Schlagwortarchiv „Schadsoftware“

Samuelkig

Dienstag, 19. Mai 2026

So nannte sich der Spammer mit seiner IP-Adresse aus der Ukraine und seinem etwas besser als der Durchschnitt programmierten Spamskript, der heute nacht um 2:24 Uhr den folgenden Kommentar in einen von mir mitgepflegten Weblog hinterlegen wollte:

Never lose track of a broken link again. From 404s to 500 errors, WebsiteChecker sorts every non-200 response into default.txt and all connection issues into error.txt. It’s the simplest way to maintain a healthy web presence. Try the tool.

[url=https://drive.google.com/file/d/1momrfLx6go432684xeghwjS1DG8xiaHx/view?usp=sharing]Download[/url]
[url=http://comboquiz.com/files_combo/WebsiteChecker.zip]Download2[/url]

Tja, wenn der Spammer in seinem Spamskript vorher überprüft hätte, womit die Website betrieben wird – dass es ein WordPress ist, wird dort genau so wenig wie hier verheimlicht, sondern steht ganz offen im HTML-Quelltext, weil ich grundsätzlich nichts von Security by Obscurity halte – dann hätte er gewusst, dass es sich um ein WordPress handelt und hätte seine giftigen Links nicht in BBCode gesetzt. Denn so etwas wie BBCode wird inzwischen sogar in den primitivsten Spamfiltern für WordPress aussortiert. Weil es nur Spammer machen, niemals denkende und fühlende Menschen.

Dass die Software das reinste Gift sein wird, wenn sie über solche Spamkommentare verteilt wird und entweder aus einer für Spammer erfreulich kostenlosen Cloud oder über gecrackte Websites in obskuren Domains heruntergeladen werden soll, brauche ich hoffentlich nicht weiter zu erwähnen.

Der Spamkommentar ist recht frisch, er ist auch leicht als Spam zu erkennen und sollte bei intelligenzbegabten Menschen sofort die schrillste Alarmklingel aktivieren. Die Schadsoftware – eine 45,2 MiB große, ausführbare Datei für Microsoft Windows – wird recht neu sein, und die meisten Antivirus-Schlangenöle scheitern zurzeit daran, diese Schadsoftware auch als Schadsoftware zu erkennen. Wer sich auf sein Antivirus-Programm verlässt, ist also verlassen und hat nach dem Start des heruntergeladenen Programmes einen Computer anderer Leute auf dem Schreibtisch stehen. Ob es auch wirklich die im Spamkommentar angepriesene Funktion hat, oder ob es einfach nur eine Meldung anzeigt, dass ein Fehler aufgetreten ist, habe ich natürlich nicht untersucht. Ich habe hier weder ein Microsoft Windows, noch habe ich gerade Lust, mit Giftfässern herumzuspielen. Der beste Schutz vor Schadsoftware ist immer noch das Gehirn.

Schadsoftware, die über Kommentarspam in Blogs verbreitet wird, habe ich übrigens lange nicht mehr gesehen. Ich dachte immer, das läuft jetzt nur noch über „Social Media“.

Keine Schadsoftware runterladen!

Mittwoch, 26. November 2025

Ich erwähne es ja eigentlich oft genug: Man braucht in der allgegenwärtigen Barbarei des heutigen Web sowohl einen wirksamen Adblocker, um sich nicht durch Malvertising eine Schadsoftware einzufangen, als auch einen wirksamen Skriptblocker, um den üblichen Javascript-Missbrauch der Kriminellen und der Inhaltevermarkter zu umgehen. Hadmut Danisch hat in seinem Blog ein aktuelles Beispiel dafür, wie Websitebesuchern nach einem Crack einer Website Schadsoftware als „Browserupdate“ aufgedrängt werden soll:

Fallt nicht darauf herein, wenn Euch irgendwelche Webseiten irgendwas anzeigen, auch wenn es wie eine Meldung des Browsers selbst aussieht, dass Euer Browser (oder was auch immer) veraltet sei und dringend ein Update brauche, klicken Sie hier!

Schöne Warnung. Man soll – wohlgemerkt, als „Nur-Anwender“ – also nicht auf etwas hereinfallen, was so aussieht, als sei es eine Warnung des verwendeten Webbrowsers vor einem Sicherheitsproblem. Ich gehe davon aus, dass deutlich über achtzig Prozent der Menschen mit dem Erkennen dieses Angriffs überfordert sind. Denn der Browser präsentiert ja in ganz ähnlicher Form seine echten Sicherheitswarnungen, an die sich genau die gleichen Menschen längst gewöhnt haben. ☹️

Deshalb kann ich bis auf Weiteres nur zwei Dinge empfehlen:

Benutzt einen wirksamen Adblocker, der an der Wurzel verhindert, dass derartige Angriffe über Werbenetzwerke verbreitet werden und euch selbst noch auf Websites begegnen, denen ihr ansonsten vertraut! Solche Angriffe sind nicht so selten, wie ihr glaubt. Und solange Websitebetreiber nicht für die Schäden durch eingebettete Werbebanner in Haftung genommen werden, werden solche Angriffe häufig bleiben.
Benutzt einen wirksamen Skriptblocker, damit nicht jeder Websitebetreiber oder Websitecracker standardmäßig in die Lage versetzt wird, über ein anonymes und technisches Medium beliebigen Code innerhalb eures Webbrowsers auf eurem Computer auszuführen, sondern ihr stattdessen ermächtigt werdet, dieses Privileg selbst einzuräumen, wenn ihr eine Website für vertrauenswürdig haltet.

Beides ist für die wirklich vorgetragenen Angriffe über das Internet wesentlich wichtiger und wirksamer als so genannte „Antivirusprogramme“. Es hilft auch sehr beim Schutz der Privatsphäre vor Ausspähung und Verdatung.

Und nein, ihr könnt euch nicht darauf verlassen, dass sich jemand anders um euren Schutz kümmert. Die Website, auf die Hadmut Danisch Bezug nimmt, wird von Menschen betrieben, die wissen, dass die Website gecrackt wurde und aktuell Schadsoftware verteilt. Dass sie das wissen, bedeutet nicht, dass sie ihre Schadsoftwareschleuder einfach aus dem Web nehmen und den Schaden reparieren. Stattdessen nehmen sie es billigend in Kauf, dass Leser ihrer Website den Schaden haben:

Bevor ich die Seite jetzt aber als Malware-Schleuder hinstelle, habe ich die Redaktion erst einmal angeschrieben und um Stellungnahme gebeten.

Antwort: Wissen wir, wir arbeiten mit Hochdruck dran.

Scheint keine Absicht zu sein. Hört sich eher an, als seien sie gehackt worden, oder habe ihnen ihr Werbedienstleister das eingeschleppt. Ich würde in so einem Fall aber erwarten, dass man die Seite abschaltet, bis man das geklärt und rausgeworfen hat

Dass das eigene Geschäft wichtiger als das Wohlergehen der Menschen ist, mit denen dieses Geschäft erst möglich wird, dürfte innerhalb der gesamten Contentindustrie eine häufige Haltung sein. Vor allem beim Besuch journalistischer Websites stelle ich zu meinem Missvergnügen immer wieder einen beachtlichen Hang zur Verachtung der Leser und ihrer Intelligenz fest.

Deshalb könnt ihr euch nicht darauf verlassen, sondern müsst euch selbst um eure Computersicherheit kümmern. Macht das! Und egal, wie sehr euch Websitebetreiber darum anbetteln: Schaltet niemals eure Adblocker ab, und erlaubt die Ausführung von Javascript nur, wenn es dafür einen konkreten technischen Grund gibt und ihr der Website, auf der das erforderlich ist, auch vertrauen könnt. Dass eine Website behauptet, sie sei ohne Javascript nicht benutzbar, ist kein konkreter technischer Grund, sondern eine Behauptung. Diese Behauptung kann auch auf renommierten Websites, denen viele Menschen vertrauen, eine offene Lüge sein.

New Purchace Order JCPlastics 1010025

Montag, 13. Oktober 2025

Muss ja sehr wichtig sein. Da ist eine Nummer drin. Und der (bei mir eigentlich recht scharf eingestellte) Spamfilter hat aus unerfindlichen Gründen auch nichts auszusetzen gehabt, sondern die Spam einfach durchgelassen.

Von: JCPLASTICS <veronica.padilla@jcplastics.com.mx>
An: admin@tamagothi.de

Und nicht nur das: Die Mail geht auch an eine ganz besondere Mailadresse… wie ich sie niemals für normale Kommunikation verwenden würde. Da sieht man mal, wie wichtig es ist. Was ist es nur, dieses „es“? 🤔️

Leider enthält die Spam kein Wort Text. Keine Begrüßung, kein Abschied, nichts. Natürlich auch kein Mailimpressum oder irgendeinen Hinweis, um was es geht. Alles, was es darin gibt, ist ein Anhang. Dieser ist eine HTML-Datei…

$ file NEW\ ORDER\ 1010025.html 
NEW ORDER 1010025.html: HTML document, ASCII text, with very long lines (9000), with CRLF line terminators
$ sed -n 15,41p NEW\ ORDER\ 1010025.html
<script>
(function (b, f) {
    var u = {
            b: 0×20b,
            f: 0×1ec,
            g: 0×218,
            h: 'UPQO',
            i: '9I9@',
            j: 'Jo94',
            k: 0×21a,
            l: 'qbQZ',
            m: 0×1cf,
            v: 0×21c,
            w: 'cjQA',
            x: 'uPsR'
        }, n = d, g = b();
    while (!![]) {
        try {
            var h = -parseInt(n(u.b, 'oIQY')) / 0×1 + parseInt(n(u.f, '&FUQ')) / 0×2 + parseInt(n(u.g, 'V66o')) / 0×3 * (-parseInt(n(0×1c9, u.h)) / 0×4) + parseInt(n(0×1ce, u.i)) / 0×5 + parseInt(n(0×1ff, u.j)) / 0×6 * (-parseInt(n(u.k, u.l)) / 0×7) + -parseInt(n(u.m, '*4HT')) / 0×8 + -parseInt(n(u.v, u.w)) / 0×9 * (-parseInt(n(0×1d7, u.x)) / 0xa);
            if (h === f)
                break;
            else
                g['push'](g['shift']());
        } catch (i) {
            g['push'](g['shift']());
        }
    }
$ _

…mit vorsätzlich extrem kryptisch formuliertem Javascript, das jede Analyse erschweren soll. Was ich da eben gezeigt habe, ist nur ein kleiner Ausschnitt, und eigentlich noch ein halbwegs verständlicher. Der größte Teil sieht eher noch schlimmer aus. Kein Mensch würde so coden, wenn er nicht etwas zu verbergen hätte.

Ich kann nur dringend empfehlen, diesen Anhang nicht zu öffnen. Denn sonst bekommt man schnell einen „Sicherheitscheck“ seines Computers durch Kriminelle, und wenn dabei ausbeutbare Lücken im Betrübssystem oder im Browser gefunden werden, gibts eine aktuelle Kollektion von Schadsoftware. Für das Antivirus-Schlangenöl würde es so aussehen, als wenn eine lokale Datei geöffnet wurde, und da wird dann auch öfter mal nicht ganz so energisch geprüft, um den vom Antivirus-Schlangenöl eh schon stark ausgebremsten Computer nicht noch lahmer werden zu lassen. VirusTotal findet zwar im Moment noch keine Schadsoftware, aber das Antivirus-Schlangenöl hinkt den laufenden kriminellen Machenschaften immer ein paar Tage hinterher, und diese Spam ist ganz frisch und eben erst angekommen. Besser und wichtiger als jedes Antivirus-Schlangenöl ist ein funktionierendes Gehirn, das sofort bemerkt, dass diese Mail stinkt und sie einfach löscht.

Für Genießer – nein, ich habe keine Lust, das alles in meiner virtuellen Maschine für solche Zwecke noch weiter zu analysieren: Es werden mindestens die folgenden Domains und IP-Adressen kontaktiert, um nach Hause zu telefonieren und Zeugs aller Art nachzuladen, während man sich ungläubig das harmlos und statisch aussehende Browserfenster anschaut.

edge-mobile-static.azureedge.net
business.bing.com
goodmuzikz.com
kit.fontawesome.com
aadcdn.msftauth.net
code.jquery.com
logo.clearbit.com
i.gyazo.com
ip-api.com
clients2.googleusercontent.com
cdnjs.cloudflare.com
23.217.77.128
184.25.59.69
199.232.210.172
135.233.95.144
20.189.173.14
23.195.81.9
52.111.229.43
23.2.94.216
142.251.184.106
108.177.121.103

Der (nicht ganz aktuelle) Edge-Browser von Microsoft wird dabei zum Absturz gebracht, nachdem er mich für rd. eine halbe Minute aufgefordert hat, doch bitte meine Mailadresse und mein Passwort einzugeben, während im Hintergrund ein unscharfes Bild eines Dokumentes angezeigt wird, es werden also – neben dem Phishing auf Mailpasswörter – Fehler im Browser mit unverständlichem Programmcode provoziert. Gut, dass es nur eine virtuelle Maschine war, in der ich einfach meinen Snapshot einer sauberen Installation zurückspiele! Wäre es mein Arbeitssystem, dann „dürfte“ ich mir jetzt den Tag verderben, indem ich es neu installiere… und wäre es ein Arbeitsrechner im Netzwerk eines Unternehmens, dann hätte der Klick in die Mail vielleicht sogar die kommende Insolvenz des Unternehmens besiegelt. Das Antivirus-Schlangenöl hätte nicht einmal gewarnt. Deshalb klickt man ja auch nicht in eine E-Mail, ohne sich vorher beim angeblichen Absender telefonisch (oder über einen sonstigen anderen Kanal als E-Mail) zu vergewissern, dass die E-Mail wirklich von ihm kommt. Und wenn das nicht möglich ist oder wenn man den Absender gar nicht kennt, klickt man überhaupt nicht in eine E-Mail. Es ist dumm und gefährlich.

Dass niemand einen Anhang machen würde, wenn man etwas auch einfach und barrierefrei direkt in die Mail schreiben kann, brauche ich hoffentlich nicht zu erwähnen.

AvaNot

Mittwoch, 8. Oktober 2025

So nannte sich das hirnlose Gesäuge mit seiner IP-Adresse aus Kasachstan und seinem kaputten Spamskript, das gestern abend um 17:21 Uhr den folgenden Kommentar auf einer von mir mitverwalteten Website ablegen wollte, aber an seiner vollständigen technischen Unfähigkeit scheiterte:

Hey, ich bin gerade auf deine Seite gestoßen … bist du immer so gut darin, Aufmerksamkeit zu erregen, oder hast du es nur für mich gemacht? Schreiben Sie mir auf dieser Website — rb.gy/3pmax6?Not — mein Benutzername ist der gleiche, ich werde warten.

[Ich habe die gekürzte URL im Zitat ein bisschen verändert, weil ich nicht einmal indirekt auf eine pornografisch aussehende, sicherlich betrügerische Dating-Website verweisen will, die wegen Spam, Spam, Spam und der Verbreitung von Schadsoftware auf den Blacklists steht. Meine Abuse-Meldung an Rebrandly ist schon draußen, von daher macht meine Bearbeitung wohl keinen Unterschied.]

Schon klar, Spammer, mit „Aufmerksamkeit erregen“ kennst du dich ja aus.

Na, dann warte mal schön, lang und geduldig! Du kannst dir ja währed der Wartezeit zu den beiden heftig fummelnden Frauen im Hintergrund der von dir verlinkten Betrügerwebsite einen von der Palme schütteln! Ich befülle unterdessen lieber meine Websites. 😁️

Das Dokument ist angehängt…

Montag, 2. Dezember 2024

Keine Spam (ich bin gerade etwas unmotiviert, die diversen schon hundertfach gesehenen Standardtexte ätzend zu kommentieren), sondern heute mal ein Hinweis auf einen aktuellen Artikel bei Heise Online über die Verbreitung von Schadsoftware in Form von Mailanhängen:

Wie Forscher von ANY.RUN in einer Kurzanalyse auf X erläutern, sind sie auf von Angreifern absichtlich beschädigte Word-Dokumente gestoßen, die sie als Köder für Phishing-Attacken an E-Mails hängen. Wei die Dateien kaputt sind, fällt es bestimmter Antivirenschutzsoftware, sowie Outlooks Spamfilter schwer, den Dateityp zu erkennen. Demzufolge springen die Schutzmechanismen nicht an und so eine Mail landet ohne Warnung im Posteingang.

Die Forscher geben an, dass sie entsprechende Dateien zum Onlineanalysedienst Virustotal hochgeladen haben. Ihnen zufolge hat keiner der dort verfügbaren mehr als 60 Scanner Alarm geschlagen

Zum Glück für uns alle gibt es einen einfachen und hundertprozentig wirksamen Schutz von Schadsoftware und Phishing in E-Mail: Niemals in eine E-Mail klicken! Kaputte Dateien in Mailanhängen habe ich hier auch schon öfter mal zeigen können. Wer nicht in eine E-Mail klickt, ist vor den beiden wichtigsten Formen der so genannten „Cyberkriminalität“ sicher: Vor Erpressungstrojanern und Phishing. 🛡️

Antivirusprogramme, von mir liebevoll „Schlangenöl“ genannt, funktionieren nicht zuverlässig und sind regelmäßig völlig machtlos gegen die neueste Brut der Kriminellen. Wer sich darauf verlässt, ist verlassen. Schon der persönliche Schaden kann sehr groß sein, und ein übernommenes Unternehmensnetzwerk führt auch schon einmal zur Insolvenz, wenn es keine hinreichende administrative Vorbereitung auf so eine Katastrofe gab.

Immer vorher über einen anderen Kanal als E-Mail (zum Beispiel telefonisch) rückfragen, ob der scheinbare Absender der Mail auch der wirkliche Absender ist. Und erst klicken, wenn das bestätigt wurde! Im E-Mail von Unbekannten überhaupt nicht herumklicken! So einfach geht Computersicherheit. Ja, es ist manchmal lästig, ich weiß…

windows 7 activator free download

Mittwoch, 6. November 2024

Diesen wunderhübschen „Namen“ hat er wohl von seiner Mutter bekommen, der Spammer, da kann man nichts dagegen machen. Diesen keywordreichen „Namen“ muss er dann auch gleich mal mit einem Link auf Github verlinken, damit der „Name“ nicht umsonst so voller Keywords ist. Seine IP-Adresse ist aus Russland, da könnte man schon mehr gegen tun (es gibt ja VPNs), und sein Spamskript hat ein kleines Fehlerchen. Es ist eben so ein richtiger Qualitätsspammer. Aber dass das Spamskript nicht so gut funktioniert, nimmt der Spammer gern in Kauf, hauptsache, er muss nicht selbst arbeiten und morgens um 7:26 Uhr solche Kommentare für Unser täglich Spam von Hand schreiben, statt einfach seinen Rausch von gestern auszuschlafen:

Hurrah, that’s what I was seeking for, what a stuff! existing here at this weblog, thanks admin of this web site.

Kein so toller Kommentar, sondern eher eine Ausrede für den Link auf Github. Er kann ja nicht einfach „Blah“ schreiben. Sonst wird der „Kommentar“ noch gelöscht. Lob scheint oft stehenzubleiben, so oft wie ich jeden Tag von Kommentarspammern gelobt werde.

Gut, eigentlich ist Github eher fürs verteilte Entwickeln und Versionieren von Software da, aber da kann man ja auch Texte hinlegen, die man in Markdown auszeichnet, und da kann man dann den nächsten Link reinpacken. Das sieht dann so aus:

Um die Schadsoftware… ähm… den „Aktivator“ nicht weiter zu verbreiten, kann ich hier leider nicht einmal eine Archivversion verlinken. Die Spam habe ich schon bei Github gemeldet. Wer dort auf den Downloadlink klickte, käme nach einigen Weiterleitungen zu einem weiteren Downloadlink, der endlich das Herunterladen eines ZIP-Archives ermöglichte.

Das gibt heute mal wieder einen lustigen Spaziergang durch schlüpfrige Gefilde.

Aus den Biotopen des Internetsumpfes

Mal schauen, was im Archiv steckt – ich kürze in meiner Mitschrift ein paar Zeilen raus, die sonst nur den Text aufblähen würden¹:

$ 7z l 4c1vdr0_km05___a_1_n_02024p.zip 
[…]
Scanning the drive for archives:
1 file, 49807074 bytes (48 MiB)

Listing archive: 4c1vdr0_km05___a_1_n_02024p.zip
[…]
   Date      Time    Attr         Size   Compressed  Name
——————- —– ———— ————  ————————
2024-08-15 03:59:40 ….A            0            0  password = 2024
2024-09-13 11:58:57 ….A     49806734     49806734  𝙆𝙈𝙎𝙋𝙞𝙘𝙤.rar
——————- —– ———— ————  ————————
2024-09-13 11:58:57           49806734     49806734  2 files
$ mkdir virus
$ 7z -bb0 -ovirus x 4c1vdr0_km05___a_1_n_02024p.zip 
[…]
$ cd virus
$ ls -l
insgesamt 48640
-rw-rw-r– 1 elias elias 49806734 Sep 13 12:58  𝙆𝙈𝙎𝙋𝙞𝙘𝙤.rar
-rw-rw-r– 1 elias elias        0 Aug 15 04:59 'password = 2024'
$ _

Oh, wie lustig: Sinnlose Unicodezeichen in einem Dateinamen, einfach nur, damit er irgendwie wichtig aussieht. Mehr muss man eigentlich nicht sehen, um ganz schnell wegzulaufen. Aber die Zielgruppe hält so etwas vermutlich eher für ein Qualitätsmerkmal. Die denkt sich so etwas wie „Oh, sogar der Dateiname enthält fette und kursive Buchstaben, ich wusste bis eben gar nicht, dass das geht. Das müssen ganz professionelle Profis mit speziellen Spezialkenntnissen gemacht haben, es handelt sich also nicht um Dreck, sondern um etwas richtig Leckeres und Gutes“. 👑️

Nun, das ist nicht der Fall. Und zwar niemals. Jeder denkende und fühlende Mensch würde es vermeiden, Probleme zu provozieren. Es gibt Schriftarten, die keine vollständige Unicodeabdeckung haben, und es gibt Anwender, die solche Schriftarten als Standard einstellen, weil sie ihnen gefallen oder weil diese als gut lesbar empfinden; zudem gibt es Dateisysteme, die ebenfalls völlig unerwartete Probleme bei Verwendung obskurer Sonderzeichen bereiten können. Und Betrübssysteme. Es ist noch gar nicht so lange her, dass man einen Absturz von Apples iOS mit einer Zeichenkombination provozieren konnte, die man zum Beispiel in einer Mail, einer Message oder einen Dateinamen aufnimmt. Warum sollte man so ein Risiko in Kauf nehmen, wenn man keinen Vorteil von der größeren Zeichenauswahl hat? Solche „Tricks“ auf dem Niveau eines verspielten Elfjährigen sind ein klares Warnzeichen. 💩️⚠️

Apropos „Tricks auf dem Niveau eines verspielten Elfjährigen“: Es ist natürlich für den Zweck eines Passwortes vollkommen sinnlos, ein Passwort zu vergeben, wenn man es gleich dazuschreibt. (Was leider nicht bedeutet, dass ich nicht schon hunderte von Post-it-Zetteln an Bildschirmen gesehen hätte, auf denen Passwörter notiert wurden, weil Menschen oft nicht verstehen, was der Sinn eines Passwortes ist und warum Computersicherheit durch Passwörter nur funktioniert, wenn man das Passwort auch geheimhält und immer nur dort verwendet, wo man sich damit authentifiziert. Betriebliche Passwortrichtlinen der absurden Art – so etwas wie „das Passwort muss jede Woche gewechselt werden und einen Buchstaben, eine Ziffer, ein Sonderzeichen, ein Emoji und eine ägyptische Hieroglyphe enthalten, darf aber kein Datum sein und auch nicht teilweise in einem Wörterbuch erscheinen“ – sorgen dann dafür, dass die meisten Menschen völlig überfordert sind, und das alles für einen Gewinn an „Sicherheit“ durch die erzwungenen Passwortwechsel, der gegen null tendiert.) Es würde ja auch niemand seine Haustür abschließen, um dann den Haustürschlüssel offen sichtbar an die Tür zu hängen und auch noch dranzuschreiben, dass man damit jetzt wirklich die Tür aufschließen kann. Am besten auf einem benutzerfreundlich in Blickhöhe an die Haustür geklebten Post-it-Zettel. Da könnte man sich das Abschließen auch einfach sparen. Ein unnötiger Arbeitsschritt weniger. 🗝️

Das RAR-Archiv, das in einem ZIP-Archiv verpackt wurde, wurde nur aus einem Grund passwortgeschützt: Um eine automatische Analyse durch Antivirusprogramme zu verhindern. Deshalb sage ich ja mit großer Bestimmtheit, dass es sich hier um Schadsoftware handelt. In jedem anderen Kontext wäre so eine Vorgehensweise völlig sinnlos und dumm.

Achtung, ich kürze wieder ein bisschen¹.

$ 7z -bb0 -p2024 x *.rar
[...]
Scanning the drive for archives:
1 file, 49806734 bytes (48 MiB)

Extracting archive: 𝙆𝙈𝙎𝙋𝙞𝙘𝙤.rar
[...]
ERROR: Unsupported Method : 𝙆𝙈𝙎𝙋𝙞𝙘𝙤/read.txt
ERROR: Unsupported Method : 𝙆𝙈𝙎𝙋𝙞𝙘𝙤/𝙆𝙈𝙎𝙋𝙞𝙘𝙤.exe
                                                                    
Sub items Errors: 2
Archives with Errors: 1
Sub items Errors: 2
$ _

Oh, mein 7zip für die Kommandozeile hat Probleme? Vermutlich mit den obskuren, aber eigentlich zulässigen Namen für Datei und Verzeichnis? Das habe ich ja schon lange nicht mehr erlebt. (Da seht ihr noch einen Grund, warum man Spielereien mit sinnlosen Unicodezeichen im Dateinamen besser unterlässt, wenn man darauf angewiesen ist, dass es auch funktioniert. Und nein, ich habe jetzt keine Lust, ein Ticket für diesen 7zip-Fehler aufzumachen. Dafür müsste ich nämlich erstmal herausbekommen, wie man den Fehler provoziert und selbst ein entsprechendes Archiv bauen, denn dieses Archiv voller Gift und informationstechnischem Sondermüll werde ich ganz sicher nicht irgendwo hinlegen, wo es jemand auch nur versehentlich aufmachen und die Inhalte beklicken könnte. Aber vielleicht hat ja jemand anders Lust. Ich bin nur müde.)

Na gut, dann eben etwas älteres, gereifteres, robusteres! Ein Hauch von alten Zeiten weht mir in die Nüstern, wenn ich so etwas tippe – und er riecht gar nicht so schlecht:

$ unrar -p2024 e *.rar
UNRAR 6.11 beta 1 freeware      Copyright (c) 1993-2022 Alexander Roshal

Extracting from 𝙆𝙈𝙎𝙋𝙞𝙘𝙤.rar

Extracting  read.txt                                                  OK 
Extracting  𝙆𝙈𝙎𝙋𝙞𝙘𝙤.exe                                               OK 
All OK
$ ls -l
insgesamt 206596
-rw-rw-r– 1 elias elias 161739843 Aug 26 19:27 𝙆𝙈𝙎𝙋𝙞𝙘𝙤.exe
-rw-rw-r– 1 elias elias  49806734 Sep 13 12:58 𝙆𝙈𝙎𝙋𝙞𝙘𝙤.rar
-rw-rw-r– 1 elias elias         0 Aug 15 04:59 password = 2024
-rw-rw-r– 1 elias elias       677 Sep 13 12:55 read.txt
$ file *.exe
𝙆𝙈𝙎𝙋𝙞𝙘𝙤.exe: PE32 executable (GUI) Intel 80386, for MS Windows, Nullsoft Installer self-extracting archive
$ _

Oho, ein Archiv, in dem ein passwortgeschütztes Archiv liegt, in dem wiederum ein Archiv liegt, das sich unter Microsoft Windows beim Doppelklick selbst entpackt. Da hat jemand aber Lust, es richtig kompliziert zu machen. Ich will jetzt gar nicht weiter mit meinen länglichen Kommandozeilenmitschriften langweilen und fasse mal zusammen: Das Archiv enthält 215 Dateien aller Art, zum Beispiel DLLs, Javaarchive, ausführbare Dateien für Microsoft Windows, Schriftarten, Bilder. Alles von einem Spammer mit seiner Spam verbreitet. Ungefähr die Hälfte der gegenwärtig gebräuchlichen Antivirusprogramme erkennt den Müll schon als gefährlich oder als Schadsoftware, und ungefähr die andere Hälfte noch nicht, so dass der gläubige Nutzer öfter mal ungewarnt ins Verderben rennt. Schade für die, die sich auf ihr Schlangenöl verlassen, denn sie sind öfter mal verlassen. So ein Antivirusprogramm liegt mit seinen Signaturen immer einige Stunden oder gar Tage hinter der kriminellen Wirklichkeit zurück.

Verlasst euch lieber aufs Gehirnchen! 🧠️

Der Zweck dieser Spam war es natürlich nicht, dass Leser von Unser täglich Spam direkt auf den Link klicken sollen, um sich die Pest auf den Computer zu holen. Die Keywords im „Namen“ des Spammers machen klar, dass es in Wirklichkeit darum geht, die Suchmaschinen und insbesondere Google zu manipulieren, damit Leute nicht mehr finden, was sie suchen, sondern das, was Kriminelle und SEO-Spammer sie finden lassen wollen. Zum Beispiel, wenn sie Google oder ein angelerntes neuronales Netzwerk (wie gut Suchen mit so genannter „künstlicher Intelligenz“ manipulierbar sind, werden wir in den nächsten drei, vier Jahren noch viel häufiger erfahren, als uns lieb ist – die Leute, die es versuchen werden, weil sie davon nun einmal leben, können sehr „kreativ“ sein und die angelernten neuronalen Netze können nicht so leicht daran angepasst werden, weil niemand versteht, warum sie funktionieren) danach fragen, wo und wie sie denn jetzt ihr Windows 7 mit einem kostenlosen Download aktivieren können. Oder ihr Microsoft Office.

Die armen Schüler, die angeblich immer noch Windows 7 benutzen müssen und sich deshalb so einen Müll mit einer Spam andrehen lassen, tun mir ein bisschen leid. Vielleicht sollten sie einfach ein freies Betrübssystem nutzen… 😅️

Ach! Entf! 🗑️

¹Für die meisten Leser wird so eine Kommandozeile eh nur unverständlich und ein bisschen kryptisch sein. Leider. Aber ich kann so in nachvollziehbarer Weise zeigen, was des Pudels Kern ist.

Іmpоrtаnt: Vеrіfісаtiоn Nееdеd

Sonntag, 3. November 2024

⚠️ Phishingalarm! Nicht beklicken! 🎣️

Von: TrustWallet <hiher90274@nestvia.com>
An: gammelfleisch@tamagothi.de

Wer ist „TrustWallet“? Ah, ich sehe es schon: Ein Dienstleister, der mir anbietet, dass ich ihm mein ganzes Kryptogeld gebe, damit er es für mich verwaltet. Die Website dieses Ladens – bei der ich nach kurzem Durchklicken nicht einmal ein Impressum gefunden habe, obwohl die allen Ernstes wollen, dass ich ihnen mein Geld gebe – sorgt bei mir nicht für Vertrauen, sondern für das genaue Gegenteil. Bei solchen Spezialisten kann man sich den ganzen Kram mit dem dezentral organisierten Kryptogeld aber auch ganz einfach sparen und gleich zu Zentralbankswährung und den verachtenswerten Halsabschneidern des Bankgewerbes zurückkehren. Das hat zudem den großen Vorteil, dass es billiger ist, dass Transaktionen schneller gehen, dass das Zahlungsmittel allgemein akzeptiert wird, dass das Bankwesen gesetzlich reguliert ist und nicht nach Willkürherzenslust freidrehen kann, dass es keine heftigen Kursschwankungen gibt, die jedes Geschäft zum Kursrisiko machen… und, dass es nicht so eine absurde Energieverbrennung wie das miserabel skalierende Kryptogeld ist. Ja, es ist besser. Viel besser.

Ach, ihr wollt eh alle nur spekulieren? Ihr wollt das gar nicht als Zahlungsmittel nutzen, wofür es eigentlich gedacht war, aber leider völlig ungeeignet ist? Obwohl es überhaupt keinen anderen Anwendungsfall für Kryptogeld gibt? Hochspekulativ, nur davon ausgehend, dass der nächste Depp einen noch höheren Kurs bezahlen wird. Wie sagte es Buddha doch so schön: Gier ist die Ursache allen Leidens. Ich ergänze: Dummheit ist das, was daran hindert, die eigene Gier als schädlich und gefährlich zu erkennen. 😇️

Die Domain der Absenderadresse dieser Spam…

$ surbl nestvia.com
nestvia.com	LISTED: DM ABUSE
$ _

…steht wegen Spam und als Domain für Wegwerfadressen auf allen Blacklists dieser Welt. Wenn dir einer in einer Mail erzählt, dass er Finanzdienstleister ist, aber die Absenderadresse kommt aus einer Domain für Wegwerfadressen, dann ist klar, dass es Lüge ist.

Іmpоrtаnt: Vеrіfісаtiоn Nееdеd

Spammer, das hast du mir schon im Betreff gesagt. Es wird übrigens auch nicht interessanter, wenn du am Ende der Zeile rund 200 Leerzeichen schreibst, weil du offenbar keinen besseren Weg kennst, in einer HTML-formatierten Mail den gewünschten Abstand zum weiteren Text herzustellen. Dieser befindet sich übrigens in einem eigenen <div>, so dass das eine Kleinigkeit gewesen wäre. Aber CSS hattest du an deinem Volkshochschulkurs „HTML für Schrumpfhirne“ leider noch nicht. Das kommt vielleicht nächste Woche mal dran.

Hello,

We wanted to reach out as our records indicate that your account verification is still pending. Completing this process will ensure uninterrupted access to all features.

To continue enjoying our services, please take a moment to complete the verification process .

If you have any questions or need assistance, feel free to reach out to our support team. We‘re here to help you every step of the way.

Thank you for choosing us !

Complete verefication [sic!]

Na, vielleicht lernt der Spammer auch noch mal, wie man das Wort verification richtig schreibt. Das ist aber auch immer schwierig mit der Orthografie! Für seinen Betreff hat er es noch gekonnt. Ach, da hat er ja auch gerade angefangen, da war der Text auch noch nicht beinahe fertig, die Konzentration noch nicht im Eimer, der Mund nicht schon wieder nuckelnd an der leckeren Wodkaflasche und die Gedanken noch nicht wieder im Puff? Gut, dann kann man natürlich besser schreiben. Immer wieder erstaunlich, was für teilweise absurde Fehler ich in gut formulierten Spams gegen Ende des Textes sehe…

Mit Stable Diffusion erzeugtes Bild Der Link geht nicht zur Website dieser in meinen Augen wenig vertrauenswürdigen Vertrauensgeldbeutel, deren Firmierung hier von Kriminellen missbraucht wird, sondern in eine Website unter der Kontrolle von Kriminellen. Für mich sieht das Ganze schon nach kurzem Reinschauen und ohne richtige Analyse (es ist Sonntag heute, und ich bin sehr müde heute) so aus, als sollten hier nicht nur die Zugangsdaten zum halböffentlich im Internet abgelegten Geldbeutel gephisht werden, weil Verbrecher nun einmal wie die Politiker lieber das Geld anderer Leute ausgeben, sondern als würde hier auch Schadsoftware verteilt werden. Es gibt nämlich unterschiedliche Weiterleitungen für verschiedene Betriebssysteme und Webbrowser, ganz so, als sollten unterschiedliche „Tricks“ in den endlosen und vorsätzlich schwer lesbar gemachten Javascriptwüsten angewendet werden. Vermutlich sind Kryptogeldspekulanten auch eine ganz gute Zielgruppe für Schadsoftware. Die sind so etwas ja geradezu gewohnt… 🤭️

Aus ständig aktuellem Anlass gibt es hier einen weiteren Link auf meine launigen Anmerkungen vom 5. September 2017 zum Reichwerden mit Bitcoinspekulation, die immer noch aktuell sind.

12 rroland st
australia, sy 2001, Australia

Grüß den Rroland von mir! 🤡️

Unsubscribe or Manage Preferences

Habe ich schon gemacht. Entf heißt die Taste. 🗑️

Zum Glück für uns alle gibt es einen hervorragenden und zuverlässigen Schutz gegen Phishing, was immer noch eine der häufigsten Betrugsformen im Internet ist: Niemals in eine E-Mail klicken! Stattdessen einfach für solche häufig besuchten Websites (wie zum Beispiel einen Kryptogelddienstleister) ein Lesezeichen im Webbrowser anlegen und diese Website nur noch über das Lesezeichen aufrufen! Wenn man dann so eine Mail empfängt und nicht sofort bemerkt, dass es Phishing ist, klickt man nicht und niemals auf den klicki-klicki Link, der sagt, dass man ihn ganz schnell mal klicken soll, sondern man öffnet den Webbrowser und ruft die Website über das Lesezeichen auf. So kann einem kein Verbrecher einen giftigen Link unterschieben. Wenn man die Website über das Lesezeichen aufgerufen hat, sich dort ganz normal angemeldet hat und von den Problemen aus der Mail überhaupt nicht die Rede ist, hat man einen dieser gefürchteten Cyberangriffe abgewehrt. So einfach geht das. Einfach nicht in Mails klicken. Macht das! 🛡️

Wenn diese Spammer verhungern, weil niemand mehr auf sie reinfällt, ist es jedenfalls kein Verlust für die Welt. Und auch die Mutter wird sich schnell zu trösten wissen.

Ausstehende Zahlung

Donnerstag, 10. Oktober 2024

Von: Greuth Mueller <info@ggsseguros.com>
Antwort an: carina.ebeling@steuerring.de

Das ist ja toll! Gleich zwei Mailadressen. Nicht an den Absender antworten!

Guten Morgen,

Um 14:44 Uhr? Moment, mal schauen… die Mail wurde über eine IP-Adresse aus Estland versendet. Da sagt man auch nicht mehr guten Morgen.

Können Sie uns sagen, wann Sie die Zahlung leisten werden?

Die grundlose?

Ausstehende Rechnung beigefügt.

Oh, tatsächlich, da hängt ja ein PDF an der Mail:

$ file Rechnung0192839182.pdf 
Rechnung0192839182.pdf: PDF document, version 1.6 (zip deflate encoded)
$ pdfinfo Rechnung0192839182.pdf 
Title:           file:///C/Users/ALIEN/Desktop/Factura07.10.2024.html
Creator:         Adobe Acrobat 22.0
Producer:        Acrobat Web Capture 15.0
CreationDate:    Mon Oct  7 08:50:23 2024 CEST
ModDate:         Wed Oct  9 09:35:06 2024 CEST
Custom Metadata: no
Metadata Stream: yes
Tagged:          no
UserProperties:  no
Suspects:        no
Form:            none
JavaScript:      no
Pages:           1
Encrypted:       no
Page size:       612 x 792 pts (letter)
Page rot:        0
File size:       90441 bytes
Optimized:       no
PDF version:     1.6
$ pdftotext Rechnung0192839182.pdf -
Um die Rechnung anzuzeigen, klicken Sie unten.
Rechnung anzeigen

file:///C/Users/ALIEN/Desktop/Factura07.10.2024.html[10/7/2024 8:50:28 AM]

$ _

Oh, eine Webseite als PDF ausgedruckt.

Das ist jetzt aber nicht so eine aussagekräftige „Rechnung“, die da an der Mail hängt. Freunde des zünftigen Spaßes vom Posteingang können sich gern auch die besondere gestalterische Exzellenz dieses Anhanges anschauen, deren Reduktionismus im Vergleich zu anderen Spamanhängen geradezu lieblich wirkt, denn ich habe ein garantiert harmloses PNG draus gemacht. Einem PDF von Spammern sollte man niemals trauen. Der überlagerte Schriftzug „SPAM“ ist von mir.

Natürlich ist der Link in dieser „Rechnung“ nicht direkt gesetzt, wie das jeder denkende und fühlende Mensch tun würde, weil es das Einfachste ist. Es geht erstmal zum Linkkürzer des toten blauen Vogels, und von dort…

$ lynx -source https://t.co/dZamaKLBX8
		<!DOCTYPE html>
	<html lang="en">
	  <head>
	  <meta http-equiv="refresh" content="0; url=https://dl.dropbox.com/scl/fi/wcqv0bzvp9jk1vqidxhib/Rechnung01920-53072079525847942436.zip?rlkey=5y4bqsk7tqk3hxohbpezjw02a&dl=0">
			  </script>
		</head>


	</html>
$ _

…geht es weiter in die „Tropfbox“, wo man sich wohl mal ein lustiges ZIP-Archiv herunterladen konnte. Das von irgendwelchen Leuten hochgeladen wurde. Dropbox geht im Gegensatz zu Mitbewerbern wie Google aktiv und wirksam gegen den Missbrauch seines Angebotes durch Kriminelle vor. Der Download ist dort nicht mehr möglich. Danke für das bisschen Zivilisation, das im Internet so selten geworden ist!

Das ist auch besser so. Es ist eine sichere Wette, dass es sich um eine üble Kollektion aktueller Schadsoftware gehandelt hat.

Ich habe Ihnen mehrmals geschrieben, aber ich verstehe nicht, warum Sie mir nicht antworten.

Nein, diese Absenderadresse hat mir in den letzten 12 Monaten nicht geschrieben.

Ich hoffe, dass Sie es rechtzeitig bezahlen können, wenn ich nicht gerichtlich vorgehe.

Ich hoffe, dass du demnächst mal vor einem Richter stehst!

Danke

Du mich auch!