PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : =?utf-8?q?Die Aufmerksamkeit!?=



webeinspunktnull
04.05.2005, 12:57
bekam ich nun zum 2. Mal

Return-Path: <ahtung [at] cnn.com>
Delivery-Date: Wed, 04 May 2005 xx:xx:xx +0200
Received: from [69.22.218.187] (helo=user-12hdmlr.cable.mindspring.com)
by mxeu8.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
From: =?utf-8?q?berlin-info.de?= <ahtung [at] cnn.com>
To: =?utf-8?q?berlin-info.de?= <>
Subject: =?utf-8?q?Die Aufmerksamkeit!?=
Date: Tue, 3 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="hMvCJj52yApifYWuzajvVIqH"
Message-ID: [ID filtered]
X-RBL-Warning: warn.bl.kundenserver.de says:
Envelope-To:
This is a multi-part message in MIME format.
--hMvCJj52yApifYWuzajvVIqH
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable
Die Aufmerksamkeit! Hier f&Atilde;&frac14;r dich die wichtige Information http://best-pedo.com/a/?3c647v2306xt0823t

--
If Windows is the Solution - What was the Problem?

Investi
05.05.2005, 23:42
Hab ich auch bekommen. Best-pedo ist doch die Adresse, die auch im Zusammenhang mit den Heise-Joe-Jobs zusammenhängt: http://www.heise.de/newsticker/meldung/59136

Investi
--------------------------------------------------
Man möchte zuweilen ein Kannibale sein, nicht um den oder jenen aufzufressen sondern um ihn auszukotzen. (E.M. Cioran)

xray12
08.05.2005, 09:37
Auch ich wurde "beschenkt": http://img.homepagemodules.de/sick.gif
Received: from [221.232.47.180] (helo=221.232.47.180)
by mx25.web.de with smtp (...DE 4... #2..)
ID: [ID filtered]
for meineaddy.de; Sun, 08 May 2005 xx:xx:xx +0200
From: =?utf-8?q?janex1 [at] yahoo.de?= <janex1 [at] yahoo.de>
To: =?utf-8?q?2berlin.de?= <.......de>
Subject: =?utf-8?q?Die Aufmerksamkeit?=
Date: Sat, 7 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="tuosi8r6T5O"
Message-ID: [ID filtered]
Sender: janex1 [at] yahoo.de

Die Aufmerksamkeit! Die wichtige Information! http://berlin.de/?info=276bc230q9bx6c
http://best-pedo.com/a/

J. R.
08.05.2005, 14:01
Warum sollte ich auch verschont bleiben? http://img.homepagemodules.de/mad.gif
X-Kaspersky: Checked
Return-Path: <janex1 [at] yahoo.de>
Delivery-Date: Sun, 08 May 2005 xx:xx:xx +0200
Received: from [221.147.5.123] (helo=221.147.5.123)
by mxeu2.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
From: =?utf-8?q?janex1 [at] yahoo.de?= <janex1 [at] yahoo.de>
To: =?utf-8?q?2berlin.de?= <poor [at] spamvictim.tld>
Subject: =?utf-8?q?Die Aufmerksamkeit?=
Date: Sun, 8 May 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="VIBCVcBi99aMllJ5n30"
Message-ID: [ID filtered]
Envelope-To: poor [at] spamvictim.tld
Mail-Text wie oben.
BTW: `ne Mail mit Link zu dieser Best-Pedo-Seite habe ich vor zwei Wochen schon bekommen. Die sah so aus:
X-Kaspersky: Checked
Return-Path: <alex [at] hotmail.com>
Delivery-Date: Wed, 27 Apr 2005 xx:xx:xx +0200
Received: from [220.77.241.122] (helo=220.77.241.122)
by mxeu9.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
From: =?utf-8?q?alex [at] hotmail.com?= <alex [at] hotmail.com>
To: =?utf-8?q?poor [at] spamvictim.tld?= <poor [at] spamvictim.tld>
Subject: =?utf-8?q?You have recived eca?=
=?utf-8?q?rd from Alex?=
Date: Wed, 27 Apr 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="uQiy54DyTfWyCAI4QCRglDvB"
Message-ID: [ID filtered]
Envelope-To: poor [at] spamvictim.tld

Hi,
You have been just recived an electronic greeting card from Alex (alex?%^R9000 [at] yahoo.com)
It is waiting for you at our card site, go ahead and see it!
=================================================
Visit Us At: http://?%^R1250000.http://www.123christmascards.com/
=================================================
To view your card, choose from any of the following options
which works best for you.
--------
Method 1
--------
Just click on the following Internet address (if that doesn`t work for
you, copy & paste the address onto your browser`s address box.)
http://?%^R1250000.cards.123christmascards.com/cgi-bin/cards/showcard.pl?cardnum=?%^R1250000&log=?%^R1250000?%^R1250000card
--------
Method 2
--------
Copy & paste your card number in the view card box at
http://www.123christmascards.com/??%^R1250000
Your card number is
ZBB8041?%^R1250000?%^R1250000
--------
Method 3
--------
Click on the link below to view your card ( Recommended for AOL Users )
http://?%^R1250000.cards.123christmascards.com/cgi-bin/cards/showcard.pl?cardnum=?%^R1250000&log=?%^R1250000?%^R1250000card
(For your convenience, the greeting card will be available for the next
30 days)
Webmaster,
http://?%^R1250000.http://www.123christmascards.com/??%^R1250000

Hinter den HTML-Links verbarg sich http : //best-pedo.com/a/?%^R1250000.

Vorbildlicher oder merkbefreiter Provider?
http://www.jr-cds.de/Provider-Liste.htm

Goofy
08.05.2005, 14:20
Die Domain 123christmascards.com ist seit längerem weg vom Fenster.
Sieht aus, als hätte Enom sie wieder einkassiert.
Blödsinnig, dieser Link im Mai auf eine X-mas-Seite.
Der Nameserver von best-pedo.com hat timeout-DNS-Probleme.
Vielleicht tut sich da noch was.
Goofy

Gool
08.05.2005, 14:22
Ok, Trojan.ByteVerify soll irgendwie auf den Rechner gelangen.
Was ich witzig finde:
IP-address: 221.208.208.73
You are using: Mozilla/5.0 (Windows; U; Windows NT 5.1; de-DE; rv:1.7.7) Gecko/20050414 Firefox/1.0.3
Your address: Have records!
Risk status: HIGH RISK - Your computer allows unsecure connections
Abgesehen vom User-Agent stimmt da gar nix http://img.homepagemodules.de/zunge.gif
Gehört dann wohl eher auch zu den Exploits...
[x] verschoben
--

Goofy
08.05.2005, 14:35
Den User-Agent (sprich: Browser) auszulesen, ist ja auch für den Webmaster nicht das allerschwerste.
Dazu braucht man nicht mal Script-Kiddy zu sein.
Diese dümmlichen Bluffs sind schon fast beleidigend.
Im übrigen: wer einen Intrusion-Test seines PC`s machen will, macht das besser nicht bei den Russenhttp://img.homepagemodules.de/rolling_eyes.gif,
sondern auf der englischen Site http://www.grc.com. Dort auf "Shields Up" klicken, dann runterscrollen zu "Shields Up",
um eine session freizumachen. (Direkt-Link dorthin geht nicht)
Der testet dann die Firewall bzw. offene Windows-Dienste durch.
Goofy