Domain-Expiration-SEO SPAM

unser täglich SPAM gib uns heute…

Da wir inzwischen einige Domain und Webseiten-Kunden haben, deren Webseiten wir auch hosten und pflegen, mussten wir in den letzten Tagen auffällig oft  Kundenanfragen zu immer wieder der selben Mail beantworten, und weil‘ s jetzt einfach nur noch nervt, und wir unsere Kunden vor eventuellen Zahlungen warnen möchten,  veröffentlichen wir den Inhalt dieser Spammail nun hier:

Optik und Wortlaut immer ungefähr wie folgt:

Pending Cancellation
FINAL NOTICE FOR DOMAIN
„hier steht ihre Domain“

Date: 08/22/2017

FINAL NOTICE – Your account is pending cancellation

PURCHASE EXPIRATION DATE: 08/30/2017

„hier steht ihre Domain“

PLEASE CLICK ON

SECURE ONLINE PAYMENT

TO COMPLETE YOUR PAYMENT

We have NOT received your payment yet

Domain Name: Registration Period: Price: Term:
„hier steht ihre Domain“  09/13/2017 to 09/13/2018  $__.__  1 Year

SECURE ONLINE PAYMENT

We have NOT received your payment yet for

„hier steht ihre Domain“

Failure to complete this order by 08/30/2017 . may result in the cancellation of this offer (making it difficult for your customers to locate you, using search engines on the web). We do not register or renew domain names. We sell traffic generator software.

PLEASE CLICK ON

SECURE ONLINE PAYMENT

ACT IMMEDIATELY

(  Der nun noch weiter unten folgende Text, versucht natürlich das ganze zu legalisieren, ist aber in so hellem Grau und so klein geschrieben, dass das kein normaler Mensch lesen wird – aber besser doch tun sollte…
Deshalb hier etwas dicker…  )

unsubscribe here or mail written request to………………………. If you have multiple accounts with us, you must opt out for each one individually in order to stop receiving SEO notices. We are a search engine optimization company. We do not register or renew domain names. We sell traffic generator software. This message is CAN-SPAM compliant. THIS IS NOT A BILL OR AN INVOICE. THIS IS A SEO PURCHASE OFFER. YOU ARE UNDER NO OBLIGATION TO PAY THE AMOUNT STATED UNLESS YOU ACCEPT THIS PURCHASE OFFER. This message contains promotional material strictly along the guidelines of the CAN-SPAM act of 2003. We have distinctly mentioned the source mail-id of this email and also disclosed our subject lines. They are in no way misleading. Please do not reply to this email, as we are not able to respond to messages sent to this address.

Also Liebe Kunden (und Gäste)
Wer lesen kann und auch das kleingedruckte liest, wird das wohl hoffentlich als SPAM einstufen und einfach direkt LÖSCHEN!!!

Viren aus dem Netzwerkscanner oder Netzwerkdrucker?

Wer mir, wie in diesem Fall, kurz vor der Mittagspause (Viren-)Mails sendet, muss damit rechnen, dass ich mir die auch mal zum Spaß genauer ansehe.

So oder so ähnlich könnte wirklich eine Scan-to-Mail Nachricht eines
Netzwerkdruckers bzw. Scanners aussehen….

Doch bei genauerem hinsehen fallen die um 5 Stunden abweichende Uhrzeit und „Scanned Image in DOC-format“ auf.

Clever gemacht: Der „Anhang aus dem Drucker“ ist verschlüsselt und natürlich wird das Passwort gleich mitgeliefert!
Wie jetzt – wozu das denn?
Logisch, natürlich das der Virenscanner wieder mal nichts prüft und findet.

Und wieder einmal verrät ein Blick in den Quellcode viel mehr,
als man auf den ersten Blick sieht….

 

Vermutlich ein verseuchter PC… und bei genauerer Prüfung sieht man in diesem Fall das die Virenschleuder höchstwahrscheinlich in Indien sitzt.
ein tracert liefert auf den letzten paar hops Interessantes…

12 if-ae-4-2.tcore2.FNM-Frankfurt.as6453.net 195.219.87.17 47.645
13 if-ae-7-2.tcore2.WYN-Marseille.as6453.net 80.231.200.77 47.876
14 80.231.200.30 80.231.200.30 141.379
16 14.141.63.186.static-Mumbai.vsnl.net.in 14.141.63.186 144.849

und ein whois liefert eine Dynamische Adresse der TATA TELESERVICES LTD als Quelle…

inetnum: 14.96.0.0 – 14.99.255.255
netname: TATAINDICOM-IN
descr: TATA TELESERVICES LTD – TATA INDICOM – CDMA DIVISION

Noch Fragen?

@Ranjit…
Bursche, versuch das nochmal und ich bastle mir einen schönen Rinderbraten aus deiner heiligen Kuh!

 

Virus getarnt als Voice-Mail

Nanu, seit wann sendet denn unser Anrufbeantworter, die Telefonanlage,  unser Router „Voice-Mails“?

Falls sie sich diese Frage gerade selbst stellen, könnte es sein, dass sie vor einem ebenso simpel wie gut gemachten Virus-Email sitzen und sich gerade fragen, ob sie denn eventuell den Anhang öffnen sollen und wer da wohl wieder mit noch nicht bekannter Telefon-Nr.  auf den „AB“  gesprochen hat.

NEEEEEIIIIIIIINNNNN!!!   Finger weg vom Anhang!  Das sollte einem doch schon der klare Verstand sagen.  In diesem Fall war‘ s ein „.zip“,

Halb so wild, denken sie jetzt,  im Ernstfall würde ja der Virenscanner greifen (spätestens wenn dann doch geklickt wird), doch weit gefehlt, wir können ihnen Versichern, in den meisten Fällen wird der Virenscanner es eben NICHT tun.

Dieser hier gezeigte Fall ist wieder einmal ein hervorragendes Beispiel,
um zu verdeutlichen, wie Virenscanner eben häufig leider doch NICHTS nützen. Ganz im Gegenteil, sie verleiten eher noch dazu, den Kopf auszuschalten und sich blind auf auf die Technik zu verlassen.

Also nun zu Erklärung:

Optisch sieht diese Fake-„Voicemail“ zunächst nicht sofort verdächtig aus, selbst die Absenderadresse ist verdammt gut gewählt, nämlich in diesem Fall VM@ Eigene Domain.  –  Könnte also ja wirklich der neue Anrufbeantworter oder Router oder was auch immer sein. Welcher Mitarbeiter schöpft da schon verdacht…

So kam das Beispiel in unserem Fall, von  vm@…
natürlich an die allgemein bekannte Adresse…

Die Absender-Mailadresse ist natürlich ebenfalls Fake, aber bei genauerem hinsehen im Quellcode erkennbar.
Bleibt jetzt das Problem: Welcher Anwender schaut schon in den Quellcode?

In diesem Fall konnte man leicht erkennen, dass die Mail von einer fremden IP-Adresse versendet wurde.

 

Doch das eigentlich gefährliche an dieser Art  Viren-Emails kommt eigentlich erst jetzt bei genauerer Recherche über die Webseite virustotal.com zum Vorschein.

Die erstmalige Überprüfung dieses Viren-Anhangs war bei Virustotal gerade einmal 24 Minuten her, als bei uns diese Virenmail im Posteingang lag. Der Virus also praktisch brandneu, und zugleich wie man sieht sehr schnell verbreitet. Das ist inzwischen so eigentlich die Regel.

Dem obigen Bild kann man aber auch entnehmen, dass zu diesem Zeitpunkt erst 11 von 59 Virenscannern überhaupt einen Virus erkennen, alle anderen scheitern kläglich.

Etwas Später nochmals eine Momentaufnahme der „erkennenden“ Scanner, leider nicht wirklich viel besser.
Auf der Webseite virustotal.com wird nebenbei auch einmal schön deutlich, dass die schnellsten eben nicht unbedingt die am weitesten bekannten sind.

Eine weitere Prüfung 3Tage später ergab, erst grob zwei drittel der Scanner kannten den Virus.

Im Ernstfall hat also ein solcher Virus längst sein Unwesen getrieben bis der eigene Virenscanner, wenn überhaupt, erst etwas davon mitbekommt.

Wir möchten hier auf keinen Fall den Eindruck vermitteln, dass ein Virenscanner damit sinnlos oder sogar unnötig wäre, nein ganz im Gegenteil, er ist wichtiger denn je, doch eines sollte hiermit klar sein:
Im Ernstfall sind Sie selbst, ja wirklich NUR SIE SELBST ihr einziger funktionierender Email-Viren-Schutz.