Schlagwortarchiv „Schadsoftware“

Documents

Dienstag, 5. November 2013

Diese Müllmail kommt mit dem gefälschten Absender info (at) amadeus (punkt) com und erfreut beim Lesen damit, dass der Absender auf jeden weiteren Text verzichtet hat. Der gesamte Text der Mail besteht aus einem einzigen Leerzeichen. 😉

Das ist gut, denn so bleibt mir der Kopfschmerz beim Lesen eines idiotischen Textes erspart.

Weniger gut ist, dass da ein Anhang dranhängt. Es handelt sich um ein ZIP-Archiv mit dem Dateinamen DOCS.zip, das eine einzige Datei mit dem Namen DOCS.exe enthält.

Diese ist natürlich kein Dokument oder so etwas, sondern eine direkt ausführbare Datei für Microsoft Windows, die von einem asozialen, kriminellen Spammer mit gefälschtem Absender zugestellt wurde. Mehr muss dazu eigentlich schon nicht mehr gesagt werden. Wer dieses ZIP-Archiv entpackt und die angehängte Datei doppelklickt, um sie auszuführen, hat verloren und hinterher einen Computer anderer Menschen auf seinem Schreibtisch stehen.

Dieser Sondermüll wird zurzeit von weniger als einem Drittel der Antivirus-Programme als Schadsoftware erkannt. Zum Glück ist die Erkennung durch einen Menschen in diesem Fall relativ einfach.

Jedes ZIP-Archiv, das an eine E-Mail angehängt wurde, stinkt – und besonders markant, wenn es unabgesprochen von irgendwelchen Unbekannten oder in einer vorgeblich geschäftlichen Mail zugestellt wurde.

Foto und Video MMS

Donnerstag, 24. Oktober 2013

Dieser gefährliche Müll kommt mit Absendern @t-mobile (punkt) de, aber natürlich ist dieser Absender gefälscht.

Absender: +4916001793165

MMS:

Tja, unter MMS ist ein leeres Kästchen. Da muss mir der freundliche Spammer auch gleich mal erklären, was eine MMS ist und wieso zum Henker ich die bekommen kann, obwohl ich gar kein Handy benutze, sondern meine Mail abhole:

MMS empfangen – auch per E-Mail

Brieftauben empfangen, auch per Telefon.

< Bis zu 1000 Zeichen Text je MMS

Toll, das muss dieser Fortschritt sein, dass man jetzt E-Mail über eine ungeeignete Schnittstelle schreiben kann, und dazu auch noch Einschränkungen hat.

< E-Mailadressen oder ins Telekom Festnetz bis 300 KB

Dieser Satz oder ab Hauptbahnhof Hannover kein Verb und kein Sinn.

< Der Empfang von Foto und Video MMS im Inland ist kostenlos. Wenn Sie eine MMS an eine E-Mail senden, erhält der Empfänger eine E-Mail mit Anhang
2). Falls der Empfänger kein MMS-fähiges Handy besitzt, kann er Ihre Nachricht auf der Website www.mms.t-mobile.de abholen und auch weiterleiten
2). Den nötigen Link und das individuelle Passwort auf der Website erhält er per SMS.

So kommen wir zweimal zu zweitens, denn doppelt hält ja bekanntlich besser. Aber ich habe gar nicht vor, überteuert Medien über ein Händi zu versenden, sondern ich habe eine Drecksmail erhalten. Schon dumm, wenn ein Idiot von Spammer sich den Text der Spam von irgendwo zusammenkopiert und nicht einmal genug Deutsch kann, um zu bemerken, dass sein hirnloses Gestammel nicht den geringsten Sinn ergibt.

Was gar nicht klar wird, wenn man diesen faden Sprachbrei liest, ist, dass die Spam auch noch einen Anhang hat. Der soll offenbar die angebliche MMS sein. Wie üblich handelt es sich um ein ZIP-Archiv, und darin liegt eine Datei mit der Namenserweiterung .jpg.exe, also eine von Spammern zugestellte ausführbare Datei für Microsoft Windows, die versucht, so zu tun, als sei sie ein JPEG-Bild. Was davon zu halten ist, sollte allein aus dieser Beschreibung klar werden. Wer diese EXE ausführt, weil er ein Bild betrachten möchte, das von einer unbekannten Person über ein obskures Verfahren zugestellt wurde und mit einer merkwürdigen Mail angekommen ist, hat hinterher einen Computer anderer Leute auf seinem Schreibtisch stehen.

Die Schadsoftware wird zurzeit von weniger als der Hälfte der gängigen Antivirus-Programme als Schadsoftware erkannt. Immer noch sind die Hersteller und Verkäufer von Antivirus-Programmen der Meinung, dass es legitime Gründe geben kann, eine ausführbare Datei für Microsoft Windows über einen irreführenden Dateinamen als ein anderes Dateiformat zu tarnen – eine an sich sehr primitive Masche in der Spam, die bereits seit Jahren läuft. Oder anders gesagt: Die Anwender der Antivirus-Programme mit ihrem Schutzbedürfnis bei der Computernutzung sind den Herstellern und Verkäufern der Antivirus-Programme so gleichgültig, dass einfachste Muster, die nur zur Irreführung von Menschen dienen können und die von Verbrechern seit Jahren zur Irreführung von Menschen benutzt werden, beim angeblichen „Scan“ nicht berücksichtigt werden.

Wer trotzdem auf dieses Schlagenöl vertrauen will, der vertraue! Leider ist Dummheit nicht verboten. (Sonst würden auch ganze Geschäftsmodelle zusammenbrechen.)

Noch so eine Mail

Der Unsinn mit den MMS-Nachrichten per E-Mail, die in einem Anhang Schadsoftware enthalten, kommt gerade massiv zurück – ich habe sehr viel von dieser Spam im Sieb.

Natürlich gibt es derartige Spam auch in mies… also ohne den Versuch, einen erläuternden Text reinzuschreiben. Etwa so wie dieses Prachtexemplar der Gattung Inhaltsleer vom gefälschten Absender noreply (at) mms (punkt) eplus (punkt) de mit dem tollen Betreff „MMS“:

24102913AXCPERNM

„In einer solchen Mail möchte man doch sofort herumklicken“, scheint sich der völlig enthirnte Verbrecher bei seiner Idee gesagt zu haben. Der Anhang ist wieder ein ZIP-Archiv, in dem sich eine ausführbare Datei für Microsoft Windows befindet, die nicht einmal versucht, mit einer Fake-Extension wie etwas anderes auszusehen – aber das Icon erweckt natürlich den Eindruck einer Bilddatei. Diese Schadsoftware wird zurzeit nur von einem guten Zehntel der gängigen Antivirus-Programme als Schadsoftware erkannt. Gut, dass es ein handelsübliches Gehirn in einem solchen Kontext viel leichter hat… 😉

Ich kann es aber dennoch nicht häufig genug sagen: Mails mit einem ZIP-Archiv im Anhang stinken. Unverlangt zugestellte Mails mit Anhang sollten nur noch mit der Kneifzange angefasst werden, und auch bei verabredeten Mails ist eine gewisse Restvorsicht angemessen, so etwas wie eine kleine Rückfrage, bevor darin rumgeklickt wird – vor allem, wenn das ZIP-Archiv überflüssigerweise benutzt wird, um eine einzelne Datei in einem schon komprimierenden Format wie JPEG, PDF oder dergleichen zu transportieren.

MMS

Donnerstag, 10. Oktober 2013

Ja, das war der Betreff dieser Mail mit dem gefälschten Absender mms (punkt) t (strich) d1 (punkt) de. In Wirklichkeit stammt diese Spam von einer dynamisch vergebenen IP-Adresse aus Italien, also von einem mit Schadsoftware übernommenen Privatrechner.

091013YZMPGPLUS

Ja, das war der Text der Mail.

Aber nein doch, es war nicht die ganze Mail. Da ist noch ein Anhang. Dieser besteht – wie üblich in der Schadsoftware-Spam – aus einem ZIP-Archiv, in dem eine ausführbare Datei für Microsoft Windows liegt. Und auch, wenn dieser Hinweis langweilt: Es handelt sich um eine aktuelle Schadsoftware, die zurzeit von der Hälfte der Antivirus-Programme nicht als solche erkannt wird. Deshalb verlässt man sich nicht auf sein Antivirus-Schlangenöl und löscht seine Spam unbesehen.

Zumindest das fällt in diesem Fall leicht… 😉

foto 20131007

Montag, 7. Oktober 2013

Eine mir völlig unbekannte 885jannie (at) web (punkt) de überrascht mich mit der kürzesten Spam des heutigen Tages:

Sent from my iPhone

Ist ja schön, unbekannte „Jannie“, dass du dein Geld für eine entrechtenden Taschencomputer von Apple aus dem Fenster wirfst, aber deshalb musst du mir doch nicht gleich solche Mails schreiben, in denen gar nichts drin steht. Oder verlernt man das mit dem schriftlichen Ausdruck, wenn man wieder wie ein kleines, der Sprache nicht mächtiges Kind nicht spricht, sondern mit seinem Fingern direkt nach den Dingen greift, die man haben möchte und wenn man ansonsten nur viele bunte Bilder in einem displaykleinen Kleinkindzimmer hin-und-herschiebt?

Ach, da ist ja noch ein Anhang dran, „Jannie“.

Mit einem ZIP-Archiv, in dem eine Datei liegt, deren Namen auf .jpeg.exe endet, also mit einer ausführbaren Datei für Microsoft Windows, die von kriminellen Spammern zugestellt wurde.

Und damit sich dieser Angriff auf einige zehntausend Privatrechner auch lohne, erkennt nur ein Fünftel der gegenwärtigen Antivirus-Programme deine Schadsoftware.

Komm, „Jannie“, das ist zwar kein Foto, aber es gibt einen besseren Eindruck von dir, als jedes Foto es vermöchte…

Dein dich „genießender“
Nachtwächter

PS: ZIP-Archive in Mailanhängen stinken! Immer!

RechnungOnline Monat Oktober 2013

Montag, 30. September 2013

Die Mails mit dem gefälschten Absender rechnungonline (punkt) (at) telekom (punkt) de, die verblüffend ähnlich wie eine echte Mail der Deutschen Telekom aussehen, sind natürlich keine Mails der Deutschen Telekom. Mein soeben erhaltenes Exemplar wurde von einer dynamisch vergebenen IP-Adresse aus Italien, also vermutlich über einen mit Schadsoftware zum Bot gemachten Privatrechner, versendet. Das Layout und der Text entspricht vollständig dem kriminellen Versuch aus dem Februar dieses Jahres.

Ihre Rechnung für Oktober 2013

Guten Tag,
mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung. Die Gesamtsumme im Monat Oktober 2013 beträgt: 41,67 Euro.

Spätestens beim Fehlen der persönlichen Anrede sollte klar sein, dass es sich nicht um eine Mail der Deutschen Telekom handelt. Kein Unternehmen wird seine Kunden unpersönlich ansprechen. Da die Spammer inzwischen viele Zuordnungen von Namen zu Mailadressen in ihrem Datenbestand haben, ist aber auch eine persönliche Ansprache in keinem Fall mehr ein hinreichendes Indiz, dass die Mail wirklich von der Deutschen Telekom stammt.

Ziel dieser Spam ist es, dass der Empfänger den Anhang öffnet. Es handelt sich um ein ZIP-Archiv, in dem sich eine Datei befindet, deren Name auf .pdf.exe endet, also eine direkt ausführbare Datei für Microsoft Windows, die von Verbrechern mit gefälschtem Absender unter Erweckung eines falschen Eindruckes zugestellt wurde – und die als kostenlose Zusatzleistung klar macht, wie die Verbrecher wohl an ihr Botnetz für den Spamversand gekommen sind. Nach dem „Öffnen“ dieser Datei hat man einen Computer anderer Leute auf seinem Schreibtisch stehen und muss damit leben, dass die Internetleitung von Verbrechern genutzt wird, dass sämtliche Tastatureingaben an die Verbrecher gehen und dass alle auf diesem Rechner bewusst oder unbewusst gespeicherten Daten kompromittiert sind.

Wer Microsoft Windows in den Standardeinstellungen belassen hat, glaubt zu sehen, dass der Dateiname auf .pdf endet, weil Microsoft der Meinung ist, dass der wirkliche Dateiname vor dem Anwender verborgen bleiben muss und mit dieser dummen und leider – trotz der Wucht der organisierten Internet-Kriminalität der Zehner Jahre – niemals korrigierten Entscheidung aus der Mitte der Neunziger Jahre eine derartige Überrumpelung überhaupt erst ermöglicht.

Die Schadsoftware wird zurzeit nur von einem Drittel der gängigen Antivirus-Programme erkannt. Wer sich auf diesen „Schutz“ verlassen hat, ist wieder einmal verlassen.

Warum die Hersteller des Antivirus-Schlangenöls¹ nicht dazu imstande sind, eine Datei mit einem Namen wie .pdf.exe allein deshalb als verdächtig zu behandeln, weil eine solche Benennung außerhalb der Trojanerverbreitung durch Überrumpelung vollständig sinnlos wäre, gehört zu den Fragen, die sie am besten einmal dem Antivirus-Schlangenölhersteller ihrer Wahl stellen. Nachdem derartige Nummern schon seit einigen Jahren laufen und großen Schaden anrichten, habe ich nicht mehr das geringste Verständnis dafür, dass dieses sehr einfache Muster einer doppelten Dateinamenserweiterung von .exe-Dateien nicht erkannt wird.

Wenn diese Spam mit einer namentlichen Ansprache bei einem Telekom-Kunden angekommen wäre, hätte er kaum Chancen gehabt, sie als Spam zu erkennen. Als letztes verdächtiges Anzeichen bleibt der leicht zu übersehene, überflüssige Punkt in der gefälschten Absenderadresse. Diese Schwäche wird vermutlich in zukünftigen Spamwellen dieser Masche verschwinden.

Es gilt weiterhin: Anhänge in E-Mails stinken und sollten nur mit äußerster Vorsicht behandelt werden. Dies gilt in ganz besonderem Maße, wenn der Anhang ein ZIP-Archiv ist, in dem sich ein angebliches „Dokument“ wie eine Rechnung, eine Auftragsbestätigung, eine Mahnung oder dergleichen befindet. In diesen Fällen handelt es sich beinahe ausschließlich um Schadsoftware, die an einen serverseitigen Spamfilter vorbeigemogelt werden soll – auf den meisten Servern wird nämlich darauf verzichtet, bei der Spamerkennung Archivformate auszupacken, um zu vermeiden, dass mit einer Archivbombe der Server „abgeschossen“ werden kann.

Wenn sie eine Rechnung als E-Mail erhalten, und im Anhang dieser Mail befindet sich ein ZIP-Archiv, das die eigentliche Rechnung enthält, können sie diese Mail bereits löschen. Es besteht keinerlei sachliche Notwendigkeit, echte Rechnungen in ein Archiv zu verpacken und auf diese Weise für den Empfänger umständlicher handhabbar zu machen (weil PDF-Dokumente bereits selbst komprimiert werden können). Aber es gibt einen „guten“ Grund für die Spam-Verbrecher, ihren hochgefährlichen Sondermüll in dieser Darreichungsform zu versenden. Schließlich leben die Halunken davon, dass die Mail nicht in Spamfiltern hängenbleibt, sondern ankommt und arglose Menschen dazu bringt, das zu tun, was die Halunken wollen.

Also: Äußerste Vorsicht bei E-Mail mit Anhang! Egal, wer der Absender zu sein scheint!

¹Wenn eine derartig primitive Masche auch nach Jahren noch dazu benutzt werden kann, einem naiven Anwender eine Software von Verbrechern unterzujubeln, dann belegt das nur eines: Den Herstellern von Antivirus-Programmen sind die realen Verbreitungswege der Schadsoftware und die davon betroffenen Menschen egal. Ihnen reicht das Geschäft mit der gefühlten Sicherheit, das sie sich gut bezahlen lassen. Sie sind wie Quacksalber, die einem Menschen mit einer lebensbedrohlichen Lungenentzündung überteuerte Hustenbonbons verkaufen und auf die Placebo-Wirkung hoffen. Es ist nur noch Schlangenöl, kein Bemühen mehr um das, was eigentlich verkauft wird: Ein leidlich vor den Attacken der Kriminellen abgesicherter Computer.

Kundennummer: 4541835xx Ihre Online-Rechnung 04071334xx

Montag, 16. September 2013

Nummern von mir unkenntlich gemacht. 😉

Roomnight Logo

Roomnight Teaser

Kein Witz, das stand da wirklich so. Da haben die Spammer beim Kopieren des Textes aus einer echten, HTML-formatierten Mail das Logo mitkopiert, und in der Zwischenablage landete nur der blöde ALT-Text der Grafiken. Und da diese Spammer vermutlich schlechter Deutsch verstehen als ich Russisch, haben sie nicht bemerkt, wie fehl am Platze das ist und es einfach so stehen lassen.

KAUFBESTÄTIGUNG FÜR IHREN ROOMNIGHT GUTSCHEIN | EBAY-ARTIKEL-NR: 196230805851

Merke: Wenn man etwas bei eBay bestellt, bekommt mit einer gefälschten Absenderadresse @weltbild (punkt) de eine Nachricht für seine Bestellung von „Roomnight“. Von eBay hört man gar nichts. Und weder „Roomnight“ noch „eBay“ wissen, wer zum heiligen Henker man überhaupt ist und…

Sehr geehrte/r powertraumfrau,

…erfreuen den Empfänger mit einer realdadistischen Anrede. 😀

hiermit bestätigen wir Ihren Kauf bei Roomnight. Es gelten unsere Allgemeinen Geschäftsbedingungen, die Sie hier einsehen können: Link „AGB Roomnight Easy“. Darin finden Sie auch Angaben zu Ihrem Widerrufsrecht.

Nun, sehr geehrte/r spamidiot0815,

hiermit bestätige ich deinen Kauf bei „Unser täglich Spam“. Was du gekauft hast, sage ich dir nicht. Es gelten meine allgemeinen Unrechtsbedingungen. Es wird teuer. Wenn du überhaupt irgendwas erfahren willst, erfährst du es nicht aus meiner Mail, sondern durch Klicken und durch einen Mailanhang in einer Mail mit gefälschtem Absender.

Bitte geben Sie bei Ihrer Überweisung UNBEDINGT die nachstehend im „Verwendungszweck“ genannten Daten an (eBay-Artikel-Nr. und eBay-Name). Ohne diese Angaben können wir Ihre Zahlung nicht zuordnen und Ihren Gutschein somit auch nicht ausstellen.

Nachstehend ist das neue „oben erwähnt“. Schon mistig, wenn man die Sprache, in der man die Spam verfasst, nicht richtig versteht. Und davon, dass das da oben in irgendeinem „Verwendungszweck“ bereits stünde, kann auch nicht die Rede sein.

Mit einer separaten eMail erhalten Sie umgehend nach dem Zahlungseingang einen Link, über den Sie Ihren Gutschein herunterladen und ausdrucken können.

Fassen ich einmal zusammen, was nach diesem Mailtext über den angeblichen Sachverhalt „klar“ geworden ist:

Ich bin eine Powertraumfrau.
Es geht um einen Gutschein. Wofür der ist, bleibt unklar.
Der Gutschein wurde über eBay bestellt. Die angegebene Artikelnummer ist eBay aus unerfindlichen Gründen nicht bekannt. Ein Link auf das eBay-Angebot wurde nicht gesetzt. eBay weiß nichts von diesem Vorgang auf eBay.
Der Gutschein kostet Geld. Wie viel Geld er kostet, bleibt unklar.
Dieses Geld soll ich gefälligst überweisen. Auf welches Konto bei welcher Bank ich das überweisen soll, bleibt unklar.

Niemand, der Geschäfte im Internet machen will, wird dermaßen dumme Texte formulieren.

Folgen Sie uns auf facebook.com/roomnight und twitter.com/roomnight.

Nein Danke, ich bekomme schon genug Reklame in mein Leben gespült.

Mit freundlichen Grüßen
Ihr Roomnight Team

				
Customer Service 		Roomnight Easy GmbH 	 HRB: 10137 KI
info@roomnight.de 		www.roomnight.de 		 Amtsgericht Kiel
T +49 (0)4193 980xx-x 	Immbarg 43 		         Geschäftsführer:
F +49 (0)4193 980xx-xx 	D-24558 Henstedt-Ulzburg M. Weglewski & T. Nordmeier

Natürlich sind das nicht die Absender dieser Mail. Die Firmierung wurde einfach von Verbrechern missbraucht und damit in den Schmutz gezogen.

Das Unternehmen Roomnight Easy GmbH hat sich in dieser Situation vorbildlich und loebenswert verhalten und einen sehr deutlichen, unübersehbaren Hinweis auf diese Spammails auf seiner Homepage veröffentlicht. Trotzdem möchte ich angesichts der Tatsache, dass der Müll vermutlich hunderttausendfach rausging, dort heute weder die Mail noch das Telefon machen. Ein einziges Prozent Empfänger, das seiner Verärgerung Luft machen will, sind tausend erboste Anrufe und Mails. Nachdem die Computer der Leute von irgendwelchen Erpressungstrojanern übernommen wurden, kommen auch noch Strafanzeigen wegen Nötigung und Computerbetrug hinterher, die jedesmal eine Stellungnahme erfordern. Den asozialen, kriminellen Spammern ist es egal, welchen Schaden sie anrichten, wenn nur ihr eigener Schnitt stimmt. Es sind Gesichter, die nur eine Mutter vermissen würde, wenn die gierigen Zuckungen ihres Lebens einfach aufhörten.

An der Mail hängt auch ein Anhang. Wie gewohnt, ist es ein ZIP-Archiv, in dem eine Datei mit der Endung .xml.exe liegt. Das ist eine ausführbare Datei für Microsoft Windows, die von Verbrechern in einer E-Mail mit gefälschtem Absender unter asozialen Missbrauch der Firmierung eines Unternehmens zugestellt wurde. Mehr muss man dazu eigentlich nicht mehr sagen. Wer solche Mails öffnet, hat verloren und hinterher einen Computer anderer Leute auf dem Schreibtisch stehen.

Zwei Drittel der Virenscanner erkennen die in meiner Mail angehängte Schadsoftware noch nicht. Zum Glück ist es für den Empfänger derartigen Sondermülls leicht, zu bemerken…

…dass er die behauptete Bestellung nicht gemacht hat¹,
…dass die Mail völlig unpersönlich ist, und
…dass die Mail unfassbar schlecht formuliert ist und keine wirkliche Information für den Empfänger beinhaltet.

Somit ist die Erkennung leicht – und die einzige erforderliche Arbeit besteht darin, den Müll zu löschen.

¹Verträge entstehen nicht dadurch, dass sie einfach behauptet werden, sondern sie entstehen durch konkludentes Handeln.

Retourenlabel zu Ihrer DHL Sendung 401696982

Montag, 26. August 2013

Gefälschter Absender ist no (strich) reply (at) deutschepost (punkt) de, aber natürlich hat diese Spam nichts mit DHL oder der Deutschen Post zu tun. Das Fälschen eines Absenders ist nun einmal sehr leicht. Die sehr viel schwierigere Aufgabe, einigermaßen ruckelfreies Deutsch zu schreiben, haben die Spammer zugegebenermaßen gut bewältigt.

BITTE ANTWORTEN SIE NICHT AUF DIESE EMAIL

Die Mail zu beantworten wäre auch reichlich witzlos, denn der Absender ist gefälscht.

Sehr geehrte Damen und Herren,

Großes Kino! Der Empfänger hat also angeblich ein Paket bekommen, das bestimmt nicht an die E-Mail-Adresse zugestellt wurde, sondern an einen Menschen, aber trotzdem weiß DHL nicht, wie der Empfänger heißt.

Bitte drucken Sie das beigefügte Retourenlabel aus und bringen es auf Ihrem Retourenpaket an. Ihr Retourenpaket können Sie deutschlandweit abgeben:
– bei allen [rund 2.500] DHL Packstationen oder [rund 1.000] Paketboxen
– in einer der [über 14.000] Filialen in Ihrer Nähe
– bei Ihrem Paketzusteller
Auf Wunsch können Sie Ihr Paket auf eigene Kosten abholen lassen. Einfach online eine Abholung beauftragen unter:
www.dhl.de/abholauftrag

Das „beigefügte Retourenlabel“ – die Spammer wissen also immer noch nicht, wie man einen Mailanhang so bezeichnen kann, dass das Gehirn beim Lesen nicht stolpert – ist das Übliche: Ein ZIP-Archiv, in dem eine Datei mit der Namenserweiterung .pdf.exe liegt, also eine von Verbrechern mit einer Spam zugestellte ausführbare Datei für Microsoft Windows, die so tun will, als sei sie ein PDF-Dokument. Wer sich das angebliche PDF auf seinem unter Microsoft Windows laufenden Rechner anschauen will, führt also Software von Kriminellen aus. Zurzeit erkennt nur die Hälfte der gängigen Antivirusprogramme in dieser Schadsoftware etwas, was eine Warnung rechtfertigt. Es besteht also durchaus trotz Virenschutz-Schlangenöl eine Gefahr… außer, man macht bei derartigen Mails mit Anhang in einem ZIP-Archiv das einzig richtige: Einmal auf die Löschtaste drücken und sich angenehmeren Dingen zuwenden.

So, und jetzt noch mein offener Brief…

An die Hersteller von Antivirus-Programmen

Ein frohes Hallo in die große Runde der Schlangenölhändler!

Ihr „seht“ sicher jeden Tag mehr Schadsoftware als ich in meinem ganzen Leben. Ihr müsst euch jeden Tag etwas einfallen lassen, wie ihr diesen ganzen Dreck erkennt und unschädlich macht.

Das ist sicher keine leichte Aufgabe, und es mag für Nutzer häufig angegriffener Systeme mit langer Sicherheitsvorgeschichte wie Microsoft Windows auch eine wichtige Ergänzung zur Benutzung des handelsüblichen Verstandes sein, wenn eure Software im Hintergrunde Strom in Wärme verwandelt, um eine Übernahme des Computers durch Kriminelle zu erschweren.

Ihr sucht in Binaries nach Mustern, die eine eindeutige Erkennung ermöglichen, damit es nicht zu peinlichen Fehlern kommt. Und die Spammer sind euch immer einen bis zwei Tage voraus, so dass eure gesamte Mühe nur gegen ältere Schädlinge hilft, aber nur selten gegen die Pest, die jeden Tag in stinkenden Fluten ins Postfach strömt.

Ich habe an euch nur eine kleine, aber vielleicht nicht ganz unwichtige Frage:

Die erste, hier auf Unser täglich Spam wiedergegebene Müllmail, in der eine Datei mit der Namenserweiterung .pdf.exe auftrat, habe ich am 15. Mai 2009, also vor 1564 Tagen, gesehen. Diese spezielle Masche wurde seitdem immer und immer wieder einmal mit den unterschiedlichsten „Begründungen“ versucht, zum Beispiel als Telekom-Rechnung, als MMS, als Rechnung mit namentlicher Ansprache, als Bestellbestätigung, als Zustellungshinweis für ein Paket oder als Mahnschreiben eines Inkasso-Anwalts.

Es handelt sich also wirklich nicht mehr um eine neue Nummer der Spammer.

Aber es handelt sich immer noch um eine brandgefährliche Nummer. Das erkenne ich auch daran, dass ich beinahe jeden Tag eine solche Datei als Anhang einer Spam sehe. Derartige Mails mit angeblichen PDF-Anhängen dürften jeden Tag zur Folge haben, dass hunderte von Menschen ihren Rechner zu einem Computer anderer Leute machen. Sie dürften also einen erheblichen Schaden durch abgegriffene Passwörter, manipuliertes Online-Banking, Identitätsmissbrauch, Spam und andere unerfreuliche Tätigkeiten verursachen.

Dieser Schaden wird auch verursacht, weil derartige Mails von eurem Schlangenöl immer noch nicht als potenziell schädlich erkannt werden.

Aus Nutzersicht erscheint der Anhang als ein PDF-Dokument. Er hat das passende Piktogramm und heißt irgendetwas mit .pdf am Ende, was keinen Alarm auslöst. Er ist, wenn die Standardeinstellungen von Windows belassen wurden, völlig unverdächtig. Aber es handelt sich um eine .exe für Microsoft Windows.

Dass Microsoft aus vermutlich nicht nur für mich nicht nachvollziehbaren Gründen den echten Namen der Datei vorm Nutzer verbirgt und damit diese Nummer erst möglich macht, gehört zu den Dingen, die ihr auch nicht ändern könnt. Es ist neben anderen vergleichbar hirnlosen Entscheidungen aus Redmond einer der vielen kleinen Gründe dafür, dass Microsoft Windows das Lieblingsbetriebssystem der organisierten Kriminalität ist.

Aber, ihr Hersteller von Antivirus-Schlangenöl! Erklärt mir bitte nur eine einzige Kleinigkeit: Welchen halbwegs legitimen Grund kann es geben, eine Datei als .pdf.exe zu benennen, um einen völlig falschen Eindruck von der wirklichen Natur dieser Datei zu erwecken? Mir fällt beim besten Willen kein Grund ein, warum jemand das tun sollte, wenn er nicht gerade mit dieser Überrumpelung jemanden anders eine Schadsoftware unterjubeln möchte.

Und wenn auch euch kein Grund einfällt – wovon ich ausgehe – ist hier meine kleine Frage: Warum zum hackenden Henker werden solche Dateien von euch nicht als Schadsoftware aussortiert? Ihr braucht dafür nicht einmal in die Dateien hineinzuschauen und sie mit euren Virussignaturen abzugleichen. Ein einziger Blick auf den Dateinamen reicht. Wenn er .pdf.exe, .pdf.scr, .pdf.pif, .pdf.com oder vergleichbar lautet, oder wenn da statt pdf so etwas wie docx, doc, odt, ppt, xls oder dergleichen steht, handelt es sich immer um einen Versuch, eine potenziell gefährliche, ausführbare Datei als ein harmloseres Dokumentformat zu tarnen.

Seid ihr einfach nur gedankenlos? Oder seid ihr in der Suche nach guten Signaturen für Schadsoftware so „betriebsblind“ geworden, dass euch einfache Muster gar nicht mehr auffallen?

Oder ist es euch egal, ob eure Software gegen den ganzen Müll funktioniert, weil ihr eh wisst, dass eure Produkte keinen zuverlässigen Schutz bieten und hofft ihr stattdessen nur noch darauf, dass das Geschäft damit trotzdem noch eine Zeitlang läuft?

Nur eine kleine Frage von eurem Spam „genießenden“
Nachtwächter

Your receipt No.217190257246

Donnerstag, 15. August 2013

Die Mails ohne Text, aber mit Anhang von einem Absender, der sich iTunes Store mit der gefälschten Adresse do_not_reply (at) itunes (punkt) com nennt, kommen natürlich nicht von Apple.

Es handelt sich um einen der vielen Versuche, den Leuten Schadsoftware unterzujubeln. Der Anhang ist ein ZIP-Archiv, in dem eine Datei mit der Namenserweiterung .pdf.exe liegt. Diese Datei ist eine ausführbare Datei für Microsoft Windows, die von Verbrechern zugestellt wurde. Es handelt sich nicht um ein PDF-Dokument. Es handelt sich nicht um eine Rechnung.

Also bitte einfach diesen Müll löschen! 😉

Zumal ja jedem klar sein sollte, dass Apple in seiner Kundenansprache etwas stilvoller sein wird und auf den Versand von E-Mail ohne jeden Text verzichten wird.