PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : <domain.de> ID: <email>@domain.de



KnuthKonrad
11.11.2005, 16:31
Wir haben heute etliche Mails mit dem o.g. Betreff an existierende und nicht-existierende Accounts unserer Domäne erhalten, alle nach dem gleichen Muster:

Inhalt der Mail:



Dear <domain>.de Member,

We must check that your <domain>.de ID: [ID filtered]


Allerdings ist der Text mit einem netten Trick zusammengebaut, um Filter auszutricksen. Leider kann das Forum den Trick nicht korrekt darstellen. So funktioniert's

Das "Dear" z.B. ist folgendermaßen kodiert: D & #8238;ae& #8236;r
(Leerzeichen zwischen "&" und "#" eingefügt, um das Forum zu überlisten)

Ich habe in SelfHTML nichts gefunden, aber 8238 und 8236 bewirken offensichtlich das Drehen der dazwischenliegenden Zeichen.

Der Header

Received: from ACAAA322.ipt.aol.com (Not Verified[64.12.125.51]) by xxx.xxx.de with NetIQ MailMarshal (v6,0,3,8)
ID: [ID filtered]
Received: from ACAAA322.ipt.aol.com (john11375%40netscape.com [at] ACAAA322.ipt.aol.com [172.170.163.34])
by sproxy-mtc-aa19.proxy.aol.com (SlipStream SP Server 3.2.55
built 2005/01/19 xx:xx:xx -0500 (EST)); Fri, 11 Nov 2005 xx:xx:xx +0000 (GMT)
Message-ID: [ID filtered]
From: Verification <AnnamarieCarlingjtrpzt [at] lancsmail.com>
To: poor [at] spamvictim.tld
Subject: =?iso-8859-1?B?c3RhdHJhdmVsLmRlIElEOiAxcnRAc3RhdHJhdmVsLmRl?=
Date: Fri, 11 Nov 2005 xx:xx:xx +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0000_29A81A55.CEF920AE"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180


Der Link der in der Mail enthalten ist:



http://www.google.cg/url?q=http://S%74A%09%6eD%41r%74%7aa.c%4f%09m/%63g%69-bi%6e/p%09oc%68/r%65d%69r.c%67%69?s=<domain>.de


Die Google-Domains wechseln sich ab. Mal .cg, mal .rw.

Ich komme mit dem dekodieren der URL nicht so ganz klar. Da ist zweimal ein TAB drin enthalten, und den mag FireFox nicht...

Ohne die TABs wäre es www.standartza.com.

Weiß jemand was dahinter steckt? Ein Virus? Ein Wurm? Domain-Piraterie?

Knuth

SpamRam
11.11.2005, 17:40
Richtig erkannt!

Der Code & #202E heißt "Right-to-Left override" und schreibt die folgenden Zeichen von rechts nach links bis zum
Code & #202C, der da heißt "POP directional formatting" und den vorigen (Standard-)Zustand wieder herstellt.

Nachzulesen auf der Unicode-Homepage auf Seite: http://www.unicode.org/charts/PDF/U2000.pdf


Und die Geschichte mit dem "verschlüsselten" Link löst sich komplett so auf:



http://www.google.cg/url?q=http://S%74A%09%6eD%41r%74%7aa.c%4f%09m/%63g%69-bi%6e/p%09oc%68/r%65d%69r.c%67%69?s=<domain>.de
S t A n D A r t z a.c O m/ c g i -bi n /p oc h /r e d i r.c g i ?s=<domain>.de
Zugegeben, es macht etwas Mühe den Salat manuell zu entschlüsseln, aber es geht.

Ich denke mal, der "Standard"-Browser (IE) ignoriert den codierten TAB ganz einfach.

Sirius
11.11.2005, 19:27
Ohne die TABs wäre es www.standartza.com.

Weiß jemand was dahinter steckt? Ein Virus? Ein Wurm? Domain-Piraterie?Das hatten wir gestern unter anderem Namen: standartza.net

http://www.antispam-ev.de/forum/showthread.php?t=9510

Dahinter steckt vermutlich Frickel-Leo: http://www.spamhaus.org/rokso/listing.lasso?-op=cn&spammer=Leo%20Kuvayev%20/%20BadCow

kjz1
11.11.2005, 20:53
Dahinter steckt vermutlich Frickel-Leo: http://www.spamhaus.org/rokso/listing.lasso?-op=cn&spammer=Leo%20Kuvayev%20/%20BadCow

Scheint ne neue Masche von ihm zu sein, heute hatte ich HOWABOUTSOFT.NET und HOWABOUTSOFT.COM. Könnte noch bieten:

soft4college.com
easysoft4sale.com
easysoft4sale.net
softsupreme.com
softsupreme.net
megaoemsoftware.com
splashoem.com
winteroem.com
winteroem.net
thebestoem.com
thebestoem.net
holidayoem.com
holidayoem.net
topsoftshop.com
oem4dummies.com
oem4dummies.net
oemgenius.com
oemgenius.net
bobrasoft.com
realdealsoft.com
realdealsoft.net
newesoft4u.com
newesoft4u.net
oemnow.com
easysoft4sale.net
oemsoftking.net
1stoem.net
oemhalloween.net
softbusters.net
liberationsoft.net
mynewsoft.net
oemsoftking.net

Wie man sieht, Leo hat sich reichlich eingedeckt.

- kjz

heinerle
12.11.2005, 01:28
Und die Geschichte mit dem "verschlüsselten" Link löst sich komplett so auf:



http://www.google.cg/url?q=http://S%74A%09%6eD%41r%74%7aa.c%4f%09m/%63g%69-bi%6e/p%09oc%68/r%65d%69r.c%67%69?s=<domain>.de
S t A n D A r t z a.c O m/ c g i -bi n /p oc h /r e d i r.c g i ?s=<domain>.de
Zugegeben, es macht etwas Mühe den Salat manuell zu entschlüsseln, aber es geht.

"Ohne manuell" geht es mit dem URL-Decoder unter www.spamfree.de (http://www.spamfree.de/de/support/tools/index.htm)

SpamRam
12.11.2005, 08:55
Man kann ja nicht alles kennen, was es im Internet gibt. Aber nächstes Mal weiß ich Bescheid. Danke für den Tip.

KnuthKonrad
12.11.2005, 14:51
Der Code & #202E heißt "Right-to-Left override" und schreibt die folgenden Zeichen von rechts nach links bis zum
Code & #202C, der da heißt "POP directional formatting" und den vorigen (Standard-)Zustand wieder herstellt.

Nachzulesen auf der Unicode-Homepage auf Seite: http://www.unicode.org/charts/PDF/U2000.pdf


Unicode also. Vielen Dank für die Info.



Und die Geschichte mit dem "verschlüsselten" Link löst sich komplett so auf:



http://www.google.cg/url?q=http://S%74A%09%6eD%41r%74%7aa.c%4f%09m/%63g%69-bi%6e/p%09oc%68/r%65d%69r.c%67%69?s=<domain>.de
S t A n D A r t z a.c O m/ c g i -bi n /p oc h /r e d i r.c g i ?s=<domain>.de
Zugegeben, es macht etwas Mühe den Salat manuell zu entschlüsseln, aber es geht.


Das Entschlüsseln war/ist weniger das Problem, sondern was dahinter steckt, weil...



Ich denke mal, der "Standard"-Browser (IE) ignoriert den codierten TAB ganz einfach.


...IE6 komplett durchgepatcht nämlich nicht. War auch meine Vermutung. Allerdings meldet auch der IE bei z.B. heise.de mit eingefügtem TAB irgendwo "Nicht gefunden." Deswegen meine "Verwirrung" was das soll...

Evtl. wirkt's bei nicht gepatchten Systemen.

Abschließende Frage: Was wird damit bezweckt? Verifizierung der Emailadresse?

Knuth

sis
14.11.2005, 01:03
Da habe ich doch tatsächlich eine mit '#0008238' (=rückwärts buchstabiert) und '#008236' (wieder vorwärts buchstabiert) heftig im Sourcecode verunstaltete eMail bekommen, die mich aus Neugierde natürlich sofort an den Hex-Editor trieb (sowas filtert kein Spamfilter aus). Das Ergebnis mit Header gibt folgenden Inhalt:Return-Path: <... [at] currantbun.com>
Received: from 63.85.143.107 ([63.85.143.107]) by ...de
with smtp ID: [ID filtered]
Message-ID: [ID filtered]
From: Verification <... [at] currantbun.com>
To: <...>
Subject: <domain.tld> ID: [ID filtered]
Date: Sat, 12 Nov 2005 +0000
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Dear domain.tld Member,

We must check that your domain.tld ID: [ID filtered]
registrations, please click on this link and complete code verification process:

http:// domain.tld/aBcDeF... (hier folgen sehr viele Fake-Zeichen)

Tha*kn‬ you. Hinter dem Link steht natürlich eine andere, ebenfalls und bekanntermaßen heftig in Hex verschlüsselte Adresse (google.uz dient nur als irritierendes Sprungbrett):

www. google.uz/url?q=http://sTAndaRTZA.COm/cgi-bin/ph/redir.cgi?x=domain.tld

Meine Frage ist, wer sich da nur eine derartige Mühe macht und den Textinhalt manuell vorwärts und rückwärts verdreht (Outlook stellt das korrekt dar).

Ergänzung: Es kommt noch besser. Die obige Domain lautet auf eine existierende Person in Charlton/MA, siehe http://www.charltonperformance.com/about_us.htm. Leider ist dort im Moment (also Sonntags) geschlossen. Morgen werde ich dort mal anrufen und nachfragen, ob die Domain gekapert wurde oder unter falschem Namen eingetragen ist.

kjz1
14.11.2005, 13:54
siehe auch:

http://www.antispam-ev.de/forum/showthread.php?t=9519

- kjz

sis
14.11.2005, 15:05
http://www.antispam-ev.de/forum/showthread.php?t=9519Sorry, habe ich übersehen.

sis
14.11.2005, 15:10
Nachdem ich versehentlich einen neuen Thread (http://www.antispam-ev.de/forum/showthread.php?t=9538) begonnen habe, hier noch eine kurze Anmerkung an KnuthKonrad: Im Subject Deines Headers ist eine codierte eMail-Adresse wiedergegeben. Um das zu entschlüsseln, brauchst Du nur in Outlook eine eMail an Dich selbst schicken und das Subject hineinkopieren.

Bei Dir gibt das dann eine eMail-Adresse bei statravel.de.

sis
14.11.2005, 17:36
Auch wenn der eigentliche Thread an anderer Stelle geführt wird, hier die Antwort meiner Anfrage beim "Eigentümer" von sTAndaRTZA.COm. Zunächst meine eMail:
Mr.xxx,
I found your contact data via google.com.

On November 12, 2005 I received a fraud Spam eMail that contains a link to the domain 'standartza.com' that has been registerd with your personal data (see WHOIS database excerpt below). I suspect this to be an identity theft (please at this time don't click on any of the links below).

In case that you are the real owner of this domain, please be aware that somebody hacked it. It is misused for phishing attacks.

Please let me know your statement in either case.

Regards,
xxx, GERMANY

*** Hier folgt noch der komplette WHOIS Eintrag ***

Daraufhin bekam ich eben folgende Antwort:
Dear Sir:

I have been notified by others about this bogus address. There isnt anyone here using that email address and the problem I believe is someone had obtained our information via my sons' downloading of music, which he will no longer be allowed to do. Our computer guy checked our machine out Saturday and found a virus and handled it.

Thanks for bringing this to my attention so that I can act on it.Ich glaube, der lieben Mutter ist gar nicht bewusst, dass hier die Identität eines Familienmitgliedes zum Betrieb einer Phishing-Site verwendet wird.

Goofy
14.11.2005, 18:43
Standartza.com ist eines plötzlichen DNS-Todes gestorben:
http://www.dnsstuff.com/tools/lookup.ch?name=sTAndaRTZA.COm&type=A

Musiktauschbörsen sind bekannte Virenschleudern.

KnuthKonrad
15.11.2005, 12:32
(sowas filtert kein Spamfilter aus).

Doch, Du beschreibst ja selbst schon die Lösung:


Im Subject Deines Headers ist eine codierte eMail-Adresse wiedergegeben. Um das zu entschlüsseln, brauchst Du nur in Outlook eine eMail an Dich selbst schicken und das Subject hineinkopieren.

Bei Dir gibt das dann eine eMail-Adresse bei statravel.de.

Eben: Setz den Spamfilter auf die Subject-Zeile an, die - zumindest bei uns - immer gleichlautend mit "statravel.de ID:" (ist unsere echte Domain) beginnt.

Klappt bei uns hervorragend. Wir haben auch ausschließlich Mails dieser Art mit unserer echten Domain erhalten.

Knuth