PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [UCE] Fw: [...]_report.pdf [mit pdf-Datei im Anhang]



lilla
20.06.2007, 15:39
Neue Variante Stockspam ? oder ganz was anderes. Dateianhang kmuk_report.pdf ist dabei.
-----------------





Von:
"cip Juurinen" <[Juurinen [at] dhgw.de]>

An:xxxxxxxxxxxxx
Betreff:
Fw: kmuk_report.pdf
Datum: Wed, 20. Jun 2007 xx:xx:xx +0200


----- Original Message -----
From: [quang1951 [at] dimensiontool.com]
To: [poor [at] spamvictim.tld]
Sent: Thursday, June xx:xx:xx PM
Subject: kmuk_report.pdf

Ich bin noch ganz zerrauft. Das Schaf, das du willst, steckt da drin. Warst du nicht ein Samana.
Die Asketen, noch irgendwelche Lehre. Vor ihm und wXrden seine SchXler. Dir mir GlXck entgegenkommen.
Auch du, Samana, wirst wieder kommen. Einst, wenn ich Xlter bin, will ich. Da sie es ist, deren Raupen ich get.
Bei mir zu Hause ist wenig Platz. Urquell im eigenen. Doch wenn die Moralit.
Auf der Erde, einen kleinen Prinzen zu tr. Essen fXr beide vorhanden. Der Einfall mit den Elefanten brachte ihn zum Lachen.
Morgen, o Govinda, werde ich dich verlassen. Und was ist es nun, was du zu geben hast. Strom der Gestaltungen unter.
Dies alles ist ja vorXber, dies alles. Manche Gedanken waren es. Erde, bis es einem von ihnen einf.

blizzy
20.06.2007, 16:11
Ob das wirklich eine pdf-Datei war?

Der Rest ist Spam-Prosa.

skater
20.06.2007, 16:14
Ja, das war wirklich eine PDF-Datei.
Tatsächlich Stock-Spam :(

Beworben wird die OYQ.F -- Talktech Telemedia
Die Aktie wurde schonmal beworben --> klick (http://aktien.onvista.de/snapshot.html?ID_OSI=12241962&PERIOD=1#chart)

Gespammt wurde über China 116.139.45.3

lilla
20.06.2007, 16:21
Ja,scheint tatsächlich eine neue Stock Spam Variante zu sein. Noch eine eingetroffen.
-----------------------------------

---- Original Message -----
From: [danita1983 [at] europeip.de]
To: [poor [at] spamvictim.tld]
Sent: Thursday, June xx:xx:xx PM

Spamgegner
20.06.2007, 17:01
Kam bei mir auch an...

Nix-Spam
20.06.2007, 17:39
Folgende Spam-Mail erhielt mein Weibchen heute, die angehängte PDF haben wir mal nicht geöffnet. Interessant bei dieser Mail ist, dass sie scheinbar weitergeleitet wurde. Kann jemand dazu was deuteln?


Return-Path: <Chrystin [at] zazu.disneyonline.com>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 20 Jun 2007 xx:xx:xx -0000
Received: from novum.tn.adsl.slovanet.sk (EHLO [212.55.246.106]) [212.55.246.106]
by mx0.gmx.net (mx090) with SMTP; 20 Jun 2007 xx:xx:xx +0200
Received: from [212.55.246.106] (157.147.163.189)
by Chrystin [at] zazu.disneyonline.com with SMTP;
for <poor [at] spamvictim.tld>; Wed, 20 Jun 2007 xx:xx:xx +0200
Message-ID: [ID filtered]
From: "Chrystin Simon" <Chrystin [at] zazu.disneyonline.com>
To: poor [at] spamvictim.tld
Subject: Fw: xxxxxxxxxl_report.pdf
Date: Wed, 20 Jun 2007 xx:xx:xx +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0007_01C7B35A.C900F460"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3028
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]


This is a multi-part message in MIME format.

------=_NextPart_000_0007_01C7B35A.C900F460
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_0008_01C7B35A.C900F460"


------=_NextPart_001_0008_01C7B35A.C900F460
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: quoted-printable


----- Original Message -----=20
From: Beh1994 [at] uzunyayla.com=20
To: poor [at] spamvictim.tld=20
Sent: Thursday, June xx:xx:xx PM
Subject: xxxxxxxxxl_report.pdf




Siehe, nun bist. So, du Samana, sind. Ich sehe, dass du.
Sansara bewahrt, vor SXnde, vor Habsucht, vor Torheit. Arbeit gehen, =
viel ist zu tun. Ich selbst aber ging mir dabei verloren.
Das ist ein Flugzeug. Mich nur vor ihm verstecken. Es sind zum Teil =
seltsame Gedanken, nicht.
Schritte hin und her, trat aus dem Hause. Von tiefer Traurigkeit =
umfangen. WXrfelspieler wartet Buddha, im Brahmanenwartet der RXuber.
Das ist zu umst. Dem Gotama verdanken, besteht. Aber sei nicht zu =
bescheiden.
Mit der leuchtenden Stirn, mit. Abgelegt, habe das Haar gekXmmt, habe Xl =
im Haare. Ich kann auch ZaubersprXche, aber.
Kleinigkeiten sind, und hat es erreicht. Dann aber erinnerte ich mich, =
da. Da sie es.

baca
20.06.2007, 18:07
über mich gibts gleich 2 PDF's :confused: (ungeöffnet, wenn auch virus-clean)

Return-Path: <vidfrajdnugx [at] easybiz123.com>
Received: from mailin21.aul.t-online.de (mailin21.aul.t-online.de [172.20.27.74])
by mhead404 with LMTP; Wed, 20 Jun 2007 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from dedi629.your-server.de ([78.46.1.29]) by mailin21.sul.t-online.de
with esmtp ID: [ID filtered]
Received: from [207.67.90.111] (helo=207-67-90-111.static.twtelecom.net)
by dedi629.your-server.de with esmtp (Exim 4.52)
ID: [ID filtered]
for sssssssssssssssss.de; Wed, 20 Jun 2007 xx:xx:xx +0200
Received: from 207-67-90-111.static.twtelecom.net (129.191.156.175)
by vidfrajdnugx [at] easybiz123.com with SMTP;
for <sssssssssssssss.de>; Wed, 20 Jun 2007 xx:xx:xx -0400
Message-ID: [ID filtered]
From: "Topi vidfraj" <vidfrajdnugx [at] easybiz123.com>
To: ssssssssssss.de
Subject: *SPAM* Fw: baca_report.pdf
Date: Wed, 20 Jun 2007 xx:xx:xx -0400


Return-Path: <Gunnarebhi [at] teamtampaloans.com>
Received: from mailin23.aul.t-online.de (mailin23.aul.t-online.de [172.20.27.75])
by mhead404 with LMTP; Wed, 20 Jun 2007 xx:xx:xx +0200
X-Sieve: CMU Sieve 2.2
Received: from dedi629.your-server.de ([78.46.1.29]) by mailin23.sul.t-online.de
with esmtp ID: [ID filtered]
Received: from [207.255.26.199] (helo=207-255-26-199-dhcp.det.pa.atlanticbb.net)
by dedi629.your-server.de with esmtp (Exim 4.52)
ID: [ID filtered]
for sssssssssssssss.de; Wed, 20 Jun 2007 xx:xx:xx +0200
Received: from 207-255-26-199-dhcp.det.pa.atlanticbb.net (108.110.95.43)
by Gunnarebhi [at] teamtampaloans.com with SMTP;
for <ssssssssssssssssde>; Wed, 20 Jun 2007 xx:xx:xx -0400
Message-ID: [ID filtered]
From: "Aries Gunnar" <Gunnarebhi [at] teamtampaloans.com>
To: ssssssssssssss.de
Subject: Fw: baca_report.pdf

vorneweg Spamprosa aus einem wirren Kopf

skater
20.06.2007, 18:14
Nun ja, man sollte sie natürlich auch sicherheitshalber nicht öffnen, wer weiss was hinter den PDF-Dateien - ausser dem hohen Traffic, sonst noch steckt ;)

kjz1
20.06.2007, 18:58
Schlug hier auch auf, Stockspam für OYQ.F (http://de.finance.yahoo.com/q?s=oyq.f), die auch schon früher per Spam beworben wurde. Der Name des Anhangs wird gebildet aus [localpart]_report.pdf.

- kjz

Goofy
20.06.2007, 19:05
Bei mir auch aufgeschlagen.

Ich halte es jedoch so, dass ich grundsätzlich pdf-Anhänge unbekannter Absender wegen der immer gegebenen Virengefahr niemals öffne, sondern ungeöffnet in die Rundablage entsorge, selbst wenn der Virenscanner nichts anzeigt.

Es gab schon gerade mit pdf-Anhängen oft Fälle, wo der Virenscanner erst am nächsten Tag den Wurm entdeckt hat.

PDFs sind bis zum Beweis des Gegenteils immer suspekt.

exe
20.06.2007, 19:47
Die Mail ist hier auch eingeschlagen. Abgeworfen über UK (86.155.171.167). Ich frage mich langsam ob die unbegrenzte Botnetkapazitäten haben. Die Mail hat mit Anhang 116kb! Das Ding wenn auf einem Mail-Server einschlägt der für zahlreiche Domains den MX spielt, ist das ein DDoS. :sick:

sis
20.06.2007, 21:02
Bei mir auch zweimal eingetroffen, einmal von 213.234.18.38 (= Volzhsky, Russland), und einmal von 89.253.153.105 (= Sofia, Bulgarien).

Entweder haben die Russen ein schier unbegreifbar großes Botnetz, wo jeder Empfänger von einem einzelnen Botnet-Client angespammt wird, oder die IP-Adressen beherbergen echte Breitband-Rechner (z.B. Uni's oder größere Firmen).

Spam = Pest des 3. Jahrtausends

Rava
20.06.2007, 21:15
Hier meine Version: Received: from gw.viltuva.lt (EHLO mail.viltuva.lt) [213.226.147.1]
by mx0.gmx.net (mx078) with SMTP; 20 Jun 2007 xx:xx:xx +0200
Received: from localhost (localhost [127.0.0.1])
by mail.viltuva.lt (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 20 Jun 2007 xx:xx:xx +0300 (EEST)
Received: from mail.viltuva.lt ([127.0.0.1])
by localhost (sakiai [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP ID: [ID filtered]
Wed, 20 Jun 2007 xx:xx:xx +0300 (EEST)
Received: from [213.252.239.18] (c-150.viltuva.lt [213.226.147.150])
by mail.viltuva.lt (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Wed, 20 Jun 2007 xx:xx:xx +0300 (EEST)
Received: from [213.252.239.18] (180.139.122.16)
by kempton_Medley [at] linuxtemple.com with SMTP;
for <poor [at] spamvictim.tld>; Wed, 20 Jun 2007 xx:xx:xx +0300
Message-ID: [ID filtered]
From: "kempton Medley" <kempton_Medley [at] linuxtemple.com>
Im Anhang auch eine pdf, Rest der Mail Spamprosa.

x3y
21.06.2007, 02:06
So, das Teil hab ich auch bekommen. Was mich wundert, ist das der Dateiname an den Empfänger angepasst ist.
Hier mal ein Screenshot von dem geöffneten PDF
http://img401.imageshack.us/img401/719/stockyn4.jpg

Gruß Jan

wisi
21.06.2007, 09:02
Ist hier auch zweimal aufgeschlagen... erst mal scheint der Bayes-Filter dagegen relativ machtlos zu sein :/ Mal gucken, ob der mit den beiden Exemplaren als Trainingsmaterial da demnächst besser drauf reagiert. Die Dateiangänge hießen jeweils report_<localpartdermail>.pdf .

Max_Muster
21.06.2007, 13:41
Ich habe schon aufgehört mit dem zählen...

Es hat bei mir gestern irgendwann damit angefangen.

Heute müssten es so um die 20 verschiedene gewesen sein.

Alle waren immer von "neuen" Absendern.

Solche Nervensägen hatte ich schon lange nicht mehr.

Da freu ich mich inzwischen ja schon wenn ich zwischendrin mal wieder meine Bankdaten bei der Sparkasse oder Volksbank neu eingeben soll....

Arthur
21.06.2007, 18:39
http://www.heise.de/newsticker/meldung/91509

Nach Bild-Spam nun PDF-Spam
exact der Mist ist bei mir auch eingeschlagen

Max_Muster
22.06.2007, 08:14
Ist denen etwa schon die Luft ausgegangen???

Hatte heute Morgen noch gar kein Mail von denen im Postfach -> Habe Entzugserscheinungen!!!

JohnnyBGoode
22.06.2007, 10:04
Dafür hatte ich gleich drei :mad:

truelife
22.06.2007, 10:30
Hier auch wieder 2... Was sind das bloß für Botnetzkapazitäten? Immerhin hat GMX eine schon mal als Spam erkannt...

Arthur
22.06.2007, 17:56
. Was sind das bloß für Botnetzkapazitäten?
http://www.spiegel.de/wirtschaft/0,1518,490184,00.html

Es ist eine gigantische Spam-Aktion: Rund fünf Milliarden E-Mails mit einer Aktien-Kaufempfehlung sollen in den vergangenen zwei Tagen die Postfächer überflutet haben.

Sugus
22.06.2007, 22:06
Hi



Beworben wird die OYQ.F -- Talktech Telemedia


Spiegel.de hat einen Artikel dazu (http://www.spiegel.de/wirtschaft/0,1518,490184,00.html) gebracht.

rgds
rené

lilla
26.06.2007, 17:22
vermutlich neue Variante.pdf mit 114kb
----------------------------------------

Von: <[bertiefarchik [at] kamin.su]>

An:xxxxxxx
Betreff: Report for bertie
Datum: Tue, 26. Jun 2007 xx:xx:xx +0200

kjz1
26.06.2007, 23:01
Selbstverständlich hat Spammy auch gemerkt, dass die alte Variante zu leicht zu filtern war. Jetzt also aufs Neue:

Received: from [201.30.202.2] (helo=[201.30.202.2]) by mx.kundenserver.de (node=mxeu3) with ESMTP (Nemesis), ID: [ID filtered]

Betreff: Report for Theron

Anhang: report.pdf

Läßt sich aber immer noch filtern....

- kjz

Rava
27.06.2007, 02:03
Hier meine: (wieder mal zahlt es sich aus eine Mailadresse unter Pseudonym zu haben mit der ich ab und an Hackerseiten besuchte)Received: from ll-10.42.109.212.sovam.net.ua (EHLO ll-10.42.109.212.sovam.net.ua) [212.109.42.10]
by mx0.gmx.net (mx092) with SMTP; 26 Jun 2007 xx:xx:xx +0200
Received: by 10.98.212.189 with SMTP ID: [ID filtered]
Tue, 26 Jun 2007 xx:xx:xx +0300 (GMT)
Received: by 192.168.94.19 with SMTP ID: [ID filtered]
Tue, 26 Jun 2007 xx:xx:xx +0300 (GMT)
Message-ID: [ID filtered]
zum Anhang:
md5sum 2e4b2158909f276942dadf6a0b621b1a report.pdf 84398 Bytes

Max_Muster
27.06.2007, 13:50
Wer bietet mehr?

Bis jetzt hatte ich neun verschiedene "Report for ..." in meinem Postfach.

Da kann heute nicht mal "Sie wurde im Büro bestohlen" und ähnliche mithalten...

Rava
27.06.2007, 14:14
Da kann heute nicht mal "Sie wurde im Büro bestohlen" [..] mithalten...
Weder die Boardsuche noch googeln nach "Sie wurde im Büro bestohlen" gab ein Resultat. :nurse: Meintest Du damit beliebigen PXrnX Spam oder was anderes?

Max_Muster
27.06.2007, 17:21
Sorry, ich dachte diese Spam-Mails bekommt auch gerade jeder:

Buero-Diebstahl nimmt zu - Gehen Sie auf Nummer sicher!

Die Polizei empfiehlt:

Sorgen Sie dafuer, dass keine unberechtigten Personen ungehinderten Zugang zu ihrem Arbeitsplatz haben. Schliessen Sie Ihren Raum ab, auch wenn Sie ihn nur kurz verlassen.

Achten Sie auf fremde Personen und fragen Sie diese nach dem Grund des Aufenthaltes. Bitten Sie sie gegebenenfalls, sich in speziellen Wartezonen - sofern vorhanden - aufzuhalten oder begleiten Sie sie waehrend ihres Aufenthaltes im Haus.
Lassen Sie Geld, Wertsachen oder Kreditkarten nicht offen am Arbeitsplatz herumliegen. Lassen Sie Schluesselbunde weder herumliegen noch Schluessel von aussen an der Tuer stecken.
Buerodiebe sind haeufig Serientaeter. Deshalb: Melden Sie in Absprache mit Ihrer Geschaeftsfuehrung jeden Diebstahl sofort der Polizei, denn nur dann kann erfolgreich gefahndet werden.
Diebstahl ist eine Sache von Sekunden. Bueros und andere Arbeitsraeume bieten fuer Diebe ideale Voraussetzungen, um Beute zu machen. Da Firmen und Behoerden oft auch von fremden Personen ungehindert betreten werden koennen, gelangen die Taeter problemlos zum Tatort.
Diebstaehle am Arbeitsplatz bedeuten nicht nur materielle Schaeden. Sie verschlechtern auch das Betriebsklima. Weil man auch Kollegen verdaechtigt, entstehen Misstrauen und Spannungen.

Wenn Sie sicher gehen wollen, sperren Sie Ihre Wertsachen oder Dokumente in einen Tresor. Dies muss kein tonnenschwerer Safe sein,
jedoch auch kein 9-Kilo Hotelmodell. Wir bieten Ihnen einen
22 Kilo - Buero- und Heim-Tresor
mit Codeschloss an, wo ausser Handy und Brieftasche auch mal ein DIN A4 Ordner reinpasst:
22 - Kilo Tresor mit Code-Schloss:



Ideal z.B. im Office: im eSafe finden dank 34x30x37cm grossem Innenraum auch DIN A4-Ordner Platz, so dass Ihre wichtigen und vertraulichen Unterlagen sicher vor Dieben und Blicken falscher Leute sind. Oeffnung erfolgt ueber programmierbaren 4-stelligen Zahlencode, im Notfall auch mechanisch per Schluessel. Aussenmasse 36x35x38cm, Innenmasse 31,5x34,5x34cm, Betrieb mit 4x Mignon, Gewicht 22kg

Lieferumfang:

2 x Schluessel

4 x Hochlast-Metallduebel zur eventuellen zusaetzlichen Befestigung

4 x Mignon-Batterien (bereits eingesetzt)


nur 126,05 ¤ statt 299,- f. vergleichbare Markentresore

Hier koennen Sie bestellen: Hier mit Umtauschrecht bestellen Geben Sie bitte Firma, Namen und Anschrift an. EU Kunden bitte die Umsatzsteuernummer nicht vergessen.
Wir liefern taeglich per UPS mit 4-Wochen gratis Rueckgaberecht - kein Kostenrisiko! Nur 8,- Euro Porto europaweit! 2 Jahre Garantie!

Sollten Sie Fragen oder Kritik zu unserem Infoschreiben haben, bitte kurze Mail an Storno hier klicken bitte

Mit freundlichem Gruss

Klaus Wenzel
Modern Tech Arts
Paris, Mailand, Zuerich, Wien

ecehdveadxegbueodxereaeecmdxdveddxekemb tdydxekegeldveaeneedxegbudwdx
Versand erfolgt durch K. Franks Versand per UPS mit 6 Wochen Umtauschrecht.

Rava
28.06.2007, 00:48
Sorry, ich dachte diese Spam-Mails bekommt auch gerade jeder:

Buero-Diebstahl nimmt zu - Gehen Sie auf Nummer sicher!

Seh ich das erste Mal. Header?

Max_Muster
28.06.2007, 10:22
Hey was ist los? Hatte heute Morgen kein einziges "Report for..." im Postfach.
Ist schon alles vorbei???


Seh ich das erste Mal. Header?

Habe gerade alle Spams zu diesem Thema gelöscht und heute noch kein neues erhalten.
Wenn ich wieder eines bekomme mache ich ein neues Thema auf.

Rava
28.06.2007, 12:37
Habe gerade alle Spams zu diesem Thema gelöscht und heute noch kein neues erhalten.
Wenn ich wieder eines bekomme mache ich ein neues Thema auf.

Wenn es was mit dem report.pdf wie die obigen Fälle ist steck' es bitte hier rein.

Rava
30.06.2007, 10:33
Neue Investment Tip pdf - UCE:
Received: from mx-7.zoominternet.net (EHLO mx-7.zoominternet.net) [24.154.1.26]
by mx0.gmx.net (mx077) with SMTP; 28 Jun 2007 xx:xx:xx +0200
Received: from pop-2.zoominternet.net (mua-2.zoominternet.net [24.154.1.45])
by mx-7.zoominternet.net (8.13.1/8.13.1) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 28 Jun 2007 xx:xx:xx -0400
Received: (qmail 13154 invoked from network); 28 Jun 2007 xx:xx:xx -0000
Received: from unknown (HELO builtin) ([24.154.79.36])
(envelope-sender <poor [at] spamvictim.tld>)
by pop-2.zoominternet.net (qmail-ldap-1.03) with SMTP
for <poor [at] spamvictim.tld>; 28 Jun 2007 xx:xx:xx -0000
Message-ID: [ID filtered]
From: "Andrew Young" <AllenaEricmoravia [at] soapfactory.org>
To: poor [at] spamvictim.tld
Subject: nasa cam basalt;
Date: Thu, 28 Jun 2007 xx:xx:xx +0500

Investor? Information attached.
"She went to the door, paused there for a moment, and then, grotesquely, blew him a kiss.
He wrote another three hours, although by ten oclock the pain had begun to be quite bad.
"She went to the door, paused there for a moment, and then, grotesquely, blew him a kiss.
He had passed a parking lot and had seen an attendant trying to jimmy his way into a car.While he was doing that, the galleys dropped out from under his arm and fell to the rug. "She went to the door, paused there for a moment, and then, grotesquely, blew him a kiss."She went to the door, paused there for a moment, and then, grotesquely, blew him a kiss.
He had passed a parking lot and had seen an attendant trying to jimmy his way into a car."She went to the door, paused there for a moment, and then, grotesquely, blew him a kiss.
He had passed a parking lot and had seen an attendant trying to jimmy his way into a car.
(Größenänderung / Farbgestaltung von mir)

Ist das auch aus einem Botnetz? Kann man das anhand des Headers erkennen?
Kann in die pdf hier leider nicht reingucken (XFce ohne KDE- oder Gnome-Bibliotheken, gibt es XPDF-Viewer die ohne diese Bibliotheken auskommen?)

Anhang:
md5sum 94822c6faaac466a301e473392ac6f38 perspireomicron.pdf 87370 Bytes

An Admins: Artikel evtl verschieben wenn er wo mit dazugehört...
(tnks skater fürs tackern @-->-- )

skater
30.06.2007, 10:57
An Admins: Artikel evtl verschieben wenn er wo mit dazugehört...

Ich habs ma an den bestehenden PDF-Stockspam-fred getackert

skater

cycomate
30.06.2007, 11:02
(XFce ohne KDE- oder Gnome-Bibliotheken, gibt es XPDF-Viewer die ohne diese Bibliotheken auskommen?)Ja: xpdf.