die zweite Welle Spam

Hier kann über alles diskutiert werden, was mit Spam zu tun hat.

Moderator: Forum-Team

die zweite Welle Spam

Beitragvon larifaribummbumm » 17. Okt 2013, 03:34

Hallo,

ich hatte vor rund 3 Wochen eine Menge Spam, immer von Yahoo Adressen, im Betreff 3 zufällige Buchstaben, ebenso in der Nachricht selber.

Der "Empfänger" (extra verfälscht) ist immer eine andere, scheinbar auch aktive Mailadresse, fast alle bei GMX.

Dann war schlagartig Ende damit.
Nun sind sie wieder da...

Scheint sich dabei wohl um Testmails zu handeln.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: die zweite Welle Spam

Beitragvon Chactory » 17. Okt 2013, 19:44

Hallo larifaribummbumm!

larifaribummbumm hat geschrieben:Spam, immer von Yahoo Adressen, im Betreff 3 zufällige Buchstaben, ebenso in der Nachricht selber.
Diese Spammails werden in einem Beitrag im Antispam-eV-Forum als Fragmente einer vermutlich fehlerhaften Spamkampagne angesehen. Vielleicht irgendwelche Scriptkiddies, die ihre Kapazitäten testen.

Ich habe nun, nachdem mir endlich eingefallen ist, wie man das machen könnte, eine Regel für (gegen) diese Spammails erstellt:
- Adresse erkennen, Zahl der Zufallsbuchstaben ≤ 7 Buchstaben
- Betreff erkennen dto.
- Mailkörper dto.
- Alle Bedingungen müssen erfüllt sein

Eine vorübergehende Regeldatei erstellt, hat auch bisher noch keine falsch-positive Filterung ausgelöst, aber Vorsicht, ist noch nicht „freigegeben“:
rulefilter-withcare.zip
(4.23 KiB) 97-mal heruntergeladen
(Aktuelle Regeln-Datei hier!)

So, und nun läßt leider die nächste Spamwelle auf sich warten! :(

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: die zweite Welle Spam

Beitragvon larifaribummbumm » 20. Okt 2013, 14:13

Hallo Chactory,

ja, diesen Beitrag hatte ich auch schon gesehen, auch diese Seite habe ich als RSS...

Da sich das alles um Yahoo Absender handelt, sind die eh geblockt bei mir.
Scheinbar haben diese Mails keinerlei funktion, die laden nichts nach, haben keine Schadsoftware drin und auch keine "nachlade Pixel".
Meine Meinung dazu ist, dass einfach ne Datenbank auf Aktualität getestet werden soll.

Vielen Dank für deine Regeldatei ..
Soll ich die Mails zum testen an dich weiterleiten?
*grins*
Nein, sowas mach ich nicht..
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: die zweite Welle Spam

Beitragvon larifaribummbumm » 20. Okt 2013, 14:15

Im Moment werde ich rund 1 Dutzend mal am Tag mit diesen beglückt:

"[GENEHMIGT] 3.500 EUR Auszahlung, ohne Schufa und Rate sparen"

Die gefallen mir weniger, denn ich werde mit richtigen Vor und Zunamen angesprochen...
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: die zweite Welle Spam

Beitragvon Chactory » 20. Okt 2013, 14:55

Hallo larifaribummbumm!

Weiterleiten würde ja auch leider nicht funktionieren, dann könnten die Regeln nicht mehr wirken ...

Hmm, die folgende Regeln-Datei sollte auch Deine neuen Schufa-Spams aufhalten. Spätestens nach ein oder zwei Lernvorgängen dürfte allerdings auch durch den Lernenden Filter für diese Art Spam Schluß sein. :)
rulefilter.zip
(4.29 KiB) 93-mal heruntergeladen
(Aktuelle Regeln-Datei hier!)

(Leider hat Michel die Verbesserung des Spamwortfilters nicht mehr zuendegeführt. Ich hätte mir gewünscht, daß der Spamwortfilter nicht nur Mailkörper, sondern auch Headerdaten durchsucht, was er leider nicht tut. Denn der Spamwortfilter funktioniert mit seinen vordefinierten Strings schon, bevor der Lernende Filter ausreichend Spams zu Lernen hatte. Nun, der Regelfilter durchsucht alle Sektionen einer Mail, und er kann ja auch eine Menge Spamwörter mitaufnehmen und funktioniert dann wie ein Spamwortfilter.)

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: die zweite Welle Spam

Beitragvon Chactory » 20. Okt 2013, 14:57

Könntest Du mir mal den Quelltext einer solche Mail zugänglich machen?
Natürlich nach Ersetzen Deiner persönlichen Daten durch gleichaussehende Pseudodaten!
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: die zweite Welle Spam

Beitragvon larifaribummbumm » 20. Okt 2013, 16:23

ja, kommt gleich
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: die zweite Welle Spam

Beitragvon Chactory » 26. Okt 2013, 21:54

Vielen Dank! Das war ja wirklich gruselig, daß Dein realer Name drinstand.
Vorsicht, Änderung der Regelndatei! Diese miesen Spammails haben sich verändert.
Neue Regelndatei.
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: die zweite Welle Spam

Beitragvon larifaribummbumm » 27. Okt 2013, 06:25

*Gelöscht*
Zuletzt geändert von larifaribummbumm am 27. Okt 2013, 06:34, insgesamt 1-mal geändert.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: die zweite Welle Spam

Beitragvon larifaribummbumm » 27. Okt 2013, 06:33

Hallo,

ja, bei Adressen, welche man zur Kommunikation/ Verträge/ Einkäufe/ benutzt, ist es für mich nachvollziehbar..Klar ist für mich, das es da vor langer Zeit gehackt oder geklaut wurde, nur wo ist mir schleierhaft.
Na ja, egal.

Nun bekomme ich am Tag rund 100 von diesen Dingern. Werden allerdings abgefangen, da sie gut erkannt werden.
Ausserdem fällt der Betreff und der Absender sofort durch die sinnlose Zeichenfolge auf.
Meine Emailadressen, welche diese Mails bekommen, sind im Header nicht zu finden.
Wobei die "To:" Adresse jedesmal eine andere, aber jedesmal eine GMX Adresse ist. Ich vermute mal, dass diese Adressen die Empfänger der Spam Datenbank sind.
Inzwischen sind die Absender nicht mehr ausschließlich von Yahoo.com, sondern weltweit ansässig.

Oct 2013 01:12:08 +0200
Absender: jsg lev
Betreff: xian mcif
From: "dff zqg" <***@*****t-online.de>
Reply-To: "dff zqg" <***@*****t-online.de>
To: #######@gmx.de
Subject: wbt lktl
Content-Transfer-Encoding: 7Bit
Content-Type: text/plain;



Ich habe mal die IP´s auf Anbieter getestet..
Malmoe Sweden
Finland
Nord Quebec
Macedonia
ITALY
San Pedro

Also scheint es sich um ein Botnetz zu handeln.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: die zweite Welle Spam

Beitragvon Chactory » 27. Okt 2013, 16:22

Hallo larifaribummbumm!

Mit meiner erneuerten Regel werden alle ausgefiltert. Bisher ohne falsch-positive.
Ich verstehe nur nicht, was diese Schrottspamwelle dem Urheber bringen soll ...

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: die zweite Welle Spam

Beitragvon larifaribummbumm » 27. Okt 2013, 17:46

Hallo Chactory,

hast du die gleichen Mails zur Zeit?

Ich verstehe den Sinn dahinter auch nicht. Vielleicht läuft beim Spamversender auch mal was falsch und im Hintergrund... Oder Zombirechner, die infiziert sind und die Mails automatisch versenden..!??!
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: die zweite Welle Spam

Beitragvon larifaribummbumm » 27. Okt 2013, 18:39

ok, ich habe deinen Beitrag im anderen Forum gelesen...
Ich kann mir auch vorstellen, dass die damit die Filter wirr machen wollen.
Und das klappt, begrenzt ja auch..

Und auch da lese ich das Wort "gmx" sehr oft. Das erinnert mich an das, was ich dir als PN geschickt habe...
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: die zweite Welle Spam

Beitragvon larifaribummbumm » 1. Nov 2013, 19:02

Also der Empty Mail Filter, der lernende Filter und die blockierten Absender arbeiten bei mir nun zuverlässig und lassen nichts mehr durch!
*Freu*
Bei der jetztigen Spamwelle wäre ich ohne den Empty Mail Filter aufgeschmissen. Den habe ich ja jetzt nochmal nachinstalliert und auf "100 Wörter" gestellt.

Könnte man nicht auch die Absender IP irgendwie blocken? Sowas wie den Blacklist Filter, nur als lokale Datenbank?
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: die zweite Welle Spam

Beitragvon larifaribummbumm » 14. Feb 2014, 08:14

so schaut es aus, wenn Schadsoftware aus einer Datenbank raus verteilt wird....
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Nächste

Zurück zu Spam

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron

 industrious-southeast