symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Der Wurm in der Polizei?
Veröffentlicht durch Raffzahn am Montag 22. Dezember, 16:22
Aus der boeser-Bube Abteilung
Security File-Shareing lohnt nicht ... hab ich schon immer gewusst, und nun hat mich auch noch die Kripo auf dem Kieker - zumindest liest sich die Mail so, die ich heute früh bekommen habe: "Ihre IP wurde geloggt"...

Das liest sich dann so:

From:		<andy.dorton@aol.com>
To:		"Franke Hans" <hans.franke@....de>
Subject:	Ihre IP wurde geloggt
Date sent:	Mon, 22 Dec 2003 11:39:00 +0100

Sehr geehrte Damen und Herren, 
das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar. 
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter 
der IP 193.186.189.165 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel 
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. 
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten 
Tagen schriftlich zugestellt. 
Die von uns gesammelten Daten unter dem Aktenzeichen #48114 
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar. 
Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit 
gemacht haben, wurde die Herkunft dieser Mail verschleiert. 

Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf, 
Europa Sonderkommission "Internet Downloads" 
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868 
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868 
Hochachtungsvoll 
i.A. PK Mollbach

Hübsch, was?

Da geht man im Geiste doch gleich mal die MP3-Downloads der letzten Tage durch, aber spaetestens bei der IP (193.186.189.165), die nie und nimmer zu einem der eigenen Rechner oder Firewalls gehört (DNSStuff behauptet sie liegt in Östereich), wird man dann doch stutzig.

Im Anhang findet sich dann ein aktenz48114.scr - klar, Akten werden heutzutage als Windows-Screensaver verschickt... damit man so richtig davor meditieren kann .... leider meckert aber dann der Virenscanner: Sober.c!

Also wenn's einen Preis für den am schönsten aufbereiteten Virus gibt, der hier hat Ihn gewonnen.

Nachtrag: Der Virus ist doch nicht ganz so neu: Heise dazu (*1) - Ausserdem hat colli (siehe Unten) was bei PCtipp.ch gefunden, mit dem Hinweis, daß es auch andere Betreffs gibt ... und richtig, ich hab das Teil schon zu Dutzenden bekommen, da aber dank des doch zu Spammässigen Betreffs "Du wirst ausspioniert" gleich gelöscht (isses nicht schön wenn man dicke Platten für völlig nutzlose Logs hat :).

Beim Nachstöbern hab ich entdeckt, daß die Meisten der Texte wirklich nett formuliert sind. Beispiel:

From:		<mssupport@reitforum.de>
To:		"Franke Hans" <hans.franke@....de>
Subject:	Sie Drohen mir!!

Wenn Sie meinen mir DROHEN zu können, haben sie sich in den Finger geschnitten!!! 
Erstens mal, weiß ich gar nicht wer Sie sind. 
Zweitens, kenne ich Ihre Frau oder Freundin nicht. 
Und Drittens, Ich habe kein Tächtel-Mächtel mit Ihrem Partner!!! 
Ihre Drohgebärden können sie woanders loswerden, 
aber nicht bei mir! 
Ihre Droh Mails habe ich gerade an die Behörden weitergeleitet. 
Sie hören noch von mir!

In dem Fall war der Anhang dann ein DrohMails.cmd. Oder besser noch:

From:		<Superstar@rtl.de>
To:		"Franke Hans" <hans.franke@....com>
Subject:	Deutschland Sucht Den  ...
Date sent:	Sun, 21 Dec 2003 20:24:28 +0100

Deutschland Sucht Den Superstar (DSDS) auf RTL. 
Hallo, Du wurdest zufällig von ca. 85.000 E-Mail Adressen 
ausgewählt, um bei RTL DSDS in der Zuschauer Jury mit zu Voten. 
Das ganze hat auch noch ein SUPER Vorteil, Du bekommst zusätzlich noch 
einen V.I.P Ausweis, mit dem du hinter den Kulissen bei den 
Stars mit dabei sein darfst. 
Es werden insgesamt 100 Personen für die Zuschauer Jury gesucht 
und 200 Personen haben wir per Mail angeschrieben. 
Also, Deine Chancen stehen ziemlich gut mit dabei zu sein. 
Du musst mindestens 12 Jahre alt sein, um mitmachen zu dürfen. 
Einfach das Anmeldformular ausfüllen und auf Antwort warten. 
Viel Glück! 

++ RTL Geschäftsführung: Dr. Constantin Lange 
++ Director Content / Chefredakteur Neue Medien: Patrick Zeilhofer 
++ Am Coloneum 1, 50829 Köln 
++ Fon: +49 (0) 180 5 44 66 99, Fax: +49 (0) 180 5 44 77 77 (0,12 EURO / Minute)

Hier hiess der Anhang dann: RTL-DSDS-anmelde.pif.

Wie gesagt, sehr schön gemacht. Der Leser wird wirklich so einbezogen, als daß ein unbedachter Klick gut möglich ist. Schade das so jemand seinen subversiven Witz an's Virenbasteln verschwendet, anstelle Symlinkeinsendungen zu machen.

P.S.: Auch wenn die Idee schon aufkam, die enthaltenen Rechtschreibfühler sind kein Zeichen dafür, daß ich der Autor bin - ich verschlumpf Buchstaben, drehe die in wüster Reihenfolge und shifte Groß/Kleinbuchstaben, von den Gefahren der amerikaniaschen Rechtschreibung bin ich aber bis dato noch unbeeinflußt :)

*1 - Wobei Heise Security unrecht hat, der Virus entscheidet nicht anhand von .at/.ch/.de was für eine Sprache er verwendet, da ich auch schon an meine .com und sogar .uk Adressen deutsche Varianten bekommen habe.

Microsoft-Umfrage zu Linux? | Druckausgabe | Virtuelles Grafitti mit dem Händi  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Heise
  • Slashdot
  • MP3-Download
  • DNSStuff behauptet
  • Virus
  • Heise dazu
  • PCtipp.ch
  • Betreff
  • Heise Security
  • Mehr zu Security
  • Auch von Raffzahn
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    siehe auch... (Score:1)
    Von colli am Monday 22. December, 16:44 MET (#1)
    (User #718 Info)
    http://www.pctipp.ch/webnews/wn/26124.asp
    sieht aus wie... (Score:0)
    Von Anonymer Feigling am Monday 22. December, 17:08 MET (#2)
    ein neuer streich aus der ecke der Musikproduzenten *paranoia* was denkt ihr? stecken die dahinter, oder einfach nur ein gelangweilter script-kiddie?
    Re: sieht aus wie... (Score:0)
    Von Anonymer Feigling am Monday 22. December, 17:36 MET (#3)
    jo dann ists ja gut ich habe diese mail nämlich auch bekommen allerdings hatte ich beim lesen vergessen das ich nen virus isoliert habe gg und habe mir schon sorgen gemacht
    sorry (Score:0)
    Von Anonymer Feigling am Monday 22. December, 17:46 MET (#4)
    da es vorhin etwas falsch war wie ich gesehen habe noch mal hier hatte das heute auch und habe vergessen das ich nen virus isoliert habe und mir schon sorgen gemacht beim lesen der mail bis ein freund von mir mir diesen link gegeben hat gg
    Re: sorry (Score:1)
    Von stamp am Monday 22. December, 17:59 MET (#5)
    (User #501 Info)
    ach ja das ist ja schön und alles gut und wir alle wissen was du meinst und so und sind voll mit dir einverstanden und auch manchmal nicht oder anders aber könntest du nicht so posten dass verstehe ich auch
    ihr seid alles kranke kinder --- www.zooomclan.org
    Re: sorry (Score:1)
    Von Raffzahn am Monday 22. December, 18:09 MET (#6)
    (User #345 Info) http://www.vcfe.org/
    Jup, Papi ...

    ach nee, wart 'mal, der Name ist ja (c)(r)(tm)Papa Hacker von der BHP :)

    Gruss
    H.
    Diesesmal nicht (noch nicht) (Score:2)
    Von brummfondel am Monday 22. December, 20:35 MET (#7)
    (User #784 Info)
    Es scheint wohl so, daß die Schlümpfe, die mich sonst immer mit diesen Viren dank ihrer Adressbücher versorgen, dazu gelernt haben bzw. einen aktuellen Virenscanner haben - oder schon im Weihnachts-Glühwein-Weihnachtsmarkt-Urlaub sind.

    --
    ok> boot net - install
    Gerade wieder einen wunderschoenen bekommen (Score:1)
    Von Raffzahn am Monday 29. December, 11:57 MET (#8)
    (User #345 Info) http://www.vcfe.org/
    >>>

    Sehr geehrter Herr Westpfahl,
    Wir möchten uns noch einmal für unsere falsche
    E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies
    einige Fehler beim versenden auf.
    Ihre Pass- und Geheimwörter wurden selbstverständlich kostenlos geändert.
    Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.
    In falschen Händen , hätte jede andere Person freie Einsicht
    bzw. Verfügung über Ihr Konto!
    Mit freundlichen Grüssen:
    i.a: Regina Rüthers
    +++ Bamberger Bank eG Raiffeisen-Volksbank
    +++ Luitpoldstr. 19, 96052 Bamberg
    +++ Telefon: 0951/8620 Kunden- Fax: 0951/862120

    <<<

    Niedlich was ... also da wird es nicht viele geben die Ihre Neugier bezaehmen koennen und das angehaengte Kundendat3591BaB.exe nicht anklicken :)

    Gruss
    H.

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen