufe dreier Minuten zusammengetippt, und zwar von jemanden, der sich mit dem Namen „Administrator“ registriert hat. Das ist eine ausgesprochen kurze „Reservierungsliste“.

Und in der Tat, es kommt hier nicht auf den Text an. Der sieht übrigens so aus:

If this document has incorrect encoding - enable macro -- gefolgt von leckerem Zeichensalat...

Nun, das Makro soll automatisch ausgeführt werden. Bei aktuellen Versionen von Microsoft Office ist die automatische Ausführung standardmäßig deaktiviert. Wer auf die dumme Idee kommt, auf den Wunsch eines Unbekannten hin die Ausführung von Makros zu gestatten, um etwas anderes als die sondersame Lyrik eines auf den Tasten herumprügelnden Schimpansen lesen zu können; wer die Standardeinstellung verstellt hat oder wer eine ältere Version von Microsoft Word verwendet, bekommt eine kostenlos installierte Version von Schadsoftware, deren Installer von der URL http (doppelpunkt) (doppelslash) parass (punkt) si (slash) 54t4f4f (slash) 7u65j5hg (punkt) exe nachgeladen wird. Hinterher steht ein Computer anderer Leute auf dem Schreibtisch – und diese Leute wären besser mit Handschellen bedient.

Wer sich sicher fühlt, weil er ja ein Antivirus-Schlangenöl auf seinem Rechner hat, ist in diesem Fall leider in fast allen Fällen verlassen. Deshalb ist es auch so wichtig, dass man Spam selbst erkennt und sie löscht, statt darin herumzuklicken. Bei aktueller Schadsoftware versagt das Antivirusprogramm regelmäßig – und zwar sogar bei den Unternehmen, die Antivirus-Schlangenöl herstellen. Generell sollten niemals Mailanhänge geöffnet werden, deren Zustellung nicht vorher explizit (und über einen anderen Kanal als E-Mail) abgesprochen wurde – und generell gibt es keinen einzigen Grund dafür, Informationen nicht ganz normal in die Mail zu schreiben, statt sie in einem Anhang zu versenden.

¹Das Unix-Kommando file dient eigentlich dazu, den Dateitypen festzustellen, gibt aber bei vielen Dateitypen interessante Meta-Informationen aus. Die anschließende Pipe auf sed ist nur eine Verbesserung der Lesbarkeit, da sonst alles mit Komma getrennt in einer Zeile ausgegeben würde.

10.12.2015_13_17.xls

Donnerstag, 10. Dezember 2015

Weil es im Moment mal wieder so unglaublich viel davon gibt, hier mal eine richtig langweilige Spam.

Die Spam hat einen gefälschten Absender, in meinem Fall aus der Domain @icloud.com. Der Betreff ist ein absurder, technisch anmutender Dateiname. Es steht kein Text in der Mail, so dass sich der Spammer der Aufgabe entledigt hat, sich eine Anrede und irgendeine Geschichte ausdenken zu müssen.

Mein Exemplar der Spam kam von einer dynamisch vergebenen IP-Adresse eines Telekommunikationsunternehmens aus New Delhi – also mit hoher Wahrscheinlichkeit von einem mit Trojanern kriminell übernommenen Computer.

Der „Inhalt“ dieser Spam ist ihr Anhang.

Dieser Anhang ist – in diesem Fall – eine Datei für Microsoft Excel; ich habe aber auch vergleichbare Spam mit Word-Dokumenten. Diese Excel-Datei hat eine Menge bemerkenswerter Besonderheiten, so wurde sie zum Beispiel…

Screenshot meines Terminals mit der Ausgabe von file 10.12.2015_13_17.xls -- 10.12.2015_13_17.xls: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.2, Code page: 1251, Author: 1, Last Saved By: 1, Name of Creating Application: Microsoft Excel, Create Time/Date: Thu Dec 10 08:05:38 2015, Last Saved Time/Date: Thu Dec 10 08:07:13 2015, Security: 0

…von einem Autor mit dem schönen Namen 1 verfasst, der sich nur etwas mehr als anderthalb Minuten Zeit dafür genommen hat. Damit dürfte bereits geklärt sein, welchen „Wert“ die „Inhalte“ in dieser Excel-Mappe haben.

Dokumente für Microsoft Office können allerdings Makros enthalten. Hierbei handelt es sich um Programme, die im Dokument hinterlegt sind (was übrigens sehr praktisch sein kann, aber leider – wie in diesem Fall – auch sehr gefährlich ist). Es ist sogar möglich, derartigen Code so zu hinterlegen, dass er beim Öffnen des Dokumentes automatisch ausgeführt wird, und genau das ist hier auch der Fall.

Oder kurz gesagt: Es handelt sich um das reinste Gift! Wer die Datei öffnet, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen. Leider wird dieses Gift im Moment nur von einem Bruchteil der Antivirus-Schlangenöle erkannt.

Aber zum Glück sollte jeder Mensch dazu imstande sein, eine derartig schlecht gemachte Spam selbst als Spam zu erkennen und sie zu löschen, ohne darin herumzuklicken.

Generell rate ich zur äußersten Vorsicht bei E-Mail-Anhängen, die ohne explizite vorherige Absprache zugesendet wurden, da E-Mail-Anhänge ein sehr häufig verwendeter Weg zur Verbreitung von Schadsoftware sind. Niemals einen Anhang von Unbekannten öffnen; immer darüber klar sein, dass der Absender einer E-Mail beliebig gefälscht werden kann; auch bei E-Mail von persönlich bekannten Absendern immer telefonisch rückfragen, bevor ein Anhang geöffnet wird! Und vor allem: Niemals blind auf Antivirus-Programme verlassen, immer selbst aufmerksam sein! Denn die Antivirus-Programme erkennen nur Schädlinge, die schon eine Zeitlang im Umlauf sind und scheitern an der jeweils aktuellen Brut der Kriminellen.

Nachtrag:

Wer es mir nicht glaubt, glaubt es vielleicht der Redaktion von Heise Online:

Gefährliche E-Mail von Oma

Einige Leser melden zudem, dass sie auch von Bekannten und Verwandten E-Mails mit bösartigem Dateianhang erhalten haben. Man sollte den Anhang also selbst bei einem bekannten Absender nicht gleich abnicken. Denn oft nutzen Ganoven gekaperte E-Mail-Konten für ihre Zwecke und kopieren das Adressbuch des übernommenen Accounts gleich mit.

Niemals einen Mailanhang öffnen, der nicht explizit abgesprochen war! Auch nicht, wenn man den „Absender“ persönlich kennt! Die Absenderadresse einer E-Mail kann beliebig und sehr leicht gefälscht werden; Daten aller Art haben die Kriminellen massenhaft und aus diversen Quellen eingesammelt.

Fax mail-7972461

Sonntag, 9. November 2014

So so, Fax-Mail mit Zahlensalat…

Die Faksimile Mail Absender: 058-525-3791

Sie haben erhalten 3 Seite Fax Nachricht am 9.29 Don, November 6, 2014

Die REF Nummer der Nachricht 98362504656685

Lesen Sie die Fax via Microsoft Word.

Selbst, wer nicht besonders skeptisch ist, sollte bei dieser Mail sofort aufmerksam werden, und zwar aus folgenden Gründen:

  1. Selbst ein mieses Übersetzungsprogramm käme wohl nicht auf einen Begriff wie „Faksimile Mail Absender“ – einmal ganz davon abgesehen, dass es „Der Absender“ hieße.
  2. Auch der Rest ist sprachlich… ähm… interessant und das verwendete Datums- und Zeitformat ist für eine „deutschsprachige“ Mail geradezu peinlich schlecht.
  3. „Lesen Sie die Fax via Microsoft Word“ ist absurd. Wenn ein Fax versendet wird, handelt sich nicht um einen Text, sondern um eine Rastergrafik. Geräte, die ein Fax empfangen haben und dieses per E-Mail weiterleiten, würden entweder ein PDF oder ein offenes Grafikformat wie PNG daraus erzeugen, da der Aufwand für das Extrahieren des Textes zum Erzeugen eines Textformates sehr hoch wäre. Einmal ganz davon abgesehen, dass es Microsoft Word nicht für jedes Betriebssystem gibt, sondern nur für eines, nämlich das Lieblingsbetriebssystem der organisierten Internet-Kriminalität…

Hier möchte also jemand die Mailempfänger unter einem Vorwand dazu bewegen, eine per E-Mail empfangene Datei in Microsoft Word zu öffnen. Es ist grundsätzlich eine sehr schlechte Idee, Word-Dokumente oder andere Dokumente für Microsofts Office-Paket aus unsicherer Quelle zu öffnen. Die Office-Programme sind makrofähig, das heißt, es ist möglich, Dokumente so zu erstellen, dass sie Code enthalten, der beim Öffnen der Dokumente ausgeführt wird. Selbst, wenn das durch Sicherheitseinstellungen verhindert wird, hat das Office-Paket von Microsoft eine bemerkenswerte Sicherheitsgeschichte.

Die Datei heißt FAX Dokumenten_8122.doc und es handelt sich wirklich um ein Word-Dokument. Auch ohne diese Datei zu öffnen, konnte ich schnell herausbekommen…

Screenshot meines Terminals, in dem ich die Datei überprüfe

…dass diese Datei zwei Seiten mit 128 Wörtern hat, die in null Sekunden getippt wurden. Und zwar nicht von einem Faxempfangsprogramm, sondern mit einem Microsoft Office, das auf einen Benutzer mit dem hübschen Namen „crypt mari“ registriert ist.

Für alle hoffnungslos Neugierigen: Dieses Dokument sieht so aus:

Erste Seite der angeblichen Faxnachricht aus der Spam

Zweite Seite der angeblichen Faxnachricht aus der Spam

Ja, richtig: Dieses Dokument fordert in seinem Text dazu auf, dass man die Ausführung von Makros zulassen soll, um das Dokument, das man gerade liest, lesen zu können. Und zwar mit einer kurzen Anleitung für jede einzelne verbreitete Version von Microsoft Office, wie man diese Dummheit hinbekommt. Wer dieser Anweisung folgt, führt dadurch Code auf seinem Computer aus, der ihm von einem kriminellen Spammer unter einem Vorwand „untergeschoben“ wurde. Es handelt sich um das reinste Gift, das schnell und unbemerkt dafür sorgt, dass ein Computer anderer Leute auf dem Schreibtisch steht.

Zwei Dinge sind an dieser Spam besonders gefährlich. Erstens kommt sie manchmal durch Spamfilter durch, und zweitens wird die Schadsoftware zurzeit nur von einem guten Zehntel der gängigen Antivirus-Programme erkannt. Da sie außerdem nicht dem Schema „ZIP-Archiv im Anhang“ folgt, mit dem zurzeit die Mehrzahl der Schadsoftware versendet wird, kann es leicht passieren, dass einige Menschen unkritisch darauf hereinfallen. Zum Glück wird das in diesem Fall wegen der unbeholfenen Sprache der Spam selten sein. Dennoch kann man es gar nicht oft genug sagen: Niemals einen Anhang aus einer dubiosen E-Mail öffnen, selbst wenn dieser ein scheinbar harmloses Dokumentformat wie ein Word-Dokument oder ein PDF sein sollte! Das bisschen befriedigte Neugierde kann den möglichen Schaden nicht aufwiegen.

Diese Spam ist ein „Zustecksel“ meines Leser M. R.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.