Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Was ist denn das für Schadsoftware?

Freitag, 22. November 2013

Eine Frage, die immer wieder einmal aufkommt, lautet: Was ist denn das für Schadsoftware, die an die Mail gehängt wurde; was passiert denn, wenn ich die Datei im Anhang öffne?

Diese Frage zu beantworten ist selbst für einen Experten schwieriger, als die meisten Menschen glauben möchten, denn…

  1. …ist Schadsoftware oft vorsätzlich so geschrieben, dass eine Analyse erschwert wird, und
  2. …besteht moderne Schadsoftware aus einem oft nur kleinen Programm, das vorhandene Sicherheitsmechanismen aushebelt und weitere Komponenten aus verschiedenen Internet-Quellen nachlädt.

Der einfachste Weg ist es, die Schadsoftware in einer Wegwerf-Installation zu starten, den Netzwerkverkehr zu überwachen und hinterher zu schauen, welche Teile des Betriebssystems verändert wurden und was bei der Nutzung des kompromittierten Computers passiert – also genau das zu tun, was ein Opfer tun sollte. Das Landeskriminalamt Niedersachsen scheint sich bei den umlaufenden „Rechnungen“, „Mahnungen“, „Bestellbestätigungen“, „Lieferscheinen“ etc. mit Schadsoftware-Anhang einmal genau diese Mühe gemacht zu haben:

Die Schadsoftware, die diese Kette an Aktionen ausgelöst hat, stammt aus einer E-Mail, die eine angebliche Rechnung als Dateianhang beinhaltete

Wer sich mal gruseln möchte, lese bitte einfach beim LKA Niedersachsen weiter. Hoffentlich kuriert diese Lektüre von jeder Leichtfertigkeit im Umgang mit E-Mail.

Ich kann es nicht oft genug sagen: Mailanhänge in geschäftlicher E-Mail stinken!

Es gibt keinen objektiven Grund für ein Unternehmen, inhaltlich nichtssagende (aber im Falle von Spam dabei meist alarmierend formulierte) Mail zu schreiben, um alle relevanten Informationen zur angeblichen Sache erst im Anhang zu offenbaren. Im Kommentarthread zu einer relativ frühen angeblichen „Mahnung“ dieser kriminellen Masche finden sich viele Zitate aus derartigen Spams, und beim Überfliegen sollte jedem klar werden, was ich mit dem Wort „inhaltlich nichtssagende Mail“ meine: Alle wichtigen Informationen befinden sich angeblich im Anhang, in der Mail stehen nur bedeutungslose Nummern.

Ein Anwaltsschreiben – das ist eine beliebte Angst-Masche der Spammer – kommt übrigens immer auf rechtssicherem Weg mit der Sackpost und wird bestenfalls vorab zur Information per E-Mail zugestellt, wobei halbwegs seriöse Rechtsanwälte darauf achten, dass immer im Textkörper der eigentlichen E-Mail eine Telefonnummer für eine eventuelle Rückfrage angegeben wird.

Wenn der Anhang ein ZIP-Archiv ist, in dem sich ein „Dokument“ befindet, sollte Alarmstufe Rot herrschen! Im Zweifelsfall nicht öffnen! Auch nicht vom Absender verblenden lassen, denn die Absenderadresse einer E-Mail kann sehr leicht und völlig beliebig gefälscht werden. Wenn es sich um Unternehmen handelt, mit denen man bislang nichts zu tun hatte, handelt es sich praktisch immer um Spam, die unbesehen gelöscht werden sollte. Wenn eine derartige Mail doch einmal plausibel erscheint – etwa, weil man wirklich etwas bestellt hat oder dort Kunde ist – lieber einmal telefonisch nachfragen, ob die Mail echt ist, bevor Anhänge aus einem ZIP-Archiv geöffnet werden.

Ein einziger unbedachter Klick kann sehr schnell erheblichen Ärger nach sich ziehen, von dem man monatelang „etwas hat“. Und natürlich ist das manipulierte Online-Banking nur eine mögliche Schadfunktion von vielen, wenn auch vermutlich oft die teuerste für die Betroffenen…

Und nein: Antivirusprogramme helfen nicht gegen die aktuellen Schädlinge, sondern nur gegen Schadsoftware, die bei den Antivirus-Unternehmen schon bekannt ist. Bei dieser Form der Spam ist das Antivirusprogramm oft vollkommen wirkungslos. Dies gilt auch, wenn die Kriminalpolizei auf der verlinkten Seite ihren in diesem Kontext ungeeigneten Textbaustein eingefügt hat¹. Der beste Virenschutz ist BRAIN.EXE

¹Ein Tipp, den die Kriminalpolizei nicht gibt, der aber viel wirksamer als die „gefühlte Sicherheit“ durch Antivirus-Schlangenöl ist: Einfach ein anderes Betriebssystem als Microsoft Windows benutzen! Das kostet kein Geld, und ist zurzeit die beste Abwehr gegen alle Schadsoftware, die mir bislang untergekommen ist.

MMS 20.11.2013

Mittwoch, 20. November 2013

Achtung: Diese Spam hat nichts mit einer FRITZ!Box zu tun.

Der gefälschte Absender der Spam nennt sich „FRITZ!Box“ mit der angeblichen Absenderadresse noreply (at) mms (punkt) eplus (punkt) de, und die Mail ist auch ganz kurz:

20112013CMMS

Sehr informativ! 😀

Die Mail hat als Anhang ein ZIP-Archiv, in dem eine ausführbare Datei für Microsoft Windows liegt, die direkt von kriminellen Spammern unter Vortäuschung eines falschen Eindrucks zugestellt wurde – es ist nicht erforderlich, die Gattung dieser Software noch weiter einzugrenzen.

Die Schadsoftware ist hochaktuell und deshalb brandgefährlich. Sie wird zurzeit von weniger als zehn Prozent des gängigen Antivirus-Schlangenöls als Schadsoftware erkannt. Wer die .exe-Datei auf seinem Windows-Rechner ausführt, hat hinterher einen Rechner anderer Leute auf dem Schreibtisch stehen, und sein Antivirus-Schlangenöl kann nichts tun, um das zu verhindern.

Deshalb sollte man solche billig gemachte und durchschaubare Spam ja auch selbst erkennen und derartige Drecksmails einfach löschen… 😉

Fax von 04589016238

Mittwoch, 13. November 2013

Der Absender nennt sich FRITZ!Box und gibt als (gefälschte) Absenderadresse eine obskure Mailadresse in der Domain online (punkt) de an. In den sechs Exemplaren, die es in mein Postfach „geschafft“ haben, wurde die Spam jeweils über eine dynamische IP-Adresse der Deutschen Telekom versendet, also mit an Sicherheit grenzender Wahrscheinlichkeit von einem Privatrechner, der mit Schadsoftware übernommen wurde.

Diese Mails kommen also nicht aus einer FRITZ!Box. Das merkt man allerdings auch daran, dass sie bei mir ankommen, obwohl ich keine FRITZ!Box habe.

Dafür, dass der Schrott sechsfach im verrotteten Pack kam, ist er allerdings recht wortkarg:

Fax von 04589016238

Großes Kino! Irgendeine Ziffernfolge soll ein Fax gesendet haben, ist aber offensichtlich unfähig, einfach mal anzurufen, wenn die Telefonnummer schon bekannt ist.

Das „Fax“ ist ein ZIP-Archiv mit einer .exe-Datei. Es handelt sich nicht um ein Dokument, sondern um eine ausführbare Datei für Microsoft Windows, zugestellt von Typen, die Privatrechner mit Schadsoftware übernehmen und zu Zombies für den Spamversand umbauen. Was passiert, wenn man diese Software ausführt, sollte auch einem Menschen eingeschränkten Abstraktionsvermögens klar sein. Kleiner Tipp: Es werden keine Einhörner auf Wolken aus Feenstaub herantraben.

Erfreulicherweise wird die Schadsoftware von mehr als der Hälfte der gängigen Antivirus-Programme erkannt. Von etwas weniger als der Hälfte hingegen nicht – und deshalb ist es in jedem Fall wichtig, dass man Spam selbst als solche erkennt. In diesem Fall ist es einfach: Ein angebliches Fax, das aus einer ausführbaren Datei in einem ZIP-Archiv besteht, ist etwa so glaubwürdig wie ein Brief, der als Paket kommt und die tickenden Geräusche einer Zeitbombe von sich gibt… 😉

Ihr Vodafone-Anschalttermin: 001252900800

Dienstag, 5. November 2013

Nein, diese Mail kommt nicht von Vodafone. Es sei denn, Vodafone versendet seine Mails neuerdings über dynamisch zugeteilte IP-Adressen eines taiwanesischen Telekom-Unternehmens…

Aber auch, wer nicht in die Header der Mail schaut, wird schnell bemerken, dass hier etwas nicht stimmt. Zum Beispiel an der genialen Ansprache:

Lieber,

Kann man sich mal wieder gar nicht selbst ausdenken! :mrgreen:

vielen Dank für Ihren Auftrag. Dieser befindet sich zur Zeit in Bearbeitung. Alle weiteren Details finden Sie in der PDF-Datei im Anhang.

Vielen Dank für einen Auftrag, über den in der Mail nichts gesagt werden kann, aber dafür in einem Mailanhang. Warum es möglich ist, die Details in den Mailanhang zu schreiben, aber dafür nicht einmal eine Andeutung in die eigentliche Mail, bleibt das sahnige Geheimnis der spammenden Idioten, die sich hier Vodafone nennen.

Zum Lesen und Ausdrucken benötigen Sie den Adobe Acrobat Reader.

Nun ja… wie beim kriminellen Spammern, die sich vor Spamfiltern verstecken müssen üblich ist der Anhang ein ZIP-Archiv, und dafür braucht man erst einmal so etwas wie einen Archivmanager, um überhaupt an die darin verpackte Datei kommen zu können. Diese Datei hat einen Dateinamen, der auf .pdf.exe endet, ist also eine ausführbare Datei für Microsoft Windows, die so tut, als handele es sich um ein PDF. Es handelt sich also sicher um Schadsoftware, die von Kriminellen untergeschoben wurde. Zurzeit wird diese Schadsoftware nur von rund einem Drittel der gängigen Antivirus-Programme als das erkannt, was sie ist, und zu dieser schlechten Erkennungsrate kommt es, obwohl bereits der Dateiname deutlich macht, dass hier ein falscher Eindruck vom Wesen der Datei erweckt werden soll. Es gibt nämlich keinen sachlichen Grund, Dateien so irreführend zu benennen…

Falls Sie das Programm nicht auf dem Rechner haben, können Sie es hier kostenlos herunterladen:

http://www.adobe.de/products/acrobat/readstep2.html

Übrigens in der Originalmail mit Links, die nicht funktionieren. (Die Links weisen alle mit einem relativen Pfad auf eine lokale Datei und enthalten die Internetadresse als GET-Parameter. Das sieht danach aus, dass die Verbrecher beim Schreiben ihrer Strunztexte so etwas wie einen lokalen Referer-Entferner verwenden, um keine verwertbaren Spuren bei den verlinkten Sites zu hinterlassen. Ganz schön doof, wenn diese Vorrichtung dann vorm Versand der Drecksspam nicht wieder entfernt wird, so dass die Empfänger wegen der unbenutzbaren Links in der Drecksspam skeptisch werden können. Aber gut, dass Spammer überwiegend so doof sind, denn sonst wäre der Schaden, den sie anrichten, noch wesentlich größer.)

Bitte berücksichtigen Sie, dass dies eine automatisch erstellte E-Mail ist und Sie über diesen Weg keine weitere Anfrage oder Antwort an uns richten können. Wenn Sie uns antworten möchten, nutzen Sie bitte die Kontaktmöglichkeiten auf http://dsl.vodafone.de.

Übrigens, unter http://www.vodafone.de/meinvodafone können Sie rund um die Uhr unseren kostenlosen Online-Kundenservice erreichen. Testen Sie einfach und bequem die vielfältigen Möglichkeiten:

  • Informieren Sie sich über unsere Produkte, Tarife oder Ihre Rechnung.
  • Fragen Sie den Bearbeitungsstand Ihrer laufenden Aufträge ab.
  • Verwalten Sie selbst ihre Kunden- und Zugangsdaten.
  • Nutzen Sie bei Fragen die umfangreiche Hilfefunktion.

Immerhin wissen die Spammer, wie man mit der Zwischenablage umgeht. Was sie aber zu nicht wissen scheinen, ist…

Melden Sie sich einfach mit Ihrem persönlichen Online-Benutzernamen und Ihrem Online-Passwort an!

…dass jemand, der einen Account bei Vodafone hat, genau weiß, dass Vodafone ihn anders als „Lieber“ ansprechen kann.

Mit freundlichen Grüßen

Ihr Vodafone-Team

Mit mechanischem Gruß: Ihre Identitätsdiebe, Betrüger und Spammer.

Und ich kann es gar nicht oft genug sagen: Jedes ZIP-Archiv, das an eine E-Mail angehängt wurde, stinkt. Das gilt in besonderer Weise in vorgeblich geschäftlicher E-Mail ohne persönliche Ansprache, aber nicht nur dort. Wer sich auch nur eine Spur unsicher ist, sollte lieber zum Telefon greifen und nachfragen, ob diese Mail wirklich versendet wurde. Diese drei Minuten Mühe sind deutlich erträglicher als der teilweise monatelange Ärger mit den Folgen manipulierter Online-Kontoführung, abgegriffener Passwörter, missbrauchter Identität und kriminell verwendeter Internetleitung. Zwei Drittel der „Antivirusprogramme“ wären bei dieser Spam wirkungslos gewesen, selbst, wenn sie regelmäßig aktualisiert wurden. Deshalb immer auch den besten Schutz vor Kriminalität verwenden: Das im Menschen eingebaute, äußerst preiswerte und zuverlässige Gehirn. 😉

Documents

Dienstag, 5. November 2013

Diese Müllmail kommt mit dem gefälschten Absender info (at) amadeus (punkt) com und erfreut beim Lesen damit, dass der Absender auf jeden weiteren Text verzichtet hat. Der gesamte Text der Mail besteht aus einem einzigen Leerzeichen. 😉

Das ist gut, denn so bleibt mir der Kopfschmerz beim Lesen eines idiotischen Textes erspart.

Weniger gut ist, dass da ein Anhang dranhängt. Es handelt sich um ein ZIP-Archiv mit dem Dateinamen DOCS.zip, das eine einzige Datei mit dem Namen DOCS.exe enthält.

Diese ist natürlich kein Dokument oder so etwas, sondern eine direkt ausführbare Datei für Microsoft Windows, die von einem asozialen, kriminellen Spammer mit gefälschtem Absender zugestellt wurde. Mehr muss dazu eigentlich schon nicht mehr gesagt werden. Wer dieses ZIP-Archiv entpackt und die angehängte Datei doppelklickt, um sie auszuführen, hat verloren und hinterher einen Computer anderer Menschen auf seinem Schreibtisch stehen.

Dieser Sondermüll wird zurzeit von weniger als einem Drittel der Antivirus-Programme als Schadsoftware erkannt. Zum Glück ist die Erkennung durch einen Menschen in diesem Fall relativ einfach.

Jedes ZIP-Archiv, das an eine E-Mail angehängt wurde, stinkt – und besonders markant, wenn es unabgesprochen von irgendwelchen Unbekannten oder in einer vorgeblich geschäftlichen Mail zugestellt wurde.

Foto und Video MMS

Donnerstag, 24. Oktober 2013

Dieser gefährliche Müll kommt mit Absendern @t-mobile (punkt) de, aber natürlich ist dieser Absender gefälscht.

Absender: +4916001793165

MMS:

Tja, unter MMS ist ein leeres Kästchen. Da muss mir der freundliche Spammer auch gleich mal erklären, was eine MMS ist und wieso zum Henker ich die bekommen kann, obwohl ich gar kein Handy benutze, sondern meine Mail abhole:

MMS empfangen – auch per E-Mail

Brieftauben empfangen, auch per Telefon.

< Bis zu 1000 Zeichen Text je MMS

Toll, das muss dieser Fortschritt sein, dass man jetzt E-Mail über eine ungeeignete Schnittstelle schreiben kann, und dazu auch noch Einschränkungen hat.

< E-Mailadressen oder ins Telekom Festnetz bis 300 KB

Dieser Satz oder ab Hauptbahnhof Hannover kein Verb und kein Sinn.

< Der Empfang von Foto und Video MMS im Inland ist kostenlos. Wenn Sie eine MMS an eine E-Mail senden, erhält der Empfänger eine E-Mail mit Anhang
2). Falls der Empfänger kein MMS-fähiges Handy besitzt, kann er Ihre Nachricht auf der Website www.mms.t-mobile.de abholen und auch weiterleiten
2). Den nötigen Link und das individuelle Passwort auf der Website erhält er per SMS.

So kommen wir zweimal zu zweitens, denn doppelt hält ja bekanntlich besser. Aber ich habe gar nicht vor, überteuert Medien über ein Händi zu versenden, sondern ich habe eine Drecksmail erhalten. Schon dumm, wenn ein Idiot von Spammer sich den Text der Spam von irgendwo zusammenkopiert und nicht einmal genug Deutsch kann, um zu bemerken, dass sein hirnloses Gestammel nicht den geringsten Sinn ergibt.

Was gar nicht klar wird, wenn man diesen faden Sprachbrei liest, ist, dass die Spam auch noch einen Anhang hat. Der soll offenbar die angebliche MMS sein. Wie üblich handelt es sich um ein ZIP-Archiv, und darin liegt eine Datei mit der Namenserweiterung .jpg.exe, also eine von Spammern zugestellte ausführbare Datei für Microsoft Windows, die versucht, so zu tun, als sei sie ein JPEG-Bild. Was davon zu halten ist, sollte allein aus dieser Beschreibung klar werden. Wer diese EXE ausführt, weil er ein Bild betrachten möchte, das von einer unbekannten Person über ein obskures Verfahren zugestellt wurde und mit einer merkwürdigen Mail angekommen ist, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen.

Die Schadsoftware wird zurzeit von weniger als der Hälfte der gängigen Antivirus-Programme als Schadsoftware erkannt. Immer noch sind die Hersteller und Verkäufer von Antivirus-Programmen der Meinung, dass es legitime Gründe geben kann, eine ausführbare Datei für Microsoft Windows über einen irreführenden Dateinamen als ein anderes Dateiformat zu tarnen – eine an sich sehr primitive Masche in der Spam, die bereits seit Jahren läuft. Oder anders gesagt: Die Anwender der Antivirus-Programme mit ihrem Schutzbedürfnis bei der Computernutzung sind den Herstellern und Verkäufern der Antivirus-Programme so gleichgültig, dass einfachste Muster, die nur zur Irreführung von Menschen dienen können und die von Verbrechern seit Jahren zur Irreführung von Menschen benutzt werden, beim angeblichen „Scan“ nicht berücksichtigt werden.

Wer trotzdem auf dieses Schlagenöl vertrauen will, der vertraue! Leider ist Dummheit nicht verboten. (Sonst würden auch ganze Geschäftsmodelle zusammenbrechen.)

Noch so eine Mail

Der Unsinn mit den MMS-Nachrichten per E-Mail, die in einem Anhang Schadsoftware enthalten, kommt gerade massiv zurück – ich habe sehr viel von dieser Spam im Sieb.

Natürlich gibt es derartige Spam auch in mies… also ohne den Versuch, einen erläuternden Text reinzuschreiben. Etwa so wie dieses Prachtexemplar der Gattung Inhaltsleer vom gefälschten Absender noreply (at) mms (punkt) eplus (punkt) de mit dem tollen Betreff „MMS“:

24102913AXCPERNM

„In einer solchen Mail möchte man doch sofort herumklicken“, scheint sich der völlig enthirnte Verbrecher bei seiner Idee gesagt zu haben. Der Anhang ist wieder ein ZIP-Archiv, in dem sich eine ausführbare Datei für Microsoft Windows befindet, die nicht einmal versucht, mit einer Fake-Extension wie etwas anderes auszusehen – aber das Icon erweckt natürlich den Eindruck einer Bilddatei. Diese Schadsoftware wird zurzeit nur von einem guten Zehntel der gängigen Antivirus-Programme als Schadsoftware erkannt. Gut, dass es ein handelsübliches Gehirn in einem solchen Kontext viel leichter hat… 😉

Ich kann es aber dennoch nicht häufig genug sagen: Mails mit einem ZIP-Archiv im Anhang stinken. Unverlangt zugestellte Mails mit Anhang sollten nur noch mit der Kneifzange angefasst werden, und auch bei verabredeten Mails ist eine gewisse Restvorsicht angemessen, so etwas wie eine kleine Rückfrage, bevor darin rumgeklickt wird – vor allem, wenn das ZIP-Archiv überflüssigerweise benutzt wird, um eine einzelne Datei in einem schon komprimierenden Format wie JPEG, PDF oder dergleichen zu transportieren.

MMS

Donnerstag, 10. Oktober 2013

Ja, das war der Betreff dieser Mail mit dem gefälschten Absender mms (punkt) t (strich) d1 (punkt) de. In Wirklichkeit stammt diese Spam von einer dynamisch vergebenen IP-Adresse aus Italien, also von einem mit Schadsoftware übernommenen Privatrechner.

091013YZMPGPLUS

Ja, das war der Text der Mail.

Aber nein doch, es war nicht die ganze Mail. Da ist noch ein Anhang. Dieser besteht – wie üblich in der Schadsoftware-Spam – aus einem ZIP-Archiv, in dem eine ausführbare Datei für Microsoft Windows liegt. Und auch, wenn dieser Hinweis langweilt: Es handelt sich um eine aktuelle Schadsoftware, die zurzeit von der Hälfte der Antivirus-Programme nicht als solche erkannt wird. Deshalb verlässt man sich nicht auf sein Antivirus-Schlangenöl und löscht seine Spam unbesehen.

Zumindest das fällt in diesem Fall leicht… 😉

foto 20131007

Montag, 7. Oktober 2013

Eine mir völlig unbekannte 885jannie (at) web (punkt) de überrascht mich mit der kürzesten Spam des heutigen Tages:

Sent from my iPhone

Ist ja schön, unbekannte „Jannie“, dass du dein Geld für eine entrechtenden Taschencomputer von Apple aus dem Fenster wirfst, aber deshalb musst du mir doch nicht gleich solche Mails schreiben, in denen gar nichts drin steht. Oder verlernt man das mit dem schriftlichen Ausdruck, wenn man wieder wie ein kleines, der Sprache nicht mächtiges Kind nicht spricht, sondern mit seinem Fingern direkt nach den Dingen greift, die man haben möchte und wenn man ansonsten nur viele bunte Bilder in einem displaykleinen Kleinkindzimmer hin-und-herschiebt?

Ach, da ist ja noch ein Anhang dran, „Jannie“.

Mit einem ZIP-Archiv, in dem eine Datei liegt, deren Namen auf .jpeg.exe endet, also mit einer ausführbaren Datei für Microsoft Windows, die von kriminellen Spammern zugestellt wurde.

Und damit sich dieser Angriff auf einige zehntausend Privatrechner auch lohne, erkennt nur ein Fünftel der gegenwärtigen Antivirus-Programme deine Schadsoftware.

Komm, „Jannie“, das ist zwar kein Foto, aber es gibt einen besseren Eindruck von dir, als jedes Foto es vermöchte… :mrgreen:

Dein dich „genießender“
Nachtwächter

PS: ZIP-Archive in Mailanhängen stinken! Immer!

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.