Schlagwortarchiv „Schadsoftware“

Fw: FYI

Dienstag, 16. Februar 2016

Kurz und schmerzlos:

Dear,

Find attached
Best Regards,
FERNANDES
00971-52-9156908

So so: „Hey, Empfänger, einen Namen von dir kenne ich nicht und in die Mail mochte ich auch nichts reinschreiben, mach doch mal den Anhang auf. Komm, vertrau mir! Ich habe Katzen im Sack! Ich habe auch einen Namen und sogar eine Telefonnummer“. Was wird das wohl sein?

Tja, Katzen im Sack, die mit E-Mail kommen, sind keine LOLCats.

Der Anhang ist angeblich ein Dokument für Microsoft Word – die Datei sieht in Wirklichkeit ein bisschen „kaputt“ aus – das einen Fehler in Word ausnutzt, um eine aktuelle Kollektion von kriminellen Trojanern zu installieren. Zurzeit wird diese Schadsoftware von weniger als der Hälfte der gängigen Antivirus-Programme erkannt.

Deshalb öffnet man eben keine Anhänge in einer E-Mail, außer sie wurden vorher explizit (und nicht über E-Mail) abgesprochen und die E-Mail sowie der Anhang sind digital signiert, damit jenseits jedes vernünftigen Zweifels sichergestellt werden kann, wer der Absender ist. (Natürlich sollte man die Signatur auch überprüfen.) Denn E-Mail-Anhänge sind immer gefährlich. Die Möglichkeit, jemanden in einem anonymisierenden Medium eine Datei zustellen zu können, die er dann beklicken muss, ist für Kriminelle nun einmal außerordentlich attraktiv, und Antivirus-Programme nutzen oft erschreckend wenig.

You have 2 damaged emails

Montag, 15. Februar 2016

Und du, Spammer, du hast ein beschädigtes Gehirnchen.

Diese Mail…

Screenshot der HTML-formatierten Spam

…kommt natürlich nicht von Google, sondern ist eine Spam von Verbrechern. Das kann man nahezu sofort an folgenden Merkmalen erkennen:

Es wird nicht das aktuelle Google-Logo verwendet.
Die Mail ist nicht in der bei Google eingestellten Sprache verfasst.
Der Inhalt ist dümmlicher Bullshit.
Alle Links führen nicht zu Google.

Google

Wenn du Google bist, Spammer, dann ist ein Kuhfladen eine Pizza.

We have sent you a message.

<loriot>Ach</loriot>, und ich habe eine Nachricht bekommen, in der drinsteht, dass „ihr“ mir eine Nachricht gesendet habt. Das hätte ich sonst nie bemerkt!

Und was steht nun drin in dieser Nachricht?

2/13/2016

Aha, ein Datum. Das stimmt immerhin. (Die Mail ist von vorgestern.) Aber das Datum steht sowieso in der Mail und ist deshalb eine völlig nutzlose Angabe.

2 damaged emails was recovered and re-sent to you.

View emails

Und auch das ist ein völlig nutzloser Hinweis. Denn ich würde die Mail ja ganz einfach im Posteingang finden, wenn ich nach meiner Mail schaute.

Tolle Nachricht!

Der Link geht in die Domain sbtechnologies (punkt) in und nicht zu einer Domain von Google. Den Server haben Kriminelle mit einem Crack übernommen und verwenden ihn nun als Zieladresse für ihren Dreck – und dass die Sahyog Development Services dadurch auf Blacklists landet, möglicherweise vom E-Mail-Verkehr ausgeschlossen wird und wirtschaftlichen Schaden erleidet, ist den asozialen und kriminellen Spammern egal. Dort gibt es eine kryptisch formulierte Javascript-Weiterleitung, die schließlich in die Domain genericherbpurchase (punkt) ru führt, wo man scheinbar eine Betrugsapotheke der Marke „Canadian Pharmacy“ vor sich hat, die sich mit krimineller Spammerei schon eine beachtliche Reputation im Web of Trust „erarbeitet“ hat.

Wie eben schon angedeutet, handelt es sich um kriminelle Cracker, die Computer anderer Menschen einfach übernehmen, und diese Website sollte man deshalb nur mit der Kneifzange anfassen. Zeilen wie die folgende im HTML-Quelltext der Startseite…

<script type="text/javascript" src="d5e1500cdeec800c25e887a4a5b5f97c1f4f.gif?1455536929"></script>

…wo ein Javascript-Programm für den Browser mit der Dateinamenserweiterung für ein GIF-Bild gespeichert wurde, sehen jedenfalls sehr verdächtig aus. Ich halte es für sehr wahrscheinlich, dass die „Apotheke“ nur Mummenschanz ist. (Warum sollte jemand, der erwartet, sich zu Google zu klicken, auch Lust auf einen Viagra-Kauf haben?) In Wirklichkeit gibt es wohl einen kostenlosen „Sicherheitscheck“ des Betriebssystems und des Browsers durch Kriminelle, und wenn irgendein ausbeutbarer Fehler vorliegt, kommt eine aktuelle Kollektion von Schadsoftware hinterher.

Zum Glück ließ sich diese Spam sehr leicht als Spam erkennen, so dass kaum jemand so dumm gewesen sein wird. Aber solche Spams können auch besser gemacht werden – und deshalb verwendet man im Browser eben ein Addon wie NoScript. Damit hätte die „Reise“ schon auf der Weiterleitungsseite geendet – und nicht bei einem Satz heimlich installierter aktueller Trojaner.

We hope you found this message to be useful. However, if you‘d rather not receive future e-mails of this sort, please opt-out here.

Hach, wäre das schön, wenn man Spam abbestellen könnte!

Rechnung Januar 2016-956598

Donnerstag, 11. Februar 2016

Hallo ,

Genau mein Name!

endlich:) Anbei die Rechnung von Januar. Ich hoffe, alles ist gut.

Wenn man eine aktuelle Kollektion von Schadsoftware, die zurzeit von der Mehrzahl der Antivirus-Programme nicht erkannt wird als etwas Gutes empfindet, dann wird alles gut. Aber nicht für die Empfänger, die eine Rechnung von einem anonymen Absender geöffnet haben, weil in der Mail gar nicht drinstand, um was es überhaupt geht.

Liebe Grüße

Holger Schulte

Wenn das die „lieben“ Grüße sind, will ich die bösen nicht mehr kennenlernen.

Fwd: Paket.

Freitag, 5. Februar 2016

Von: DHL Paket <admin (at) paket (punkt) de>

So so, von DHL… 😀

Guten Tag sag (at) ich (punkt) net,

Im Original stand da die Mailadresse der Empfängerin, weil…

Ihr Paket id_55058328 ist empfangsbereit.

…auf dem Adressaufkleber des Paketes leider nur eine Mailadresse stand und keine Anschrift für die Zustellung. Das kennen wir ja alle. Wenn wir jemanden ein Paket schicken, dann schreiben wir da einfach die Mailadresse drauf. Und sonst nix. Aber dafür hat das Paket immerhin eine Nummer. Das klingt „individuell“ und vor allem soooo persönlich.

Diese e-mail ist eine Mitteilung für die Ankunft.
Lieferung durch den Absender gezahlt.
Die Hohe der Versicherungspaket € 2.270.

Aha, die Ankunft. Aber es wurde doch gar nicht vorbeigebracht, das so teuer versicherte Paket. Ob das daran liegt…

Um das Sendung zu bekommen, bitte drucken Sie das angehangte Dokument und prasentieren sie in einem Lagerhaus.

…dass man einfach nur einen mit einer Spam von Verbrechern zugestellten Anhang öffnen soll?

Beim Anhang handelt es sich um ein ZIP-Archiv, in welchem ein in Javascript formuliertes Programm liegt. Dies ist Software, die von spammenden Kriminellen versendet wurde. Ein Doppelklick auf das angebliche Dokument startet Software von Verbrechern, und danach steht ein Computer anderer Leute auf dem Schreibtisch. Leider wird dieser infektiöse Sondermüll zurzeit nur von einem Fünftel der gängigen Antivirus-Schlangenöle erkannt. Zum Glück ist es in diesem Fall aber sehr einfach, die Mail als eine Spam zu erkennen und sie zu löschen, statt darin herumzuklicken.

Herzliche Grüße
Ihr DHL Team

Aus dem verrotteten Herz eines Verbrechers direkt ins Postfach. DHL hat damit natürlich gar nichts zu tun.

Ihre Telekom Festnetz-Rechnung Jan 2016

Dienstag, 2. Februar 2016

Aber ich bin doch gar nicht bei der Telekom…

Von: <PCook (at) hyperion (strich) bs (punkt) com>

…aber der Absender wohl auch nicht. Weia, wenn man schon einen Absender fälscht, dann könnte der ja auch ein bisschen überzeugend aussehen. Aber wenn ein Spammer sein Gehirn benutzen wollte, könnte er ja auch gleich arbeiten gehen.

Ihre Rechnung für Dezember 2015

Im Betreff war es noch Januar 2016. 😀

Guten Tag gammelfleisch (at) tamagothi (punkt) de,

Tja, wenn man als Spammer den Empfänger nicht mit Namen anreden kann, weil man den Namen nicht kennt, dann muss man ihn eben mit der Mailadresse anreden. Die kennt der Spammer ja.

Hiermit erhalten Sie mit dieser E-Mail Ihre aktuelle Festnetz-Rechnung.

Der Deutschexperte ist leider im Urlaub, und somit erhalten wir mit dieser E-Mail die aktuellen Sprachprobleme eines spammenden Verbrechers.

Die Gesamtsumme im Monat Jan 2016 beträgt: 854,57 Euro.

Und, für welchen Anschluss? Manche sollen ja mehrere haben. Aber wenn eine Telefonnummer dabei stünde, dann wäre sofort jedem Empfänger klar, dass es sich um eine Spam handelt.

Im Zusammenhang mit Ihrer Schuld. Wenn die Zahlung bis zum 25. November 2015 nicht eingeht, haben wir das Recht, die Erbringung von Dienstleistungen zu verhindern.

Steck dein Geld in die Zeitmaschine! Im Februar bekommst du laut Betreff die Rechnung des letzten Monats, laut Mailtext hingegen des vorletzten Monats, bezahlt haben sollst du sie vor drei Monaten! Oh, das Geld passt ja gar nicht mehr in die Zeitmaschine rein. Da steckt schon das Gehirn des Spammers drin, weil er das gerade mit einem Aufkleber „Annahme verweigert“ in den Urschleim zurückschickt.

Zu diese Schreiben ist angehängt Dokumente in Zip archive mit Angabe der Leistungen, sorgfältig zu lesen

In der Tat, es ist ein ZIP-Archiv angehängt. Darin ist nicht etwa ein PDF oder ein anderes Dateiformat, sondern ein Javascript-Programm, das von einem Spammer zugestellt wurde. Dieses ist vorsätzlich kryptisch formuliert. Kein Mensch würde eine Software so kryptisch formulieren, wenn er nicht gerade die Absicht hätte, sie an einem Antivirus-Programm vorbeizumogeln. Es handelt sich vollkommen sicher um Schadsoftware, ohne dass es der verschwendeten Lebenszeit bedürfte, diesen Sondermüll zu dechiffrieren, um herauszubekommen, was er tut. Wer das Archiv entpackt und die Datei doppelklickt, hat hinterher einen Rechner anderer Leute auf dem Schreibtisch stehen. Diese Schadsoftware wird zurzeit von den meisten Antivirus-Schlangenölen nicht als Schadsoftware erkannt; wer auf Werbung und Journalismus hereingefallen ist und sich auf diesen Schutz verlässt, hat also verloren. Wer Spam hingegen als Spam erkennt und löscht, statt darin herumzuklicken, hat gewonnen (und hätte das wirkungslose Schlangenöl gar nicht gebraucht).

Mailanhänge sind gefährlich. Sie sollten im Zweifelsfall nicht geöffnet werden. Ein solcher Zweifelsfall liegt immer vor, wenn in einer anonym und technokratisch formulierten E-Mail steht, dass man ohne Grund viel Geld bezahlen soll, aber erst aus dem Anhang erfährt, worum es eigentlich geht. Ich empfehle, niemals einen E-Mail-Anhang zu öffnen, wenn nicht der Absender mit Hilfe einer kryptografischen Signatur jenseits jedes vernünftigen Zweifels festgestellt werden kann oder die Zustellung der E-Mail in diesem Einzelfall explizit verabredet war. Aber auch Menschen, die so dumm oder unerfahren sind, sich einen deutlich niedrigeren Sicherheitsstandard zu leisten, hätten beim Anblick dieser Spam stutzig werden müssen. Es ist schlicht ausgeschlossen, dass eine echte E-Mail eines großen Unternehmens derart schlecht formuliert ist und so große inhaltliche Fehler hat.

Für weitere Fragen zu RechnungOnline, Ihrer Rechnung oder zur Bezahlung bieten wir Ihnen ein umfangreiches Hilfe-Angebot. Informationen zu den Sicherheitsmerkmalen von RechnungOnline finden Sie unter Sicherheitshinweise.

Nett, dass die Schadsoftware so sicher ist!

Mit freundlichen Grüßen

Mit freundlichen Grüßen
Ralf Hoßbach
Leiter Kundenservice

Mit doppelter geheuchelter Freundlichkeit
Deine organisierte Internet-Kriminalität
Ein Vollidiot von Spammer

© Telekom Deutschland GmbH

Ich habe wirklich viel Schlechtes über die Telekom zu sagen, aber mit dieser Spam hat sie überhaupt nichts zu tun.

Hinweis: Eine direkte Antwort auf diese E-Mail ist nicht moglich. Wenn Sie uns per E-Mail erreichen wollen, nutzen Sie bitte unser Kontaktformular.

Hinweis: Der Absender dieser Spam ist gefälscht.

Rechnung 903213 vom 07.12.2015

Montag, 1. Februar 2016

Hallo,

Genau mein Name!

Tals Anhang finden Sie die Rechnung 903213 vom 01.02.2016.

Die müssen ja auch meinen Namen haben, wenn ich da Kunde bin.

Leider hat der Absender sich zwar eine Rechnungsnummer ausgedacht, aber keine Firmierung der Unternehmung, bei der ich angeblich Schulden habe. Dafür ist die lt. Betreff „Rechnung vom 7. Dezember“ in Wirklichkeit eine Rechnung vom 1. Februar. Wenn der Spammer sich Mühe geben würde, könnte er ja auch gleich arbeiten gehen.

Nettosumme: 325,00.

MwSt: 19,00

Bruttosumme: 386,75

Immerhin kann der Absender einen Taschenrechner bedienen, das kann nicht jeder. Prozentzeichen und Währungsbezeichnungen in einer angeblichen „Rechnung“ tippen kann er hingegen nicht.

Mit freundlichen Grüßen

Carsten Schulz

„Freundlich“ wie die Pest
Ihr Spammer

Kleines Spamkompetenztraining: Was bedeutet wohl die Kombination folgender Merkmale?

Es handelt sich angeblich um eine Rechnung, aber es steht nirgends, wer diese Rechnung stellt, wofür er diese Rechnung stellt und wie man diese Rechnung begleichen kann¹
Obwohl der Empfänger ein Kunde sein muss, wird er nicht persönlich angesprochen
Anstelle richtiger Informationen „darf“ man ein paar kontextlose Zahlen und eine Rechnungsnummer lesen
Alle weiteren Fragen können nur geklärt werden, wenn man den Anhang öffnet

Richtig! Es handelt sich um Schadsoftware im Anhang.

Und wie so häufig, versagt auch diesmal das Antivirus-Schlangenöl in den meisten Fällen. Deshalb ist es auch so wichtig, dass man derartige Spam selbst erkennt und löscht. Generell sind Mailanhänge immer gefährlich und sollten niemals geöffnet werden, wenn ihre Zustellung nicht explizit vorher verabredet war.

Wer Microsoft Windows verwendet und einen Doppelklick auf den Anhang gemacht hat, hat Software von Kriminellen auf seinem Rechner gestartet und jetzt einen Computer anderer Leute auf dem Schreibtisch stehen. Das fast überall installierte Antivirus-Schlangenöl hat diese Übernahme des Computers durch Verbrecher in den meisten Fällen nicht verhindern können.

¹Ich möchte in diesem Kontext kurz daran erinnern, dass in der BRD eine Impressumspflicht für gewerbliche E-Mail besteht, an die sich jeder hält, der sich nicht gern von Mitbewerbern und/oder fragwürdigen Anwälten abmahnen lässt.

Message notification

Sonntag, 31. Januar 2016

Nun, diese Mail…

…kommt nicht von Google. Die Absender haben sich zwar ein bisschen Mühe gegeben, sie so aussehen zu lassen, aber allzuviel Mühe haben sie sich dann doch nicht gegeben, denn sonst hätten sie das aktuelle Logo von Google verwendet¹ und nicht eines, das Google selbst nicht mehr benutzt. Und wenn sich die Spammer nicht nur ein bisschen, sondern richtig Mühe geben würden, dann könnten sie ja auch arbeiten gehen und brauchten nicht zu spammen.

Der Link und der Button führen dann auch erwartungsgemäß nicht zu Google, sondern in die Domain libfin (punkt) by, wo ein Leser mit deaktiviertem Javascript eine weiße Seite zu sehen bekäme. Diese Seite ist mitnichten leer, sondern enthält unsinnigen, vom Computer erzeugten „Text“ und eine vorsätzlich kryptisch formulierte Javascript-Weiterleitung, die nach einer kurzen Verzögerung zur Ausführung der folgenden Javascript-Anweisung führt:

window.top.location.href='http://homesupplementsale.ru';

Wer ein Browser-Addon wie NoScript verwendet und so nicht jeder Website in einem technischen, anonymisierenden Medium das Ausführen von Code im Browser gestattet – was ich wärmstens empfehle – ist hier ans Ende angekommen und auf der sicheren Seite. Ansonsten gibt es die Weiterleitung auf eine Website, deren Fassade wie eine Betrugsapotheke der Machart „Canadian Pharmacy“ aussieht – gegen Erkältungsbeschwerden gibt es dort natürlich keine Hilfe.

Diese Website hat sich im „Web of Trust“ schon einen „beachtlichen“ Ruf erworben, der unter anderem solche Einblicke gibt (Hervorhebung von mir):

Kriminelle Website, die aktiv gefälschte Medikamente verkauft, spammt und Schadsoftware verteilt. Diese kriminelle Website muss in die Blacklists aufgenommen und stillgelegt werden!

Nun, auf den Blacklists ist die kriminelle Website schon. Das ist gut.

Oder so etwas:

Der einzige Zweck dieser Domain/Website ist es, an persönliche und an finanzielle Daten zu kommen, um damit zu betrügen. Eine Spam enthielt einen Link auf eine Website, die offensichtlich in boshafter Weise gecrackt wurde.

Man kann sich jetzt fragen, wie die Spammer auf die Idee kommen, dass eine Nachricht von Google die Bereitschaft des Empfängers erhöhen kann, Pimmelpillen zu kaufen. Das erscheint auch mir sehr unwahrscheinlich. Aber es wird ja auch vor Schadsoftware gewarnt, und auch ohne eingehende Analyse sieht das HTML der Website teilweise sehr verdächtig aus, wie etwa die folgende Zeile:

<img src="a1b4214db9ea8e8c6c9590ebf6e0325863c6.gif?1454249649" alt="" width="0" height="0" /><script type="text/javascript" src="a8bd2a44ce9327e6b8eaeb92899971abfeb9.gif?1454249650"></script>

Niemand, der nichts Übles im Schilde führt, würde eine Javascript-Datei .gif nennen, damit sie wie ein Bild aussieht – von dem auch ansonsten sehr unhandlichen Dateinamen, der jede spätere Pflege der Website erschwert, einmal ganz abgesehen. Der Webserver würde das Javascript ja sonst mit völlig falschem MIME-Type ausliefern, was nur Probleme bereiten kann…

Ich kann es nicht oft genug sagen: NoScript im Browser schützt vor solchen kriminellen Angriffen auf den Browser. Antivirus-Schlangenöl versagt hingegen häufig. Wenn sie bei der täglichen Nutzung des Internet mehr Computersicherheit benötigen oder haben möchten als die von Werbern und Journalisten versprochene „gefühlte Sicherheit“ durch ein Antivirus-Schlangenöl, dann verwenden sie auf jeden Fall einen wirksamen Adblocker (der ausnahmslos alle Ads blockt) und ein Browser-Addon, mit dem sie selbst anderen Websites das Privileg einräumen, Code im Browser auszuführen, statt dieses Privileg von einer Software automatisch an jeden vergeben zu lassen und dabei auf ihr Glück zu hoffen!

Der vom „Journalisten“ völlig unreflektiert und mutmaßlich von Google dafür bezahlt ins CMS übernommene Google-PR-Blah im verlinkten Artikel ist übrigens ein Beispiel für Schleichwerbung, oder, wie Werber und Journalisten (was beinahe zum Selben verkommen ist) diese Leserverachtung neuerdings, damit nicht jeder sofort versteht, wie sein Hirn mit Füßen getreten wird, zu nennen pflegen: „Content Marketing“. Wer so etwas Halbseidenes seinen Lesern zumutet, darf sich nicht darüber wundern, wenn es nichts wird mit seinem Geschäft mit dem Content! Ich sehe derartiges – und manches noch viel deutlichere Beispiel – inzwischen fast jeden verdammten Tag irgendwo, und ich war mehrfach kurz davor, für so etwas eine Kategorie „Schleichwerbung“ in Unser täglich Spam aufzumachen, weil ich diese Form der ungekennzeichneten Reklame für besonders fragwürdig und widerlich halte. Leider lässt es sich fast nie sicher belegen, sondern stets nur begründet vermuten, dass für solche Reklame Geld geflossen ist, und in der Bundesrepublik Deutschland mit ihrem vollumfänglichen Rechtsschutz für beleidigte Leberwürste, der freien Wahl des Gerichts durch den Kläger in Internet-Dingen und der regelmäßig absurden und klägerfreundlichen Rechtsprechung in der Hamburger Dunkelkammer sowie der rechtlichen Grauzone von Pressezitaten unter den Bedingungen des von Verlegern in unbeleuchteten Winkeln des Reichstages herbeilobbyierten „Leistungsschutzrechtes für Presseverleger“ wäre eine Auseinandersetzung mit dieser Unkultur mit einem völlig unkalkulierbaren juristischen Risiko verbunden, das für mich – und für Frank, der mir diesen Server zur Verfügung stellt – potenziell existenzbedrohend ist. Freuen sie sich schon darauf, dass sie in der nächsten Sonntagsrede einer obszönen politischen Selbstfeier hören können, wie wichtig die „Pressefreiheit“ und die „Meinungsfreiheit“ für eine „demokratische“ Gesellschaft sind! Ach!

Diese Spam ist ein Zustecksel meines Lesers E.T.

SFLEX Rechnung

Donnerstag, 28. Januar 2016

Zunächst das Wichtigste: Die Mail, die ich untersucht habe, wurde über eine dynamisch vergebene IP-Adresse aus Tunesien versendet und nicht etwa irgendwo in Freiburg. Sie kommt nicht von der S:FLEX GmbH. Sie wurde von Verbrechern versendet. Mit einem Botnetz aus Computern, die mit Schadsoftware übernommen wurden. Der Absender ist gefälscht. (Es ist übrigens kinderleicht, den Absender einer Mail zu fälschen.) Die Mitarbeiter des Unternehmens, dessen Firmierung und Reputation hier von Kriminellen in den Dreck gezogen wird, tun mir leid, denn sie werden sich heute mit vielen verärgerten Menschen herumschlagen müssen. (Die Website der Unternehmung ist übrigens zurzeit nicht erreichbar, und zwar vermutlich nur wegen der Besuche durch hunderttausende Spamempfänger.) Diese kriminelle Spam hat bereits jetzt einen ordentlichen Schaden angerichtet.

Sehr geehrte Damen und Herren,

vielen Dank für Ihren Auftrag.

Im Anhang erhalten Sie die Rechnung zu unserer aktuellen Lieferung.

Kurzes Spamkompetenztraining! Was bedeutet wohl diese Kombination von Merkmalen:

Die Mail geht angeblich von einem Unternehmen an einen Kunden, die Ansprache ist aber unpersönlich;
der Auftrag, um den es geht, ist nicht genauer beschrieben und völlig unklar;
es gibt dazu eine Rechnung, aber irgendwelche wichtigen Angaben zum Rechnungsbetrag, zur Bankverbindung, zum Zahlungsziel fehlen im Text der Mail, als ob es dort keinen Platz mehr gäbe; und
alles weitere kann nur dadurch geklärt werden, dass ein Mailanhang geöffnet wird?

Bingo! Es handelt sich um eine Spam, an der eine Schadsoftware hängt. Der Anhang wird das reinste Gift sein. Es handelt sich diesmal um ein Word-Dokument¹…

$ file xxxxxx.doc | sed 's/, /\n/g'
xxxxxx.doc: Composite Document File V2 Document
Little Endian
Os: Windows
Version 6.1
Code page: 1251
Title: functional
Author: Microsoft Office
Template: Normal.dot
Last Saved By: Microsoft Office
Revision Number: 2
Name of Creating Application: Microsoft Office Word
Total Editing Time: 01:00
Create Time/Date: Thu Jan 28 05:44:00 2016
Last Saved Time/Date: Thu Jan 28 05:44:00 2016
Number of Pages: 1
Number of Words: 1
Number of Characters: 10
Security: 0
$ _

…dessen Text aus einem einzigen Wort auf einer Seite besteht – diese vorgebliche „Rechnung“ enthält also nicht einmal die Aufforderung „Geld her“, die schon zweier Worte bedarf. Im Dokument ist ein Makro, das einen Installer für kriminelle Schadsoftware nachlädt und ausführt.

Es handelt sich um aktuelle Schadsoftware, die zurzeit von den meisten Antivirus-Programmen noch nicht erkannt wird. Deshalb ist es so wichtig, derartige Spam selbst zu erkennen und niemals auf die Idee zu kommen, einen Anhang einer Spam zu öffnen. Generell sollten Mailanhänge mit äußerster Vorsicht behandelt werden, denn dabei handelt es sich um einen der Hauptverbreitungswege für die höchst asoziale und kriminelle Schadsoftware-Pest der spammenden Verbrecher.

Und wie schon gesagt:

Mit freundlichen Grüßen

Michael Dietrich
Projektleiter Gestelltechnik

S:FLEX GmbH Freiburg
Sasbacher Str. 7
79111 Freiburg

Tel.: +49 (0) 761 888 5xxx 54
Fax: +49 (0) 761 888 5xxx 39
Mobil: +49 (0) 173 70 70 xxx
m (punkt) dietrich (at) sflex (punkt) com
www (punkt) sflex (punkt) com

Der Absender der Spam ist gefälscht und die Angaben unter der Mail – ich habe die Telefonnummern mal unkenntlich gemacht, weil dort momentan Menschen kurz vorm Nervenzusammenbruch an der Leitung hängen werden – haben ebenfalls nichts mit dem Absender zu tun. Es gibt keine Möglichkeit, den wirklichen Absender dieser kriminellen Belästigung zu erreichen, denn dieser bevorzugt aus naheliegenden Gründen die Anonymität. Strafanzeigen wegen versuchter Computersabotage nimmt die Polizei oder Staatsanwaltschaft entgegen, aber die Ermittlungsaussichten sind… ähm… nicht so toll. Aber irgendwann macht auch dieses Pack mal einen Fehler…

Nachtrag: Inzwischen ist die Website der S:FLEX GmbH wieder erreichbar. Ich lege den dort Verantwortlichen nahe, einen deutlichen Hinweis auf die Spam auf ihrer Startseite zu platzieren, um Empfänger zu warnen und die betrieblichen Kräfte auf gewinnbringendere Dinge als eine Flut von Rückfragen auszurichten. Im Moment (15:10 Uhr) ist das nicht der Fall. (Aber ich kann mir gut vorstellen, was dort gerade los ist! Das kleine Serverchen, auf dem Unser täglich Spam läuft, steht jedenfalls wegen dieser einen Spam ordentlich unter Last.)

¹Im originalen Dateinamen ist ein Name enthalten, deshalb die Unkenntlichmachung.