Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
%LINKRNDCHR,5,10%%
21-03-2013, 17:33 door turniphead, 14 reacties
Dag security.nl,
Ik krijg vandaag een e-mailtje van een contactpersoon met de tekst:
%LINKRNDCHR,5,10%%
Het onderwerp is: "hello"
Ik herken het niet, en de contactpersoon heb ik al meerdere jaren niet gesproken, ik verwacht dan ook geen mail van die persoon.
Ik vond het erg verdacht dus heb gelijk gezocht op google, heb alleen niets gevonden. Iemand ervaring met dit?
Hier een pastbin van de bron van de mail: http://pastebin.com/PVMJhK70
dank voor de reacties alvast:)
Groet Turniphead
Ik krijg vandaag een e-mailtje van een contactpersoon met de tekst:
%LINKRNDCHR,5,10%%
Het onderwerp is: "hello"
Ik herken het niet, en de contactpersoon heb ik al meerdere jaren niet gesproken, ik verwacht dan ook geen mail van die persoon.
Ik vond het erg verdacht dus heb gelijk gezocht op google, heb alleen niets gevonden. Iemand ervaring met dit?
Hier een pastbin van de bron van de mail: http://pastebin.com/PVMJhK70
dank voor de reacties alvast:)
Groet Turniphead
Reacties (14)
21-03-2013, 17:36 door
SirDice
Lijkt me een variabele voor windows, zie bijv. de output van set. %WINDIR% is misschien de bekendste.
Dus ik vermoed dat het een placeholder is voor een automatisch script wat die variabele aanpast voor elke spammail die ze versturen.
Dus ik vermoed dat het een placeholder is voor een automatisch script wat die variabele aanpast voor elke spammail die ze versturen.
21-03-2013, 17:44 door
turniphead
Klinkt inderdaad aannemelijk, afzender whois report is trouwens: http://whois.domaintools.com/65.54.190.187.
Microsoft server dus.
Ik vind het vreemd, het mailtje is ook maar naar vijf van zijn contact personen verstuurd, in geval van spam zou je zeggen dat dat er wel meer zouden zijn.
Microsoft server dus.
Ik vind het vreemd, het mailtje is ook maar naar vijf van zijn contact personen verstuurd, in geval van spam zou je zeggen dat dat er wel meer zouden zijn.
21-03-2013, 17:55 door
SirDice
Het lijkt me sowieso een stuk gare malware. Behalve deze bug verwacht ik dat er wel meer in zullen zitten.
21-03-2013, 17:56 door
hx0r3z
http://lmgtfy.com/?q=spam+%3Cbody+class%3D3D%27hmmessage%27%3E
Ik kan verder zoeken maar ben lazy
Ik kan verder zoeken maar ben lazy
Dit soort teksten kom je tegen in templates die gebruikt worden in spamsoftware.
De bedoeling is dat tijdens het verzenden dit vervangen wordt door een variabel gegeven, in dit geval
wellicht een link met gedeeltelijk random tekens erin. De bedoeling is dan dat het mailtje bij iedere
ontvanger anders is zodat het minder makkelijk gedetecteerd wordt door spamfilters.
De spammer heeft iets fout gedaan waardoor dit niet gewerkt heeft. Dat kom je wel vaker tegen.
De "afzender" zal waarschijnlijk ook op die manier ingevuld zijn, iets van From: %RANDOMSENDER%
ofzo waarbij hij dan een willekeurig adres uit zijn adreslijst ingevuld heeft.
Je kennis van jaren terug is waarschijnlijk niet de echte afzender. Het zou wel kunnen dat zijn mail
account gehacked is en gebruikt wordt om deze spam te verzenden, maar dat hoeft niet perse.
De bedoeling is dat tijdens het verzenden dit vervangen wordt door een variabel gegeven, in dit geval
wellicht een link met gedeeltelijk random tekens erin. De bedoeling is dan dat het mailtje bij iedere
ontvanger anders is zodat het minder makkelijk gedetecteerd wordt door spamfilters.
De spammer heeft iets fout gedaan waardoor dit niet gewerkt heeft. Dat kom je wel vaker tegen.
De "afzender" zal waarschijnlijk ook op die manier ingevuld zijn, iets van From: %RANDOMSENDER%
ofzo waarbij hij dan een willekeurig adres uit zijn adreslijst ingevuld heeft.
Je kennis van jaren terug is waarschijnlijk niet de echte afzender. Het zou wel kunnen dat zijn mail
account gehacked is en gebruikt wordt om deze spam te verzenden, maar dat hoeft niet perse.
21-03-2013, 18:39 door
turniphead
LINK (met) RANDOM CHARS misschien. Inderdaad een stuk gare malware waarschijnlijk.
Dank voor het meedenken! Ik zal de gehackte persoon maar waarschuwen.
Dank voor het meedenken! Ik zal de gehackte persoon maar waarschuwen.
21-03-2013, 18:45 door
SirDice
Door turniphead: LINK (met) RANDOM CHARS misschien.
Ja, zoiets inderdaad. Het zou alleen %LINKRNDCHR:~5,10% moeten zijn, vermoed ik. Dat print 5 karakters vanaf het 11e karakter van de inhoud van %LINKRNDCHR%. Je ziet vaak dat ze een random string toevoegen, dat wordt gebruikt als 'identificatie'. Je kan dan aan de hand van het HTTP request zien naar welk email adres die link is gestuurd.ik ben blijkbaar ook n slachtoffer
m'n hele hotmail adresboek heeft rond iets na 15u allemaal +- dezelfde mail gehad...
was het bij jou ook via hotmail?
hb je gisterne iets speciaals gedaan op je pc? verdachte mail geopend of zo?
m'n hele hotmail adresboek heeft rond iets na 15u allemaal +- dezelfde mail gehad...
was het bij jou ook via hotmail?
hb je gisterne iets speciaals gedaan op je pc? verdachte mail geopend of zo?
Ja ik had hier zelf ook al last van, en ik was bang dat ik misschien een virus had. Schijnbaar hebben meer mensen dit.
21-03-2013, 23:16 door
turniphead
@anon 17:59 && SirDice: Interessant, ik ga dit onderwerp eens verder bekijken. Dank voor jullie info!
@anon 19:17: Ik kreeg zelf de mail, ik verstuur hem niet;) Maar nee, mijn pc is safe.
@anon 19:17: Ik kreeg zelf de mail, ik verstuur hem niet;) Maar nee, mijn pc is safe.
22-03-2013, 10:00 door
SirDice
Door turniphead: @anon 17:59 && SirDice: Interessant, ik ga dit onderwerp eens verder bekijken. Dank voor jullie info!
Het is eigenlijk heel simpel, als je 't weet. Stel je hebt een spam site: spammert.example.org en je hebt een lijst van 4 e-mail adressen. Elk van die adressen geef je een unieke code:AA - email1
AB - email2
BA - email3
BB - email4
Naar email1 stuur je de link: spammert.example.org/#AA, naar 2: spammert.example.org/#AB etc.
Door middel van een server-side script (of simpelweg in de logging te kijken) kun je nu bekijken welk email adres actief is en welke niet. Als je bijv. alleen AA en BB tegenkomt kun je met een redelijke zekerheid zeggen dat email1 en 4 actief zijn. Ze worden gelezen, elke spam mail heeft namelijk z'n unieke code die gekoppeld is aan het email adres.
Je kunt dat natuurlijk op duizend en een manieren doen maar 't basis principe blijft 't zelfde.
hello,
Ik kwam hetzelfde probleem gisteren. Ik veranderde mijn wachtwoord en alle veiligheid. Maar weet je als er iets te vrezen? Een malware bijvoorbeeld?
Dank je wel!
Ik kwam hetzelfde probleem gisteren. Ik veranderde mijn wachtwoord en alle veiligheid. Maar weet je als er iets te vrezen? Een malware bijvoorbeeld?
Dank je wel!
23-03-2013, 18:04 door
turniphead
@anon 10:13: als je zelf de mail krijgt is er niet zoveel aan de hand;) als je zelf die spam verstuurd zou ik wel even goed checken of je pc echt clean is:)
23-03-2013, 18:04 door
turniphead
@anon 10:13: als je zelf de mail krijgt is er niet zoveel aan de hand;) als je zelf die spam verstuurd zou ik wel even goed checken of je pc echt clean is:)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
