Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Microsoft Office“

Ausschreibung der zusatzlichen Konten id+gMWWeQ

Mittwoch, 13. August 2014

Guten Tag, gammelfleisch (at) tamagothi (punkt) de

Aha, meiner Mailadresse wird also ein guter Tag gewünscht. Zusammen mit einer Spam auf diese Adresse. Unfähige Spammer sind die besten Komiker.

Die Transaktion ist erfolgreich abgeschlossen.

Wie schön für die Transaktion…

IdentNr: DE511355

…die sogar eine lustige Bullshit-Nummer hat, die für mich ungefähr so bedeutsam ist, wie das Kfz-Kennzeichen des chinesischen Lastwagens, der die Säcke mit dem umfallenden Reis befördert. Was fehlt in dieser fröhlichen Mitteilung? Richtig, es fehlt jegliche Mitteilung über das Wesen dieser Transaktion. Stattdessen gibt es – ich weiß, es langweilt – ein angehängtes ZIP-Archiv mit Namen Rechnung.zip, in dem sich ein Dokument für Microsoft Word mit Namen Rechnung.Doc befindet. Ein schnelles file Rechnung.Doc in meiner Konsole…

Rechnung.Doc: Composite Document File V2 Document, Little Endian, Os: Windows, Version 5.1, Code page: 1251, Author: Admin, Template: Normal.dotm, Last Saved By: Normal.d aka punsh, Revision Number: 20, Name of Creating Application: Microsoft Office Word, Total Editing Time: 11:00, Create Time/Date: Fri Jul 25 17:42:00 2014, Last Saved Time/Date: Tue Aug 12 14:07:00 2014, Number of Pages: 49, Number of Words: 41663, Number of Characters: 237480, Security: 0

…zeigt mir, dass diese Datei in insgesamt elf Minuten erstellt wurde und 49 Seiten hat. Dieser Mensch, der sein Microsoft Office unter dem Namen „Admin“ registriert hat, muss ja ein unfassbar schneller Tipper sein! Wer jetzt noch Zweifel daran hat, dass es sich hier um einen Trojaner handelt, der mit einem Word-Makro untergejubelt werden soll, ist hoffnungslos naiv. Wer nicht so naiv ist, der weiß, dass jede E-Mail mit einem ZIP-Anhang stinkt, und zwar ganz besonders, wenn sie von unbekannten Absendern kommt oder im Text der Mail keinen Hinweis auf den Vorgang enthält, sondern nur mit Alarmtröten zum Öffnen des Anhangs motivieren soll. Und dann gibts einen beherzten Druck auf die Entf-Taste… 😉

Wer sich auf sein Virenscanner-Schlangenöl verlassen hat, war leider wieder oft verlassen. Nur ein Sechstel der gänigen Programme konnte diesen aktuellen kriminellen Sondermüll als das erkennen, was er ist. Der deutlich bessere Virenscanner im Schädel hat da wohl mal wieder größere Erkennungsraten.

Info
Cannington Stephan
Wer sagt, was er zu dem, was er wollte nicht horen will.
Tel./Fax.: (+49) 421 25721xxxx

Hoffentlich ist das eine Telefonnummer, die nicht existiert, denn auf dem Anschluss wird heute wohl keine Ruhe mehr einkehren.

Re: Informieren Sie die Steuerbehorden

Dienstag, 12. August 2014

Oh, bestimmt wieder Qualitätsspam!

Wegen der Schuld, die wir stoppen Liefer 08.22.2014
http://www.verploegen.nl/Angaben.zip?txrS=gammelfleisch@tamagothi.de

In der Tat. Wenn ihr doch nur wegen der Schuld, die ihr damit auf euch ladet, die Auslieferung von Spam gestoppt hättet.

Der Link ist ein Download-Link für ein ZIP-Archiv namens Angaben.zip, in dem sich einzige Datei namens Angaben.doc befindet. In diesem Fall handelt es sich ausnahmsweise einmal nicht um eine direkt ausführbare Datei für Microsoft Windows, sondern um ein Dokument für Microsoft Word, das natürlich ebenfalls Code in Form von Makros enthalten kann – und hier auch enthält¹.

Wer dieses Dokument mit Microsoft Word öffnet, erfährt nichts über seine Schuld und irgendwelche Liefer, sondern hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Auf das Antivirus-Programm kann man sich dabei zurzeit nicht verlassen. Nur ein knappes Achtel der Antivirus-Programme erkennt diesen kriminellen Versuch zurzeit als das, was er ist, der Rest der Programme schlägt keinen Alarm – wehe dem, der der breit verabreichten Werbung und Schleichwerbung für Antivirus-Schlangenöl Glauben geschenkt hat und sich sicher wähnte!

Zum Glück haben Menschen mit einem Gehirn statt einem Antivirus es hier sehr leicht gehabt:

  1. Der Text der Spam ist lächerlich, die anonym, patzig und sprachlich inkompetent formulierte Mail ist sofort als Spam zu erkennen. Niemand würde einen echten Kunden so anschreiben.
  2. Wer einen Link in einer klar als kriminelle, asoziale Spam erkennbaren Mail anklickt, der steckt auch eine Stricknadel in die Steckdose und probiert, wenn das Zucken ausbleibt, auch noch das andere Loch aus.
  3. Der Link mit der Mailadresse als URI-Parameter ist hochverdächtig. Er führt ferner in die Domain der Website eines Händlers für Heizungs- und Sanitärbedarf in niederländischer Sprache – die vermutlich von den Kriminellen mit einem Crack (oder mit einem mit Schadsoftware ausgelesenen Passwort) feindselig übernommen wurde.
  4. Warum sollte ein Dokument wie eine Rechnung, Mahnung oder dergleichen irgendwo in das offene, für jeden zugängliche Web abgelegt werden? Niemand würde so etwas tun. Jeder Mensch mit einer Spur von Datenschutzbewusstsein würde darauf achten, dass nicht die gesamte Welt mühelos mitlesen kann und ein derartiges Dokument an eine E-Mail anhängen oder auf anderem Wege (Fax, Briefpost) zustellen. Offenbar sind inzwischen dermaßen viele Mailserver wegen der täglichen Flut von Trojanern so konfiguriert worden, dass sie E-Mail mit ZIP-Anhägen aussortieren, so dass die Verbrecher andere Wege beschreiten müssen, um mit ihrer Pest noch irgendwo anzukommen – ohne schon eine halbwegs glaubwürdige Nummer dafür entwickelt zu haben. Aber keine Sorge, die wird kommen! Zum Beispiel in der Verpackung „Premium-Download“ oder vergleichbarer Bullshit…
  5. Und zu guter Letzt: Wer ein Dokument für Microsoft Office „von irgendwo aus dem Internet“ öffnet, ist nicht mehr ganz bei Troste. Wer nicht ahnt, wieso ich seinen Geisteszustand anzweifele, verwende bitte einfach eine Web-Suchmaschine, um sich weitere Informationen zu holen. Kurze Zusammenfassung von mir: Ob man ein Word-Dokument öffnet, oder ob man gleich eine ausführbare Datei für Microsoft Windows öffnet… es ist in der Praxis kein Unterschied. Nahezu alles, was ein Programm könnte, kann auch ein harmlos aussehendes Office-Dokument. Wieso Microsoft sein beliebtes Office-Paket zu einem riesengroßen Sicherheitsrisiko gemacht hat und diesen Zustand in einem Umfeld organisierter Internet-Kriminalität aufrecht erhält, gehört zu den Fragen, die besser Microsoft gestellt werden². Um einen Brief zu schreiben, wäre keine umfangreiche Programmierbarkeit des Briefschreibprogrammes erforderlich gewesen…

Fazit: Selbst in besserer Formulierung wäre diese Spam für einen Menschen mit eingeschaltetem Gehirn leicht erkennbar gewesen, aber das Antivirus-Schlangenöl hätte vollständig versagt. Deshalb ist es wichtig, das Gehirn zu trainieren, damit es auch bei besser vorgetragenen Spam-Maschen zuverlässig arbeitet.

¹Ich grüße meine Mitleser unter den Spammern, die sich angesichts meines Spotts über blitzschnell erstellte, leere Word-Dokumente mit nur einem Makro drin das bisschen Mühe gemacht haben, in zehn Minuten Arbeit ein sinnloses Dokument mit vielen Windows-Screenshots zu erstellen. Auch der Name für die Office-Registrierung sieht nun nicht mehr wie ein Durchfall nach dem Genuss einer Buchstabensuppe aus, sondern lautet schlicht „Admin“, was eine weitere Verbesserung ist. Das die eifrigen Dokumentschreiber beim Einkopieren von Screenshots ihr Word-Dokument im Verlaufe von zehn Minuten zwanzig Mal zwischengespeichert haben, zeigt, dass Microsoft Word nicht nur seit zwei Jahrzehnten ein klaffendes Sicherheitsrisiko ist, sondern auch immer noch so „stabil“ zu sein scheint, wie ich es von früher her gewohnt bin. Deshalb heißt es ja auch „Word“ und nicht „Text“…

²In gegenwärtigen Word-Versionen gibt es zwei Dateinamenserweiterungen für Word-Dokumente. In Dateien auf .docx werden keine Makros ausgeführt, hierfür bedarf es eines Dateinamens auf .docm. Auch ist die Ausführung von Makros bei der Installation standardmäßig abgeschaltet und muss erst aktiviert werden, dies war früher genau umgekehrt. Die bloße Tatsache, dass trotz alledem noch Spam mit Makroviren versendet wird, zeigt, dass diese von Microsoft eingebauten Scheinsicherungen nicht helfen. Ein Bürorechner, auf dem Vorlagen mit Makros verwendet werden – dafür kann es viele Gründe geben – ist immer noch anfällig. Die Frage, wozu um alles in der Welt ein Word-Dokument mittels eingebetteten Programmcode jemals Zugriff auf das Internet und auf das Dateisystem benötigen sollte, bleibt ebenfalls ungeklärt.