Interessante neue Spammail

Hier kann über alles diskutiert werden, was mit Spam zu tun hat.

Moderator: Forum-Team

Interessante neue Spammail

Beitragvon Chactory » 5. Aug 2010, 01:18

Hallo allerseits,

eine Spammail mit einer neuen Masche hat sich erfolgreich durch Spamihilator gemogelt.
Typisch daran:

1.)
Die Spammail enthielt "Content-Type: text/plain; charset="windows-874"" (Thai). Die nächste blieb im Charset-Filter hängen, "WINDOWS-1256" (arabisch).
Exkurs: "Wichtige" Charsets:
GB2312, GB18030, GBK, EUC-CN, ISO-2022-CN (China)
HKSCS (Hongkong)
BIG5 (Taiwan)
EUC-KR, ISO-2022-KR, KS X 1001 (Korea)
ISO 8859-11, WINDOWS-874 (Thai)
WINDOWS-1258 (Vietnam)
ISO-2022-JP (Japan)
ISO 8859-5, KOI8-R, KOI7, WINDOWS-1251 (Kyrillisch)
KOI8-U (Ukrainisch)
WINDOWS-1256 (arabisch)
WINDOWS-1250 (osteuropäisch)
ACHTUNG: WINDOWS-1252 (westeuropäisch)
Die unterschiedlichen Charsets könnten auf unterschiedliche Botnetze hinweisen. Die "Firma" dürfte dagegen die gleiche sein.

2.)
Die Spammail enthielt URLs, hier dürfte also nächstesmal der Linkfilter aktiv werden.
Z.B. http://www.webcamsonlinehere.com oder http://www.onlinecamchatsexsite.com.
(Hyperlinks deaktiviert, wir wollen ja hier keine Spamlinks setzen.)
Interessant ist der schnelle Wechsel der URLs, um den Behörden und den Spamfiltern zu entgehen.
Anmerkung: Das Testen der Sites empfiehlt sich nicht! Im Zweifelsfall sind die Viren, mit denen solche Websites meist verseucht sind, aktueller als die verwendete Antivirensoftware. Microsoft hat erst vor etwa zwei Tagen ein Sicherheitsupdate für die Shortcut Icon Loading Vulnerability herausgebracht. Hoffentlich habt Ihr alle das Update bereits eingespielt!

3.)
Recht interessant war das Buchstaben-Kauderwelsch im Mailtext. Schon irre, was interessierte Leser trotz Verfremdung so alles entziffern können.
"@? ][{/[@,----W--a-t-c--h- -l-i-v-e- -w-e-b-c-a-m- -g-i-r-l-s- -o-nl-i-n-e--" oder
"=.=,- ..~@---H----o--------t--------- ----n----------u--------d---------e------".

Gruß, Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Interessante neue Spammail

Beitragvon anbuva » 5. Aug 2010, 07:47

Hallo Chactory!

interessante Nachricht :) Langeweile scheinen die Spammer ja auch nicht zu haben :wink: Obwohl einiges vielleicht auch schon aus "Baukästen" automatisiert herauskommt.

Aber auch hier sollte, wie Du schon angemerkt hast, der Link-Filter schnell aktiv werden. Bei mir steht er ziemlich weit vorne (mit inzw. über 16.000 gesammelten Links aus meinen Mails); ca. zu 50% fängt er die daher die guten und schlechten Mails schon ab. Mir macht es sogar Spaß, Spams zu bekommen und zu sehen, wie Spami darauf reagiert. Sado-Maso-Gelüste bei der Spam-Abwehr? :lol:

Gruß
anbuva
Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause

Re: Interessante neue Spammail

Beitragvon Chactory » 5. Aug 2010, 22:15

Hi Anbuva,

vielen Dank für Deine Antwort!

anbuva hat geschrieben:Langeweile scheinen die Spammer ja auch nicht zu haben :wink:
Wahrlich!

Tja, die Jungs scheinen sich mit ihren Innovationen aber nicht durchzusetzen, bei mir ist keine solche Spam-Mail mehr durchgekommen ...

Gruß, Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Interessante neue Spammail

Beitragvon anbuva » 6. Aug 2010, 09:33

Hallo Chactory!

trotzdem immer mal interessant; allein zum Testen schon :wink:

Gruß
anbuva
Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause

Re: Interessante neue Spammail

Beitragvon Chactory » 3. Aug 2012, 08:22

Hallo Anbuva!

Ich habe jetzt einmal versucht, den Charset-Filter mit dem Regel-Filter nachzustellen.

In den Spamihilator-Eigenschaften kann man den Regel-Filter konfigurieren. Dort wird eine neue Regel erstellt, die den Namen „Charset-Regel“ o.ä. erhält:
Zwischenablage11.gif
Zwischenablage11.gif (54.62 KiB) 3757-mal betrachtet
Die neue Regel benötigt zwei Bedingungen, eine im Header, eine im Nachrichtentext, mit denen ich versuche, möglichst jede Character-Definition auch zu erkennen:
Zwischenablage12.gif
Zwischenablage12.gif (37.31 KiB) 3757-mal betrachtet
Die Bedingungen sind ansonsten identisch und enthalten eine Regex mit allen mir bekannten Charsets typischer Spammer-Länder:
Code: Alles auswählen
((charset="WINDOWS-1250")|(charset=WINDOWS-1250)|(charset="KOI8-U")|(charset=KOI8-U)|(charset="ISO 8859-5")|(charset=ISO 8859-5)|(charset="KOI8-R")|(charset=KOI8-R)|(charset="KOI7")|(charset=KOI7)|(charset="WINDOWS-1251")|(charset=WINDOWS-1251)|(charset="WINDOWS-1256")|(charset=WINDOWS-1256)|(charset="GB2312")|(charset=GB2312)|(charset="GB18030")|(charset=GB18030)|(charset="GBK")|(charset=GBK)|(charset="EUC-CN")|(charset=EUC-CN)|(charset="ISO-2022-CN")|(charset=ISO-2022-CN)|(charset="HKSCS")|(charset=HKSCS)|(charset="BIG5")|(charset=BIG5)|(charset="EUC-KR")|(charset=EUC-KR)|(charset="ISO-2022-KR")|(charset=ISO-2022-KR)|(charset="KS X 1001")|(charset=KS X 1001)|(charset="ISO 8859-11")|(charset=ISO 8859-11)|(charset="WINDOWS-874")|(charset=WINDOWS-874)|(charset="WINDOWS-1258")|(charset=WINDOWS-1258)|(charset="ISO-2022-JP")|(charset=ISO-2022-JP))
Und ein Test mit einer jeweiligen Kontroll-Bedingung "1xyz1xyz" mit einem üblichen Charset in Bedingung 1 und und "2xyz2xyz" in Bedingung 2 war mit einer Plain-Text und einer Html-Mail tatsächlich erfolgreich:
Zwischenablage13.gif
Zwischenablage13.gif (6.46 KiB) 3757-mal betrachtet
Zwischenablage14.gif
Zwischenablage14.gif (26.29 KiB) 3757-mal betrachtet
Jetzt heißt es Mails und Spammails abwarten. Zu dumm, daß keine kommen, wenn man sie mal braucht ... ;)

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Interessante neue Spammail

Beitragvon anbuva » 3. Aug 2012, 09:23

Hallo Chactory!

bei mir eingebaut und dann auch mal abwarten :wink:

Gruß
anbuva
Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause

Re: Interessante neue Spammail

Beitragvon Chactory » 3. Aug 2012, 09:32

Hallo Anbuva!

Super, vielen Dank! :)

Bei mir schonmal erste Mails - keine falsch-positive Filterung.

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Interessante neue Spammail

Beitragvon michel » 26. Aug 2012, 11:05

Hallo Chactory,

vielen Dank für diese Regel. Ich glaube wir sollten mal ein paar nützliche Regeln sammeln und in die nächste Spamihilator-Version einbauen (quasi als Default wie beim Spam-Wort-Filter). Was haltet ihr davon?

Gruß
Michel
Chuck Norris doesn't kill Spam. He uses Spamihilator! ;-)
Benutzeravatar
michel
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
Plugin-Programmierer
 
Beiträge: 4335
Registriert: 22. Mär 2003, 01:16
Wohnort: Buseck

Re: Interessante neue Spammail

Beitragvon anbuva » 26. Aug 2012, 12:07

Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause

Re: Interessante neue Spammail

Beitragvon anbuva » 26. Aug 2012, 12:08

Hallo michel!

oder auch viewtopic.php?f=4&t=8787&p=62571#p62584

Gruß
anbuva
Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause

Re: Interessante neue Spammail

Beitragvon Chactory » 26. Aug 2012, 20:36

Hi zusammen!

michel hat geschrieben:Ich glaube wir sollten mal ein paar nützliche Regeln sammeln und in die nächste Spamihilator-Version einbauen (quasi als Default wie beim Spam-Wort-Filter).
Das wäre ganz großartig, Michel. Davon haben Anbuva und ich in einigen Diskussionen bereits "laut gedacht", geträumt, hin-und-her-geschrieben, naja, und den Rest wieder im Keller ... :wink:

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Interessante neue Spammail

Beitragvon anbuva » 26. Aug 2012, 21:05

Hallo Chactory!

:mrgreen:

Gruß
anbuva
Benutzeravatar
anbuva
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 8403
Registriert: 1. Sep 2004, 12:58
Wohnort: Zuhause


Zurück zu Spam

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron

 industrious-southeast