gefakte 1&1 Rechnung

[Henning Gajek]

Hallo,

folgendes traf eben in meinem GMX-Postfach ein, welches verschiedene
Adressen "abholt".

Absender sei die Firma 1&1 (wo ich Kunde bin), doch meine Zieladresse (hier
ge�ndert in y...@zzz.de ) passte nicht.

Drang hing eine ZIP-Datei ("1_1 Telecom GmbH - Ihre Rechnung.zip (73 kB)" )
, die von Avira sofort mit HIDDEN.EXT/Worm reklamiert und blockiert wurde
:-)

Zum Verst�ndnis der Headerdaten: Die Adresse y...@zzz.de ist bei einem
Provider gehostet, das POP3 Postfach wird von GMX abgerufen.
Und los gehts:

Return-Path: philanth...@1und1.de
Received: from mc006.v300.gmx.net ([213.165.65.6]) by mx-ha.gmx.net
(mxgmx103)
with ESMTP (Nemesis) id 0MCOlx-1UIeih1ykL-0099ei for <x...@gmx.de>;
Mon, 15 Apr 2013 13:07:46 +0200
X-Original-To: y...@zzz.de /// meine Adresse bei anderem Provider
Delivered-To: y...@zzz.de /// meine Adresse bei anderem Provider
Received: from mail.zzz.de [000.000.000.000] /// IP-Adresse des anderen
Providers)
by mc006.v300.gmx.net with POP3 (fetchmail-6.3.9)
for <x...@gmx.de> (single-drop); Mon, 15 Apr 2013 13:07:46 +0200 (CEST)
Received: from v34374.1blu.de (unknown [127.0.0.1])
by v34374.1blu.de (Postfix) with ESMTP id 8C1A914A708AC
for <y...@zzz.de>; Mon, 15 Apr 2013 11:04:06 +0000 (UTC)
Received-SPF: neutral (v34374.1blu.de: 80.153.80.46 is neither permitted nor
denied by domain of 1und1.de) client-ip=80.153.80.46;
envelope-from=philanth...@1und1.de;
helo=p5099502e.dip0.t-ipconnect.de;
Received: from p5099502e.dip0.t-ipconnect.de (unknown [80.153.80.46])
by v34374.1blu.de (Postfix) with ESMTP
for <y...@zzz.de>; Mon, 15 Apr 2013 11:04:06 +0000 (UTC)
Received: from mailin54.aul.t-online.de (mailin54.aul.t-online.de
[172.20.27.3])
by mhead204 (Cyrus v2.3.15-fun-3.2.14.0-1) with LMTPA;
Mon, 15 Apr 2013 12:04:06 +0100
X-Sieve: CMU Sieve 2.3
Received: from mbulk.1and1.com ([212.227.126.222]) by
mailin54.aul.t-online.de
with esmtp id E12J15-5673K4M; Mon, 15 Apr 2013 12:04:06 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=1und1.de; s=global1;
t=1364163067; i=rechnun...@1und1.de; bh=IVflXdrifTVJwvQBOzKmWr
S9LUFf4rdb4vXyfhfF2lc=; h=MIME-Version:From:Subject:To:Content-Type:
Message-Id:Date; b=oIU9oZscfSuIdffnVr5z/LQ7LK3AEVTMdoF2fH6xCIiCncP
eDZ0fznv/+pxnq1cCYBCf1x4pZxctxHnf/FLazLc5BswzP6iw4Z6cRQStH4RS0ZX+i5
msnvpFPJwuJx73o7kIjyCyD8uuaIkRtVLo1HiSbGV10QSVUSd4/hg9TIo=
Received: from omsmail (streamserve3.mt.einsundeins.de [172.19.7.103])
by mbulk.1and1.com (node=mbulk1) with ESMTP (Nemesis)
Date: Mon, 15 Apr 2013 12:04:06 +0100
Subject: 1&1 Telecom GmbH - Ihre Rechnung 340732817628 vom 05.04.2013
Message-ID: <0HHFAO-KVGXG...@mbulk.1and1.com>
From: Rechnungsstelle 1&1 Telecom GmbH <rechnungsst...@1und1.de>
To: <y...@zzz.de>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------wyimfjp"
Envelope-To: <x...@gmx.de>
Authentication-Results: mqgmx006.server.lan; dkim=fail
header.i=rechnun...@1und1.de
X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
X-GMX-Antivirus: 0 (no virus found)
X-UI-Application: 2:movetofolder=MA==,name=ZnVua3k=
X-UI-Filterresults: notjunk:1;V01:K0:3HdANKGKd1I=:ZaOEiR/Fw1IU6Kj6Nju9oZ

und so weiter...


--
73 & 55 (Gruss)
Henning Gajek
http://www.gajek.de

[Michael Landenberger]

"Henning Gajek" <hrg...@nurfuerspam.de> schrieb:

> Drang hing eine ZIP-Datei

Vermutlich nicht, denn die Reaktion von Antivir...

> die von Avira sofort mit HIDDEN.EXT/Worm reklamiert und blockiert
> wurde :-)

...weist darauf hin, dass die eigentliche Dateinamen-Erweiterung nicht .zip
lautet, sondern ganz anders und dass die Datei auch kein ZIP-Archiv ist,
sondern h�chstwahrscheinlich eine Datei mit ausf�hrbarem Inhalt.

Erste Ma�nahme: weise das von dir benutzte Betriebssystem an, dass es den
vollen Dateinamen anzeigt und nicht die Erweiterung wegl�sst. Dann ist es
auch ganz ohne Antivir deutlich einfacher, ZIP-Archive, PDFs etc. von
anderen Dateiformaten zu unterscheiden und die ad�quaten Ma�nahmen zu
treffen ;-)

Gru�

Michael

[Andreas Kohlbach]

Michael Landenberger wrote on 15. April 2013:
>
> "Henning Gajek" <hrg...@nurfuerspam.de> schrieb:
>
>> Drang hing eine ZIP-Datei
>
> Vermutlich nicht, denn die Reaktion von Antivir...
>
>> die von Avira sofort mit HIDDEN.EXT/Worm reklamiert und blockiert
>> wurde :-)
>
> ...weist darauf hin, dass die eigentliche Dateinamen-Erweiterung nicht
> .zip lautet, sondern ganz anders und dass die Datei auch kein

> ZIP-Archiv ist, sondern höchstwahrscheinlich eine Datei mit
> ausführbarem Inhalt.

Ich hatte aber schon Viren in ZIP Dateien, die ich erst auspacken musste
und zu sehen, was drin ist. Meistens *.exe oder *.scr, auch *.pif.

Virenscanner sind in der Lage, ZIPS auszupacken und den Inhalt zu scannen.

> Erste Maßnahme: weise das von dir benutzte Betriebssystem an, dass es
> den vollen Dateinamen anzeigt und nicht die Erweiterung weglässt. Dann

> ist es auch ganz ohne Antivir deutlich einfacher, ZIP-Archive, PDFs

> etc. von anderen Dateiformaten zu unterscheiden und die adäquaten
> Maßnahmen zu treffen ;-)

Kann sicher nicht schaden.

Btw. bei euch auch so, dass Nigerian Scam und Malware stark zugenommen
haben seit kurzem?

Ich hatte auch schon Nigerian Scammer, die dann auch noch ein Formular
für Phishing anfügten.

Gut für den, der einen eigenen Webserver hat, auf dem er das packt, und
dann per Form-Flooder bedient. [1] Meist muss Scammy machtlos zusehen,
wie er bombardiert wird. Oder es dauert eine Weile, bis er das Teil
(meist ein PHP Skript auf seinem Server), was das prozessiert,
entfernt. *eg*

[1] Kann jemand Formular-Fluter empfehlen, die auch Captchas lösen
können, durch multiple Ebenen einer Bestellung finden, und auch Referer
per Kommandozeile akzeptieren? Derzeit nutze ich spamform.pl, aber das
hat zunehmend Probleme, gegen die Schutzmaßnahmen der Scammer anzukommen.
--
Andreas
You know you're a Redneck when
4. Your boat has not left the driveway in 15 years.

[Helmut Hullen]

Hallo, Andreas,

Du meintest am 15.04.13:

[...]

>>> Drang hing eine ZIP-Datei

[...]

> Virenscanner sind in der Lage, ZIPS auszupacken und den Inhalt zu
> scannen.

Etliche Provider gehen da ganz simpel vor: wenn das Paket eine gezippte
*.exe enth�lt, dann wird sie als "verd�chtig" deklariert. Dazu muss kein
einziges Byte des Inhalts untersucht werden. Hat Vorteile insbesondere
bei ganz neuen Viren - die Virenscanner brauchen Stunden bis Tage, um
auch den Inhalt als verd�chtig zu erkennen.

Viele Gruesse!
Helmut

[Karl-Josef Ziegler]

Am 16.04.2013 01:43, schrieb Andreas Kohlbach:

> Btw. bei euch auch so, dass Nigerian Scam und Malware stark zugenommen
> haben seit kurzem?

Nicht zugenommen, aber der größte Teil von Pillz, Watchez und Co. fielen
weg. Dafür kamen aber auch einige Joe Jobs dazu. Das schreibe ich auch
der Tatsache zu, dass die Russkis intelligenter sind. Die scheinen
durchaus Listwashing zu betreiben und 'do-not-spam-Listen' zu führen.
Dafür sind die Mugus schlicht und einfach zu blöd. Die spammen ohne
jeden Sinn und Verstand alles an, was bei 3 nicht auf den Bäumen ist.
Und da in der Vergangenheit immer wieder auch große Botnetze lahmgelegt
wurden, herrscht da auch ständig Bedarf nach 'Nachschub'.

Viele Grüße,

- Karl-Josef

[Michael Landenberger]

"Andreas Kohlbach" schrieb am 16.04.2013 um 01:43:18:

> Ich hatte aber schon Viren in ZIP Dateien, die ich erst auspacken musste
> und zu sehen, was drin ist. Meistens *.exe oder *.scr, auch *.pif.

Mag ja sein, aber die Klassifizierung als "HIDDEN.EXT" (versteckte
Dateierweiterung) interpretiere ich so, dass eine Datei in einem ausf�hrbaren
Format durch Verstecken der tats�chlichen Dateiendung als .zip getarnt war.
Allerdings k�nntest du recht haben und der ZIP-Anhang war tats�chlich ein
solcher, w�hrend die versteckten Dateierweiterungen dann beim Inhalt zum
Einsatz kamen.

Gru�

Michael

[Juergen]

Am 16.04.2013 01:43, schrieb Andreas Kohlbach:

> Btw. bei euch auch so, dass Nigerian Scam und Malware stark zugenommen
> haben seit kurzem?

stark zugenommen ist übertrieben (bei mir), Nigeria nur hin und wieder,
siehe auch im Thread "Bank-Phish" hier in der Gruppe
<5165afe8$0$6576$9b4e...@newsspool3.arcor-online.net>
sowie einige weitere Hinweise in
<5166ae5d$0$6560$9b4e...@newsspool4.arcor-online.net>

Die Masse geht bei mir Richtung Phishing fürn Kredit, aber... sehr viel
via Domains in .ru (auch .ua, .kz, .ro, .pl) gehostet, während IP häufig
Hetz...-Range, und die Domain-Admins in US-Land sitzen ;-) Nachgemachte
Kreditkarten-"Überprüfung" meist aus Amiland ;-)

Malware bei mir sehr selten, wird zum grossen Teil von T-O bounced (aber
auch vom Mailprovider zurückgehalten), wobei ich im Bounce-Fall nie an
den Anhang komme, weil Bounce von T-O stark verkürzt an meinen
Mailprovider geht und ich sogar händisch angestossende Forwards bei T-O
nicht durchkriege :-( Manchmal würd mich schon interessieren, was "drin"
ist ;-)

PS. bei mir häuft sich Spam mit China-IPs, aber Domains und/oder Admins
in Amiland... wer will wem ans "Leder"?

Jetzt kam Spam aus Shenzhen an Usenet-Adresse, soll nen Plotter kaufen.
Die scheinen wohl tatsächlich "Angst" zu haben, dass die jährlichen
Steigerungsraten von >20% der Vergangenheit angehören.
Lustig fand ich den Satz am Ende...
> if you don't want to receive email from us , please click the follwing link.
> it will help you to send us email to subscrible you.

Jürgen

[Ulrich F. Heidenreich]

Michael Landenberger in <news:kkhpeg$cma$1...@tota-refugium.de>:

>"Henning Gajek" <hrg...@nurfuerspam.de> schrieb:
>
>> Drang hing eine ZIP-Datei
>
>Vermutlich nicht, denn die Reaktion von Antivir...
>
>> die von Avira sofort mit HIDDEN.EXT/Worm reklamiert und blockiert
>> wurde :-)
>
>...weist darauf hin, dass

… es im angehängten ZIP einen Wurm fand.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 8 Monaten und 9 Tagen ist Weihnachten.
4A76S C2JSB 5GYS0 J7PKM 72W4E R3B7W WZQFG TYVZY ZD9XP
Stellt euch vor, es ist Dienstag und keiner geht hin!

[Ulrich F. Heidenreich]

Michael Landenberger in <news:kkhpeg$cma$1...@tota-refugium.de>:

>"Henning Gajek" <hrg...@nurfuerspam.de> schrieb:
>
>> Drang hing eine ZIP-Datei
>
>Vermutlich nicht,

Aber sischer dat.

>denn die Reaktion von Antivir...
>
>> die von Avira sofort mit HIDDEN.EXT/Worm reklamiert und blockiert
>> wurde :-)
>
>...weist darauf hin, dass

… im angehängten ZIP ein Wurm gefunden wurde. Ich habe derweil diese
vorgebliche 1&1-Rechnung auch hier, angehängt ist sehr wohl ein ZIP
Namens "1&1 Telecom GmbH - Ihre Rechnung.zip". Drin steckt ein "Ihre
Rechnung.pdf.exe". Da erst schlägt der "Trick" zu.

MSE findet allerdings darin nichts.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 8 Monaten und 9 Tagen ist Weihnachten.

VG3JH ZNSVY GNBMU U0O9L LDMAB I304U JN87J OVOLK BE8EO

[Ulrich F. Heidenreich]

Mathias Fuhrmann in <news:516d6175$0$6584$9b4e...@newsspool3.arcor-online.net>:

>Ulrich F. Heidenreich schrieb:

>
>> … im angehängten ZIP ein Wurm gefunden wurde. Ich habe derweil diese
>> vorgebliche 1&1-Rechnung auch hier, angehängt ist sehr wohl ein ZIP
>> Namens "1&1 Telecom GmbH - Ihre Rechnung.zip". Drin steckt ein "Ihre
>> Rechnung.pdf.exe". Da erst schlägt der "Trick" zu.
>

>Ich wundere mich immer, wenn ich lese, daß ein (echtes) Zip-Archiv
>nicht geöffnet werden darf. War bisher der Meinung, daß erst der Klick
>auf den Inhalt schädlich sein kann. Oder wird beim Öffnen von ZIP oder
>RAR gleich eine *.exe pp. ausgeführt?

Kai Neahnung, was "moderne" Betrübssysteme aus Redmond damit machen.

Hier muss ich ein ZIP explizit an den Winzip übergeben, dort sehe ich
dann - egal, ob "Bekannte Dateinamenserweiterungen ausblenden" nun
aktiv ist oder nicht - daß die Datei rechnung.pdf.exe heißt. Ein XP
präsentiert mir dagegen gleich einen zipkomprimierten Ordner; was Win7
oder 8 da noch mehr verschlimmbessern, entzieht sich meiner Kenntnis.

Was Winmail (? Oder wie auch immer das aktuelle M$-MUA-Surrogat heißt)
so alles automagisch macht, wenn an einer Mail ein ZIP hängt, will ich
vermutlich auch nicht wissen. Reines Social Engineerung scheint mir das
nicht mehr zu sein; siehe auch den "Die Phisher werden immer schlauer"-
Thread.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 8 Monaten und 9 Tagen ist Weihnachten.

LGICB U5LCV 9DL39 B2JFM JLZ9N 3MB4C LDI23 0ZE1Y RQGZV

[Anonymous]

Andreas Kohlbach <april13....@spamgourmet.com> wrote:

> [1] Kann jemand Formular-Fluter empfehlen, die auch Captchas lösen
> können, durch multiple Ebenen einer Bestellung finden, und auch Referer
> per Kommandozeile akzeptieren?

Miete dir doch ein paar Kommentar-Spambots. Die besseren lassen auch Captchas lösen und finden durch mehrstufige Formulare.

[Arno Welzel]

Henning Gajek, 2013-04-15 13:49:

> Hallo,
>
> folgendes traf eben in meinem GMX-Postfach ein, welches verschiedene
> Adressen "abholt".
>
> Absender sei die Firma 1&1 (wo ich Kunde bin), doch meine Zieladresse (hier

> geï¿œndert in y...@zzz.de ) passte nicht.

>
> Drang hing eine ZIP-Datei ("1_1 Telecom GmbH - Ihre Rechnung.zip (73 kB)" )
> , die von Avira sofort mit HIDDEN.EXT/Worm reklamiert und blockiert wurde
> :-)

Das war ja auch keine ZIP-Datei, sondern vermutlich eine ausfï¿œhrbare
Datei mit Schadsoftware, die nur als "zip" getarnt wurde - eben
"HIDDEN.EXT" also "versteckte Dateiendung" - eine wahrlich alte Masche
und nichts, wofï¿œr man ernsthaft einen Virenscanner brï¿œuchte, wenn man
nur genau hinsieht.



--
Arno Welzel
http://arnowelzel.de
http://de-rec-fahrrad.de

[Arno Welzel]

Michael Landenberger, 2013-04-15 22:54:

Oder: Wenn pl�tzlich ein ".pdf" oder ".zip" als Endung erscheint, obwohl
sonst *keine* Endungen angezeigt werden, ist es ganz sicher ein anderer
Dateityp als die vermeintlich angezeigte Endung - und kann ohne weitere
Beutachtung gel�scht werden ;-)

[Arno Welzel]

Mathias Fuhrmann, 2013-04-16 16:34:

> Ulrich F. Heidenreich schrieb:

>
>> … im angehängten ZIP ein Wurm gefunden wurde. Ich habe derweil diese
>> vorgebliche 1&1-Rechnung auch hier, angehängt ist sehr wohl ein ZIP
>> Namens "1&1 Telecom GmbH - Ihre Rechnung.zip". Drin steckt ein "Ihre
>> Rechnung.pdf.exe". Da erst schlägt der "Trick" zu.
>

> Ich wundere mich immer, wenn ich lese, daß ein (echtes) Zip-Archiv
> nicht geöffnet werden darf. War bisher der Meinung, daß erst der Klick
> auf den Inhalt schädlich sein kann. Oder wird beim Öffnen von ZIP oder
> RAR gleich eine *.exe pp. ausgeführt?

> Grundsätzlich lasse ich zwar eine ZIP auf Schadsoft scannen, hatte
> aber bisher keine Skrupel vorm 'Reinschauen'.

Grundsätzlich sollte man *gar* *keine* Dateien öffnen, wenn man
vermutet, dass es sich um Schadsoftware handeln könnte - auch Lücken in
Komprimierungsprogrammen können ausgenutzt werden, indem ein Zip-Archiv
so präpariert wird, dass der Entpacker dabei mit dem vom Angreifer
gewünschten Verhalten abstürzt (z.B. durch Endlos-Rekursion). Es gab
auch schon ausnutzbare Lücken bei der Anzeige von Bildern (siehe z.B.
<http://technet.microsoft.com/de-de/security/bulletin/ms09-062>).

[Juergen]

Am 15.04.2013 13:49, schrieb Henning Gajek:
> 1&1 Telecom GmbH

nur so als Hinweis, aus dem...
http://hilfe-center.1und1.de/ (lï¿œngliche URL weggelassen, Umfirmierung)
Zitat:
> Seit dem 1. November 2011 hat sich die Unternehmensstruktur bei 1&1
> geï¿œndert. Fï¿œr alle DSL- und Mobilfunkprodukte ist nun die 1&1 Telecom
> GmbH verantwortlich.

Jï¿œrgen

[Wolfgang Jäth]

Am 16.04.2013 16:34, schrieb Mathias Fuhrmann:
>
>> … im angehängten ZIP ein Wurm gefunden wurde. Ich habe derweil diese
>> vorgebliche 1&1-Rechnung auch hier, angehängt ist sehr wohl ein ZIP
>> Namens "1&1 Telecom GmbH - Ihre Rechnung.zip". Drin steckt ein "Ihre
>> Rechnung.pdf.exe". Da erst schlägt der "Trick" zu.
>

> Ich wundere mich immer, wenn ich lese, daß ein (echtes) Zip-Archiv
> nicht geöffnet werden darf.

Das kommt darauf an, /wie/ man sie öffnet. Man sollte eine verdächtige
ZIP nie /direkt/ anklicken. Abgesehen von den Gefahr, daß die Endungen
überhaupt ausgeblendet sind, ignoriert Windows[1] teilweise sogar die
Endung, und orientiert sich an den sogenannten Signaturbytes am Anfang
der Datei. Und wen ndie besagen, es handelt sich um eine ausführbare
Datei, dann führt Windows sie eben auch aus.

Im Zweifelsfall sollte man daher eine verdächtige Datei immer nur per
'öffnen mit' öffnen, damit hat das BS keine Wahl mehr (wobei Windows
seit IIRC XP leider kein explizites ZIP-Programm mehr benutzt, und damit
auch gar nicht mehr in diesem Dialog anbietet :-( ).

[1] zumindest war das IIRC bis mindestens Win NT so; ich weiß nicht
genau, ob das bei späteren und ggf. welchen Versionen immer noch möglich ist

> War bisher der Meinung, daß erst der Klick
> auf den Inhalt schädlich sein kann. Oder wird beim Öffnen von ZIP oder
> RAR gleich eine *.exe pp. ausgeführt?

Wenn es sich in wirklichkeit gar nicht um eine ZIP sondern eine EXE
handelt, ja.

> Grundsätzlich lasse ich zwar eine ZIP auf Schadsoft scannen, hatte
> aber bisher keine Skrupel vorm 'Reinschauen'.

Wolfgang
--

[Juergen]

Wolfgang Jäth schrieb:
> Matthias Fuhrmann schrieb:

>> War bisher der Meinung, daß erst der Klick
>> > auf den Inhalt schädlich sein kann. Oder wird beim Öffnen von ZIP oder
>> > RAR gleich eine *.exe pp. ausgeführt?
> Wenn es sich in wirklichkeit gar nicht um eine ZIP sondern eine EXE
> handelt, ja.

Ich weiss nicht, ob das noch aktuell ist, aber siehe

http://www.computerbase.de/forum/showthread.php?t=373709

da meinen welche, dass beim Auto-Entpacken auch gleich eine exe
gestartet werden kann, je nach Einstellung beim Verpacken ;-) Vermutlich
gilt das aber "nur" beim Doppelklick auf die ZIP.

WinRAR (evaluation copy) zeigt erstmal den Inhalt der ZIP-"Datei" an.

Jürgen

[Andreas Kohlbach]

Karl-Josef Ziegler wrote on 16. April 2013:
>
> Nicht zugenommen, aber der größte Teil von Pillz, Watchez und Co. fielen
> weg. Dafür kamen aber auch einige Joe Jobs dazu. Das schreibe ich auch
> der Tatsache zu, dass die Russkis intelligenter sind. Die scheinen
> durchaus Listwashing zu betreiben und 'do-not-spam-Listen' zu führen.
> Dafür sind die Mugus schlicht und einfach zu blöd. Die spammen ohne
> jeden Sinn und Verstand alles an, was bei 3 nicht auf den Bäumen ist.

Und um zu bestätigen, dass Darwin *nicht* funktioniert, bekommen die
Nigerian Scammer auch jedes mal eine Kopie von meiner Beschwerde an den
ISP. Die sie vielleicht noch als Letztes lesen können, bevor sie
abgeklemmt werden. Sie bespammen meine Adressen trotzdem weiter. Einige
rasten dann auch mal aus. Was ich in meiner Trophäen-Sammlung im Internet
auch dokumentiere.

Dabei könnten sie es einfacher haben.
--
Andreas
45. Tell me again what that '-r' option to rm does
--Top 100 things you don't want the sysadmin to say

[Ulrich F. Heidenreich]

Arno Welzel in <news:516D829...@arnowelzel.de>:

>Henning Gajek, 2013-04-15 13:49:

[..]

>> Drang hing eine ZIP-Datei ("1_1 Telecom GmbH - Ihre Rechnung.zip (73 kB)" )
>> , die von Avira sofort mit HIDDEN.EXT/Worm reklamiert und blockiert wurde
>> :-)
>
>Das war ja auch keine ZIP-Datei,

Himmikruzi: Es *ist* eine und drin steckt eine Rechnung.pdf.exe

>sondern vermutlich eine ausführbare

>Datei mit Schadsoftware, die nur als "zip" getarnt wurde

s/zip/pdf/

>eben "HIDDEN.EXT" also "versteckte Dateiendung"

*Im* ZIP und nicht *statt des* ZIP. Soll ich sie hier posten, auf daß es
endlich jemand glaubt?

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon

In 8 Monaten und 8 Tagen ist Weihnachten.
R4FFD F6I11 85EKV G36VS I2TMC C903M 4UOT1 A1HLT 3PGRJ
Stellt euch vor, es ist Mittwoch und keiner geht hin!

[Christoph Maercker]

Karl-Josef Ziegler wrote:
> Nicht zugenommen, aber der größte Teil von Pillz, Watchez und Co. fielen
> weg. Dafür kamen aber auch einige Joe Jobs dazu. Das schreibe ich auch
> der Tatsache zu, dass die Russkis intelligenter sind. Die scheinen
> durchaus Listwashing zu betreiben und 'do-not-spam-Listen' zu führen.

Solche Listen hat aber noch niemand irgendwo entdeckt, oder? Schön wärs
ja, die eigene Mailbox darin zu finden. ;-)
Bei meiner Usenet-Adresse vermute ich übrigens schon lange so ein
"whitelisting", dort schlagen nur noch diverse Newsletter und Mugu-Spam
auf. Übrigens seit langem nix mehr mit Dropbox-Angabe.

> Dafür sind die Mugus schlicht und einfach zu blöd. Die spammen ohne
> jeden Sinn und Verstand alles an, was bei 3 nicht auf den Bäumen ist.
> Und da in der Vergangenheit immer wieder auch große Botnetze lahmgelegt
> wurden, herrscht da auch ständig Bedarf nach 'Nachschub'.

Arbeiten Mugus mit Botnets, können die das überhaupt? Na gut, vielleicht
können sie eins mieten, falls ihre Rente dazu reicht.

--


CU Chr. Maercker.

RADWEGE sind TOD-SICHER! Schlaue Füchse fahren Fahrbahn.

[Michael Landenberger]

"Wolfgang J�th" schrieb am 16.04.2013 um 21:15:43:

> Abgesehen von den Gefahr, da� die Endungen
> �berhaupt ausgeblendet sind, ignoriert Windows[1] teilweise sogar die

> Endung, und orientiert sich an den sogenannten Signaturbytes am Anfang
> der Datei.

Nein, das tut Windows nicht. Die Datei wird gem�� ihrer Erweiterung
verarbeitet (bzw. dem Programm �bergeben, das mit der betreffenden Erweiterung
verkn�pft ist), der Inhalt ist wurscht. Wenn das aufgerufene Programm
feststellt, dass es mit der Datei nix anfangen kann, gibt es eine
Fehlermeldung aus. Das kannst du gerne ausprobieren: �ndere die Erweiterung
einer .exe in .txt und doppelklicke anschlie�end darauf. Die Datei wird nicht
ausgef�hrt, sondern im Editor ge�ffnet (der dann nat�rlich nur Zeichensalat
anzeigt).

Und das ist auch gut so, denn es gibt durchaus Dateien, bei denen die ersten
Bytes rein zuf�llig den Signatur-Bytes eines bestimmten Dateiformats
entsprechen, obwohl es sich nicht um eine Datei dieses Formats handelt. Da
m�chte man nicht, dass Windows die Datei eigenm�chtig mit dem den
Signatur-Bytes entsprechenden Programm �ffnet, sondern es soll das zum
tats�chlichen Dateiformat passende Programm aufgerufen werden.

Gru�

Michael

[Michael Landenberger]

"Ulrich F. Heidenreich" schrieb am 16.04.2013 um 15:42:58:

> MSE findet allerdings darin nichts.

Vielleicht hat Avira ja eine "Heuristik", um eine Datei als verd�chtig
einzustufen, wenn der Dateiname die Form
"blabla.$DOKUMENT-ERWEITERUNG.$AUSF�HRBARE_ERWEITERUNG" hat, w�hrend MSE eine
solche Heuristik fehlt. Eine solche h�tte IMO keinerlei unerw�nschte
Nebenwirkungen. Ich habe noch nie erlebt, dass Dateien mit derartigen Namen
*keine* Schadsoftware gewesen w�ren.

Umgekehrt gehe ich davon aus, dass Avira eine solche Heuristik eingebaut hat
und die Datei *allein* aufgrund des Namens als verd�chtig (HIDDEN.EXT)
eingestuft hat. Der Inhalt wurde dann nicht mehr untersucht oder aber nicht
erkannt, denn sonst w�re der "WORM" ein wenig genauer spezifiziert worden.

Gru�

Michael

[Axel Froehlich]

Am Wed, 17 Apr 2013 11:47:40 +0200 schrieb Michael Landenberger:

> "Wolfgang Jäth" schrieb am 16.04.2013 um 21:15:43:
>
>> Abgesehen von den Gefahr, daß die Endungen
>> überhaupt ausgeblendet sind, ignoriert Windows[1] teilweise sogar die

>> Endung, und orientiert sich an den sogenannten Signaturbytes am Anfang
>> der Datei.
>

> Nein, das tut Windows nicht. Die Datei wird gemäß ihrer Erweiterung
> verarbeitet (bzw. dem Programm übergeben, das mit der betreffenden Erweiterung
> verknüpft ist), der Inhalt ist wurscht.

Beim Doppelklick nimmt Windows die Verknüpfung ja noch ernst,
aber wenn man eine .exe nach .wav umbenennt, kommt beim Doppelklick
zwar der Media-Player hoch und richtet weiter keinen Schaden an.
Wenn man aber eine Konsole öffnet, kann man die .wav-Datei "starten"
und die wird wie eine .exe ausgeführt.

(heute getestet, XP professional, SP 3)

So funktionierte seinerzeit der NIMDA-Wurm. Der verschickte sich per Mail
als .wav-Datei, Outlook Express dachte, das ist eine Hintergrund-Musik,
die dem Nutzer ungefragt vorgespielt werden soll und "startete" die Datei,
Windows stellte dann fest, dass es ja eigentlich eine .exe ist und führte
sie aus, ohne den Nutzer zu fragen ...

(nur bei schon damals veralteten OE-Versionen)


Viele Grüße
Axel

[Ulrich F. Heidenreich]

Michael Landenberger in <news:at79dq...@mid.uni-berlin.de>:

>"Wolfgang Jäth" schrieb am 16.04.2013 um 21:15:43:
>
>> Abgesehen von den Gefahr, daß die Endungen
>> überhaupt ausgeblendet sind, ignoriert Windows[1] teilweise sogar die

>> Endung, und orientiert sich an den sogenannten Signaturbytes am Anfang
>> der Datei.
>
>Nein, das tut Windows nicht.

Wie war das noch mal mit den *.exe, die sich in einem *.scr
"versteckten"? Nenne mal eine *.exe in *.scr um und klicke
drauf …

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon

In 8 Monaten und 8 Tagen ist Weihnachten.
D4DFZ Z43L3 MFQAL 5Z5L3 AKJ03 1NH7V U1ZS1 83ZMG MPWW8

[Ulrich F. Heidenreich]

Mathias Fuhrmann in <news:516e8a4d$0$9510$9b4e...@newsspool1.arcor-online.net>:

>Ulrich F. Heidenreich schrieb:

>
>> Wie war das noch mal mit den *.exe, die sich in einem *.scr
>> "versteckten"? Nenne mal eine *.exe in *.scr um und klicke
>> drauf …
>

>W7: Zwei Sekunden Sanduhr, nichts weiter. Im Taskmanager nichts
>Auffälliges.

Dann ist die Lücke in Win7 wohl geschlossen worden.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 8 Monaten und 8 Tagen ist Weihnachten.

VDFAW 106A0 ICCZY P4V5E OMFMD VMZF3 0PGXB WGNV8 ST1G2

[Karl-Josef Ziegler]

Am 17.04.2013 11:22, schrieb Christoph Maercker:

> Arbeiten Mugus mit Botnets, können die das überhaupt? Na gut, vielleicht
> können sie eins mieten, falls ihre Rente dazu reicht.

Nö, für 'Eigenproduktion' sind die meiner Erfahrung nach schlichtweg zu
blöd.

Die arbeiten aber durchaus mit gecrackten Servern, die via Bot
'befüttert' werden. Diese Kombi scheint mir jedoch bei der Russenmafia
eingekauft zu sein. Sehr schön ist das immer wieder in den Headern zu
sehen, wenn als Character Set 1251 (=kyrillisch) definiert ist, die Mail
selbst (mit Muguphon in Nigeria selbstredend) aber astrein von den Mugus
stammt. Da gibt es wohl Ratware, Bots und gecrackte Server im
'Rundum-Mugu-Sorglos-Paket' direkt aus russ. Produktion.

Viele Grüße,

- Karl-Josef

[Michael Unger]

On 2013-04-17 11:54, "Michael Landenberger" wrote:

> [...] Ich habe noch nie erlebt, dass Dateien mit derartigen Namen
> *keine* Schadsoftware gewesen wären.

Noch nie über eine "archive.tar.gz" gestolpert? Ja, ich weiß, dass
Windows da mit Bordmitteln wohl nichts mit anfangen kann (zumindest bis
einschließlich XP).

Tourismusbüros machen manchmal auch seltsame "Klimmzüge". Vor längerer
Zeit ist mir mal "image.tif.zip" untergekommen (ich erinnere mich aber
nicht mehr, wo das war), gerade habe ich "image.jpg.number.jpg" gefunden
(Frankfurt/Main).

> [...]

Michael


[1]
<http://www.frankfurt.de/sixcms/detail.php?id=2922&_ffmpar[_id_inhalt]=1306270>
[2]
<http://www.frankfurt.de/sixcms/media.php/688/thumbnails/TS_Roemer2005.jpg.485636.jpg>

--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.

[Michael Landenberger]

"Ulrich F. Heidenreich" schrieb am 17.04.2013 um 13:04:23:

> Wie war das noch mal mit den *.exe, die sich in einem *.scr
> "versteckten"? Nenne mal eine *.exe in *.scr um und klicke

> drauf �

.exe und .scr sind beides ausf�hrbare Dateien. Da ist es kein Wunder, wenn bei
Doppelklick auch beide ausgef�hrt werden. Siehe auch
<http://de.wikipedia.org/wiki/Bildschirmschoner#Microsoft_Windows>.

Das gleiche d�rfte bei .com passieren.

Gru�

Michael

[Michael Landenberger]

"Michael Unger" schrieb am 17.04.2013 um 17:40:48:

> On 2013-04-17 11:54, "Michael Landenberger" wrote:
>
>> [...] Ich habe noch nie erlebt, dass Dateien mit derartigen Namen

>> *keine* Schadsoftware gewesen w�ren.
>
> Noch nie �ber eine "archive.tar.gz" gestolpert?

Doch, nat�rlich. Aber weder .tar noch .gz sind als Standalone-Programme
ausf�hrbar. Verd�chtig ist nur die Kombination aus nicht ausf�hrbarer und
ausf�hrbarer Extension, und das auch nur dann, wenn letztere am Ende steht.
Und genau diese Kombination war bei mir bisher ein zu 100% sicheres Indiz
daf�r, dass ich es mit Malware zu tun hatte.

> Vor l�ngerer

> Zeit ist mir mal "image.tif.zip" untergekommen

Auch tif und zip sind keine Extensions von ausf�hrbaren Dateien.

Es gibt auch Programme mit separaten Manifest-Dateien. Die hei�en dann
blabla.exe.manifest. Das wiederum ist unverd�chtig, denn die ausf�hrbare
Extension steht nicht am Ende.

Gru�

Michael

[Michael Unger]

On 2013-04-17 18:57, "Michael Landenberger" wrote:

> [...] Verdächtig ist nur die Kombination aus nicht ausführbarer und
> ausführbarer Extension, und das auch nur dann, wenn letztere am Ende steht.

> Und genau diese Kombination war bei mir bisher ein zu 100% sicheres Indiz

> dafür, dass ich es mit Malware zu tun hatte.

Darauf können wir uns einigen.

> [...]

Michael

[Stefan Reuther]

Michael Landenberger wrote:
> "Michael Unger" schrieb am 17.04.2013 um 17:40:48:
>>On 2013-04-17 11:54, "Michael Landenberger" wrote:
>>>[...] Ich habe noch nie erlebt, dass Dateien mit derartigen Namen

>>>*keine* Schadsoftware gewesen wären.
>>
>>Noch nie über eine "archive.tar.gz" gestolpert?
>

> Doch, natürlich. Aber weder .tar noch .gz sind als Standalone-Programme
> ausführbar. Verdächtig ist nur die Kombination aus nicht ausführbarer und
> ausführbarer Extension, und das auch nur dann, wenn letztere am Ende steht.

> Und genau diese Kombination war bei mir bisher ein zu 100% sicheres Indiz

> dafür, dass ich es mit Malware zu tun hatte.

Seit wir in unserer Firma ein neues Buildsystem eingeführt haben, haben
die Programme, die am Ende rausfallen, schön strukturierte Namen. Wenn
ich also innerhalb eines Projektes ein Modul habe, das WAV-Dateien
verarbeitet, und dafür einen Unittest baue, heißt der
firma.projekt.modul.test.wav.exe
An sich wäre das nicht so relevant, aber meines Wissens nach ist das,
was im .net-Umfeld so produziert wird, ähnlich strukturiert. 100% sicher
ist das Indiz also auch nicht mehr.


Stefan

[Andreas Kohlbach]

Karl-Josef Ziegler wrote on 17. April 2013:
>
> Die arbeiten aber durchaus mit gecrackten Servern, die via Bot
> 'befüttert' werden. Diese Kombi scheint mir jedoch bei der Russenmafia
> eingekauft zu sein. Sehr schön ist das immer wieder in den Headern zu
> sehen, wenn als Character Set 1251 (=kyrillisch) definiert ist, die Mail
> selbst (mit Muguphon in Nigeria selbstredend) aber astrein von den Mugus
> stammt.

Oft mit "Nigerian keyboard option"; alles groß geschrieben. *g*
--
Andreas
48. YEEEHA!!! What a CRASH!!!

[Christoph Maercker]

Karl-Josef Ziegler wrote:
> Nö, für 'Eigenproduktion' sind die meiner Erfahrung nach schlichtweg zu
> blöd.

Will ich meinen. Das meiste sieht nach lausiger Amateurarbeit aus.

> Die arbeiten aber durchaus mit gecrackten Servern, die via Bot
> 'befüttert' werden. Diese Kombi scheint mir jedoch bei der Russenmafia
> eingekauft zu sein. Sehr schön ist das immer wieder in den Headern zu
> sehen, wenn als Character Set 1251 (=kyrillisch) definiert ist, die Mail
> selbst (mit Muguphon in Nigeria selbstredend) aber astrein von den Mugus
> stammt. Da gibt es wohl Ratware, Bots und gecrackte Server im
> 'Rundum-Mugu-Sorglos-Paket' direkt aus russ. Produktion.

Das könnte erklären, warum ich neulich Mugu-Spam bekam, in dem sämtliche
"ü" durch das kyrillische "bI" (das ist *ein* Buchstabe und wird wie "y"
oder "ü" gesprochen) ersetzt waren. ;-)

--


CU Chr. Maercker.

[Arno Welzel]

Ulrich F. Heidenreich, 2013-04-17 10:13:

> Arno Welzel in <news:516D829...@arnowelzel.de>:
>
>> Henning Gajek, 2013-04-15 13:49:
> [..]
>>> Drang hing eine ZIP-Datei ("1_1 Telecom GmbH - Ihre Rechnung.zip (73 kB)" )
>>> , die von Avira sofort mit HIDDEN.EXT/Worm reklamiert und blockiert wurde
>>> :-)
>>
>> Das war ja auch keine ZIP-Datei,
>
> Himmikruzi: Es *ist* eine und drin steckt eine Rechnung.pdf.exe

Na gut - dann eben eine exe als pdf getarnt, eingepackt in eine
Zip-Datei. Die Masche ist die selbe - funktioniert seit bald 20 Jahren.

[Michael Landenberger]

"Stefan Reuther" schrieb am 17.04.2013 um 21:37:38:

> Seit wir in unserer Firma ein neues Buildsystem eingef�hrt haben, haben
> die Programme, die am Ende rausfallen, sch�n strukturierte Namen. Wenn

> ich also innerhalb eines Projektes ein Modul habe, das WAV-Dateien

> verarbeitet, und daf�r einen Unittest baue, hei�t der
> firma.projekt.modul.test.wav.exe

Na dann bin ich mal gespannt, wann ich von eurer Firma die erste E-Mail
bekomme, an die ein solches Programm angeh�ngt ist ;-)

Gru�

Michael

[Ulrich F. Heidenreich]

Michael Landenberger in <news:at828r...@mid.uni-berlin.de>:

>"Ulrich F. Heidenreich" schrieb am 17.04.2013 um 13:04:23:
>
>> Wie war das noch mal mit den *.exe, die sich in einem *.scr
>> "versteckten"? Nenne mal eine *.exe in *.scr um und klicke

>> drauf …
>
>.exe und .scr sind beides ausführbare Dateien. Da ist es kein Wunder, wenn bei
>Doppelklick auch beide ausgeführt werden.

Perfider ist das Exe im Scr. Da brauchst Du gar nicht draufzuklicken,
sondern es nur als Bildschirmschoner einrichten wollen.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon

In 8 Monaten und 7 Tagen ist Weihnachten.
CA2SW VTHYC AU6QJ VTFZW 83IJT 6SH59 YBOBY ZG2K1 CVXK8
Stellt euch vor, es ist Donnerstag und keiner geht hin!

[frank paulsen]

"Ulrich F. Heidenreich" <from!not-fo...@tremornet.de> writes:

> Perfider ist das Exe im Scr. Da brauchst Du gar nicht draufzuklicken,
> sondern es nur als Bildschirmschoner einrichten wollen.

nur zu deiner beunruhigung: windows screensaver _sind_ 'exe', also ganz
normale ausfuehrbare programme.

korrekte screensaver unterscheiden sich von normalen programmen nur
darin, dass sie immer nur in einer instanz laufen und auf /c, /p und /s
(ggf. /a) reagieren.

technisch sind sie stinknormale windows executables.
--
frobnicate foo

[Ulrich F. Heidenreich]

frank paulsen in <news:kkoj3k$poa$1...@buer.dfakt.de>:

>"Ulrich F. Heidenreich" <from!not-fo...@tremornet.de> writes:
>
>> Perfider ist das Exe im Scr. Da brauchst Du gar nicht draufzuklicken,
>> sondern es nur als Bildschirmschoner einrichten wollen.
>
>nur zu deiner beunruhigung: windows screensaver _sind_ 'exe', also ganz
>normale ausfuehrbare programme.

Perfiderweise werden sie aber bereits ausgeführt, wenn man sie als
Bildschirmschoner einrichten möchte.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 8 Monaten und 7 Tagen ist Weihnachten.

8E2NL VDAUM 52722 ZVXQK 7DCA5 KTACJ 9ZTBW FQRXD 1TH88

[frank paulsen]

"Ulrich F. Heidenreich" <from!not-fo...@tremornet.de> writes:

> frank paulsen in <news:kkoj3k$poa$1...@buer.dfakt.de>:
>

>>nur zu deiner beunruhigung: windows screensaver _sind_ 'exe', also ganz
>>normale ausfuehrbare programme.
>

> Perfiderweise werden sie aber bereits ausgef�hrt, wenn man sie als
> Bildschirmschoner einrichten m�chte.

genau. der wird mit '/c' gestartet, damit man einstellungen vornehmen
kann.

--
frobnicate foo

[Ulrich F. Heidenreich]

frank paulsen in <news:kkp15f$ts$1...@buer.dfakt.de>:

>"Ulrich F. Heidenreich" <from!not-fo...@tremornet.de> writes:
>
>> frank paulsen in <news:kkoj3k$poa$1...@buer.dfakt.de>:
>>
>>>nur zu deiner beunruhigung: windows screensaver _sind_ 'exe', also ganz
>>>normale ausfuehrbare programme.
>>

>> Perfiderweise werden sie aber bereits ausgeführt, wenn man sie als
>> Bildschirmschoner einrichten möchte.

>
>genau. der wird mit '/c' gestartet,

Häh? Zumindest unter meinem antiken Win95 gehe ich per Rechtsklick aufm
Desktop auf "Eigenschaften" -> "Bildschirmschoner" und hätte schon den
Salat, wenn ich ihn dort nur auswählte. "ChristinaAguilera.scr" war
lange Zeit das Beispiel dafür schlechthin.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon
In 8 Monaten und 7 Tagen ist Weihnachten.

7HFRZ 7C5C0 JVB3B ITD1Y 6S18D MIWPK MI5EP TVLQC IDBMO

[Arno Welzel]

Wolfgang Jäth, 2013-04-16 21:15:

> Am 16.04.2013 16:34, schrieb Mathias Fuhrmann:
>>
>>> … im angehängten ZIP ein Wurm gefunden wurde. Ich habe derweil diese
>>> vorgebliche 1&1-Rechnung auch hier, angehängt ist sehr wohl ein ZIP
>>> Namens "1&1 Telecom GmbH - Ihre Rechnung.zip". Drin steckt ein "Ihre
>>> Rechnung.pdf.exe". Da erst schlägt der "Trick" zu.
>>
>> Ich wundere mich immer, wenn ich lese, daß ein (echtes) Zip-Archiv
>> nicht geöffnet werden darf.
>
> Das kommt darauf an, /wie/ man sie öffnet. Man sollte eine verdächtige

Man öffnet sie gar nicht, wenn man vermutet, dass es sich ohnehin nur um
Schadsoftware handelt. Warum sollte man eine Datei öffnen, von der man
ohnehin vermutet, dass sie Schadsoftware enthält, weil sie von einem
Absender stammt, von dem man solche E-Mails sowieso nicht erwartet?

> ZIP nie /direkt/ anklicken. Abgesehen von den Gefahr, daß die Endungen

> überhaupt ausgeblendet sind, ignoriert Windows[1] teilweise sogar die
> Endung, und orientiert sich an den sogenannten Signaturbytes am Anfang

> der Datei. Und wen ndie besagen, es handelt sich um eine ausführbare
> Datei, dann führt Windows sie eben auch aus.

Nein, "Signaturbytes" wurden noch nie ausgewertet. Das verwechselt Du
vielleicht mit Linux-artigen Systemen, wo das bis heute noch ein
übliches Verfahren ist.

Bei Wnidows machen nur einzelne Shell-Extensions, wie z.B. die aktuelle
Versionen von Visual Studio (AFAIK seit Version 2008), um z.B. zu
entscheiden, ob eine Datei mit der Endung ".sln" nun für Visual Studio
2010 oder 2012 ist. Aber *Windows* hat das meines Wissens noch nie getan.

Man hat aber in NTFS auch "alternate datastreams" eingeführt, die auch
missbraucht wurden. Die wären theoretisch für sowas nutzbar, ähnlich wie
der Resource Fork bei MacOS. Aber die bleiben beim Zip-Archiven o.Ä.
nicht erhalten und ebenso wenig bei FAT/FAT32 - deswegen hat man sich
bei Microsoft wohl auch dazu entschlossen, Dateieendungen beizubehalten
(im Gegensatz zu MacOS, wo auch Packer die Resource Forks mitnehmen und
auf FAT-Medien die Metadaten ggf. als versteckte Dateien beibehalten
werden).

[frank paulsen]

"Ulrich F. Heidenreich" <from!not-fo...@tremornet.de> writes:

> frank paulsen in <news:kkp15f$ts$1...@buer.dfakt.de>:

>
>>genau. der wird mit '/c' gestartet,
>
> Häh? Zumindest unter meinem antiken Win95 gehe ich per Rechtsklick aufm
> Desktop auf "Eigenschaften" -> "Bildschirmschoner" und hätte schon den
> Salat, wenn ich ihn dort nur auswählte. "ChristinaAguilera.scr" war
> lange Zeit das Beispiel dafür schlechthin.

ja, das ist so. dafuer ist '/c' da, und es hat sich erst vergleichsweise
spaet erwiesen, dass es eine saudumme konstruktion ist, auf verdacht
irgendwelche programme zu starten, nur um an einen einstellungsdialog zu
kommen.

--
frobnicate foo

[Marc Haber]

"Ulrich F. Heidenreich" <from!not-fo...@tremornet.de> wrote:
>frank paulsen in <news:kkp15f$ts$1...@buer.dfakt.de>:
>
>>"Ulrich F. Heidenreich" <from!not-fo...@tremornet.de> writes:
>>
>>> frank paulsen in <news:kkoj3k$poa$1...@buer.dfakt.de>:
>>>
>>>>nur zu deiner beunruhigung: windows screensaver _sind_ 'exe', also ganz
>>>>normale ausfuehrbare programme.
>>>
>>> Perfiderweise werden sie aber bereits ausgeführt, wenn man sie als
>>> Bildschirmschoner einrichten möchte.
>>
>>genau. der wird mit '/c' gestartet,
>
>Häh? Zumindest unter meinem antiken Win95 gehe ich per Rechtsklick aufm
>Desktop auf "Eigenschaften" -> "Bildschirmschoner" und hätte schon den
>Salat, wenn ich ihn dort nur auswählte. "ChristinaAguilera.scr" war
>lange Zeit das Beispiel dafür schlechthin.

Auch der Aufruf des Einstellungsdialogs ist ein Start.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Ulrich F. Heidenreich]

Marc Haber in <news:kkrtps$6a9$1...@news1.tnib.de>:

>"Ulrich F. Heidenreich" <from!not-fo...@tremornet.de> wrote:
>
>>Häh? Zumindest unter meinem antiken Win95 gehe ich per Rechtsklick aufm
>>Desktop auf "Eigenschaften" -> "Bildschirmschoner" und hätte schon den
>>Salat, wenn ich ihn dort nur auswählte. "ChristinaAguilera.scr" war
>>lange Zeit das Beispiel dafür schlechthin.
>
>Auch der Aufruf des Einstellungsdialogs ist ein Start.

Aber kein bewusster. Die Hemmschwelle, einen Bildschirmschoner
einzurichten, liegt deutlich niedriger als die, eine *.exe zu
starten.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon

In 8 Monaten und 5 Tagen ist Weihnachten.
B9T2O Y6JQ0 KETBA KGQ7E V1B1D DQDA6 HWTWL 4GW4A OR5W6
Stellt euch vor, es ist Samstag und keiner geht hin!

[Zacharias U.]

Am 16.04.2013 16:57, schrieb Ulrich F. Heidenreich:

> oder 8 da noch mehr verschlimmbessern, entzieht sich meiner Kenntnis.
>

> so alles automagisch macht, wenn an einer Mail ein ZIP hängt, will ich
> vermutlich auch nicht wissen.

Genau.
Du hast keine Kenntnisse und willst alles mögliche nicht wissen.
In deiner Lernresistenz liegen u.a. auch Deine sozialen Probleme begründet.

[Zacharias U.]

Am 17.04.2013 13:58, schrieb Ulrich F. Heidenreich:

> Dann ist die Lücke in Win7 wohl geschlossen worden.

Ach, würden doch auch mal deine Lücken geschlossen.

[Arno Welzel]

Ulrich F. Heidenreich, 2013-04-16 16:57:

> Mathias Fuhrmann in <news:516d6175$0$6584$9b4e...@newsspool3.arcor-online.net>:
>
>> Ulrich F. Heidenreich schrieb:

>>
>>> … im angehängten ZIP ein Wurm gefunden wurde. Ich habe derweil diese
>>> vorgebliche 1&1-Rechnung auch hier, angehängt ist sehr wohl ein ZIP
>>> Namens "1&1 Telecom GmbH - Ihre Rechnung.zip". Drin steckt ein "Ihre
>>> Rechnung.pdf.exe". Da erst schlägt der "Trick" zu.
>>
>> Ich wundere mich immer, wenn ich lese, daß ein (echtes) Zip-Archiv

>> nicht geöffnet werden darf. War bisher der Meinung, daß erst der Klick
>> auf den Inhalt schädlich sein kann. Oder wird beim Öffnen von ZIP oder
>> RAR gleich eine *.exe pp. ausgeführt?
>
> Kai Neahnung, was "moderne" Betrübssysteme aus Redmond damit machen.
>
> Hier muss ich ein ZIP explizit an den Winzip übergeben, dort sehe ich
> dann - egal, ob "Bekannte Dateinamenserweiterungen ausblenden" nun
> aktiv ist oder nicht - daß die Datei rechnung.pdf.exe heißt. Ein XP
> präsentiert mir dagegen gleich einen zipkomprimierten Ordner; was Win7

> oder 8 da noch mehr verschlimmbessern, entzieht sich meiner Kenntnis.

Und wenn das Betriebssystem normalerweis *keine* Endungen anzeigt, wäre
ich spätestens dann alarmiert, wenn eine PDF-Datei plötzlich ".pdf" am
Ende enthält, obwohl andere PDF-Dateien das nicht haben oder dass die
vermeintliche PDF-Datei nicht mit Icon dargestellt wird, dass für alle
anderen PDF-Dateien benutzt wird - nämlich das meines PDF-Viewers, der
nicht unbedingt Acrobat Reader sein muss.

> Was Winmail (? Oder wie auch immer das aktuelle M$-MUA-Surrogat heißt)

> so alles automagisch macht, wenn an einer Mail ein ZIP hängt, will ich

> vermutlich auch nicht wissen. Reines Social Engineerung scheint mir das
> nicht mehr zu sein; siehe auch den "Die Phisher werden immer schlauer"-
> Thread.

Nö - das ist immer noch genau die selbe Masche. Auch aktuelle MUAs von
Microsoft machen mit Zip-Anhängen nichts, ausser anzuzeigen, dass es sie
gibt.

[Henning Gajek]

Hallo,

danke für die Hinweise zur Interpretierung des Anhangs. Es ist eine
ZIP-Datei mit Exe-Datei darin eingepackt.

Ich wollte aber mal eher wissen, ob jemand was zur Herkunft dieser
Spam-Mails sagen kann?

Ist da ein Telekom/T-Online-Kunde oder ein 1&1 kompromittiert worden?


--
73 & 55 (Gruss)
Henning Gajek
http://www.gajek.de

[Ulrich F. Heidenreich]

Henning Gajek in <news:51790897$0$6642$9b4e...@newsspool2.arcor-online.net>:

>danke f?r die Hinweise zur Interpretierung des Anhangs. Es ist eine

>ZIP-Datei mit Exe-Datei darin eingepackt.

Ach neeeee ...

>Ich wollte aber mal eher wissen, ob jemand was zur Herkunft dieser
>Spam-Mails sagen kann?
>
>Ist da ein Telekom/T-Online-Kunde oder ein 1&1 kompromittiert worden?

Nö. Da hat wohl eher bekannte Lieferanten/Provider gefaked. Das Ding
habe ich nicht nur "im Namen" der 1%1, sondern auch in Rechnungen
vorgeblich von der ONLEYS Modekontor GmbH, buecher.de, ESPRIT e-shop
und dem Baur-Versand steckend bekommen. Da gießt einer ne Kanne in
der Hoffnung, jemanden zu überrumpeln, der dort wirklich Kunde ist.

CU!
Ulrich
--
Bei Amazon kauft man via http://u-heidenreich.de/Amazon

In 8 Monaten und 0 Tagen ist Weihnachten.
9R9SE BE8SU WII54 N6TF4 A0183 HO99H M3AR1 6AD96 AZV64