DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: Jürgen am 25 September, 2007, 16:48
-
Soeben hat sich in meinen Spam-Filtern eine Mail verfangen, die 'mal wieder eine bekannte Masche variiiert.
Stammt anscheinend aus Russland und soll wohl unter Vortäuschung eines Logins zum Download einer 'Quittung.exe'-Datei von einem Server aus Hongkong verleiten...
Zur Warnung nun einige charakteristische Merkmale aus dem Quelltext:
Return-Path: <robot(at)f-shop.de>
X-Flags: 1001
Delivered-To: GMX delivery to *****
Received: (qmail invoked by alias); 25 Sep 2007 12:45:11 -0000
Received: from mrm-pool.deltatelecom.ru (HELO mrm-pool.deltatelecom.ru) [212.129.120.44]
by mx0.gmx.net (mx058) with SMTP; 25 Sep 2007 14:45:11 +0200
Message-ID: <********************************>
From: "f-shop.de" <robot(at)f-shop.de>
To: "*****i" <****** @ ***.***>
Subject: Automatischer Alarmdienst des Internet-Shops [f-shop.de]
Date: Tue, 25 Sep 2007 16:41:36 +0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0018_01C7FF93.4FE9DB70"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
-/-
------=_NextPart_000_0018_01C7FF93.4FE9DB70
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Hiermit teilen wir Ihnen mit, dass Ihr Konto leer ist.Abgewickelte =
Transaktionen für das gestrige Kaufen haben alle verfügbaren =
Geldmittel verbraucht.Um die früher bestellten Waren bekommen zu =
können, bitten wir Sie sich mit unserem Manager in Kontakt zu =
kommen, eine evtl.Nachzahlung abzustimmen oder den Kauf gar abzulehnen.=
Die Empfangsbescheinigung sowie die Kontaktdaten des Managers =
können Sie jederzeit hier abrufen=
h**p://support.f-shop.de/usr48265/qt0024
------=_NextPart_000_0018_01C7FF93.4FE9DB70
Content-Type: text/h*ml;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<!DOCTYPE H*ML PUBLIC "-//W3C//DTD H*ML 4.0 Transitional//EN">
<H*ML><H*AD>
<ME*A h**p-equiv=3DContent-Type content=3D"text/h*ml; charset=3D=
iso-8859-1">
<ME*A content=3D"MSH*ML 6.00.2900.2180" name=3DGENERATOR>
<S*YLE></S*YLE>
</HE*D>
<B*DY bgColor=3D#ffffff>
Hiermit teilen wir Ihnen mit, dass Ihr Konto leer ist.
Abgewickelte Transaktionen für das gestrige Kaufen haben alle =
verfügbaren Geldmittel verbraucht.
Um die früher bestellten Waren bekommen zu können, bitten wir =
Sie sich mit unserem Manager in Kontakt zu kommen, eine evtl.
Nachzahlung abzustimmen oder den Kauf gar abzulehnen.
Die Empfangsbescheinigung sowie die Kontaktdaten des Managers =
können Sie jederzeit hier abrufen
<a *ref=3D=
"h**p://58.65.239.98/quittung.exe">h**p://support.f-shop.de/usr48265/qt00=
24[/url]
</B*DY></H*ML>
War so frei, Steuerbefehle und Links zu entschärfen.
Der betroffene E-Mail-Account wird übrigens schon seit Jahren nicht mehr aktiv benutzt, und der angesprochene Empfänger-Name wurde schlicht aus den Zeichen vor'm @ gebildet.
Eine Firma 'f-shop.de' bzw. Fantasy Shop aus Erkrath kenne ich natürlich auch nicht.
Keine Ahnung, ob deren Seiten u.U. derzeit verseucht sind.
Thunderbird hat 'mal wieder fein als Spam erkannt ;D
-
Noch am Dienstag gegen 22:30 ist eine zweite Welle gleichartiger Spam ausgelöst worden, aber diesmal hat der Header-Analyzer bei GMX korrekt angeschlagen.
Wurde wahrscheinlich inzwischen frisch gefüttert...