Schon beim Text wurde ich aufmerksam. Aber als ich mir dann den Link im Klartext anschaute war schon fast alles klar. Seit wann stellt denn bitte Microsoft einen Patch auf einer anderen Domain als Microsoft.com zum Download bereit? Wenn etwas von Microsoft kommt geht die Reise stumpf auf ihre .com-Domain. Dann muss ich mir eine ellenlange EULA durchlesen und der am Ende zustimmen. Dann lande ich vielleicht mal beim Download. So läuft das bei den Redmondern. Ausserdem teilt Microsoft dezidiert mit, wofür deren Patch gedacht ist. Tse!

Was ich hier geboten bekomme ich ein lauer Witz. Der Absender ist das “Microsoft-Update-Center” *lol*.
Das Microsoft-Update darf man neuerdings direkt downloaden- soso! Der direkte Links zeigt dann noch auf die sehr aufschlussreich benannte Datei: web_update.exe. Und zu guter Letzt haben sich die Spammer auch noch im Text verschrieben. Der Patch soll nämlich mit Windwos und nicht Windows kompatibel sein *rofl*

Der Wortlaut der Spam-Mail:
Lieber Microsoft-Kunde,

wir freuen uns Ihnen mitteilen zu dürfen,daß wir Ihnen zum bestehenden Sicherheitsproblem bzgl. Internet Explorer 9 und Firefox 3.x einen Update-Patch bereitstellen können. Kompatibel mit Windwos XP / VISTA und Windows 7.

Ihren Patch finden Sie unter:

http://www.microsoft-updates.de/web_update.exe

oder auf http://www.microsoft-updates.de/

Update for Windows XP, VISTA, WIN7

Installation:
1. Downloaden Sie den Update-Patch
2. Update-Patch ausführen durch Doppelklick oder Rechtsklick/öffnen
3. Nach der Installation starten Sie Ihr Betriebssystem neu.

Mit freundlichen Grüßen

Steve Lipner
Director of Security Assurance
Microsoft Corp.

Ok, zur Recherche. Ich will wissen wem die deutsche Domain www.microsoft-updates.de gehört und befrage die Whois-Profis von der Denic. Naja, was soll ich da sagen. Das Ergebnis bestätigt meine Vermutungen, räumt Zweifel zumindest nicht eindeutig aus. Ich halte es einfach für ausgeschlossen, dass eine offizielle Microsoft-Seite auf eine Dame aus Leipzig registriert ist. Aber das darf sich mal jeder selbst anschauen.

Da hier keine Datei anhängt und auch im Text nicht der üblich verdächtige Kram zu finden ist, ist die Mail wohl durch den Spamfilter gerutscht. Natürlich hab ich die Datei heruntergeladen und vom BitDefender und von a²-Free unter die Lupe nehmen lassen. Die Datei scheint sauber, glaub ich gern. Nach einer intensiven Befragung von Tante Google bin ich auf den Artikel von olivergast.de gestoßen, der sich der Spam-Mail ebenfalls angenommen hat. Er hat die .exe offenbar nicht nur geladen sondern auch untersucht. Die Datei selbst scheint sauber, da kann ich meinen Virenscannern keinen Vorwurf machen. Aber ich hüte mich vor der Verwendung der Datei. Denn nachdem ich Olivers Artikel gesichtet habe, weiß ich was darin steckt und wie das Thema weiter geht. Mit einem echten Microsoft Patch hat das wirklich nichts zu tun.

Also: Finger weg und wie immer gilt bei Spam: Lesen, lachen, löschen.

Die hinterlegte Absender-Adresse von Edythe ist schon mal überaus “vertrauens-weckend”. Sie lautet: Edythe.Reinhausen@virtua.com.br. Na dann schauen wir doch mal rein.

In der Spam E-Mail steht der erbauliche Text geschrieben:

Ohne Probleme abnehmen muss heutzu-tage leicht sein und abgesehen davon schon Spasss machen.
Versuchen Sie dieese neuartige Herangehensweise und erfahren Sie, wie unk0mpliziert es jetzt ist 19 Kilogram innerhalb einem Monat ab-zu-nehmen.
Hier erfahren Sie Sie alles, um unkompliziert eine fitte Figur zu bekommen ohne Qualen.
bit.ly/5hbFiT

Die einfachste Methode der Welt!

Mit frohen Gruessen
Dr. Edythe Reinhausen

Das is’ doch mal ne Aussage. Ha! Ist mir zwar grundsätzlich ziemlich egal aber neugierig bin ich schon- also klick-drauf! Hm… Produkt- und Service ankündigungen, die hinter einer Short-URL versteckt sind? Auch das ist in meiner kleinen Welt keine vertrauenssteigernde Maßnahme. Aber da ich mitten in der Recherche stecke, klicke ich mal auf den Link. Ich lande jetzt auf der Seite: http://baal.baall1gka.direkt-abnehmen-easy13.com Wie sollte es auch anders sein- sofort wird der Redirect zu einer anderen Seite eingeleitet:

Es erscheint der Text: Bitte ein paar Sekunden gedulden, Sie werden gleicht zu unserem Shop weitergeleitet…

Falls Sie nach 5 Sekunden immernoch nicht weiter geleitet wurden. Klicken sie bitte hier

Die Zielseite ist dann: http://www.deutschlandapotheke24.net/ida Na, wollen wir doch mal sehen was die tolle Deutschlandapotheke.net für Angebote bereit hält…

Alleine der Seitentitel ist schon witzig weil falsch:
• Gewichtsabnahme (nichts zu nörgeln)
• Potemzmittel (*lol*) und andere… (blablabla).

OK, die Seite ist also ne Netzapotheke, in der allerlei lebenserheiternde Mittelchen erstanden werden können. Ob der Shop vertrauenswürdig ist, oder nicht vermag ich nicht zu beurteilen. Ich werd’s auf dem klassischen Wege (Bestellung) auch nicht herausfinden, denn ich werde da nichts ordern….

Ab und zu gebe ich mir den Inhalt meines Spam-Filters um sicher zu gehen dass ich nicht doch aus Versehen mal ein Friendly-Fire veranstalte. So auch heute wieder. Ein geschulter Blick überfliegt die endlosen Werbetiraden wie: Casino, Pillen, Sonderangebote, Abbuchungen von meinem Konto…

Da sehen meine müden Augen folgende Überschrift:
Mann lebt nur 1x – probiers aus !

Was für’n Blödsinn! Ja sicher hab ich’s schon ausprobiert! Das mit dem Leben meine ich. Sonst müsste der werte Versender ja dem Nutzer einer anderen E-Mail Adresse auf die Ketten gehen denn mich gäbe es dann offensichtlich nicht. Oder ist das anders gemeint? Ist das eine Aufforderug zum Suizid? Direkt nach dem erfolgreichen Selbstmord kommt dann warscheinlich ‘ne Mail mit dem Betreff:

Danke nochmal an alle Spamfilter dieser Welt! Und ein ebenso herzliches: F**K O*F! an alle Spammer dieser Welt. Niemand braucht Euch! Keiner mag Euch! Vielleicht nehmt Ihr Euch Euren eigenen Betreff mal zu Herzen. Vielleicht hilft’s ja!

Ich habs eben bei Tutsi gelesen. E-Mail Spammer drohen ihm in einer E-Mail die auch direkt an ihn adressiert ist, seine E-Mail Adresse zu sperren. Ich habe am frühen Abend so etwas im heise.de Ticker gelesen aber weggeklickt. Jetzt ist meine Aufmerksamkeit geweckt worden und JA! Ich bin dabei! Der Spam Filter des o2 Communication Center hat sage und schreibe 8 dieser bescheuerten Angriffsversuche auf meinen E-Mail Account und Rechner geblockt! Wie Tutsi schon schreibt ist es mal wieder nur Spam- aber das Besondere an diesem Versuch ist, dass sie die echte E-Mail Adresse im Betreff verwenden. Das lässt mit Sicherheit einige E-Mail Empfänger stutzen und dazu verleiten, den Anhang: Hinweis.zip zu öffnen.

Öffnet den Anhang: Hinweis.zip, Sperrung.zip, etc… bitte nicht. Er enthält wieder einmal Schadcodes und kann Schaden im System verursachen! Das ist ein hinterhältiger Versuch, Euch zu schaden und einen Trojaner unterzujubeln!

Mit diesen E-Mail Texten überraschten mich die Spammer:

Sehr geehrte Damen und Herren,
Ihre Email “—@o2online.de” wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 60 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Sehr geehrte Damen und Herren,
Ihre Email “—.—@o2online.de” wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 21 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Mal abgesehen, dass ein Satzbeginn in einem Schreiben nach einer Anrede nicht groß geschrieben wird und in der deutschen Sprache Umlaute existieren, ist die Spam E-Mail erneut in einem guten Deutsch verfasst. Ach ja, und es ist eine E-Mail Adresse, die gesperrt werden soll- nicht nur eine E-Mail. Das wäre albern! Darüber hinaus variieren die Zahlen der angeblichen Beschwerden wegen Spamverdachts. In der oberen Mail ist von 71 Beschwerden zu lesen, in der mittleren von immerhin noch 60 und in der unteren sind es “nur” noch 21. Ein Abwärtstrend?

Den Tipp habe ich übrigens heute, am 10.11.2008 bekommen Datiert ist er auf den 11.11.2008.

Na, wenn das so ist…!? Helau, Alaaf, und Hejo!
Die fünfte Jahreszeit geht ja schon gut los

Eine neue Qualität muss ich den Spam-Attacken schon zugestehen. Mal abgesehen vom grenzdebilen Absendernamen sind Betreff (6-stellige Postleitzahl?) und Inhalt in passablem deutsch verfasst:

Absender: Serena Carlisle, Betreff: Amtsgericht Koeln 877357 – Sehr geehrte Damen und Herren, vielen Dank fur Ihre Anmeldung bei staysfriends.de Sie haben Sich fuer unseren kostenpflichtigen Suchservice entschieden. 295,88- Euro werden Ihrem Konto fur ein Jahresvertrag zu Last gelegt. Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen per Post zugestellt. Mit freundlichen Gruessen StaysFriends GmbH

Beim Versuch, die Datei Mahnung.zip zu öffnen und mir die Sauereien anzuschauen die mir da zugestellt wurden, schlug auch schon der BitDefender an und informierte:

BehavesLike:Win32.ExplorerHijack

Das BitDefender Labor bescheinigt dem Schadcode eine mittlere Schadenswirkung. Wörtlich ist hier aufgeführt:

Spreading: medium
Damage: medium
Size: varies
Discovered: 2004 Oct 05

SYMPTOMS:
There are no visible symptoms (slightly higher memory usage)

TECHNICAL DESCRIPTION:
A heuristic detection of B-HAVE commonly encountered on Bots, Droppers and some Worms.

Mich würde sehr interessieren ob die Betreiber von stayfriends.de das Ganze lustig findet und ob sie schon Schritte gegen die offensichtlich unrechtmäßige Verwendung ihres Namens eingeleitet haben.

“Sehr geehrte Damen und Herren! Die Anzahlung Nr.773899560743 ist erfolgt. Es wurden 4322.00 EURO Ihrem Konto zu Last geschrieben. Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.zip Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung (Was ist das denn für ein bescheuerter Satz????) TESCHINKASSO Forderungsmanagement GmbH – Geschaeftsfuehrer: Siegward Tesch – Bielsteiner Str. 43 in 51674 Wiehl – Telefon (0 22 62) 7 11-9 – Telefax (0 22 62) 7 11-806 – Ust-ID Nummer: 212 / 5758 / 0635 – Amtsgericht Koeln HRB 39598″

Der gefährliche Teil versteckt sich im Anhang:
Der Dateianhang Rechnung.zip enthält einen Trojaner.

In der gepackten Datei befindet sich die Datei: Rechnung.txt das ist aber keine
Textdatei sondern eine Verknüpfung zum eigentlichen Schadcode: zertifikat.sll

Also bitte: Beachtet die Regel der drei goldenen L’s:

Hier ist der BitDefender sehr hilfreich. Die Firewall- und Virenschutzsoftware ist günstig, effektiv und verbraucht sehr wenig Ressourcen.