Spam am Morgen

Kommt es eigentlich nur mir so vor oder wird der Spam im Moment wieder fast glaubwürdig? Das Ding heute morgen hätte mich ja fast überzeugt, zumindest auf meinem IPhone.

So sah die Mail heute Morgen aus.

20121106-053457.jpg

So weit, so lustig. Irgendwie würde ich es 1&1 sogar zutrauen das sie nach mittlerweile glaube ich 5 Jahren nochmal auf die Idee kommen mir eine Rechnung zu schicken. Hier zumindest mal der zweite Teil der Mail.

20121106-053507.jpg

Sieht doch eigentlich recht harmlos aus, oder? Wie gesagt, 1&1 würde ich so eine Mail sogar zutrauen, zumindest in meinem aktuell nicht ganz so wachen Zustand. Trotzdem hab ich ein Problem so etwas mit meinem IPhone zu öffnen also auf ans Labtop und mal schauen wie das denn genau aussieht mit der Mail.

Return-Path:
X-Original-To: ***@MEINEDOMAIN.DOMAIN
Delivered-To: ***@MEINEDOMAIN.DOMAIN
Received: by h1762641.stratoserver.net (Postfix, from userid 5001)
id B4BC51BBBD72; Mon, 5 Nov 2012 13:23:22 +0100 (CET)
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on
h1762641.stratoserver.net
X-Spam-Level: **
X-Spam-Status: No, score=2.3 required=5.0 tests=BAYES_00,FSL_HELO_NON_FQDN_1,
MSGID_OUTLOOK_INVALID,RCVD_IN_DNSWL_NONE,RCVD_IN_NIX_SPAM,UNPARSEABLE_RELAY
autolearn=no version=3.3.1
Received: from server189-han (server189-han.de-nserver.de [85.158.181.18])
by h1762641.stratoserver.net (Postfix) with SMTP id ADA4A1BBBD71
for ; Mon, 5 Nov 2012 13:23:08 +0100 (CET)
Received: from njrv (149.55.151.56)
by server189-han; Mon, 5 Nov 2012 13:23:08 +0100
Message-ID:
Reply-To:
From:
To:
Subject: 1&1 Internet AG - Ihre Sammelrechnung 20320841 vom 05.10.2012
Date: Mon, 5 Nov 2012 13:23:08 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_007A_01C4FFD8.F679439E"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-UID: 12053
X-Length: 21147
Status: RO
X-Status: OT
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

Die Mailheader sehen jetzt auf den ersten Blick auch nicht sooooo verdächtig aus, vorallem hält sogar mein Spamfilter die Klappe. Also nochmal etwas genauer draufschauen, interessant wird es vor allem hier:

Received: from server189-han (server189-han.de-nserver.de [85.158.181.18])
by h1762641.stratoserver.net (Postfix) with SMTP id ADA4A1BBBD71
for ; Mon, 5 Nov 2012 13:23:08 +0100 (CET)
Received: from njrv (149.55.151.56)
by server189-han; Mon, 5 Nov 2012 13:23:08 +0100

Schauen wir uns doch mal den whois des Servers an von dem meine Kiste(h1762641.stratoserver.net) die Mail empfangen hat, eventuell reicht das ja schon.


root@brecht-labtop2:/# whois 85.158.181.18
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the “-B” flag.

% Information related to ‘85.158.181.0 – 85.158.181.255’

inetnum: 85.158.181.0 – 85.158.181.255
netname: HOSTPROFIS-NET
descr: HostProfis ISP Telekom GmbH
descr: Tirolerstraße 17, A-9500 Villach, Austria
descr: Colocation Hannover, Germany
country: DE
country: DE
admin-c: MO1101-RIPE
tech-c: PHH-RIPE
status: ASSIGNED PA
mnt-by: PROFIHOST-MNT
source: RIPE # Filtered

person: Mario Oberdorfer
address: 2M-Service modern media Entwicklungs GmbH
address: Willroider Str. 3
address: A-9500 Villach
address: Austria
phone: +43 4242 22235 10
fax-no: +43 4242 22235 20
nic-hdl: MO1101-RIPE
mnt-by: SSERV-MNT
source: RIPE # Filtered

person: ProfiHost Hostmaster
address: Profihost AG
address: Am Mittelfelde 29
address: D-30519 Hannover
address: Germany
phone: +49 511 51518000
fax-no: +49 511 51518299
nic-hdl: PHH-RIPE
source: RIPE # Filtered
mnt-by: PROFIHOST-MNT

% Information related to ‘85.158.176.0/21AS34432’

route: 85.158.176.0/21
descr: ProfiHost via h-cix.net
origin: AS34432
remarks: Abuse & Security Issues – see PHH-RIPE
mnt-by: PROFIHOST-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.38 (WHOIS4)

Gut, damit hätte sich dann die Frage nach dem Spam geklärt. Ich sehe hier zumindest nichts von 1&1, halte 1&1 jedoch gerade noch für kompetent genug ihre eigenen Mailserver zu besitzen. Was ich gegen 1&1 habe? Sagen wir, ich war da mal Kunde. Die Betonung liegt hier allerdings eindeutig auf war. Das ist allerdings eine andere Geschichte und in diesem Fall ist 1&1 ja mal vollkommen unschuldig, ausnahmsweise.

Da ich schonmal festgestellt habe das die Mail Spam ist wollte ich jetzt noch wissen wie gefährlich denn der Anhang ist, also auf zu Virustotal.
Detection ratio: 9 / 43

Klingt ja nicht so positiv, nur 9 der 43 Virenscanner die Virustotal benutzt hätten bei dem Ding gemotzt. Darunter auch Symantec, auch wenn ich von der Symantec Antivirensoftware jetzt nicht soooo überzeugt bin haben sie doch zumindest mal eine sehr sehr brauchbare Datenbank. Also schau ich mal schnell unter Trojan.Pidief auf Symantec nach was da wohl gerade bei mir aufgeschlagen ist. Ein Dropper, wie niedlich. In der neuesten Variante ist das Ding 2 Jahre alt, jetzt stellt sich mir nur die Frage wie es sein kann das selbst nach 2 Jahren nur 9 von 43 Virenscannern motzen?

Egal es ist früh und ich brauch nen Kaffee auf den Schreck. Merke, niemals auf komische Mails klicken. NIEMALS!!!!! Zumindest nicht ungeprüft.  Ob der Mailserver von dem das Ding kam direkt von einem Spamer angemietet wurde oder ob da einfach mal jemand wieder alles offen gelassen hat habe ich zumindest um diese Uhrzeit nicht wirklich den Antrieb herauszufinden. Eventuell schau ich mir das heute Nachmittag mal an.

UPDATE:

In meinem Bekanntenkreis sind in der letzten Zeit noch mehr von diesen Mails aufgetaucht, unter anderem auch mit einem gefakten Vodafone Absender. Jede davon sieht ähnlich echt aus wie das was mich hier am frühen Morgen beglückt hat. Wer jetzt denkt das es dabei um den üblichen Spam geht der liegt leider falsch. Wenn ich und einige in meinem Umfeld sowas für echt halten könnten, was soll dann erst der Normalverbraucher tun, der von Mailheadern noch nie in seinem Leben etwas gehört hat?

Tagged , , , . Bookmark the permalink.

About Brechthold

Brechthold gehört zu dem Gründungsteam von Contempt-it . Nach ein paar Jahren der Abstinenz jetzt wieder zurück im Adminteam um ein wenig Ordnung zu schaffen. Zu seinen Lieblingsthemen gehören Honeypots, IDS-Systeme und Servermonitoring. Neben seiner Arbeit im Adminteam werkelt er noch an seinem Brechtblog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.