Am 29.06.2016 um 10:34 schrieb Patrick Ben Koetter: > Er tarnt sich als DHL Paketverfolgung:
Achtung kein Allheilmittel, diese sieve regel hier, rejected kleine zip Anhaenge mit whitelist fuer einen Empfaenger ( dmarc reports kommen auch oft als kleine zip im Anhang ), kann man auch global verwenden, require ["reject","mime","foreverypart"]; if address :all :comparator "i;ascii-casemap" :contains ["To", "Cc", "Bcc", "Resent-to"] "[email protected]" { keep; stop; } foreverypart { if allof ( header :mime :param "filename" :matches ["Content-Type", "Content-Disposition"] ["*.zip", "*.tar.gz" ], size :under 100k ) { reject "small compressed attachments rejected by filter"; stop; } } > > ---- > From: DHL Paketverfolgung <[email protected]> > Subject: DHL-Paket-Lieferung fehlgeschlagen > Reply-To: <DHL Paketverfolgung <[email protected]>> > > Sehr geehrter Kunde, > > die Lieferung für das Paket mit der Sendungsverfolgungsnummer 056392024191 > ist fehlgeschlagen. > Der Kurier war zum wiederholten Male nicht in der Lage Sie persönlich > anzutreffen. > > Bitte senden Sie uns das ausgefüllte Versandetikett um einen erneuten > Lieferungsversuch in Auftrag zu geben. > > Das Versandetikett für Ihre Lieferung finden Sie im Anhang dieser E-Mail. > > Mit freundlichen Grüßen, > > DHL EXPRESS > Deutsche Post AG > Charles-de-Gaulle-Straße 20 > PLZ/ Ort: 53113 Bonn > ---- > > > Im Anhang befindet sich eine Sendung_xxx.zip, welche JS-Dateien beinhaltet: > > > unzip -t Desktop/Sendung_056392024191.zip > Archive: Desktop/Sendung_056392024191.zip > testing: Sendungsetikett_056392024191.pdf.js.js OK > testing: Sendungsinformationen_056392024191.pdf.js.js OK > No errors detected in compressed data of Desktop/Sendung_056392024191.zip. > > > In den Dateien selbst befindet sich dann der typische, obfuscatete JS-Code. > Einzelne Strings werden zu einem grossen String zusammengebaut. Dann wird der > Windows Scripting Host aufgerufen und der führt das zusammengebaute Skript > dann > aus. Dieses Skript lädt die eigentliche Malware nach, welche dann den Rechner > unter Kontrolle bringt. > > > Windows-Anwender erkennen in der Regel nicht, dass es sich um JS-Dateien > handelt, weil die Defaults des OS das Suffix des Dateinamens unterdrückt. > > p@rick > Best Regards MfG Robert Schetterer -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG, 80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
