PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [UCE/Dialer] prima



Eniac
29.07.2004, 10:35
Nach langer Pause mal wieder Dialerspam bei mir, diesmal für einen Aconti-Dialer zum Download.
------------------------------------------------------------
Re: 62.150.142.197 (Ursprungsquelle der Spammail)
To: postmaster#qualitynet.net, abuse#emirates.net.ae
Re: prima.gratishost.net (beworbene Seite)
To: abuse#gratishost.net
Re: fickshow.exe (Aconti-Dialer)
To: poor [at] spamvictim.tld, poor [at] spamvictim.tld

===8<==============Original message text===============
Received: from [62.150.142.197] (helo=as32-197.qualitynet.net)
by mx22.web.de with smtp (WEB.DE 4.101 #44)
ID: [ID filtered]
Received: from 160.142.172.172 by 62.150.142.197; Wed, 28 Jul 2004 xx:xx:xx -0300
Message-ID: [ID filtered]
From: "Veronika Schmidt" <kuss.von.gaby [at] laposte.net>
To: "Kevin" <poor [at] spamvictim.tld>
Subject: prima
Date: Wed, 28 Jul 2004 xx:xx:xx -0400
X-Mailer: QUALCOMM Windows Eudora Version 5.1
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
X-Priority: 3
X-MSMail-Priority: Normal
Sender: beate [at] laposte.net

Hallo Kevin
Endlich kannst Du dir die Fickshow downloaden:
prima.gratishost.net/prima.htm
Viel Spass wünscht Veronika Schmidt
===8<===========End of original message text===========

Eniac

mindphlux
29.07.2004, 10:48
Das letzte Mal war das ein modifzierter Aconti-Dialer, der gar nicht funktionierte. Hast du ihn mal ausprobiert?

--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Eniac
29.07.2004, 10:50
Nein, ich habe in nur mit upx entpackt und im HexEditor bzw. Ressource Hacker angeschaut. Ich installiere mir keine malware auf meinen sauberen Rechner.

Eniac

techadmin
29.07.2004, 12:50
Das ist kein Dialer von Aconti .... würde sich villeicht jemand auch die Mühe machen und den Dialer sich auch ansehen .. würde er feststellen das der Dialer aus Össilanden kommt (Wien) und nicht aus DE oder CH ... es ist die Firma Goodthinkxx in Wien :Dhttp://img.homepagemodules.de/flash.gif

Eniac
29.07.2004, 13:00
> Das ist kein Dialer von Aconti ....
Und was soll dann das hier, zu sehen im im Ressource Hacker?

1 VERSIONINFO
FILEVERSION 3,0,2,0
PRODUCTVERSION 3,0,2,0
FILEOS 0x40004
FILETYPE 0x1
{
BLOCK "StringFileInfo"
{
BLOCK "040704b0"
{
VALUE "CompanyName", "http://www.alife.de"
VALUE "FileDescription", "aconti NetService"
VALUE "FileVersion", "3.020"
VALUE "LegalCopyright", "(c) 2000-04 A Lifestyle"
VALUE "ProductVersion", "3.020"
VALUE "DevelopmentDate", "03.05.2004"
}
}

> würde sich villeicht jemand auch die Mühe machen und den Dialer sich auch ansehen
Habe ich.
> .. würde er feststellen das der Dialer aus Össilanden kommt (Wien) und nicht aus DE oder CH ... es ist die Firma Goodthinkxx in Wien
Eine Suche im HexEditor findet den String "Goodthinkxx" kein einziges Mal, dafür aber jede Menge Verweise auf Aconti (kleiner Auszug):

Bei technischen Problemen wenden Sie sich bitte an:
A Lifestyle GmbH
eMail: info [at] aconti.net
Telefon: (Deutschland) 02161 - 96 60 60 Bitte scrollen Sie bis zum Ende des Textes und lesen Sie sich die Bedingungen durch.
Auf Deine Erkärung bin ich aber jetzt gespannt.

Eniac

Eniac
29.07.2004, 13:10
Korrektur: Verweis auf googthinkxxx doch gefunden, Gross/Kleinschreibunbg nicht beachtet. #-)

goodthinxx.com GmbH
Linke Wienzeile 4/1/2
A-1060 Wien
Tel: +43-1-581 16 55-0
Fax: +43-1-581 16 50
mail: info [at] goodthinxx.com Service provider info Site`s Editor information:
MEDIASON, tel: 04 76 84 32 32 Site`s Editor information acontiIsOnline

Was aber hat goodthinxx.com mit Aconti zu tun?

Eniac

techadmin
29.07.2004, 13:45
Die haben eine Softwarelizenz erworben ... so wie es aussieht ... aber das ist schon Jahre her ... das was die an Dialer bauen (siehe Dateiinfos) ist nicht besonders gut ... Mein Tip: --> Bei der Reg Tp beschweren da der Dialer in dieser Form nicht den Richtlinien entspricht.

Hotte
29.07.2004, 14:49
ich habe auch mal wieder Reklame für die "fickshow.exe" erhalten.
Leider ertrinken sie bei der Reg TP in Beschwerden, es dauert mehrere Monate bis sie eine Beschwerde bearbeiten können (meine Eingangsbestätigung (!) kam erst erst viele Monate nach Meldung). Genug Zeit also für solche Leute noch Geld zu verdienen.

From - Thu Jul 29 xx:xx:xx 2004
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Received: from [24.169.130.64] (helo=roc-24-169-130-64.rochester.rr.com)
by mx24.web.de with smtp (WEB.DE 4.101 #44)
ID: [ID filtered]
Received: from 248.192.56.207 by 24.169.130.64; Wed, 28 Jul 2004 xx:xx:xx -0200
Message-ID: [ID filtered]
From: # <kuss.von.gaby # laposte.net>
To: ### unbekannte Adresse ###
Subject: Malte
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Date: Thu, 29 Jul 2004 xx:xx:xx +0200
Sender: hoch_sonia#laposte.net
Hallo Steffen
Endlich kannst Du dir die Fickshow downloaden:
http:// klasse.gratishost.net/klasse.htm
Viel Spass wünscht Von Birgit
Abuse: 24.169.130.64 --> abuse#rr.com

Gool
29.07.2004, 18:24
Na ja, wenn ich nicht bezahle und die Klagen, dann müsste eh erstmal ne Überprüfung des Dialers angeordnet werden, aus der hervorginge, dass dieser nicht den Richtlinien entspreche und somit die Rechnungen auch nicht bezahlt werden müssten. http://img.homepagemodules.de/grin.gif
--
Fuck the Spammer: http://spam.blueslayah.de

DocSnyder
30.07.2004, 01:19
Ist dieser Drecksdialer überhaupt bei der RegTP registriert und wenn ja, auf wen?
Seit vor einem halben Jahr die Porno Hacker Crew nochmals IBS-Spamdialer vertickern wollte, diese nicht registriert und damit tatsächlich wie im Spam angegeben kostenlos waren, habe ich weder von der IBS Spamming AG noch von der Porno Hacker Crew jemals wieder etwas gehört bzw. gelesen.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

techadmin
30.07.2004, 11:01
@DocSnyder
Der Dialer gibt keinen Hashwert () aus ... auch die Versions Nr. (455003B) ist bei der REGTp unbekannt .. die Rufnr.(90090000011) selbst Gibt es über 26000 mal http://img.homepagemodules.de/laugh.gif
Haswert des Dialers über das Registrierungsprogramm der RegTp (55576A0DF22B9CFBE13EC5EF7CB689A5083AD1F4) trozdem nicht in der Datenbank auch die Versions Nr. (3.020) existiert nicht
Das Impressum des Dialers:
Verantwortlich für den Inhalt
des gewählten Programmes ist:
Software Marketing Inc.
Mr. Louis Chemali
3422 Old Capitol Trail, Suite 700
WILMINGTON DE 19808-6192
USA
Ihr Dienstanbieter ist:
Firma
Studio Opera Ges.m.b.H
T. Rahman
Linke Wienzeile 4/1/2
A-1060 Wien
Österreich
Die Deinstallation funktioniert ohne böse Nachwirkungen. Habe die Firma Aconti Informiert das der Dialer deren Namen in der Eigenschaftenliste enthält. Ich nehme einmal stark an das sie geeignete schritte einleiten.

techadmin
30.07.2004, 13:47
Folgende Mail habe ich gerade erhalten:
****
Hi,
danke fuer den Hinweis! Der Account ist abgeschaltet, der Kunde wird MASSIV verwarnt. Waere nett, wenn Sie das im Forum schreiben koennten :)
****
Was ich hiermit getan habe.