Trojaner: mms@vodafone.de – You have received a new MMS message

Eine angebliche Mail von Vodafone enthält an Stelle des Bildes ein ZIP-Archive mit einem Trojaner, bei dem eine doppelte Dateiendung darüber hinwegtäuschen soll, dass es sich bei der eingepackten Datei um ein Programm und nicht um ein Bild handelt. Das gleich Spiel wie bei der Facebook message.

Vodafone - You have received a new MMS message
Screen Shot der angeblichen Vodafone Nachricht – You have received a new MMS message

Ansonsten nichts keine Neuigkeiten. Der Anhang heißt VodafoneDE_MMS.zip und – keine Überraschung – die eingepackte Datei VodafoneDE_MMS.jpeg.exe. Nicht mal nummeriert werden die Anhänge mehr.

Der HTML-Teil enthält die gleichen Fehler wie die „Facebook message“. Damit könnte sie von gleichen Trottel stammen – oder zumindest vom gleichen Tool Kit. Mehr lohnt sich jetzt nicht zu schreiben. Außer:

Finger weg von der eingepackten Datei

Ich habe es nicht geprüft, aber man sollte davon ausgehen, dass nicht alle Virenscanner den Anhang als Schadsoftware erkennen.

BTW: Noch eine gute Nachricht. SpamAssassin hat in diesem Fall angeschlagen und die Mail als Spam erkannt.

Update: Gestern kamen auch Nachrichten an, bei denen der Anhang Vodafone-Multimedia-Message.zip und das angebliche Bild VodafoneMultimediaMessage.jpeg.exe heißen.

Trojaner: Facebook message

Eine angebliche Mail von Facebook enthält an Stelle des Bildes ein ZIP-Archive mit einem Trojaner, bei dem eine doppelte Dateiendung darüber hinwegtäuschen soll, dass es sich bei der eingepackten Datei um ein Programm und nicht um ein Bild handelt.

Trojaner: Facebook message
Screen Shot der Mail Facebook Message
Date: Tue, 6 Nov 2012 12:31:20 +0100
To: <thomas@byggvir.de>
From: „Facebook“ <notification+aciiy144@facebookmail.com>
Reply-to: noreply <noreply@facebookmail.com>
Subject: Facebook message
Attachment: Facebook-message-Foto.zip 28048 Byte (enthält Facebook-message-Foto.jpeg.exe 40807)

„Trojaner: Facebook message“ weiterlesen

Spam: Finanzagenten gesucht für angebliche yunix-group.com

Update 18.11.2012:
Weitere Adressen sind:

  1. esb-gruppe.com

Hier noch eine Mail mit der nach Finanzagenten für die Geldwäsche gesucht wird. Diesmal ist es für eine angebliche yunix-group.In Taiwan gibt es wohl eine YUNIX INT’L CORP., mehr habe ich dazu allerdings nicht gefunden. Google möchte immer lieber nach „unix“ suchen. Yahoo ist da etwas weniger eigensinnig.

Hier die typische Mail, aus der ich überflüssigen Balast gelöscht habe.

„Spam: Finanzagenten gesucht für angebliche yunix-group.com“ weiterlesen

Blackhole with new Obfuscation

In a former article I described a method to deobfuscate Blackhole obfuscated JavaScript with shell commands and two simple C-programs.

Today I got a Blackhole Exploit Kit message which lead to a landing page – http://forumibiza.ru:8080/forum/links/column.php – with a new ( for me) – simpler – obfuscation. They didn’t insert random characters in the strings but ignored every pair of two characters which started with an equal sign „=“. My piRadix program guested the radix correct but the preparation for piDecode failed and naturally the decoding failed. I added a simple line to delete all pairs starting with „=“ and everything worked fine with old and new obfuscation.

| sed ’s#=.##g‘ \

Here comes the new script:

„Blackhole with new Obfuscation“ weiterlesen

Abzocke über die Seiten geldjetzt.net

Eine Mail von einem vorgeblichen Michael Schulz mit dem Betreff „Überweisung v. 633,53€“ veranlasste mich mal zu schauen, was dahinter steckt. Warum sollte ich diese Mails künftig öfter bekommen?

Weitere Namen: Marius Meyer, Malte Wagner.

„Abzocke über die Seiten geldjetzt.net“ weiterlesen

Dear Veronica

How are you?

I hate loneliness as you do and I wanna be loved. I want nothing but feel loved. Who wouldn’t? I hope this is what you want too.
I’m honored that you I want to share my your love with you me and give you me the pleasure!

I am really happy that I can write back to you in this article.
The reason why I wrote this message is that I want to start a end the conversation with you. I do not really know what to write about myself. back. Maybe it would be better if you ’ll take hadn’t taken a try first?

I ’m very positive girl boy who is in search of has found real love or and a good friend and very caring wife.

I hope that my first your next experience will be pretty interesting and more successful.

You asked me whether I Want to experience my your love and passion?

Baby I don’t want to hurt your feelings, but … No, your are more than 30 years to late.

Passion and love are kind of feeling that I want to experience right now with my wife.


Die blauen Textstellen sind den E-Mails (Text und Subject) der angeblichen Veronica entnommen, die schwarzen sind meine Einfügungen.

Armes Mädchen Armer Spammer, ich weiß nicht, was Du Dir von den Mails versprichst, aber um nicht als Spam erkannt zu werden musst Du noch etwas an Deinen Mails arbeiten und solltest nicht dutzende Mail Adressen verwenden.

Gute Nacht

PS: Bitte weitere E-Mails nur mit Bild 😉
PPS: Der Sinn dieser E-Mails erschließt sich mir nicht, vor allem, weil ich die gleich mehrfach bekomme. Nur in einem bin ich mir sicher: Wer noch mehr Spam möchte, sollte darauf antworten.

SPAM: Gestern kamen Stellenangebote für Vertreter im Bereich Logistik ins Postfach

Für diese angeblichen Stellenangebote der Firma Rullion gilt:

Finger weg von diesen Angeboten! Die Arbeit ist illegal.

Achtung: Die Firma Rullion gibt es wirklich, doch die Web-Adresse lautet http://www.rullion.co.uk. Die Web-Seite www.rullion.org ist von den Betrügern gefaked! Die Übernahme renommierter Namen in die Arbeitsangebote kennen wir von einer früheren Spam Serie, die vorgab von der Heidt Group zu stammen.

(In diesem Zusammenhang möchte ich auf eine Mitteilung der bayrischen Polizei aus dem November des letzten Jahres aufmerksam machen. Sie scheint jedes Jahr erneut aktuell zu werden.)

Hier die Mail:

„SPAM: Gestern kamen Stellenangebote für Vertreter im Bereich Logistik ins Postfach“ weiterlesen

Der Wallstreet Trick und seine Vermarktung

Heute bin ich auf der Suche nach dem Wallstreet Trick auf eine Seite gestoßen, die zur Zeit bei der Google Suche ganz oben steht. Die Artikel des Blogs „Online Produkt Infos – Online Geld verdienen“ von Kurt Bach haben mich irritiert. Leicht kritisch, wird der Wallstreet Trick am Ende doch positiv bewertet. Etwas Orientierung gab mir sein Artikel vom 26. Mai 2012 über Affiliates in Katrellen, Syndikaten und Mafiastrukturen…[1] in dem er sich über einen Artikel im tagSEOblog auslässt. Den Erleuchtung bringenden Abschnitt aus Kurt Bachs Artikel möchte ich hier kurz zitieren:

„Der Wallstreet Trick und seine Vermarktung“ weiterlesen

  1. [1]Rechtschreibfehler habe ich mit Copy and Paste übernommen

Blackhole: Tarnt sich als Scan to E-Mail

Heute war nach Tagen der Ruhe ein Trojanisches Pferd des Blackhole Exploit Kit unterwegs. Der angeblich eingescannte Text ist eine HTML-Seite HP-Officejet-05569.htm, die direkt auf eine Landing Page umleitet.

Und so sieht die Mail grundsätzlich aus.

„Blackhole: Tarnt sich als Scan to E-Mail“ weiterlesen

Spam: Reservierungen und Tickets

Nachdem die Trojaner mich einige Tage in Ruhe gelassen haben, wurden sie heute wieder richtig aktiv. Bei zwei Mails handelt es sich um angebliche Hotelbuchungen, drei betrafen angebliche BA- Tickets. Angehängt ist jeweils eine ZIP-Datei mit einem Trojanischen Pferd.

Zuerst schauen wir uns die angeblichen Buchungen bei hotel.de an.

„Spam: Reservierungen und Tickets“ weiterlesen