[UCE - Autodialer] Antwort von Lena [Archiv]

testkeintest

23.10.2003, 02:23

Qapla!
Erste Frage: Gibt es für Windows so etwas wie ein "virtuelles Modem" (d.h. man kommt an die Nummer ohne ein echtes Modem kaufen zu müssen). Antworten darauf bitte im Smalltalk-Forum, ich setze gleich einen Artikel hinein.
Zweite Frage: Wenn meine Mailaddresse wie unten nur als "envelope recipient" dem MTA bekannt ist (also gar nicht drin steht), gibts da (vielleicht vor runterladen vom Mailserver??) überhaupt eine Möglichkeit herauszufinden an welche Adresse die Mail gesandt wurde? Für eine Unterlassungserklärung wäre das etwas besser als Beleg.
---
So denn nun nicht die IP gespooft wurde, gibt das untige den Ursprung 145.254.111.148 und damit abuse#arcor.net, postmaster#arcor.net, frank.wegener#arcor.net für Beschwerden.
Anbei war noch ein UPX komprimiertes PE (tja ausnahmsweise kein linux-dialer ;), in dem aber keine Nummern sichtbar waren. "Lena-jpg.com" enthielt komischerweise noch den Text ganz am Ende: "520071183296 [at] t-online.de;520071161919 [at] t-online.de;520071169266 [at] t-online.de;520071183526 [at] t-online.de;520071193699 [at] t-online.de;520071196939 [at] t-online.de;520071194114 [at] t-online.de;520071165635 [at] t-online.de;520071187279 [at] t-online.de;520071192055 [at] t-online.de;520071160767 [at] t-online.de;520071184572 [at] t-online.de;520071197809 [at] t-online.de;520071171328 [at] t-online.de;520071175912 [at] t-online.de;520071186735 [at] t-online.de;520071167976 [at] t-online.de;520071195744 [at] t-online.de;520071165068 [at] t-online.de;520071190163 [at] t-online.de;520071168829 [at] t-online.de;520071161216 [at] t-online.de;520071163769 [at] t-online.de;520071175302 [at] t-online.de;520071175601 [at] t-online.de;520071172648 [at] t-online.de;520071195215 [at] t-online.de;520071160490 [at] t-online.de;520071182454 [at] t-online.de;520071171765 [at] t-online.de" + drei Zeichen ("íÿ"), dann Dateiende.
Ich kann mir eigentlich nicht vorstellen, dass hier ein T-onlinemailserver seinen benutzten Speicher nicht säubert, vor allem sind 22,434 byte kein vielfaches von 512. So was ähnliches hatte ich schon mal erhalten, von der "Porno Cracker Crew" aber im To: und CC: der Spam und nicht in einer ausführbaren Datei.
Naja.

header:
*******
Return-Path: <mangol [at] voyez.com>
Received: from voyez.com ([145.254.111.148]) by mailin05.sul.t-online.de
with smtp ID: [ID filtered]
Received: from internet
by voyez.com
(MDaemon.PRO.v6.8.5.R)
with ESMTP ID: [ID filtered]
Mon, 22 Sep 2003 xx:xx:xx +0200
X-msmail-priority: Normal
X-unsent: 1
Subject: Antwort von Lena
Content-type: multipart/mixed;
boundary="----=_NextPart_000_0008_01C38049.FA3FD0C0"
Date: Sun, 21 Sep 2003 xx:xx:xx +0200
Mime-version: 1.0
X-mimeole: Produced By Microsoft MimeOLE V6.00.2600.0000
X-priority: 3
To: <adresse>
From: mangol [at] voyez.com
X-Spam-Processed: vvvmkk, Mon, 22 Sep 2003 xx:xx:xx +0200
(not processed: message size (32995) exceeds max size (25600))
X-Return-Path: mangol [at] voyez.com
X-Seen: false

Eigentliche Mail:
*****************
<spam>
21. Oktober 2003
Hallo,
von Lena
Danke für Deine nette Anfrage auf meine Anzeige.
Damit es nicht zu lange dauert, möchte ich sie auch sofort beant-
worten. Kurz zu mir, ich bin eine ledige Frau, 28 Jahre alt und
komme zur Zeit aus Hannover. Ich bin ein dunkelhaariger schlan-
ker Typ und denke schon recht attraktiv. Gebunden bin ich nicht.
Siehe auch dazu meine *Bildseite.
Im Beruf bin ich Masseurin und hab ein ausgesprochenes Faible
für Tantra, was mich schon seit langer Zeit sehr interresiert.
Da ich ledig bin, suche ich wie schon annonciert auch einen netten
Kontakt.
Bei Interesse würde ich mich über eine Nachricht oder telefon.
Kontakt sehr freuen. Wenn nicht, dann wünsche ich alles Gute.
Viele Grüße von Lena
[viel whitespace]
-----------------------------------------------------------
Tantra-Verbindung
Tantra heisst übersetzt verweben, alles ist miteinander ver-
bunden. Tantra ist ein spiritueller Weg, der Sexualität nicht
auschließt.
Durch Tantra kann unsere Lebensenergie wieder in Fluß
kommen. Wir lernen in Lust und Liebe zu leben. Tantra heißt
für mich in Liebe sein mit dem was ist.
Sofort und anonym Zugang erhalten-problemlos per *Telefon-
bezahlen - ohne Download!
Schauen Sie auf Wunsch die interessante *Bildseite über den
beigefügten *Dialer der Seite als Com-Datei im Internet an.
----------------------------------------------------------
* Die Verbindungskosten zu meinen Kontaktdaten (Telefon)
betragen einmalig zwei Euro./HHz
</spam>

testkeintest

23.10.2003, 02:43

Na supa, danke RegTP. Kann ich meine Beschwerde nochmal schicken.
This is an informative message sent by Kerio MailServer 5.7.2 at itmain90s217.
Your mail message dID: [ID filtered]
From: <####@t-online.de>
To: <mede01.postfach#regtp.de>
Subject: Beschwerde, nicht registrierter Autodialer
Date: Thu, 23 Oct 2003 xx:xx:xx -0100 (GMT)
Problem: Virus found
MIME type: application/octet-stream
File name: Lena-jpg.com
Virus name: QDial14
Antivirus: McAfee Scanning Engine (4298/4.2.60)
Problem: Virus found
MIME type: APPLICATION/octet-stream
File name: lena-jpg.com
Virus name: QDial14
Antivirus: McAfee Scanning Engine (4298/4.2.60)

The message was rejected by the server and was not delivered to the recipient.
Please correct all reported problems and try to send the message again.
Aber good ol` McAfee tut sogar die Nummer aus-x-en:
http://us.mcafee.com/virusInfo/default.a...&virus_k=100763 (http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100763)
schreibt hier:
Origin: Germany
Length: 22,419 bytes (UPX packed)
Type: Trojan
SubType: PornDialer

Virus Characteristics
This is a detection for a trojan that tries to use an installed Modem to call an expensive 0190 8 xxx xxxx number. In order to disguise the expensive number, it prepends a `call by call` vendor number (01033)
Because this is done without the aproval of the user, we have classified this dialer as a trojan.
On execution it directly tries to place a call, it does not make any changes to the registry or systemfiles.
http://us.mcafee.com/virusInfo/default.a...&virus_k=100763 (http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100763)