PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Russische Heitatsagentur (geldwäscherei)



Alexander
20.10.2005, 21:57
Guten Tag,
wir sind eine russische Heiratsagentur "RusD" GROUP LTD.
Unsere Agentur sucht Mitarbeiter in Deutschland fuer die Abwicklung der
Bankgeschafte. Wir haben einige Kunden in Deutschland, die sich fur die
Dienstleistungen unserer Agentur interessieren. Diese Kunden sind bereit, die
Uberweisungen nur auf das Konto unserer deutschen Partner zu machen. In
Deutschland haben wir keine Partner, darum bieten wir Ihnen diese Tatigkeit an.

Unsere Kunden in Deutschland werden das Geld auf Ihr Konto uberweisen. Die
Summe der Uberweisung betragt 3000-15000 Euro. Von jedem Betrag werden Sie eine
Provision in Hohe von 10% bekommen, den Restbetrag werden Sie dann an uns per
Western Union uberweisen.
Sie sollen ein Konto bei einer Bank in Deutschland haben.
Falls unser Angebot fuer Sie interessant ist, melden Sie sich bitte per Email
fuer mehr Information: «infoRH [at] km.ru»
Mit besten Grussen!

Return-path: <osulliva [at] aol.com>
Delivery-date: Thu, 20 Oct 2005 xx:xx:xx +0200
Received: from ] (helo=mx1.freenet.de)
by mbox72.freenet.de with esmtpa (ID: [ID filtered]
ID: [ID filtered]
for @01019freenet.de; Thu, 20 Oct 2005 xx:xx:xx +0200
Received: from 216-155-68-189.bk1-dlp-pmtt.surnet.cl ([216.155.68.189])
by mx1.freenet.de with smtp (Exim 4.53 #4)
ID: [ID filtered]
Received: from 144.242.147.252 by 216.155.68.189; Thu, 20 Oct 2005 xx:xx:xx -0200
Received: by ns.hotmail.ru (Postfix, from userID: [ID filtered]
ID: [ID filtered]
Received: from Jayne (hotmail.ru[32.118.8.223])
by ns.hotmail.ru (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Thu, 20 Oct 2005 xx:xx:xx -0600
Message-ID: [ID filtered]
From: "Angeline " <osulliva [at] aol.com>
Reply-To: "Angeline " <osulliva [at] aol.com>
To: @freenet.de
Subject: Arbeit in Deutschland ¹7396-UFDPWE
Date: Fri, 21 Oct 2005 xx:xx:xx +0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--09840456414424911157"
X-Originating-IP:
X-Warning: aol.com is listed at abuse.rfc-ignorant.org
Delivered-To:@freenet.de
Envelope-to: @freenet.de
X-Warning: Message contains Spam signature (149285::051020210659-19B74000-455B9D2F)
X-purgate-ID: [ID filtered]
Delivered-To: @01019freenet.de

ddresses 216.155.68.189
Domain Whois record

Queried whois.nic.cl with "surnet.cl"...

surnet.cl:

ACE: surnet.cl (RFC-3490, RFC-3491, RFC-3492)

Compañía Nacional de Teléfonos, Telefónica del Sur S.A. (CIA NACIONAL DE TELEFONOS TELEFONICA DEL SUR S A)

Contacto Administrativo (Administrative Contact):
Nombre : Cristina Errazúriz Tortorelli
Organización: Beuchat, Barros & Pfenniger

Contacto Técnico (Technical Contact):
Nombre : Ana Marcela Solis A.
Organización: Compañía Nacional de Teléfonos, Telefónica del Sur S.A.

Servidores de nombre (Domain servers):
dns1.telsur.cl (216.155.73.106)
secundario.nic.cl (200.1.123.7)
dns2.telsur.cl (216.155.73.110)

Última modificación al formulario
(Database last updated on): 25 de diciembre de 2004 (xx:xx:xx GMT)

Más información (More information):
http://www.nic.cl/cgi-bin/dom-CL?q=surnet

Este mensajes está impreso en ISO8859-1
(This message is printed in ISO8859-1)

Network Whois record

Queried whois.lacnic.net with "216.155.68.189"...

% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries


% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2005-10-20 xx:xx:xx (BRST -02:00)

inetnum: 216.155.64/19
status: allocated
owner: Telefonica del Sur S.A.
ownerID: [ID filtered]
responsible: Alberto C. Rodas Hettich
address: San Carlos, 107,
address: 00000 - Valdivia -
country: CL
phone: +56 63 223252 []
owner-c: ARH
tech-c: ARH
inetrev: 216.155.64/19
nserver: DNS1.TELSUR.CL
nsstat: 20051019 AA
nslastaa: 20051019
nserver: DNS2.TELSUR.CL
nsstat: 20051019 AA
nslastaa: 20051019
remarks: rwhois.telsur.cl port 4321
created: 20001102
changed: 20030519

nic-hdl: ARH
person: Alberto Rodas Hettich
e-mail: arodas [at] TELSUR.NET
address: San Carlos, 107,
address: 00000 - Valdivia - X
country: CL
phone: +56 63 223252 []
created: 20020930
changed: 20021127

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.


DNS records
name class type data time to live
216-155-68-189.bk1-dlp-pmtt.surnet.cl IN A 216.155.68.189 86400s (1.xx:xx:xx)
surnet.cl IN MX
preference: 10
exchange: mx2.surnet.cl
300s (xx:xx:xx)
surnet.cl IN MX
preference: 10
exchange: mx1.surnet.cl
300s (xx:xx:xx)
surnet.cl IN SOA
server: dns1.telsur.cl
email: postmaster.lanin.telsur.cl
serial: 2005022420
refresh: 10800
retry: 3600
expire: 604800
minimum ttl: 86400
43200s (xx:xx:xx)
surnet.cl IN NS dns1.telsur.cl 43200s (xx:xx:xx)
surnet.cl IN NS dns2.telsur.cl 43200s (xx:xx:xx)
surnet.cl IN NS secundario.nic.cl 43200s (xx:xx:xx)
surnet.cl IN A 216.155.73.162 43200s (xx:xx:xx)
189.68.155.216.in-addr.arpa IN PTR 216-155-68-189.bk1-dlp-pmtt.surnet.cl 86399s (xx:xx:xx)
Traceroute

Tracing route to 216-155-68-189.bk1-dlp-pmtt.surnet.cl [216.155.68.189]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 216.46.228.229 port-216-3073253-es128.devices.datareturn.com
2 0 0 0 64.29.192.3 port-64-1949699-dal16509a-drtn.devices.datareturn.com
3 0 0 0 64.29.192.142 port-64-1949838-zzt0prespect.devices.datareturn.com
4 0 0 0 64.29.192.229 daa.g921.ispa.datareturn.com
5 0 0 0 209.246.152.193 ge-6-5.car2.dallas1.level3.net
6 20 0 0 4.68.122.97 ae-1-54.bbr2.dallas1.level3.net
7 0 0 0 209.244.15.166 so-7-0-0.edge1.dallas1.level3.net
8 2 1 1 209.245.240.142 uunet-level3-oc48.dallas1.level3.net
9 2 1 2 152.63.97.57 0.so-1-0-0.xl1.dfw9.alter.net
10 37 37 37 152.63.86.189 0.so-7-0-0.xl1.mia4.alter.net
11 37 37 37 152.63.7.214 pos6-0.ig2.mia4.alter.net
12 52 52 52 157.130.75.34 telecomitalia9-gw.customer.alter.net
13 159 159 159 195.22.221.230 san1-mia5-racc2.san.seabone.net
14 172 171 181 195.22.221.74 customer-side-telefonica-del-sur-1-cl.san.seabone.net
15 175 174 172 216.155.73.81
16 179 180 180 216.155.73.6
17 * * *
18 * * *
19 * * *
20 * * *

Trace aborted
Service scan
FTP - 21 Error: TimedOut
SMTP - 25 Error: TimedOut
HTTP - 80 Error: TimedOut
POP3 - 110 Error: TimedOut
NNTP - 119 Error: TimedOut

ookup failed 32.118.8.223
Could not find a domain name corresponding to this IP address.
Domain Whois record

Don't have a domain name for which to get a record
Network Whois record

Queried whois.arin.net with "32.118.8.223"...

OrgName: AT&T Global Network Services
OrgID: [ID filtered]
Address: 3200 Lake Emma Road
City: Lake Mary
StateProv: FL
PostalCode: 32746
Country: US

NetRange: 32.0.0.0 - 32.255.255.255
CIDR: 32.0.0.0/8
NetName: ATT-32-0-0-0-A
NetHandle: NET-32-0-0-0-1
Parent:
NetType: Direct Allocation
NameServer: NS.UK.PRSERV.NET
NameServer: NS.DE.PRSERV.NET
NameServer: NS.NL.PRSERV.NET
Comment:
RegDate:
Updated: 2004-06-24

TechHandle: DK71-ARIN
TechName: Kostick, Deirdre
TechPhone: +1-919-319-8249
TechEmail: help [at] ip.att.net

OrgAbuseHandle: ATTAB-ARIN
OrgAbuseName: ATT Abuse
OrgAbusePhone: +1-919-319-8130
OrgAbuseEmail: abuse [at] att.net

OrgTechHandle: ICC-ARIN
OrgTechName: IP Customer Care
OrgTechPhone: +1-888-613-6330
OrgTechEmail: qhoang [at] att.com

# ARIN WHOIS database, last updated 2005-10-19 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

DNS records

DNS query for 223.8.118.32.in-addr.arpa returned an error from the server: NameError

No records to display
Traceroute

Tracing route to 32.118.8.223 [32.118.8.223]...
hop rtt rtt rtt ip address fully qualified domain name
1 0 0 0 216.46.228.229 port-216-3073253-es128.devices.datareturn.com
2 0 0 0 64.29.192.3 port-64-1949699-dal16509a-drtn.devices.datareturn.com
3 0 0 0 64.29.192.142 port-64-1949838-zzt0prespect.devices.datareturn.com
4 1 0 1 64.29.192.229 daa.g921.ispa.datareturn.com
5 0 0 0 209.246.152.193 ge-6-5.car2.dallas1.level3.net
6 0 0 0 4.68.122.134 ge-1-1-55.car3.dallas1.level3.net
7 10 2 0 192.205.32.113 l3-gw.dlstx.ip.att.net
8 34 34 34 12.123.17.86 tbr2-p014001.dlstx.ip.att.net
9 34 34 34 12.122.10.89 tbr1-cl6.sl9mo.ip.att.net
10 34 34 33 12.122.10.29 tbr1-cl4.wswdc.ip.att.net
11 34 32 32 12.123.9.57 gar2-p360.wswdc.ip.att.net
12 Host unreachable

Trace aborted
Service scan
FTP - 21 Error: TimedOut
SMTP - 25 Error: TimedOut
HTTP - 80 Error: TimedOut
POP3 - 110 Error: TimedOut
NNTP - 119 Error: TimedOut

Sven Udo
20.10.2005, 22:14
QUOTE=Alexander]Guten Tag,
wir sind eine russische Heiratsagentur "RusD" GROUP LTD.
Unsere Agentur sucht Mitarbeiter in Deutschland fuer die Abwicklung der
Bankgeschafte. Wir haben einige Kunden in Deutschland, die sich fur die
Dienstleistungen unserer Agentur interessieren.
Siehe hier:

Antispam/Forum_Heiratsagentur_1 (http://www.antispam-ev.de/forum/showthread.php?t=8052&highlight=)

Antispam/Forum_Heiratsagentur_2 (http://www.antispam-ev.de/forum/showthread.php?t=8091&highlight=)

Antispam/Forum_Heiratsagentur_3 (http://www.antispam-ev.de/forum/showthread.php?t=8167&highlight=)

Goofy
20.10.2005, 22:49
@ Alexander

Die whois-Daten sind sicher wichtig, die meisten hier können aber selbst mit whois umgehen. Man braucht sie also nicht immer hier in voller Länge zu posten. Sowieso sind die persönlichen Angaben (Name, address...) bei Spammerdomains i.d.R. gefälscht und tun nicht viel zur Sache. Ist völlig gleichgültig, ob da Captain Kirk, Kasper Hauser oder Fredl Fesl in den Namensangaben steht.
Es reicht z.B. die IP-Addresse und der Netzbetreiber aus.

Die Analyse der Mailheader führt oft zu IP-Addressen von infizierten Rechnern (zombies). Über 60 Prozent der Mails werden momentan über solche Drohnen verschickt. Du brauchst also nur eine abuse-Mail an den Netzbetreiber zu schicken, die whois-Daten zu Providernetzwerken sind hier uninteressant und führen nicht weiter.

Viel wichtiger ist da schon z.B. die beworbene Domain, in diesem Fall
km.ru
wo man antworten soll.

Das ergibt beim lookup:
km.ru. 217.174.97.50
netname: SUNET2000

Die sind bisher bei Spamhaus nicht gelistet. Sieht nach einer der vielen neuen russischen Spamprovider aus, ähnlich wie die hier schon aufgetauchte pochta.ru oder informtelecom.ru.

corlis
21.10.2005, 21:18
Received: from [201.0.189.228] (helo=201-0-189-228.dial-up.telesp.net.br) by mx25.web.de with smtp (WEB.DE 4.105 #323) ID: [ID filtered]
Received: by 201.0.189.228 (Postfix, from userID: [ID filtered]
Received: from Ed [181.116.248.102] by msn.com (Postfix) with ESMTP ID: [ID filtered]
Received: from mail.msn.com ([127.0.0.1]) by localhost (mail.msn.com [127.0.0.1]) (port 1533477) with ESMTP ID: [ID filtered]
Message-ID: [ID filtered]
From: Lula <omhenry [at] pacbell.net>
Reply-To: Lula <omhenry [at] pacbell.net>
To: poor [at] spamvictim.tld
Subject: Arbeit in Deutschland ¹21-TPR
Date: Fri, 21 Oct 2005 xx:xx:xx +0400 (Thu, 23:09 CEST)
MIME-Version: 1.0
X-Virus-Scanned: by AmaViS using ClamAV
Content-Type: multipart/alternative; boundary="--0917577566211393966"
Sender: omhenry [at] pacbell.net

Guten Tag,
wir sind eine russische Heiratsagentur "RusD" GROUP LTD.
Unsere Agentur sucht Mitarbeiter in Deutschland fuer die Abwicklung der Bankgeschafte. Wir haben einige Kunden in Deutschland, die sich fur die Dienstleistungen unserer Agentur interessieren. Diese Kunden sind bereit, die Uberweisungen nur auf das Konto unserer deutschen Partner zu machen. In Deutschland haben wir keine Partner, darum bieten wir Ihnen diese Tatigkeit an.
Unsere Kunden in Deutschland werden das Geld auf Ihr Konto uberweisen. Die Summe der Uberweisung betragt 3000-15000 Euro. Von jedem Betrag werden Sie eine Provision in Hohe von 10% bekommen, den Restbetrag werden Sie dann an uns per Western Union uberweisen.
Sie sollen ein Konto bei einer Bank in Deutschland haben.
Falls unser Angebot fuer Sie interessant ist, melden Sie sich bitte per Email fuer mehr Information: «infoRH [at] km.ru»
Mit besten Grussen!