Eine angebliche Mail von Vodafone enthält an Stelle des Bildes ein ZIP-Archive mit einem Trojaner, bei dem eine doppelte Dateiendung darüber hinwegtäuschen soll, dass es sich bei der eingepackten Datei um ein Programm und nicht um ein Bild handelt. Das gleich Spiel wie bei der Facebook message. Ansonsten nichts keine Neuigkeiten. Der Anhang heißt VodafoneDE_MMS.zip… Trojaner: mms@vodafone.de – You have received a new MMS message weiterlesen
Schlagwort: Spam
Trojaner: Facebook message
[vgwort line=“81″ server=“vg08″ openid=“97ab087125834a65b63eb92ee32e9ed0″] Eine angebliche Mail von Facebook enthält an Stelle des Bildes ein ZIP-Archive mit einem Trojaner, bei dem eine doppelte Dateiendung darüber hinwegtäuschen soll, dass es sich bei der eingepackten Datei um ein Programm und nicht um ein Bild handelt. Date: Tue, 6 Nov 2012 12:31:20 +0100 To: <thomas@byggvir.de> From: „Facebook“ <notification+aciiy144@facebookmail.com>… Trojaner: Facebook message weiterlesen
Spam: Finanzagenten gesucht für angebliche yunix-group.com
Update 18.11.2012: Weitere Adressen sind: esb-gruppe.com Hier noch eine Mail mit der nach Finanzagenten für die Geldwäsche gesucht wird. Diesmal ist es für eine angebliche yunix-group.In Taiwan gibt es wohl eine YUNIX INT’L CORP., mehr habe ich dazu allerdings nicht gefunden. Google möchte immer lieber nach „unix“ suchen. Yahoo ist da etwas weniger eigensinnig. Hier… Spam: Finanzagenten gesucht für angebliche yunix-group.com weiterlesen
Blackhole with new Obfuscation
[vgwort line=“80″ server=“vg08″ openid=“53a2f874bc98402495d2e659fd12c2d2″] In a former article I described a method to deobfuscate Blackhole obfuscated JavaScript with shell commands and two simple C-programs. Today I got a Blackhole Exploit Kit message which lead to a landing page – http://forumibiza.ru:8080/forum/links/column.php – with a new ( for me) – simpler – obfuscation. They didn’t insert random… Blackhole with new Obfuscation weiterlesen
SPAM: Gestern kamen Stellenangebote für Vertreter im Bereich Logistik ins Postfach
[vgwort line=“78″ server=“vg08″ openid=“d446f8a33e2e4078b89dd8ad4730b0ef“] Für diese angeblichen Stellenangebote der Firma Rullion gilt: Finger weg von diesen Angeboten! Die Arbeit ist illegal. Achtung: Die Firma Rullion gibt es wirklich, doch die Web-Adresse lautet http://www.rullion.co.uk. Die Web-Seite www.rullion.org ist von den Betrügern gefaked! Die Übernahme renommierter Namen in die Arbeitsangebote kennen wir von einer früheren Spam Serie,… SPAM: Gestern kamen Stellenangebote für Vertreter im Bereich Logistik ins Postfach weiterlesen
Blackhole: Tarnt sich als Scan to E-Mail
[vgwort line=“76″ server=“vg08″ openid=“6ed0bbb400344018b7c1834b430fcb81″] Heute war nach Tagen der Ruhe ein Trojanisches Pferd des Blackhole Exploit Kit unterwegs. Der angeblich eingescannte Text ist eine HTML-Seite HP-Officejet-05569.htm, die direkt auf eine Landing Page umleitet. Und so sieht die Mail grundsätzlich aus.
Spam: Reservierungen und Tickets
[vgwort line=“75″ server=“vg08″ openid=“fc927b9f98994932bbdb0a38be751095″] Nachdem die Trojaner mich einige Tage in Ruhe gelassen haben, wurden sie heute wieder richtig aktiv. Bei zwei Mails handelt es sich um angebliche Hotelbuchungen, drei betrafen angebliche BA- Tickets. Angehängt ist jeweils eine ZIP-Datei mit einem Trojanischen Pferd. Zuerst schauen wir uns die angeblichen Buchungen bei hotel.de an.
SPAM: Arbeitsangebote.com (3)
[vgwort line=“74″ server=“vg08″ openid=“c87b379a964c4892bba92858b83a81d7″] Die Adressen der Mail-Server mx.arbeitdeutschland.com und mx.technojobse.com werden zur Zeit nicht mehr aufgelöst. Dafür gibt es eine Neue Mail, diesmal in Englisch in der einen angeblich auf Gibraltar beheimatete Firma nach Finanzagenten sucht. Die E-Mail-Adressen lauten hier:
Hilfe! Mir wird vorgeworfen, dass mein Rechner einen Trojaner hat und ich Spam verschicke
[vgwort line=“73″ server=“vg08″ openid=“3f6257a407594be79ca39e5e1b6f1504″] Freitag bekam ich einen weniger netten Anruf aus Hamburg. Der Anrufer forderte, dass sich sofort damit aufhöre, ihn mit Spam Mails das Postfach zuzumüllen. Auf meine Nachfrage hin, bekam ich zur Antwort, dass ich doch mit meiner Firma hinter dieser Werbung für arbeitdeutschland.com stehen würde. Nun, da ich keine Firma habe,… Hilfe! Mir wird vorgeworfen, dass mein Rechner einen Trojaner hat und ich Spam verschicke weiterlesen
SPAM: Arbeitsangebot arbeitdeutschland.com (2)
Eine kleine Ergänzung zu meinem Artikel SPAM: Arbeitsangebot arbeitdeutschland.com. Der Mailserver mx.arbeitdeutschland.com ist umgezogen. Ich bekomme jetzt als IP-Adresse die 85.17.188.210, die zum Netz 85.17.188.0/24 eines niederländischen Anbieters LeaseWeb, P.O. Box 93054, 1090BB AMSTERDAM, Netherlands, www.leaseweb.com gehört. Der Mail Server mx.technojobse.com für die schwedische Variante ist auch dorthin umgezogen. Sind Deutsch und Schwedisch die einzigen… SPAM: Arbeitsangebot arbeitdeutschland.com (2) weiterlesen