PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Momentane Joe-Job-Welle (Sammelthread)



Weissbrot
02.09.2006, 19:31
Heute kam der nächste Dreck rein. Wieder in mehrfacher Ausführung.
Diesmal als HOAX - abgeschickt angeblich von joewein.com (Joe Wein).

Vermutlich ist joewein (http://www.antispam-ev.de/forum/member.php?u=129) damit gemeint. Seine Websites kenne ich zufällig ganz gut. ;)

Abgekippt wurde der Müll über einen Spam-Proxy in Korea: http://www.spamhaus.org/query/bl?ip=219.250.97.103

From - Sat Sep 2 xx:xx:xx 2006
X-Apparently-To: ***@*** via 66.163.179.121; Sat, 02 Sep 2006 xx:xx:xx -0700
X-YahooFilteredBulk: 219.250.97.103
X-Originating-IP: [219.250.97.103]
Authentication-Results: mta202.mail.mud.yahoo.com
from=joewein.com; domainkeys=neutral (no sig)
Received: from 219.250.97.103 (HELO joewein.com) (219.250.97.103)
by mta202.mail.mud.yahoo.com with SMTP; Sat, 02 Sep 2006 xx:xx:xx -0700
Received: from unknown (37.125.167.177)
by qrx.quickslick.com with QMQP; Sat, 02 Sep 2006 xx:xx:xx -1100
Message-ID: [ID filtered]
Date: Sat, 02 Sep 2006 xx:xx:xx -1100
Reply-To: "Infekt" <security [at] joewein.com>
From: "Infekt" <security [at] joewein.com>
User-Agent: Mozilla 4.7 [en] (Win98; U)
X-Accept-Language: en-us
MIME-Version: 1.0
To: <***@***>
Subject: Achtung es hat sich eventuell ein Virus in Ihr System eingeschlichen
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bitapi-Virus

Folgende Warnung erreichte uns heute von verschiedenen Sicherheitszentren.

Dursuchen Sie Ihr Festplatte C nach " setupapi.dll "

Falls Sie diesen Virus finden bitte sofort von der Festplatte entfernen.

Senden Sie diese Mail nur an Freunde und Bekannte weiter, damit es nicht zu
einem Hoax ausartet.

Zur Sicherheit empfehlen wir: Kaspersky Anti-Virus Mail-Server Milter API.

Joe Wein

Lachsy
03.09.2006, 12:25
auch bekommen

Received: from [211.192.45.160] (helo=joewein.com)
by XXXXX
ID: [ID filtered]
for XXXXX [at] XXXX; Sun, 03 Sep 2006 xx:xx:xx +0200
Received: from qrx.quickslick.com ([162.41.129.78])
by mx.reskind.net with ESMTP; Sun, 03 Sep 2006 xx:xx:xx +0000
Received: from 126.126.143.15 ([126.126.143.15]) by rsmail.alkoholic.net with SMTP; Sun, 03 Sep 2006 xx:xx:xx +0000
Received: from [120.120.190.79] by smtp.mixedthings.net with SMTP; Sun, 03 Sep 2006 xx:xx:xx +0000
Received: from unknown (HELO nntp.pinxodet.net) (76.165.159.45)
by mail.naihautsui.co.kr with NNFMP; Sun, 03 Sep 2006 xx:xx:xx +0000
Message-ID: [ID filtered]
Date: Sun, 03 Sep 2006 xx:xx:xx +0000
Reply-To: "Filter" <security [at] joewein.com>
From: "Filter" <security [at] joewein.com>
User-Agent: Mozilla 4.61 [en] (Win95; U)
MIME-Version: 1.0
To: <XXXX [at] XXXX>
Subject: Achtung es hat sich eventuell ein Virus in Ihr System eingeschlichen
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
Sender: security [at] joewein.com

oliveer
03.09.2006, 12:41
Received: from [219.159.73.201] (helo=joewein.com)
by mx33.web.de with smtp (WEB.DE 4.107 #114)
ID: [ID filtered]
for xxx; Sun, 03 Sep 2006 xx:xx:xx +0200
Received: from 92.13.248.126 ([92.13.248.126]) by mx03.listsystemsf.net with ESMTP; Sun, 03 Sep 2006 xx:xx:xx -0100
Received: from unknown (HELO mmx09.tilkbans.com) (109.216.113.189)
by mx.reskind.net with ESMTP; Sun, 03 Sep 2006 xx:xx:xx -0100
Received: from 42.214.101.14 ([42.214.101.14]) by nntp.pinxodet.net with NNFMP; Sun, 03 Sep 2006 xx:xx:xx -0100
Received: from unknown (137.187.50.199)
by mailout.endmonthnow.com with ASMTP; Sun, 03 Sep 2006 xx:xx:xx -0100
Message-ID: [ID filtered]
Date: Sun, 03 Sep 2006 xx:xx:xx -0100
From: "Filter" <security [at] joewein.com>
User-Agent: Mozilla/4.79C-CCK-MCD {C-UDP; EBM-APPLE} (Macintosh; U; PPC)
MIME-Version: 1.0
To: <xxx>
Subject: Achtung es hat sich eventuell ein Virus in Ihr System eingeschlichen
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
Sender: security [at] joewein.com

Auch bei mir aufgeschlagen...

in diesem Sinne

Oliver

Wurgl
04.09.2006, 09:32
Zwei Header hab ich schon
hier (http://www.antispam-ev.de/forum/showpost.php?p=74608&postcount=4) gepostet.

Und heute find ich im Müll einen ähnlichen:
Delivered-To: ******@gmail.com
Received: by 10.90.70.17 with SMTP ID: [ID filtered]
Sun, 3 Sep 2006 xx:xx:xx -0700 (PDT)
Received: by 10.35.107.20 with SMTP ID: [ID filtered]
Sun, 03 Sep 2006 xx:xx:xx -0700 (PDT)
Return-Path: <security [at] joewein.com>
Received: from joewein.com ([125.244.249.3])
by mx.gmail.com with SMTP ID: [ID filtered]
Sun, 03 Sep 2006 xx:xx:xx -0700 (PDT)
Received-SPF: error (gmail.com: error in processing during lookup of security [at] joewein.com: DNS timeout)
Received: from unknown (HELO rly04.hottestmile.com) (36.232.46.4)
by smtp4.cyberemailings.com with LOCAL; Mon, 04 Sep 2006 xx:xx:xx +1200
Received: from [146.250.182.192] by smtp4.cyberemailings.com with ASMTP; Mon, 04 Sep 2006 xx:xx:xx +1200
Received: from unknown (HELO relay.2yahoo.com) (92.48.213.200)
by nntp.pinxodet.net with SMTP; Mon, 04 Sep 2006 xx:xx:xx +1200
Message-ID: [ID filtered]
Date: Mon, 04 Sep 2006 xx:xx:xx +1200
From: "Danger" <security [at] joewein.com>
User-Agent: Mozilla 4.73 [en]C-SYMPA (Win98; U)
MIME-Version: 1.0
To: <******@gmail.com>
Subject: Achtung, Ihr Rechner ist angeblich infiziert!
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit


Kommt meiner Meinung nach aus Korea 125.244.249.3, ich glaub der Rest im Header ist nur Fälschungsrotz.

Der Text ist aber diesmal länger:

api-Virus

Folgende Warnung erreichte uns heute von verschiedenen Sicherheitszentren.

Dursuchen Sie Ihr Festplatte C nach " setupapi.dll "

Falls Sie diesen Virus finden bitte sofort von der Festplatte entfernen.

Senden Sie diese Mail nur an Freunde und Bekannte weiter, damit es nicht zu
einem Hoax ausartet.

Zur Sicherheit empfehlen wir: Kaspersky Anti-Virus Mail-Server Milter API.

Joe Wein

www.joewein.com












Das Ziel war damals eine Lösung zum Abschotten eines Netzes gegen
Viren, aber für HTTP habe ich nichts gefunden und habe deshalb
angefangen einen HTTP-AntiViren-Filter-Proxy in C zu schreiben (der
hat nur Filter-Funktion und braucht einen Parent-Proxy, kein
Squid-Ersatz!!). Allerdings habe ich im Moment *sehr* viel zutun und
habe das deswegen kurzzeitig auf Eis gelegt. Da ist aber nicht mehr
*so* viel zu machen (Scannen müsste schon funktionieren, es muss im
Falle eines Falles nur noch eine Fehlerseite produziert werden und
statt der richtigen zurückgesendet werden, ansonsten proxiet er
schon).

Liquid-Sky-Net
06.09.2006, 06:19
Moin, mal was ganz neues. Zumindest haben wir so etwas in der Art noch nicht bekommen. Heute Nacht gleich auf mehreren Postfächern eingegangen, wovon 2 eigentlich nie benutzt werden und somit auch nicht gelistet sein dürften :-/



Hoffe ich hab diesmal mit dem Header und den Links alles richtig gemacht:o


Received: from dhmx02.web.de ([217.72.192.131])
by mx18.web.de with esmtp (WEB.DE 4.107 #114)
ID: [ID filtered]
for ***@web.de; Wed, 06 Sep 2006 xx:xx:xx +0200
Received: from [196.202.233.153] (helo=ehebericht.de)
by dhmx02.web.de with smtp (WEB.DE 4.102 #134)
ID: [ID filtered]
for info@****; Wed, 06 Sep 2006 xx:xx:xx +0200
Received: from unknown (HELO nntp.pinxodet.net) (185.10.224.37)
by smtp.doneohx.com with ESMTP; Wed, 06 Sep 2006 xx:xx:xx +0300
Received: from 106.34.95.42 ([106.34.95.42]) by mtu67.syds.piswix.net with LOCAL; Wed, 06 Sep 2006 xx:xx:xx +0300
Received: from smtp.doneohx.com ([190.205.108.241])
by relay.2yahoo.com with ASMTP; Wed, 06 Sep 2006 xx:xx:xx +0300
Received: from unknown (HELO mx.reskind.net) (157.196.54.46)
by snmp.otwaloow.com with ASMTP; Wed, 06 Sep 2006 xx:xx:xx +0300
Received: from mtu23.bigping.com ([112.14.231.198])
by rly04.hottestmile.com with SMTP; Wed, 06 Sep 2006 xx:xx:xx +0300
Message-ID: [ID filtered]
Date: Wed, 06 Sep 2006 xx:xx:xx +0300
From: "Wiegand" <info@*.de>
User-Agent: Mozilla 4.7 [en] (Win98; U)
X-Accept-Language: en-us
MIME-Version: 1.0
To: <info@***>
Subject: Ranking, bitte um Mithilfe. Posten Sie Links.
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
Sender: info@*.de


Linkliste

Sehr geehrte Damen und Herren,

bitte helfen Sie mir ein gutes Pagerank zu erhalten und posten meine
Linkliste:

www.family-wiegand.de
www.wiegand-family.de
www.btstravelchiangmai.com
www.btstravelchiangmai.org
www.jimmythailand.de
www.jimmythailand.net
www.wiegand-michael.de
www.wiegand-thomaswilfriedwiegand.de
www.thomaswilfriedwiegand-wiegand.de
www.thomaswilfried-wiegand.de
www.wiegandthomas.de
www.wiegand.info
www.ehebericht.de
www.bundeswehrsoldaten.de
www.bundeswehreinsatz.de
www.internationale-vereinigung-der-militaerischen-gebirgsschulen.de


Recht herzlichen Dank! Ich poste auch gern Ihre Liste!

Die verlinkten Partnerprogramme sind ein Beispiel aus eigenem Antrieb
Einnahmequellen zu kennen, erkennen und evtl. selber anzuwenden.



Wiegand
info@*.de









Das Ziel war damals eine Lösung zum Abschotten eines Netzes gegen
Viren, aber für HTTP habe ich nichts gefunden und habe deshalb
angefangen einen HTTP-AntiViren-Filter-Proxy in C zu schreiben (der
hat nur Filter-Funktion und braucht einen Parent-Proxy, kein
Squid-Ersatz!!). Allerdings habe ich im Moment *sehr* viel zutun und
habe das deswegen kurzzeitig auf Eis gelegt. Da ist aber nicht mehr
*so* viel zu machen (Scannen müsste schon funktionieren, es muss im
Falle eines Falles nur noch eine Fehlerseite produziert werden und
statt der richtigen zurückgesendet werden, ansonsten proxiet er
schon).

Sirius
06.09.2006, 07:44
Dieser Dreck stammt vom selben Joe-Jobber wie hier: http://www.antispam-ev.de/forum/showthread.php?t=12246
(Der letzte Absatz ist identisch.)

@Mods - Bitte das erste Posting entschärfen.

Weissbrot
06.09.2006, 07:58
Ich habe den Mist auch doppelt bekommen. Identischer Text.

Abgekippt über einen Proxy in Moskau: http://www.spamhaus.org/query/bl?ip=195.14.32.178
X-Apparently-To: ***@*** via 66.163.179.124; Tue, 05 Sep 2006 xx:xx:xx -0700
X-YahooFilteredBulk: 195.14.32.178
X-Originating-IP: [195.14.32.178]
Authentication-Results: mta337.mail.mud.yahoo.com
from=*** .de; domainkeys=neutral (no sig)
Received: from 195.14.32.178 (HELO *** .de) (195.14.32.178)
by mta337.mail.mud.yahoo.com with SMTP; Tue, 05 Sep 2006 xx:xx:xx -0700
Received: from unknown (210.146.170.190)
by mx03.listsystemsf.net with SMTP; Wed, 06 Sep 2006 xx:xx:xx +1100
Received: from unknown (151.200.206.218)
by mailout.endmonthnow.com with ESMTP; Wed, 06 Sep 2006 xx:xx:xx +1100
Message-ID: [ID filtered]
Date: Wed, 06 Sep 2006 xx:xx:xx +1100
From: "Wiegand" <info@ ***.de>
User-Agent: Mozilla 4.79 [en] (Win95; U)
X-Accept-Language: en-us
MIME-Version: 1.0
To: <***@***>
Subject: Ranking, bitte um Mithilfe. Posten Sie Links.
X-Apparently-To: ***@ *** via 66.163.179.124; Tue, 05 Sep 2006 xx:xx:xx -0700
X-YahooFilteredBulk: 195.14.32.178
X-Originating-IP: [195.14.32.178]
Authentication-Results: mta255.mail.scd.yahoo.com
from=*** .de; domainkeys=neutral (no sig)
Received: from 195.14.32.178 (HELO *** .de) (195.14.32.178)
by mta255.mail.scd.yahoo.com with SMTP; Tue, 05 Sep 2006 xx:xx:xx -0700
Received: from qnx.mdrost.com ([112.180.231.164])
by qrx.quickslick.com with QMQP; Wed, 06 Sep 2006 xx:xx:xx +0400
Received: from smtp18.yenddx.com ([184.121.210.61])
by asx121.turbo-inline.com with ASMTP; Wed, 06 Sep 2006 xx:xx:xx +0400
Received: from mts.locks.grgtween.net ([90.215.15.2])
by mail.gimmicc.net with ESMTP; Wed, 06 Sep 2006 xx:xx:xx +0400
Message-ID: [ID filtered]
Date: Wed, 06 Sep 2006 xx:xx:xx +0400
From: "Wiegand" <info@ *** .de>
User-Agent: Mozilla 4.78 [en] (Windows NT 5.0; U)
MIME-Version: 1.0
To: <***@***>
Subject: Ranking, bitte um Mithilfe. Posten Sie Links.

Sebastian
06.09.2006, 21:43
From - Wed Sep 06 xx:xx:xx 2006
X-Account-Key: account8
X-UIDL: [UID filtered]
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
Return-Path: <info [at] ehebericht.de>
Delivered-To: [bisher-spamfreie-Adresse:sick:]
Received: (qmail 2051 invoked from network); 6 Sep 2006 xx:xx:xx -0000
Received: from unknown ([80.67.18.53])
by sleet.ispgateway.de (qmail-ldap-1.03) with QMQP; 6 Sep 2006 xx:xx:xx -0000
Delivered-To: CLUSTERHOST mx20.ispgateway.de
[bisher-spamfreie-Adresse:sick:]
Received: (qmail 21120 invoked from network); 6 Sep 2006 xx:xx:xx -0000
X-Spam-Checker-Version: SpamAssassin 3.1.3 (2006-06-01) on
spamfilter03.ispgateway.de
X-Spam-Level:
X-Spam-Status: No, hits=0.8 required=9999.0 tests=INFO_TLD autolearn=disabled
version=3.1.3
Received: from smtp-out2.pop-interactive.de ([212.79.49.37])
(envelope-sender <poor [at] spamvictim.tld>)
by mx20.ispgateway.de (qmail-ldap-1.03) with SMTP
for <[bisher-spamfreie-Adresse:sick:]>; 6 Sep 2006 xx:xx:xx -0000
Received: from pop3.pop-interactive.de (pop3.intra.pop-interactive.de [172.16.1.10])
by smtp-out2.pop-interactive.de (Postfix) with ESMTP ID: [ID filtered]
for <[bisher-spamfreie-Adresse:sick:]>; Wed, 6 Sep 2006 xx:xx:xx +0200 (CEST)
Received: from smtp-out.pop-interactive.de (smtp-out.intra.pop-interactive.de [172.16.1.29])
by pop3.pop-interactive.de (Postfix) with ESMTP ID: [ID filtered]
for <[bisher-spamfreie-Adresse:sick:]>; Wed, 6 Sep 2006 xx:xx:xx +0200 (CEST)
Received: from mx1.pop-interactive.de (mx1.intra.pop-interactive.de [172.16.1.34])
by smtp-out.pop-interactive.de (Postfix) with ESMTP ID: [ID filtered]
for <[bisher-spamfreie-Adresse:sick:]>; Wed, 6 Sep 2006 xx:xx:xx +0200 (CEST)
Received: from fallback.pop-interactive.de (fallback.pop-interactive.de [212.79.49.26])
by mx1.pop-interactive.de (Postfix) with ESMTP ID: [ID filtered]
for <[bisher-spamfreie-Adresse:sick:]>; Wed, 6 Sep 2006 xx:xx:xx +0200 (CEST)
Received: from ehebericht.de (unknown [216.133.158.12])
by fallback.pop-interactive.de (Postfix) with SMTP ID: [ID filtered]
for <[bisher-spamfreie-Adresse:sick:]>; Wed, 6 Sep 2006 xx:xx:xx +0200 (CEST)
Received: from [69.236.176.206] by mts.locks.grgtween.net with LOCAL; Tue, 05 Sep 2006 xx:xx:xx -0800
Received: from unknown (67.102.57.28)
by smtp.endend.nl with ASMTP; Tue, 05 Sep 2006 xx:xx:xx -0800
Message-ID: [ID filtered]
Date: Tue, 05 Sep 2006 xx:xx:xx -0800
Reply-To: "Wiegand" <info [at] ehebericht.de>
From: "Wiegand" <info [at] ehebericht.de>
User-Agent: Mozilla 4.7 [en] (Win95; I)
X-Accept-Language: en-us
MIME-Version: 1.0
To: <[bisher-spamfreie-Adresse:sick:]>
Subject: Ranking, bitte um Mithilfe. Posten Sie Links.
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit

Linkliste

Sehr geehrte Damen und Herren,

bitte helfen Sie mir ein gutes Pagerank zu erhalten und posten meine
Linkliste:

www.family-wiegand.de (http://www.family-wiegand.de)
www.wiegand-family.de (http://www.wiegand-family.de)
www.btstravelchiangmai.com (http://www.btstravelchiangmai.com)
www.btstravelchiangmai.org (http://www.btstravelchiangmai.org)
www.jimmythailand.de (http://www.jimmythailand.de)
www.jimmythailand.net (http://www.jimmythailand.net)
www.wiegand-michael.de (http://www.wiegand-michael.de)
www.wiegand-thomaswilfriedwiegand.de (http://www.wiegand-thomaswilfriedwiegand.de)
www.thomaswilfriedwiegand-wiegand.de (http://www.thomaswilfriedwiegand-wiegand.de)
www.thomaswilfried-wiegand.de (http://www.thomaswilfried-wiegand.de)
www.wiegandthomas.de (http://www.wiegandthomas.de)
www.wiegand.info (http://www.wiegand.info)
www.ehebericht.de (http://www.ehebericht.de)
www.bundeswehrsoldaten.de (http://www.bundeswehrsoldaten.de)
www.bundeswehreinsatz.de (http://www.bundeswehreinsatz.de)
www.internationale-vereinigung-der-militaerischen-gebirgsschulen.de (http://www.internationale-vereinigung-der-militaerischen-gebirgsschulen.de)


Recht herzlichen Dank! Ich poste auch gern Ihre Liste!

Wiegand
info [at] ehebericht.de

Das Ziel war damals eine Lösung zum Abschotten eines Netzes gegen
Viren, aber für HTTP habe ich nichts gefunden und habe deshalb
angefangen einen HTTP-AntiViren-Filter-Proxy in C zu schreiben (der
hat nur Filter-Funktion und braucht einen Parent-Proxy, kein
Squid-Ersatz!!). Allerdings habe ich im Moment *sehr* viel zutun und
habe das deswegen kurzzeitig auf Eis gelegt. Da ist aber nicht mehr
*so* viel zu machen (Scannen müsste schon funktionieren, es muss im
Falle eines Falles nur noch eine Fehlerseite produziert werden und
statt der richtigen zurückgesendet werden, ansonsten proxiet er
schon).
Hat der einen Dachschaden oder wie ist das ganze mehrfach auf einen Account zu verstehen???

Noch jemand von diesem Mist "beglückt" worden?

Liquid-Sky-Net
06.09.2006, 22:10
Kann mir das eigentlich mal jemand erklären? Die Inhalte sind total unterschiedlich, aber der untere Teil ist immer der selbe:


Das Ziel war damals eine Lösung zum Abschotten eines Netzes gegen
Viren, aber für HTTP habe ich nichts gefunden und habe deshalb
angefangen einen HTTP-AntiViren-Filter-Proxy in C zu schreiben (der
hat nur Filter-Funktion und braucht einen Parent-Proxy, kein
Squid-Ersatz!!). Allerdings habe ich im Moment *sehr* viel zutun und
habe das deswegen kurzzeitig auf Eis gelegt. Da ist aber nicht mehr
*so* viel zu machen (Scannen müsste schon funktionieren, es muss im
Falle eines Falles nur noch eine Fehlerseite produziert werden und
statt der richtigen zurückgesendet werden, ansonsten proxiet er
schon).

Was will uns dieser Spammer damit sagen? Kenne mich persönlich nicht so gut in dem Bereich aus, aber gibt das überhaupt einen Sinn?

Sebastian
06.09.2006, 22:58
Kann mir mal jemand sagen, warum mein Posting hierhin verschoben wurde und was es mit Joe Wein zu tun hat?

Liquid-Sky-Net
07.09.2006, 00:35
Kann mir mal jemand sagen, warum mein Posting hierhin verschoben wurde und was es mit Joe Wein zu tun hat?

Der letzte Absatz der beiden Spam Mails ist gleich. Entweder war das Absicht (was unlogisch wäre, da man dadurch [hier zum Glück-dadurch schnelle Zuordnung] erkennen kann, daß der erste Absender Identisch mit dem Absander der 2ten Spamist, oder es war ein Fehler des Spammers :D

Sebastian
20.11.2006, 18:13
Aj- setz schon mal einen Hinweis auf die Webseite..

Ich hoffe, mein JoeJob (wenn er dann mal kommt) wird nicht in Vorlesungszeiten kommen..vorsorglich einen Hinweis draufsetzen macht dummen Eindruck und provoziert das dumme Pack vielleicht noch mehr:confused:

Mein Beileid!