Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Word“

Euromaster – Rechnung – 04862971 – 11.12.2015

Samstag, 12. Dezember 2015

Es gibt so unfassbar viel davon im Moment… und nein: diese Mail kommt nicht von einer „Euromaster GmbH“, diese Mail ist eine kriminelle Spam.

Sehr geehrte Damen und Herren,

anbei Ihre online Rechnung 04862971 vom 11.12.2015 über 489,40 €.

Bei Rückfragen wenden Sie sich bitte an Ihren zuständigen EUROMASTER Experten oder senden Sie eine E-Mail an: **** [sic!]

Wir freuen uns auf eine weiterhin erfolgreiche Zusammenarbeit und verbleiben mit freundlichen Grüßen

Ihre EUROMASTER Experten für Reifen, Räder und Autoservice


Euromaster GmbH
Mainzer Straße 81
67657 Kaiserslautern

Hier das kleine Spamkompetenztraining von Unser täglich Spam. Was bedeutet wohl diese Kombination von Merkmalen:

  1. Unpersönliche Ansprache eines angeblichen Kunden;
  2. technokratisch-unfreundlicher Tonfall mit vielen Nummern und Daten;
  3. aufrüttelndes Thema, in diesem Fall eine behauptete Geldschuld von immerhin rd. fünfhundert Euro bei einer Unternehmung;
  4. viel Text in der Mail, der nicht sagt, worum es eigentlich geht; und
  5. alle wichtigen Informationen kann man nur herausbekommen, wenn man den Anhang der Mail öffnet?
  6. (In diesem Fall ist das noch von einem peinlichen Fehler bei der Angabe der Mailadresse gekrönt, den sich eine Unternehmung niemals leisten würde.)

Richtig! Es ist Spam und im Anhang liegt Schadsoftware! Einfach löschen und schöneren Dingen zuwenden!

Der Anhang ist eine Datei für Microsoft Word, die ein Makrovirus enthält. Wer dieses Dokument öffnet (und bei aktuellen Office-Versionen: die Ausführung von Makros gestattet), hat hinterher einen Computer anderer Leute auf dem Tisch stehen. Das Gift wird noch nicht von jedem Antivirus-Schlangenöl erkannt. Aber deshalb ja auch das kleine Spamkompetenztraining – denn kein Antivirus-Programm ist bei der Vermeidung von Schadsoftware über E-Mail so gut wie das Gehirn. Spammer wissen das übrigens auch und machen deshalb in ihren Spams gern mal Angst oder erzeugen Gier, weil das Gehirn unter Angst oder Gier nicht mehr gut arbeitet – aber auch das lässt sich relativ einfach mit dem Gehirn erkennen.

Es gilt: Wer niemals einen E-Mail-Anhang eines unbekannten Absenders öffnet (und jede nicht digital signierte Mail als eine Mail mit unbekanntem Absender betrachtet) und ansonsten nur explizit vorher verabredete Mailanhänge öffnet, wird sich mit sehr hoher Wahrscheinlichkeit niemals eine Schadsoftware aus einer Mail einfangen. Ich empfehle dringend, außerdem die E-Mail mit einem Programm wie „Thunderbird“ zu erledigen, das es Spammern sehr schwer macht, klandestines Tracking und andere fiese Techniken anzuwenden und das einen ganz brauchbaren (aber nicht völlig zuverlässigen) lernfähigen Spamfilter hat. Wer sich hingegen blind auf sein Antivirus-Programm verlässt und meint, er könne deshalb naiv und unvorsichtig mit E-Mail umgehen, kann sich darauf verlassen, irgendwann Probleme zu haben.

Hinein geschneit bist du in mein Leben und ich wusste es konnte nur eine geben

Mittwoch, 2. Juli 2014

Schadsoftwarewarnung

Hui, da hat sich aber ein Spammer so richtig die Brust aufgerissen, um die Art von Kälte zu verbreiten, in der er gedeihen kann:

Hinein geschneit bist du in mein Leben und ich wusste es konnte nur eine geben, du nur du ganz allein bist mein wahrer Sonnenschein.

G. Theisen

Der Rest ist ein Anhang. Es handelt sich um ein ZIP-Archiv mit dem lyrischen Namen 9122.zip, in welchem ein einziges Dokument für Microsoft Word liegt. Diese Datei nicht öffnen, es handelt sich mit an Sicherheit grenzender Wahrscheinlichkeit um ein Dokument, das Schadsoftware in Form eines Makros enthält! Diese sehr aktuelle Schadsoftware wird zurzeit von keinem Antivirus-Programm erkannt. (Hier ein Screenshot der Ausgabe von VirusTotal zu Archivzwecken.)

Es lohnt sich übrigens auch nicht, dieses Dokument zu öffnen, denn es ist ausgesprochen inhaltsleer und befriedigt keine Neugierde. Ein schnelles file guignol579.doc im Terminal führt zu folgender Ausgabe¹:

guignol579.doc: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1251, Author: I|R1R3MDT;pj?MB5, Template: Normal.dotm, Last Saved By: I|R1R3MDT;pj?MB5, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Total Editing Time: 04:00, Create Time/Date: Tue Jul 1 17:56:00 2014, Last Saved Time/Date: Tue Jul 1 18:00:00 2014, Number of Pages: 1, Number of Words: 0, Number of Characters: 0, Security: 0

Eine Seite, keine Wörter, keine Buchstaben. Erstellt in vier Minuten. Von einem Autor, der mal kurz in seinen Teller Buchstabensuppe geschaut hat, bevor er einen Namen für seine Word-Registrierung eingibt. Da hat ein Verbrecher nur ganz schnell das Makro mit dem aktuellen Schadcode ins neu geöffente Dokument kopiert und gespeichert. Warum sollte er sich auch noch Mühe geben, wenigstens den Anschein eines echten Dokumentes zu erwecken? Wenns geöffnet wurde, hat er doch schon gewonnen…

Schlangenölwarnung

Übrigens ist das bereits meine zweite Spam mit einem leeren Word-Dokument als Anhang, die erste habe ich vor zwei Wochen empfangen. Es scheint den Herstellern von Antivirus-Programmen nicht in den Sinn gekommen zu sein, eine einfache Regel der Marke „Ein ZIP-Archiv, in dem ein bearbeitetes, aber leeres Office-Dokument liegt, ist gefährlich“ zu formulieren. Warum sollten sie auch?! Sie haben ja auch jahrelang keine Regeln für die sehr primitiven Dateinamenstricks der Marke .pdf.exe formuliert, und das war viel einfacher. Oder anders gesagt: Den Herstellern von Antivirus-Schlangenöl scheint Computersicherheit egal zu sein. Der Rest ist Reklame ist Lüge, immer wieder wiederholt in einem riesigen medialen Apparat, der Reklamelügen auf jedem nur denkbaren Kanal wieder und wieder wiederholt, bis es auch der Letzte noch glaubt.

Antivirusprogramme sind Schlangenöl. Und wenn man sich darauf verlässt, dass sie funktionieren, sind sie ein sehr gefährliches Schlangenöl – zum Beispiel im Fall dieser Spam.

Wer sich vor der Kriminalität im Internet schützen will, holt sich kein Schlangenöl, sondern ein Betriebssystem, mit dem er sicherer unterwegs ist. Und. Wer sich vor der Kriminalität im Internet schützen will, lernt, Spam selbst zu erkennen – das Gehirn ist der beste Spamfilter überhaupt – und zu löschen und seine Internet-Software so restriktiv wie möglich zu konfigurieren.

²An sich bestimmt file nur den Typ einer Datei, aber zu typischen Datei- und Dokumentformaten werden oft weitere Angaben gemacht.

Gesetzentwurf: 98581108

Mittwoch, 18. Juni 2014

Oha!

Guten Tag,

Wir erinnern Ihnen, dass am 16 Juni 2014 Ihre Schuld 53.31 Euro ist!

Verner Schütt
+49-591-1340-xxx

An der Spam hängt… zum Abwechslung einmal kein ZIP-Archiv mit einer ausführbaren Datei für Microsoft Windows, sondern ein Dokument für Microsoft Word. Ein solches Dokument kann ebenfalls Programmcode enthalten, der beim Öffnen ausgeführt wird, und genau das wird hier der Fall sein. Deshalb öffnet man niemals derartige Mailanhänge.

Es ist aktuelle Schadsoftware, die zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt wird. Zum Glück ist es in diesem Fall für einen Menschen sehr einfach, die Mail als Spam zu erkennen und das damit zu machen, was man mit einer Spam macht: Nach kurzem Druck auf die Löschtaste vergessen.

Übrigens, das Öffnen des Dokumentes lohnt sich überhaupt nicht, es enthält keinen Text. Das habe ich natürlich nicht herausbekommen, indem ich es – etwa in OpenOffice – geöffnet hätte, sondern indem ich es gespeichert habe und an meiner Kommandozeile kurz file gasetz_98581108.doc getippt habe¹, was zu folgender Ausgabe führt:

gasetz_98581108.doc: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1251, Author: xN:.GL]ycfB9Md4 [sic!],, Template: Normal.dotm, Last Saved By: xN:.GL]ycfB9Md4,, Revision Number: 1 [sic!], Name of Creating Application: Microsoft Office Word, Total Editing Time: 01:00 [sic!], Create Time/Date: Mon Jun 9 18:38:00 2014, Last Saved Time/Date: Mon Jun 9 18:39:00 2014, Number of Pages: 1, Number of Words: 0 [sic!], Number of Characters: 0 [sic!], Security: 0

Das ist zugegebenermaßen etwas unübersichtlich in der Ausgabe, aber das Wesentliche wird klar. Dieses Dokument wurde von einem Autor mit dem schönen Namen xN:.GL]ycfB9Md4 verfasst (so nennen wir uns ja alle, wenn wir einen Namen bei der Installation eingeben sollen), es handelt sich um die erste Version dieses Dokumentes, er hat daran genau eine Minute lang gesessen (um den Makrocode mit der Schadsoftware einzufügen) und mit dem Tippen von irgendwelchen zum Lesen ermunternden Buchstaben vor dem Speichern dieses Werkes hat sich der Verbrecher gar nicht erst beschäftigt. Denn wenn er sich Mühe geben würde, könnte er auch gleich arbeiten gehen…

Weil ich so lange kein Makrovirus mehr gesehen habe und sie jetzt doch noch einmal zurückzukommen scheinen, lege ich zum Abschluss mal einen fröhlichen Link auf einen mittlerweile fast fünfzehn Jahre alten Text, den Felix von Leitner – besser bekannt als Fefe – anlässlich des E-Mail-Wurms ILOVEYOU verfasst hat. Ich wiederhole: Der Text ist fast fünfzehn Jahre alt – was man auch daran bemerken kann, dass Netscape noch erwähnt wird. Geändert hat sich seitdem nicht viel. Den herzlich formulierten Dank für diese Zustände bitte an den Softwarehersteller ihres Vertrauens senden…

¹Die Zahlen im Dateinamen sind jedesmal anders.