Merkwürdiger EMail-Spam seit ein paar Tagen



  • Mein Spammordner füllt sich täglich mit seltsamen Mails. Jeweils Betreff als auch Mailtext bestehen nur aus drei Buchstaben:

    z.B.:
    toc@yahoo.com
    Betreff: cdd
    Body: ygf

    tnm@yahoo.com
    Betreff: gvf
    Body: gjq

    kjq@yahoo.com
    Betreff: rgy
    Body: ikn

    Alles von yahoo-Adressen. Sonst nichts, keine Anhänge, keine HTML-Mails. Kann sich jemand einen Reim darauf machen?



  • Die krieg ich auch! Vielleicht ergibt sich ein Hinweis auf einen verborgenen Schatz wenn man die Buchstaben zusammensetzt 😕



  • Würde reichen, um für ein Botnet neue Commands mitzuteilen, 4 Bytes IP-Adresse und noch eins als Befehl.



  • volkard schrieb:

    Würde reichen, um für ein Botnet neue Commands mitzuteilen, 4 Bytes IP-Adresse und noch eins als Befehl.

    Commands per Mail an fremde Adressen? 😕
    Dafür müssten ja erstmal Zugangsdaten zu vielen Mailaccounts verfügbar sein und bei jedem Passwörtwechsel schließt sich ein Kanal. Da kann ich mir wirklich bessere Kommunikationswege für Bots vorstellen.

    Aber trotzdem: Bisher beste Erklärung.



  • yahoooooooo schrieb:

    volkard schrieb:

    Würde reichen, um für ein Botnet neue Commands mitzuteilen, 4 Bytes IP-Adresse und noch eins als Befehl.

    Commands per Mail an fremde Adressen? 😕

    Klar! Um Bots durch die Firewall durch wieder zu aktivieren, die keinen noch lebenden Command-Server mehr kennen. Als ersten Befehl dachte ich sofort dran, daß er die Adresse des neuen Command-Servers setzt und evtl ein wenig die Neuigkeit weiterverbreitet. Ja, ein 5. Byte für Time-To-Live oder sowas ist nicht schlecht.

    yahoooooooo schrieb:

    Dafür müssten ja erstmal Zugangsdaten zu vielen Mailaccounts verfügbar sein

    Oder viele infizierte PCS.

    Da sollen die Jäger mal den Verursacher zu finden versuchen, hehe.



  • Es erhält jetzt jeder mehr Spam-EMails, um in Summe die NSA-Server zu überlasten. Dafür müssen wir jetzt halt ein wenig was in Kauf nehmen...



  • hab das gleiche bei gmx seit gestern. die absenderadressen, als auch die zieladressen, sehen authentisch aus (keine zufaelligen buchstabenkombinationen) - auch alle von gmx.



  • betreff und body die genannten drei zeichen wie beim OP...



  • Ist doch offensichtlich, das sind Base64 kodierte IPv4 Adressen! Nehmen wir mal die erste, cddygf wird zu 71 d7 72 81, entspricht 113.215.114.129. Das ist dann die IP des Zwischenservers, der die Aufgaben vom Masterserver an die Slaves verteilt. Und weil die Zwischenserver dauernd wechseln, werden deren IPs halt über Mails verteilt. Klare Sache. 🤡

    http://www.iplocation.net/index.php Sagt die IP kommt aus China.



  • cooky451 schrieb:

    Ist doch offensichtlich, das sind Base64 kodierte IPv4 Adressen! Nehmen wir mal die erste, cddygf wird zu 71 d7 72 81, entspricht 113.215.114.129. Das ist dann die IP des Zwischenservers, der die Aufgaben vom Masterserver an die Slaves verteilt. Und weil die Zwischenserver dauernd wechseln, werden deren IPs halt über Mails verteilt. Klare Sache. 🤡

    http://www.iplocation.net/index.php Sagt die IP kommt aus China.

    Na, er wird die Zahl vor dem Versenden schon mit 43 multipliziert haben.

    Sone weiß sogar, warum nicht mit 42.



  • Ich kann mir auch eine IP-Adresse ausdenken, und die mag auch in Kasachstan sein, das heißt noch nichts.

    Informationen? Sagen wir mal, die Kodierung ist ISO 8859-1, ein Byte. Dann haben wir sechs Bytes... genug für eine IPv4 und einen Befehl aus zwei Byte. Warum aber zufällig Buchstaben gewählt wurden... fraglich. Daher: Wahrscheinlich Spam.



  • Sone schrieb:

    Ich kann mir auch eine IP-Adresse ausdenken, und die mag auch in Kasachstan sein, das heißt noch nichts.

    Schade, dachte zu sagst was zu 42 oder 43.

    Sone schrieb:

    Informationen? Sagen wir mal, die Kodierung ist ISO 8859-1, ein Byte. Dann haben wir sechs Bytes... genug für eine IPv4 und einen Befehl aus zwei Byte. Warum aber zufällig Buchstaben gewählt wurden... fraglich. Daher: Wahrscheinlich Spam.

    Sind die zufällig?



  • Moment, können eigenltich noch irgendwo mehr Bytes "versteckt" sein? Im Protokoll oder so?

    Sind die zufällig?

    Die Kodierung ist aber nicht durch den Cracker bestimmt. Es ist unwahrscheinlich, dass alle Zahlen durch Kleinbuchstaben repräsentiert werden.

    Schade, dachte zu sagst was zu 42 oder 43.

    Übersehen.

    Sone weiß sogar, warum nicht mit 42.

    Keine Primzahl?



  • Sone schrieb:

    Keine Primzahl?

    Sei der Code

    uint32_t cypher(uint32_t ipaddress){
       return ipaddress*secretKey;
    }
    

    Welche Werte (auch uint32_t) von secretKey sind möglich, damit die Funktion umkehrbar ist?



  • volkard schrieb:

    Welche Werte (auch uint32_t) von secretKey sind möglich, damit die Funktion umkehrbar ist?

    Die ist nicht umkehrbar. Wenn ich nur das Ergebnis habe, dann kann ich sie nicht umkehren.

    Oder spezifiziere mal, was du unter "Umkehren" genau verstehst: Welche Informationen habe ich?



  • volkard hatte wohl gehofft, dass du beim RSA-Implementieren was gelernt hast.



  • cooky451 schrieb:

    volkard hatte wohl gehofft, dass du beim RSA-Implementieren was gelernt hast.

    ??
    Ja, aber das habe ich doch verstanden! RSA basiert auf Primfaktorzerlegung, für die es keinen effizienten Algorithmus gibt (Falltürfunktion).



  • Chauffeur.

    Bei RSA hättest Du es raffen MÜSSEN, wenn Du RSA verstanden hättest. cooky451 hat ganz recht.



  • Du hast

    Sei der Code

    uint32_t cypher(uint32_t ipaddress){
       return ipaddress*secretKey;
    }
    

    Welche Werte (auch uint32_t) von secretKey sind möglich, damit die Funktion umkehrbar ist?

    Manche keys sorgen dafür, daß jede eingangsadresse auf eine genau dazu gehörende ausgangsadresse abgebildet wird und man daher (egal welcher rechenaufwand) die abbildung umkehren kann. manche abbildungen wie ausgang=eingang*0 sind doof, diese ist extrem doof, man kann sie garnicht umkehren. manche sind ein bißchen doof. welche sind lieb? Und das hat mit Primzahlen zwar was zu tun, aber nur innendrin, welche secretKeys klappen?




Anmelden zum Antworten