PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Lästiges Hyroglyphen-SPAM!



spamtohell
17.11.2009, 22:28
Seit Tagen erhalte ich äußerst lästige Spams mit komischen Hyroglyphen am Ende und der Aufforderung, einen oder zwei Links anzuklicken. Den Gefallen werde ich den Spammern aber nicht tun, denn wer weiß, was einen dann erwartet! Weiß jemand, was sich hinter diesen Links verbirgt?
Die lästigen Spams kommen aus allen Teilen der Welt:

Hier klicken für mehr Infos

Hier klicken für mehr Infos


ttvwlbpgxgmtsqbiznflzaymqttyddstkwwzvvuymjrmnaqqshxhbhaersnjtfmasiifdmetukt



Return-Path: <xxx [at] bluewin.ch>
Received: from mailin09.aul.t-online.de (mailin09.aul.t-online.de [172.20.27.46])
by mhead603 with LMTP;
Tue, 17 Nov 2009 xx:xx:xx +0100
X-Sieve: CMU Sieve 2.3
Received: from public54863.xdsl.centertel.pl ([79.163.214.79]) by mailin09.aul.t-online.de
with smtp ID: [ID filtered]
X-Message-Info: %RNDUCCHAR15%RNDLCCHAR13%RNDUCCHAR15%RNDDIGIT13%RNDLCCHAR13%RNDUCCHAR13%RNDLCCHA R14%RNDUCCHAR16%RNDLCCHAR13%RNDUCCHAR13%RNDLCCHAR13%RNDUCCHAR13%RNDLCCHAR13%RNDD IGIT13
Received: from whiff-dns.yahoo.com (240.12.188.50) by %RNDLCCHAR13%RNDDIGIT13-%RNDLCCHAR13%RNDDIGIT13.yahoo.com with Microsoft SMTPSVC(5.0.2195.6824);
Tue, 17 Nov 2009 xx:xx:xx -0600
Date: Wed, 18 Nov 2009 xx:xx:xx +0400 (CST)
Message-ID: [ID filtered]
To: poor [at] spamvictim.tld
Subject: Dringende Nachricht fXr Sie kpcyws
From: xxx <xxx [at] bluewin.ch>
MIME-Version: 1.0
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: CLEAN, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <.........................>
Content-Type: multipart/alternative;
boundary="--8357510299309241"

Goofy
17.11.2009, 22:33
Mod-Hinweis: Bitte lesen:
Header-Tag
Whois-Tag
Forenregeln
Spammer verfolgen


Ohne einen Hinweis auf die beworbenen Spam-Domains kann man nicht viel dazu sagen.
(Spam-Domains aber mit whois taggen, siehe Link.)

Bitte auch nicht Deine Mailadresse im Header posten, sondern diese x-en. Sonst finden das die Spammer-Such-Bots, und dann kriegst Du noch mehr Spam.

Die fremden Bluewin-ch-Mailadressen im "From" und "Return-Path" hab ich in dem Fall auch ge-x-t, die gehören wahrscheinlich fremden, unbeteiligten. Bei Spam sind die Absendeangaben meistens gefälscht.

antispam2006
18.11.2009, 11:35
Ich wusste mir kommt das bekannt vor

Received: from [88.166.223.169] (helo=per92-10-88-166-223-169.fbx.proxad.net)
by mx34.web.de with smtp (WEB.DE 4.110 #314)
ID: [ID filtered]
Message-ID: [ID filtered]
Received: from 140.22.168.126 by %RNDLCCHAR15%RNDDIGIT13-%RNDLCCHAR13%RNDDIGIT13.%RNDLCCHAR15%RNDDIGIT13.yahoo.com with DAV;
Sat, 14 Nov 2009 xx:xx:xx -0300
Reply-To: "Alec Gunn" <@bluewin.ch>
From: "Alec Gunn" <@bluewin.ch>
To: <xxx>
Subject: Handy Spionage / Handys ausspionieren
Date: Sat, 14 Nov 2009 xx:xx:xx -0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--5140899574226823"
Return-Path: @bluewin.ch

Received: from [189.14.49.123] (helo=r114-pr-jacupiranga.ibys.com.br)
by mx36.web.de with smtp (WEB.DE 4.110 #314)
ID: [ID filtered]
X-Message-Info: %RNDDIGIT13%RNDLCCHAR13%RNDUCCHAR12%RNDLCCHAR13%RNDUCCHAR13%RNDDIGIT13%RNDUCCHAR 13%RNDLCCHAR15%RNDDIGIT13%RNDLCCHAR13%RNDUCCHAR13%RNDLCCHAR13%RNDUCCHAR13%RNDDIG IT13%RNDUCCHAR13%RNDDIGIT13%RNDLCCHAR13%RNDUCCHAR13%RNDLCCHAR13%RNDUCCHAR13%RNDD IGIT13
Received: from dns%RNDDIGIT13yahoo.com (90.80.88.88) by %RNDLCCHAR13%RNDDIGIT13-%RNDLCCHAR13%RNDDIGIT12.yahoo.com with Microsoft SMTPSVC(5.0.2195.6824);
Sat, 14 Nov 2009 xx:xx:xx -0200
Received: from yahoo.com (127.0.0.1) by dnsyahoo.com
(SMTPD32-7.12 ) ID: [ID filtered]
Subject: Ihr Handy wird abgehört und ausspioniert
From: Gus Gilliam
To: xxx
Message-ID: [ID filtered]
Content-Type: multipart/alternative;
boundary="--5173564773210023313"
Date: Sat, 14 Nov 2009 xx:xx:xx +0100
Return-Path: @bluewin.ch

http://www.handy-spy.com/?a_aid=3D812/?lgojzdudue
Hier klicken für mehr Infos

http://www.handy-spy.com/?a_aid=3D812/?vcuyoyzyppj
Hier klicken für mehr Infos

lxarcffemhbfcjwtyuqftcysonwarklkqzebzkyvsgkoviddtbqaiprjauacjjwsrbbshnvlkebzwvg
--------------------------------------------------------------------------------
http://www.handy-spy.com/?a_aid=3D859/?fsrvlvmvfhpl
Hier klicken für mehr Infos

http://www.handy-spy.com/?a_aid=3D859/?lklbtgijdkir
Hier klicken für mehr Infos

mbrysecdgtkuzhxequohdrwzgljugqxxyygthouhprvzcuxwuaiayraaxigex
--------------------------------------------------------------------------------

handy-spy.com liegt auf einen Server in China und wird von der Nordic Online Solutions LTD betrieben.
Wenn man die HandySpy CD bestellen will wird man zu https://www.sofortueberweisung.ch weitergeleitet. Dort kann man allerdings nicht bezahlen, da Empfänger aus Deutschland nicht zugelassen sind. Ist wohl mit der heissen Nadel programmiert worden.

Beim bestellen taucht auch noch handyspy.info auf. Diese Seite liegt bei Leaseweb...

Ich vermute den Reverze-CD Spammer dahinter.

Gruß Antispam2006

Jenna
09.12.2009, 10:55
Return-Path: <monika.friederich [at] bluewin.ch>
Received: from mailin02.aul.t-online.de (mailin02.aul.t-online.de [172.20.26.43])
by mhead705 (Cyrus v2.3.15-fun-3.2.0.4-1) with LMTPA;
Wed, 09 Dec 2009 xx:xx:xx +0100
X-Sieve: CMU Sieve 2.3
Received: from 90-156-85-203.magma-net.pl ([90.156.85.203]) by mailin02.aul.t-online.de
with smtp ID: [ID filtered]
Received: from 202.182.64.251 by 90.156.85.203; Tue, 08 Dec 2009 xx:xx:xx -0700
Message-ID: [ID filtered]
From: "Rosetta Spence" <ros.niggli [at] bluewin.ch>
Reply-To: "Rosetta Spence" <pwuestemann [at] bluewin.ch>
To: xxxxx
Subject: Dringende Nachricht fXr Sie bmvp
Date: Wed, 09 Dec 2009 xx:xx:xx -0500
X-Mailer: AOL 93.0 for Windows US sub 504
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--04599594195377574835"
X-Priority: 3
X-MSMail-Priority: Normal
X-IP:46.130.95.250
X-TOI-SPAM: n;1;2009-12-09Txx:xx:xxZ
X-TOI-VIRUSSCAN: clean
X-TOI-EXPURGATEID: [ID filtered]
X-TOI-SPAMCLASS: CLEAN, NORMAL
X-TOI-MSGID: [ID filtered]
X-Seen: false
X-ENVELOPE-TO: <poor [at] spamvictim.tld>
X-Spam-Level: 3/5
X-FS-Classification-phishing: 1
X-FS-Classification-spam: 3
X-FS-Diagnostics: database-version=2009-12-02_01 tests=spam.CT_BULK=3,spam.[str=0001.0A3C0202.4B1F6F1B.0117/ss=3/fgs=0]=0


Text:


Hier klicken für mehr Infos

Hier klicken für mehr Infos


kifekigfyyzqkqupzmxsvpzivcjoiycsqcrvcyhtqvrbaihhinkbdlzdycrlabjmrihlzmpqstufuo


Textende


Na Klar ich klicke ja auch überall drauf wo mir dasirgendein Spammer sagt besonders wenn der Link zu seiten führt die Adressen haben die aus sinnlosen Zeichen bestehen und irgendwas mit .to hinten haben und der Absender nicht mal meinen richtigen Namen weiss da muss es ja SEHR dringend sein.

Liebe Grüße

Jenna

Goofy
09.12.2009, 12:11
Das kann normaler Viagra-Spam der Russenbande sein, es kann aber auf der .to-Domain auch mal eine verseuchte Webseite drauf sein, wo man sich dann einen Trojaner fängt (besonders mit dem Internet-Explorer und mit aktivierten Skripten).

thomas1611
09.12.2009, 15:49
das sollte wohl dahin (http://antispam-ev.de/forum/showthread.php?t=26818&highlight=handy-spy) gehören - http://weiurl.com/3437 führt genau dahin

Thomas

PS: Ist wohl was für den Meister am Tacker. *tacker an sich reiß* *rumtacker* *schweiss abwisch*

Jenna
10.12.2009, 12:42
Ich habe heute auch den Spam für das Handy Spionage Zeugs bekommen. Ist alles identisch mit dem was hier bereits gepostet wurde. Meine Mailaddy dürften die aus einem sogenannten social Network haben.

Liebe Grüße

Jenna

spamtohell
18.12.2009, 15:04
Zu den mir zur Zeit fast täglichen obigen Spams habe ich folgenden Artikel gefunden, der zwar schon ein halbes Jahr alt ist, aber 100 % von den gleichen Deppen stammt (Sturm-Bande sagt mir als Laien zwar nichts, aber wohl den Fachleuten unter Euch):

Die suchen also möglichst viele Idioten, die auf sämtliche Links klicken und sich im Endeffekt selbst eine Spam-Schleuder herunterzuladen, um noch mehr Millionen solcher schwachsinnigen Spams unter die Weltbevölkerung zu bringen. Irgendwann bricht wohl das Internet unter lauter Spams total zusammen und die Spammer machen sich so noch selbst arbeitslos! :sick:

Quelle: PC-Welt:

Neue Waledac-Kampagne
Malware-Spam lockt mit SMS-Spion
Eine neue Spam-Kampagne wirbt für ein Tool, das es angeblich ermöglichen soll vom PC aus die SMS von Freunden und Fremden zu lesen. Tatsächlich wird über die zugehörige Website Malware aus der Waledac-Familie verbreitet.

Quellen: sh. Posting von Arthur

Arthur
18.12.2009, 15:08
Statt des Fullquote der Link auf den Artikel
http://www.pcwelt.de/start/sicherheit/virenticker/news/196695/malware_spam_lockt_mit_sms_spion/
http://digitalewelt.freenet.de/sicherheit/antivirus/malwarespam-lockt-mit-smsspion_526336_1055628.html

Goofy
18.12.2009, 15:31
"Sturm-Bande": dahinter stecken die russischen Programmierer der vielen Varianten sogenannter "Storm-Worm"-Trojaner.

http://www.zdnet.de/news/wirtschaft_sicherheit_security_storm_worm_bildet_groesstes_botnetz_aller_zeiten_ story-39001024-39157537-1.htm
http://de.wikipedia.org/wiki/Storm_Botnet

Eine interessante Studie über Online-Kriminalität:
w w w.hammertv.eu/2008/Print/Bolduan%20Gordon/Artikel_DigitalerUntergrund.pdf

(Redirector funktioniert bei diesem Link nicht)

spamtohell
18.12.2009, 17:40
Sind die russischen Behörden und Staatsanwaltschaften eigentlich nicht in der Lage, diesen Augias-Stall in ihrem Land einmal auszumisten, oder wird damit zuviel Geld verdient, das auch dem Staat zugute kommt? 99 % aller Spams kommen bei mir zur Zeit nur noch von russischen Providern, allerdings immer wieder von anderen neuen, nie von denselben! Anscheinend wechseln die Spammer sofort ihren Provider, weil die soviele abuse-Nachrichten aus aller Welt bekommen, daß sie ihren Kunden wieder rauswerfen, allerdings ist es da schon zu spät, die Millionen Spams sind dann schon weg.
Wenn man über RIPE den Provider festgestellt hat, ist bei den meisten nicht einmal eine abuse-Adresse eingestellt, nur ein russischer Name. Bei manchen Beschwerden kommt man dann mit abuse durch, manche kommen aber als unzustellbar wieder zurück. Ist in Rußland eine abuse-Adresse nicht Pflicht? Es müßte doch einmal auf der ganzen Welt eine einheitliche Regelung unter allen Providern geben.

Goofy
18.12.2009, 17:51
Solange das RIPE-NCC diesem Kasperletheater tatenlos zusieht, wird sich nichts ändern.

Das RIPE-NCC in Amsterdam ist dafür verantwortlich, wenn kriminellen Netzbetreibern in Osteuropa kritiklos IP-Adressen zur Verfügung gestellt werden.

Die russische Regierung könnte, wenn sie wollte, dem Treiben ebenfalls sofort ein Ende setzen. Sie will aber nicht. Die Spam- und Hacker-Mafia hat sich schließlich bereits wichtige Verdienste erworben, im Rahmen des Georgien-Konfliktes wurden georgische Webseiten lahmgelegt und der Server des georgischen Verteidigungsministeriums geknackt. Da findet seit Jahren schon eine Politik systematischer Duldung statt.

kjz1
18.12.2009, 20:53
Noch zur Ergänzung aus dem von Goofy genannten Artikel:


Er ergänzt die Angaben von Genes dahingehend, dass die Rolle des Koordinators heute meistens von Mitgliedern der russischen Mafia und von ehemaligen KGB-Agenten übernommen werde.

Auch andere Quellen sprechen davon, dass in RU die Groß-Spammer selbstverständlich der OK entstammen und über recht gute Kontakte zum Regierungsapparat verfügen. Das zum Thema 'Wirksamkeit von Beschwerden in RU'. Laut RFC 2142 gehört eine abuse@ Adresse auch zum guten Ton bei allen Providern weltweit. Schwarzhüte kümmert das natürlich nur einen feuchten Kehricht. Solche 'Provider' kann man aber hier eintüten:

http://www.rfc-ignorant.org/

Hilft nicht direkt, aber RFC-Ignorant erstellt auch eine Blacklist, die von manchen Spamfiltern zur Erhöhung des Spam-Scores herangezogen wird.

- kjz