Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Kryptisches“

uber Ihre Fotos

Samstag, 22. Juni 2013

ist es Ihre Fotos?

Ja, das war der ganze Text des E-Mülls.

Die Welt ist ja voller ungelöster Fragen.

Zum Beispiel die Frage, was dieser Spammer eigentlich vorhatte, woran er aber wegen akuten Hirnmangels gescheitert ist. Vermutlich wollte er mir und ein paar Millionen weiterer Empfänger dieses Drecks eine Schadsoftware reinwürgen.

An der Mail hängt eine sechs Byte [!] große Datei namens fotos.zip, die kein ZIP-Archiv ist. Sie besteht aus den Bytes… moment…

$ od -tx1 fotos.zip
0000000 12 ba e8 ac 16 ac
0000006

Ich werde die Frage, was dieser mit einer dynamisch zugewiesenen IP-Adresse aus Chile spammende Stümper eigentlich wollte, unbeantwortet lassen und mich erfreulicheren Dingen zuwenden. 😉

Der Stümper kann sich unterdessen mal seinem völlig verkackten Skript zuwenden. Vielleicht fällt ihm dabei ja auch noch ein besserer Text für seine gnadenlos dumme Mail ein…

Abt.: Zu doof zum Spammen

Donnerstag, 14. März 2013

Screenshot eines Ausschnitts einer unlesbaren Spam mit völlig zerschossener Zeichencodierung

Hey, Spammer,

wenn du zu doof zum Spammen bist, schließ dich doch bitte einfach ein und wirf den Schlüssel weg. Du kannst echt stolz auf dich sein, denn du hältst bis jetzt den diesjährigen Punkterekord der Bewertung durch SpamAssassin, und ich gehe davon aus, dass du nicht mehr überboten wirst. Denn so mies wie du machts keiner:

 
Content analysis details:   (139.9 points, 8.0 required)

pts  rule name              description
---- ---------------------- --------------------------------------------------
 3.0 RCVD_IN_PBL            RBL: Received via a relay in Spamhaus PBL
                            [118.166.194.136 listed in zen.spamhaus.org]
 3.5 BAYES_99               BODY: Bayesian spam probability is 99 to 100%
                            [score: 0.9997]
 1.5 MIME_BOUND_DD_DIGITS   Spam tool pattern in MIME boundary
 3.2 TVD_RCVD_IP4           TVD_RCVD_IP4
 1.9 TVD_RCVD_IP            TVD_RCVD_IP
 6.5 MSGID_YAHOO_CAPS       Message-ID has ALLCAPS@yahoo.com
 6.5 MSGID_SPAM_CAPS        Spam tool Message-Id: (caps variant)
 8.0 FROM_ILLEGAL_CHARS     From: has too many raw illegal characters
 6.5 SUBJ_ILLEGAL_CHARS     Subject: has too many raw illegal characters
 2.5 RCVD_NUMERIC_HELO      Received: contains an IP address used for HELO
 8.0 HEAD_ILLEGAL_CHARS     Headers have too many raw illegal characters
 0.5 UNPARSEABLE_RELAY      Informational: message has unparseable relay lines
 4.5 FORGED_YAHOO_RCVD      'From' yahoo.com does not match 'Received' headers
 8.5 HTML_IMAGE_RATIO_02    BODY: HTML has a low ratio of text to image area
 2.0 HTML_MESSAGE           BODY: HTML included in message
 2.5 MPART_ALT_DIFF         BODY: HTML and text parts are different
 3.8 TVD_SPACE_RATIO        BODY: TVD_SPACE_RATIO
 6.5 MIME_HTML_ONLY         BODY: Message only has text/html MIME parts
 8.7 HTML_IMAGE_ONLY_16     BODY: HTML: images with 1200-1600 bytes of words
 0.4 MIME_QP_LONG_LINE      RAW: Quoted-printable line longer than 76 chars
 1.7 RCVD_IN_SORBS_DUL      RBL: SORBS: sent directly from dynamic IP address
                            [118.166.194.136 listed in dnsbl.sorbs.net]
 1.0 SUBJECT_NEEDS_ENCODING SUBJECT_NEEDS_ENCODING
 0.1 RDNS_DYNAMIC           Delivered to trusted network by host with
                            dynamic-looking rDNS
 7.0 HTML_SHORT_LINK_IMG_3  HTML is very short with a linked image
 6.8 REPTO_QUOTE_YAHOO      Yahoo! doesn't do quoting like this
 7.0 FORGED_OUTLOOK_HTML    Outlook can't send HTML message only
 6.0 MIME_HTML_ONLY_MULTI   Multipart message only has text/html MIME parts
 6.0 MISSING_MIMEOLE        Message has X-MSMail-Priority, but no X-MimeOLE
 6.8 FORGED_MUA_OIMO        Forged mail pretending to be from MS Outlook IMO

Dafür kriegst du von mir die rostige Spammedaille am fadenscheinigen Band.

Geh sterben, Idiot!

Dein dich genießender
Nachtwächter

Ihr link – �

Montag, 4. März 2013

Wie man die Zeichencodierung im Subject angibt, habe ich noch nicht gelernt.

Hallo ,

Wer sie sind, weiß ich nicht.

Hier ist Ihr Link für das Produkt.

Nur für Mitglieder

Vielleicht sind sie ja Mitglied. Oder mit Glied. Oder sonstwas. Ich bin ein unfähiger Spammer, der allen Ernstes glaubt, dass Katzen im Sack ein total begehrtes Gut sind. Vor allem, wenn die Katzen auch noch gefährlich sind, weil man dafür in einer Spam rumklicken muss. Also klicken sie auf einen komischen Link für ein namenloses Produkt, das ohne jeden Kontext an ominöse Mitglieder offeriert wird!

(Bitte Teilen Sie diesen Link mit NIEMANDEM)

Bitte zeigen sie niemanden anders auf der Welt, was für ein schlechter Spammer ich bin. Außerdem habe ich in den ziemlich kryptischen Link auf eine Website in der Domain exanetba (punkt) com eine Menge lustiger Ziffernfolgen und Sedezimalzahlen aufgenommen. Das merkt bestimmt niemand, dass das eine eindeutige ID ist. Wenn man diese ID ein bisschen verändert, um sich anzuschauen, was es dort gibt, kommt man in eine schier endlose Liste von HTTP-Weiterleitungen innerhalb der gleichen Domain, bis man schließlich bei der Meldung landet, dass der Microsoft IIS für diese Site keine Standardseite anzubieten hat. Manchmal aber auch nicht, weil der Browser vorher wegen der vielen Weiterleitungen abbricht.

Die Domain habe ich erst vor etwas über einem Monat registriert, und natürlich habe ich meine Registrierungsdaten über einen dieser Whois-Verschleierer anonymisiert. Meine eher unerfreulichen Server lasse ich von einem schwedischen Hosting-Anbieter betreiben. Vielleicht zahle ich sogar die Rechnung dafür, wenn meine kriminelle Schrottsite dort lang genug online bleibt.

Menschen, die in die Spam klicken und mir mitteilen, dass die Spam auch ankommt, sehen irgendetwas anderes als diese Standardfehlermeldung. Zum Beispiel eine dieser Schadsoftware-Schleudern, die jede bekannte Sicherheitsschwäche der gängigen Browser einmal durchprobieren, um darüber ein paar frische, neue Trojaner zu installieren, die der Virenscanner noch nicht kennt. Wenn ich auch keine gute Spam schreiben kann, ein bisschen PHP bekomme ich noch hin. Was ich in PHP allerdings nicht hinbekomme, ist die Ausgabe eines richtigen Fehlercodes, wenn jemand die Seite direkt aufruft. Da mir die tieferen Geheimnisse der PHP-Funktion header() und dieses sonderbaren HTT-Protokolls noch nicht offenbar geworden sind, gebe ich keinen HTTP-Statuscode 404 (File not found) zurück, sondern…

HTTP/1.1 200 OK
Date: Mon, 04 Mar 2013 01:03:00 GMT
Server: Apache
Content-Length: 3
Connection: close
Content-Type: text/html

404

…sage einfach echo(404);, während der Webserver an den Browser zurückmeldet, dass alles in Ordnung ist. Aber dass ich ein Stümper bin, hätte man sich ja schon beim Anblick meiner Spam denken können.

Mit freundlichen Grüßen,

Kelly
Kundendienst

Mit mechanischem Gruß

Dein unfähiger Spammer
Angeblicher Kundendienstler bei einer namenlosen und websitelosen Firma, bei der man Mitglied sein muss. Nicht einmal die Ausrede ist gelungen.

To remove yourself from this distribution please visit manage subscription to start the process for email deletion.

GoldenNetworksLimited.com
Beaufort House PO BOX 531, Road Town Tortola, AL 10003

Dies ist eine Spam. Sie bekommen diese Spam ohne Grund. Wenn sie mitteilen wollen, dass sie ankommt, klicken sie einfach in die Spam rein. So sammeln wir Listen von Mailadressen von Menschen, die bereit sind, in eine offensichtliche Spam zu klicken. Das sind gute Opfer. Danke für ihre Mitarbeit. Wenn sie ihre Mailsoftware so konfiguriert haben, dass Bilder aus dem Internet nachgeladen werden, sagt uns der eingebettete Zählpixel, dass Spam unter der angegebenen Adresse ankommt. Auch darüber freuen wir uns sehr.

Die unter der Mail angegebene Anschrift hat nichts mit dem Spammer zu tun.

Diese wirklich schlechte Spam ist ein Zustecksel eines Lesers…

User nachtwaechter

Sonntag, 1. Juli 2012

We guarantee you success with long device. http://www.dvepla.ru/

F5CFE3158E76785984D970B667278FC32F
D1F2CF988F7AF4251E1C6877BE866E41AE59
FA444063EC4B13CF2E22EE50A19B4E8B8CCEE2A8
57A35AE3F7D1A1F1B823E37E8E1709EDF456
8796192F937969CC85ACD5578616DC8
F30A3354421FBA13B847894AAC6DF86AEC0C61
5B1BE61185E1C03D3A1624A2357239A0755
D963E938376495A77AE1C1E21E46BBF50E4B9
DD765592FF0601EB5DC9AAC538135D4FB9AA62A
256804916E266E942D763FBC3120F131B
4860A5F2A7738AA5F2A917337269EE40D84E28
C23A0835768D7227BC7F5EBF9AFC835B1222

Und ich garantiere euch Idioten einen völligen Misserfolg mit euren langen, sinnlosen Folgen sedezimaler Ziffern.

Dear nachtwaechter

Montag, 25. Juni 2012

Oh toll, der hat ja ein Spamskript, das die Zeichenkette vor dem @ nimmt und daraus eine Anrede bastelt, um sie in den Betreff zu stellen. Nur hat er leider…

Visit our shop http://14E869CC.medicxlin.ru/

F0358B02AF2D088030759E062C24ADB95F16
585157921085

…kein Spamskript, das einen vernünftigen Mailtext generieren kann. Ach, was solls, so ein paar sedezimale Ziffern sind ja auch mal was Nettes. Davon fühlt sich bestimmt jeder zum Klicken animiert.

54.875 weitere Informationen

Dienstag, 3. Januar 2012

Natürlich war dieser „Kommentar“ kein Trackback, sondern ein normal verfasster Kommentar. Und was für einer!

Name: Homepage
Homepage: sUHzUwvZ.com

… [Trackback] …

[…]There you will find 54875 more Infos[…]

Wow, 54.875 weitere Informationen gibt es da! Aber so richtig durchgezählt! Worüber informiert wird? Tja, das ist nicht ganz so deutlich, obwohl es vielleicht interessanter als die Anzahl wäre. Ist eben eine Homepage. Und die dafür angegebene Domain existiert gar nicht.

Aber im nächsten Durchlauf wird das Drecksskript bestimmt besser funktionieren. Man muss so etwas ja nicht testen, bevor man es unausgegoren auf das Internet loslässt, da ist ja schließlich genug Platz im Internet. Und wir freuen uns alle über solche Kunstwerke der Spammer. Nicht.

n0u

Montag, 10. Oktober 2011

[Ja, das war der Betreff!]

odk

[Ja, das war die ganze Mail!]

Bitte so weitermachen! Einfach ungetestete Skripten auf das wehrlose Internet loslassen! Wir freuen uns alle über völlig unverständliche Strunzmails. Und Opfer findest du so auch nicht.

Und dann bitte sterben gehen, ja!

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.