Trojanerwarnung: Ein Nacktfoto von dir ist im Internet aufgetaucht

Posted onAuthorTmoWizardLeave a comment

Last Updated on 9 Jahren by TmoWizard

Werte Leserinnen und Leser,

und schon wieder eine Warnung vor einem relativ neuen Trojaner! Dieses mal gibt es angeblich ein Nacktfoto von mir, was natürlich Unfug ist. Es gibt zwar tatsächlich eines von mir, aber das ist nicht digitalisiert, sondern liegt bei mir im Schrank.

Wie schon bei der letzten Warnmeldung von mir wird auch dieses Teil leider noch nicht von allen Virenscannern erkannt, auch nicht von dem bei mir im Einsatz befindlichen ClamAV!

Den Betreff der E-Mail seht ihr im Titel, der Text selbst ist ziemlich schlicht:

Schau dein Nacktfoto im Anhang dieser Email an!

Dieser freundliche Anhang hat natürlich das Problem, daß da gar kein Foto vorhanden ist. Es ist eine Datei namens „deinfoto.exe“, also eine ausführbare Datei für Windows! Diese Teil könnte an meinem Linux/Kubuntu wohl soviel Schaden anrichten wie eine Mücke an einem Panzer, also gar keinen.

 

Der Quelltext:

Sehen wir uns also mal den Quelltext der Mail genauer an, vielleicht finden wir ja was interessantes! Die meisten der enthaltenen Mail-Adressen mache ich allerdings ungültig und schreibe teilweise einen (Kommentar) dazu, sicher ist sicher:

Return-Path: <noreply@heidelpay.de>
X-Original-To: XXXXX@arcor.de (das war meine)
Received: from mail-in-17.arcor-online.net (mail-in-17.arcor-online.net [151.189.21.57])
by mail-in-14-z2.arcor-online.net (Postfix) with ESMTP id 5E2D21EEB6
for <XXXXX@arcor.de>; Tue, 13 Oct 2015 05:52:08 +0200 (CEST) (auch hier stand meine Mail-Adresse, die aus meinem Impressum)
Received: from mout.web.de (mout.web.de [212.227.17.11])
by mx.arcor.de (Postfix) with ESMTPS id 3nZjcS21sQzXXw
for <XXXXX@arcor.de>; Tue, 13 Oct 2015 05:52:08 +0200 (CEST) (und wieder meine eigene)
Received: from [212.227.17.8] ([212.227.17.8]) by mx-ha.web.de (mxweb101) with
ESMTP (Nemesis) id 0MhS8c-1ZzVc81GL4-00MfWT for <XXXXX@arcor.de>; Tue, 13 Oct 2015 05:52:08 +0200 (hier ebenfalls)
Received: from heidelpay.de ([216.58.40.157]) by mx-ha.web.de (mxweb101) with
ESMTP (Nemesis) id 0MX21A-1a6ccA1GDM-00VzSp for <XXXXX@web.de>; Tue, 13 Oct 2015 05:51:14 +0200 (Auch meine. Ja, ich bin auch bei Web.de! Das war die Empfangsadresse, allerdings leite ich alle Konten um nach Arcor.)
Message-ID: <6C305A0B.45D4DAB2@heidelpay.de>
Date: Tue, 13 Oct 2015 05:51:47 +0200
Reply-To: „Kevin Otto “ <noreply@heidelpay.de>
From: „Kevin Otto “ <noreply@heidelpay.de>
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en-US; rv:1.8.1.19) Gecko/20081209 Thunderbird/2.0.0.19
MIME-Version: 1.0
To: „Kevin Otto “ <XXXXX.YYYY@web.de> (Dies ist nicht meine Mail-Adresse, aber einem „Kevin Otto“ gehört sie garantiert auch nicht!)
Subject: Ein Nacktfoto von dir ist im Internet aufgetaucht

Diese Mail stammt also angeblich von der Firma Heidelpay, welche es tatsächlich gibt und bereits seit 2003 existiert! Scheint was ähnliches wie PayPal zu sein, auf jeden Fall keine Betrugsfirma.

Leider gibt auch der Quelltext nicht viel an Information preis, aber das hier finde ich wirklich höchst interessant:

User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en-US; rv:1.8.1.19) Gecko/20081209 Thunderbird/2.0.0.19 MIME-Version: 1.0

Ne, oder? Entweder ist dieser User-Agent gefälscht, oder da wurde tatsächlich ein Mac mit einem völlig veraltetem Thunderbird von 2008 verwendet! Es dürfte somit klar sein, daß diese Mail garantiert nicht von der Firma „HEIDELBERGER PAYMENT GMBH“ stammt. Ich kann mir beim besten Willen nicht vorstellen, daß ein modernes Unternehmen mit solchen Kisten arbeitet! Die können es sich im Gegensatz zum Bundestag nämlich nicht leisten, daß ihre Daten durch bekannte und eigentlich geschlossene Sicherheitslücken abgegriffen werden.

Die von mir unkenntlich gemachte Antwortadresse ist mir übrigens bekannt, die gehört wie ich im Quelltest angemerkt habe garantiert keinem „Kevin Otto“! Die ist natürlich gefälscht, das geht wie auch beim Absender mit wirklich jedem Mail-Client ganz einfach. Man muß dafür in beiden Fällen nicht einmal einen anderen Computer oder so knacken, sondern gibt einfach eine andere Mail-Adresse an. Wobei man allerdings beim Absender je nach Adresse und Anbieter das entsprechende Paßwort benötigt, aber auch das ist nicht immer notwendig!

 

Die IP-Adresse:

Nun wird es lustig, da mich die im Text stehende IP-Adresse des Absenders interessiert hat:

212.227.17.8

Das ist die IP-Adresse von Schlund + Partner, was eine Tochterfirma von 1&1, also United Internet war. Zum 1. Januar 2007 ging diese Firma vollständig in 1&1 auf, sie existiert also gar nicht mehr. Man kommt bei dieser IP nirgends mehr heraus, die scheint intern zu sein!

Hier scheint es dann wohl ein Problem bei United Internet zu geben, denn [212.227.17.8], [212.227.17.11] und [216.58.40.157] gehören alle zu Web.de! Dort scheint auch die Firma „HEIDELBERGER PAYMENT GMBH“ ihre Site gehostet zu haben, hier hängt als alles irgendwie zusammen.

 

Mein Fazit:

Wie schon oben im Text erwähnt gibt es tatsächlich ein Nacktfoto von mir, aber eben nur dieses eine einzige in meinem Schrank! Da es mit einer Sofortbildkamera aufgenommen wurde gibt es das Bild auch nur einmal, so kann damit auch niemand Unfug damit anstellen. Es gibt dadurch ja nicht einmal ein Negativ davon, so daß ich über solche Mails und Meldungen einfach nur müde lächeln kann.

Die ganze E-Mail ist wirklich dermaßen durchsichtig und lächerlich aufgebaut, daß ich wie schon bei der letzten mit der „Rechnung-September.exe“ den Ersteller als ziemlichen Idioten bezeichnen muß! Er hat zwar die Absender-Adresse gefälscht, das war aber auch schon alles. Aus einer *.exe wird nie ein Bild, selbst wenn der Trottel sich auf den Kopf stellt und an die Decke scheißt!

Nutzer von Windows können damit allerdings schon Ärger bekommen, da bei diesen Systemen bekannte Dateiendungen wie eben *.exe normaler Weise ausgeblendet werden! Sie sehen also gar nicht, was für ein Format die Datei hat und viele fallen leider auch tatsächlich auf den Dateinamen „deinfoto“ herein. Allerdings sind hier bestimmte Mail-Clienten wie Thunderbird oder in meinem Fall SeaMonkey eine große Hilfe, da diese die Dateiendung trotzdem anzeigen sollten!

Aus dem Grund kamen einige auch auf die Idee, daß sie ihren Anhängen solche Namen gaben:

„Dateiname.gif      (sehr viele, wirklich sehr viele Leerzeichen)     .exe“

Die Hersteller der Mail-Clienten waren aber auch nicht dumm, als das festgestellt wurde. Nun wird in solch einem Fall der Dateiname eben verkürzt und mit der Endung am Schluß angezeigt, so daß diese Leerzeichen irrelevant wurden. Im Quelltext der Mail ist das sowieso egal, dort sieht man immer den kompletten Namen des Anhangs. Bei dieser Mail sieht das z. B. so aus (Hervorhebung durch mich):

Content-Type: application/octet-stream;
name=“deinfoto.exe
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename=“deinfoto.exe

Da nützt dann auch kein noch so langer Dateiname etwas, er steht dort immer komplett drinnen! Gleiches gilt auch bei Links in E-Mails, weswegen man sich diese immer als reinen Text anzeigen lassen sollte. Das sieht zwar nicht unbedingt schön aus, aber es dient auf jedem Fall der eigenen Sicherheit! Und jetzt ab in den Junk-Ordner mit der Mail.

Viele Grüße nun aus TmoWizard’s Castle zu Augsburg

Y gwir yn erbyn Y byd!

Mike, TmoWizard Zaubersmilie

CC BY-NC-SA 4.0 Trojanerwarnung: Ein Nacktfoto von dir ist im Internet aufgetaucht von TmoWizard ist lizenziert unter Creative Commons Namensnennung-NichtKommerziell-Weitergabe unter gleichen Bedingungen 4.0 international.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kommentarlinks könnten nofollow frei sein.