Heute hatte ich Post der besonderen Art in meinem elektronischen Briefkasten. Ein gewisser Anwalt namens Hans E. Rüegsegger aus Bern, will anscheinend Geld von mir. Geld in Euro, nicht in Franken.
Warum er das Geld möchte? Nun, angeblich hätte ich am 29.07.2006 um 14:33 Uhr auf der Internetseite P2P-heute.com mich für irgendeinen dubiosen Peer2Peer Download Dienst angemeldet.
Zum Beweis dafür ist auch gleich meine IP Adresse, mit welcher ich damals Online war angegeben.
217.872.373.74
Als ich diese gesehen habe, stellten sich mir folgende Fragen.
- Will da ein Anwalt Geld von Ahnungslosen Mitschweizern abzocken?
- Oder hat da jemand einen Racheakt gegen Herrn Rüegsegger geplant?
- Oder ist Herr Rüegsegger Opfer einer willkürlich gewählten Anschrift für ein Virenverseuchtes Mail geworden?
Nach einer kurzen Analyse war klar, dass Rechtsanwalt Rüegsegger nichts weiter als ein willkürlich gewähltes Opfer von rumänischen Virenschreibern geworden ist.
Aber der Reihe nach.
Wer sich fragt, was denn nun an der IP Adresse so komisch war, dem sei folgendes gesagt. Eine IP Adresse im IPv4 Format (aaa.bbb.ccc.ddd) besteht aus 4 Okttets. Ein Oktett bezeichnet eine Gruppe, die aus acht Teilen besteht. Da wir nun also vier Achtergruppen haben, besitzt eine Ipadresse somit 32 Positionen. Diese 32 Positionen wiederum können jeweils aus einer Null oder einer Eins bestehen.
10000010 01011110 01111010 11000011 wäre nun so eine Adresse. Da die Mehrheit der Menschen nur schon beim Merken von viel kürzeren Telefonnummern mühe haben, wird statt der binären Notation die mit Punkten getrennte Dezimalschreibweise verwendet.
Dabei wird jedes Oktet in eine Zahl umgewandelt. Aus 10000010 wird somit 130, aus 01011110 wird 94, aus 01111010 wird 122 und aus 11000011 wird 195. Somit entspricht die Binäre Schreibweise
10000010 01011110 01111010 11000011
der Adresse 130.94.122.195.
Warum ich das so genau erkläre? Nun, weil die höchst möglich darstellbare Zahl in einem Oktett 11111111 ist. Dies entspricht der Zahl 255 (2^8 ergibt 256. Da Null ebenfalls eine Zahl ist können mit einem Oktett 255 Zahlen sowie die Null (=256’te Zahl) dargestellt werden).
Das wiederum beweist, das eine IP Adresse wie 217.872.373.74 schlicht und ergreifend nicht möglich ist.
Alleine diese Tatsache würde eigentlich schon ausreichen um das Mail in hohem Bogen zu entsorgen. Aber ich wollte mehr Beweise 😉 Also habe ich den Text einmal etwas genauer gelesen bis mir folgende Passage auffiel:
Wir möchten in diesem Zusammenhang auf die bereits ergangenen Urteile verweisen,
welche Sie auf der Internetseite www.ruegsegger-hans.ch einsehen können.
Aha… soso… Nun, wenn man die angegebene Webseite besucht, dann prangt auf der Startseite in grossen Lettern:
Achtung: Wenn Sie kürzlich Mails mit meinem Absender und einer Zahlungsaufforderung erhalten haben,dann telefonieren Sie mir bitte nicht und schicken Sie mir auch keine Faxmitteilung!. Diese Mails, die Sie zur Zahlung eines Betrags auffordern, sind nicht von mir verschickt worden. Sie haben mit meiner Kanzlei nicht das Geringste zu tun!
Bitte haben Sie Verständnis dafür, dass ich Ihre Anfragen per Telefon, Mail und Fax, die bisher eingetroffen sind, nicht mehr beantworten kann. Die Menge ist nicht zu bewältigen.
Zu diesem Zeitpunkt war mir klar, dass nicht der Rechtsanwalt der Täter sondern viel eher das Opfer geworden ist. Aber von wem? Etwa ein Racheakt eines ehemaligen Klienten oder verurteilten? Nein. Viel eher ist Herr Rüegsegger Opfer von Rumänischen Virenschreibern geworden, welche im Netz auf der Suche nach einem Anwalt willkürlich eben diesen gewählt haben.
Hinweise darauf sind das Attachment aber auch der Ursprung der Mail. Eine kurze Analyse der ZIP-Datei hat gezeigt, dass sich darin eine als PDF getarnte ausführbare Datei befindet. Die Datei selber ist mit dem Trojaner TR/Dldr.iBill.AW.2 infiziert. Was dieser genau macht, konnte ich bisher nicht herausfinden. Aber am wahrscheinlichsten ist, dass dieser einen Mailserver aktiviert, welcher dann mit auf dem System gefundenen Adressen den Virus weiter verbreitet.
Die Mail selber ist von irgend einem SMTP Server aus Rumänien abgeschickt worden.
Received: from unknown (HELO ruegsegger-hans.ch) [89.31.89.20]
by mx0.gmx.net (mx031) with SMTP; 02 Jul 2007 20:09:45 +0200
Ein whois auf die Fett gedruckte IP Adresse ergibt:
inetnum: 89.41.16.0 – 89.41.23.255
netname: SC-OMEGA-LINK-SRL
descr: SC Omega Link SRL
descr: Peana, 3 R16, 1, 11
descr: Cluj Cluj
country: ro
admin-c: BS2881-RIPE
tech-c: BS2881-RIPE
status: ASSIGNED PA
remarks: Registered trough http://www.jump.ro/ip.html
mnt-by: RO-MNT
mnt-lower: RO-MNT
mnt-routes: OMEGALINK-MNT
changed: hostmaster@jump.ro 20070213
source: RIPE
person: BOGDAN STEFAN
address: SC Omega Link SRL
address: Peana, 3 R16, 1, 11
address: Cluj Cluj
phone: +40-723-205629
e-mail: stefan.bogdan@gmx.net
nic-hdl: BS2881-RIPE
notify: stefan.bogdan@gmx.net
mnt-by: OMEGALINK-MNT
changed: stefan.bogdan@gmx.net 20060111
source: RIPE
Demnach ist die zuständige Person für diesen IP Bereich ein gewisser Stefan Bogdan. Die Wahrscheinlichkeit, dass er der Ersteller des Viruses ist, ist gering. Viel eher wird es wohl so sein, dass er ebenfalls Opfer dieses Trojaners geworden ist. Wenn man nun weiss, dass besonders in Osteuropäischen Ländern viele Virenschreiber versuchen mit sogenannten Botnets und dergleichen Ihr Geld zu verdienen, dann bleibt nur der Schluss übrig, dass dieser Mist von dort drüben kommen muss.
