Zur Zeit erhalte ich regelmäßig jeden Tag wohl einen Link zu einem Exploit, als 'Nacha' Mail getarnt
header:
01: Received: from 226.subnet110-137-237.speedy.telkom.net.ID: [ID filtered]
02: [110.137.237.226])
03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
04: for xxxxx; Wed, 23 Nov 2011 xx:xx:xx -0500 (EST)
05: Received: from sduttiahcbiadatv (192.168.1.52) by
06: sduttiahcbiadatv.wonderware.com (110.137.237.226) with Microsoft SMTP
07: Server ID: [ID filtered]
The ACH transaction (ID: 71571033415282), recently sent from your checking
account (by you or any other person), was canceled by the Electronic
Payments
Association.
Canceled transaction
Transaction ID: 71571033415282
Reason for rejection See details in the report below
Transaction Report report_71571033415282.doc whois:
[Link nur für registrierte Mitglieder sichtbar. ] (Microsoft Word Document)
13450 Sunrise Valley Drive, Suite 100
Herndon, VA 20171
2011 NACHA - The Electronic Payments Association
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 74.220.207.190 ---> host190.hostmonster.com
ist aber natürlich nur ein Redirect zu weiteren gecrackten Servern:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Was dieses Javascript dann anstellt, möchte ich lieber nicht wissen. Gehört wohl zu Zeus und Co.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Was dieses Javascript dann anstellt, möchte ich lieber nicht wissen. Gehört wohl zu Zeus und Co.
So wie ich das sehe ist das nur eine Weiterleitung auf http://whois:westarray.com/main.php?page=7928535f9ea8b197 . Was diese Seite dann anstellt kapiere ich aber nicht.
offtopic:
Man kann Javascript-Dateien gefahrlos mit dem Kommando "wget" herunterladen und offline analysieren. Der Vorteil von JS ist dass es komplett clientseitig läuft und man deshalb den kompletten Quellcode einsehen kann. Bei PHP-Skripten funktioniert das nicht, da diese serverseitig ausgeführt werden.
Ich hatte das mal durchexerziert, wobei dann der Virenscanner direkt anschlug und vor einem Drive-by-Exploit warnte. Noch tiefer wollte ich dann nicht bohren.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Ich hab das mal in einer sicheren Umgebung ausprobiert. Wie bereits erwähnt wurde ist es eine lange Weiterleitungs-Kette. Als er dann aber ein Java-Applet laden wollte habe ich abgebrochen. Das ist mit 99%iger Wahrscheinlichkeit Malware.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
01: Received: from alicedsl.de (f049131218.adsl.alicedsl.de [78.49.131.218])
02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
03: for xxxxx; Mon, 21 Nov 2011 xx:xx:xx -0500 (EST)
04: Received: from (192.168.1.207) by nacha.org (78.49.131.218) with
05: Microsoft SMTP Server ID: [ID filtered]
The ACH transaction (ID: 46940357964146), recently sent from your checking
account (by you or any other person), was canceled by the Electronic
Payments
Association.
Rejected transaction
Transaction ID: 46940357964146
Rejection Reason See details in the report below
Transaction Report report_46940357964146.doc whois:
[Link nur für registrierte Mitglieder sichtbar. ] (Microsoft Word Document)
13450 Sunrise Valley Drive, Suite 100
Herndon, VA 20171
2011 NACHA - The Electronic Payments Association
IP: 173.205.124.13 ---> InMotion Hosting
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Lesezeichen