Ergebnis 1 bis 10 von 79

Thema: 'Nacha' Exploit

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard 'Nacha' Exploit

    Zur Zeit erhalte ich regelmäßig jeden Tag wohl einen Link zu einem Exploit, als 'Nacha' Mail getarnt


    header:
    01: Received: from 226.subnet110-137-237.speedy.telkom.net.ID: [ID filtered]
    02: [110.137.237.226])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Wed, 23 Nov 2011 xx:xx:xx -0500 (EST)
    05: Received: from sduttiahcbiadatv (192.168.1.52) by
    06: sduttiahcbiadatv.wonderware.com (110.137.237.226) with Microsoft SMTP
    07: Server ID: [ID filtered]

    The ACH transaction (ID: 71571033415282), recently sent from your checking
    account (by you or any other person), was canceled by the Electronic
    Payments
    Association.

    Canceled transaction
    Transaction ID: 71571033415282
    Reason for rejection See details in the report below
    Transaction Report report_71571033415282.doc
    whois: [Link nur für registrierte Mitglieder sichtbar. ] (Microsoft Word Document)

    13450 Sunrise Valley Drive, Suite 100
    Herndon, VA 20171

    2011 NACHA - The Electronic Payments Association
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    IP: 74.220.207.190 ---> host190.hostmonster.com

    ist aber natürlich nur ein Redirect zu weiteren gecrackten Servern:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Was dieses Javascript dann anstellt, möchte ich lieber nicht wissen. Gehört wohl zu Zeus und Co.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  2. #2
    Senior Mitglied Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.072

    Standard

    Zitat Zitat von kjz1 Beitrag anzeigen
    Was dieses Javascript dann anstellt, möchte ich lieber nicht wissen. Gehört wohl zu Zeus und Co.
    So wie ich das sehe ist das nur eine Weiterleitung auf http://whois:westarray.com/main.php?page=7928535f9ea8b197 . Was diese Seite dann anstellt kapiere ich aber nicht.

    offtopic:
    Man kann Javascript-Dateien gefahrlos mit dem Kommando "wget" herunterladen und offline analysieren. Der Vorteil von JS ist dass es komplett clientseitig läuft und man deshalb den kompletten Quellcode einsehen kann. Bei PHP-Skripten funktioniert das nicht, da diese serverseitig ausgeführt werden.
    Durchgeknallter Netzindianer und stolz drauf

  3. #3
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Ich hatte das mal durchexerziert, wobei dann der Virenscanner direkt anschlug und vor einem Drive-by-Exploit warnte. Noch tiefer wollte ich dann nicht bohren.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  4. #4
    Senior Mitglied Avatar von Solli
    Registriert seit
    20.11.2008
    Ort
    Bayern
    Beiträge
    2.072

    Standard

    Jetzt habe ich gerade mein eigenes Exemplar davon bekommen:


    header:
    01: Received: from static-24-152-84-188.ipcom.comunitel.net (unknown
    02: [188.84.152.24])
    03: by xxx (Postfix) with ESMTP id
    04: 57B9842585
    05: for <xxx>; Wed, 23 Nov 2011 xx:xx:xx +0100 (CET)
    06: Received: from apache by axsone.com with local (Exim 4.63)
    07: (envelope-from <poor [at] spamvictim.tld>) ID: [ID filtered]
    08: for <xxx>; Wed, 23 Nov 2011 xx:xx:xx +0100
    09: Date: Wed, 23 Nov 2011 xx:xx:xx +0100
    10: From: noreply [at] direct.nacha.org
    11: Message-ID: [ID filtered]
    12: X-Priority: 3
    13: X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
    14: MIME-Version: 1.0
    15: Subject: Disallowed Direct Deposit payment
    16: Content-Type: text/plain; charset="iso-8859-1"
    17: Content-Transfer-Encoding: quoted-printable

    Ich hab das mal in einer sicheren Umgebung ausprobiert. Wie bereits erwähnt wurde ist es eine lange Weiterleitungs-Kette. Als er dann aber ein Java-Applet laden wollte habe ich abgebrochen. Das ist mit 99%iger Wahrscheinlichkeit Malware.
    Durchgeknallter Netzindianer und stolz drauf

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Heute dann kein verschleierter Download mehr (gehen denen die gecrackten Server aus...), sondern direkt mit virenverseuchtem Anhang:


    header:
    01: Received: from ip-145-19-71-77.topoli.net (ip-145-19-71-77.topoli.net
    02: [77.71.19.145])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Fri, 25 Nov 2011 xx:xx:xx -0500 (EST)
    05: Received: from (192.168.1.103) by nacha.org (77.71.19.145) with
    06: Microsoft SMTP Server ID: [ID filtered]

    The ACH transfer (ID: 463473843745) recently initiated from your bank
    account,
    was canceled by The Electronic Payments Association (NACHA).

    Please download the attachment (transfer report pdf).

    If you have any questions please contact us at [Link nur für registrierte Mitglieder sichtbar. ].
    Thank you for using http://www.nacha.org.

    Patrick Wilson
    Department of Risk Management,
    Insurance & Loss Prevention.
    NACHA

    3450 Sunrise Valley dr.
    Suite 125
    Herndon, VA 20170
    (703)232-7624 ext 489
    Download report id463473483745.pdf.exe

    Content-Type: application/x-msdos-program;
    name="id463473483745.pdf.exe"
    Content-Transfer-Encoding: base64
    Content-ID: <d24f8a2f2636$15010aa0$7c1d44b9${abcbig}>
    Content-Disposition: inline;
    filename="id463473483745.pdf.exe"


    header:
    01: Received: from 3.34.60.213.static.mundo-r.com
    02: (3.34.60.213.static.mundo-r.com [213.60.34.3])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Fri, 25 Nov 2011 xx:xx:xx -0500 (EST)
    05: Received: from (192.168.1.42) by nacha.org (213.60.34.3) with Microsoft
    06: SMTP Server ID: [ID filtered]

    The ACH transfer (ID: 463743483745) recently initiated from your bank
    account,
    was canceled by The Electronic Payments Association (NACHA).

    Please download the attachment (transfer report pdf).

    If you have any questions please contact us at [Link nur für registrierte Mitglieder sichtbar. ].
    Thank you for using http://www.nacha.org.

    Patrick Wilson
    Department of Risk Management,
    Insurance & Loss Prevention.
    NACHA

    3450 Sunrise Valley dr.
    Suite 125
    Herndon, VA 20170
    (703)232-7624 ext 489
    Download report id463473483745.pdf.exe

    Content-Type: application/x-msdos-program;
    name="id463473483745.pdf.exe"
    Content-Transfer-Encoding: base64
    Content-ID: <4e74951162ac$fd7d041c$b39118c8${abcbig}>
    Content-Disposition: inline;
    filename="id463473483745.pdf.exe"
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.069

    Standard

    Man hat wieder einen Server gecrackt:


    header:
    01: Received: from alicedsl.de (f049131218.adsl.alicedsl.de [78.49.131.218])
    02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Mon, 21 Nov 2011 xx:xx:xx -0500 (EST)
    04: Received: from (192.168.1.207) by nacha.org (78.49.131.218) with
    05: Microsoft SMTP Server ID: [ID filtered]

    The ACH transaction (ID: 46940357964146), recently sent from your checking
    account (by you or any other person), was canceled by the Electronic
    Payments
    Association.

    Rejected transaction
    Transaction ID: 46940357964146
    Rejection Reason See details in the report below
    Transaction Report report_46940357964146.doc
    whois: [Link nur für registrierte Mitglieder sichtbar. ] (Microsoft Word Document)

    13450 Sunrise Valley Drive, Suite 100
    Herndon, VA 20171

    2011 NACHA - The Electronic Payments Association
    IP: 173.205.124.13 ---> InMotion Hosting
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen