Archief
- De topics van lang geleden
Vreemde e-mail. Opgepast!
[color=black]Er is op woensdag 19 juli 2006 een vreemd aandoende e-mail verzonden, die toevallig via mijn eigen PIRT spamtrap binnenkwam. De mail moet daarom als onveilig worden beschouwd. Opvallend was het
ongevraagd meesturen van een bijlage, groot 16 kB en in het formaat van
een GIF-bestand. De virusscanner van mijn provider heeft het doorgelaten,
maar aangezien ook virusscanners niet full-proof zijn, is extra
voorzichtigheid geboden. Het zal niet de eerste keer zijn dat de virusscanner van de provider een viraal bestand doorlaat en probeerde door te sturen naar mijn inbox. Via MailWasher werd de malware toch ontdekt. De tekst van de e-mail leek wel uit een Engelse roman te komen. Opvallend is wel het feit dat tekst en bijlage zo gesteld zijn dat men de neiging krijgt om deze bijlage te openen. Een iets gehaaidere methode van social enginering. Omdat de bijlage niet onderzocht kon worden op malware is het verstandig om de gehele e-mail met bijlage te verwijderen van de mailserver. De mail werd via Secure webmail bekeken. De header en de tekst staan hieronder. Het onderwerp is Fwd: Treft men deze mail aan in de inbox, dan meteen e-mail en bijlage verwijderen en de bijlage zeker NIET openen.
----------------------------
Return-Path: <RobinxfyFrazier@bartleby.com>
Received: from 2687638 (i222-150-50-146.s02.a002.ap.plala.or.jp
[222.150.50.146])
by mxdrop40.xs4all.nl (8.13.6/8.13.6) with SMTP id k6J5hN0i025545;
Wed, 19 Jul 2006 07:43:30 +0200 (CEST)
(envelope-from RobinxfyFrazier(at)bartleby.com)
Message-Id: <200607190543.k6J5hN0i025545@mxdrop40.xs4all.nl>
FCC: mailbox://RobinxfyFrazier@bartleby.com/Sent
X-Identity-Key: Id7
Date: Wed, 19 Jul 2006 04:43:31 -0200
From: Hector Blanchard <RobinxfyFrazier@bartleby.com>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: hidden for privacy reasons.
Subject: Fwd:
Content-Type: multipart/related;
boundary="------------000909040900060108060007"
X-XS4ALL-DNSBL-Checked: mxdrop40.xs4all.nl checked 222.150.50.146
against DNS blacklists
X-Virus-Scanned: by XS4ALL Virus Scanner
X-XS4ALL-Spam-Score: 4.598 (****)
HTML_20_30,HTML_FONTCOLOR_UNSAFE,HTML_FONT_INVISIBLE,HTM
L_IMAGE_ONLY_10,HTML_MESSAGE,MIME_HTML_ONLY,MSGID_FROM_
MTA_SHORT,RCVD_IN_SORBS_DUL
X-XS4ALL-Spam: NO
Envelope-To: hidden for privacy reasons.
Onderwerp: Fwd:
------------------------ hieronder volgt de tekst van de e-mail:
Fwd:
he thought but did not say. He wove the chair between the piles of paper
and the casually stacked pads with the ease of long practice, listened once
more, then reached down and pulled out a nine-inch section of the
baseboard.
Ill leave you alone now. He opened it and saw a set of steep, rickety stairs
pitching and yawing their way into the cellar. When one woke, however, the
tide began to go out and soon the rock was visible again, a barnacle-
encrusted thing of inarguable reality, a thing which would be there forever,
or until God chose to wash it away.
In the evenings he sat quietly, listening to the pig squeal and thinking
about how he would kill the Dragon Lady.
Her right cheek was swelling up, and it looked like she was going to have
a hell of a shiner in the morning. Quarterly payment, he says!
A large hard growth, half callus and half blister, had risen on the inside of
his index finger, where the pencil pressed most firmly. It would be nice to
credit himself with such selfless motives, but it wasnt the truth.
Bijlage: wotan.GIF (16 k)[/color]
ongevraagd meesturen van een bijlage, groot 16 kB en in het formaat van
een GIF-bestand. De virusscanner van mijn provider heeft het doorgelaten,
maar aangezien ook virusscanners niet full-proof zijn, is extra
voorzichtigheid geboden. Het zal niet de eerste keer zijn dat de virusscanner van de provider een viraal bestand doorlaat en probeerde door te sturen naar mijn inbox. Via MailWasher werd de malware toch ontdekt. De tekst van de e-mail leek wel uit een Engelse roman te komen. Opvallend is wel het feit dat tekst en bijlage zo gesteld zijn dat men de neiging krijgt om deze bijlage te openen. Een iets gehaaidere methode van social enginering. Omdat de bijlage niet onderzocht kon worden op malware is het verstandig om de gehele e-mail met bijlage te verwijderen van de mailserver. De mail werd via Secure webmail bekeken. De header en de tekst staan hieronder. Het onderwerp is Fwd: Treft men deze mail aan in de inbox, dan meteen e-mail en bijlage verwijderen en de bijlage zeker NIET openen.
----------------------------
Return-Path: <RobinxfyFrazier@bartleby.com>
Received: from 2687638 (i222-150-50-146.s02.a002.ap.plala.or.jp
[222.150.50.146])
by mxdrop40.xs4all.nl (8.13.6/8.13.6) with SMTP id k6J5hN0i025545;
Wed, 19 Jul 2006 07:43:30 +0200 (CEST)
(envelope-from RobinxfyFrazier(at)bartleby.com)
Message-Id: <200607190543.k6J5hN0i025545@mxdrop40.xs4all.nl>
FCC: mailbox://RobinxfyFrazier@bartleby.com/Sent
X-Identity-Key: Id7
Date: Wed, 19 Jul 2006 04:43:31 -0200
From: Hector Blanchard <RobinxfyFrazier@bartleby.com>
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: hidden for privacy reasons.
Subject: Fwd:
Content-Type: multipart/related;
boundary="------------000909040900060108060007"
X-XS4ALL-DNSBL-Checked: mxdrop40.xs4all.nl checked 222.150.50.146
against DNS blacklists
X-Virus-Scanned: by XS4ALL Virus Scanner
X-XS4ALL-Spam-Score: 4.598 (****)
HTML_20_30,HTML_FONTCOLOR_UNSAFE,HTML_FONT_INVISIBLE,HTM
L_IMAGE_ONLY_10,HTML_MESSAGE,MIME_HTML_ONLY,MSGID_FROM_
MTA_SHORT,RCVD_IN_SORBS_DUL
X-XS4ALL-Spam: NO
Envelope-To: hidden for privacy reasons.
Onderwerp: Fwd:
------------------------ hieronder volgt de tekst van de e-mail:
Fwd:
he thought but did not say. He wove the chair between the piles of paper
and the casually stacked pads with the ease of long practice, listened once
more, then reached down and pulled out a nine-inch section of the
baseboard.
Ill leave you alone now. He opened it and saw a set of steep, rickety stairs
pitching and yawing their way into the cellar. When one woke, however, the
tide began to go out and soon the rock was visible again, a barnacle-
encrusted thing of inarguable reality, a thing which would be there forever,
or until God chose to wash it away.
In the evenings he sat quietly, listening to the pig squeal and thinking
about how he would kill the Dragon Lady.
Her right cheek was swelling up, and it looked like she was going to have
a hell of a shiner in the morning. Quarterly payment, he says!
A large hard growth, half callus and half blister, had risen on the inside of
his index finger, where the pencil pressed most firmly. It would be nice to
credit himself with such selfless motives, but it wasnt the truth.
Bijlage: wotan.GIF (16 k)[/color]
Reacties (2)
19-07-2006, 21:17 door
SirDice
De tekst slaat nergens op en is gewoon gegenereerd. Wordt meestal gedaan om ([url=http://en.wikipedia.org/wiki/Bayesian_filtering]bayesian[/url]) spamfilters om de tuin te leiden.
1000 tegen 1 dat de gif een plaatje is van een nep rolex ;) ergo dit is de inmiddels bekende en beruchte plaatjesspam.
Vandaar ook dat de virusscanner 'm niet oppikte. Voor zover mij bekend kunnen gifs geen virussen bevatten en er zijn momenteel geen bugs/exploits bekend in het gif bestandsformaat.
Ik zie dat je xs4all gebruikt :) Ga naar de service pagina en stel je spamfilter handmatig in. Bij elke RBL kies je voor "markeren als spam". Bij de volgende spam e-mail zul je de RBL zien in de headers die 'm als spam herkent. Is het regelmatig dezelfde RBL die de juiste spam herkent dan kies je voor 'spam blokkeren' of 'doorsturen naar spambox'. Zo kun je je spamfilter 'tweaken' op de door jou ontvangen spam.
1000 tegen 1 dat de gif een plaatje is van een nep rolex ;) ergo dit is de inmiddels bekende en beruchte plaatjesspam.
Vandaar ook dat de virusscanner 'm niet oppikte. Voor zover mij bekend kunnen gifs geen virussen bevatten en er zijn momenteel geen bugs/exploits bekend in het gif bestandsformaat.
Ik zie dat je xs4all gebruikt :) Ga naar de service pagina en stel je spamfilter handmatig in. Bij elke RBL kies je voor "markeren als spam". Bij de volgende spam e-mail zul je de RBL zien in de headers die 'm als spam herkent. Is het regelmatig dezelfde RBL die de juiste spam herkent dan kies je voor 'spam blokkeren' of 'doorsturen naar spambox'. Zo kun je je spamfilter 'tweaken' op de door jou ontvangen spam.
19-07-2006, 21:45 door
G-Force
Misschien suggereerde ik ten onrechte dat een GIF-bestand iets met een
virus te maken had (excuses). Dat klopt. De regel is echter om geen
ongevraagde toegestuurde bijlages te openen. Dat is gewoon veiliger.
Exploits over GIF's zijn niet bekend, de vraag is echter of er geen nieuwe
exploit is opgedoken (kan ik van hieruit niet controleren).
Rolexen worden inderdaad vaak in de spam rommel teruggevonden die
dan tegen belachelijk lage prijzen worden aangeboden. De naam wotan is
mij onbekend en ook de Google geeft op dit moment geen uitsluitsel.
In iedergeval bedankt voor je opmerkingen SirDice.
virus te maken had (excuses). Dat klopt. De regel is echter om geen
ongevraagde toegestuurde bijlages te openen. Dat is gewoon veiliger.
Exploits over GIF's zijn niet bekend, de vraag is echter of er geen nieuwe
exploit is opgedoken (kan ik van hieruit niet controleren).
Rolexen worden inderdaad vaak in de spam rommel teruggevonden die
dan tegen belachelijk lage prijzen worden aangeboden. De naam wotan is
mij onbekend en ook de Google geeft op dit moment geen uitsluitsel.
In iedergeval bedankt voor je opmerkingen SirDice.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
