Spamihilator

[Chactory]

Hallo allerseits,

eine Spammail mit einer neuen Masche hat sich erfolgreich durch Spamihilator gemogelt.
Typisch daran:

1.)
Die Spammail enthielt "Content-Type: text/plain; charset="windows-874"" (Thai). Die nächste blieb im Charset-Filter hängen, "WINDOWS-1256" (arabisch).
Exkurs: "Wichtige" Charsets:
GB2312, GB18030, GBK, EUC-CN, ISO-2022-CN (China)
HKSCS (Hongkong)
BIG5 (Taiwan)
EUC-KR, ISO-2022-KR, KS X 1001 (Korea)
ISO 8859-11, WINDOWS-874 (Thai)
WINDOWS-1258 (Vietnam)
ISO-2022-JP (Japan)
ISO 8859-5, KOI8-R, KOI7, WINDOWS-1251 (Kyrillisch)
KOI8-U (Ukrainisch)
WINDOWS-1256 (arabisch)
WINDOWS-1250 (osteuropäisch)
WINDOWS-1252 (westeuropäisch)
Die unterschiedlichen Charsets könnten auf unterschiedliche Botnetze hinweisen. Die "Firma" dürfte dagegen die gleiche sein.

2.)
Die Spammail enthielt URLs, hier dürfte also nächstesmal der Linkfilter aktiv werden.
Z.B. http://www.webcamsonlinehere.com oder http://www.onlinecamchatsexsite.com.
(Hyperlinks deaktiviert, wir wollen ja hier keine Spamlinks setzen.)
Interessant ist der schnelle Wechsel der URLs, um den Behörden und den Spamfiltern zu entgehen.
Anmerkung: Das Testen der Sites empfiehlt sich nicht! Im Zweifelsfall sind die Viren, mit denen solche Websites meist verseucht sind, aktueller als die verwendete Antivirensoftware. Microsoft hat erst vor etwa zwei Tagen ein Sicherheitsupdate für die Shortcut Icon Loading Vulnerability herausgebracht. Hoffentlich habt Ihr alle das Update bereits eingespielt!

3.)
Recht interessant war das Buchstaben-Kauderwelsch im Mailtext. Schon irre, was interessierte Leser trotz Verfremdung so alles entziffern können.
"@? ][{/[@,----W--a-t-c--h- -l-i-v-e- -w-e-b-c-a-m- -g-i-r-l-s- -o-nl-i-n-e--" oder
"=.=,- ..~@---H----o--------t--------- ----n----------u--------d---------e------".

Gruß, Chactory

[anbuva]

Hallo Chactory!

interessante Nachricht Langeweile scheinen die Spammer ja auch nicht zu haben Obwohl einiges vielleicht auch schon aus "Baukästen" automatisiert herauskommt.

Aber auch hier sollte, wie Du schon angemerkt hast, der Link-Filter schnell aktiv werden. Bei mir steht er ziemlich weit vorne (mit inzw. über 16.000 gesammelten Links aus meinen Mails); ca. zu 50% fängt er die daher die guten und schlechten Mails schon ab. Mir macht es sogar Spaß, Spams zu bekommen und zu sehen, wie Spami darauf reagiert. Sado-Maso-Gelüste bei der Spam-Abwehr?

Gruß
anbuva

[Chactory]

Hi Anbuva,

vielen Dank für Deine Antwort!

angeweile scheinen die Spammer ja auch nicht zu haben

[anbuva]

Hallo Chactory!

trotzdem immer mal interessant; allein zum Testen schon

Gruß
anbuva

[Chactory]

Hallo Anbuva!

Ich habe jetzt einmal versucht, den mit dem nachzustellen.

In den Spamihilator-Eigenschaften kann man den Regel-Filter konfigurieren. Dort wird eine neue Regel erstellt, die den Namen „Charset-Regel“ o.ä. erhält:

Zwischenablage11.gif (54.62 KiB) 11894-mal betrachtet

[anbuva]

Hallo Chactory!

bei mir eingebaut und dann auch mal abwarten

Gruß
anbuva

[Chactory]

Hallo Anbuva!

Super, vielen Dank!

Bei mir schonmal erste Mails - keine falsch-positive Filterung.

Gruß,
Chactory

[michel]

Hallo Chactory,

vielen Dank für diese Regel. Ich glaube wir sollten mal ein paar nützliche Regeln sammeln und in die nächste Spamihilator-Version einbauen (quasi als Default wie beim Spam-Wort-Filter). Was haltet ihr davon?

Gruß
Michel

[anbuva]

Hallo michel!

viewtopic.php?f=36&t=7711&p=62486#p62486

Gruß
anbuva

[anbuva]

Hallo michel!

oder auch viewtopic.php?f=4&t=8787&p=62571#p62584

Gruß
anbuva

[Chactory]

Hi zusammen!

ch glaube wir sollten mal ein paar nützliche Regeln sammeln und in die nächste Spamihilator-Version einbauen (quasi als Default wie beim Spam-Wort-Filter).

[anbuva]

Hallo Chactory!



Gruß
anbuva