schon wieder Virenmails aus Indien

Heute erreichten uns schon wieder Viren per Mail aus Indien mit dem unten folgenden Inhalt!
(die etwas sensibleren Stellen sind mit xxxxxx überschrieben)

Der nette „Mohammad“ (wir nennen ihn jetzt einfach auch mal so)  sendet mit gefälschtem Absender ( mit unserer Domain als Endung) an uns eine Mail mit angehängter zip (7z).
Die geht beim Mailserver durch (weil wir das so wollen) aber man erkennt gleich die nicht zur Domain passende IP 125.16.128.226

Woher kommt sie Wohl? – schon wieder INDIEN (siehe Whois)

__________________________________________________

Return-Path: <Mohammad@me4__.com>
X-Spam-Checker-Version: SpamAssassin on
xxxxxxxxxxxxxxxxxxxxxxxxx
X-Spam-Level: xxxxxxxxxxxxxxxxxxxxxxxxx
X-Spam-Status: xxxxxxxxxxxxxxxxxxxxxxxxx

X-Original-To: _______@me4it.com
Delivered-To: ________@me4it.com
Received: from [125.16.128.226] (unknown [125.16.128.226])
by xxxxxxxxxxxxxxxxxxxxxxxxx
for <xxxxxxxxxxxxxxxxxxxxxxxxx>; Thu, 31 Aug 2017 06:50:34 +0200 (CEST)
Disposition-Notification-To: <Mohammad@me4__.com>
From: Mohammad Peddie <Mohammad@me4__.com>
To: <________@me4it.com>
Reply-To: <Mohammad@me4__.com>
Date: Thu, 31 Aug 2017 10:20:33 +0530
Subject: Emailed Invoice – 223572:1
Content-Type: multipart/mixed;
boundary=
Message-ID:
MIME-Version: 1.0

—-boundary_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: text/plain; charset=“us-ascii“
Content-Transfer-Encoding: quoted-printable

As requested

regards

–=20
Mohammad Peddie=

—-boundary_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Content-Type: application/octet-stream; name=“I_223572-1.7z“
Content-Transfer-Encoding: base64
Content-Disposition: attachment
Darunter hängt dann noch der Virus den ich hier natürlich abgeschnitten habe…

Ein Whois zeigt nach Indien…

inetnum: 125.16.128.224 – 125.16.128.227
netname: AMZI-1230409-Bangalore
descr:

descr: Bangalore
descr: KARNATAKA
descr: India

Burschen seid gewarnt! Das nächste mal kommt eure heilige Kuh auf den Grill!

Das Üble an der Mail , die Mehrheit  der gängigsten Virenscanner erkennt wieder mal  –  ja was wohl  –  NICHTS!
Das gute daran, wir sind ja auch nicht blöd und nehmen das wieder als gutes Beispiel um unseren Kunden hier zu zeigen:
Virenscanner JA wichtig!  – aber bitte nicht darauf verlassen, denn er hilft eben oft nicht oder nicht viel.

Eine Prüfung auf der Seite virustotal.com ca. 6 Stunden nach dem eintreffen der Mail zeigt es mal wieder, noch nicht einmal die Hälfte aller verfügbaren Scanner erkennt  den Virus  bzw.  den nachladenden Code in der Email!

weniger als die hälfte aller Scanner erkennen ca. 6h alte Emailviren