PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Trojaner] - Rechnung Online Monat November 2004 (Buchungskonto: 6801432458)



Friedrich
13.11.2004, 14:42
Sieht nicht danach aus als wäre das eine Mail von der Telekom.
Habe auch nie Online Rechnung beantragt.
Da ich kein DSL habe, lasse ich lieber die Finger von den Links.
Ist das ein Dialer oder eine Phishingmail?
Danke schon mal für eine Antwort.

-----
Return-path: <Rechnung-Online [at] telekom.de>
Envelope-to: poor [at] spamvictim.tld
Delivery-date: Sun, 14 Nov 2004 xx:xx:xx +0100
Received: from [221.142.37.64] (helo=221.142.37.64)
by mxng18.kundenserver.de with smtp (Exim 3.35 #1)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sun, 14 Nov 2004 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Sun, 14 Nov 2004 xx:xx:xx +0000
From: "Deutsche Telekom AG" <Rechnung-Online [at] telekom.de>
Subject: Rechnung Online Monat November 2004 (Buchungskonto:
6801432458)
To: <poor [at] spamvictim.tld>
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und -
soweit von Ihnen beauftragt - die
Einzelverbindungsuebersicht.
Nutzen Sie auch unter http://telekom.de die vielfaeltigen
Moeglichkeiten von Rechnung Online, wie z.B. Sortier- und
Auswertungsfunktionen.
=================================
RECHNUNG ONLINE - TIPP DES MONATS
0190 0 55555* - Eine Nummer für alle Faelle.
Hier erhalten Sie u.a. aktuelle Infos zu Sport, Freizeit,
(Agrar-)Wetter, Boerse, Nachrichten und Freizeit.
* 360 ct/min
=================================
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken
Sie bitte unter http://telekom.de
Mit freundlichen Gruessen
Ihre T-Com
--------------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen Geschaeftsbedingungen
finden Sie unter http://www.t-com.de/aktuell-agb.
Hier ist ihre aktuelle Rechnung:
http://alkhalaf.net/t-com/rechnung/

mana
13.11.2004, 14:44
http://www.heise.de/newsticker/meldung/53231

Antispam,
UIID: [ID filtered]
Antispam.de - Zeigen Sie Offensive!

DocSnyder
15.11.2004, 21:45
Von T-Online aus ist nichts mehr mit streicheln, da offenbar ein Nullrouting gesetzt wurde. Dies ist IMHO im Sinne der Schadensbegrenzung (es handelt sich um einen Trojaner) durchaus gerechtfertigt.
Von meinem gehosteten Server aus ist der Website nämlich problemlos zugänglich. Auch verständlich, da sich dort keine User herumtreiben, die man davor schützen müsste, und die meisten Server mit richtigen Betriebssystemen laufen.
Da der Trojaner-Site offenbar auch nach Tagen noch nicht down genommen wurde, gibt`s nun lecker Futter:
gentleman [at] sweetness.com
tony [at] itsthe1.com
pmarcus [at] ipowerweb.com
info [at] ipowerweb.com
webmaster [at] ipowerweb.com
sales [at] ipowerweb.com
support [at] ipowerweb.com
office [at] ipowerweb.com
order [at] ipowerweb.com
bulletproof [at] ipowerweb.com
bulkhosting [at] ipowerweb.com
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

Gool
16.11.2004, 20:17
Mich wundert es nur, dass die Telekom ihre Kunden, die die Rechnung Online erhalten, noch nicht auf dem Mail-Weg darüber informiert/gewarnt hat.
btw der Text auf deren Seite macht auch eher den Eindruck, als sei er sehr hastig hingekleckert worden.
--
Fuck the Spammer: http://spam.blueslayah.de

350x2
16.12.2004, 17:01
Und ich hab da auch was bekommen, damit ich nicht weine
Die Seiten zu besuchen, traue ich mich aber nicht.http://img.homepagemodules.de/lil.gif
P.S Die Telekom hat das von mir natürlich auch bekommen.
Gruß 350x2
----------------------------------------------------------------------
From - Thu Dec 16 xx:xx:xx 2004
X-Account-Key: account3
X-UIDL: [UID filtered]
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
Return-Path: <Rechnung-Online [at] t-com.net>
X-Flags: 0000
Delivered-To: GMX delivery to meine [at] adresse
Received: (qmail invoked by alias); 16 Dec 2004 xx:xx:xx -0000
Received: from host134.ipowerweb.com (HELO host134.ipowerweb.com) (66.235.192.199)
by mx0.gmx.net (mx054) with SMTP; 16 Dec 2004 xx:xx:xx +0100
Received: from orucedwv (6.135.242.151)
by host134.ipowerweb.com; Thu, 16 Dec 2004 xx:xx:xx -0800
Date: Thu, 16 Dec 2004 xx:xx:xx -0800
From: <Rechnung-Online [at] t-com.net>
X-Mailer: The Bat! (v2.01)
Reply-To: <reo_mail [at] Q8S4VDU0.gppng01.telekom.de>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <meine [at] adresse>
Subject: =?koi8-r?B?UmVjaG51bmcgT25saW5lIE1v?=
=?koi8-r?B?bmF0IERlemVtYmVyIDI=?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------591AEE57FDE"
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
------------591AEE57FDE
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Guten Tag,
die Gesamtsumme f&Oslash;r Ihre Rechnung im Monat Dezember 2004 betrÄgt: 202,37 Euro.
Logen Sie sich jetzt ein um den Verbindungsnachweis zu sehen
http://humantango.com/index/t-com/rechnung/
Nutzen Sie auch unter http://humantango.com/index/t-com/rechnung/ die vielfÄltigen M&Atilde;glichkeiten von
Rechnung Online, wie z.B. Sortier- und Auswertungsfunktionen.
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
http://humantango.com/index/t-com/rechnung/
Auskunft per SMS
Einfach Anfrage per SMS an die 11833* - Die Antwort kommt sekundenschnell zur&Oslash;ck.
11833* - Wir sind die Auskunft.
*pro SMS-Abfrage 69 Cent aus den dt. Mobilfunknetzen, 49 Cent aus dem Festnetz von
T-Com.
Pro Anfrage per Telefonanruf einmalig 20 Cent zzgl. 99 Cent/Min.
=================================
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte unter
http://humantango.com/index/t-com/rechnung/ (oben links) auf "Kontakt".
Mit freundlichen Gr&Oslash;&ntilde;en
Ihre T-Com
--------------------------------------------------------------
------------591AEE57FDE
Content-Type: TEXT/PLAIN; name="=?koi8-r?B?MS50eHQ=?="
Content-transfer-encoding: base64
Content-Disposition: attachment; filename="=?koi8-r?B?MS50eHQ=?="
aHR0cDovL2h1bWFudGFuZ28uY29tL2luZGV4L3QtY29tL3JlY2hudW5nLw==
------------591AEE57FDE--

DocSnyder
16.12.2004, 18:15
Mit dem guten Linux und dem genialen Mozilla Firefox kann nichts passieren. http://img.homepagemodules.de/clown.gif
Interessant ist, dass es sich hier um eine zweistufige Zustellung handelt, deren Input zum "Department of Defense" (IP-Netzbereich 6.0.0.0/8) gehört. Das Output untersteht iPowerWeb.com in den USA.
Auch im Hetznerforum wurde gestern eine Mail dieser Kategorie gepostet, für deren Input 28.67.37.247 gemäß Whois ebenfalls das DoD (28.0.0.0/8) verantwortlich ist. Output durfte ein kleiner französischer Hoster (80.247.228.227) spielen.
Keine der genannten IPs ist in irgendeiner Blacklist zu finden, und die Outputs sehen nicht nach den typischen "verwurmten Windoofkisten" bei Tante Erna aus Buxtehude aus. Es handelt sich eher um gehostete Server, die entweder h4x0r3d wurden und perfekt gefakte Input-Received-Zeilen (inkl. variabler Verzögerung zwischen Input und Output) anhängten, um die Spur von sich abzulenken - oder die als offene Relays Mails auslieferten, die tatsächlich vom DoD selbst oder einem gekaperten IP-Netzbereich kamen.
Da die IP-Netze 6.0.0.0/8 und 28.0.0.0/8 spätestens beim DE-CIX-Knoten nicht mehr geroutet werden, gehe ich davon aus, dass es sich um gute Fakes oder um irgendwelche sehr ausgefuchsten Netzwerktricks handelt. Dass das DoD so dumm ist, mit den eigenen IPs Trojaner in die Welt zu setzen, ist denen zwar prinzipiell zuzutrauen, aber bei so viel Dummheit kämen die Trojaner dann immer von derselben IP und bestimmt nicht aus unterschiedlichen /8-Netzblöcken.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

Martin S.
17.12.2004, 09:47
humantango.com ist anscheinend "offline", d.h. es ist nur noch ein Directory-Listing sichtbar.
Gruß,
Martin
--
Think globally - act locally. Auch bei Gesetzen gegen Spam

schara56
16.01.2005, 10:17
From Rechnung-Online [at] t-com.net Sat Jan 15 xx:xx:xx 2005
Return-Path: <Rechnung-Online [at] t-com.net>
X-Flags: 1101
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail invoked by alias); 15 Jan 2005 xx:xx:xx -0000
Received: from host175.ipowerweb.com (HELO host175.ipowerweb.com) (66.235.199.151)
by mx0.gmx.net (mx030) with SMTP; 15 Jan 2005 xx:xx:xx +0100
Received: from qwqgfrx (68.121.170.177)
by host175.ipowerweb.com; Sat, 15 Jan 2005 xx:xx:xx -0800
Date: Sat, 15 Jan 2005 xx:xx:xx -0800
From: <Rechnung-Online [at] t-com.net>
X-Mailer: The Bat! (v2.01)
Reply-To: <Rechnung-Online [at] t-com.net>
X-Priority: 3 (Normal)
Message-ID: [ID filtered]
To: <poor [at] spamvictim.tld>
Subject: =?koi8-r?B?TW9uYXQgSmFudWFy?=
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------C53E62BD8C0DDC"
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
--- Weitergeleitete Nachricht / Forwarded Message ---
Date: Sat, 15 Jan 2005 xx:xx:xx -0800
From: <Rechnung-Online [at] t-com.net>
To: <poor [at] spamvictim.tld>
Subject: Monat Januar
Guten Tag,
die Gesamtsumme f&Oslash;r Ihre Rechnung im Monat Januar 2005 betrÄgt: 257,74 Euro.
Mit dieser E-Mail erhalten Sie Ihre aktuelle Rechnung und - soweit von Ihnen
beauftragt - die Einzelverbindungs&Oslash;bersicht.
Nutzen Sie auch unter http://www.t-com.de/rechnung die vielfÄltigen M&Atilde;glichkeiten
von
Rechnung Online, wie z.B. Sortier- und Auswertungsfunktionen.
=================================
RECHNUNG ONLINE - TIPP DES MONATS
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
http://www.t-com.de/aktuell
Auskunft per SMS
Einfach Anfrage per SMS an die 11833* - Die Antwort kommt sekundenschnell
zur&Oslash;ck.
11833* - Wir sind die Auskunft.
*pro SMS-Abfrage 69 Cent aus den dt. Mobilfunknetzen, 49 Cent aus dem
Festnetz von
T-Com.
Pro Anfrage per Telefonanruf einmalig 20 Cent zzgl. 99 Cent/Min.
=================================
Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitte
unter
http://www.t-com.de/rechnung (oben links) auf "Kontakt".
Mit freundlichen Gr&Oslash;&ntilde;en
Ihre T-Com
----------------------------------------------------------
Aktuelle Informationen zu den Allgemeinen GeschÄftsbedingungen finden Sie
unter
http://www.t-com.de/aktuell-agb.
Leider sieht man bei GMX nicht ob das die "richtigen" Links sind.
Zum &atilde;ffnen der PDF-Dateien verwenden Sie bitte den Adobe Acrobat Reader ab
Version
5.0. Ist dieser auf Ihrem PC noch nicht installiert, k&Atilde;nnen Sie die aktuelle
Version unter http://www.t-com.de/pdf kostenlos herunterladen.

Abgekippt über:
Pac Bell Internet Services -> abuse[at]pbi.net

ganz frisch im Heise-Ticker:http://www.heise.de/newsticker/meldung/55183