Echt klingender virenverseuchter Spam

Hier kann über alles diskutiert werden, was mit Spam zu tun hat.

Moderator: Forum-Team

Echt klingender virenverseuchter Spam

Beitragvon Chactory » 16. Dez 2013, 22:59

Diese Mail kommt so seriös und freundlich daher: "um Ihr Anliegen haben wir uns gekümmert". Bloß die G-Data-Virenwarnung stimmt ein wenig mißtrauisch. :P
Zwischenablage03Z.png
Zwischenablage03Z.png (129.25 KiB) 3909-mal betrachtet
Zwischenablage03Z-.png
Zwischenablage03Z-.png (52.21 KiB) 3909-mal betrachtet

Der Header zeigt als Absender "roofs8936@vodafone.com", das finde ich zumindest etwas ungewöhnlich für eine Supportmail.
Code: Alles auswählen
Return-path: <roofs8936@vodafone.com>
Delivery-date: Mon, 16 Dec 2013 17:11:30 +0100
Received: from [195.4.92.23] (helo=mx13.freenet.de)
   by mbox64.freenet.de with esmtpa (ID exim) (Exim 4.80.1 #3)
   id 1VsafE-0000nk-QI
   for ******@01019freenet.de; Mon, 16 Dec 2013 17:05:04 +0100
Received: from host200-155-static.253-95-b.business.telecomitalia.it ([95.253.155.200]:5451 helo=alicegate)
   by mx13.freenet.de with esmtp (port 25) (Exim 4.80.1 #4)
   id 1Vsaf7-0004E1-SG
   for ******@freenet.de; Mon, 16 Dec 2013 17:05:00 +0100
Received: from mailout08.vodafone.com ([195.232.224.77]) by mx-ha.gmx.net (mxgmx012) with ESMTPS (Nemesis) id 0P7650-BM07LN63C4-FET7E0 for <******@freenet.de>; Mon, 16 Dec 2013 17:04:53 +0100
Received: from mailint08.vodafone.com (localhost [127.0.0.1]) by mailout08.vodafone.com (Postfix) with ESMTP id 2CAID89P43G for <******@freenet.de>; Mon, 16 Dec 2013 17:04:53 +0100
Received: from agvvodmail02.arcor.net (unknown [88.79.232.73]) by mailint08.vodafone.com (Postfix) with ESMTP id JL6IS0U33D5 for <******@freenet.de>; Mon, 16 Dec 2013 17:04:53 +0100
Received: from msrtgbatch01 (esbanl-1ug-1-p2.arcor.net [62.213.137.69]) by agvvodmail02.arcor.net (Postfix) with ESMTP id QXY7FEUW for <******@freenet.de>; Mon, 16 Dec 2013 17:04:53 +0100
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by
   VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 16 Dec 2013 17:04:53 +0100
From: roofs8936@vodafone.com
To: <******@freenet.de>
Date: Mon, 16 Dec 2013 17:04:53 +0100
Subject: Vodafone Antwort auf Ihre Anfrage
Message-ID: <03036627.1224.9618422019372.JavaMail.domaccount@msrtgbatch01>
MIME-Version: 1.0
Content-Type: multipart/mixed;
  boundary="----=a__jflhufjsnt_60_67_36"
X-Warning: Message contains dangerous.attachment signature (149285::1387209900-0000093A-D0F5D11E/0-0/0-7)
X-purgate-ID: 149285::1387209900-0000093A-D0F5D11E/0-0/0-7
Delivered-To: ******@freenet.de
Envelope-to: ******@freenet.de
X-Originated-At: 95.253.155.200!5451
X-Warning: Malware found (Suspect.DoubleExtension-zippwd-15).
Delivered-To: ******@01019freenet.de
Spamihilator hat diese Mail als Non-Spam bewertet. :shock: Also, trotz der sehr guten Spam-Erkennung und der minimalen Falsch-Positiven-Rate den eigenen Common Sense nicht auf Standby schalten ...
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Echt klingender virenverseuchter Spam

Beitragvon renato » 16. Dez 2013, 23:18

Hallo Chactory

Ich habe halt alle Extension gesperrt, also auch .zip
Ich vermeide dadurch, dass Mail mit .zip u.s.w. von Nichtfreunden durchgehen.
Das gibt etwas Tipparbeit, aber wirkt.
Vielleicht könnte man da auch eine Regel (analog Regex erlaubte Länder) erfinden.

Siehe auch: viewtopic.php?f=9&t=8319&p=56758&hilit=extension#p56758
Viele Grüsse Renato
------------------------------------------------------------------------
AMD Ryzen 1700, Samsung 960, Seagate 2TB, Windows 10 Pro (Insider)
Benutzeravatar
renato
Fast schon ein Mitarbeiter
Fast schon ein Mitarbeiter
 
Beta-Tester
 
Beiträge: 320
Registriert: 21. Sep 2007, 08:54
Wohnort: Schweiz

Re: Echt klingender virenverseuchter Spam

Beitragvon larifaribummbumm » 16. Dez 2013, 23:54

Hallo,

@ Chactory - deine Mailadresse ist wieder zu sehen..

@ Renato - Die Idee gefällt mir.

Wenn Mails reinkommen, als Spam erkannt werden, werden diese ja als "0000000173.msg" unter \Anwendungsdaten\Spamihilator\messages abgelegt.

Rein von der Sache her, können diese Dateien ja nichts anstellen, oder?
Da in diesem "Dateicontainer" ja die Mail und Anlagen gespeichert sind, oder irre ich mich da?

Gefährlich wird es erst, wenn diese an das Email Programm gehen...!?!??!
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Echt klingender virenverseuchter Spam

Beitragvon larifaribummbumm » 16. Dez 2013, 23:58

Hallo Chactory ,
ich hatte diese Woche ein paar Mails, die angeblich von PayPal und Amazon stammen.
Es wird immer schwerer diese auch als fälschlich zu erkennen....
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Echt klingender virenverseuchter Spam

Beitragvon Chactory » 21. Dez 2013, 22:41

Hallo renato!

So müßte es auch gehen: mit dem Attachment-Plugin, in den Spamihilator-Eigenschaften unter "Anhänge".
Zwischenablage02zz.png
Zwischenablage02zz.png (90.98 KiB) 3910-mal betrachtet
Zwischenablage02zz-.png
Zwischenablage02zz-.png (82.02 KiB) 3910-mal betrachtet

Ich würde mir allerdings hierfür keine Spamihilator-Regel oder Anhangs-Sperrung einrichten, denn es handelt sich ja in diesem Falle nicht immer um wirklichen Spam. Und dann lernt Spamihilator ja gelegentlich richtige Mails als Spam. Ich würde lieber eine Outlook-Regel einrichten, wonach alle Mails mit Anhängen ersteinmal in eine Quarantäne verschoben werden. (Nur meine Meinung.)

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Echt klingender virenverseuchter Spam

Beitragvon Chactory » 21. Dez 2013, 23:00

Hallo larifaribummbumm!

larifaribummbumm hat geschrieben:@ Chactory - deine Mailadresse ist wieder zu sehen.
Danke für Deinen Hinweis! Habe die Stellen übermalt.

larifaribummbumm hat geschrieben:werden diese ja als "0000000173.msg" […] abgelegt. Rein von der Sache her, können diese Dateien ja nichts anstellen, oder?
Ja, meine ich auch. Aber sobald man sie öffnet, können verseuchte html-Mails möglicherweise bösartige Funktionen ausführen. Virenverseuchte gespeicherte Mails können Virenalarme auslösen.

larifaribummbumm hat geschrieben:ich hatte diese Woche ein paar Mails, die angeblich von PayPal und Amazon stammen.
Es wird immer schwerer diese auch als fälschlich zu erkennen....
Ja, einige Spam-/Viren-Mails sind wirklich so gut gemacht, daß man auf den ersten Blick wirklich unsicher ist, ob man sie nicht als an sich gerichtet ernst nehmen muß … Umso froher bin ich über Michels sicheren Mailreader, mit dem ich die Mails auch mit ihrem Quellcode darstellen lassen kann. So kann ich sie in Ruhe prüfen.

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Echt klingender virenverseuchter Spam

Beitragvon larifaribummbumm » 21. Dez 2013, 23:11

Hallo Chactory,
fein fein!

Werden dann die Mails der "Freunde" mit Anhang auch über den Attachment-Plugin gefiltert?
Ich glaube nicht, oder? Feundesmails werden nie gefiltert, oder?

Schönes Wochenende!
Zuletzt geändert von larifaribummbumm am 21. Dez 2013, 23:24, insgesamt 1-mal geändert.
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40

Re: Echt klingender virenverseuchter Spam

Beitragvon Chactory » 21. Dez 2013, 23:23

Hallo larifaribummbumm!

Vielen Dank! Wünsche ich Dir auch ... bei mir heißt es leider jetzt schon so langsam schlafengehen, bin von der Woche echt geschafft ... :oops:

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Echt klingender virenverseuchter Spam

Beitragvon renato » 21. Dez 2013, 23:31

Hallo Chactory

So müßte es auch gehen: mit dem Attachment-Plugin, in den Spamihilator-Eigenschaften unter "Anhänge".

Ja, genau so ich ich das in meinem Beitrag geschrieben.

Umso froher bin ich über Michels sicheren Mailreader, mit dem ich die Mails auch mit ihrem Quellcode darstellen lassen kann. So kann ich sie in Ruhe prüfen.

Wenn nur die Fenster etwas grösser wären, das gilt auch bei den Einstellungen.
Viele Grüsse Renato
------------------------------------------------------------------------
AMD Ryzen 1700, Samsung 960, Seagate 2TB, Windows 10 Pro (Insider)
Benutzeravatar
renato
Fast schon ein Mitarbeiter
Fast schon ein Mitarbeiter
 
Beta-Tester
 
Beiträge: 320
Registriert: 21. Sep 2007, 08:54
Wohnort: Schweiz

Re: Echt klingender virenverseuchter Spam

Beitragvon Chactory » 22. Dez 2013, 11:57

Hi renato und larifaribummbumm!

renato hat geschrieben:Ja, genau so ich ich das in meinem Beitrag geschrieben.
renato hat geschrieben:Vielleicht könnte man da auch eine Regel (analog Regex erlaubte Länder) erfinden.
Entschuldige, habe Deinen Beitrag nicht richtig verstanden. Was hast Du denn hiermit gemeint?

renato hat geschrieben:Wenn nur die Fenster [von Michels sicherem Mailreader] etwas grösser wären, das gilt auch bei den Einstellungen.
Hier kann ich Dir nur beipflichten, der Reader könnte ein klein wenig komfortabler sein.

larifaribummbumm hat geschrieben:Werden dann die Mails der "Freunde" mit Anhang auch über den Attachment-Plugin gefiltert? Ich glaube nicht, oder? Feundesmails werden nie gefiltert, oder?
Genau so ist es. Mails von Absendern, die in der Freunde-Liste stehen, werden ohne Filterung immer dem Mail-Client übergeben.

Herzliche Grüße,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Echt klingender virenverseuchter Spam

Beitragvon renato » 23. Dez 2013, 17:16

Hallo Chactory

renato hat geschrieben:
Vielleicht könnte man da auch eine Regel (analog Regex erlaubte Länder) erfinden.

Chactory hat geschrieben:
Entschuldige, habe Deinen Beitrag nicht richtig verstanden. Was hast Du denn hiermit gemeint?


Im Beitrag: http://www-old.spamihilator.com/forum/viewtopic.php?f=1&t=8814&p=64959&hilit=regex#p62835 gibt es eine Regex Lösung um Mails mit bestimmten Landesendungen durchzulassen.

Und vielleicht könnte man eine Regex bauen, die nur bestimmte Dateiendungen z.B. .doc .xls durchlässt, dann braucht man nicht alle Dateiendungen einzutippen um sie zu sperren.
Viele Grüsse Renato
------------------------------------------------------------------------
AMD Ryzen 1700, Samsung 960, Seagate 2TB, Windows 10 Pro (Insider)
Benutzeravatar
renato
Fast schon ein Mitarbeiter
Fast schon ein Mitarbeiter
 
Beta-Tester
 
Beiträge: 320
Registriert: 21. Sep 2007, 08:54
Wohnort: Schweiz

Re: Echt klingender virenverseuchter Spam

Beitragvon Chactory » 25. Dez 2013, 00:47

Hallo renato!

Vielen Dank für Deine Antwort!

Achso! Jetzt verstehe ich auch, warum ich Deine Idee zuerst nicht verstanden hatte. Es kam mir weniger aufwendig vor, die fehlenden Dateiendungen in den Attachmentfilter einzugeben, als eine ganz neue Attachmentregel zu schreiben.

Hmm ... ich glaube, daß der Regelfilter auch gar keine Möglichkeit enthält, Anhänge zu erkennen.

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Echt klingender virenverseuchter Spam

Beitragvon Thoted » 7. Jan 2014, 18:26

Solche mails hatte ich in letzter zeit auch schon öfter. Aber was ich nicht kenne, mache ich nicht auf. Da wurde mir ein Kredit bewilligt (ich hatte keinen beantragt) und dann kam was von der Sparkasse. Aber die warnen selbst schon vor schadhaften mails. Sagt mal den Spam filter- brauch ich den wenn ich kaspersky verwende? Ich dachte, der filtert alles raus und erkennt Vieren.
Benutzeravatar
Thoted
Power-User
Power-User
 
Beiträge: 13
Registriert: 6. Jan 2014, 12:50

Re: Echt klingender virenverseuchter Spam

Beitragvon Chactory » 8. Jan 2014, 20:27

Hallo Thomas!

Thoted hat geschrieben:Aber was ich nicht kenne, mache ich nicht auf.
Das ist sehr vernünftig! :) Allerdings kannst Du im Trainingsbereich Mails, bei denen Du nocht sicher bist, mit Spamihilators sicherem Mailreader untersuchen.

Die „großen“ Security Suiten haben eigentlich alle einen Spamfilter im Gepäck. Sogar die meisten Mail-Clients (Mailprogramme) bringen Junkfilter mit. Aber einen so praktischen Spamfilter mit einem Trainingsbereich, mit der Fähigkeit zu lernen, mit speziellen Filtern und mit dem „mächtigen“ Regelfilter – das ist schon eine besondere Sache! :)

Tatsächlich verwende ich außerdem auch eine Security Suite. Weil die Kaspersky Suite meine User Account Control (UAC, Benutzerkontensteuerung) beschädigt hatte und ich deshalb mein Windows 7 neu aufbauen mußte, bleibe ich persönlich beim ebenfalls sehr guten G-Data. Deren Virenerkennung filtert virenverseuchte Mails raus. Da das Antivirenprogramm tiefer in den Computer eingreift, weiß ich nicht, ob Spamihilator eine solche Mail dann auch schon als Spammail erkannt hätte, zum größten Teil wahrscheinlich auch. Allerdings schalte ich das Spammodul meiner Security Suite lieber ab, denn zwei gleiche Funktionen stören sich am Ende noch.

Gruß,
Chactory
HilfeHelp «en»TippsAnbuva's FAQBob's FAQ «en»SpamwortlisteRegelfilterScreenshotsSSL/TLSSpami 1.6.0
Vostro 3450, Intel Core i5 2410M 2,3 GHz, 4 GB DDR3 SDRAM 1333 MHz, Windows 7 Pro 64 Bit SP1

Bild
Benutzeravatar
Chactory
Administrator
Administrator
 
Administration
Beta-Tester
Forum-Team
 
Beiträge: 9593
Registriert: 9. Jan 2004, 23:19
Wohnort: Kiel (D)

Re: Echt klingender virenverseuchter Spam

Beitragvon larifaribummbumm » 9. Jan 2014, 08:07

Hallo Chactory,
Hallo Thoted,

ich finde, der den normalen Nutzer ist so eine Security Suite eine echte Erleichterung, auch wenn ich sowas komplett verweigere.

Am Ende ist es immer so, dass der Nutzer mit seinem Verhalten und seiner Einschätzung die Sicherheit bestimmt.
Auch auf das besten Programm darf man sich nicht blind verlassen, da ALLE AntivirenProgramme hinter den Erfindern der Viren hinterherhinken.
Ich habe es oft, dass ich Mails mit Viren als Anhang bekomme, die von meinem Scanner, als auch von Virustotal noch nicht erkannt werden. Diese sende ich dann an die Labore und wenige Std später, in der neuen Signatur werden die erfasst.

Kurz: Der Nutzer trägt entscheidend zu seiner und der Sicherheit anderer bei, in dem er sein Verhalten anpasst und sich mit der Thematik befasst.
Ich bin für sowas, wie einen "Pflicht-Internetführerschein"...
Ein Künstler ist jemand, der aus der Lösung ein Rätsel machen kann.
larifaribummbumm
Assistent
Assistent
 
Beiträge: 696
Registriert: 3. Okt 2012, 14:40


Zurück zu Spam

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron

 industrious-southeast