Freitag, 21. Februar 2014

Skype-Message (Link-Version): You received a new message from Skype

Achtung unseriöse email


Betreff der email: You received a new message from Skype

Scheinbarer Absender: Skype

Diese email gibt is in zwei Versionen. In der einen Version ist ein schädlicher Anhang dabei (ZIP-Datei mit schädlichem Inhalt), in der anderen, hier gezeigten, Version ist ein Link enthalten, der über eine Kette zu einem Schädling führt.


Inhalt der schädlichen email (in Textform):
Inhalt der schädlichen email:

Subject: You received a new message from Skype voicemail service This is an automated email, please don't reply.
Voice Message Notification

You received a new message from Skype voicemail service.

Message Details:

Time of Call: 17 Dec 2013 10:20:24 -0400
Length of Call: 38sec

Listen to the message (im Original ist hier ein Link zu einer Webseite)

2003-2011 Skype Limited. Skype Communications S.a.r.l. 23-29 Rives de Clausen, L-2165 Luxembourg.
Skype, associated trademarks and logos and the "S" symbol are trademarks of Skype Limited.

(Alternative: manchmal ist gleich eine ZIP-Datei mit schädlichem Inhalt in der Anlage)




Ergänzende Anmerkungen:


Bild (Screenshot):

Diese Link-Version ist raffiniert, da man die Schädlichkeit nicht sofort erkennt.

Der Linktext "Listen to the message" führt zu Links wie:

frms.myzen.co.uk /1.html
hargreavesfurniture.co.uk /1.html
troytempest.com /1.html
myjanespa.com /1.html
honeybass.com /1.html
thehomelanddevelopers.com /1.html
gotohongkongspa.com /1.html
glashow-md.com /1.html
armormetalroofing.com /1.html
www.accentjamie.com /1.html
aquahousehibachi.com /1.html
tinysgardenspa.com /1.html
koolitz.com /1.html
pcdresale.com /1.html
theviewoman.com /1.html
walkerstribeca.com /1.html
mojosdeli.com /1.html
hillsideglass.co.za /1.html
ns228746.ovh.net /~laboitea /1.html
suntannailnyc.com /1.html
footfunflushing.com /1.html
sumofl.com /1.html
kosheryamasushi.us /1.html
christmas-goose.co.uk /1.html
aipn.it /1.html
munnarblooms.com /1.html
penplacer.com /1.html
goldroyalties.ca /1.html
www.minka.co.uk /~mnk-ftp /1.html
chinafun88.com /1.html
afflatusgravure.com /1.html
teakoprime.com /1.html
varadacreation.com /1.html
www.seoservicesindia.co /1.html
misaghbikes.ir /1.html
nuknfuts.aisites.com /1.html
mocha7003.mochahost.com /~msimecek /1.html
thericerestaurant.com /1.html
saladshackny.com /1.html
globalstudieschina.com /1.html
nyuslawyers.com /1.html
napolisfrisco.com /1.html
mocha7003.mochahost.com /~hypno /1.html
neseastudentdesigncompetition.org /1.html
cartes-d-affaire.com /1.html
allanteske.com /1.html
partyplancatering.com /1.html
masande.ie /1.html
www.svnhatta.com /1.html
vweb6.manufacture.com.tw /~chanlong /1.html
cmfoodny.com /1.html
malarstwodmw.artist.pl /1.html
go3gift.com /1.html
airportchapel.co.za /1.html
vssportsnetwork.com /1.html
ixora.mschosting.com /~stableco /1.html
kathsimages.co.za /1.html
ajrelax.com /1.html
mocha7003.mochahost.com /~hypnothe /1.html
kaszubyranczo.w.interia.pl /1.html
fashionmassagenorcross.com /1.html
pinpointmedia.tv /1.html
industrial-in.com /1.html
peculiarpresents.co.uk /1.html
newworldinvestor.com /1.html
www.counteract.talktalk.net /1.html
froyocafegardner.com /1.html
hhs1973.com /1.html
theaxiomproject.com /1.html

Im konkreten Fall lautete die Zieladresse: 
http://217.160.36.133/~Rainbow/1.html

Jede der angesteuerten Seiten versucht, ein oder zwei Javascript-Files mit .txt-Endung zu laden
z.B.

merdekapalace.com /1.txt
www.shivammehta.com /1.txt


Diese Javascript-Programmchen bewirken dann einen redirect (automatische Weiterleitung) zu einer Webseite, die MALWARE enthält, z.b.

p22473.typo3server.info /9 /jsanalyzer.aspx
nedapardaz.com /theme /it /browser /_lzf_.php
merkabahcentro.com /xmlbrowser.aspx

Siehe auch: http://techhelplist.com/index.php/spam-list/432-you-received-a-new-message-from-skype-voicemail-service-virus