Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Schadsoftware“

Microsoft verteilt Schadsoftware in Windows-Apps

Montag, 3. Juni 2019

Hier geht es nicht um eine Spam, sondern um „normale“ und leider immer noch legale Werbung und eine aktuelle Meldung auf Heise Online.

Microsoft, bislang vor allem durch Desktop-Spam in Microsoft Windows sehr unangenehm aufgefallen, verteilt inzwischen Schadsoftware in Apps für Windows 10, die von Microsoft digital signiert wurden und von Microsoft über den Microsoft Store verteilt werden:

Wer unter Windows 10 Apps aus dem Microsoft Store verwendet, muss derzeit vermehrt mit schädlichen Werbeeinblendungen – so genanntem Malvertising – aus dem Kontext dieser Anwendungen rechnen […] Bei der Datei, die unter anderem unter den Bezeichnungen ReimageRepair.exe, reimagerepair.exe und ALWINNER.exe an den Scandienst übermitelt wurde, handelt es sich offensichtlich um Schadcode. Derzeit wird er noch nicht von vielen Virenscannern erkannt – übrigens auch nicht vom Windows Defender […] Erwähnt werden (unter anderem auch in den Kommentaren unterhalb der Sicherheitshinweise und in Leserzuschriften an heise Security) die Apps MSN Weather/Wetter, News und Money, die Microsoft Solitaire Collection sowie Microsoft Mahjong

Bitte den vollständigen Artikel bei Heise Online lesen, ich habe hier sehr stark gekürzt.

In der Überschrift habe ich geschrieben, dass Microsoft Schadsoftware verteilt. Um die werten Damen und Herren Juristen im Brote Microsofts ein wenig zu besänftigen, muss ich dazu ergänzend leider anmerken, dass Microsoft sich vermutlich in den nächsten Tagen in seiner Stellungnahme auf einen sehr anderen Standpunkt stellen wird und vielmedial verstärkt davon sprechen wird, dass Werbenetzwerke, deren Werbungen von Microsoft in die Apps eingebaut wurden, diese Schadsoftware auslieferten. Ich halte das – Achtung! Meinungsäußerung! – für eine unglaublich faule und geradezu intelligenzverachtende Ausrede angesichts der Tatsache, dass…

  1. …Microsoft das Betriebssystem kontrolliert,
  2. …Microsoft die Programmierung von Microsoft-Anwendungen kontrolliert,
  3. …Microsoft den Microsoft Store kontrolliert, und schließlich, dass
  4. …Microsoft die Werbepartner auswählt und kontrolliert.

Wenn aus dieser kurz dargelegten vollumfänglichen Kontrollfülle heraus – die übrigens vor noch gar nicht so langer Zeit den Anwendern auch als Maßnahme zur Verbesserung der Sicherheit von Microsoft Windows schmackhaft gemacht wurde – keine ebenso vollumfängliche Verantwortung (und hoffentlich: Haftbarkeit) für das resultiert, was von kriminellen Dritten mit Schadsoftware an Schäden angerichtet wurde, dann kann man sich meiner Meinung nach (wohlgemerkt: als juristischer Laie) für die Zukunft jegliche Rechtsnorm sparen und das Faustrecht einführen. Denn dann würde ein „der Baseballschläger in meiner Hand bewegte sich immer wieder auf den blutenden Kopf dieses Typen, bis der Typ nicht mehr zuckte, dieser Baseballschläger und sein Hersteller ist am Totschlag schuld“ zur gültigen Verteidigung werden.

Und auf Grundlage dieser Erwägung bleibe ich dabei: Hier wird Schadsoftware von Microsoft ausgeliefert. Niemand anders ist dafür verantwortlich.

Und ja: Auch in Zukunft gibt es – schon unter dem Aspekt der Privatsphäre, aber erst recht unter dem Aspekt der Computersicherheit – keine Alternative dazu, jegliche Form von internetbasierter Reklame irgendwelcher Werbenetzwerke zu blockieren. Adblocker sind und bleiben eine elementare und unverzichtbare Software zur Herstellung von Computersicherheit. Wer sich nicht selbst elementar gegen die Nutzung des Internet-Werbetransportes durch Kriminelle verteidigt, wird gnadenlos attackiert. Neuerdings im Zweifelsfall sogar von Microsoft.

E-ticket 2236-63

Montag, 27. Mai 2019

Ein Ticket? Wofür? Egal, das muss wichtig sein. Da steht eine Nummer dran.

View in browser

Für eine Surftour mit dem Browser?

Dear valued customer,

Ich bin kein Kunde. Ich habe einen Namen.

Thank you for booking with American Airlines.

Nein, das habe ich nicht getan. Ich habe es auch nicht vor. Vor einer langen Zeit, als es noch keine Gretas und Fridays for Future gab, habe ich durch Lesen und Benutzung des Gehirnes schon bemerkt, dass Fliegen so ziemlich die dreckigste und asozialste Form der Fortbewegung ist, die Menschen jemals erfunden haben – und beschlossen, in meinem gesamten Leben darauf zu verzichten, wenn es nicht gerade durch Notfälle erforderlich wird. Das habe ich bis jetzt durchgehalten. Ich bin dabei großer Freund der Eisenbahn geworden, aber nicht der Mondpreise des korrupten Ex-Staatsbetriebes „Deutsche Bahn“. Tatsächlich ist es regelmäßig billiger, zu fliegen, als mit dem Zug zu fahren. Und nein: Das sind nicht weitergegebene reale Kosten und das ist auch nicht die „unsichtbare Hand“ des Marktes, das ist durchgesetzter politischer Wille und vorsätzliche politische Gestaltung durch korrupte und asoziale Politiker und Politikerinnen. Es ist der Wille derjenigen Politiker, die euch permanent einen von Klimaschutz erzählen und die euch demnächst mit dieser Fuchtel auch eine CO2-Sondersteuer aufdrücken werden, die sich in jeden Preis hineinaddieren und vor allem Menschen mit wenig Geld überproportional belasten wird. Die gleichen Politiker werden allerdings auch weiterhin das Kerosin – im Gegensatz etwa zum Ottokraftstoff – unversteuert lassen. Politik ist auch so eine Art Spam, eine Spam für Hirn und Psyche, die jede Vernunft erstickt… :(

We have received your booking under reference 2236-63 and are reviewing your payment.

Wer auf den Link klickt, landet nicht etwa bei American Airlines, sondern bekommt eine „kostenlose Sicherheitsprüfung“ seines Browsers und seines Computers durch Kriminelle. Diese ist recht umfangreich. Wenn in diesem automatisierten Prozess, der ungefähr eine Sekunde dauert, eine Lücke gefunden wird, dann wird der Rechner von Kriminellen übernommen. Ansonsten geht es abschließend mit einer Weiterleitung zu einer Pimmelpillen-Apotheke der spammigen Marke „Canadian Pharmacy“, wo sich die Gangster sicherlich noch etwas Affiliate-Geld abholen werden – und einige Kunden schwere gesundheitliche Probleme.

Deshalb klickt man ja auch nicht in eine E-Mail, sondern ruft Websites direkt im Browser auf. Dieses bisschen Vorsicht schützt vor Phishing und Schadsoftware, und es kostet nicht einmal Geld. Seit der Version 0.95beta des Browsers Mosaic Netscape gibt es diese praktischen „Lesezeichen“ oder „Favoriten“ im Browser, die nur darauf warten, genutzt zu werden.

Yours sincerely,
American Airlines Support

Mit Winkewinke von einer Verbrecherbande!

You can also view the details of this request by following this link:
https://www.aa.com/?clientrequest=2236-63

Man kann gar viele Links klicken, und alle führen sie einen zur gleichen Adresse, die natürlich nichts mit aa (punkt) com zu tun hat. „Aber da steht doch AA“… ja, es ist eine HTML-formatierte Mail, und die Adresse, die da steht, ist ein Text, der mit einer anderen Adresse verlinkt ist. Ein dummer Trick aus dem Spam-Neolithikum, der inzwischen in jeder anständigen Mailsoftware zu einer Warnung führt, dass es sich um einen Phishing-Versuch handelt. So etwas wie das hier:

https://www.zdf.de/

Um zu sehen, wo der Link wirklich hinführt, muss man übrigens weder den Quelltext lesen noch auf den Link klicken. Es wird sichtbar, wenn man mit dem Mauszeiger über dem Link ist. Immer, wenn dort etwas anderes steht, als im Text falscher Eindruck erweckt wird, soll man an der Nase herumgeführt werden – was denkende und fühlende Menschen, deren Mitteilungen Wert, Kraft und Schönheit haben können, beinahe nie machen, verabscheuungswürdige Werber und Kriminelle hingegen recht regelmäßig.

Die Absender dieser Spam sind Verbrecher. Die leben vom Verbrechen. Die können da nicht „Dieser Link geht zu einer Schadsoftwareschleuder“ hinschreiben, das wäre schlecht fürs Geschäft. Also versuchen sie mit allen möglichen Tricks, einen anderen Eindruck zu erwecken. Auch mit derart dummen Tricks.

You are receiving travel offers for flights departing from as it is selected as your preferred country of departure. If you would like to change your country of departure or change the frequency of the emails you receive, you can modify your preferences. To stop receiving offers from American Airlines, click here to unsubscribe.

Und jetzt: Noch mehr Gelegenheiten, sich zur Schadsoftware zu klicken.

* For terms and conditions of our current promotion and special offers, visit the American Airlines website.

Und weil es so schön war: Noch mehr Gelegenheiten, sich die Pest auf den Rechner zu holen.

All rights reserved. © 2019 American Airlines.

Oh, gar kein Link mehr? :D

Entf!

Bewerbung für die ausgeschriebene Stelle

Freitag, 10. Mai 2019

Leider ist diese Spam mit Schadsoftware-Anhang nicht bei mir angekommen (ich habe ja auch keine offenen Stellen anzubieten), so dass ich nur zum Heise-Artikel mit weiteren Informationen verlinken kann. Zu diesem Artikel ist es aber noch eine Anmerkung zu machen, die auch über die laufende Schadsoftware-Kampagne hinaus gültig bleibt:

Die Drahtzieher von dieser Kampagne nutzen einen simplen Trick, um das Word-Dokument an Antiviren-Software vorbeizuschmuggeln: Sie habe es schlicht mit einem Passwort versehen, sodass Virenscanner nicht rein gucken und den Makro-Code als böse einstufen können […] Damit Opfer das Dokument öffnen können, haben die Drahtzieher das Passwort in die Mail geschrieben

Clipart eines Ordners, auf dem das Wort Virus stehtImmer, wenn eine E-Mail einen verschlüsselten Anhang hat und das Passwort im Klartext in der E-Mail steht, handelt es sich um einen Versuch, Schadsoftware an einem Antivirus-Scan auf dem Mailserver vorbeizumogeln.

Es gibt keinen einzigen anderen Grund, warum jemand so vorgehen sollte.

Die Verschlüsselung des Anhanges mit einem Passwort, das in der unverschlüsselten E-Mail steht, schafft keine zusätzliche Sicherheit oder Vertraulichkeit. Die E-Mail geht offen wie eine Postkarte durch das Internet. Auf jedem Server auf dem Transportweg kann sie gelesen (und sogar inhaltlich verändert) werden. Auf jedem Server auf dem Transportweg könnte also auch jemand das Passwort lesen und damit den Anhang öffnen, lesen oder verändern.

Es ist, als ob man seine Wohnungstür zum Schutz vor Dieben abschlösse, den Schlüssel unter die Fußmatte legte und einen unübersehbaren Zettel an die Türe klebte, auf dem in großen, freundlichen und leicht lesbaren Buchstaben steht, dass der Schlüssel unter der Fußmatte liegt.

Es ist völlig sinnlos, Anhänge auf diese Weise zu verschlüsseln – außer, man hat als Krimineller die Absicht, dafür zu sorgen, dass eine Schadsoftware bei einem Virenscan auf dem Mailserver nicht erkannt werden kann. Und genau das ist bei solchen E-Mails regelmäßig der Fall.

Diese Vorgehensweise ist nicht einmal neu. Die erste E-Mail mit im Text angegebenen Passwort für ein angehängtes verschlüsseltes ZIP-Archiv habe ich im Jahr 2015 gesehen. Alles, was ich damals geschrieben habe, gilt auch heute noch unverändert.

Jemand, der Vertraulichkeit herstellen will – was ich bei den weit in die Privatsphäre hineinreichenden Bewerbungsunterlagen erstmal nicht für eine schlechte Idee halte – wird wirksamere Methoden verwenden. Zum Beispiel richtige E-Mail-Verschlüsselung (inklusive einer digitalen Signatur, die unveränderte Übermittlung über ein unsicheres Netzwerk sicherstellt) mit PGP. Aber dafür müsste der Mailempfänger einen öffentlichen Schlüssel bereitstellen, und das ist zurzeit, nur rd. dreißig Jahre nach der Spezfikation und Implementation von PGP und unter den Bedingungen benutzerfreundlich verwendbarer und kostenloser Addons für jede ernstzunehmende Mailsoftware, beinahe niemals der Fall. Auch bei großen Unternehmen nicht. Und so werden eben weiterhin Bewerbungsunterlagen offen wie Postkarten durch das Internet versendet. :(

NIEMALS in einem über E-Mail zugestellten Office-Dokument die Ausführung von Makros erlauben! (Dabei auch nicht vom Absender der E-Mail beirren lassen. Die Absenderangabe in einer E-Mail spielt für den Mailtransport keine Rolle und kann beliebig gefälscht werden, ganz ähnlich wie der angegebene Absender auf einem Briefumschlag.)

Ein Makro ist ein innerhalb des Office-Programmes laufendes Programm, das alles kann, was jedes andere Programm für Microsoft Windows auch kann. Wenn das Dokument von einem spammenden Verbrecher stammt, kann und wird der angerichtete Schaden sehr groß werden.

Es gibt keinen einzigen Grund, warum man jemals zum Lesen und Ausdrucken eines Dokumentes die Ausführung eingebetteten Programmcodes zulassen müsste. Irgendwelche Tricks, mit denen Menschen zur Aktivierung von Makros überrumpelt werden sollen, kommen trotzdem immer wieder vor. NIEMALS sollte man darauf reinfallen! Die angeblichen Gründe, die in solchen Dokumenten genannt werden, sind Lüge.

Ganz kurze Zusammenfassung:

  1. Generell niemals Mailanhänge unsignierter E-Mails öffnen, die nicht über einen anderen Kanal als E-Mail explizit abgesprochen wurden. Dettelbach ist überall! Im Zweifelsfall kurz anrufen.
  2. Mailanhänge mit ZIP-Archiv sind besonders gefährlich, da diese wegen des deutlich erhöhten Aufwandes auf dem Mailserver oft nicht nach Schadsoftware gescannt werden.
  3. Mailanhänge mit einem ZIP-Archiv, dass passwortgeschützt ist, bei denen aber das Passwort in der E-Mail steht, sind Gift. Diese „Verschlüsselung“ hat nur einen Sinn: Einen Antivirus-Scan auf dem Mailserver zu verhindern.
  4. Und schließlich etwas, was ich hier gar nicht erwähnt habe, was aber sicherlich bald wieder aktuell wird: Klickbare Links in E-Mail sind genau so gefährlich wie Anhänge. Alles Gesagte gilt also auch für Links in einer Mail.

Wer vorsichtig ist, hat nicht hinterher das Nachsehen. ;)

minecraft

Sonntag, 14. April 2019

Von seiner Mutter mit diesem unvorteilhaften Namen und SEO-trächtigen Keyword bedacht wurde der Idiot mit IP-Adresse aus den USA, der den folgenden Kommentar hier auf Unser täglich Spam veröffentlichen wollte:

Do you have a spam problem on this blog; I also am a blogger, and I was wanting to know your situation; we have developed some nice practices and we are looking to
trade techniques with other folks, be sure to
shoot me an email if interested.

Ja, Spammer, ich habe ein Spamproblem. Es besteht aus Leuten wie dir. Und nein, ich würde dir bestimmt keine Mail rüberschießen, sondern eher etwas anderes… :evil:

Die mit dem angegebenen Namen „minecraft“ verlinkte, schnell von einem Spammer aufgeschäumte „Homepage“, die im HTML-Titel frech von sich behauptet, „Minecraft Games for Free Download – Minecraft.net“ zu sein, aber in einer völlig anderen Domain liegt, sieht übrigens so aus:

Screenshot der spambeworbenen angeblichen Minecraft-Website

Natürlich wird die Domain dieser angeblichen Minecraft-Website…

$ whois minecraftm.com | grep ^Registrant | sed 7q
Registrant Name: Domain Admin
Registrant Organization: Whois Privacy Corp.
Registrant Street: Ocean Centre, Montagu Foreshore, East Bay Street
Registrant City: Nassau
Registrant State/Province: New Providence
Registrant Postal Code: 
Registrant Country: BS
$ _

…über einen Dienstleister aus dem ehemaligen Piratennest Nassau auf den sonnigen Bahamas anonym betrieben, denn der Betreiber möchte ja nicht für seine Machenschaften ins Gefängnis gehen.

Dort kann man dann „Minecraft“ herunterladen, wenn man dumm genug ist. Wer das macht, holt sich eine „hübsche“ Kollektion aktueller Schadsoftware auf seinen Computer und hat verloren – und nein, das Antivirus-Schlangenöl hilft gar nicht, weil die brandneue Schadsoftware von vielen derartigen Programmen noch nicht erkannt wird. Ein Gehirn, das Spam erkennt und gar nicht erst auf die Idee kommt, Software von Spammern zu installieren, gewährt hingegen immer einen hervorragenden Schutz.

New Inquiry

Samstag, 23. Februar 2019

Hi dear,

Genau mein Name!

We attached our new Inquiry per phone conversation last week.

Nein, diese Mail hat keinen Anhang.

Please kindly cancel our previous order and send us your new price list for our below order.

Wenn ihr wirklich wolltet, dass ich eine Bestellung rückgängig mache, hättet ihr mir auch gesagt, welche ihr meint – mindestens mit Angabe eurer Kundennummer und des Datums eurer Bestellung. Ach, das könnt ihr nicht, weil das nur ein Vorwand für eine Spam ist? Seht ihr, das habe ich mir gleich gedacht.

Greetings

Winkewinke, bleibt mal schön im Spamordner! Da gehört ihr nämlich hin.

1 attachments (total 53.9 KB)

Nein, diese Spam hat keinen Anhang. Die folgenden Links…

Download_order View_order

…führen zu Dropbox. Da kann jeder alles hochladen. Das beste aus Verbrechersicht daran: Wenn die Mail keinen Anhang hat, kann auch kein Schlangenöl auf dem Mailserver prüfen, ob es sich möglicherweise um Schadsoftware handelt. Und dann kann der Empfänger einfach in die Mail klicken und mit diesem dummen Klick den Computer (oder gar ein ganzes Firmennetzwerk) an Verbrecher übergeben.

Oder anders gesagt: Wer darauf klickt, lasse alle Hoffnung fahren!

Übrigens: Dropbox hat den kriminellen Sondermüll schon entfernt. Das ging erfreulich schnell. Ich befürchte aber, dass dieser Müll dort zehntausendfach (mit geringen Variationen, die automatisches Erkennen stark erschweren) abgelegt wurde. Deshalb kann man sich leider nicht darauf verlassen, dass kriminell missbrauchte Diensteanbieter schnell löschen. Aber zum Glück macht das nichts, denn wir haben ja alle ein eingebautes Gehirnchen, und das ist immer noch der beste Schutz gegen solche Machenschaften.

Bewerbung auf die Angebotene Stelle bei der Agentur für Arbeit von Peter Reif

Mittwoch, 7. November 2018

Diese angebliche Bewerbung – unter anderem auch mit den Namen „Peter Schnell“, „Caroline Schneider“ oder „Viktoria Henschel“ im Umlauf – enthält eine Schadsoftware. Bitte bei Heise Online weiterlesen.

Die Mail ist in sauberem Deutsch formuliert und im Anhang der Mail befindet sich ein passwortgschütztes RAR-Archiv, in dem sich die Datei „Peter Reif – CV – Bewerbung – Arbeitsagentur.pdf.exe“ befindet. Das Kennwort für das Archiv findet sich in der Nachricht.

Und bitte nicht in Sicherheit wiegen lassen, wenn der Bewerber auf einmal Hugo Lustig, Wolfgang Schicklgruber oder Bernhard Beißköter heißt, denn der Name wird von den Verbrechern sicherlich schnell geändert, nachdem überall vor bestimmten Namen gewarnt wird.

Niemals einen E-Mail-Anhang öffnen, der ohne vorherige Absprache zugestellt wird! Dettelbach ist überall. Das gilt erst recht, wenn der Anhang ein ZIP- oder RAR-Archiv ist, das mit einem in der Mail genannten Kennwort verschlüsselt wurde und deshalb nicht vom Antivirus-Schlangenöl auf dem Mailserver überprüft werden kann. Einmal ganz davon abgesehen, dass so ein „Schutz“ völlig absurd ist. Wenn man das Passwort zu einer Verschlüsselung gleich mit der verschlüsselten Nachricht mitliefert, kann man sich die Verschlüsselung auch sparen – es ist, als ob man „zur Sicherheit“ die Türe abschlösse, aber dann den Schlüssel einfach stecken lässt. Sind Mailanhänge an sich schon gefährlich genug, sollten solche sinnlosen Verrenkungen sofort alle Alarmglocken schrill klingeln lassen. Hier will jemand Sicherheitsvorkehrungen austricksen.

Ach ja: Es gibt auch einen guten und wirksamen Schutz vor Erpressungstrojanern, die Daten verschlüsseln und gegen Bitcoin wieder entschlüsseln. Man muss ihn allerdings vorher anwenden: Regelmäßige Datensicherungen. Diese helfen natürlich auch bei anderen Datenverlusten, zum Beispiel durch kaputt gehende Massenspeicher.

Confirm your DHL Parcel Receipt

Donnerstag, 1. November 2018

Aber ich erwarte gar kein Paket.

​Dear Customer,

Einen Namen hätte ich allerdings gehabt, und zwar einen anderen als „Lieber Kunde“. Der hätte eigentlich auch auf dem Adressaufkleber draufgestanden. Aber leider stand da nur meine Mailadresse. :D

Tja, wenn sich die hirndörre Story der Verbrecher schon nach der ersten Zeile in Lachen auflöst.

Your parcel arrived at our local post few hours ago. Our courier was unable to deliver the parcel due to incorrect delivery details

To receive your parcel, Please confirm the attached shipping document

Oh, da ist ein Dokument angehängt? Aber diese Mail hat gar keinen Anhang.

Thanks & Best Regards

DHL Support Agent.

Ja, du darfst mich auch mal lecken.

1 attachments (total 53.9 KB)
https://www.dropbox.com/s/67dhb99z7v854a6/DHL_2018091808420890.z?dl=1
View Receipt
Download Receipt

Aha, Links zu Dropbox sind jetzt die neuen Mailanhänge? Schon klar. So kommt der kriminelle Dreck bestimmt besser durch Spamfilter mit Antivirusscan.

Im Gegesatz zur 54-Kilobyte-Angabe aus der Spam hat die Datei, die man sich unter diesem Link herunterladen kann…

$ ls -lh Parcel\ Receipt\ Confirmation.z 
-rw-rw-r-- 1 elias elias 871K Nov  1 15:32 'Parcel Receipt Confirmation.z'
$ file Parcel\ Receipt\ Confirmation.z 
Parcel Receipt Confirmation.z: RAR archive data, v4, os: Win32
$ unrar l Parcel\ Receipt\ Confirmation.z 

UNRAR 5.50 freeware      Copyright (c) 1993-2017 Alexander Roshal

Archive: Parcel Receipt Confirmation.z
Details: RAR 4

 Attributes      Size     Date    Time   Name
----------- ---------  ---------- -----  ----
    ..A....    951175  2018-10-31 04:58  Parcel Receipt Confirmation.scr
----------- ---------  ---------- -----  ----
               951175                    1

$ _

…eine ziemlich aufgeplusterte Größe von 871 KiB. Und dabei handelt es sich um ein RAR-Archiv, also bereits um komprimierte Daten. In diesem Archiv befindet sich ein Bildschirmschoner für Microsoft Windows, also ausführbarer Programmcode, der in einer Spam mit irreführenden Angaben zugestellt wurde und mit Doppelklick ausgeführt wird. Wer darauf einen Doppelklick macht, hat hinterher einen Computer anderer Leute auf dem Schreibtisch stehen und wird sich mindestens den heutigen Tag mit völlig unerwünschten Problemen verhageln.

Zurzeit wird dieser Trojaner für Microsoft Windows nur von rd. einem Viertel der Antivirus-Programme als Schadsoftware erkannt. Wer sich auf sein Schlangenöl verlässt, ist in vielen Fällen wieder einmal verlassen, denn es versagt leider recht regelmäßig bei aktueller Schadsoftware. Aber zum Glück war diese Spam so schlecht und plump, dass wohl niemand den Schadcode gestartet haben wird… hoffentlich… HOFFENTLICH!

Dettelbach ist überall. :(

Quotation Request

Montag, 28. Mai 2018

Wie, du willst ein Angebot von mir haben. Das nennt man in normalem Englisch aber eher „request for quotation“. Na ja, es kann sich ja nicht jeder Kleinkriminelle einen Dolmetscher leisten. ;)

Dear Sir/Ms,..

Genau mein Name.

Following up our previous conversation last year , please find enclose attached file the revised and file order. sorry for the delay because we just received confirmation from our customer .

Was, wir hatten letztes Jahr eine Unterhaltung? Was meinst du damit? Dass du mich letztes Jahr schon zugespammt hast und ich deine Spams unbehandelt ins Tönnchen getan habe? Und deshalb soll ich einen Anhang öffnen, der in einer obskur formulierten Spam von einem Unbekannten kommt.

Moment, was ist denn das für ein Anhang?

Ah, es handelt sich um ein ZIP-Archiv. Eine tolle Verpackung! Und, was ist da drin?

$ unzip -l QUOTATION\ REQUEST.zip 
Archive:  QUOTATION REQUEST.zip
  Length      Date    Time    Name
---------  ---------- -----   ----
   690186  2018-05-28 02:04   QUOTATION REQUEST.jar
---------                     -------
   690186                     1 file
$ _

Aha, ein Java-Archiv mit einem Programm, das auf vielen Computern klicki-klicki in der JVM ausgeführt werden kann. Interessant. Die Spam redet von einem Dokument, hängt aber eine Software an. Das ist ganz sicher eine hochqualitative Qualitätssoftware mit echten Qualitätstrojanerfunktionen.

Übrigens finden sich im unglaublich aufgeblähten JAR-Archiv jede Menge Dateien, die nur dafür da zu sein scheinen, das JAR-Archiv aufzublähen. (Auf dem Rechner, an dem ich gerade sitze, habe ich keine Java-Entwicklungsumgebung, so dass ich mir die Java-Klassen nicht mit javap oder einem besseren Werkzeug anschauen und deshalb auch nicht sicher sagen kann, ob die sehr zahlreichen Dateien nicht vielleicht doch geöffnet, entschlüsselt und verarbeitet werden.) Ich muss allerdings eingestehen, dass innerhalb einer mit Spam zugestellten Schadsoftware der Package-Name com (punkt) epicranius (punkt) terrorized einen gewissen realsatirischen Liebreiz hat. :D

Es handelt sich klar um eine mit Spam zugestellte Schadsoftware. Diese scheint allerdings recht aktuell zu sein, und deshalb wird sie nur von einem Bruchteil der gängigen Antivirus-Programme als Schadsoftware erkannt. Wer sich auf sein Antivirus-Programm verlässt, ist verlassen und hat jetzt einen Computer anderer Leute auf dem Schreibtisch stehen. Wer aber genügend Erfahrung hat, um zu wissen, dass man E-Mail gegenüber immer äußerst vorsichtig sein muss – von diesem gefährlichen Sondermüll ist zurzeit sicherlich viel mehr unterwegs, vielleicht sogar in deutlich besser gemachten und gefährlicheren Spams – wer niemals einen Anhang einer E-Mail öffnet, wenn dieser nicht vorher explizit über einen anderen Kanal als E-Mail vereinbart wurde, der ist sicher vor solchen Überrumpelungen krimineller Zeitgenossen.

Einmal ganz davon abgesehen…

Please send me proforma invoice with bank details and confirm when order can be ready if we should effect transfer for the 30% deposit this week

your soonest reply will be highly appreciated .

Thanks and Regards ,

EMMA CHEN | SALES SUPERVISOR

Cell Phone: 0086-13676590849

WENZHOU VERVO FL TECH CO.,LTD | Heyi Industrial

Park,Wenzhou,Zhejiang, China

Tel: +86-577-57999xxx | Fax: +86-577-57999xxx

Web: www.vervo.cn [1] | Email: info@vervo.cn

Skype:voxxe emma | QQ:277723xxx

Links:
——
[1] http://ervo.cn/

…dass dieser heftig plenkende Mailschreiber nicht einmal so etwas ähnliches wie Vertrauen erwecken kann. Aber auch, wenn eine Mail besser aussieht, sollte man niemals einen Anhang einfach so öffnen. Bei bekannten Absendern und unsignierter E-Mail immer vor dem Öffnen telefonisch rückfragen! Der Absender einer E-Mail ist nämlich beliebig fälschbar, und das ist kinderleicht. Bei unbekannten Absendern: Ab in die Mülltonne mit der Mail!

Diese Spam ist ein Zustecksel meines Lesers L.D.