PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [UCE] Poppen bis der Arzt kommt und dabei noch blutjung



Goofy
16.11.2004, 18:56
Immer wieder Spamwerbung für eine Dialerbude. Schon mehrfach eingeschlagen. -Text gekürzt.
Return-Path: <reni49.pricks[bei]wz.cz>
Received: from wz.cz ([212.160.103.50]) by xxxx t-offline xxxx
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
From: "Miltraud Rieger" <reni49.pricks[bei]wz.cz>
To: "Heisse Lover" <xxxxxxx meine add xxxxxxxx>
Subject: Poppen bis der Arzt kommt und dabei noch blutjung
Date: Tue, 16 Nov 2004 xx:xx:xx -0700
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1123
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1123
X-TOI-SPAM: u;0;2004-11-17Txx:xx:xxZ
X-TOI-MSGID: [ID filtered]
X-Seen: true
Nein diese Teens! Kaum trocken sind hinter den Ohren, sind sie auch schon
[xx blablabla xx]
Und wie sie es treiben diese geilen jungen Dinger. Sie wollen es von
[xxx blablabla xx]
Sei live dabei und sieh ihnen zu, wie [xx blablabla xx]
von hinten und von vorne [xx blablabla xx]
[vonobenundvonunten blablabla].
Der Hammer!! [boah ey.]
http://www.seniamar.com/teen-palace2
[ Vorsicht, Dialer! ]
Sowas hast Du noch nicht gesehen! Da musst Du dabei sein.
Deine Miltraud Rieger

------------------------------------------
Nein, ich muss nicht dabei sein.
Verteilt wurde der Mist über TP TelTech Lodz Region Poznan (Polen).
IP 212.160.103.50 ist bei openrelay-db nicht als offener Proxy gemeldet.
Meldung an abuse[bei]telekomunikacja.pl ist raus, mit mäßig Hoffnung auf Erfolg.
Domain seniamar.com ist bei bizcn.com registriert und im schönen China gehostet.
Das ermöglicht Spammen bis der Arzt kommt, Beschwerden zwecklos.
Registrant Contact:
Postana Inc
inc postana poor [at] spamvictim.tld

88888888 fax: 88888888
44
22 11 222222
cn
Das kommt mir bekannt vor. Sehr "plausibel" klingende Angaben, aber was
kümmert das den Kinesen, solange die Kohle rübergewachsen kommt.
Der beworbene Dialer ist offensichtlich von swisspay24.com.
So weit meine Erkenntnisse.
Goofy

oliveer
16.11.2004, 19:47
ui sind die auch mal wieder wachgeworden ? Diese nette Truppe hat uns doch mal vor einigen Wochen hier nette Mails beschert und dann ist es irgendwie ruhig geworden.
Swisspay nimmt doch eh alles mit, was Geld bringt und Beschwerden bei denen wandern doch sowieso in die runde Ablage !
in diesem Sinne
Oliver

Sieghard
18.11.2004, 22:25
Habe gerade in Google nach Spam von Postana gesucht und dieselbe eMail-Gattung gefunden, die mich seit einiger Zeit ein bis zweimal täglich erfreut. Die Links sind immer bei manzan88.com mit eigenem Nameserver gehostet, NIC-Einträge natürlich wie immer völlig im Wald, und der Rechner steht im unschuldigen China:
summer65.com
dream60.com
shang04.com
seniamar.com
dvd-porno-shop.com
pagosi.com
the-seventies-online.com
postana.com
Gibt es eine effektive Methode, diesen Mist zu neutralisieren?
Ich habe auch versucht, eMails an erfundene admin-Adressen bei manzan88.com zu schicken, bekomme aber keine Antwort und trotzdem weiterhin täglich diesen sehr aufschlussreichen Spam.
Sieghard.

Goofy
19.11.2004, 00:16
manzan88.com = [ 81.100.100.200 ]

Domain Name: manzan88.com
Registrar: Spot Domain LLC
Expiration Date: 2005-10-05 19: 32: 33
Creation Date: 2004-10-05 17: 22: 10
Name Servers:
ns1.manzan88.com
ns2.manzan88.com
REGISTRANT CONTACT INFO
capsi
sandra gonzales
lanirva 232
cordoba sevilla 41013
ES
Phone: 954568954
Phone Code: 1 United States
Fax:
Email Address: poor [at] spamvictim.tld

ADMINISTRATIVE CONTACT INFO
capsi
sandra gonzales
lanirva 232
cordoba sevilla 41013
ES
Phone: 954568954
Phone Code: 1 United States
Fax:
Email Address: poor [at] spamvictim.tld
Das alles sieht nach fake aus, der Ort ist "Cordoba Sevilla" (was denn nun???), obwohl eine US-Telefonnummer in unüblicher Schreibweise angegeben wurde.
Der Spacke glaubt auch, er kann die ganze Welt verar....n.
An Registrare zu schreiben, habe ich keine Lust mehr. Da kommt entweder keine Antwort, oder es steht nirgendwo eine abuse-Referenz, oder sie schreiben zurück "according to...Icann.org...policy... we cannot... blahblablah."
Ich schicke das mal an uce[at]ftc.gov, weil die Domain manzan88 bei einem US-Registrar angemeldet wurde.
Und an http://www.ntlworld.com/netreport, das ist NTL Infrastructure - Southampton. Dort ist der Nameserver gehostet.
Goofy

Investi
19.11.2004, 08:05
Die Daten sind eindeutig gefälscht.
Vorwahl MadrID: [ID filtered]
PLZ MadrID: [ID filtered]
PLZ Cordoba: E-14...
Vorwahl 954 gehört in den USA zu Florida, aber dann stimmt die Länge der Rufnummer nicht mehr. Muß dann zwingend 7-stellig sein. Sowohl die Vorwahl als auch die PLZ deuten auf Sevilla hin.
Und außerdem scheint Sandra auch Larry zu heißen. Wir haben es hier also entweder mit einer gespaltenen Persönlichkeit oder mit einer Transsexuellen zu tun.
Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Ciovan)

mindphlux
19.11.2004, 08:10
Spanier scheinen die Spammer allerdings zu sein, jazzfree.com ist spanisch und ich finde dort keine englische Übersetzung.
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

spammer2004
19.11.2004, 20:49
http://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gif
was seID: [ID filtered]

Investi
19.11.2004, 21:00
Hast Du doch wieder jemanden gefunden, der Deine Ergüsse schriftlich fixiert? Oder hat der VHS-Kurs wider Erwarten Früchte getragen? Aber: Schreiben können hat nichts mit Denken können zu tun!
Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Ciovan)

Goofy
19.11.2004, 21:05
@spammer2004
Troll Dich hier raus.
Oder nein: warte, vielleicht kommt der Arzt und hilft Dir.
Goofy
-------------------------------
Spammer, schreibst Du hier:
beaneater [at] fartnet.com
Stoned [at] hushpuppies.net
Voulezvous [at] coucheravecmois.fr

Fidul
19.11.2004, 21:32
Ich hege übrigens gewisse Zweifel, ob der dortige Dialer registriert ist.
--
Wir kriegen euch alle!

oliveer
19.11.2004, 21:42
Sieht leider so aus. Preisangabe ist vorhanden (1,99€/min), Impressum auch und der Hashwert stimmt also mit der Datenbank bei der RegTP überein. Sind die doch jetzt seriös geworden ?
in diesem Sinne
Oliver

Fidul
19.11.2004, 21:49
Wie ist denn der Hash? Der gestrige Dialer existiert jedenfalls nicht in der Datenbank.
Edit: Dazu http://forum.computerbetrug.de/viewtopic.php?t=6757 und natürlich http://210112.antispam.de/t480036f117199...aler_prima.html (http://210112.antispam.de/t480036f11719959_UCEDialer_prima.html)
--
Wir kriegen euch alle!

spammer2004
19.11.2004, 22:10
http://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gif
goofy-du gehörst wirklich zu den deppen dieser garde - solltest vielleicht mal zur abwechslung mal nen gescheites buch lesen - dann verblödest du nicht mit micky mouse und entenhausen....:)))lol

im übrigen - was wollt ihr sesselpubser überhaupt - macht einen auf internetbullen und seID: [ID filtered]

Goofy
19.11.2004, 22:23
@spammer2004
jetz machse die tür hinta dir zu, ne, und dann gehse dat machen, ne, watte kanns (watt wohl???),
und zwar
solange bis der Arzt kommt. http://img.homepagemodules.de/smokin.gif
So, und jetzt Schluß. No further comment on that.
Goofy
-------------------------------
Spammer, schreibst Du hier:
Forzabasta [at] Spagetticarbonara.it
jodelidi [at] hollaritue.ch
GustavVasa [at] knaeckebroed.se

DocSnyder
19.11.2004, 22:32
...dann verblödest du nicht mit micky mouse und entenhausen
Erwähne bloß den DOEDel nicht, sonst kommt er wieder angewiehert...
BTW deine Shifttaste ist kapott.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

oliveer
19.11.2004, 22:42
@ Fidul : Hab mir mal den Dialer runtergeladen und direkt mal auf nem Rechner mit nem Fakemodem getestet, um so an die Daten zu kommen. Also nen Hashwert ist gegeben und man kann den direkt auch überprüfen kann und du landest dann auf der Seite der RegTP, wo der Dialer als korrekt angezeigt wird. Screenshot vom Dailer (http://home.arcor.de/oliveer/dialerinklhash.jpg).

Bin dem Link dann mal gefolgt und siehe da, das sieht nach einem geschützen Bereich nur für berechtigte Personen aus. Ich denke, dass dies wohl auch mal die RegTP interssieren würdee.
in diesem Sinne
Oliver

Fidul
19.11.2004, 22:48
Lade dir von der RegTP mal das Hash-Programm herunter: http://www.regtp.de/imperia/md/content/m...hashanzeige.zip (http://www.regtp.de/imperia/md/content/mwdgesetz/hashanzeige.zip)
Laß das über den Dialer laufen und vergleiche das Resultat. "Mein" Dialer brachte einen ganz anderen Wert und wenn er bei dir auch nicht übereinstimmt, haben wir hier einen netten kleinen Betrugsfall.
--
Wir kriegen euch alle!

oliveer
19.11.2004, 22:52
Hab ich eben schon gemacht ! Hab eben nur eben auf den Dialer geachtet und wurde direkt auf die Seite der RegTP weitergeleitet, war zwar kurz irritiert, aber hab es erstmal hingenommen.
Der Link geht hierhin http://bo2005.regtp.de/ ... - also ich denke nicht wirklich für normale User geeignet.
in diesem Sinne
Oliver

DocSnyder
19.11.2004, 23:48
Sieht der Dialer nur zufällig dem Würgeschlangendialer recht ähnlich, oder wächst hier eine neue IBS Spamming AG heran?
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

spammer2004
20.11.2004, 00:19
da haste recht - lassen wir die konversation in zukunft - was du bist zeigt alleine die tatsache, dass du am samstag abend nichts besseres zu tun hast, als schwachsinn von dir zu geben...
in diesem sinne dödellllllllllllls
ihr seID: [ID filtered]
http://img.homepagemodules.de/rolling_eyes.gifhttp://img.homepagemodules.de/rolling_eyes.gifhttp://img.homepagemodules.de/rolling_eyes.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/grin.gifhttp://img.homepagemodules.de/sick.gifhttp://img.homepagemodules.de/sick.gif

Investi
20.11.2004, 00:49
@spammer2004
Willkommen im Club! Ich glaube nicht, daß Deine Aussichten auch nur ansatzweise besser sind.
Investi
P.S.: Man sollte mal untersuchen, inwiefern spammer2004 auf bestimmte Beiträge reagiert und ob evtl. diese Beiträge und seine Reaktionen in Einklang zu bringen sind.
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Ciovan)

Goofy
20.11.2004, 09:30
Er kann es einfach nicht lassen.
Diesmal wirbt er in neuen Spams für dvd-porno-shop.com/control.php .
Wieder gibt es hier die gleichen 8888-postana-Einträge aus China.
Aber unser lieber manzan88 betreibt noch einen anderen Nameserver, nämlich:
peiman.biz
Und dort findet man dann bei den Regdaten:
peiman.biz = [ 81.100.100.200 ] [NTL Infrastructure - Southampton]
Domain Name: PEIMAN.BIZ
Domain ID: [ID filtered]
Sponsoring Registrar: INNERWISE INC. D.B.A. ITSYOURDOMAIN.COM
Sponsoring Registrar IANA ID: [ID filtered]
Domain Status: ok
Registrant ID: [ID filtered]
Registrant Name: Cacho Peiman
Registrant Organization: peiman
Registrant Address1: Mogoterontes 4145
Registrant City: Cordoba
Registrant State/Province: Sevilla
Registrant Postal Code: 41013
Registrant Country: Spain
Registrant Country Code: ES
Registrant Phone Number: 1.1954125426
Registrant Email: peiman[bei]rediffmail.com
Ein aufschlussreicher Thread, in dem auch der Name peiman.biz fällt, findet sich hier:
http://listserv.nic.it/cgi-bin/wa?A2=ind...e&F=&S=&P=63904 (http://listserv.nic.it/cgi-bin/wa?A2=ind0411a&L=abuse&F=&S=&P=63904)
Offensichtlich nutzen viele Spammer irgendwelche beliebige Daten aus oft leicht
zugänglichen whois-Einträgen von Registraren, um mit diesen falschen Personaldaten
neue domains aufzusetzen. Aber vielleicht haben wir hier wirklich unseren Cacho?
http://www.ntlworld.com/netreport wurde wiedereinmal informiert, ebenso die ftc.gov,
weil itsyourdomain wiedereinmal ein US-Registrar ist (ohne abuse-Link).
Goofy
-------------------------------
Spammer, schreibst Du hier:
Stradivari [at] Violadolorosa.it
Wiener.Wuerstel [at] Praternet.at
Goudakaas779 [at] kannitverstaan.nl

Investi
20.11.2004, 10:42
Insofern passt es ja dann zu den Feststellungen von gestern. Sevilla als Ursprungsort.
Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Ciovan)

Goofy
20.11.2004, 13:36
Und weiter gehts.
Gucken wir hier:
http://www.proxypot.org/reports/pacman/b...niamar.com.html (http://www.proxypot.org/reports/pacman/byweb/seniamar.com.html)
Das ist so eine Art Teergrube für Spam über offene Proxies.
Ergibt versendende IP: 80.190.249.196 ["219 messages from 1 distinct host"]. Muhahaha...
inetnum: 80.190.249.0 - 80.190.249.255
netname: IPX-Server-NET
descr: IPX Server GmbH
descr: Roonstrasse 27
descr: 90429 Nuernberg
descr: Germany
In case of abuse/spam contact abuse[bei]ip-exchange.de
Na, dann wolln wir mal sehn. http://img.homepagemodules.de/flash.gif
Goofy [Nachtrag: Grüße aus Entenhausen!]
-------------------------------
Spammer, schreibst Du hier:
Hugo.Loechli [at] Schwyzerkaes.ch
E.Honnecker [at] Pankowhome.de
SauPreiss [at] Herrgottsakra.de
Gehnsfort [at] Kuessdiehand.at

DocSnyder
20.11.2004, 13:38
IP-Exchange ist leider wie auch Titan einer der einstigen Vollpatienten, die ihren Wandel vom Saulus zum Paulus noch unter Beweis stellen müssen. Deshalb ist auch hier bei ausbleibendem Erfolg CC an eco.de sinnvoll. Schließlich möchte IP-Exchange auch zukünftig gerne über DE-CIX (betrieben vom ECO-Verband) am Internet hängen.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

sis
21.11.2004, 19:00
itsyourdomain.com zusammen mit manzan88.com?
Da hatte ich einmal einen netten Kontakt zu einem Herrn names Nick Starai mit kompletter Anschrift in Schaumburg/IL (USA). Vor einiger Zeit hatte ich ihn gebeten, mich doch freundlicherweise von der Mailingliste für powermail100.biz und email-deals-24.biz zu nehmen. Hat er auch gemacht. Zwei Wochen später fing aber der Spam von manzan88 an :-(
Werde ihn wohl nochmal danach fragen.

Goofy
21.11.2004, 19:49
Aha... wenn man seinen Namen eingoogelt, dann scheint es so zu sein, dass eine Menge Leute mit dem Probleme haben. Nicht zuletzt mit
dem Reseller-Service.
Ausserdem scheint IYD ein von Spammern bevorzugter Registrar zu sein. Daher auch meine Mail an die FTC. Ob`s was bringt, weiß ich nicht.
Die Abuse von IP-Exchange hat bisher auch nur die Auto-Response geschickt. Über ein paar aussagekräftige Zeilen von denen würde ich mich aber doch noch sehr freuen. Sonst muss ich wohl doch noch DocSnyder`s Hinweis mit Eco.de aufgreifen.
Goofy
-------------------------------
Spammer, schreibst Du hier:
Ulbricht [at] Zendrohlgoemmidae.de
crocodiledundee [at] taipannet.au
klothilde.klosenberger [at] piepwelt.de

sis
22.11.2004, 22:21
Nick Starai beteuert in seiner Antwort, dass IYD noch nie etwas mit MANZAN88.COM zu tun hatte und dies in Zukunft auch nicht beabsichtigt sei. Seine eMail hört sich schon relativ glaubhaft an.
Nichtsdestotrotz spammt MANZAN88.COM natürlich munter weiter (wurden hier bereits gepostet).

Goofy
22.11.2004, 22:30
Der will alle Welt für doof verkaufen. Naja, die FTC weiß schon Bescheid. Mal sehn, die Mühlen mahlen langsam, aber sie mahlen.
Manzan88 und Peiman abgeschaltet - das wäre ein kleiner Fortschritt. Die Engländer melden sich auch nicht auf meine Mail. Kennt jemand eine UK-Government-Adresse, wo man sich da hinwenden kann? NTL Infrastructure - Southampton braucht noch dezente Nachhilfe.
Goofy
--------------------------------
Spammer, schreibst Du hier:
Pillman11 [at] liftmeup.biz
zickezacke333 [at] hoihoihoi.de
Ballermann6 [at] proloet.de

Investi
22.11.2004, 22:37
Kennt jemand eine UK-Government-Adresse, wo man sich da hinwenden kann?
Versuch es mal unter http://www.oft.gov.uk
Das ist das Office of Fair Trading, eine Verbraucherschutzinstitution. Und ganz passend haben die auf Ihrer Startseite zur Zeit prompt das Thema Medikamente.
Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Ciovan)

sis
24.11.2004, 22:04
MANZAN88.COM ist ein ganz kleines Licht mit aktuell (Stand: 22.11.04) 109 gehosteten Domains (wohl ausschließlich Spammer-Domains).
Quelle: http://www.webhosting.info/webhosts/repo...ns/MANZAN88.COM (http://www.webhosting.info/webhosts/reports/total_domains/MANZAN88.COM)
Eine eMail an den Registrar (Spot Domain LLC) mit meinen 22 in den letzten Tagen gesammelten Beweisstücken habe ich eben abgeschickt.

Goofy
25.11.2004, 13:03
Danke für den interessanten Link.
Der Bewertung "kleines Licht" kann ich allerdings nicht ganz zustimmen.
0.0002 % global share heißt nach meiner Interpretation: 0.0002 % aller global gehosteten Domains laufen über manzan88. Das sagt noch nicht viel. Aufschlussreicher finde ich da schon die Angabe, dass z.Zt. etwa 109 Domains da drüber laufen, und dass in diesem Jahr
eine Steigerung von ca. 100 % in der Anzahl der dort gehosteten Domains stattfand. 109 Spammerdomains finde ich nicht gerade wenig.
Bei Peiman.biz sind es übrigens sogar 560 Domains.
Ich halte das ganze für ein Spammernetzwerk. Manzan und Peiman liefern Domains und Infrastruktur und vermieten an die "Kleinspammer".
Ist sicherlich ein einträgliches Geschäft.
Goofy
--------------------------------
Spammer, schreibst Du hier:
Pleitegeier [at] ohnemoosnixlos.de
Webmaster [at] Schmitz-Mueller-Meisenbichler.de
napoleon2 [at] touslesfous.fr