Ergebnis 1 bis 7 von 7

Thema: Sicherheitscenter <service-pp@mein.gmx>

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Mitglied Avatar von Frechdachs
    Registriert seit
    12.04.2009
    Ort
    Münster NRW
    Beiträge
    551

    Standard Sicherheitscenter <service-pp@mein.gmx>

    Moin moin zusammen,

    im Freenet-Spamordner habe ich folgende Mail gefunden, die angeblich von GMX kommt.
    Ich weiß jedoch nichts mit anzufangen, weil ich alle Mails immer als Reintext anzeigen lasse.


    Der Betreff ist: Neue Nutzungsbedingungen
    Neue NachrichtDies ist eine verschlüsselte Nachricht. Aktivieren Sie die HTML-Anzeige, um den Inhalt dieser Nachricht korrekt wiederzugeben.
    Den kryptischen Text habe ich weggelassen.

    header:
    01: Return-Path:
    02: <0102016ed86df485-13c2d91d-c6d4-48fd-b23f-d6e2e78d21cc-000000 [at] eu-west-1.amazonses.com>
    03: Delivered-To: poor [at] spamvictim.tld
    04: Received: from mdbox3.freenet.de
    05: by mdbox3.freenet.de with LMTP ID: [ID filtered]
    06: for <poor [at] spamvictim.tld>; Fri, 06 Dec 2019 xx:xx:xx +0100
    07: Return-path:
    08: <0102016ed86df485-13c2d91d-c6d4-48fd-b23f-d6e2e78d21cc-000000 [at] eu-west-1.amazonses.com>
    09: Delivery-date: Fri, 06 Dec 2019 xx:xx:xx +0100
    10: Received: from [195.4.92.114] (helo=smtp4.freenet.de)
    11: by mdbox3.freenet.de with esmtpa (ID: [ID filtered]
    12: ID: [ID filtered]
    13: for poor [at] spamvictim.tld; Fri, 06 Dec 2019 xx:xx:xx +0100
    14: Received: from a6-195.smtp-out.eu-west-1.amazonses.com ([54.240.6.195]:54726)
    15: by smtp4.freenet.de with esmtps (TLSv1.2:ECDHE-RSA-AES128-SHA:128) (port 25) (Exim 4.92 #3)
    16: ID: [ID filtered]
    17: for poor [at] spamvictim.tld; Fri, 06 Dec 2019 xx:xx:xx +0100
    18: DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
    19: ; d=amazonses.com; t=1575589115;
    20: h=From:Subject:To:Content-Type:MIME-Version:Date:Message-ID:Feedback-ID;
    21: bh=zIFVljyuFRhLSyM+W3dlsHGZcLV2kAtuQMAHwNcpE7c=;
    22: b=D1+aeL2I55W4Oh/FUd5zW278PcpTyDVj52Qn0jQl14h/iQLbZffMzH9kBbHCeJjr
    23: Wn/b7wJDJn4+gJu3fbMfDzOmpnY+ck5TRrZQ0sDxi+NlYhXz0W45bqhNsuJ/QnebUpD
    24: L+Hr4lmmNMyGZvcUUBOk5GzPoTNxFxwnOWksy9dI=
    25: From: "Sicherheitscenter" <service-pp [at] mein.gmx>
    26: Subject: Neue Nutzungsbedingungen
    27: To: "mein-name" <poor [at] spamvictim.tld>
    28: Content-Type: multipart/alternative;
    29: boundary="fSHdb4ZM4MXIQt2wR3YjV=_4T7BUgJT6Vs"
    30: MIME-Version: 1.0
    31: Date: Thu, 5 Dec 2019 xx:xx:xx +0000
    32: Message-ID: [ID filtered]
    33: X-SES-Outgoing: 2019.12.05-54.240.6.195
    34: Feedback-ID: [ID filtered]
    35: X-FN-Spambar: ---
    36: X-Spamaction: add header
    37: Delivered-To: poor [at] spamvictim.tld
    38: Envelope-to: poor [at] spamvictim.tld
    39: X-Antivirus: Avast (VPS 191204-0, 04.12.2019), Inbound message
    40: X-Antivirus-Status: Clean
    41: This is a multi-part message in MIME format
    42: --fSHdb4ZM4MXIQt2wR3YjV=_4T7BUgJT6Vs
    43: Content-Type: text/plain; charset="iso-8859-1"
    44: Content-Transfer-Encoding: quoted-printable
    45: Content-Disposition: inline
    46: Neue NachrichtDies ist eine verschl=FCsselte Nachricht. Aktivieren Sie=
    47: die HTML-Anzeige, um den Inhalt dieser Nachricht korrekt wiederzugebe=
    48: n. mein-name [at] freenet.de - uwFHINOwiPkr xBUJhGyuakiAEfJtufuTdWq=
    49: ovalOLisUOtEABjieTwirreaMfAn VxLOomdizYTfEte HrEPaPXeujNOyPUqexAinalUo=
    50: fT-RneicZeNTIhtUJEliqOniHPruGozpenMy. Datum: 06.12.2019=20
    Gruß Frechdachs
    -----------------------------------------------------------------------------------------------------------


    Kaffeefahrten sind / ist staatlich geduldete(r) Diebstahl, Betrug, Erpressung und Nötigung

  2. #2
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.601

    Standard

    Zitat Zitat von Scammy
    ...] Aktivieren Sie die HTML-Anzeige, um den Inhalt dieser Nachricht korrekt wiederzugeben.
    Raffiniert: so können VB-Skripte ggf. ausgeführt werden und externe Inhalte (Tacker und Schadcode) aus dem Internet nachgeladen werden.
    Der Quelltext wäre echt interessant.
    Mit einem notepad++ oder notepad (Windows) kann man sich die E-Mail als File-Objekt (*.eml) relativ gefahrlos anschauen, sofern diese im Dateisystem gespeichert wurde.

    Es wurde über die IPv4-Adresse whois:54.240.6.195 gespamt - ganz sicherlich nicht von GMX / Freenet.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  3. #3
    Mitglied Avatar von Frechdachs
    Registriert seit
    12.04.2009
    Ort
    Münster NRW
    Beiträge
    551

    Standard

    Zitat Zitat von schara56 Beitrag anzeigen
    ...Mit einem notepad++ oder notepad (Windows) kann man sich die E-Mail als File-Objekt (*.eml) relativ gefahrlos anschauen, sofern diese im Dateisystem gespeichert wurde....
    Wie sieht das aus, wenn ich die Mail als *.eml im Thunderbird mit einem Linux / Ubunturechner herunterlade und dann bei VirusTotal checken lasse?
    Kann da was anbrennen?
    Geändert von Frechdachs (06.12.2019 um 10:31 Uhr)
    Gruß Frechdachs
    -----------------------------------------------------------------------------------------------------------


    Kaffeefahrten sind / ist staatlich geduldete(r) Diebstahl, Betrug, Erpressung und Nötigung

  4. #4
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    13.392

    Standard

    Windows Viren/Trojaner laufen bei Linux vor die Wand

  5. #5
    Mitglied Avatar von Frechdachs
    Registriert seit
    12.04.2009
    Ort
    Münster NRW
    Beiträge
    551

    Standard

    Virustotal hat in 57 Scannern (noch) nichts gefunden.
    Gruß Frechdachs
    -----------------------------------------------------------------------------------------------------------


    Kaffeefahrten sind / ist staatlich geduldete(r) Diebstahl, Betrug, Erpressung und Nötigung

  6. #6
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.337

    Standard

    Die *.eml selbst ist nicht virulent. Das, was ggf. hinter dem VB-Script kommt, schon.
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen