Rorschachs Tagebuch

Spam im Namen von Gravenreut Oktober 25, 2008

Filed under: Recht,Sicherheit — Rorschach @ 18:33
Tags: , , ,

Eben erreichte mich eine witzige Spam-Mail: klick. Sie stammt angeblich von dem bekannten Abmahn-Anwalt Gravenreuth, der schön öfter durch rechtsmissbräuchliche Massen-Abmahnungen oder Erpressung von Scene-Insidern von sich reden gemacht hat.

Diesmal scheinen findige Spammer seinen Namen dazu zu benutzen um Spam zu versenden. Angeblich hätte ich bei einer Auktion bei Ebay keine Widerrufsbelehrung angegeben und soll nun ein strafbewährte Unterlassungserklärung unterzeichnen.

Naja die Email lässt sich jedoch recht schnell als Spam entlarven, da sie erstens aus der Ukraine stammt:

$ geoiplookup 212.1.94.99
GeoIP Country Edition: UA, Ukraine
GeoIP City Edition, Rev 1: UA, 13, Kiev, (null), 50.433300, 30.516701, 0, 0
GeoIP City Edition, Rev 0: UA, 13, Kiev, (null), 50.433300, 30.516701

obwohl Gravenreuths Kanzlei in Deutschland ist, zum anderen weil die Absenderadresse xhqfkruk@boxingcollectors.com verwendet wird, welche wohl keine Kanzlei benutzen würde. Interessant ist noch, dass die Email mit the Bat verschickt wurde, was vor endlosen Jahren als ich noch Windows nutze mein Lieblingsemailclient war für welchen ich für mp2k auch einige Zeit lang immer Cracks für die neuste Version schrieb.

Zuerst hab ich gedacht, da betreibt jemand einfach Abzocke und hofft das Geld für die Abmahnung von leichtfältigen Menschen einstreichen zu können, doch in der Email wird weder ein Betrag noch ein Konto genannt.

Worum geht es den Spammern dann? Wollen sie vielleicht einen Trojaner verbreiten? Die Email besaß noch einen Anhang mit dem Namen Mahnung.zip . Hier ein paar Infos dazu:

$ file Mahnung.zip
Mahnung.zip: Zip archive data, at least v1.0 to extract
$ md5sum Mahnung.zip
514f2dc058c266809a1ede5a336c7f84 Mahnung.zip
$ du -hs Mahnung.zip
12K Mahnung.zip
$ unzip Mahnung.zip
Archive: Mahnung.zip
End-of-central-directory signature not found. Either this file is not
a zipfile, or it constitutes one disk of a multi-part archive. In the
latter case the central directory and zipfile comment will be found on
the last disk(s) of this archive.
unzip: cannot find zipfile directory in one of Mahnung.zip or
Mahnung.zip.zip, and cannot find Mahnung.zip.ZIP, period.

Also ein kaputtes Archiv, zumindest unter Linux liess es sich nicht entpacken. Ein Blick mit einem Hexeditor verrät, dass sich wohl ein Verzeichnis Mahnung/PK und eine Datei Mahnung/Mahnung.pif in ihm befindet. Eventuell lässt es sich nur mit der aktuellsten Zip-Version unter Windows entpacken. Eine Überprüfung mit Kaspersky’s online Scanner zeigt jedoch keinerlei Viren an.

Also entweder ist das Archiv wirklich richtig kaputt und die Spammer sind Idioten, es nutzt einen zip-Exploit aus und deswegen lässt es sich nicht richtig öffnen oder die Mahnung.pif Datei ist tatsächlich der Übeltäter und wird von Kaspersky einfach nur nicht erkannt.

So oder so, ich fands witzig Spam vom Abmahnanwalt Gravenreuth in meinem Briefkasten zu haben. Ob er wohl die Spammer nun abmahnen wird ?🙂

 

6 Responses to “Spam im Namen von Gravenreut”

  1. Tobias Schulz Says:

    Hallo,

    Ich habe gestern eine sehr ähnliche Mail erhalten, bis auf den Unterschied, dass Mahnung.zip sich öffnen ließ.

    tobias@tobias-laptop:~$ md5sum /tmp/Mahnung.zip
    0608637cd54bb6768916f5cfca97689b /tmp/Mahnung.zip
    tobias@tobias-laptop:~$ file /tmp/Mahnung.zip
    /tmp/Mahnung.zip: Zip archive data, at least v1.0 to extract
    tobias@tobias-laptop:~$ du -hs /tmp/Mahnung.zip
    12K /tmp/Mahnung.zip
    tobias@tobias-laptop:~$ unzip -l /tmp/Mahnung.zip
    Archive: /tmp/Mahnung.zip
    Length Date Time Name
    ——– —- —- —-
    0 10-25-08 14:52 Mahnung/
    19357 10-25-08 15:02 Mahnung/Mahnung.pif
    ——– ——-
    19357 2 files
    tobias@tobias-laptop:~$

  2. burli Says:

    Die Mail hat mich heute auch köstlich amüsiert, vor allem weil ich vor ein paar Wochen meinen Ebay Account gekündigt hab😉 Abgesehen davon kam die Mail über die völlig falsche Mail Adresse.

    Außer der *.pif Datei konnte ich auch nichts entdecken

  3. Georg Busch Says:

    Die Spammail ist eigentlich das Uninteressanteste an deinem Artikel, aber dafür ist dir mit RITLabs und TheBat! ein echter Knaller gelungen. Du bist aber sicher nicht der erste dem seine Eitelkeit zum Verhängnis wurde. Screenshot wurde gemacht.

  4. Dirk (der aus Stuttgart...) Says:

    @3: Herzlichen Glückwunsch, dank Web 2.0 bekommen die ehemaligen MfS-Leute wieder eine beschäftigung … aber probiers doch mal mit einem Hobby

  5. Georg Busch Says:

    @4 dank fehlender Kontaktmoeglichkeiten wurde die Brechstange mittels Kommentar eingesetzt. Warum wird betreffende Stelle nicht geaendert? Was hat das mit dem MfS zu tun?

    Screenshot wurde btw keiner gemacht

  6. Nox Says:

    Lad das Archiv vielleicht mal auf www punkt virustotal punkt com hoch.
    Das ist eine „Sammlung“ von Onlinescannern (36 insgesamt) – mal schauen was passiert. :>


Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s