Teil 2 Eine ganz neue Masche bei e

Teil 2
Eine ganz neue Masche bei e-Mail: So versucht man Ihnen Viren,
Trojaner und Dialer unterzujubeln (ab ca. Juni 2003 im Umlauf):
Beispiel 1: Die e-Mail sieht normalerweise so aus:
Hi mein süsser,
na
wie geht es dir? Ich hoffe du hast dich von unserer ersten gemeinsamen Nacht erholen können
;) Es war wirklich wahnsinnig aufregend mit dir! Ich hab sowas noch nie erlebt! Ich habe unse
re Aufnahmen auf meine Seite gestellt, hier hast du den Link: http://members.lycos.de/Jule/
Wünsche dir viel spass beim angucken!
Bis nächstes mal
Deine Jule
Der Quelltext zeigt aber nicht den Link nach ‚members.lycos.de’,
sondern:
Hi mein süsser,
<br><br>
na
wie geht es dir? Ich hoffe du hast dich von unserer ersten gemeinsamen Nacht erholen können
;) Es war wirklich wahnsinnig aufregend mit dir! Ich hab sowas noch nie erlebt! Ich habe unse
re Aufnahmen auf meine Seite gestellt, hier hast du den Link:
<a
href="http://345k34j5h235235bklzu45634dgt435dtu435jfhjf4533ser654@loophy.tripod.com.
br/bo.txt?sid=161A0407131F0302060D590E1E05254C430E090D5B1E10465D1652584404
5A455548045A5C4C000255445A4A4754475E">http://members.lycos.de/Jule/</a><br>
Wünsche dir viel spass beim angucken!
<br>
Bis nächstes mal<br>
Deine Jule
Der Kopf der e-Mail ist natürlich falsch und unvollständig:
Return-Path: <kule`[email protected]>
Received: from att.net ([12.99.206.172]) by mailin01.sul.t-online.com
with smtp id 19Ny3J-1xIlcGC; Thu, 5 Jun 2003 18:57:25 +0200
From: "Julia Sprengler" <kule`[email protected]>
To: "Mein Süsser" <[email protected]>
Subject: Ich hab dich lieb
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_004B_07B55B46.B3CB5242"
Der kriminelle Code liegt offensichtlich bei ‚www.tripod.com.br’
Beispiel 2: Die e-Mail sieht normalerweise so aus:
Guten Tag,
Wie Sie im Betreff schon sehen können, wurde in unserem System eine Nachricht für Sie
hinterlegt.
Um die Nachricht abzurufen melden Sie sich bitte in unserem Chat bei Silvia
und nennen Sie ihr Ihre EMail Adresse und Ihr Passwort "KonSer1xd" und Sie bekommen die Nachricht.
Zum Chat geht es hier
Wir wünschen Ihnen viel Spass bei Ihrer Nachricht
Ihr Kontakt-Service Team
Diese Nachricht wurde automatisch von unserem System verschickt!
Der Quelltext zeigt wieder einen verschüsselten Link unter ‚hier’:
<B>Guten Tag,</B>
<br>
Wie Sie im Betreff schon sehen können, wurde in unserem System eine Nachricht für Sie hint
erlegt.
<br>
Um die Nachricht abzurufen melden Sie sich bitte in unserem Chat bei Silvia
und nennen Sie ihr Ihre <b>EMail Adresse</b> und Ihr <b>Passwort "KonSer1xd"</b> und Sie bekommen die Nachricht.
<br>
Zum Chat geht es <B><a
href="http://345k34j5h235235bklzu45634dgt435dtu435jfhjf4533ser654@ab01.tripod.cl/chat.
txt?sid=161A04071D5D0B02060D4749140812510021134C5D1E19015716460D110F52425
643025E5B5949074B0A5E5443545E5B065759">hier</a></B><br><br>
<br>
Wir wünschen Ihnen viel Spass bei Ihrer Nachricht<br>
Ihr Kontakt-Service Team
<br><br><br>
<I>Diese Nachricht wurde automatisch von unserem System verschickt!
</I>
Der Kopf der e-Mail ist – wie immer – falsch und unvollständig:
Return-Path: <[email protected]>
Received: from att.net ([202.56.229.169]) by mailin03.sul.t-online.com
with smtp id 19OzZk-1AHO2iC; Sun, 8 Jun 2003 14:47:08 +0200
From: "Kontakt Service" <[email protected]>
To: "An Sie" <[email protected]>
Subject: Kontakt Service: Für Sie wurde eine Nachricht hinterlegt
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_007B_07A71B16.C4AA8712"
Beispiel 3: Die e-Mail sieht normalerweise so aus:
hey Fritz,
sagmal ist die homepage hier von dir?
http://www.Fritz-online.com
kam mir etwas komisch vor - ist aber sehr lustig :o))
gruss,
Anja
Der Quelltext zeigt aber nicht den Link nach zu der angeblich
entdeckten Homepage von ‚Fritz’, sondern führt zu ‚tripod’:
hey Fritz,<br><br>
sagmal ist die homepage hier von dir?<br>
<a
href="http://345k34j5h235235bklzu45634dgt435dtu435jfhjf4533ser654@b002.tripod.com.br
/bo.txt?sid=161A0407131F00090F0B4F021E241115010F0B085C155B0C5C495D5B440253
435845034517504B05535F5D534D56">http://www.Fritz-online.com</a><br>
kam mir etwas komisch vor - ist aber sehr lustig :o))<br><br>
gruss,<br>
Anja
Der Kopf der e-Mail ist – auch hier – falsch und unvollständig:
Return-Path: <[email protected]>
Received: from dsl-verizon.net ([4.33.25.20]) by mailin06.sul.t-online.com
with smtp id 19Qzpj-0VM7m4C; Sat, 14 Jun 2003 03:27:55 +0200
From: "Anja Keller" <[email protected]>
To: "An Dich" <[email protected]>
Subject: Ist das deine Homepage??
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_007A_05B33A86.C8AB4167"
Beispiel 4: Die e-Mail sieht normalerweise so aus:
Es erscheint ein leeres Fenster, wobei – bei aktiviertem Virenschutz – in der Regel sofort
eine Warnung kommt (Wurm vom Typ ‚Klez’):
Der Quelltext enthält lediglich einen kleinen Code:
<HTML><HEAD></HEAD><BODY>
<iframe src=cid:E0B121BUytm5 height=0 width=0>
</iframe>
<FONT></FONT></BODY></HTML>
Der Kopf der e-Mail ist zwar vollständig, jedoch durch den Virus
generiert worden (der Virus selbst wurde hier sofort gelöscht):
Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Wed, 18 Jun 2003 12:29:00 +0200
Received: from beta.kcs-internet.de ([212.98.78.29])
by mail01.ims-firmen.de with esmtp (TLSv1:DES-CBC3-SHA:168)
(Exim 4.12)
id 19SaBW-0001aZ-00
for [email protected]; Wed, 18 Jun 2003 12:28:58 +0200
Received: from Gdx (pD95102D0.dip.t-dialin.net [217.81.2.208])
by beta.kcs-internet.de (8.11.2/8.9.3) with SMTP id h5IASpE62659
for <[email protected]>; Wed, 18 Jun 2003 12:28:51 +0200 (CEST)
Date: Wed, 18 Jun 2003 12:28:51 +0200 (CEST)
Message-Id: <[email protected]>
From: marketing <[email protected]>
To: [email protected]
Subject: Sos!
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=A6yv320djT83I4yj4R4
Was lernen wir aus diesen vier Beispielen? Alle aufgeführten
e-Mails waren ‚html’-basiert und in der Regel von sicherlich
unbekannten Absendern. Normalerweise sollten Sie nicht der
Versuchung erliegen, diese Mails online und ohne Viren- und
Firewall-Schutz zu öffnen. Ärgerlich ist, dass einige Provider
sich hier dazu missbrauchen lassen, derartige sehr kriminelle
Machenschaften über ihre Server zuzulassen. Uns ist hier in
jenem Zusammenhang folgender Server im Juni 2003 negativ
aufgefallen: Es ist der terra-lycos-Ableger ‚www.tripod.com.br’: