Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Hinein geschneit bist du in mein Leben und ich wusste es konnte nur eine geben

Mittwoch, 2. Juli 2014

Schadsoftwarewarnung

Hui, da hat sich aber ein Spammer so richtig die Brust aufgerissen, um die Art von Kälte zu verbreiten, in der er gedeihen kann:

Hinein geschneit bist du in mein Leben und ich wusste es konnte nur eine geben, du nur du ganz allein bist mein wahrer Sonnenschein.

G. Theisen

Der Rest ist ein Anhang. Es handelt sich um ein ZIP-Archiv mit dem lyrischen Namen 9122.zip, in welchem ein einziges Dokument für Microsoft Word liegt. Diese Datei nicht öffnen, es handelt sich mit an Sicherheit grenzender Wahrscheinlichkeit um ein Dokument, das Schadsoftware in Form eines Makros enthält! Diese sehr aktuelle Schadsoftware wird zurzeit von keinem Antivirus-Programm erkannt. (Hier ein Screenshot der Ausgabe von VirusTotal zu Archivzwecken.)

Es lohnt sich übrigens auch nicht, dieses Dokument zu öffnen, denn es ist ausgesprochen inhaltsleer und befriedigt keine Neugierde. Ein schnelles file guignol579.doc im Terminal führt zu folgender Ausgabe¹:

guignol579.doc: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1251, Author: I|R1R3MDT;pj?MB5, Template: Normal.dotm, Last Saved By: I|R1R3MDT;pj?MB5, Revision Number: 1, Name of Creating Application: Microsoft Office Word, Total Editing Time: 04:00, Create Time/Date: Tue Jul 1 17:56:00 2014, Last Saved Time/Date: Tue Jul 1 18:00:00 2014, Number of Pages: 1, Number of Words: 0, Number of Characters: 0, Security: 0

Eine Seite, keine Wörter, keine Buchstaben. Erstellt in vier Minuten. Von einem Autor, der mal kurz in seinen Teller Buchstabensuppe geschaut hat, bevor er einen Namen für seine Word-Registrierung eingibt. Da hat ein Verbrecher nur ganz schnell das Makro mit dem aktuellen Schadcode ins neu geöffente Dokument kopiert und gespeichert. Warum sollte er sich auch noch Mühe geben, wenigstens den Anschein eines echten Dokumentes zu erwecken? Wenns geöffnet wurde, hat er doch schon gewonnen…

Schlangenölwarnung

Übrigens ist das bereits meine zweite Spam mit einem leeren Word-Dokument als Anhang, die erste habe ich vor zwei Wochen empfangen. Es scheint den Herstellern von Antivirus-Programmen nicht in den Sinn gekommen zu sein, eine einfache Regel der Marke „Ein ZIP-Archiv, in dem ein bearbeitetes, aber leeres Office-Dokument liegt, ist gefährlich“ zu formulieren. Warum sollten sie auch?! Sie haben ja auch jahrelang keine Regeln für die sehr primitiven Dateinamenstricks der Marke .pdf.exe formuliert, und das war viel einfacher. Oder anders gesagt: Den Herstellern von Antivirus-Schlangenöl scheint Computersicherheit egal zu sein. Der Rest ist Reklame ist Lüge, immer wieder wiederholt in einem riesigen medialen Apparat, der Reklamelügen auf jedem nur denkbaren Kanal wieder und wieder wiederholt, bis es auch der Letzte noch glaubt.

Antivirusprogramme sind Schlangenöl. Und wenn man sich darauf verlässt, dass sie funktionieren, sind sie ein sehr gefährliches Schlangenöl – zum Beispiel im Fall dieser Spam.

Wer sich vor der Kriminalität im Internet schützen will, holt sich kein Schlangenöl, sondern ein Betriebssystem, mit dem er sicherer unterwegs ist. Und. Wer sich vor der Kriminalität im Internet schützen will, lernt, Spam selbst zu erkennen – das Gehirn ist der beste Spamfilter überhaupt – und zu löschen und seine Internet-Software so restriktiv wie möglich zu konfigurieren.

²An sich bestimmt file nur den Typ einer Datei, aber zu typischen Datei- und Dokumentformaten werden oft weitere Angaben gemacht.

Grüße aus dem Ötztal

Mittwoch, 2. Juli 2014

Tja, Spammer, ist schon kacke, wenn man HTML-Entitäten im Betreff hat. Und dumm, wenn mans nicht einfach mal testet, bevor man sein Strunzskript auf ein wehrloses Internet loslässt. Du bist halt ein Idiot. Da hilft auch nicht mehr deine mit von irgendwelchen Webservern eingebetteten Grafiken verzierte, HTML-formatierte Mail, zumal die auch ein bisschen doof geraten ist.

01.07.2014

Stimmt, dieses Datum hatten wir gestern. Die E-Mail wurde allerdings heute, am 2. Juli um 11:37 Uhr versendet, was ja auch jedes Mailprogramm so anzeigt. Ich möchte beinahe denken, diese sichtbare Verzögerung kommt daher, dass der Absender gerade keine passende E-Mail-Briefmarke zur Hand hatte und erstmal eine erwerben musste. :mrgreen:

Anzahlungsbestätigung

Tja, für eine Betreffzeile hätte sich ja eigentlich der Betreff der E-Mail geeignet, statt da irgendwelche Grüße aus dem Ötztal falsch kodiert reinzuschreiben.

Sehr geehrte, […]

Bwahahaha! 😀

[…] gerne bestätigen wir den Erhalt der Anzahlung in der

Höhe von 300,00 ˆ

für Ihren Aufenthalt vom ( Anreise ) 02.08.2014 bis (Abreise) 06.08.2014.

Aha, der Euro ist kaputt, und statt „€“ schreiben wir jetzt einen accent circonflex ohne Buchstaben drunter – da glaubt man doch sofort, eine geschäftliche Mail zu lesen! Nun ja, in der französischen Sprache dient die Auszeichnung eines Vokals mit dem „Dächchen“ häufig zur Kennzeichung eines weggefallenen „s“, und in dieser Spam kennzeichnet sie das wegen Dachschadens weggefallene Hirn des Spammers.

Wir freuen uns auf Ihren Besuch und wünschen gute Anreise.

Mit freundlichen Grüßen

Astrid

Und wer immer noch nicht gemerkt hat, dass es sich hier um die mies gemachte Spam eines kriminellen Halbaffen handelt und sich fragt, was das alles soll, der findet irgendwann auch den Anhang. Der ist – natürlich – ein ZIP-Archiv, in dem eine einzige Datei liegt, deren Dateiname auf .pdf.exe endet. Wie üblich handelt es sich um aktuelle Schadsoftware, die von etlichen Antivirus-Schlangenölen noch nicht als Schadsoftware erkannt wird. Wer das ZIP entpackt und unter Microsoft Windows einen Doppelklick auf die Datei macht, hat also hinterher einen Computer anderer Leute auf dem Schreibtisch stehen – und diesen Leuten sollte man etwas anderes geben, Handschellen zum Beispiel. Zum Glück ist diese Spam so schlecht, dass wohl kaum jemand darauf reinfallen wird…

Verdienen Sie Geld Sei glücklich

Samstag, 28. Juni 2014

Ein fröhlicher Spambetreff zwischen siezen und duzen, der mir schon beim Überflug die gewohnte Qualität des Textes verspricht, und in der Tat…

Es ist an der Reihe zu spielen. Willst du den Preis? Go here

…zieht der Spammer in seinem Kürzsttext alle Register der Sprache, um seine unfreiwilligen Leser zu einem Klick in sein Meisterwerk zu motivieren.

Schade nur, dass das dabei hervorgebrachte technische „Meisterwerk“ – eine Kaskade diverser JavaScript-, Flash- und Java-Versuche, einen Rechner zu übernehmen – bei einem vernünftig gesicherten¹ Browser gar nicht lauffähig ist. Aber da hat sich der Spammer wohl gesagt: Wer sich von irgendwelchen ominösen Gewinnmöglichkeiten zum Klick in eine Spam verleiten lässt, der weiß auch nichts von Browsersicherheit.

Und es steht zu befürchten, dass er damit recht hat.

¹Eine „vernünftige Sicherung“ besteht nicht aus Antivirus-Schlangenöl, das bei jeder halbwegs aktuellen Schadsoftware versagt, sondern aus dem Unterdrücken der Ausführung von JavaScript und einem funktionierenden Adblocker.

Besser spät als nie

Dienstag, 24. Juni 2014

Am 20. Februar des vorigen Jahres, also vor 489 Tagen, ist mir das erste Mal eine angebliche Rechnung der Telekom Deutschland GmbH in den Spameingang geflossen, die sehr trügerisch aussah und mit einem Schadsoftware-Anhang kam.

Von daher begrüße ich es, dass die Telekom Deutschland GmbH auf ihrer T-Online-Seite ihre Kunden einmal mehr über diese Spams aufklärt und sie darauf hinweist, an welchen Merkmalen jeder erkennen kann, ob es sich um eine Spam handelt oder nicht. Das von der Telekom zum Schutz empfohlene „aktuelle Virenschutz-Programm“ hilft bei den per Spam zugestellten, im Regelfall sehr frischen Trojanern allerdings so gut wie gar nicht, wie ich hier mehrfach unter dem Schlagwort „Schadsoftware“ aufgezeigt habe (darunter auch ein ganz übles Beispiel) – um so wichtiger ist es, dass Kunden dazu befähigt werden, derartige Spams mit ihrem Hirn zu erkennen und zu löschen.

Ich wünsche der Telekom Deutschland GmbH gutes Gelingen bei der Aufklärung der eigenen Kunden¹! Wer Probleme hat, kriminelle Spams zu erkennen oder generell Angst vor den Betrügern hat, sollte sich das von der Telekom zur Verfügung gestellt kurze Dokument ausdrucken und öfter mal vorm Klicken einen Blick drauf werfen… vor allem, wenns um Geld geht oder wenn irgendwelche Dokumente in irgendwelchen Mailanhängen geöffnet werden sollen oder wenn irgendwelche Links geklickt werden sollen.

¹Und das war es auch schon mit guten Wünschen von mir an dieses Unternehmen…

Gesetzentwurf: 98581108

Mittwoch, 18. Juni 2014

Oha!

Guten Tag,

Wir erinnern Ihnen, dass am 16 Juni 2014 Ihre Schuld 53.31 Euro ist!

Verner Schütt
+49-591-1340-xxx

An der Spam hängt… zum Abwechslung einmal kein ZIP-Archiv mit einer ausführbaren Datei für Microsoft Windows, sondern ein Dokument für Microsoft Word. Ein solches Dokument kann ebenfalls Programmcode enthalten, der beim Öffnen ausgeführt wird, und genau das wird hier der Fall sein. Deshalb öffnet man niemals derartige Mailanhänge.

Es ist aktuelle Schadsoftware, die zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt wird. Zum Glück ist es in diesem Fall für einen Menschen sehr einfach, die Mail als Spam zu erkennen und das damit zu machen, was man mit einer Spam macht: Nach kurzem Druck auf die Löschtaste vergessen.

Übrigens, das Öffnen des Dokumentes lohnt sich überhaupt nicht, es enthält keinen Text. Das habe ich natürlich nicht herausbekommen, indem ich es – etwa in OpenOffice – geöffnet hätte, sondern indem ich es gespeichert habe und an meiner Kommandozeile kurz file gasetz_98581108.doc getippt habe¹, was zu folgender Ausgabe führt:

gasetz_98581108.doc: Composite Document File V2 Document, Little Endian, Os: Windows, Version 6.1, Code page: 1251, Author: xN:.GL]ycfB9Md4 [sic!],, Template: Normal.dotm, Last Saved By: xN:.GL]ycfB9Md4,, Revision Number: 1 [sic!], Name of Creating Application: Microsoft Office Word, Total Editing Time: 01:00 [sic!], Create Time/Date: Mon Jun 9 18:38:00 2014, Last Saved Time/Date: Mon Jun 9 18:39:00 2014, Number of Pages: 1, Number of Words: 0 [sic!], Number of Characters: 0 [sic!], Security: 0

Das ist zugegebenermaßen etwas unübersichtlich in der Ausgabe, aber das Wesentliche wird klar. Dieses Dokument wurde von einem Autor mit dem schönen Namen xN:.GL]ycfB9Md4 verfasst (so nennen wir uns ja alle, wenn wir einen Namen bei der Installation eingeben sollen), es handelt sich um die erste Version dieses Dokumentes, er hat daran genau eine Minute lang gesessen (um den Makrocode mit der Schadsoftware einzufügen) und mit dem Tippen von irgendwelchen zum Lesen ermunternden Buchstaben vor dem Speichern dieses Werkes hat sich der Verbrecher gar nicht erst beschäftigt. Denn wenn er sich Mühe geben würde, könnte er auch gleich arbeiten gehen…

Weil ich so lange kein Makrovirus mehr gesehen habe und sie jetzt doch noch einmal zurückzukommen scheinen, lege ich zum Abschluss mal einen fröhlichen Link auf einen mittlerweile fast fünfzehn Jahre alten Text, den Felix von Leitner – besser bekannt als Fefe – anlässlich des E-Mail-Wurms ILOVEYOU verfasst hat. Ich wiederhole: Der Text ist fast fünfzehn Jahre alt – was man auch daran bemerken kann, dass Netscape noch erwähnt wird. Geändert hat sich seitdem nicht viel. Den herzlich formulierten Dank für diese Zustände bitte an den Softwarehersteller ihres Vertrauens senden…

¹Die Zahlen im Dateinamen sind jedesmal anders.

Elias Schwerdtfeger We found broken images

Samstag, 14. Juni 2014

Hui, die haben meinen Namen rausgekriegt¹! 😀

Elias Schwerdtfeger

We found broken images

Hey, das habt ihr schon im Betreff gesagt. Tolle Anrede übrigens, einfach so den Namen zu nehmen.

IMG_62187044.jpg

View images

Es ist egal, auf welchen den beiden Links man klickt. Beide führen zu einem Webserver unter der IP-Adresse 194.226.148.40. Anders, als man auf dem ersten Blick glauben möchte, handelt es sich nich um eine weitere Pimmelpillen-Apotheke, sondern dort wird der Computer während und nach der üblichen Kaskade von Weiterleitungen… ähm… einer „gründlichen Sicherheitsprüfung“ unterzogen. Und wenn sich dabei irgendeine ausbeutbare Schwachstelle findet, hat man hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Deshalb klickt man eben niemals in eine Spam.

Übrigens gibt es gegen diese Art der Übernahme einen Schutz, der wesentlich wirksamer als jedes Antivirus-Schlangenöl ist: Einfach nicht jeder dahergelaufenen Seite aus dem Web erlauben, JavaScript-Code im Browser auszuführen. Das Firefox-Addon „NoScript“ ermöglicht es, recht bequem zu verwalten, welchen Websites man dieses Privileg einräumen möchte.

¹Mein Name war Bestandteil der verwendeten Mailadresse.

Ihre Rechnung von zooplus

Mittwoch, 4. Juni 2014

Diese Mail kommt nicht von Zooplus.

vielen Dank für Ihre Bestellung 51273295.

Schön, ich habe keinen Namen und ich habe eine Zahl bestellt. :mrgreen:

Für Ihre Unterlagen erhalten Sie anbei die dazu gehörige [sic!] Rechnung als Anhang im pdf-Format. Sie können diese abspeichern oder bei Bedarf ausdrucken. [Ach!]

Sollten Sie weitere Fragen zu Ihrer Bestellung haben, erreichen Sie unseren Kundenservice über unser Kontaktformular. Klicken Sie dazu bitte hier:

https://www.zooplus.de/kontakt

Ihr zooplus
Service-Team

Um nicht alles zu wiederholen, was ich schon vorgestern zu einer Spam mit ähnlicher Machart schrieb, hier die Kompaktversion:

  1. Der vorgebliche Absender ist nicht der Absender. Die Absenderadresse der Spam ist ebenfalls gefälscht. Rückfragen sind sinnlos.
  2. Der Anhang ist Schadsoftware!
  3. Der Anhang ist ganz aktuelle Schadsoftware, die zurzeit von weniger als einem Drittel der gängigen Antivirus-Schlangenöle als solche erkannt wird!
  4. Es ist erforderlich, zu lernen, derartige Spam selbst als Spam zu erkennen – was hier wirklich nicht schwierig ist – und sie zu löschen, statt darin herumzuklicken, oder man hat ganz schnell einen Computer anderer Leute auf dem Schreibtisch stehen.
  5. Das Antivirus-Programm schützt nicht gegen aktuelle Schadsoftware. Es ist technoquacksalberisches Schlangenöl.
  6. Derartigen kriminellen Müll einfach löschen! Danach den schöneren Dingen im Internet zuwenden! Viel Spaß dabei!

Bestellnummer 37862105779

Montag, 2. Juni 2014

Die Nummer ist in jeder Mail anders, auch die anderen Zahlen und der eine oder andere kleine Textbestandteil. Es werden ständig andere gefälschte Absenderadressen verwendet. Meine Exemplare kamen alle von einer dynamischen IP-Adresse eines italienischen Zugangsproviders, also nicht von einem gewöhnlichen Mailserver, sondern von einem mit Schadsoftware übernommenen Privatrechner. Oder anders gesagt: Es handelt sich hier um die Mail von Kriminellen, die mit Schadsoftware übernommene Privatrechner für ihre Kriminalität benutzen.

Vielen Dank dafür, dass Sie Dienste unseres Geschäfts ausnutzen [sic!]!

Das pseudohöfliche „Vielen Dank“ soll darüber hinwegtäuschen, dass der angebliche Kunde, der die „Dienste unseres Geschäftes“ ausnutzt, keinen Namen hat, und…

Ihre Bestellung #37862105779 wird 07-06-2014 verschickt werden.

…die Bestellnummer so wie die anderen Nonsens-Daten…

Datum: 02-06-2014 15:35:17
Summe: €155.34
Bezahlungstyp: Kreditkarte
Transaktionsnummer: FB6732282B

…sollen mit viel sinnlosem Text die Spam füllen, ohne irgendeine aus Kundensicht relevante Information zu geben – also die Frage zu beantworten, was da bei wem bestellt wurde, wann dies geschah und wohin das geliefert wird. Dies sind alles Angaben, bei denen ein echtes Unternehmen darauf achten würde, dass keine Missverständnisse aufkommen können. Auch auf die Angabe der Kreditkartennummer wird verzichtet. Stattdessen gibts eine lustige Tasse Buchstabensuppe als angebliche „Transaktionsnummer“.

Warum das so ist?

Na, weil jede dieser Informationen jedem Empfänger sofort klar machen würden, dass alles in dieser Spam Unsinn ist, der nichts mit irgendeiner Bestellung zu tun hat. Und dann würde die Spam wohl einfach lachend gelöscht. Das will der Spammer freilich nicht, er will stattdessen…

Die Gesamtrechnung werden Sie in der Datei buchung6755.zip finden

…dass das angehängte ZIP-Archiv aufgemacht wird, in dem sich nicht etwa ein Dokument, sondern eine ausführbare Binärdatei für Microsoft Windows, die von Verbrechern zugestellt wurde befindet – leicht an der Dateinamenserweiterung .exe zu erkennen, wenn man diese im Windows Explorer anzeigen lässt¹.

Wer es immer noch verstanden hat: Es handelt sich um eine Kollektion aktueller Schadsoftware. Zurzeit wird diese Schadsoftware von nur einem Antivirusprogramm aus einer Liste von 53 Antivirusprogrammen erkannt. (Ich habe dieses Ergebnis mal durch einen Screenshot dokumentiert, falls mir eine Woche später mal wieder niemand mehr glaubt.) Fast alle Empfänger dieses kriminellen Mists, die sich auf ihr Antivirus-Schlangenöl verlassen haben, sind verlassen und haben nach dem Starten der angehängten Schadsoftware einen Rechner anderer Leute auf ihrem Schreibtisch stehen, ohne dass es zu einem Alarm kommt – und dies völlig unabhängig davon, ob das Schlangenöl Geld gekostet hat oder nicht².

Deshalb ist es umso wichtiger, derartigen Müll selbst zu erkennen und zu löschen. Das war in diesem Fall nicht weiter schwierig. Alle Spams, die ihre Empfänger zum Ausführen von Schadsoftware überrumpeln wollen, haben folgende Merkmale:

  1. Es wird innere Unruhe erzeugt, etwa mit der Behauptung von Geldforderungen, mit angeblichen Rechnungen, Mahnungen oder mit angeblichen Rechtsangelegenheiten. Manchmal sind es auch kurze „Liebesbriefe“ oder „Gutscheine“ von Unbekannten. Eine Übersicht derartiger Maschen findet sich hier auf Unser täglich Spam unter dem Schlagwort „Schadsoftware“.
  2. Alles, was im Text der Mail über den angeblichen Sachverhalt steht, ist völlig nichtssagend und – im Falle angeblicher Mahnungen oder Rechnungen – oft einschüchternd technokratisch formuliert. (Irgendwelche Nummern, technische Angaben und dergleichen, Menschen sind in unserer Maschinerie unbedeutend, du musst unserer Maschinerie gehorchen, es ist mechanisch, ein Fehler durch menschliches Versagen ist völlig ausgeschlossen: Man beachte unter diesem Aspekt das in der vorliegenden Spam gewählte, technisch anmutende Datumsformat.)
  3. Die einzige Möglichkeit, zu erfahren, um was es eigentlich geht, liegt darin, einen Mailanhang zu öffnen.
  4. Dieser Mailanhang ist ein ZIP-Archiv. Jede E-Mail mit einem angehängten ZIP-Archiv ist gefährlich. Diese „Verpackung“ wird von den Verbrechern vorgenommen, um gefährliche Dateitypen an den Spamfiltern vorbeizumogeln.
  5. Im ZIP-Archiv liegt eine einzige Datei. Das Piktogramm der Datei sieht meistens wie ein PDF oder wie ein Word-Dokument aus, aber es handelt sich in Wirklichkeit um eine ausführbare Datei für Microsoft Windows.

Der Doppelklick auf das angebliche „Dokument“ installiert dann die Schadsoftware. Diese ist in aller Regel so „neu“ (also so aus bestehender Schadsoftware abgeleitet, dass Antivirus-Programme beim Erkennen versagen), dass es bei vielen Menschen nicht zu einer Warnung kommt.

Mit freundlichen Grüßen,
Verkaufsabteilung
Hasica Becht

Wenn das die „Freundlichkeit“ ist, will ich die Feindschaft nicht mehr kennenlernen.

Und weil diese Spammer ganz besonders asozial sind, haben sie noch eine Innovation dieser Masche im Angebot:

+49-3533-7386-xxx [von mir unkenntlich gemacht]

Ich kann nur hoffen, dass die verwendeten Telefonnummern nicht existieren – denn die armen Menschen, die sich ansonsten mit vielen hunderten erboster Anrufe herumschlagen müssten, die können mir nur leid tun.

Die asozialen und kriminellen Spammer sind freilich von solchen menschlichen Regungen unbeeinflusst. Diesem Pack ist alles egal.

¹Das ist nicht die Voreinstellung von Microsoft. Hassmails wegen dieser idiotischen Entscheidung bitte an Microsoft senden! Aber noch wichtiger: Eine bessere Einstellung machen, die sofort klar macht, dass es sich trotz des PDF-Piktogramms nicht um ein PDF handelt!

²Sorry, liebe „Spammitgenießer“ vom LKA Niedersachsen, aber euer Hinweis, dass gekaufte wirkungslose Software besser ist als kostenlose wirkungslose Software, ist ein dermaßen gefährlicher Humbug, dass mir alle Worte fehlen. Ansonsten ist euer Präventionsportal wirklich ein lobenswerter Schritt in die richtige Richtung, den ich so viele Jahre lang vermisst habe.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.