PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [UCE/Dialer] Hiya!!



Eniac
31.10.2002, 14:52
Hi,
der folgende Mist ist gestern bei mir auf der Arbeit angekommen:

===8<==============Original message text===============
[interne Receivedzeilen der Exchangeserver]
Received: (qmail 11410 invoked by UID: [UID filtered]
X-Authentication-Warning: xxxxxxxxxxxxxxxxxx.de: smtpd set sender to <anonymous [at] quantumpages.com> using -f
Date: 30 Oct 2002 xx:xx:xx -0000
Message-ID: [ID filtered]
To: <poor [at] spamvictim.tld>,
http://poor [at] spamvictim.tld,
<poor [at] spamvictim.tld>,
http://poor [at] spamvictim.tld,
<poor [at] spamvictim.tld>,
http://poor [at] spamvictim.tld, <poor [at] spamvictim.tld>,
http://poor [at] spamvictim.tld, <poor [at] spamvictim.tld>,
http://poor [at] spamvictim.tld, <poor [at] spamvictim.tld>,
http://poor [at] spamvictim.tld
From: cherriw [at] a1acess.com (cherriw [at] a1acess.com)
Subject: Hiya!!

Below is the result of your feedback form. It was submitted by
cherriw [at] a1acess.com (cherriw [at] a1acess.com) on Wednesday, October 30, 2002 at xx:xx:xx
---------------------------------------------------------------------------
08ap:
Hiya! Here`s my pics as promised! These are VERY PRIVATE, so PLEASE keep them between us!! <A HREF="http://rd.yahoo.com/3hm0w/*http://members.aol.com/sportygurl1502/Kathy.Jpg.exe">Click here</a>!!! :)

If the link isn`t working above, click this link http://rd.yahoo.com/85ugen6/*http://members.aol.com/sportygurl1502/Kathy.Jpg.exe







q4581




qubm
---------------------------------------------------------------------------
===8<===========End of original message text===========

Bei aol.com/sportygurl1502/Kathy.Jpg.exe handelt es sich um einen Dialer mit der Rufnummer 0190 0 62 218, diese gehört zu Hansenet. Laut http://forum.computerbetrug.de/viewtopic.php?t=182 soll Hansenet aber angeblich die frei tarifierbaren Mehrbetrugsnummern eingestellt haben. Hatten die nicht weiland die Nummer für den 900 Teuro Horrordialer bereitgestellt?
Im Dialer folgende URLs:
http://accounts.cf9000.net --> 24.65.208.251 --> shawcable.net
http://stats.cf9000.net --> 24.65.208.251 --> shawcable.net
http://pm.cf9000.net --> 24.65.208.251 --> shawcable.net
http://exit.cf9000.net --> 142.179.221.253 --> telus.net
Als eMail-Adresse ist support [at] cf9000.com angegeben, der Firmensitz ist:
Registrant:
CF 9000 International Inc. (CGSFLDUCFD)
9436 W. Lake Mead Blvd. Suite 11-L
Las Vegas, NV 89145
US
Beschwerden sind raus:
- für den Absender an postmaster [at] quantumpages.com
- die beworbene URL an abuse [at] aol.com
- den Dialer an internet.abuse [at] sjrb.ca und abuse [at] telus.com
- die 0190 0 Mehrbetrugsnummer an info [at] hansenet.com mit CC an info [at] detemedien.de und nummernverwaltung [at] regtp.de

Grüsse
Eniac


--
Also ans Bein pinkeln ist ganz einfach: Ein paar Bierchen vorab, damit der Druck stimmt, dann Reißverschluss auf, zielen und der Natur ihren Lauf lassen. Kleiner Tipp: Suche mal nach FAQ in der NG, dann bekommst Du einige Treffer (Daniel W. in d.a.n-a.m.)

Eniac
08.01.2003, 09:47
Re: cybergear3.com; shelldubai.com (Ursprungsquelle der Spammail)
To: poor [at] spamvictim.tld; poor [at] spamvictim.tld
Re: members.aol.com/ROBERTOBULLRIDER/ (beworbene Seite)
To: poor [at] spamvictim.tld
Re: jacintab [at] compuserve.net (gefälschte Absendeadresse)
To: poor [at] spamvictim.tld --> bounct, bereits in rfc-ignorant.org gelistet

===8<==============Original message text===============
[interne Receivedzeilen der Exchangeserver]
Received: (ahdubai [at] localhost) by cybergear3.com (8.11.6) ID: [ID filtered]
Date: Tue, 7 Jan 2003 xx:xx:xx +0400 (GST)
Message-ID: [ID filtered]
To: < poor [at] spamvictim.tld >www. shelldubai.com,
< poor [at] spamvictim.tld >www. shelldubai.com,
restliche Empfänger gelöscht
From: jacintab [at] compuserve.net (jacintab [at] compuserve.net)
Subject: Hiya!

Below is the result of your feedback form. It was submitted by
jacintab [at] compuserve.net (jacintab [at] compuserve.net) on Tuesday, January 7, 2003 at xx:xx:xx
---------------------------------------------------------------------------
2beg:
Hey! Here`s my pics! PLEASE keep them between us!! < A HREF="http://members.aol.com/ROBERTOBULLRIDER/MARY.Jpeg.exe">Click here</ a>!!! :)

If the link isn`t working above, copy or click the link below
Click here, http://members.aol.com/ROBERTOBULLRIDER/MARY.Jpeg.exe

2ll4





bqe7
---------------------------------------------------------------------------
===8<===========End of original message text===========
Von der Aufmachung her ganz ähnlicher Spam wie im zuvor beschriebenen Fall.
In wie weit ist shelldubai.com am Versand dieses Spam beteiligt? Auf deren Website ist ganz unten zu lesen "Another Cyber Gear site". Ist also über deren Webserver relayed worden?
Der Dialer (MARY.Jpeg.exe, 72.192 Bytes) lässt sich weder mit upx noch mit unzip entpacken. Könnte sich mal einer der anwesenden Linux-Wine-Besitzer sich seiner annehmen?

Grüsse

Eniac

--
Immer feste druff!

Eniac
08.01.2003, 09:48
Habe die URL auch an Dialerhilfe gesendet.

Eniac