Computerbeveiliging - Hoe je bad guys buiten de deur houdt

%LINKRNDCHR,5,10%%

21-03-2013, 17:33 door turniphead, 14 reacties
Dag security.nl,

Ik krijg vandaag een e-mailtje van een contactpersoon met de tekst:
%LINKRNDCHR,5,10%%

Het onderwerp is: "hello"

Ik herken het niet, en de contactpersoon heb ik al meerdere jaren niet gesproken, ik verwacht dan ook geen mail van die persoon.
Ik vond het erg verdacht dus heb gelijk gezocht op google, heb alleen niets gevonden. Iemand ervaring met dit?

Hier een pastbin van de bron van de mail: http://pastebin.com/PVMJhK70

dank voor de reacties alvast:)

Groet Turniphead
Reacties (14)
21-03-2013, 17:36 door SirDice
Lijkt me een variabele voor windows, zie bijv. de output van set. %WINDIR% is misschien de bekendste.

Dus ik vermoed dat het een placeholder is voor een automatisch script wat die variabele aanpast voor elke spammail die ze versturen.
21-03-2013, 17:44 door turniphead
Klinkt inderdaad aannemelijk, afzender whois report is trouwens: http://whois.domaintools.com/65.54.190.187.
Microsoft server dus.
Ik vind het vreemd, het mailtje is ook maar naar vijf van zijn contact personen verstuurd, in geval van spam zou je zeggen dat dat er wel meer zouden zijn.
21-03-2013, 17:55 door SirDice
Het lijkt me sowieso een stuk gare malware. Behalve deze bug verwacht ik dat er wel meer in zullen zitten.
21-03-2013, 17:56 door hx0r3z
http://lmgtfy.com/?q=spam+%3Cbody+class%3D3D%27hmmessage%27%3E

Ik kan verder zoeken maar ben lazy
21-03-2013, 17:59 door Anoniem
Dit soort teksten kom je tegen in templates die gebruikt worden in spamsoftware.
De bedoeling is dat tijdens het verzenden dit vervangen wordt door een variabel gegeven, in dit geval
wellicht een link met gedeeltelijk random tekens erin. De bedoeling is dan dat het mailtje bij iedere
ontvanger anders is zodat het minder makkelijk gedetecteerd wordt door spamfilters.

De spammer heeft iets fout gedaan waardoor dit niet gewerkt heeft. Dat kom je wel vaker tegen.
De "afzender" zal waarschijnlijk ook op die manier ingevuld zijn, iets van From: %RANDOMSENDER%
ofzo waarbij hij dan een willekeurig adres uit zijn adreslijst ingevuld heeft.

Je kennis van jaren terug is waarschijnlijk niet de echte afzender. Het zou wel kunnen dat zijn mail
account gehacked is en gebruikt wordt om deze spam te verzenden, maar dat hoeft niet perse.
21-03-2013, 18:39 door turniphead
LINK (met) RANDOM CHARS misschien. Inderdaad een stuk gare malware waarschijnlijk.

Dank voor het meedenken! Ik zal de gehackte persoon maar waarschuwen.
21-03-2013, 18:45 door SirDice
Door turniphead: LINK (met) RANDOM CHARS misschien.
Ja, zoiets inderdaad. Het zou alleen %LINKRNDCHR:~5,10% moeten zijn, vermoed ik. Dat print 5 karakters vanaf het 11e karakter van de inhoud van %LINKRNDCHR%. Je ziet vaak dat ze een random string toevoegen, dat wordt gebruikt als 'identificatie'. Je kan dan aan de hand van het HTTP request zien naar welk email adres die link is gestuurd.
21-03-2013, 19:17 door Anoniem
ik ben blijkbaar ook n slachtoffer

m'n hele hotmail adresboek heeft rond iets na 15u allemaal +- dezelfde mail gehad...

was het bij jou ook via hotmail?
hb je gisterne iets speciaals gedaan op je pc? verdachte mail geopend of zo?
21-03-2013, 19:38 door Anoniem
Ja ik had hier zelf ook al last van, en ik was bang dat ik misschien een virus had. Schijnbaar hebben meer mensen dit.
21-03-2013, 23:16 door turniphead
@anon 17:59 && SirDice: Interessant, ik ga dit onderwerp eens verder bekijken. Dank voor jullie info!

@anon 19:17: Ik kreeg zelf de mail, ik verstuur hem niet;) Maar nee, mijn pc is safe.
22-03-2013, 10:00 door SirDice
Door turniphead: @anon 17:59 && SirDice: Interessant, ik ga dit onderwerp eens verder bekijken. Dank voor jullie info!
Het is eigenlijk heel simpel, als je 't weet. Stel je hebt een spam site: spammert.example.org en je hebt een lijst van 4 e-mail adressen. Elk van die adressen geef je een unieke code:

AA - email1
AB - email2
BA - email3
BB - email4

Naar email1 stuur je de link: spammert.example.org/#AA, naar 2: spammert.example.org/#AB etc.

Door middel van een server-side script (of simpelweg in de logging te kijken) kun je nu bekijken welk email adres actief is en welke niet. Als je bijv. alleen AA en BB tegenkomt kun je met een redelijke zekerheid zeggen dat email1 en 4 actief zijn. Ze worden gelezen, elke spam mail heeft namelijk z'n unieke code die gekoppeld is aan het email adres.

Je kunt dat natuurlijk op duizend en een manieren doen maar 't basis principe blijft 't zelfde.
22-03-2013, 10:13 door Anoniem
hello,

Ik kwam hetzelfde probleem gisteren. Ik veranderde mijn wachtwoord en alle veiligheid. Maar weet je als er iets te vrezen? Een malware bijvoorbeeld?

Dank je wel!
23-03-2013, 18:04 door turniphead
@anon 10:13: als je zelf de mail krijgt is er niet zoveel aan de hand;) als je zelf die spam verstuurd zou ik wel even goed checken of je pc echt clean is:)
23-03-2013, 18:04 door turniphead
@anon 10:13: als je zelf de mail krijgt is er niet zoveel aan de hand;) als je zelf die spam verstuurd zou ik wel even goed checken of je pc echt clean is:)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.