+ Antworten
Seite 1 von 8 1 2 3 ... LetzteLetzte
Ergebnis 1 bis 10 von 79

Thema: 'Nacha' Exploit

  1. #1
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.934

    Standard 'Nacha' Exploit

    Zur Zeit erhalte ich regelmäßig jeden Tag wohl einen Link zu einem Exploit, als 'Nacha' Mail getarnt


    header:
    01: Received: from 226.subnet110-137-237.speedy.telkom.net.ID: [ID filtered]
    02: [110.137.237.226])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Wed, 23 Nov 2011 xx:xx:xx -0500 (EST)
    05: Received: from sduttiahcbiadatv (192.168.1.52) by
    06: sduttiahcbiadatv.wonderware.com (110.137.237.226) with Microsoft SMTP
    07: Server ID: [ID filtered]

    The ACH transaction (ID: 71571033415282), recently sent from your checking
    account (by you or any other person), was canceled by the Electronic
    Payments
    Association.

    Canceled transaction
    Transaction ID: 71571033415282
    Reason for rejection See details in the report below
    Transaction Report report_71571033415282.doc
    whois:http://ntf.thealliswell.com/owyjru6/index.html (Microsoft Word Document)

    13450 Sunrise Valley Drive, Suite 100
    Herndon, VA 20171

    2011 NACHA - The Electronic Payments Association
    whois:http://ntf.thealliswell.com/owyjru6/index.html

    IP: 74.220.207.190 ---> host190.hostmonster.com

    ist aber natürlich nur ein Redirect zu weiteren gecrackten Servern:

    whois:http://costumedame.ro/ajaxam.js

    whois:http://inverl.de/ajaxam.js

    whois:http://noelg.host22.com/ajaxam.js

    whois:http://sterilizarea-apei.ro/ajaxam.js

    Was dieses Javascript dann anstellt, möchte ich lieber nicht wissen. Gehört wohl zu Zeus und Co.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  2. #2
    Senior Mitglied Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.067

    Standard

    Zitat Zitat von kjz1 Beitrag anzeigen
    Was dieses Javascript dann anstellt, möchte ich lieber nicht wissen. Gehört wohl zu Zeus und Co.
    So wie ich das sehe ist das nur eine Weiterleitung auf http://whois:westarray.com/main.php?page=7928535f9ea8b197 . Was diese Seite dann anstellt kapiere ich aber nicht.

    offtopic:
    Man kann Javascript-Dateien gefahrlos mit dem Kommando "wget" herunterladen und offline analysieren. Der Vorteil von JS ist dass es komplett clientseitig läuft und man deshalb den kompletten Quellcode einsehen kann. Bei PHP-Skripten funktioniert das nicht, da diese serverseitig ausgeführt werden.

    Durchgeknallter Netzindianer und stolz drauf


  3. #3
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.934

    Standard

    Ich hatte das mal durchexerziert, wobei dann der Virenscanner direkt anschlug und vor einem Drive-by-Exploit warnte. Noch tiefer wollte ich dann nicht bohren.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  4. #4
    Senior Mitglied Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Solli ist Forum Guru Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.067

    Standard

    Jetzt habe ich gerade mein eigenes Exemplar davon bekommen:


    header:
    01: Received: from static-24-152-84-188.ipcom.comunitel.net (unknown
    02: [188.84.152.24])
    03: by xxx (Postfix) with ESMTP id
    04: 57B9842585
    05: for <xxx>; Wed, 23 Nov 2011 xx:xx:xx +0100 (CET)
    06: Received: from apache by axsone.com with local (Exim 4.63)
    07: (envelope-from <poor [at] spamvictim.tld>) ID: [ID filtered]
    08: for <xxx>; Wed, 23 Nov 2011 xx:xx:xx +0100
    09: Date: Wed, 23 Nov 2011 xx:xx:xx +0100
    10: From: noreply [at] direct.nacha.org
    11: Message-ID: [ID filtered]
    12: X-Priority: 3
    13: X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
    14: MIME-Version: 1.0
    15: Subject: Disallowed Direct Deposit payment
    16: Content-Type: text/plain; charset="iso-8859-1"
    17: Content-Transfer-Encoding: quoted-printable

    Ich hab das mal in einer sicheren Umgebung ausprobiert. Wie bereits erwähnt wurde ist es eine lange Weiterleitungs-Kette. Als er dann aber ein Java-Applet laden wollte habe ich abgebrochen. Das ist mit 99%iger Wahrscheinlichkeit Malware.

    Durchgeknallter Netzindianer und stolz drauf


  5. #5
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.934

    Standard

    Heute dann kein verschleierter Download mehr (gehen denen die gecrackten Server aus...), sondern direkt mit virenverseuchtem Anhang:


    header:
    01: Received: from ip-145-19-71-77.topoli.net (ip-145-19-71-77.topoli.net
    02: [77.71.19.145])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Fri, 25 Nov 2011 xx:xx:xx -0500 (EST)
    05: Received: from (192.168.1.103) by nacha.org (77.71.19.145) with
    06: Microsoft SMTP Server ID: [ID filtered]

    The ACH transfer (ID: 463473843745) recently initiated from your bank
    account,
    was canceled by The Electronic Payments Association (NACHA).

    Please download the attachment (transfer report pdf).

    If you have any questions please contact us at info@nacha.org.
    Thank you for using http://www.nacha.org.

    Patrick Wilson
    Department of Risk Management,
    Insurance & Loss Prevention.
    NACHA

    3450 Sunrise Valley dr.
    Suite 125
    Herndon, VA 20170
    (703)232-7624 ext 489
    Download report id463473483745.pdf.exe

    Content-Type: application/x-msdos-program;
    name="id463473483745.pdf.exe"
    Content-Transfer-Encoding: base64
    Content-ID: <d24f8a2f2636$15010aa0$7c1d44b9${abcbig}>
    Content-Disposition: inline;
    filename="id463473483745.pdf.exe"


    header:
    01: Received: from 3.34.60.213.static.mundo-r.com
    02: (3.34.60.213.static.mundo-r.com [213.60.34.3])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Fri, 25 Nov 2011 xx:xx:xx -0500 (EST)
    05: Received: from (192.168.1.42) by nacha.org (213.60.34.3) with Microsoft
    06: SMTP Server ID: [ID filtered]

    The ACH transfer (ID: 463743483745) recently initiated from your bank
    account,
    was canceled by The Electronic Payments Association (NACHA).

    Please download the attachment (transfer report pdf).

    If you have any questions please contact us at info@nacha.org.
    Thank you for using http://www.nacha.org.

    Patrick Wilson
    Department of Risk Management,
    Insurance & Loss Prevention.
    NACHA

    3450 Sunrise Valley dr.
    Suite 125
    Herndon, VA 20170
    (703)232-7624 ext 489
    Download report id463473483745.pdf.exe

    Content-Type: application/x-msdos-program;
    name="id463473483745.pdf.exe"
    Content-Transfer-Encoding: base64
    Content-ID: <4e74951162ac$fd7d041c$b39118c8${abcbig}>
    Content-Disposition: inline;
    filename="id463473483745.pdf.exe"
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  6. #6
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.934

    Standard

    Man hat wieder einen Server gecrackt:


    header:
    01: Received: from alicedsl.de (f049131218.adsl.alicedsl.de [78.49.131.218])
    02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Mon, 21 Nov 2011 xx:xx:xx -0500 (EST)
    04: Received: from (192.168.1.207) by nacha.org (78.49.131.218) with
    05: Microsoft SMTP Server ID: [ID filtered]

    The ACH transaction (ID: 46940357964146), recently sent from your checking
    account (by you or any other person), was canceled by the Electronic
    Payments
    Association.

    Rejected transaction
    Transaction ID: 46940357964146
    Rejection Reason See details in the report below
    Transaction Report report_46940357964146.doc
    whois:http://newyorklimocar.com/8mgh4d/index.html (Microsoft Word Document)

    13450 Sunrise Valley Drive, Suite 100
    Herndon, VA 20171

    2011 NACHA - The Electronic Payments Association
    IP: 173.205.124.13 ---> InMotion Hosting
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  7. #7
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.934

    Standard

    Wieder ein Server aus deutschen Landen gecrackt:


    header:
    01: Received: from host-87-242-45-189.prtelecom.hu
    02: (host-87-242-45-189.prtelecom.hu [87.242.45.189])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Tue, 29 Nov 2011 xx:xx:xx -0500 (EST)
    05: Received: from (192.168.1.116) by nacha.org (87.242.45.189) with
    06: Microsoft SMTP Server ID: [ID filtered]

    The ACH transaction (ID: 5919411889808), recently sent from your checking
    account (by you or any other person), was canceled by the other financial
    institution.

    Canceled transaction
    Transaction ID: 5919411889808
    Reason for rejection See details in the report below
    Transaction Report report_5919411889808.doc
    whois:http://modegeheimnis.de/c5e563/index.html (Microsoft Word Document)

    13450 Sunrise Valley Drive, Suite 100
    Herndon, VA 20171

    2011 NACHA - The Electronic Payments Association
    IP: 85.13.129.146 ---> dd3010.kasserver.com
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  8. #8
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.934

    Standard

    Gleicher Virenverbreiter (der Cracker fischt seine Adresse aus dem Usenet, kann man sehr schön sehen: kaum wird ein Posting abgesetzt, schon trudelt einige Stunden später die Virenschleuder ein) mit leicht geänderter Masche:


    header:
    01: Received: from telstraclear.net (unknown [121.72.137.184])
    02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Mon, 5 Dec 2011 xx:xx:xx -0500 (EST)

    IP: 121.72.137.184 ---> 121-72-137-184.dsl.telstraclear.net

    Internal Revenue Service United States Department of the Treasury

    Your Tax transaction (ID: 85610364647548), recently initiated from
    your bank account was canceled by the your financial institution.

    Rejected Tax transfer
    Tax Transaction ID: 85610364647548
    Return Reason : See details in the report below

    Federal Tax Transaction Report:
    http://

    Attention Tax Exempt/Non Profit OrganizationsAt the beginning of the
    online EIN application process, you will be asked to check a box that
    best describes your legal structure. The legal structure for all Tax
    Exempt/Non Profit Organizations is found under the 7th option, �View
    Additional Types, Including Tax Exempt and Governmental Agencies.�
    Non-profit organizations include corporations, trusts, limited liability
    companies, and unincorporated associations that qualify for tax-exempt
    status under Internal Revenue Code (IRC) 501(a) as described in
    Publication 557 (Tax-Exempt Status for Your Organization).

    Internal Revenue Service,
    Metro Plex 1,
    8401 Corporate Drive, Suite 300,
    Landover, MD 20785
    Dem Ganoven sind mal wieder die gecrackten Server ausgegangen, oder der Zombie is putt,
    aus dem HTML-Teil:

    whois:http://">tax_report_85610364647548.pdf
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  9. #9
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.934

    Standard

    Sieht zwar etwas anders aus, aber die Masche verrät den Virenverbreiter (wieder eine halbstaatliche Institution als Köder, wieder mehrere Weiterleitungen, wieder auf die im Usenet geerntete Adresse).


    header:
    01: Received: from 243.84-48-66.nextgentel.com (243.84-48-66.nextgentel.com
    02: [84.48.66.243])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Wed, 7 Dec 2011 xx:xx:xx -0500 (EST)
    05: Received: from (192.168.1.44) by bbb.org (84.48.66.243) with Microsoft
    06: SMTP Server ID: [ID filtered]


    header:
    01: Received: from mail.ipm.ie (mail.ipm.ie [213.191.230.109])
    02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Wed, 7 Dec 2011 xx:xx:xx -0500 (EST)
    04: Received: from apache by bbb.org with local (Exim 4.63)
    05: (envelope-from <manager [at] bbb.org>)
    06: ID: [ID filtered]
    07: for xxxxx; Wed, 7 Dec 2011 xx:xx:xx +0000

    Attn: Owner/Manager
    The Better Business Bureau has been filed the above mentioned complaint
    from one
    of your customers in respect of their business relations with you.
    The details of the consumer's concern are contained in attached file.
    Please review this case and notify us of your point of view.
    Please click here whois:http://38.106.32.183/58cadf/index.html to reply this
    complaint.

    We look forward to your prompt reply.

    Sincerely,
    Louis Gerald
    Better Business Bureau

    --------------------------------------------------------------------------------


    Council of Better Business Bureaus
    4200 Wilson Blvd, Suite 800
    Arlington, VA 22203-1838
    Phone: 1 (703) 276.0100
    Fax: 1 (703) 525.8277
    whois:http://38.106.32.183/58cadf/index.html

    leitet weiter auf:

    whois:http://kappeskepp.de/ajaxam.js
    whois:http://wpcod.ugu.pl/ajaxam.js
    whois:http://www.yembeorquesta.com/ajaxam.js

    von dort geht es weiter auf:

    whois:http://billycharge.com/main.php?page=69dbd5a1e3ed6ae9

    in der zweiten Mail:

    whois:http://academiadeevenimente.ro/842f19/index.html

    weiter auf:

    whois:http://elvideomatondelabiblio.es/ajaxam.js
    whois:http://visoptica.com/ajaxam.js
    whois:http://hellmann-architekten.de/ajaxam.js

    dann auf:

    whois:http://combigave.com/main.php?page=111d937ec38dd17e

    Wohl Vlads oder Russkis, die Server direkt im Hunderterpack cracken. Was das Skript auf jeweils dem letzten Server anstellt, möchte ich lieber nicht wissen.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  10. #10
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.934

    Standard

    Heute war wieder das BBB dran:


    header:
    01: Received: from chello084112061132.31.11.univie.teleweb.at
    02: (chello084112061132.31.11.univie.teleweb.at [84.112.61.132])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Thu, 8 Dec 2011 xx:xx:xx -0500 (EST)
    05: Received: from (192.168.1.145) by bbb.org (84.112.61.132) with
    06: Microsoft SMTP Server ID: [ID filtered]

    in der Spammail:

    whois:http://sharrylbryan.biz/45a887/index.html

    1. Weiterleitung:

    whois:http://elvideomatondelabiblio.es/ajaxam.js
    whois:http://visoptica.com/ajaxam.js
    whois:http://hellmann-architekten.de/ajaxam.js
    whois:http://tbattitu.o2switch.net/ajaxam.js

    2. Weiterleitung:

    whois:http://combijump.com/main.php?page=111d937ec38dd17e

    IP: 46.45.137.206 ---> 46-45-137-206.turkrdns.com

    Spamhaus meint dazu:

    Ref: SBL123508
    46.45.137.206/32 is listed on the Spamhaus Block List (SBL)

    07-Dec-2011 19:50 GMT | SR29
    Blackhole exploit kit @46.45.137.206
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

+ Antworten
Seite 1 von 8 1 2 3 ... LetzteLetzte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
Partnerlink:
REDDOXX Anti-Spam Lösungen