PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Multidialerspam] Eilt sofort beantworten



Eniac
11.10.2002, 14:00
Re: 200.44.157.83 (Ursprungsquelle der Spammail)
To: poor [at] spamvictim.tld
Re: realkontakt.sub4me.org (beworbene Seite)
To: poor [at] spamvictim.tld
Re: netmails.com/members/56567ed/
To: poor [at] spamvictim.tld; poor [at] spamvictim.tld
Re: silviaseidel [at] bluewin.ch (gefälschte Absendeadresse)
To: poor [at] spamvictim.tld

===8<==============Original message text===============
Received: from [200.44.157.83] (helo=bluewin.ch)
by mx13.web.de with smtp (WEB.DE(Exim) 4.75 #2)
ID: [ID filtered]
Reply-To: <silviaseidel [at] bluewin.ch>
Message-ID: [ID filtered]
From: <silviaseidel [at] bluewin.ch>
To: Persoenlich
Subject: Eilt sofort beantworten
Date: Thu, 10 Oct 2002 xx:xx:xx +0100
MiME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: eGroups Message Poster
Importance: Normal
Jemand der Dich sehr gut kennt wuerde gern ein Treffen mit Dir haben. Die Person traut sich jedoch nicht
Dich direkt anzusprechen.
Sie hat deshalb unseren Service in Anspruch genommen und bei uns eine persoenliche
Anzeige hinterlassen.
Wenn Du wissen willst wer Dich treffen moechte gehe auf diese Seite:
h##p://realkontakt.sub4me.org
Gehe in den geschlossenen Bereich und waehle dort die Seite:
real0811
Du kannst dann sehen wer Dich so sehr mag und entscheiden ob Du Kontakt aufnehmen
willst oder nicht.
Service Real Kontakt
Silvia Seidel
1258VFchp6-824JSwz2594ZUhU1-78l25
===8<===========End of original message text===========

So weit zum Spam, jetzt geht`s ins Eingemachte.
Auf der beworbenen Subdomain liegt ein Frameset, der eigentliche Inhalt auf einen netmails-Account.
Beim ersten Aufruf gestern abend gegen 18:00 Uhr war dies:
netmails.com/members/56567ed/, öffnet ein Popup-Fenster (dialershow.html), eim Klick auf das Bild
öffnet sich ein weiteres Fenster bei(websitebilling.de/anmeldung/countryselect.php?DomainID=41631&WMID=950&su=1), das 2 Links beinhaltet:
- Zugangssoftware für alle Länder ausser D (h##p://port.aconti.net/?UID=106155&FB=EI&AppUid=103508e) --> aconti.exe
- Zugangssoftware für D (h##p://dialer.memberarea.tv/manual.php?webmaster=1-1-1-0-) --> dialer(1-1-1-0-).exe
Freundlicherweise hat der Spammer auch gleich seine eMail-Adresse im HTML-Quelltext der Seite gespeichert:
<meta http-equiv="reply-to" content="sales [at] cytainment.de">
In dialer(1-1-1-0-).exe finden sich noch folgende Adressen:
- FR [at] pc00.cytainment.de
- http://www.webbrowser.tv

Who`s who?
cytainment.de [217.173.135.236]
websitebilling.de [217.173.158.5]
memberarea.tv [217.173.158.5]
webbrowser.tv [217.173.136.67 --> Alias: 173136067.cytainment.de]
Alle gehören wie fast immer zum Haus- und Hoflieferanten der deutschen Fickelbildchenbranche Tittennetworks.

Das whois (http://www.tv/de-def-75c5331e6f70/de/whois.shtml) für memberarea.tv liefert:
Domain-Name: memberarea.tv
Anmelder: Cyberservices Cyberservices (webmaster [at] cyberservices.tv)
Cyber Services Corp.
112, Bonadie Street
Kingstown, NONE Saint Vincent
GD
17744571145
Also eine Briefkastenfirma auf Grenada, wirklich gefickt eingeschädelt!
Für die übrigen Domains, insbesondere `cytainment.de` und `webbrowser.tv`, bitte selbst die üblichen whois-Dienste bemühen.
Die Rufnummer von dialer(1-1-1-0-).exe 0190 8 53 531 gehört zu IN-telegence & Co. KG.
Über den aconti-Dialer habe ich nicht viel rausbekommen.

Wir sind jetzt aber noch nicht fertig, denn beim 2. Aufruf wenig später hatte sich die URL des Framesets geändert in
netmails.com/members/privatdate/ und so ist sie aktuell auch noch. Die vorherige URL ist aber nach wie vor erreichbar.
Die Links in diese Seite zeigen auf: h##p://utenti.lycos.it/realkontakt2002/realkontakt.exe, dass ist mal wieder unser altbekannter IBS-Dialer.
Die komplette Seite ist dort auch noch mal gespiegelt, falls der Account bei netmails irgendwann mal rausfliegt, brauchen die nur im Frameset auf lycos.it umzuswitchen.
Habe mich dort aber auch schon mal wegen TOS-Verletzung beschwert.

Umfangreiche Beschwerden sind raus, über den Fortgang werde ich weiter berichten.

Grüsse
Eniac

--
Score:
eMail-Accounts: +++++ +++++ +++++ +++++ +++++ +++++ +++++ ++++
Domains/Subdomains: +++++ +
Relays/Proxies: ++++