Ergebnis 1 bis 8 von 8

Thema: Post Express Office. Delivery refuse. NR37227

  1. #1
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    296

    Standard Post Express Office. Delivery refuse. NR37227

    Hallo,

    auf den ersten Blick kann ich im Header nichts Verdächtiges finden.


    header:
    01: From - Wed Mar 09 xx:xx:xx 2011
    02: X-Account-Key: account2
    03: X-UIDL: [UID filtered]
    04: X-Mozilla-Status: 0001
    05: X-Mozilla-Status2: 10000000
    06: X-Mozilla-Keys:
    07:
    08: Return-Path: <postmail-dep.9228 [at] birmingham.com>
    09: X-Original-To: +++or.de
    10: Received: from mail-in-09.arcor-online.net (mail-in-09.arcor-online.net
    11: [151.189.21.49])
    12: by mail-in-06-z2.arcor-online.net (Postfix) with ESMTP ID: [ID filtered]
    13: for <***@arcor.de>; Tue, 8 Mar 2011 xx:xx:xx +0100 (CET)
    14: Received: from fmmailgate02.web.de (fmmailgate02.web.de [217.72.192.227])
    15: by mx.arcor.de (Postfix) with ESMTP ID: [ID filtered]
    16: for <***@arcor.de>; Tue, 8 Mar 2011 xx:xx:xx +0100 (CET)
    17: X-DKIM: Sendmail DKIM Filter v2.8.2 mx.arcor.de 016C6197637
    18: Received: from mx46.web.de ( [172.20.9.83])
    19: by fmmailgate02.web.de (Postfix) with ESMTP ID: [ID filtered]
    20: for <***@arcor.de>; Tue, 8 Mar 2011 xx:xx:xx +0100 (CET)
    21: Received: from [128.206.185.213] (helo=birmingham.com)
    22: by mx46.web.de with smtp (WEB.DE 4.110 #2)
    23: ID: [ID filtered]
    24: for ***@web.de; Tue, 08 Mar 2011 xx:xx:xx +0100
    25: Message-ID: [ID filtered]
    26: From: "Your Post Express" <postmail-dep.9228 [at] birmingham.com>
    27: To: <***@web.de>

    [HTML]This is a multi-part message in MIME format.

    ------=_NextPart_000_001D_01CBDCF4.1A6D1B00
    Content-Type: multipart/alternative;
    boundary="----=_NextPart_001_001E_01CBDCF4.1A6D1B00"


    ------=_NextPart_001_001E_01CBDCF4.1A6D1B00
    Content-Type: text/plain;
    charset="iso-8859-1"
    Content-Transfer-Encoding: quoted-printable

    Dear Customer

    Email notification No.3592176

    Your package has been returned to the Post Express office.

    The reason of the return is "Incorrect delivery address of the
    package"

    Important message!
    Attached to the letter mailing label contains the details of the
    package delivery.
    You have to print mailing label, and come in the Post Express office
    in order to receive the packages!


    Thank you for your attention.
    Post Express Service.


    A second later the other monkey leaped back on the bears head and
    began to dance and scratch wildly, in the meanwhile scattering the bun
    crumbs in all directions.By this time the bear had swallowed the
    larger portion of the bun given to him. It was the more peppery of the
    two, and it brought tears to the beasts eyes. With a roar of rage he,
    turned and shook the monkey from his head and leaped away from his
    keeper, dragging his chain after him. The monkeys were evidently not
    used to seeing the bear in an ugly mood, and at once they sought
    safety by getting out of his reach. One leaped into a tree and ran
    like a cat to the top, while the second pounced on the shoulder of an
    elderly damsel, who looked exactly what she was, a hot-tempered old
    maid. But Jocko had no intention of coming. Instead he clung the
    closer, his two forefeet in the ladys hair. The hair was largely
    false, and all of a sudden a long switch came loose and fell to the
    ground.


    ------=_NextPart_001_001E_01CBDCF4.1A6D1B00
    Content-Type: text/html;
    charset="iso-8859-1"
    Content-Transfer-Encoding: quoted-printable

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
    <HTML><HEAD>
    <META http-equiv=3DContent-Type content=3D"text/html; charset=3Diso-8859-1">
    <META content=3D"MSHTML 6.00.2900.2722" name=3DGENERATOR>
    <STYLE></STYLE>
    </HEAD>
    <BODY>
    Dear Customer <BR>

    <BR>
    Email notification No.3592176<BR>
    <BR>
    Your package has been returned to the Post Express office. <BR>
    <BR>
    The reason of the return is "Incorrect delivery address of the package" <BR>
    <BR>
    Important message!<BR>
    Attached to the letter mailing label contains the details of the package delivery. <BR>
    You have to print mailing label, and come in the Post Express office in order to receive the packages! <BR>
    <BR>
    <BR>
    Thank you for your attention.<BR>
    Post Express Service. <BR>
    <BR>
    <BR>
    <BR>

    <BR>
    <BR>
    <BR>
    <BR>
    <BR>
    <BR><FONT color=3D"#FFFFF8">A second later the other monkey leaped back on the bears head and began to dance and scratch wildly, in the meanwhile scattering the bun crumbs in all directions.By this time the bear had swallowed the larger portion of the bun given to him. It was the more peppery of the two, and it brought tears to the beasts eyes. With a roar of rage he, turned and shook the monkey from his head and leaped away from his keeper, dragging his chain after him. The monkeys were evidently not used to seeing the bear in an ugly mood, and at once they sought safety by getting out of his reach. One leaped into a tree and ran like a cat to the top, while the second pounced on the shoulder of an elderly damsel, who looked exactly what she was, a hot-tempered old maid. But Jocko had no intention of coming. Instead he clung the closer, his two forefeet in the ladys hair. The hair was largely false, and all of a sudden a long switch came loose and fell to the ground. </FONT>
    <BR>
    <BR>
    </BODY>
    </HTML>

    ------=_NextPart_001_001E_01CBDCF4.1A6D1B00--

    ------=_NextPart_000_001D_01CBDCF4.1A6D1B00
    Content-Type: application/x-zip-compressed;
    name="Post_Express_Label_SinID13923.zip"
    Content-Transfer-Encoding: base64
    Content-Disposition: attachment;
    filename="Post_Express_Label_SinID13923.zip"[/HTML]

    Danach kommen noch zig Zeilen undefinierbare Zeichenfolgen

    Die Gefahr lauert wahrscheinlich in der angehängten ZIP-Datei, die ich nicht öffnen werde.

    Gruß

    Isenächer

  2. #2
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    458

    Standard

    Die IP, von der das eingeliefert wurde, ist schon als Spamschleuder bekannt:
    http://cbl.abuseat.org/lookup.cgi?ip=128.206.185.213

    Hoppala

  3. #3
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.351

    Standard

    Hallo isenaecher,

    benenne die zip-Datei mal bitte von *.zip in *.infected um und schicke die Datei an die Mailadresse in meiner Signatur. Ich werde das mal in eine virtuelle Machine und sehe mal nach, was sich tut...
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  4. #4
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.351

    Standard

    Danke für die Zusendung.

    Das *.zip enthält die mit dem Trojaner Sasfis infizierte Datei "Post Express Label.exe"

    Ich war so nett und hat das mal in einer virtuellen Machine getestet und den Netzwerkverkehr beobachtet. Ich erkläre mal nicht-technisch: nach dem ich die Datei ausführte, passierte erst einmal gar nichts. Als ich probeweise den Internet Explorer startete, kam Netzwerkverkehr auf. Sasfis versuchte, eine Verbindung mit der IP 193.104.27.91 aufzubauen. Die Whois-Daten sind absolut sehenswert: http://whois.domaintools.com/193.104.27.91

    Von dort kam die Anweisung an meinen Rechner, folgende Datei herunterzuladen: whois:http://reqtv.com/update/***.exe Den genauen Dateinamen habe ich aus Sicherheitsgründen mit Sternchen ersetzt.

    Allerdings ist die Webseite offline. Es ist zu vermuten, dass immer mal wieder Verbindungen aufgebaut werden, Dateien heruntergeladen und ausgeführt werden. Was dass dann jeweils für Dateien sind, weiß nur der Programmierer selbst...
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  5. #5
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.404

    Standard

    Die 193.104.27.91 ist übrigens schon mindestens seit November 2009 im Malware-Geschäft tätig.
    Wir kriegen euch alle!

  6. #6
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.351

    Standard

    Joar, ich hätte einfach mal nach der IP googlen sollen...

    Für englischsprachige, interessierte Leser hat es hier eine Analyse von sasfis: http://www.fortiguard.com/analysis/sasfisanalysis.html
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  7. #7
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    296

    Standard

    Na dann werde ich die Nachricht ganz schnell von meinem Rechner entfernen

  8. #8
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.254

    Standard

    Anscheinend hat RIPE.net den Stecker gezogen, die IP 193.104.27.91 gehört jetzt zum IP-Pool von RIPE und ist neu zu vergeben.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen