SPAM - "Best of"

Email von "A1" mit Quittung oder Rechnung ... ZIP-Archiv als Anhang ... darin eine EXE mit PDF-Datei-Icon ... macht die was? Bisher noch nicht als sehr bedrohlich erkannt (9/55 Trojan Midie / Generic).

Interessant daran vielleicht: Die EXE ist weder gepackt noch verschlüsselt, Resourcen wurden ausgetauscht mit UpdateResource (typisches PADDINGXXPADDING), offenbar wird die "MS Jet OLE DB 4.0" Engine verwendet zum Zugriff auf eine "search.mdb", und es ist sogar ein SQL-Statement lesbar:

Außerdem ist anscheinend noch eine Grafik enthalten, sieht aus wie eine PNG mit teils obfuskierten Chunks.

Auf der Suche nach den auffälligen Inhalten bin ich auf einen interessanten Dienst gestoßen: invincea Cynomix, eine cloudbasierte Malware-Analyse.

Hier zwei Uploads: N44315 und N44321 (als Bestandteil des Namens der Malware-Datei). Bisher noch kaum Ähnlichkeiten entdeckt, aber vielleicht ändert sich das bald.

Ja neee, is klaaar:

Zitat

[ ###.postimg.org/80tfs1qef/4245.gif ]
E-Mail Adresse
*@*.*
Datum
03. November 2015
Wichtiger Hinweis zur Datenspeicherung
Sehr geehrter Paypal Kunde,

wie Sie bereits wissen, wurde die Vorratsdatenspeicherung per Gesetz verabschiedet und auch wir sind gezwungen zu handeln.
Durch diese Gesetzesänderung werden Sie nun aufgefordert, Ihre bestehenden Daten zu bestätigen respektive zu aktualisieren!

{ ###-kundendienst.de/ }
Zum Formular
Hilfe Kontakt Sicherheit App Angebote
Copyright © 1999-2015 PayPa1. Alle Rechte vorbehalten. PayPal (Europe) S.a r.l. et Cie, S.C.A., Societe en Commandite par Actions. Eingetragener Firmensitz: 22-24 Boulevard Royal, L-2449 Luxembourg, RCS Luxembourg B 118 349.

Alles anzeigen

Du weißt, dass deine Kontaktdaten "verbrannt" sind, wenn ...

Zitat

<http://i.imgur.com/***.png>
26. Feb. 2016 00:31:28 MEZ
Referenznummer: ***
Guten Tag {Geschäftsführer der Firma},

Sie haben eine Zahlung über ?69,99 EUR an PornHub.com Limited (Ltd.) (info@pornhub.com) gesendet.

Alle Details zu dieser Zahlung finden Sie in dieser E-Mail.
________________________________

Verkäufer
PornHub.com Limited (Ltd.)
info@pornhub.com Mitteilung für Verkäufer
Sie haben keine Mitteilung eingegeben.
Lieferadresse
{Geschäftsführer der Firma}
{eine Email der Firma zum Einkaufen, aber nicht für PayPal zum Bezahlen}
Versanddetails
Der Verkäufer hat noch keine Versanddetails angegeben.
Über Geld redet man nicht. Geld sendet man mit der PayPal-App.<http://i.imgur.com/***.png>
Beschreibung Stückpreis Anzahl Betrag
1 Monat Membership Pornhub.com
Artikelnummer: xid-4922 ?69,99 EUR 1 ?69,99 EUR
Versandkosten ?0,00 EUR
Versicherung - nicht angeboten ----
Summe ?69,99 EUR
Zahlung ?69,99 EUR

Zahlung gesendet an info@pornhub.com

Probleme mit dieser Zahlung?

Wenn diese Zahlung nicht von Ihnen persönlich ausgeführt worden ist, klicken Sie bitte auf Konfliktlösung, um die Zahlung zu stonieren.

<http://www.hilfecenter-paypal.com//konfliktloesung/loading.php?Id=***=&secure=***&cgi=***&dispatch=Mg==&session=***==&flow=***==>
Konfliktlösung / Zahlung stornieren

Sie werden anschließend auf die PayPal Konfliktlösungs-Seite weitergeleitet und aufgefordert eine Konfliktlösung durchzuführen.

Bitte antworten Sie nicht auf diese E-Mail. Dieses Postfach wird nicht überwacht, deshalb werden Sie keine Antwort erhalten. Wenn Sie Hilfe benötigen, loggen Sie sich in Ihr PayPal-Konto ein, und klicken Sie oben rechts auf einer der PayPal-Seiten auf den Link Hilfe.

Anstelle unserer HTML-E-Mails können wir Ihnen Benachrichtigungen auch als Reintext zusenden. Wenn Sie Ihre Optionen für E-Mail-Benachrichtigungen ändern wollen, loggen Sie sich in Ihr Konto ein und klicken Sie unter "Mein Profil" auf Einstellungen.

Alles anzeigen

Zitat

Uns ist durch Sicherheitsprüfungen aufgefallen, dass Ihr Amazon Konto unter Verdachtbetrug steht!

:ani_lol: Hach, immer diese Griechen ... darauf ein Ouzo! (Bullyparade - Rick Kavanian - Klatschkaffee mit Dimitri)

So langsam wird es richtig wissenschaftlich ... heute erreichte mich eine Mail mit einem ZIP-Anhang, der ein ziemlich komplexes JavaScript-Dokument enthält. Dessen Sinn erschließt sich mir bisher nicht so recht, es könnte sich aber vielleicht um einen Generator für Zufalls-Spam-Texte handeln, der Bayes-Filter "verlernen" soll.

Hier mal ein kurzer Ausschnitt:

Zitat

var uUXTro = [('defend','unequivocally','n')+'hh'+('rebuff','wetting','eater','indirect','lH')+'CNAl', 'A'+'iR'+'Nh'+('bleaching','lameness','expand','cD')+'nBHy', 'E'+'xpan'+('hermes','unfortunately','visit','producers','dEnviron')+'me'+'nt'+'Stri'+('varlet','learner','ngs'), ('goodfornothing','regression','apocryphal','welding','')+'%'+('centered','chaotic','TE')+'MP%', ''+('samurai','implicit','superb','.')+'exe', ('fears','livecam','R')+'un', 'A'+'ct'+'in'+'ce'+'nt'+'ivei'+('impetus','snapshot','vi')+('rural','bragging','fiendish','limits','nc')+'enti'+'ve'+'eXincentiv'+('presidents','engine','complaints','eObinc')+'en'+'ti'+'ve'+'je'+'ince'+'nt'+'ivect', 'sFtalU', 'FlAYMT', ('romantic','klein','syracuse','W')+'Sc'+'ince'+'ntiver'+'ip'+'tinc'+'entive.' + ('cannon','cases','S'), 'AmvHaUzPHrP', ('squatter','catering','overtime','platinum','h')+'in'+'ce'+('sponsorship','ringtones','menstruation','nt')+'iv'+'ee'+('healthy','kingston','disinherit','li')+'nc'+('awarded','stumble','en')+'ti'+('marketplace','elegantly','vociferous','nikon','vel'), 'UJcMlBfkOA', 'G'+('condescending','unwound','jetblack','rRAF')+'Ka'+('apologetic','edgar','medieval','je')+'To', 'Min'+'ce'+'ntiv'+'eS'+('steppe','agree','forum','Xi')+'nc'+'en'+('ground','messaging','strasburg','intentional','ti')+'ve'+('telescope','around','burmese','ML')+'in'+'ce'+('follower','stewart','nt')+('appraisal','valuation','iv')+'e2' + '.'+'in'+'ce'+('economics','polar','hellish','majority','nt')+('godson','dissection','forestry','iv')+'eXMi'+'ncenti'+('scandinavia','smashing','levitra','ve')+'LH'+'in'+'ce'+'nt'+'iveT'+'TP'];

Schön, wenn Phisher an der Syntax für MIME-Mails scheitern:

Zitat

--=_b6887a654bd8f3fc5b2162b2b1fd11cc Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=ISO-8859-1 Mailprogramm kann Inhalt nicht anzeigen --=_b6887a654bd8f3fc5b2162b2b1fd11cc Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset=ISO-8859-1 Hallo <= /span> I, Dein Bild wurde von uns= erem Team gepr=FCft un<= /span>d ist nun freigeschaltet.

...

Zitat

Subject: Digital versions of software products are much cheaper.

Im Vergleich zu ... analoger Software? Ach deshalb letztens die Frage nach Analogrechnern! :ani_lol:

Heute an die ebay-Adresse unserer Firma:

Subject: Ihre PAYBACK Punkte sind vom Verfall bedroht - jetzt handeln!
From: PAYBACK.DE Service <service(§)pay»h«ack.org>

...

Sie können die Ablauffrist um 1 Jahr verlängern, indem Sie sich bei uns einloggen unter folgendem Link:

<h++p://www.pay»l«ack.top/Loginseite.htm>

Zitat

Bin 21 Jahre, sehr nette Studentin.

Suche einen Mann, der bereit ist, meine Finanzsorgen zu verringern.

Kann gerne die Weihnachtstage mit Dir verbringen.

Ich werde deine leidenschaftlichste Geliebte.

Alles anzeigen

Hey, super! :daumen: — Aber warum bekomme ich solche Mails erst seit der Woche nach Weihnachten?!

Vorsicht Hetzner-Kunden:

Aktuell Phishing-Mails in Umlauf, angeblich muss man WHOIS-Daten auch für *.de-Domains über einen englischsprachigen Service bestätigen, der die konsoleH simuliert.

Auffällig: "Multipart MIME" Email mit Klartext-Anteil mitten in der HTML-Mail; Domain "ican-and-support.com" (die ICANN hat aber zwei N); und zuständig wäre ja eigentlich die DENIC.

Aktuell häufen sich Pseudo-Ransom-Emails, die behaupten, man hätte peinliches Verhalten von mir aufgezeichnet, insbesondere dass ich mich selbst dabei mit meiner Webcam gefilmt hätte ... aber isch 'abe gar keine Webcam angeschlossen!

Also zahle ich auch kein Erpressungsgeld, um die nicht existierenden Videos von mir löschen zu lassen. Erst recht nicht in Bitcoin, wenn ich doch eh kein Wallet habe.