[UCE] Werbung für Windows XP Pro.
Hallo,
ich werd daraus nicht ganz schlau.
Habe 6 Spam-E-Mails mit dem gleichen HTML-Inhalt, nur von verschiedenen Absendern erhalten. Darauf wird u.a. für Windows XP Professional für ONLY $49,95 geworben. Die Seite ist komlett in englisch gehalten. Ich habe alle Cookies deakitviert und auch nicht nachträglich zugelassen. Neugierig wie ich bin, denn ich brauche ja die Adresse, um sie hier zu posten, klickte ich einmal darauf.
Der Link führt zu:
Wegen der von mir nicht zugelassenen Cookies wurde der Aufbau unterbrochen und beim zweiten mal seitens datapacks nicht zugelassen bzw. es kam die Nachricht: clickdloads.info konnte nicht gefunden werden. Überrüfen Sie den Namen und versuchen Sie es erneut. Um es klar zu sagen, ich will diesen Mist nicht, nur bin ich ein wenig neugierig um hier alles schreiben zu können und Spyware-Erkennungs-Software läuft auch schon über meinen Rechner.
Nun weiß ich nicht, bzw. kann nicht erkennen, ob die Absendeadressen gefälscht sind. Weiß jemand Rat?
Hier der 1. Header (HTML-Code ist entfernt)und es steht noch die NR. ----689798419849887 vor und nach dem HTML-Tag:
From - Tue Sep 28 20:48:01 2004
X-UIDL: 1096375170.M85834P16269V0000000000001601I00208497_0.turbohermes,S=18983
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <>
Delivered-To: ###### Adresse entfernt ########.de
Received: (qmail 16264 invoked by uid 110); 28 Sep 2004 12:39:25 -0000
Received: from 218.139.128.98 by turbohermes (envelope-from <>, uid 89) with qmail-scanner-1.23
(clamdscan: 0.75.
Clear:RC:0(218.139.128.98):.
Processed in 1.706504 secs); 28 Sep 2004 12:39:25 -0000
Received: from unknown (HELO yahoobb218139128098.bbtec.net) (218.139.128.98)
by 0 with SMTP; 28 Sep 2004 12:39:23 -0000
Received: from 24.4.42.33 by 24.53.207.102; Wed, 29 Sep 2004 08:53:37 +0300
Message-ID: <>
From: "Julia Butts" <>
Reply-To: "Julia Butts" <>
To: ##### Adresse entfernt #########
Subject: *****SPAM***** RE: The OEM Software Licensing Site-Photoshop Technologies
Date: Wed, 29 Sep 2004 04:51:37 -0100
MIME-Version: 1.0
X-MimeOLE: Produced By Microsoft MimeOLE V4.71.2730.1
X-Sender:
Organization: bothersome.elate
Content-Type: multipart/mixed; boundary="--689798419849887"
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on
turbohermes.planet-school.de
X-Spam-Report:
* 4.2 MIME_BOUND_DD_DIGITS Spam tool pattern in MIME boundary
* 3.1 MSGID_SPAM_CAPS Spam tool Message-Id: (caps variant)
* 0.1 HTML_FONTCOLOR_RED BODY: HTML font color is red
* 1.6 RAZOR2_CF_RANGE_51_100 BODY: Razor2 gives confidence between 51 and 100
* [cf: 100]
* 0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.1 HTML_FONTCOLOR_UNSAFE BODY: HTML font color not in safe 6x6x6 palette
* 0.9 RAZOR2_CHECK Listed in Razor2 ()
* 3.9 RCVD_DOUBLE_IP_SPAM Bulk email fingerprint (double IP) found
X-Spam-Status: Yes, hits=14.0 required=5.5 tests=HTML_FONTCOLOR_RED,
HTML_FONTCOLOR_UNSAFE,HTML_MESSAGE,MIME_BOUND_DD_DIGITS,
MIME_HTML_ONLY,MSGID_SPAM_CAPS,RAZOR2_CF_RANGE_51_100,RAZOR2_CHECK,
RCVD_DOUBLE_IP_SPAM autolearn=no version=2.64
X-Spam-Level: *************
chorale vouch cdc forthwith defensible
tektronix spurn tracy beaumont wast
----689798419849887
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
Hier der 2. Header (HTML-Code ist entfernt)und es steht noch die NR. ----2596676252827441185 vor und nach dem HTML-Tag. die anderen 4 Header erspar ich euch erst mal:
From - Tue Sep 28 20:48:02 2004
X-UIDL: 1096384646.M923000P21600V0000000000001601I001FACBD_0.turbohermes,S=19129
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <>
Delivered-To: ###### Adresse entfernt ###########
Received: (qmail 21595 invoked by uid 110); 28 Sep 2004 15:17:22 -0000
Received: from 68.201.151.174 by turbohermes (envelope-from <>, uid 89) with qmail-scanner-1.23
(clamdscan: 0.75.
Clear:RC:0(68.201.151.174):.
Processed in 10.920584 secs); 28 Sep 2004 15:17:22 -0000
Received: from unknown (HELO cs68201151-174.sw.rr.com) (68.201.151.174)
by 0 with SMTP; 28 Sep 2004 15:17:11 -0000
Received: from 24.6.96.58 by 68.201.151.174; Tue, 28 Sep 2004 11:15:42 -0500
Message-ID: <>
From: "Sally Zucker" <>
Reply-To: "Sally Zucker" <>
To: ##### Adresse entfernt #######
Subject: *****SPAM***** We offer a variety of different licenses and discounts that can help you get the most out of its software budget
Date: Tue, 28 Sep 2004 12:19:42 -0400
MIME-Version: 1.0
X-MimeOLE: Produced By Microsoft MimeOLE V4.71.2730.1
X-Sender:
Organization: athenian.could
Content-Type: multipart/mixed; boundary="--2596676252827441185"
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on
turbohermes.planet-school.de
X-Spam-Report:
* 4.2 MIME_BOUND_DD_DIGITS Spam tool pattern in MIME boundary
* 3.1 MSGID_SPAM_CAPS Spam tool Message-Id: (caps variant)
* 0.1 HTML_FONTCOLOR_RED BODY: HTML font color is red
* 1.6 RAZOR2_CF_RANGE_51_100 BODY: Razor2 gives confidence between 51 and 100
* [cf: 100]
* 0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.1 HTML_FONTCOLOR_UNSAFE BODY: HTML font color not in safe 6x6x6 palette
* 0.9 RAZOR2_CHECK Listed in Razor2 ()
* 3.9 RCVD_DOUBLE_IP_SPAM Bulk email fingerprint (double IP) found
X-Spam-Status: Yes, hits=14.0 required=5.5 tests=HTML_FONTCOLOR_RED,
HTML_FONTCOLOR_UNSAFE,HTML_MESSAGE,MIME_BOUND_DD_DIGITS,
MIME_HTML_ONLY,MSGID_SPAM_CAPS,RAZOR2_CF_RANGE_51_100,RAZOR2_CHECK,
RCVD_DOUBLE_IP_SPAM autolearn=no version=2.64
X-Spam-Level: *************
gunshot differential hotbed paperweight claremont
kivu peach truss intercept switzer
----2596676252827441185
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
RE:[UCE] Werbung für Windows XP Pro.
Hier noch der Inhaber der beworbenen Seite:
Domain ID:D6439621-LRMS
Domain Name:DATAPACKS.INFO
Created On:19-Sep-2004 21:04:35 UTC
Last Updated On:28-Sep-2004 17:13:25 UTC
Expiration Date:19-Sep-2005 21:04:35 UTC
Sponsoring Registrar:R126-LRMS
Status:CLIENT HOLD
Status:CLIENT LOCK
Status:OK
Registrant ID:C5863029-LRMS
Registrant Name:John Lee
Registrant Organization:TaiKi Communications
Registrant Street1:2st Floor
Registrant Street2:Edinburgh Tower
Registrant City:Central
Registrant State/Province:NA
Registrant Postal Code:NA
Registrant Country:HK
Registrant Email:.tpc.int
Admin ID:C5863029-LRMS
Admin Name:John Lee
Admin Organization:TaiKi Communications
Admin Street1:2st Floor
Admin Street2:Edinburgh Tower
Admin City:Central
Admin State/Province:NA
Admin Postal Code:NA
Admin Country:HK
Admin Email:.tpc.int
Billing ID:C5863029-LRMS
Billing Name:John Lee
Billing Organization:TaiKi Communications
Billing Street1:2st Floor
Billing Street2:Edinburgh Tower
Billing City:Central
Billing State/Province:NA
Billing Postal Code:NA
Billing Country:HK
Billing Email:.tpc.int
Tech ID:C5863029-LRMS
Tech Name:John Lee
Tech Organization:TaiKi Communications
Tech Street1:2st Floor
Tech Street2:Edinburgh Tower
Tech City:Central
Tech State/Province:NA
Tech Postal Code:NA
Tech Country:HK
Tech Email:.tpc.int
Name Server:NS1.SP-MAN.BIZ
Name Server:NS2.SP-MAN.BIZ
Name Server:NS3.SP-MAN.BIZ
Name Server:NS4.SP-MAN.BIZ
RE:[UCE] Werbung für Windows XP Pro.
Das scheint der übliche Raubkopien-Spam mit gefälschten Absender-Adressen zu sein, den du an weiterleiten kannst. Die kümmern sich dann um das Abschalten der Seite. Es kann durchaus sein, daß dort gewisse Überraschungen auf Besucher lauern. Also Vorsicht und immer fleißig patchen.
--
Wir kriegen euch alle!
RE:[UCE] Werbung für Windows XP Pro.
Danke Fidul, hab mir fast so etwas gedacht. E-Mail an Microsoft ist schon raus.
RE:[UCE] Werbung für Windows XP Pro.
Wo ist denn eigentlich die richtige Received-Zeile? Ich werd daraus nicht schlau welche gefälscht ist und von wo die E-Mail gekommen ist. Hab schon wieder 6 solche E-Mails bekommen. Die spammen ganz massiv.
RE:[UCE] Werbung für Windows XP Pro.
Seite ist tot
ist gut.....
RE:[UCE] Werbung für Windows XP Pro.
Hallo,
mittlerweile sind wieder 4-5 Spams eingetroffen und machen Werbung für folgende Seiten:
ist schon informiert. John Lee macht hier wirklich ganze Spamarbeit. Mal sehen was noch so alles rein kommt? Der scheint ja einige URL`s gepachtet zu haben.
RE:[UCE] Werbung für Windows XP Pro.
... und es hört nicht auf. Heute und gestern schon wieder 4 Spams eingetrudelt. Die kommen aus Korea. Macht es Sinn, sich bei zu beschweren, oder spammen die selber?
Die beworbene Seite ist längst von Microsoft gecancelt worden, aber Spam dafür kommt immer noch. Die IP wird verschleiert, wird aber die [220.123.236.216] sein. Hier der Header:
From - Mon Oct 18 14:10:23 2004
X-UIDL: 1098100917.M86636P25875V0000000000001601I000E903D_0.turbohermes,S=26661
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <>
Delivered-To: ############## Adresse gelöscht ###############
Received: (qmail 25870 invoked by uid 110); 18 Oct 2004 12:01:50 -0000
Received: from 220.123.236.216 by turbohermes (envelope-from <>, uid 89) with qmail-scanner-1.23
(clamdscan: 0.75.
Clear:RC:0(220.123.236.216):.
Processed in 1.471314 secs); 18 Oct 2004 12:01:50 -0000
Received: from unknown (HELO 62.216.178.196) (220.123.236.216)
by 0 with SMTP; 18 Oct 2004 12:01:48 -0000
Received: from 24.8.51.62 by 220.123.236.216; Mon, 18 Oct 2004 15:00:34 +0200
Message-ID: <>
From: "Jennifer Hutchins" <>
Reply-To: "Jennifer Hutchins" <>
To: ############### Adresse gelöscht ###############
Subject: *****SPAM***** 0nline software, Download Office XP, Symantec & other titles Instantly
Date: Mon, 18 Oct 2004 17:59:34 +0500
MIME-Version: 1.0
X-MimeOLE: Produced By Microsoft MimeOLE V4.71.2730.1
X-Sender:
Organization: bricklay.acrobat
Content-Type: multipart/mixed; boundary="--952176453971343"
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on
turbohermes.planet-school.de
X-Spam-Report:
* 0.3 RCVD_NUMERIC_HELO Received: contains a numeric HELO
* 4.2 MIME_BOUND_DD_DIGITS Spam tool pattern in MIME boundary
* 3.1 MSGID_SPAM_CAPS Spam tool Message-Id: (caps variant)
* 0.1 HTML_TAG_EXISTS_TBODY BODY: HTML has "tbody" tag
* 0.1 HTML_70_80 BODY: Message is 70% to 80% HTML
* 1.6 RAZOR2_CF_RANGE_51_100 BODY: Razor2 gives confidence between 51 and 100
* [cf: 100]
* 0.1 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 0.9 RAZOR2_CHECK Listed in Razor2 ()
* 3.9 RCVD_DOUBLE_IP_SPAM Bulk email fingerprint (double IP) found
X-Spam-Status: Yes, hits=14.3 required=5.5 tests=HTML_70_80,HTML_MESSAGE,
HTML_TAG_EXISTS_TBODY,MIME_BOUND_DD_DIGITS,MIME_HTML_ONLY,
MSGID_SPAM_CAPS,RAZOR2_CF_RANGE_51_100,RAZOR2_CHECK,
RCVD_DOUBLE_IP_SPAM,RCVD_NUMERIC_HELO autolearn=no version=2.64
X-Spam-Level: **************
carnal decrement clinch dutchmen togging
breech dashboard electrolysis nomadic palette
----952176453971343
Hier folgt der HTML-Code für die o.a. Seiten (teilweise schon still gelegt).
RE:[UCE] Werbung für Windows XP Pro.
Komisch, keiner weiß was! ???????
Ach, noch was. Da alle Bilder auf der Webseite des Beworbenen auf Amazon.com verlinkt sind, habe ich das mal bei Amazon angegeben.
RE:[UCE] Werbung für Windows XP Pro.
<font color="#00C000">Bei mir jetzt auch (No.1). Tollerweise auf ne Adresse, die ich erst seit 4 Tagen habe. Zufallsgenerator dabei unwahrscheinlich (Oder? Namen: esuarez, esuario, esuart, esuaver, esuavify, esuba). Bisherige Mails an (von deren IP war Viagra-Spam gekommen), und . Wer von denen hat das weitergegeben? Oder war es Web.de?
Ebenso bei meiner Holden. (No. 2)
Die erste Absender-IP beginnt wie bei den oberen Postings mit 24. Das Layout der Mail erinntert an Amazon.</font>
1)Betreff: RE: offers thousands of academic software titles discounted up to 80% off retail prices
Von: "Gina Benton" <.uk> ins Adressbuch
An: ***
Datum:
18.11.04 14:35:37
Received: from [213.204.163.208] (helo=D0RIS)
by mx25.web.de with smtp (WEB.DE 4.102 #165)
id 1CUmRh-0003xC-00; Thu, 18 Nov 2004 14:35:33 +0100
Received: from 24.2.73.39 by 213.204.163.208; Thu, 18 Nov 2004 10:32:23 -0300
Message-ID: <>
From: "Gina Benton" <.uk>
Reply-To: "Gina Benton" <.uk>
To: *
Subject: RE: offers thousands of academic software titles discounted up to 80% off retail prices
Date: Thu, 18 Nov 2004 12:38:23 -0100
MIME-Version: 1.0
X-MimeOLE: Produced By Microsoft MimeOLE V4.71.2730.1
X-Sender: .uk
Organization: kansas.trainman
Content-Type: multipart/mixed; boundary="--32861539949869378"
Sender: .uk
Opt-in Email offer for October 2004 unsubscribe me: %3Fd
TOP 10 NEW TITLES
[...]
Microsoft Office Professional Edition *2003*
Microsoft
%3Fk
2) Betreff: Windows XP, All Adobe software Just go and get it for 49.95! batt
Von: "Patty Tate" <>
[usw]
Received: from [68.75.44.204] (helo=adsl-68-75-44-204.dsl.emhril.ameritech.net)
by mx27.web.de with smtp (WEB.DE 4.102 #165)
id 1CUqLS-0003e0-00; Thu, 18 Nov 2004 18:45:22 +0100
Received: from 24.8.55.36 by 68.75.44.204; Thu, 18 Nov 2004 22:41:11 +0500
Message-ID: <>
From: "Patty Tate" <>
Reply-To: "Patty Tate" <>
To: **
Cc: ***
Subject: Windows XP, All Adobe software Just go and get it for 49.95! batt
Date: Thu, 18 Nov 2004 22:49:11 +0500
MIME-Version: 1.0
X-MimeOLE: Produced By Microsoft MimeOLE V4.71.2730.1
X-Sender:
Organization: salivate.churchyard
Content-Type: multipart/mixed; boundary="--548653711976444"
Sender:
Links:
%3FX
%3FP
<font color="#00C000">whois auf</font> <font color="#00C000">liefert wieder Hong-kong.
Die Seite ist aber nicht (mehr?) erreichbar.</font>
Benutzter Server: [ whois.nic.biz ]
= [ ]
Domain Name: GM-OEM.BIZ
Domain ID: D8035499-BIZ
Sponsoring Registrar: DIRECT INFORMATION PVT. LTD. (D.B.A. DIRECTI.COM
Sponsoring Registrar IANA ID: 303
Domain Status: clientTransferProhibited
Registrant ID: DI_150089
Registrant Name: 32-40 Wellington Road
Registrant Organization: Wertec International PLC
Registrant Address1: 32-40 Wellington Road
Registrant Address2: Central
Registrant City: Hong Kong
Registrant Postal Code: 1624
Registrant Country: Hong Kong
Registrant Country Code: HK
Registrant Phone Number: 852.28400888
Registrant Email:
<font color="#00C000">Ergänzend noch die erste IP </font>
Benutzter Server: [ whois.arin.net ]
24.2.73.39 = [ c-24-2-73-39.client.comcast.net ]
OrgName: Comcast Cable Communications IP Services
OrgID: CCCIS
Address: 1800 Bishops Gate Blvd.
City: Mount Laurel
StateProv: NJ
PostalCode: 08054-4628
Country: US
NetRange: 24.0.0.0 - 24.15.255.255
CIDR: 24.0.0.0/12
NetName: EASTERNSHORE-1
NetHandle: NET-24-0-0-0-1
Parent: NET-24-0-0-0-0
NetType: Direct Allocation
NameServer: DNS01.JDC01.PA.COMCAST.NET
NameServer: DNS02.JDC01.PA.COMCAST.NET
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
Comment:
RegDate: 2003-10-06
Updated: 2003-12-23
OrgAbuseHandle: NAPO-ARIN
OrgAbuseName: Network Abuse and Policy Observance
OrgAbusePhone: 1-856-317-7272
OrgAbuseEmail:
<font color="#00C000"> Aber scheinbar sind die passenenden Stellen schon tätig geworden. </font>