Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.

Schlagwortarchiv „Schadsoftware“

Guten Morgen von Gèza

Donnerstag, 29. Mai 2014

Gute Nacht vom Spammer!

Jetzt lieg ich hier wach am frühen Morgen und hab schon wieder lauter Sorgen. Wo krieg ich jetzt nen Spruch schnell her um dir zu sagen: Ich lieb dich so sehr.

Gèza

Tja, Gèza, vielleicht solltest du mal damit anfangen, nicht an irgendwelche Mailadressen zu schreiben, die du mit einem Harvester eingesammelt hast. Dann musst du nämlich nicht deine Opfer überrumpeln, sondern kannst ihnen hoffentlich halbwegs warme Worte sagen.

Aber statt warmer Worte hast du einen Anhang. Der ist ein ZIP-Archiv, und darin liegt eine Datei guten_morgen_526.exe, also eine ausführbare Datei für Microsoft Windows, die von kriminellen Spammern in einer Spam mit gefälschtem Absender zugesendet wurde. Was wohl passieren mag, wenn man diese Datei ausführt? Zum Glück bedarf es nur eines handelsüblichen Gehirnes, um sich das auszumalen.

Typischerweise ist es recht aktuelle Schadsoftware, die so unter die Leute gebracht wird. Es mag daran liegen, dass ich heute morgen nicht an meine Mail gekommen bin, dass mehr als die Hälfte aller Antivirus-Programme diesen gefährlichen Sondermüll auch als solchen erkennt – und fast die andere Hälfte eben nicht. Gut, dass es für einen Menschen sehr einfach ist, so etwas selbst zu erkennen und die Spam zu löschen.

Gutschein E16958FE360501

Montag, 12. Mai 2014

Zur Eröffnung bekommen Sie einen Gutschein für kostenlose Würstchen von uns geschenkt.
Gutscheinnummer: E16958FE360501
Gültigkeit: bis 17-05-2014

Mit freundlichen Grüßen,
Karl-Günter König
+0177 9911 xxx

Wir haben eine E-Mail, in deren Text bei Lichte betrachtet gar nichts steht. Klar, es gibt einen „Gutschein“, aber wo soll man den einlösen? Irgendwo, wo etwas eröffnet wird. Was wird da eröffnet? Eine Metzgerei? Eine chirurgische Klinik, die ihre Pathologieabfälle entsorgen muss? Und warum überhaupt?

Stattdessen hängt ein ZIP-Archiv an der Mail…

Und das Muster: Nichtssagender Mailtext, der entweder ein Appell an die Angst oder an die Gier ist – die beiden größten Freunde aller Kriminellen – begleitet von einem ZIP-Archiv als Anhang ist nicht wirklich neu, sondern der Standardweg, auf dem die Verbrecher ihre Schadsoftware verbreiten. Natürlich hängt da kein Gutschein an der Spam. Im ZIP liegt genau eine Datei, und das ist eine .exe, eine ausführbare Datei für Microsoft Windows, die von einem kriminellen Spammer in einer Spam zugestellt wurde. Wer Microsoft Windows benutzt und auf diese Datei einen Doppelklick macht und sie damit startet, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen.

Ganz so, wie es bei diesem Verbreitungsweg üblich ist, handelt es sich um sehr aktuelle Schadsoftware, die von vielen Antivirus-Programmen noch nicht als solche erkannt wird – zurzeit versagen neunzig Prozent der gängigen Antivirus-Programme bei der Erkennung dieser kriminellen Überrumpelung. Wer sich also nur darauf verlässt, ist wieder einmal verlassen – aber wer das einfache Muster…

  1. …die Mail kommt von einem Unbekannten; …
  2. …der Text der Mail enthält nicht die geringste harte Information, um was es eigentlich geht, sondern ist nur ein oberflächlich formulierter Appell an meine Gier oder meine Angst; und…
  3. …alles Weitere befindet sich in einem ZIP-Archiv, das an die Mail angehängt wurde…

…erkennt und sofort eine Zuckung im Löschfinger bekommt, ist gegen den größten Teil der zurzeit umlaufenden Trojaner-Spams gut gesichert. Es gibt immer noch kein besseres Antivirus-Programm als das eingeschaltete Gehirn.

E-Card from +01774804667

Montag, 5. Mai 2014

Ich habe den gleichen Müll auch mit ein paar anderen Nummern im Betreff und in der Mail…

Absender: +01774804667
Datum: 2014.05.05 11:50:29 UTC.
Nachricht: Ich liebe dich auch
ID: 84853773457705.

Tja, unbekanntes Schnuckelchen, warum sendest du mir dann keine ganz normale E-Mail, wenn du schon meine Adresse hast? Da kannst du dann Text reinschreiben und vielleicht mal erwähnen, wer du überhaupt bist. Den Ziffernsalat, der da deinen Namen ersetzt, finde ich jedenfalls etwa so erotisch wie eine Kurvendiskussion über eine Funktionenschar. Und außerdem musst du nicht so einen ZIP-Anhang dranhängen, in dem sich eine ausführbare Datei für Microsoft Windows befindet, die von einem Idioten von Spammer zugestellt wurde. Natürlich mit der Zusicherung…

This email is free from viruses and malware because avast! Antivirus protection is active.
http://www.avast.com

…dass das frische Trojanerpaket frei von Viren und Schadsoftware ist, geschworen beim heiligen Namen von Avast, besiegelt mit der gefälschten Absenderadresse und den hinterfotzigen Vorwand, mit dem einen dieser kriminelle Müll reingedrückt werden soll.

Moment, schauen wir uns das mit dem „keine Viren“ doch mal ein bisschen genauer an. Ah ja, es ist mal wieder ganz heißer, aktueller Scheiß, aber immerhin wirds jetzt schon von sechs Prozent der verbreiteten Antivirus-Schlangenöle erkannt. Der kleine Witz dabei: Avast erkennt diese Kollektion aktueller Schadsoftware zurzeit wirklich nicht als das, was es ist. 😀

Gut, dass das Gehirn eines Menschen derartigen Schrott wesentlich zuverlässiger erkennt!

Ich habe im Moment übrigens relativ viel aktuelle Schadsoftware in meinem Mülleingang, und bei den Maschen, mit denen die Menschen dazu gebracht werden sollen, derartige Anhänge zu öffnen und die darin abgelegten Programme auszuführen, wird ein bisschen experimentiert. Daraus kann ich vorsichtig schließen, dass die Rechnungen, Mahnungen und Anwaltsbriefe ohne inhaltlichen Text in der Mail, die alles Substanzielle im Anhang mitzuteilen vorgaben, mittlerweile kein so großes Erfolgsmodell mehr sind. Diese Hinterhältigkeit hat sich vermutlich gut herumgesprochen. Aber wer glaubt, dass die Kriminellen sich jetzt einer anderen Tätigkeit zuwenden würden, ist ein Traumtänzer. Deshalb kann ich nur dazu auffordern, aufmerksam zu sein. Der wichtigste Schutz vor Schadsoftware ist nicht etwa – wie es die Lüge der Reklame und der gekaufte Journalismus behaupten – ein Antivirus-Schlangenöl, dass die Schwächen eines notorisch für kriminelle Übernahmen anfälligen (und zudem auch noch teuren) Betriebssystemes zu lindern vorgibt, sondern ein restriktiv konfigurierter Webbrowser und das genaue Wissen darum, dass jede E-Mail mit einem ZIP-Archiv im Anhang stinkt und nur mit der allergrößten Vorsicht behandelt werden sollte. Niemals auf Dateien klicken, die in solchen ZIPs herumliegen. Auch nicht, wenn die Mails so aussehen, als kämen sie von renommierten Unternehmungen. Und schon gar nicht, wenn die Mails von völlig Unbekannten kommen und ein offener Appell an die Angst oder an den Eros sind. Im Zweifelsfall derartige Mails immer löschen, und auch bei Unternehmungen, die derartige Anhänge versenden, vor dem Öffnen jedes einzelnen derartigen Anhanges telefonisch nachfragen und am Telefon jede Möglichkeit einer Fälschung ausdrücklich ausschließen lassen¹. Die Absenderadresse einer E-Mail kann jeder aufgeweckte Dreijährige fälschen, sie ist niemals ein Kriterium – also müssen andere Wege gegangen werden…

¹Die Deutsche Telekom versendet immer noch ihre Rechnungen in einem ZIP-Archiv. Sie sollte meiner Meinung nach für den Schaden, den sie dadurch mittelbar anrichtet, in möglichst großem Umfang zivilrechtlich haftbar gemacht werden, damit dieser technisch und sachlich unnötige Unsinn aufhört. Die Chancen für ein zivilrechtliches Einfordern von Schadenersatz nach einer telefonischen Klärung der Echtheit eines zugestellten Dokumentes halte ich – wohlgemerkt, als juristischer Laie – für recht gut. Das ZIP ist unnötig. PDF-Dateien sind für sich bereits sowohl komprimierbar als auch digital signierbar, ohne in einem solchen Archiv-Container gesteckt werden zu müssen.

Kreditschuld zur Rechnung #239574485901756

Dienstag, 29. April 2014

Die Schadsoftware-Spammer haben gerade so viele neue Texte, hier gleich noch einer:

Sehr geehrter Kunde,

Wo ich doch überall Kunde bin, ohne dass ich einen Namen habe, zum Beispiel…

Wir sind ganz dankbar, dass Sie die Dienstleistungen unserer Bank benutzt haben.

…bei einer Bank, die zum Ausgleich dafür aber auch keine Firmierung hat.

Wir teilen Ihnen mit, dass vom 28.04.2014 die Schuld beim Konto #239574485901756 3892.99 Euro beträgt. Wir bieten Ihnen an, die Rückzahlung der Geldmittel in vollem Umfang bis 24.05.2014 freiwillig durchzuführen [sic! Zahl deine Schulden freiwillig!].

Die freiwillige Rückzahlung der Geldmittel zum Vertrag #F3131E4955124464A [sic!] bietet Ihnen an:
1) Ihre positive Kredit-Geschichte beibehalten [sic!]
2) Die Gerichtsverhandlung vermeiden [sic!]

Keine Bank, die deutschsprachig mailt, schreibt ein ‚#‘ vor einer Kontonummer. Und ein „Vertrag“, über den man nichts weiter erfährt als eine sechszehnstellige sedezimale Zahl, ist einfach nur lächerlich. Damit passt dieser „Vertrag“ aber ganz hervorragend in die gesamte Lächerlichkeit des Textes, der mit erstaunlich vielen Worten genau nichts sagt.

Im Falle der Nichtzahlung 3892.99 Euro [sic! Wort fehlt.] sind wir im Rahmen der aktuellen Gesetzgebung berechtigt [sic! Das Bürgerliche Gesetzbuch vom 1. Januar 1900 ist ja so was von aktuell…], die Gerichtsstrafe [sic! Tolles Wort!] wegen der Schuldigkeit auszuführen [sic!].

Überdem weiß diese „Bank“ offenbar nicht, wie das gerichtliche Mahnverfahren in der Bundesrepublik abläuft, sonst würde sie wohl kaum so eine unbeholfene und unfreiwillig komische… sorry… Scheiße schreiben.

Die Vertragskopie #F3131E4955124464A und Zahlungsangaben sind zu diesem Brief als ZIP-Datei „vertrag_F3131E4955124464A.zip“ hinzugefügt.

Klar, wie immer ist es ein ZIP-Archiv, das an der Spam hängt. Wer häufiger in Unser täglich Spam reinschaut, weiß schon, was jetzt kommt: Darin ist eine einzige Datei, deren Dateiname auf .exe endet, es handelt sich um eine ausführbare Datei für Microsoft Windows, die von einem kriminellen Spammer mit einer alarmierend formulierten Spam zugestellt wurde. Wer diese Datei auf seinem Rechner ausgeführt hat, der hat ein Problem: Der Rechner auf dem Schreibtisch gehört jemandem anders, die Internetleitung gehört jemandem anders und die auf dem Rechner gespeicherten Daten gehören ebenfalls jemandem anders.

Die sehr aktuelle Schadsoftware wird zurzeit von weniger als zehn Prozent der gängigen Antivirus-Programme erkannt. Und genau so etwas ist der Grund, weshalb man Spam selbst erkennen und löschen muss, anstatt verängstigt oder neugierig – dies sind zwei Haltungen, denen die Dummheit auf dem Fuße folgt – darin herumzuklicken. Wenn aber das beste Antivirus- und Antispam-Program der Welt, das Gehirn, erst einmal aktiviert wurde, werden oft – neben einigen unterstützenden Addons für Webbrowser und Mailclient – keine zusätzlichen Sicherheitsprogramme mehr benötigt.

Mit freundlichen Grüßen,
Leiter des Departments für die Arbeit mit den Schulden. [sic!]
Abbes Eggert
+49 (0) 30 649 574 xx [Hier unkenntlich gemacht]

Bwahahaha! Einen schönen Gruß zurück an den „Leiter des Departments für die Arbeit mit den Schulden“! Spammer, du hast mich zum Lachen gebracht, und das ist bei deinen miesen, asozialen Nummern wirklich nicht so einfach. Aber so eine dümmliche Selbstbezeichnung eines Spammers ist mir schon lange nicht mehr untergekommen.

fax aus +49 (0) 30 999 117 xx – 24 seiten

Dienstag, 29. April 2014

[Die letzten beiden Stellen der Telefonnummer sind unkenntlich gemacht, diese Telefonnummer hat nichts mit dem Absender dieses Mülls zu tun.]

So so, jetzt wird mir schon der Maileingang zugefaxt. „Aus“ irgendeiner Nummer, die ich noch nie gesehen habe…

Faxnachricht [Caller-ID: +49 (0) 30 999 117 xx]
Seiten: 24.
Datum: 2014-04-28 13:05:44 UTC.
Kennziffer: A378219D4414DF78922B.

Sogar an eine Uhrzeit hat der Spammer gedacht, wenn auch aus einer hierzuland eher unüblichen Zeitzone. Und ein paar Buchstaben und Zahlen hat er durchgemischt, um eine völlig nutzlose Information anzugeben.

Die eigentliche „Mitteilung“ liegt natürlich im Anhang. Dieser ist ein ZIP-Archiv, in dem eine .exe herumliegt, also eine ausführbare Datei für Microsoft Windows, die von einem kriminellen Spammer zugestellt wurde. Um was es sich dabei handelt, bedarf hoffentlich keiner weiteren Erläuterung mehr. Wer diese Datei ausführt, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen, und diese Leute sind nichts, was man nur irgendwie in seiner Nähe haben möchte.

Wer sich auf Virenscanner verlassen hat, war bei der aktuellen Schadsoftware in über 60 Prozent der Fälle verlassen. Besser war dran, wer diese Spam als Spam erkannt und einfach gelöscht hat…

Viagra gen für 1,00 EURO, erst nach Erhalt der Ware!

Sonntag, 27. April 2014

Verschreibungspflichtige Medikamente für fehlendes Rezept und billig billig billig!

Viagra gen fur 1,00 EURO, erst nach Erhalt der Ware!

Hey Spammer, das hast du schon im Betreff gesagt, und es wird auch nicht besser, wenn du es fett setzt und da einen Link in die Domain electio (punkt) net (punkt) ua draufmachst. Der Link führt übrigens nach einer Kaskade von „nur“ zwei Weiterleitungen auf die Website in der Domain www (punkt) pillsstore (punkt) org, die natürlich über einen Whois-Anonymisierer¹ aus dem schönen (und hoffentlich von den drohenden Kriegsgefahren verschonten) Kiew betrieben wird. Dort findet sich eine tolle „Apotheke“ ohne Impressum, in deren Angebot…

Screenshot der betrügerischen Website www (punkt) pillsstore (punkt) org

…man zwar im Moment keine Aspirin findet, aber dafür allerlei Pillen für den Pimmel.

Einmalige Aktion! Bei der Bestellung bis zum 01.05, bieten wir 20 Viagra gen. für den Preis von 20,00 Euro an. Die Lieferkosten (Lieferung aus Deutschland, per Einschreiben) sind innbegriffen und Sie können den Betrag erst nach Erhalt überweisen!

Die Aktion ist so einmalig wie diese Spam. Und der aus Deutschland liefernde „Apotheker“ ist so kriminell wie einer, der verschreibungspflichtige Medikamente ohne Rezept verkauft. Immerhin werden diese spottbillig angebotenen pillz noch die Form, Farbe und Prägung der Tabletten haben, aber die viel interessantere Frage, was zum entmannten Henker da drin ist, kann nur ein Labor beantworten. Dementsprechend ist übrigens auch die automatische Bewertung durch LegitScript.

Die Lieferzeiten betragen 2 Werktage innerhalb Deutschlands und 4 WT für die Schweiz und Österreich.

Und wenn das mal das einzige ist, was da geliefert wird! Und wenn das überhaupt geliefert wird!

Die Website dieses vorgeblichen Pimmelpillen-Apothekers, der in seinem Angebot so tut, als würde er mir am liebsten noch etwas dazu schenken, wenn ich ihm nur seine Giftpillen wegesse, erweckt einen ganz anderen Verdacht.

Der HTML-Code dieser Website ist nicht gerade gut lesbar. Der größte Teil der Seite ist in eine einzige, sehr lange Zeile geschrieben, so dass es beim Anblick des Quelltextes erschwert ist, einen Eindruck von eventuellen Crack-Versuchen zu bekommen. Die eingebetteten Dateien mit JavaScript-Anweisungen, Bildern und Stylesheets haben zusätzlich sehr kryptische Namen bekommen, hier nur ein paar Beispiele dafür:

  • c2003e28d1d7fd8e87a88d6f1fd12523.css
  • 005b4e090954cbe6edbcc7d8585fe54f.js
  • uoczyc6puggkb2uu-llp.jpg
  • tk_xfl1jhgl0lapnpzv0.jpg

Solche Dateinamen vergibt natürlich niemand, der sein Projekt vielleicht noch einmal pflegen will – und er schreibt natürlich auch seinen Quelltext so, dass seine Struktur klar wird. (Wie man das macht, hängt natürlich vom Coder und eventuell von Vorgaben ab, aber eine einzige lange Zeile ist das, was niemand machen würde – nicht einmal aus Performance-Gründen, weil der Webserver zu jedem modernen Webbrowser eine gzip-komprimierte Version der Daten übertragen kann, die wesentlich besser als solche „Tricks“ ist.)

Spam macht mich immer skeptisch, denn Spam ist immer kriminell. Wenn die Spam mit solchen „Tricks“ einher geht und gleichzeitig vorgibt, sehr unglaubwürdig günstige Angebote zu machen, bin ich mir sicher, dass etwas richtig faul ist. Leider fehlt es mir gerade an den paar Stunden Zeit, um so durchgehend zu analysieren, wie es für ein abschließendes Urteil nötig wäre, aber der folgende Screenshot der eingebetteten Javascript-Datei aus meinem Editor gibt hoffentlich auch einem Unkundigen einen Eindruck davon, dass hier vor neugierigen Augen wie meinen verborgen werden soll, was für ein Programmcode da – für eine alles in allem schlichte Seite – in den Browser gemacht werden soll:

Screenshot des Editors, der die Javascript-Datei dieser Seite anzeigt

Das geht so 133 KiB lang weiter, die sich auf insgesamt vier Zeilen aufteilen. Wie schon weiter oben gesagt: So programmiert niemand, der nichts zu verbergen hat. Wer sich mal an dieser – teils übel verschachtelten – Sammlung von Funktionen mit mehreren integrierten evals versuchen möchte: Ich habe die komplette Datei bei Pastebin hochgeladen. Aber Vorsicht, das ist JavaScript von Kriminellen, und es stinkt zum Himmel…

Oder vielleicht etwas klarer gesagt: Wer diese Seite mit seinem Browser betrachtet und das Ausführen von JavaScript gestattet hat – ich kann ein Addon wie NoScript nur wärmstens empfehlen, denn es bietet bei derartigen Angriffen mehr Schutz als jedes Antivirusprogramm – der hat jetzt vermutlich, wenn der Browser oder ein vom Browser benutztes Plugin irgendwie angreifbar war, einen Computer anderer Leute auf dem Schreibtisch stehen. Und diese anderen Leute sind nicht nett. Und der Virenscanner kennt die Masche möglicherweise noch nicht.

Deshalb klickt man ja auch nicht in eine Spam. (Außer, man weiß, wie man ein besonders gesichertes System dafür aufsetzt – und nein: eine „Personal Firewall“ und ein Antivirus-Programm sind keine besondere Sicherung, sondern die Standardkonfiguration, die von den Kriminellen selbstverständlich auch ausprobiert wird, denn sie leben davon, dass ihre Angriffe möglichst häufig funktionieren). Das bisschen befriedigte Neugierde ist keine hinreichende Entschädigung für den Ärger, den man hinterher damit haben kann.

Übrigens scheint auch das verwendete Stylesheet nicht ganz koscher zu sein. Auch hier habe ich gerade nicht die Zeit, mir das näher anzuschauen. Es enthält mehrere Grafiken als Data-URL (das ist eine durchaus legitime Technik, wenn sie auch nicht formell standardisiert ist). Eine dieser Grafiken ist ein Hintergrund mit einem GIF, das eine Höhe und Breite von 0 Pixeln hat, aber dafür erstaunlich viel Daten benötigt. Das erweckt den starken Eindruck, dass hier in bestimmten Browsern oder Bibliotheken ein Pufferüberlauf provoziert werden soll, um auf diese Weise Code auszuführen. Von daher könnte diese Seite sogar dann noch gefährlich sein, wenn man die Ausführung von JavaScript verbietet. 🙁

Und deshalb klickt man eben nicht in eine Spam… so einfach geht der Selbstschutz! Und sage niemand, dass man diese Müllmail nicht als Spam erkennen könne! 😉

Wir möchten Ihnen gute Ware unter einmaligen Bedingungen Liefern!

Scheinheiligsprechungen sind beim Vatikan zu beantragen! :mrgreen:

Mit freundlichen Grüßen.

+49692222xxxx
Web >>>

Mit Gruß von einer Telefonnummer.

Ach ja, diese Spam war übrigens auch HTML-formatiert und schaute, wenn man HTML-formatierte Mails anzeigen lässt, so aus:

Screenshot der HTML-formatierten E-Mail mit ihren eingebetteten Grafiken

Mit rübergeblasenem Judasküsschen vom kriminellen Cracker.

¹Weil ich in der letzten Zeit mehrfach gefragt wurde, ob das nicht immer ein schlechtes Zeichen ist: Nein, ist es nicht. Es kann für Privatpersonen vollkommen sinnvoll sein, ihre Anschrift, Telefonnummer und Mailadresse vor einer nicht immer wohlwollenden Öffentlichkeit über einen Whois-Anonymisierer zu verstecken – zum Beispiel zum Schutz vor Spam und fiesen, personalisierten Betrugsnummern. Aber bei gewerblichen Auftritten ist es in der Tat immer ein schlechtes Zeichen, weil hier kein Grund besteht. Die Anschrift der Unternehmung nebst diversen Kontaktmailadressen und Telefonnummern ist bereits an anderen Stellen und auf der Website frei zugänglich veröffentlicht. Eine gewerbliche Website, für deren Domain ein Whois-Anonymisierer verwendet wird, ist also immer als äußerst fragwürdig anzusehen.

überfällige Zahlung

Mittwoch, 16. April 2014

Alle laufenden Arbeiten wurden rechtzeitig durchgeführt, ich verstehe nicht warum Sie immer noch nicht bezahlt haben und mir 156.72 euro schulden. Kostenplan im Anhang.

Gudeheuic Dogan.

Hallo, Empfänger, den ich nicht kenne,

du hast keinen Namen, und deshalb kann ich dich nicht ansprechen. Ich habe irgendwelche Arbeiten für dich gemacht und dich dabei nicht nach deinem Namen gefragt. Die Arbeiten sind fertig. Du hast die noch nicht bezahlt und schuldest mir Geld. Wenn du wissen willst, um was es überhaupt geht, musst du den Anhang aufmachen.

Ein Name, den du noch nie gehört hast.

Die Rätselfrage, was sich wohl in diesem Anhang – ein ZIP-Archiv mit dem Dateinamen kostenplan.zip – befinden könnte, ist natürlich zu einfach. Und ganz so, wie es fast jeder vermuten würde: Es handelt sich tatsächlich um eine .exe, um eine ausführbare Datei für Microsoft Windows. Diese wurde von kriminellen Spammern zugestellt, und das macht wohl auch klar, was man seinem Computer und sich selbst antut, wenn man dieses von Kriminellen zugestellte Programm startet. Deshalb löscht man ja auch solche anonyme Spam, die im Text der Mail zwar aufwühlend klingt, aber nichts sagt, um zu proklamieren, dass alles Weitere im Anhang zu lesen ist, der ein ZIP-Archiv ist.

Die Erkennung dieses Musters ist also wirklich leicht. Generell gilt: Jede „geschäftliche“ Mail mit einem ZIP-Archiv im Anhang stinkt und sollte sofort Spamverdacht erwecken, auch bei namentlicher Ansprache¹. Es gibt keinen objektiven Grund, so zu mailen². PDF-Dokumente können ihrerseits komprimiert sein. Der einzige Grund ist das Austricksen der Spamfilter.

Für das Antivirus-Schlangenöl ist die Erkennung hingegen nicht so leicht, die angehängte Schadsoftware wird nur von zwei Fünftel der gängigen Programme als Schadsoftware erkannt. Es gibt eben keine Alternative zur Benutzung des Gehirns, und es gibt keine Software, mit der man sich diese „Mühe“ ersparen kann. Zum Glück, möchte ich am liebsten sagen… 😉

¹Nach diversen Datenlecks haben Spammer inzwischen umfangreiche Zuordnungen von Mailadressen zu Namen zur Verfügung, so dass sie oft eine richtige Anrede hinbekommen.

²Übrigens auch nicht für die Deutsche Telekom, die in dieser Form Rechnungen zustellt und damit den Boden für diese Kriminalität bereitet. PDF-Dokumente sind auch digital signierbar, werte Verantwortliche bei der Telekom.

Tipps und Tricks zum Programmieren

Mittwoch, 16. April 2014

Unendlich scheint die „Kreativität“ der Spammer zu sein, wenn sie nach Wegen suchen, wie man Menschen dazu bringt, eine ausführbare Datei für Microsoft Windows in einem Archiv zu öffnen, das an eine Spam angehängt wurde. Die folgende Spam ist eine Masche, die mir neu ist:

Das Programmieren mit VBA könnte so einfach sein,
wenn man alle Objekte, Methoden, Ereignisse, Eigenschaften und Parameter auswendig kennen würde.
Da dies nicht der Fall ist, erfahren Sie im ersten Tipp dieser Zusammenstellung von Tipps und Tricks, wie Sie dennoch an alle gewünschten Informationen bezüglich des
Objektmodells kommen. Im zweiten Tipp lernen Sie, was ein Wrapper ist und wie er Ihre Arbeit vereinfachen kann.

Die Zeilenumbrüche sind aus dem Original.

Angehängt an die Spam ist ein RAR-Archiv DER EBOOK.rar. Ich vermute, es ist für die meisten Leser nicht überraschend, dass sich darin eine ausführbare Datei namens DER EBOOK.exe befindet – und wer dieses von einem Spammer zugestellte Programm auf seinem unter Microsoft Windows laufenden Computer gestartet hat, der hat hinterher eben einen Computer anderer Leute auf dem Schreibtisch stehen.

Die Schadsoftware wird von 60 Prozent der Virenscanner als solche erkannt, und von vielen anderen eben noch nicht.

Danke für dieses Zustecksel an meine Leserin S. T.

Close

⚠️ Kein Adblocker erkannt 🛑

Bitte installieren Sie so schnell wie möglich einen Adblocker für ihren Webbrowser! Sie schützen damit die Ihren Computer vor Schadsoftware, die über Malvertising verteilt wird, und Sie schützen sich selbst vor Ausspähung und intransparentem Datenhandel durch halbseiden bis grenzkriminell vorgehende Wirtschaftsunternehmen. Das ist Grund genug, einen Adblocker zu verwenden. Aber gleichzeitig machen Sie auch Ihre gesamte Interneterfahrung schöner, erfreulicher und schneller. Ich empfehle uBlock Origin.