SPAM - "Best of"

  • Von diesen Paypal Emails hab ich alle paar Tage 2-3 ... und immer wieder der gleiche Quatsch ... aber scheinbar muss es ja Menschen geben, die drauf reinfallen ...

    Öffne die Augen und sag mir was du siehst

  • Email von "A1" mit Quittung oder Rechnung ... ZIP-Archiv als Anhang ... darin eine EXE mit PDF-Datei-Icon ... macht die was? Bisher noch nicht als sehr bedrohlich erkannt (9/55 Trojan Midie / Generic).

    Interessant daran vielleicht: Die EXE ist weder gepackt noch verschlüsselt, Resourcen wurden ausgetauscht mit UpdateResource (typisches PADDINGXXPADDING), offenbar wird die "MS Jet OLE DB 4.0" Engine verwendet zum Zugriff auf eine "search.mdb", und es ist sogar ein SQL-Statement lesbar:

    Code
    select * from pagerank where WebPage like

    Außerdem ist anscheinend noch eine Grafik enthalten, sieht aus wie eine PNG mit teils obfuskierten Chunks.

    Auf der Suche nach den auffälligen Inhalten bin ich auf einen interessanten Dienst gestoßen: invincea Cynomix, eine cloudbasierte Malware-Analyse.

    Hier zwei Uploads: N44315 und N44321 (als Bestandteil des Namens der Malware-Datei). Bisher noch kaum Ähnlichkeiten entdeckt, aber vielleicht ändert sich das bald.

  • Ja neee, is klaaar:

  • Du weißt, dass deine Kontaktdaten "verbrannt" sind, wenn ...

  • So langsam wird es richtig wissenschaftlich ... heute erreichte mich eine Mail mit einem ZIP-Anhang, der ein ziemlich komplexes JavaScript-Dokument enthält. Dessen Sinn erschließt sich mir bisher nicht so recht, es könnte sich aber vielleicht um einen Generator für Zufalls-Spam-Texte handeln, der Bayes-Filter "verlernen" soll.

    Hier mal ein kurzer Ausschnitt:

    Quote

    var uUXTro = [('defend','unequivocally','n')+'hh'+('rebuff','wetting','eater','indirect','lH')+'CNAl', 'A'+'iR'+'Nh'+('bleaching','lameness','expand','cD')+'nBHy', 'E'+'xpan'+('hermes','unfortunately','visit','producers','dEnviron')+'me'+'nt'+'Stri'+('varlet','learner','ngs'), ('goodfornothing','regression','apocryphal','welding','')+'%'+('centered','chaotic','TE')+'MP%', ''+('samurai','implicit','superb','.')+'exe', ('fears','livecam','R')+'un', 'A'+'ct'+'in'+'ce'+'nt'+'ivei'+('impetus','snapshot','vi')+('rural','bragging','fiendish','limits','nc')+'enti'+'ve'+'eXincentiv'+('presidents','engine','complaints','eObinc')+'en'+'ti'+'ve'+'je'+'ince'+'nt'+'ivect', 'sFtalU', 'FlAYMT', ('romantic','klein','syracuse','W')+'Sc'+'ince'+'ntiver'+'ip'+'tinc'+'entive.' + ('cannon','cases','S'), 'AmvHaUzPHrP', ('squatter','catering','overtime','platinum','h')+'in'+'ce'+('sponsorship','ringtones','menstruation','nt')+'iv'+'ee'+('healthy','kingston','disinherit','li')+'nc'+('awarded','stumble','en')+'ti'+('marketplace','elegantly','vociferous','nikon','vel'), 'UJcMlBfkOA', 'G'+('condescending','unwound','jetblack','rRAF')+'Ka'+('apologetic','edgar','medieval','je')+'To', 'Min'+'ce'+'ntiv'+'eS'+('steppe','agree','forum','Xi')+'nc'+'en'+('ground','messaging','strasburg','intentional','ti')+'ve'+('telescope','around','burmese','ML')+'in'+'ce'+('follower','stewart','nt')+('appraisal','valuation','iv')+'e2' + '.'+'in'+'ce'+('economics','polar','hellish','majority','nt')+('godson','dissection','forestry','iv')+'eXMi'+'ncenti'+('scandinavia','smashing','levitra','ve')+'LH'+'in'+'ce'+'nt'+'iveT'+'TP'];

  • Schön, wenn Phisher an der Syntax für MIME-Mails scheitern:

    Quote

    --=_b6887a654bd8f3fc5b2162b2b1fd11cc Content-Transfer-Encoding: quoted-printable Content-Type: text/plain; charset=ISO-8859-1 Mailprogramm kann Inhalt nicht anzeigen --=_b6887a654bd8f3fc5b2162b2b1fd11cc Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset=ISO-8859-1 Hallo <= /span> I, Dein Bild wurde von uns= erem Team gepr=FCft un<= /span>d ist nun freigeschaltet.

    ...

  • Heute an die ebay-Adresse unserer Firma:

    Subject: Ihre PAYBACK Punkte sind vom Verfall bedroht - jetzt handeln!
    From: PAYBACK.DE Service <service(§)pay»h«ack.org>

    ...

    Sie können die Ablauffrist um 1 Jahr verlängern, indem Sie sich bei uns einloggen unter folgendem Link:

    <h++p://http://www.pay%c2%bbl%c2%aback.top/Loginseite.htm>

    :grübeln:

  • Quote

    Bin 21 Jahre, sehr nette Studentin.

    Suche einen Mann, der bereit ist, meine Finanzsorgen zu verringern.

    Kann gerne die Weihnachtstage mit Dir verbringen.

    Ich werde deine leidenschaftlichste Geliebte.

    Hey, super! :daumen: — Aber warum bekomme ich solche Mails erst seit der Woche nach Weihnachten?! :grübeln:

  • https://www.google.de/search?q=Malte+Zainer

    In der Anlage fand sich eine Datei "Datum Vorname Name.zip", die Virustotal mit 5/56 als Trojaner erkannte.

  • Wieder mit echter E-Mailadresse
    E-Scheck zur heutigen Auszahlung (20.02.2017 / Account mail@vorname-name.de)

    Quote

    Sehr geehrte(r) Kundennr. 77777,

    Sie erhalten einen elektronischen Scheck der Sie zur
    heutigen Auszahlung - wie folgt - berechtigt:

    Ihr Account: mail@vorname-name.de
    Interne IBAN: DE98 7654 ( anzeigen )
    Saldo nach Anmeldung am 20.02.2017: + 2.163,00 €
    Um diese Auszahlung auf Ihr Bankkonto erhalten,
    folgen Sie bitte diesen Anweisungen auf unserer Seite.

    Mit freundlichen Grüßen,

    Ihr Online Banking Team

  • Vorsicht Hetzner-Kunden:

    Aktuell Phishing-Mails in Umlauf, angeblich muss man WHOIS-Daten auch für *.de-Domains über einen englischsprachigen Service bestätigen, der die konsoleH simuliert.

    Auffällig: "Multipart MIME" Email mit Klartext-Anteil mitten in der HTML-Mail; Domain "ican-and-support.com" (die ICANN hat aber zwei N); und zuständig wäre ja eigentlich die DENIC.

  • Hey, super! :daumen: — Aber warum bekomme ich solche Mails erst seit der Woche nach Weihnachten?! :grübeln:

    Wahrscheinlich ein Knoten im W-Lan Kabel.

    Im Moment gibt es wieder jede Menge von Peih Pahl,
    ich soll meine Daten eingeben. Ich gebe aber die von andern Leuten ein , damit die sich über den Umsatz auf ihrem Konto freuen. :lol:

    Gruss BergH

  • Aktuell häufen sich Pseudo-Ransom-Emails, die behaupten, man hätte peinliches Verhalten von mir aufgezeichnet, insbesondere dass ich mich selbst dabei mit meiner Webcam gefilmt hätte ... aber isch 'abe gar keine Webcam angeschlossen!

    Also zahle ich auch kein Erpressungsgeld, um die nicht existierenden Videos von mir löschen zu lassen. Erst recht nicht in Bitcoin, wenn ich doch eh kein Wallet habe.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!