Ergebnis 1 bis 8 von 8

Thema: "Hiermit erhalten Sie die angeforderten Unterlagen"

  1. #1
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    296

    Cool "Hiermit erhalten Sie die angeforderten Unterlagen"

    Grade im GMX Spamordner gefunden:


    header:
    01: Return-Path: <Lula [at] uiuc.edu>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to poor [at] spamvictim.tld
    04: Received: (qmail invoked by alias); 26 Apr 2007 xx:xx:xx -0000
    05: Received: from p57BD65DE.dip.t-dialin.net (HELO p57BD65DE.dip.t-dialin.net)
    06: [87.189.101.222]
    07: by mx0.gmx.net (mx077) with SMTP; 26 Apr 2007 xx:xx:xx +0200
    08: Message-ID: [ID filtered]
    09: Date: Thu, 26 Apr 2007 xx:xx:xx +0200
    10: From: Annabelle <Lula [at] uiuc.edu>
    11: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
    12: X-Accept-Language: en-us, en
    13: MIME-Version: 1.0
    14: To: poor [at] spamvictim.tld
    15: Subject: RE:
    16: Content-Type: multipart/alternative;
    17: boundary="------------050607070501080003090402"

    Mit folgender persönlicher Mitteilung :
    Code:
      Hiermit erhalten Sie die angeforderten Unterlagen
       mfG
    und dem netten Anhang 86320.zip, welche die Datei "Vertrag.pdf.exe" enthält.

    Malware / Verdächtige Anhänge nicht unter Wind* Systemen lokal abspeichern!

    http://virusscan.jotti.org/de/ meint dazu:

    Code:
     Status:  	INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt.
    Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
    Entdeckte Packprogramme: 	-
     
    AntiVir 	HEUR-DBLEXT/Worm.Gen, TR/Dldr.Agent.20679
    BitDefender 	Trojan.Downloader.Agent.YAJ
    ClamAV 	Trojan.Fakebill-1
    F-Prot Antivirus 	W32/Downloader2.CFO
    F-Secure Anti-Virus 	Trojan-Downloader:W32/Nurech.BM, Trojan-Downloader.Win32.Nurech.bl 
    Fortinet 	W32/Agent.YAJ!tr
    Kaspersky Anti-Virus 	Trojan-Downloader.Win32.Nurech.bl
    Panda Antivirus 	Trj/Cimuz.BE
    VBA32 	Email-Worm.Vertrag
    Die weiteren 9 Virenscanner haben die Malware nicht erkannt.

    whois.ripe.net sagt über 87.189.101.222:

    Code:
    person:       DTAG Global IP-Addressing
    address:      Deutsche Telekom AG
    address:      D-90492 Nuernberg
    address:      Germany
    phone:        +49 180 5334332
    fax-no:       +49 180 5334252
    e-mail:       ripe.dtip at telekom.de
    nic-hdl:      DTIP
    mnt-by:       DTAG-NIC
    source:       RIPE # Filtered
    Ist die Definition einer "Person" als whois Info so OK?

    Mail an abuse at t-ipnet.de ist raus.

    Grüße
    Rava

    P.S.
    Wo gibt es Anleitungen wie man solchen Code in einer Sandbox oder besser unter einem Linux/BSD-System analysiert um die aufgerufenen Seiten zwecks Codenachladen hier nennen zu können?
    Das wird ja auch ohne Assemblerkenntnisse gehen, oder?
    hexdump -C hat nichts ergeben.
    Geändert von Rava (28.04.2007 um 12:03 Uhr) Grund: code verschönert :-)

  2. #2
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.219

    Standard

    Zitat Zitat von Rava Telladeon Beitrag anzeigen
    Ist die Definition einer "Person" als whois Info so OK?
    Ja. Es handelt sich um eine dynamische IP, weil bei einem normalen dial-up-Zugang, wie ihn der Normalverbraucher hat, die IP-Addresse bei jeder neuen Einwahl neu vergeben wird.
    Es wäre auch gegen den Datenschutz, den Klarnamen des Endverbrauchers zur IP anzugeben.
    Vermutlich handelt es sich um einen infizierten Bot, über den der Spam als Zwischenstation verschickt wurde.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  3. #3
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.879

    Standard

    Zitat Zitat von Rava Telladeon Beitrag anzeigen
    Wo gibt es Anleitungen wie man solchen Code in einer Sandbox oder besser unter einem Linux/BSD-System analysiert um die aufgerufenen Seiten zwecks Codenachladen hier nennen zu können?
    Das wird ja auch ohne Assemblerkenntnisse gehen, oder?
    hexdump -C hat nichts ergeben.
    Anleitungen kenne ich keine, aber ich würde z. Bsp. eine virtuelle Maschine (Stichwort: VMWare Server) unter Linux installieren und dann darin als Guest System Windows zum Testen installieren. Und vor dem Test natürlich das Image des 'unverseuchten Systems' irgendwohin wegsichern, so dass man nach dem Test schnell wieder das saubere System zurückspielen kann.

    - kjz

  4. #4
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    296

    Idee

    Zitat Zitat von kjz1 Beitrag anzeigen
    Bsp. eine virtuelle Maschine (Stichwort: VMWare Server) unter Linux installieren
    Und dann ein diff über die Vorher/Nachherversion laufen lassen?

    Gruß
    Rava

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    7.879

    Standard

    Zitat Zitat von Rava Telladeon Beitrag anzeigen
    Und dann ein diff über die Vorher/Nachherversion laufen lassen?
    Ja, das wäre ein Ansatz. Und ggf. einen Packet Sniffer wie z. Bsp. Ethereal/Wireshark. Da habe ich aber noch nicht getestet, ob so etwas in einer virtuellen Maschine überhaupt funktioniert. Wenn der Virus aber Rootkit-Techniken verwendet und den Datenverkehr 'tunnelt', wird es schon schwieriger.

    - kjz

  6. #6
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    296

    Ausrufezeichen Neue Version

    Zitat Zitat von Rava Telladeon Beitrag anzeigen
    Mail an abuse at t-ipnet.de ist raus.
    Heute Antwort von DTAG (von abuse {at} t-online.de, die wissen wohl auch nicht welche Adresse es denn sein soll ) Aber immerhin antworten Sie
    O-Ton etwa "Beschwerde zur Kenntnis genommen, werden geeignete Maßnahmen ergreifen"

    Neue Mail gefunden, wieder mit
    Code:
    Hiermit erhalten Sie die angeforderten UnterlagenmfG
    und angefügten .zip. Malware laut http://virusscan.jotti.org/de/ z.T. von den Virenscannern umbenannt. Wird von 7 Scannern dort nicht als Malware erkannt, die anderen 11 erkennen es als Malware.

    header:
    01: Return-Path: <Alyson [at] wanadoo.fr>
    02: Delivered-To: GMX delivery to poor [at] spamvictim.tld
    03: Received: (qmail invoked by alias); 03 May 2007 xx:xx:xx -0000
    04: Received: from 72.Red-80-33-126.staticIP.rima-tde.net (HELO
    05: 72.Red-80-33-126.staticIP.rima-tde.net) [80.33.126.72]
    06: by mx0.gmx.net (mx022) with SMTP; 03 May 2007 xx:xx:xx +0200
    07: Message-ID: [ID filtered]
    08: From: "Joe" <Alyson [at] wanadoo.fr>
    09: To: "xxxxxxxxx" <poor [at] spamvictim.tld>
    10: Subject: Subjekt:
    11: Date: Thu, 3 May 2007 xx:xx:xx +0200
    Diesmal über Tecnicos Telefonica de Espana [whois von iks-jena.de (80.32.0.0 - 80.35.255.255)] verschickt; hat jemand eine spanische oder englische Formulierung für solch ein Abuse zu Hand, daß ich an nemesys {at} telefonica.es schicken könnte?
    Oder gib es irgendwo vorformulierte "Abuse-Mails", wo man nurnoch den Header mit anfügt in diversen Sprachen?
    Gruß, Rava

    Malware auf Wind-Systemen besser nicht lokal speichern!
    Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!

  7. #7
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.219

    Standard

    Antispam-Wiki rulez.

    In diesem Wiki-Artikel steht ganz unten u.a. eine englischsprachige Abuse-Mail an den Provider der versendenden IP-Addresse:

    http://www.antispam-ev.de/wiki/Spammer_verfolgen

    Bei Telefonica.es sollte man Englisch verstehen. Allerdings hat man da oft den Eindruck, dass die weder Spanisch, Englisch noch irgendwas verstehen. Vermutlich haben die bei den Abertausenden Bots längst kapituliert. Telefonica.es ist einer der meistverseuchtesten Provider, neben Telecomitalia, Wannadoo.fr, Charter, PacBell, Turktelecom u.a.
    Geändert von Goofy (04.05.2007 um 15:00 Uhr)
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  8. #8
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    296

    Cool

    Zitat Zitat von Goofy Beitrag anzeigen
    Vermutlich haben die bei den Abertausenden Bots längst kapituliert.
    Dann kann ich mir die Mail wohl eher sparen
    Na ich verschicke sie dennoch
    Gruß, Rava

    Malware auf Wind-Systemen besser nicht lokal speichern!
    Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen