Die Geschichte eines endlosen Sommer(monat)s

Vor einigen Tagen erhielten wir die ersten Exemplare einer interessanten Spam-Welle. Hier Ausschnitte aus den Headern von drei Beispielen:

Obwohl sie von verschiedenen IP-Adressen stammen und die Subjects und vermeintlichen Absender recht willkürlich sind, haben diese Beispiele doch eine kuriose Gemeinsamkeit, und zwar die Daten, an denen sie angeblich gesendet wurden. Schauen wir uns das einmal genauer an:

Beispiel ‚a’
Tatsächliches Datum: Montag, 3. September 2007 21:39:36 +0300
Angebliches Datum: Montag, 34. August 2007 13:39:47 -0500

Beispiel ‚b’
Tatsächliches Datum: Dienstag, 4. September 2007 08:36:52 +0300
Angebliches Datum: Dienstag, 35. August 2007 13:36:53 +0800

Beispiel ‚c’
Tatsächliches Datum: Dienstag, 4. September 2007 08:50:38 +0300
Angebliches Datum: Dienstag, 35. August 2007 00:50:51 -0500

Von Sendeverzögerungen einmal abgesehen sind die angegeben Daten nicht nur inkorrekt, sondern scheinen auch mit Hilfe desselben (falschen) Algorithmus berechnet worden zu sein (Anzahl der Tage seit dem ersten August – dementsprechend wird der 3. September zum 34. August).

Spam-Mails mit falschen Datumsangaben sind keine Seltenheit, aber dieser Fall ist deswegen besonders interessant, weil die falschen Daten offensichtlich einem Programmfehler in der Spam-Software zuzuschreiben sind. Dadurch können wir sehen, was der jeweilige Spammer (oder User der fehlerhaften Spam-Software) eigentlich verschickt. Werfen wir also mal einen Blick auf den Inhalt!

Die erste E-Mail sieht folgendermaßen aus:

Bei den anderen beiden handelt es sich um gewöhnliches Image-Spam – beliebiger Text mit angehängten GIFs. Für alle, die sich für so etwas interessieren – hier sind sie:

Der ZIP-Anhang in der ersten E-Mail enthält die ausführbare Datei „iloveyou.exe“ mit einer Größe von 20992 Bytes, die wir als Trojan-Downloader.Win32.Agent.crz klassifiziert haben. Unsere Überraschung hielt sich aber in Grenzen, denn wir hatten schon seit einer Weile den Verdacht, dass Kriminelle Spam und Malware über dasselbe System verschicken. Beweisen konnten wir es allerdings nicht.

Auch wenn die Sache mit den falschen Daten nur nach einem kleinen Ausrutscher aussieht, so führen gerade Fehler wie diese dazu, dass wir den Kriminellen auf die Spur kommen und den offiziellen Stellen ausreichend Informationen liefern können, um sie zu fassen. Solche Ausrutscher werden allerdings immer seltener, denn die Cyber-Kriminellen lernen aus ihren Fehlern, weil sie wissen, dass schon ein falscher Schritt sie ins Gefängnis bringen könnte.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.