PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [UCE] E-Karte



ChristianS
06.09.2004, 07:31
http://www.123greetings.com scheint aber nicht der Urheber zu sein.
Html-links zeigen auf http://real. slon.biz
-----------------------------------------------------------------
From support [at] egreetings.com Mon Sep 06 xx:xx:xx 2004
Return-Path: <support [at] egreetings.com>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail 10295 invoked by UID: [UID filtered]
Received: from unknown (HELO localhost) (221.140.212.227)
by mx0.gmx.net (mx025) with SMTP; 07 Sep 2004 xx:xx:xx +0200
From: egreetings.com <support [at] egreetings.com>
To: dom_ingo <poor [at] spamvictim.tld>
Subject: E-Karte
Date: Mon, 6 Aug 2004 xx:xx:xx +0000
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: High
Message-ID: [ID filtered]
X-Mailer: Microsoft Outlook Express 5.50.4922.1500
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4922.1500
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 4 (From SPF protected domain over unauthorized server)
------------------------------------------------------------------------------
Sehr geehrter
Diana [*******@yahoo.com] hat Ihnen die E-Karte von 123Greetings.com geschickt.
123Greetings.com - das ist alles, was man fuer die Lebensvereinigung,
fuer die Verkuerzung der Entfernungen, fuer die Heilung der Wunden und fuer den Aufbau der menschlichen
Verhaeltnisse braucht.
Wir haben eine grosse Auswahl von E-Karten , praktisch fast fuer alle Lebensfaelle.
Machen Sie ein Geschenk Ihren Freunden und Ihrer Familie,
schicken Sie eine KOSTENLOSE E-Karte von unserer Web-Seite, waehlen Sie die Farben, Worte und Musik!
Ihre E-Karte wird bei uns im Laufe von den naechsten 30 Tagen zugaenglich.
Wenn Sie die E-Karte laenger behalten moechten, so koennen Sie sie auf Ihrem Computer speichern oder ausdrucken lassen.
Um Ihre E-Karte durchzuschauen, waehlen Sie bitte eine von den folgenden Optionen aus:
Option 1
Waehlen Sie folgende Internet-Adresse oder kopieren Sie und fuegen Sie in den Adressensatz von Ihrem Browser ein.
http://real (<a href=). slon.biz">http://www.123greetings.com/view/CV40904144307259 (http://www.123greetings.com/view/CV40904144307259</a>)</a>;
Option 2
...

mindphlux
06.09.2004, 08:12
Richtig, geschickt wurde die Email über Korea (221.140.212.227) und auf h11p://real.slon.biz verbirgt sich ein ActiveX-Exploit - nicht mit dem IE ausprobieren!
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Coke1984
06.09.2004, 09:58
Offenbar ist nicht nur der IE betroffen, ich benutze opera...
http://www.wischnewski.us/spam/real-slon-biz.png
Näheres dazu gibt`s hier: http://www.pestpatrol.com/pestinfo/t/tro..._js_small_d.asp (http://www.pestpatrol.com/pestinfo/t/trojandownloader_js_small_d.asp)
-----------------
"If only God would give me a clear sign. Like making a large deposit in my name at a Swiss bank!"

mindphlux
06.09.2004, 10:05
Jein - erkannt wurde nur das Javascript (TrojanDownloader), der Trojaner funktioniert mit Sicherheit nur auf dem IE (im Quelltext war irgendwas von ActiveX.OLEObject oder so zu lesen).
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Coke1984
06.09.2004, 10:22
Ich hab mir die im Javascript angegebene Datei mal gezogen .../server.exe, das Teil nennt sich TrojanSpy.Win32.Small.az, und dabei handelt es sich um einen keylogger... mag sein das es den activex braucht um automatisch ausgeführt zu werden, aber es werden sich sicherlich auch einige deppen finden die die datei nach dem download von hand starten...
-----------------
"If only God would give me a clear sign. Like making a large deposit in my name at a Swiss bank!"

mindphlux
06.09.2004, 14:27
slon.biz ist offensichtlich ein waschechter Multi-Spammer-Server. Die folgende Email wurde von meinem Anti-419-Script rausgefischt (Emailadressen habe ich nicht maskiert, um noch mehr Spam zu erhalten *g*).


Return-Path: <disunity [at] dannevik.com>
X-Flags: 0000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail 22528 invoked by UID: [UID filtered]
Received: from ppp-66-143-155-25.dsl.stlsmo.swbell.net (HELO ppp-66-143-155-25.dsl.stlsmo.swbell.net) (66.143.155.25)
by mx0.gmx.net (mx040) with SMTP; 07 Sep 2004 xx:xx:xx +0200
Received: from dannevik.com (e21.dknet.se [195.43.38.21])
by ppp-66-143-155-25.dsl.stlsmo.swbell.net (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 07 Sep 2004 xx:xx:xx -0700
Message-ID: [ID filtered]
From: "Chant E. Poseur" <disunity [at] dannevik.com>
To: Boris <poor [at] spamvictim.tld>
Subject: Information about your new job, part time to start 2DTfV
Date: Tue, 07 Sep 2004 xx:xx:xx -0700
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1409
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1409
X-Virus-Scanned: by amavisd-milter at ppp-66-143-155-25.dsl.stlsmo.swbell.net
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: -2 (not scanned, spam filter disabled)
[... blabla, get rich now, blubb, no MLM, get rich now ...]
We will answer in 24-48 hours.

Best Wishes
Robert J Montana
robmontana [at] slon.biz

Beim Absender @dannevik.com bin ich nicht sicher, ob er dazugehört... Seite ist leer, aber whois scheint ok.
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

ChristianS
07.09.2004, 12:05
und es wird immer wieder versucht
ist jetzt schon 4 mal hier aufgeschlagen
From support [at] egreetings.com Wed Sep 08 xx:xx:xx 2004
Return-Path: <support [at] egreetings.com>
X-Flags: 1001
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail 21224 invoked by UID: [UID filtered]
Received: from ts24-a28.moscow.dial.rol.ru (HELO ts24-a28.moscow.dial.rol.ru) (212.46.235.28)
by mx0.gmx.net (mx015) with SMTP; 08 Sep 2004 xx:xx:xx +0200
From: egreetings.com <support [at] egreetings.com>
To: xxxxxxxxxxxxxxxxxx <poor [at] spamvictim.tld>
Subject: E-Karte
Date: Wen, 8 Aug 2004 xx:xx:xx +0000
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: High
Message-ID: [ID filtered]
X-Mailer: Microsoft Outlook Express 5.50.4922.1500
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4922.1500
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 4 (From SPF protected domain over unauthorized server)

DocSnyder
07.09.2004, 13:54
Gemäß Usenet (http://groups.google.com/groups?threadm=98av02-f7m.ln1%40news.home.docsnyder.de) ist dies ein Trojanerverteiler, der bei meinen Spamtrap-Subdomains alleine gestern 20000 Stück versucht hat zuzustellen. Heute habe ich noch nicht nachgezählt, dürfte aber auch längst die 10000 überschritten haben.
Envelope-From-Domain "egreetings.com" blocken und schon is` gut.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

pewe222
08.09.2004, 14:41
Received: from [147.175.22.184]
(helo=localhost) by mx26.web.de with smtp (WEB.DE 4.101 #87) ID: [ID filtered]
From: egreetings.com
To: xxxxxxxxxxxx
Subject: E-Karte
Date: Wen, 8 Aug 2004 xx:xx:xx +0000
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: High
Message-ID: [ID filtered]
X-Mailer: Microsoft Outlook Express 5.50.4922.1500
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4922.1500
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit
Sender: support [at] egreetings.com http://real.slon.biz/frame.htm

DocSnyder
08.09.2004, 15:19
Der in diesem Spam-Lauf beworbene Trojaner hat sich inzwischen als Phishing-Falle (http://www.heise.de/newsticker/meldung/50793) entpuppt. Ein Grund mehr, beim Online-Banking niemals den Internet Explorer zu benutzen. Am besten setzt man dazu einen Browser ein, der für sonst nichts verwendet wird und bei dem kein Feature aktiviert ist, das nicht für diese jeweilige Bank nötig ist.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

Stalker2002
08.09.2004, 16:58
Am besten setzt man dazu einen Browser ein, der für sonst nichts verwendet wird und bei dem kein Feature aktiviert ist, das nicht für diese jeweilige Bank nötig ist.
Sorry Doc, aber das geht leider in vielen Fällen an der Realität vorbei. Ich habe mal versucht das Sparkassen-Homebanking per Gecko-Browser gangbar zu kriegen, aber da war exakt überhaupt kein Erfolg zu verzeichnen.
Support für Browser die nicht IE heißen war von den Sparkaspern auch nicht zu bekommen.
MfG
L.
---
"Der Grund war nicht die Ursache, sondern der Auslöser."
Franz "der Kaiser" Beckenbauer

Coke1984
08.09.2004, 17:36
Also ich benutz zuhause Opera, und damit macht das gar kein Problem...
-----------------
"If only God would give me a clear sign. Like making a large deposit in my name at a Swiss bank!"

Stalker2002
08.09.2004, 18:05
Also ich benutz zuhause Opera, und damit macht das gar kein Problem...
Ich hatte es mit Mozilla und Firefox (damals noch Firebird) probiert. War beides nix.
MfG
L.
---
"Der Grund war nicht die Ursache, sondern der Auslöser."
Franz "der Kaiser" Beckenbauer

DocSnyder
08.09.2004, 18:45
Vielleicht hast du es letztmals vor einem halben Jahr probiert. Die 1822direkt (Tochter der Franfurter Sparkasse) empfahl noch bis Anfang dieses Jahres den IE und legte einem Steine in den Weg, wenn man nicht als User-Agent "MSIE" einstellte. Inzwischen wird ganz im Gegenteil vom M$IE vehement abgeraten und Firefox/Mozilla/Gecko vorbildlich unterstützt. Konqueror und Opera sollten auch funktionieren.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/