Ergebnis 1 bis 7 von 7

Thema: Sicherheitscenter <service-pp@mein.gmx>

  1. #1
    Mitglied Avatar von Frechdachs
    Registriert seit
    12.04.2009
    Ort
    Münster NRW
    Beiträge
    504

    Standard Sicherheitscenter <service-pp@mein.gmx>

    Moin moin zusammen,

    im Freenet-Spamordner habe ich folgende Mail gefunden, die angeblich von GMX kommt.
    Ich weiß jedoch nichts mit anzufangen, weil ich alle Mails immer als Reintext anzeigen lasse.


    Der Betreff ist: Neue Nutzungsbedingungen
    Neue NachrichtDies ist eine verschlüsselte Nachricht. Aktivieren Sie die HTML-Anzeige, um den Inhalt dieser Nachricht korrekt wiederzugeben.
    Den kryptischen Text habe ich weggelassen.

    header:
    01: Return-Path:
    02: <0102016ed86df485-13c2d91d-c6d4-48fd-b23f-d6e2e78d21cc-000000 [at] eu-west-1.amazonses.com>
    03: Delivered-To: poor [at] spamvictim.tld
    04: Received: from mdbox3.freenet.de
    05: by mdbox3.freenet.de with LMTP ID: [ID filtered]
    06: for <poor [at] spamvictim.tld>; Fri, 06 Dec 2019 xx:xx:xx +0100
    07: Return-path:
    08: <0102016ed86df485-13c2d91d-c6d4-48fd-b23f-d6e2e78d21cc-000000 [at] eu-west-1.amazonses.com>
    09: Delivery-date: Fri, 06 Dec 2019 xx:xx:xx +0100
    10: Received: from [195.4.92.114] (helo=smtp4.freenet.de)
    11: by mdbox3.freenet.de with esmtpa (ID: [ID filtered]
    12: ID: [ID filtered]
    13: for poor [at] spamvictim.tld; Fri, 06 Dec 2019 xx:xx:xx +0100
    14: Received: from a6-195.smtp-out.eu-west-1.amazonses.com ([54.240.6.195]:54726)
    15: by smtp4.freenet.de with esmtps (TLSv1.2:ECDHE-RSA-AES128-SHA:128) (port 25) (Exim 4.92 #3)
    16: ID: [ID filtered]
    17: for poor [at] spamvictim.tld; Fri, 06 Dec 2019 xx:xx:xx +0100
    18: DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
    19: ; d=amazonses.com; t=1575589115;
    20: h=From:Subject:To:Content-Type:MIME-Version:Date:Message-ID:Feedback-ID;
    21: bh=zIFVljyuFRhLSyM+W3dlsHGZcLV2kAtuQMAHwNcpE7c=;
    22: b=D1+aeL2I55W4Oh/FUd5zW278PcpTyDVj52Qn0jQl14h/iQLbZffMzH9kBbHCeJjr
    23: Wn/b7wJDJn4+gJu3fbMfDzOmpnY+ck5TRrZQ0sDxi+NlYhXz0W45bqhNsuJ/QnebUpD
    24: L+Hr4lmmNMyGZvcUUBOk5GzPoTNxFxwnOWksy9dI=
    25: From: "Sicherheitscenter" <service-pp [at] mein.gmx>
    26: Subject: Neue Nutzungsbedingungen
    27: To: "mein-name" <poor [at] spamvictim.tld>
    28: Content-Type: multipart/alternative;
    29: boundary="fSHdb4ZM4MXIQt2wR3YjV=_4T7BUgJT6Vs"
    30: MIME-Version: 1.0
    31: Date: Thu, 5 Dec 2019 xx:xx:xx +0000
    32: Message-ID: [ID filtered]
    33: X-SES-Outgoing: 2019.12.05-54.240.6.195
    34: Feedback-ID: [ID filtered]
    35: X-FN-Spambar: ---
    36: X-Spamaction: add header
    37: Delivered-To: poor [at] spamvictim.tld
    38: Envelope-to: poor [at] spamvictim.tld
    39: X-Antivirus: Avast (VPS 191204-0, 04.12.2019), Inbound message
    40: X-Antivirus-Status: Clean
    41: This is a multi-part message in MIME format
    42: --fSHdb4ZM4MXIQt2wR3YjV=_4T7BUgJT6Vs
    43: Content-Type: text/plain; charset="iso-8859-1"
    44: Content-Transfer-Encoding: quoted-printable
    45: Content-Disposition: inline
    46: Neue NachrichtDies ist eine verschl=FCsselte Nachricht. Aktivieren Sie=
    47: die HTML-Anzeige, um den Inhalt dieser Nachricht korrekt wiederzugebe=
    48: n. mein-name [at] freenet.de - uwFHINOwiPkr xBUJhGyuakiAEfJtufuTdWq=
    49: ovalOLisUOtEABjieTwirreaMfAn VxLOomdizYTfEte HrEPaPXeujNOyPUqexAinalUo=
    50: fT-RneicZeNTIhtUJEliqOniHPruGozpenMy. Datum: 06.12.2019=20
    Gruß Frechdachs
    -----------------------------------------------------------------------------------------------------------


    Kaffeefahrten sind / ist staatlich geduldete(r) Diebstahl, Betrug, Erpressung und Nötigung

  2. #2
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.620

    Standard

    Zitat Zitat von Scammy
    ...] Aktivieren Sie die HTML-Anzeige, um den Inhalt dieser Nachricht korrekt wiederzugeben.
    Raffiniert: so können VB-Skripte ggf. ausgeführt werden und externe Inhalte (Tacker und Schadcode) aus dem Internet nachgeladen werden.
    Der Quelltext wäre echt interessant.
    Mit einem notepad++ oder notepad (Windows) kann man sich die E-Mail als File-Objekt (*.eml) relativ gefahrlos anschauen, sofern diese im Dateisystem gespeichert wurde.

    Es wurde über die IPv4-Adresse whois:54.240.6.195 gespamt - ganz sicherlich nicht von GMX / Freenet.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  3. #3
    Mitglied Avatar von Frechdachs
    Registriert seit
    12.04.2009
    Ort
    Münster NRW
    Beiträge
    504

    Standard

    Zitat Zitat von schara56 Beitrag anzeigen
    ...Mit einem notepad++ oder notepad (Windows) kann man sich die E-Mail als File-Objekt (*.eml) relativ gefahrlos anschauen, sofern diese im Dateisystem gespeichert wurde....
    Wie sieht das aus, wenn ich die Mail als *.eml im Thunderbird mit einem Linux / Ubunturechner herunterlade und dann bei VirusTotal checken lasse?
    Kann da was anbrennen?
    Geändert von Frechdachs (06.12.2019 um 10:31 Uhr)
    Gruß Frechdachs
    -----------------------------------------------------------------------------------------------------------


    Kaffeefahrten sind / ist staatlich geduldete(r) Diebstahl, Betrug, Erpressung und Nötigung

  4. #4
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    10.596

    Standard

    Windows Viren/Trojaner laufen bei Linux vor die Wand

  5. #5
    Mitglied Avatar von Frechdachs
    Registriert seit
    12.04.2009
    Ort
    Münster NRW
    Beiträge
    504

    Standard

    Virustotal hat in 57 Scannern (noch) nichts gefunden.
    Gruß Frechdachs
    -----------------------------------------------------------------------------------------------------------


    Kaffeefahrten sind / ist staatlich geduldete(r) Diebstahl, Betrug, Erpressung und Nötigung

  6. #6
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.756

    Standard

    Die *.eml selbst ist nicht virulent. Das, was ggf. hinter dem VB-Script kommt, schon.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  7. #7
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.265

    Standard

    Der 'kryptische Text' ist wahrscheinlich schlicht und einfach BASE64 kodiert. Gehört zum absolut kleinen Spammer 1x1 und hat einen laaaaangen Bart.

    Evtl. mal hier zum Dekodieren einwerfen:

    https://www.opinionatedgeek.com/codecs/base64decoder

    Die Kodierung sieht man, wenn man sich den Mail-Quelltext anschaut.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen