vcard-Trojaner oder was? What the f*ck …

Vorhin hab ich 2 offensichtliche SPAM-Mails gelöscht.

Kurz darauf später fand ich 2 Einträge in meinem OSX-Adressbuch (ical) mit dem Titel „HI“, wo ich erstmal nicht wußte, wie zum Geier die in mein Adressbuch kamen! Bis ich dann die VCards an den SPAM-Mails gesehen habe, und da mein Mailprogramm standardmässig Einladungen gleich zum Calender hinzufügt … na Herzlichen Glückwunsch!

Ich hab die Einträge im Kalender nicht geöffnet sondern sofort gelöscht, ohne eine „Notification“ zum Absender zu senden.

Das kann doch echt nicht wahr sein! Keine Ahnung was genau passiert wäre, hätte ich mir die Details der Termine angeschaut.
Vermutlich (hoffentlich!!) nichts, aber das scheint ja eine neue Art von Trojaner zu sein. Bzw darf man Applemail einfach nicht erlauben, Einladungen ohne Rückfragen zum Kalender hinzu zu fügen, auch wenn’s praktisch ist. Hab die Einstellung erstmal auf „never“ geändert. Es ist ja die eigene Schuld, das übliche Thema, „Sicherheit vs. Kompfort“, aber auf so eine Idee wär ich gar nicht gekommen!

Pro SPAM-Mail hingen 2 Anhänge dran, also 4 Dateien insgesamt. Waren übrigens alle identisch, hab’s gerade geprüft.

meeting.ics
invite.ics

MD5 (meeting.ics) = a4a54e552141567c6ebe0580c391126a
lasse-kolb-home:Desktop lasse$ md5 invite.ics
MD5 (invite.ics) = a4a54e552141567c6ebe0580c391126a
lasse-kolb-home:Desktop lasse$

Hier ist mal die gesamte vcard. Falls jemand eine ähnliche Mail erhalten hat, kann er sich ja mal melden!

 

 

———————————————————

BEGIN:VCALENDAR
PRODID:Zimbra-Calendar-Provider
VERSION:2.0
METHOD:REQUEST
BEGIN:VTIMEZONE
TZID:Etc/GMT
BEGIN:STANDARD
DTSTART:19710101T000000
TZOFFSETTO:-0000
TZOFFSETFROM:-0000
TZNAME:GMT
END:STANDARD
END:VTIMEZONE
BEGIN:VEVENT
UID:363ec335-972e-4af2-b9c0-42b034ca5b2b
SUMMARY:HI
DESCRIPTION:hello.\nmy name is miss Grace\, please write me back\, then i wi
ll give you my photos.\nand I will also let you to know all my proposal of c
ontacting you\, \nGrace\n\nS.U.: http://calendar.yahoo.com/pi
us_nelly/rsvp?e=mail@lassekolb.info&uid=363ec335-972e-4af2-b9c0-42b034ca5b2b
&tk=KdFj2v953Nzic0KTGvBvddofmG8-&hh=PhaIIsbtUpVtCYCtQMfhg_pa668-
ATTENDEE;RSVP=TRUE:mailto:g.deininger@insomnia.de
ATTENDEE;RSVP=TRUE:mailto:mike@terhaak.net
ATTENDEE;RSVP=TRUE:mailto:holodoc1701@aol.com
ATTENDEE;RSVP=TRUE:mailto:DanaKramer@web.de
ATTENDEE;RSVP=TRUE:mailto:Jack_Lear@gmx.de
ATTENDEE;RSVP=TRUE:mailto:rnwithart@yahoo.com
ATTENDEE;RSVP=TRUE:mailto:art@joergenhabedank.de
ATTENDEE;RSVP=TRUE:mailto:mail@lassekolb.info
ATTENDEE;RSVP=TRUE:mailto:glearmonth63@gmail.com
ATTENDEE;RSVP=TRUE:mailto:lilo.r@bluewin.ch
ATTENDEE;RSVP=TRUE:mailto:bbloosli@bluewin.ch
ATTENDEE;RSVP=TRUE:mailto:NealeLewisJones@aol.com
ATTENDEE;RSVP=TRUE:mailto:Sharron@unitedbuilders.net
ATTENDEE;RSVP=TRUE:mailto:fherol@cablevision.net.mx
ATTENDEE;RSVP=TRUE:mailto:mxonxumalo@webmail.co.za
ATTENDEE;RSVP=TRUE:mailto:bjornf@uol.com.br
ATTENDEE;RSVP=TRUE:mailto:ppmboogaert@hetnet.nl
ATTENDEE;RSVP=TRUE:mailto:jetht@polka.co.za
ATTENDEE;RSVP=TRUE:mailto:thorsten.taedisch@t-online.de
ATTENDEE;RSVP=TRUE:mailto:MandlaN@joburg.org.za
ATTENDEE;RSVP=TRUE:mailto:czpaulmeryzs@gmail.com
ATTENDEE;RSVP=TRUE:mailto:radisic23@gmail.com
ATTENDEE;RSVP=TRUE:mailto:zmsefula@aointl.com
ATTENDEE;RSVP=TRUE:mailto:rocky_592@hotmail.com
ATTENDEE;RSVP=TRUE:mailto:terryvwkenai@yahoo.com
ATTENDEE;RSVP=TRUE:mailto:Babeff@gmail.com
ATTENDEE;RSVP=TRUE:mailto:maximilianofabrega@gmail.com
ATTENDEE;RSVP=TRUE:mailto:maarten@cederhout.net
ATTENDEE;RSVP=TRUE:mailto:cezaromeo@hotmail.com
ATTENDEE;RSVP=TRUE:mailto:friverosmtz@prodigy.net.mx
ATTENDEE;RSVP=TRUE:mailto:russhempstock@hotmail.com
ATTENDEE;RSVP=TRUE:mailto:krsnaagni@yahoo.com
ATTENDEE;RSVP=TRUE:mailto:ivonemsa@gmail.com
ATTENDEE;RSVP=TRUE:mailto:vox1974@tiscali.it
ATTENDEE;RSVP=TRUE:mailto:st-bechtold@t-online.de
ATTENDEE;RSVP=TRUE:mailto:vockvictoria@yahoo.com
ATTENDEE;RSVP=TRUE:mailto:alejandrofinley2000@yahoo.es
ATTENDEE;RSVP=TRUE:mailto:Marievil@email.cz
ATTENDEE;RSVP=TRUE:mailto:sgoldman123@comcast.net
ATTENDEE;RSVP=TRUE:mailto:vlado_palankov@abv.bg
ORGANIZER;CN=Nelly Pius:mailto:pius_nelly@yahoo.dk
DTSTART;TZID=“Etc/GMT“:20120922T063000
DTEND;TZID=“Etc/GMT“:20120922T073000
STATUS:CONFIRMED
CLASS:PUBLIC
X-MICROSOFT-CDO-INTENDEDSTATUS:BUSY
TRANSP:OPAQUE
X-MICROSOFT-DISALLOW-COUNTER:TRUE
DTSTAMP:20120922T174433Z
SEQUENCE:0
END:VEVENT
END:VCALENDAR

———————————————————