Zur Zeit erhalte ich regelmäßig jeden Tag wohl einen Link zu einem Exploit, als 'Nacha' Mail getarnt


header:
01: Received: from 226.subnet110-137-237.speedy.telkom.net.ID: [ID filtered]
02: [110.137.237.226])
03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
04: for xxxxx; Wed, 23 Nov 2011 xx:xx:xx -0500 (EST)
05: Received: from sduttiahcbiadatv (192.168.1.52) by
06: sduttiahcbiadatv.wonderware.com (110.137.237.226) with Microsoft SMTP
07: Server ID: [ID filtered]

The ACH transaction (ID: 71571033415282), recently sent from your checking
account (by you or any other person), was canceled by the Electronic
Payments
Association.

Canceled transaction
Transaction ID: 71571033415282
Reason for rejection See details in the report below
Transaction Report report_71571033415282.doc
whois: [Link nur für registrierte Mitglieder sichtbar. ] (Microsoft Word Document)

13450 Sunrise Valley Drive, Suite 100
Herndon, VA 20171

2011 NACHA - The Electronic Payments Association
whois: [Link nur für registrierte Mitglieder sichtbar. ]

IP: 74.220.207.190 ---> host190.hostmonster.com

ist aber natürlich nur ein Redirect zu weiteren gecrackten Servern:

whois: [Link nur für registrierte Mitglieder sichtbar. ]

whois: [Link nur für registrierte Mitglieder sichtbar. ]

whois: [Link nur für registrierte Mitglieder sichtbar. ]

whois: [Link nur für registrierte Mitglieder sichtbar. ]

Was dieses Javascript dann anstellt, möchte ich lieber nicht wissen. Gehört wohl zu Zeus und Co.