Seite 1 von 1

Interessante neue Spammail

BeitragVerfasst: 5. Aug 2010, 01:18
von Chactory
Hallo allerseits,

eine Spammail mit einer neuen Masche hat sich erfolgreich durch Spamihilator gemogelt.
Typisch daran:

1.)
Die Spammail enthielt "Content-Type: text/plain; charset="windows-874"" (Thai). Die nächste blieb im Charset-Filter hängen, "WINDOWS-1256" (arabisch).
Exkurs: "Wichtige" Charsets:
GB2312, GB18030, GBK, EUC-CN, ISO-2022-CN (China)
HKSCS (Hongkong)
BIG5 (Taiwan)
EUC-KR, ISO-2022-KR, KS X 1001 (Korea)
ISO 8859-11, WINDOWS-874 (Thai)
WINDOWS-1258 (Vietnam)
ISO-2022-JP (Japan)
ISO 8859-5, KOI8-R, KOI7, WINDOWS-1251 (Kyrillisch)
KOI8-U (Ukrainisch)
WINDOWS-1256 (arabisch)
WINDOWS-1250 (osteuropäisch)
ACHTUNG: WINDOWS-1252 (westeuropäisch)
Die unterschiedlichen Charsets könnten auf unterschiedliche Botnetze hinweisen. Die "Firma" dürfte dagegen die gleiche sein.

2.)
Die Spammail enthielt URLs, hier dürfte also nächstesmal der Linkfilter aktiv werden.
Z.B. http://www.webcamsonlinehere.com oder http://www.onlinecamchatsexsite.com.
(Hyperlinks deaktiviert, wir wollen ja hier keine Spamlinks setzen.)
Interessant ist der schnelle Wechsel der URLs, um den Behörden und den Spamfiltern zu entgehen.
Anmerkung: Das Testen der Sites empfiehlt sich nicht! Im Zweifelsfall sind die Viren, mit denen solche Websites meist verseucht sind, aktueller als die verwendete Antivirensoftware. Microsoft hat erst vor etwa zwei Tagen ein Sicherheitsupdate für die Shortcut Icon Loading Vulnerability herausgebracht. Hoffentlich habt Ihr alle das Update bereits eingespielt!

3.)
Recht interessant war das Buchstaben-Kauderwelsch im Mailtext. Schon irre, was interessierte Leser trotz Verfremdung so alles entziffern können.
"@? ][{/[@,----W--a-t-c--h- -l-i-v-e- -w-e-b-c-a-m- -g-i-r-l-s- -o-nl-i-n-e--" oder
"=.=,- ..~@---H----o--------t--------- ----n----------u--------d---------e------".

Gruß, Chactory

Re: Interessante neue Spammail

BeitragVerfasst: 5. Aug 2010, 07:47
von anbuva
Hallo Chactory!

interessante Nachricht :) Langeweile scheinen die Spammer ja auch nicht zu haben :wink: Obwohl einiges vielleicht auch schon aus "Baukästen" automatisiert herauskommt.

Aber auch hier sollte, wie Du schon angemerkt hast, der Link-Filter schnell aktiv werden. Bei mir steht er ziemlich weit vorne (mit inzw. über 16.000 gesammelten Links aus meinen Mails); ca. zu 50% fängt er die daher die guten und schlechten Mails schon ab. Mir macht es sogar Spaß, Spams zu bekommen und zu sehen, wie Spami darauf reagiert. Sado-Maso-Gelüste bei der Spam-Abwehr? :lol:

Gruß
anbuva

Re: Interessante neue Spammail

BeitragVerfasst: 5. Aug 2010, 22:15
von Chactory
Hi Anbuva,

vielen Dank für Deine Antwort!

anbuva hat geschrieben:Langeweile scheinen die Spammer ja auch nicht zu haben :wink:
Wahrlich!

Tja, die Jungs scheinen sich mit ihren Innovationen aber nicht durchzusetzen, bei mir ist keine solche Spam-Mail mehr durchgekommen ...

Gruß, Chactory

Re: Interessante neue Spammail

BeitragVerfasst: 6. Aug 2010, 09:33
von anbuva
Hallo Chactory!

trotzdem immer mal interessant; allein zum Testen schon :wink:

Gruß
anbuva

Re: Interessante neue Spammail

BeitragVerfasst: 3. Aug 2012, 08:22
von Chactory
Hallo Anbuva!

Ich habe jetzt einmal versucht, den Charset-Filter mit dem Regel-Filter nachzustellen.

In den Spamihilator-Eigenschaften kann man den Regel-Filter konfigurieren. Dort wird eine neue Regel erstellt, die den Namen „Charset-Regel“ o.ä. erhält:
Zwischenablage11.gif
Zwischenablage11.gif (54.62 KiB) 6610-mal betrachtet
Die neue Regel benötigt zwei Bedingungen, eine im Header, eine im Nachrichtentext, mit denen ich versuche, möglichst jede Character-Definition auch zu erkennen:
Zwischenablage12.gif
Zwischenablage12.gif (37.31 KiB) 6610-mal betrachtet
Die Bedingungen sind ansonsten identisch und enthalten eine Regex mit allen mir bekannten Charsets typischer Spammer-Länder:
Code: Alles auswählen
((charset="WINDOWS-1250")|(charset=WINDOWS-1250)|(charset="KOI8-U")|(charset=KOI8-U)|(charset="ISO 8859-5")|(charset=ISO 8859-5)|(charset="KOI8-R")|(charset=KOI8-R)|(charset="KOI7")|(charset=KOI7)|(charset="WINDOWS-1251")|(charset=WINDOWS-1251)|(charset="WINDOWS-1256")|(charset=WINDOWS-1256)|(charset="GB2312")|(charset=GB2312)|(charset="GB18030")|(charset=GB18030)|(charset="GBK")|(charset=GBK)|(charset="EUC-CN")|(charset=EUC-CN)|(charset="ISO-2022-CN")|(charset=ISO-2022-CN)|(charset="HKSCS")|(charset=HKSCS)|(charset="BIG5")|(charset=BIG5)|(charset="EUC-KR")|(charset=EUC-KR)|(charset="ISO-2022-KR")|(charset=ISO-2022-KR)|(charset="KS X 1001")|(charset=KS X 1001)|(charset="ISO 8859-11")|(charset=ISO 8859-11)|(charset="WINDOWS-874")|(charset=WINDOWS-874)|(charset="WINDOWS-1258")|(charset=WINDOWS-1258)|(charset="ISO-2022-JP")|(charset=ISO-2022-JP))
Und ein Test mit einer jeweiligen Kontroll-Bedingung "1xyz1xyz" mit einem üblichen Charset in Bedingung 1 und und "2xyz2xyz" in Bedingung 2 war mit einer Plain-Text und einer Html-Mail tatsächlich erfolgreich:
Zwischenablage13.gif
Zwischenablage13.gif (6.46 KiB) 6610-mal betrachtet
Zwischenablage14.gif
Zwischenablage14.gif (26.29 KiB) 6610-mal betrachtet
Jetzt heißt es Mails und Spammails abwarten. Zu dumm, daß keine kommen, wenn man sie mal braucht ... ;)

Gruß,
Chactory

Re: Interessante neue Spammail

BeitragVerfasst: 3. Aug 2012, 09:23
von anbuva
Hallo Chactory!

bei mir eingebaut und dann auch mal abwarten :wink:

Gruß
anbuva

Re: Interessante neue Spammail

BeitragVerfasst: 3. Aug 2012, 09:32
von Chactory
Hallo Anbuva!

Super, vielen Dank! :)

Bei mir schonmal erste Mails - keine falsch-positive Filterung.

Gruß,
Chactory

Re: Interessante neue Spammail

BeitragVerfasst: 26. Aug 2012, 11:05
von michel
Hallo Chactory,

vielen Dank für diese Regel. Ich glaube wir sollten mal ein paar nützliche Regeln sammeln und in die nächste Spamihilator-Version einbauen (quasi als Default wie beim Spam-Wort-Filter). Was haltet ihr davon?

Gruß
Michel

Re: Interessante neue Spammail

BeitragVerfasst: 26. Aug 2012, 12:07
von anbuva

Re: Interessante neue Spammail

BeitragVerfasst: 26. Aug 2012, 12:08
von anbuva
Hallo michel!

oder auch viewtopic.php?f=4&t=8787&p=62571#p62584

Gruß
anbuva

Re: Interessante neue Spammail

BeitragVerfasst: 26. Aug 2012, 20:36
von Chactory
Hi zusammen!

michel hat geschrieben:Ich glaube wir sollten mal ein paar nützliche Regeln sammeln und in die nächste Spamihilator-Version einbauen (quasi als Default wie beim Spam-Wort-Filter).
Das wäre ganz großartig, Michel. Davon haben Anbuva und ich in einigen Diskussionen bereits "laut gedacht", geträumt, hin-und-her-geschrieben, naja, und den Rest wieder im Keller ... :wink:

Gruß,
Chactory

Re: Interessante neue Spammail

BeitragVerfasst: 26. Aug 2012, 21:05
von anbuva
Hallo Chactory!

:mrgreen:

Gruß
anbuva