[JS-Exploit] Interessanter Angebot von "Berliner Airlines"

[homer]

Und wieder ein Javascript-Exploit, gleich zwei mal aufgeschlagen.

Bitte vorsichtig mit den Links umgehen!

header:

01: Return-Path: <1nfo [at] airberlin.com>
02: Received: from unknown (HELO dd213-213-53-26.pa1.albacom.net)
03:         (213.213.53.26) by 0 with SMTP; 26 Apr 2007 07:XX:XX -0000
04: Received-SPF: none (0: domain at airberlin.com does not designate permitted
05:         sender hosts)
06: Message-ID: [ID filtered]
07: Date: Thu, 26 Apr 2007 09:XX:XX +0200
08: From: Berliner Airlines <1nfo [at] airberlin.com>
09: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
10: X-Accept-Language: en-us, en
11: MIME-Version: 1.0
12: To: "me" <me [at] work>
13: Subject: Interessanter Angebot von "Berliner Airlines"
14: Content-Type: text/plain; charset=iso-8859-1; format=flowed
15: Content-Transfer-Encoding: 8bit

Achtung! In diesem Sommersaison fuehrt die Gesellschaft "Berliener Airlines" eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen.
Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich!
Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Die Webseite lädt in einem IFrame das JavaScript ^whois: [Link nur für registrierte Mitglieder sichtbar. ] nach.

header:

01: Return-Path: <1nfo [at] airberlin.com>
02: Received: from unknown (HELO 160.17.219.87.dynamic.jazztel.es)
03:         (87.219.17.160) by 0 with SMTP; 26 Apr 2007 07:XX:XX -0000
04: Received-SPF: none (0: domain at airberlin.com does not designate permitted
05:         sender hosts)
06: Message-ID: [ID filtered]
07: Date: Thu, 26 Apr 2007 09:XX:XX +0200
08: From: Berliner Airlines <1nfo [at] airberlin.com>
09: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
10: X-Accept-Language: en-us, en
11: MIME-Version: 1.0
12: To: "me" <me [at] work>
13: Subject: Interessanter Angebot von "Berliner Airlines"
14: Content-Type: text/plain; charset=iso-8859-1; format=flowed
15: Content-Transfer-Encoding: 8bit
16: X-Spam-Prev-Subject: Interessanter Angebot von "Berliner Airlines"

Hier bemüht sich unsere Lieblingswebseite ^whois: [Link nur für registrierte Mitglieder sichtbar. ], im IFrame das Script ^whois: [Link nur für registrierte Mitglieder sichtbar. ] nachzuladen.

Wer Bedarf an den JavaScripten hat, bitte PN.

[Lachsy]

header:

01: Received: from [216.221.68.98] (helo=d221-68-98.commercial.cgocable.net)
02: by mx20.web.de with smtp (WEB.DE 4.107 #114)
03: ID: [ID filtered]
04: for xxxxxxxx Thu, 26 Apr 2007 xx:xx:xx +0200
05: Message-ID: [ID filtered]
06: Date: Thu, 26 Apr 2007 xx:xx:xx -0400
07: From: Berliner Airlines <1nfo [at] airberlin.com>
08: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
09: X-Accept-Language: en-us, en
10: MIME-Version: 1.0
11: To: "xxxxxxxx
12: Subject: Interessanter Angebot von "Berliner Airlines"
13: Content-Type: text/plain; charset=iso-8859-1; format=flowed
14: Content-Transfer-Encoding: 8bit
15: Sender: 1nfo [at] airberlin.com

Achtung! In diesem Sommersaison fuehrt die Gesellschaft "Berliener Airlines" eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen.
Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich!
Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

ich denke das gehört wohl auch alles da zu [Link nur für registrierte Mitglieder sichtbar. ]

[camworks]

header:

01: Received: from [62.67.235.31] (helo=mx8.xxxxxxxx.de)
02: 	by mxxxx.xxxxx.de with esmtp (WEB.DE 4.107 #114)
03: 	ID: [ID filtered]
04: 	for poor [at] spamvictim.tld; Sat, 28 Apr 2007 xx:xx:xx +0200
05: Received: from cpc2-leed12-0-0-cust133.leed.cable.ntl.com
06: 	(cpc2-leed12-0-0-cust133.leed.cable.ntl.com [81.101.44.134])
07: 	by mx8.xxxxxxx.de (8.11.3/8.11.3/SuSE Linux 8.11.1-0.5) with SMTP ID: [ID filtered]
08: 	for <poor [at] spamvictim.tld>; Sat, 28 Apr 2007 xx:xx:xx +0200
09: Message-ID: [ID filtered]
10: Date: Mon, 28 May 2007 xx:xx:xx +0100
11: From: Berliner Airlines <1nfo [at] airberlin.com>
12: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
13: X-Accept-Language: en-us, en
14: MIME-Version: 1.0
15: To: "info" <poor [at] spamvictim.tld>
16: Subject: Interessanter Angebot von "Berliner Airlines"
17: Content-Type: text/plain; charset=iso-8859-1; format=flowed
18: Content-Transfer-Encoding: 8bit
19: Sender: 1nfo [at] airberlin.com

Achtung! In diesem Sommersaison fuehrt die Gesellschaft "Berliener Airlines" eine neue Aktion durch.
Sie koennen nun in jeden beliebigen Punkt innerhalb der EU fuer nur EUR 20 fliegen.
Sie bezahlen nur Ihre Versicherung und den Treibstoff. Beeiligen Sie sich!
Die Anzahl der Tickets ist stark beschraenkt.
Naeheres dazu unter ^whois: [Link nur für registrierte Mitglieder sichtbar. ]

2 mal kurz hintereinander eben bei mir eingeschlagen.

[Grisu_LZ22]

Der Drecks-Spammer ist der gleiche, der hier ( [Link nur für registrierte Mitglieder sichtbar. ]) spamt.

Beweise?? - Bitte sehr!

header:

01: Received: from citynet.net (20132201076.user.veloxzone.com.br [201.32.201.76])
02: 	by mailproxy1.proxyfilter.de (8.12.3/8.12.3/Debian-7.2) with SMTP ID: [ID filtered]
03: 	for <xxx>; Tue, 1 May 2007 xx:xx:xx +0200
04: Message-ID: [ID filtered]
05: Date: Tue, 1 May 2007 xx:xx:xx -0300
06: From: Berliner Airlines <1nfo [at] airberlin.com>
07: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
08: X-Accept-Language: en-us, en
09: MIME-Version: 1.0
10: To: "xxx" <xxxx>
11: Subject: Interessanter Angebot von "Berliner Airlines"
12: Content-Type: text/plain; charset=iso-8859-1; format=flowed
13: Content-Transfer-Encoding: 8bit
14: X-Proxy-MailScanner-Information: Please contact Support for more information
15: X-Proxy-MailScanner: Found to be clean
16: X-Proxy-MailScanner-SpamCheck: not spam, SpamAssassin (score=5.192,
17: 	required 5.5, autolearn=disabled, FORGED_RCVD_HELO 0.05,
18: 	RAZOR2_CF_RANGE_51_100 3.20, RAZOR2_CHECK 0.15,
19: 	RCVD_IN_NJABL_DUL 1.66, RCVD_IN_SORBS_DUL 0.14)
20: X-Proxy-MailScanner-SpamScore: sssss
21: X-MailScanner-From: 1nfo [at] airberlin.com
22: X-MailScanner-To: xxxx
23: X-Virus-Scanned: by amavisd-new at xxxx.de
24: Return-Path: 1nfo [at] airberlin.com
25: X-OriginalArrivalTime: 01 May 2007 xx:xx:xx.0796 (UTC)
26: 	FILETIME=[3B3DDE40:01C78BAA]

Und was steht in der Mail:

Hallo! Vielen Dank fuer den Kauf von NOKIA 8800. Die Quittung sollten Sie per Mail bekommen haben. Falls bei Ihnen nichts eingetroffen ist, so bitte folgen Sie den nachfolgenden Link und bekommen Sie die Quittung im HTML Format. ^whois: [Link nur für registrierte Mitglieder sichtbar. ]Sie koennen uns auch eine Anfrage senden, so dass wir Ihnen diese Quittung nochmals zukommen lassen.

Vielen Dank fuer Ihr Verstaendnis!

Tja Dumm-Spammy. Wohl im Koksrausch die Texte vertauscht???