PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Exploit] Hallo Sein Ich! Meine Neuen Bilder!



Gool
22.03.2005, 02:35
Received: from [222.151.238.18] (helo=pc2.ft-cnet-unet.ocn.ne.jp)
by mx26.web.de with esmtp (WEB.DE 4.104 #268)
ID: [ID filtered]
for #; Mon, 21 Mar 2005 xx:xx:xx +0100
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.nepntib.com with SMTP; Tue, 22 Mar 2005 xx:xx:xx +0000
Received: from 71.11.109.128 (71.11.109.128[71.11.109.128])
by pc2.ft-cnet-unet.ocn.ne.jp (IMP) with HTTP
for <#>;
Message-ID: [ID filtered]
From: "Julius" <kiindezac [at] bulgaria-embassy.org>
To: "Winifred" <#>
Subject: Hallo Sein Ich! Meine Neuen Bilder!
Date: Tue, 22 Mar 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 71.11.109.128
Sender: kiindezac [at] bulgaria-embassy.org

Dont, an den Sie sich erinnern, wir hatten
Gesprach in msn im letzten Jahr?
Und Sie konnen meinen foto hier sehen...
http://www.picsnet.net

Auf der Beworbenen Seite, wird ein Javascript geladen, welches ein verschlüsseltes Javascript ausführt, welches wiederum ein verschlüsseltes Javascript ausführt, welches dann die Datei http://fotonet.itgo.com/foto.js läd, welches dann zur Seite http://www.besttraff.us/top/index.html führt, wo das ganze nochmal von vorne anfängt... oder so... Firefox wollte ein Plugin installieren (keine Ahnung) und der IE hat gar nicht auf diese Seite reagiert. Komisches Dingens...

Hotte
22.03.2005, 07:45
Hab ich auch erhalten und kann mit der Seite ebensowenig anfangen.
Gleiche Nachricht.

From - Tue Mar 22 xx:xx:xx 2005
Received: from [220.89.82.17] (helo=220.89.82.17)
by mx32.web.de with esmtp (WEB.DE 4.104 #268)
ID: [ID filtered]
for #####; Mon, 21 Mar 2005 xx:xx:xx +0100
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.alfdm.com with SMTP; Mon, 21 Mar 2005 xx:xx:xx +0000
Received: from 138.78.80.81 (138.78.80.81[138.78.80.81])
by 220.89.82.17 (IMP) with HTTP
for <#####>; Mon, 21 Mar 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Essie" <dtagjosol [at] webcity.cl>
To: "Micky" <#####>
Subject: Hallo Sein Ich! Meine Neuen Bilder!
Date: Mon, 21 Mar 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 138.78.80.81
Sender: dtagjosol [at] webcity.cl

Sirius
22.03.2005, 07:49
Hallo,
ich habe mir den Code mal angesehen.
Es handelt sich um einen JavaScript-Exploit, der einen IFrame erzeugt und im IFrame einen weiteren IFrame usw. Hierdurch soll es dann zu einem Buffer-Overflow kommen, durch den schädlicher Code in den Browser eingeschleust werden kann. Das funktioniert aber anscheinend nicht richtig ;-)
Das Ding hat auch einen Namen; der Norman-Virenscanner (Linux) meldet: JS/Exploit_based.D.
Grüße

Eniac
22.03.2005, 09:26
Die beworbene Seite leitet auf fotonet.itgo.com weiter, wo der Besucher mit einem äussert verdächtigen <font color="#00C000">Knock, knock, Guest ...
Matrix has you... _</font> begrüsst wird.
Beschwerde an abuse#direct-connect.com und abuse#freeservers.com ist erstmal raus; picsnet.net ist in China gehostet, Beschwerde sinnlos. Abgekippt wurde der Müll in Chile --> enteladminip#entel.cl; noc#entelchile.net
===8<=============Original message header==============
Received: from 200.72.177.231 ([200.72.177.231])
by mailgate2.xxxyyyzzz.de (MOS 3.5.7-GR)
with ESMTP ID: [ID filtered]
Mon, 21 Mar 2005 xx:xx:xx +0100 (CET)
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.gai.com with SMTP; Tue, 22 Mar 2005 xx:xx:xx +0000
Received: from 36.81.82.103 (36.81.82.103[36.81.82.103])
by 200.72.177.231 (IMP) with HTTP
for <poor [at] spamvictim.tld>; Tue, 22 Mar 2005 xx:xx:xx +0000
Message-ID: [ID filtered]
From: "Willy" <jennsono [at] oii-iol.com>
To: "Daniel" <poor [at] spamvictim.tld>
Subject: Hallo Sein Ich! Meine Neuen Bilder!
Date: Tue, 22 Mar 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 36.81.82.103
X-Junkmail-Status: score=50/58, host=mailgate2.xxxyyyzzz.de
X-Junkmail-SD-Raw: score=bulk(0), refid=0001.0A090204.423F4338.0006-B-uyzlfuu62Z6VtqSEXxf/Kw==, ip=€J
===8<==========End of original message header==========

Eniac

Goofy
22.03.2005, 19:21
Hier auch aufgeschlagen:
Return-Path: <ksmealizd [at] videotechcenter.com>
Received: from v-424-adsl-67.bitnet.nu ([82.196.96.67]) by -friss, t-online-
with esmtp ID: [ID filtered]
Received: from unknown (HELO localhost) (127.0.0.1)
by localhost.jitcew.com with SMTP; Tue, 22 Mar 2005 xx:xx:xx +0000
Received: from 88.4.135.230 (88.4.135.230[88.4.135.230])
by v-424-adsl-67.bitnet.nu (IMP) with HTTP
for <Goofy>;
Message-ID: [ID filtered]
From: "Gregory" <ksmealizd [at] videotechcenter.com>
To: <Goofy>
Subject: Hallo Sein Ich! Meine Neuen Bilder!
Date: Tue, 22 Mar 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
User-Agent: Internet Messaging Program (IMP) 3.2.2
X-Originating-IP: 88.4.135.230
X-TOI-SPAM: u;0;2005-03-22Txx:xx:xxZ
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: [ID filtered]
X-Seen: false
--------------------------------------
Goofy
--------------------------------
Spammer, schreibst Du hier:
Krimhild.Trullerer [at] pomeranzen.de
lekker24 [at] tomatenhuis.nl
tuba1 [at] ufftata.de

Eniac
22.03.2005, 19:45
Another one bites the dust:
This site may have been removed due to a violation of the FreeServers "Acceptable Use Policy".
http://img.homepagemodules.de/death.gif
Diese W****** haben aber auch schnell reagiert und leiten jetzt auf picsnet.5u.com weiter, dafür ist abuse#50megs.com zuständig.
Schreibt jemand eine Beschwerde?
Eniac

Eniac
29.03.2005, 09:27
Soifz, muss man denn hier alles selber machen?

Thank you for reporting to our Abuse Department. We have zero tolerance
for sites which contain material that has been promoted through sending
unsolicited email (spam), or through mail fraud schemes, or contains
pages that promote or condone the sending of unsolicited email. Users
who use our resources, including email addresess, for spam are also
subject to prosecution to the fullest extent of the law.
http://img.homepagemodules.de/death.gif R.I.P. http://img.homepagemodules.de/death.gif
Eniac