[Sammelthread]Viagra-Spam

[spamtohell]

Diese Swiss-Apotheke, auf die sich viele Viagra-Spams bezeihen, sitzt ja in Panama, versendet aber über ein Tochterunternehmen in Europa. In welchem Land ist eigentlich diese Tochter und kann man da rechtlich nichts machen? Werde zur Zeit regelrecht mit diesen schwachsinnigen Viagra + Co-Spams bombardiert, die letzten kommen immer über Provider aus Russland.

[ThomasH]

Wie stark ist eigentlich das Spamaufkommen von dieser Swiss-Apotheke? Welches Botnetz steckt dahinter?

Ich frage, da einige Mitglieder meines Forums eine exklusive Email für das Forum verwenden und nun Spam der Swissapotheke empfangen.
Ein Random-Angriff ist nicht auszuschließen, würde aber mehr davon erfahren, wie die an die Adressen gelangen.

[Goofy]

Es gibt viele Erklärungen, wie die Russkis an die Adressen kommen. Neben Harvesting (was es bei Euch wohl nicht war) wäre die Random-Versendung, das Raten über "Brute Force", möglich.
[Link nur für registrierte Mitglieder sichtbar. ]

Aber Mailadressen können auch auf Heim-PCs in den Adressverzeichnissen der Mail-Clients gespeichert sein. Wenn jetzt so ein Heim-PC vireninfiziert ist, dann sucht der Trojaner oft sämtliche Datenbanken und Textdateien auf der Festplatte automatisch nach Mailadressen durch, und schickt diese dann "heim nach Russland". Manche Trojaner haben so eine Spionagefunktion. Sobald also die Mailadresse irgendwo nach draussen einem anderen Teilnehmer gegeben wurde, kann sie über den Weg von dessen infiziertem PC an den Spammer gekommen sein.

[schara56]

header:

01: Received: from 187-74-0-165.dsl.telesp.net.br (unknown [187.74.0.165])
02: 	by x (Postfix) with ESMTP ID: [ID filtered]
03: 	for <x>; Fri, 11 Dec 2009 xx:xx:xx +0100 (CET)

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/91JRg3?abnehmen und ^whois: [Link nur für registrierte Mitglieder sichtbar. ]/4Mtyui?15-kilo-weniger
-> geht zu ^whois: [Link nur für registrierte Mitglieder sichtbar. ] und ^whois: [Link nur für registrierte Mitglieder sichtbar. ] und dann weiter zu ^whois: [Link nur für registrierte Mitglieder sichtbar. ]/lida

header:

01: Received: from 27-135-247-190.fibertel.com.ar (unknown [190.247.135.27])
02: 	by x (Postfix) with ESMTP ID: [ID filtered]
03: 	for <x>; Sat, 12 Dec 2009 xx:xx:xx +0100 (CET)

header:

01: Received: from ppp-s2.mega.nn.ru (unknown [95.172.61.89])
02: 	by x (Postfix) with ESMTP ID: [ID filtered]
03: 	for <x>; Sun, 13 Dec 2009 xx:xx:xx +0100 (CET)

^whois: [Link nur für registrierte Mitglieder sichtbar. ] -> ^whois: [Link nur für registrierte Mitglieder sichtbar. ]/lida

Auf dem Nameserver findet sich dann unter anderem folgendes:

Code:

ihre-online-apotheke.org
so-werden-sie-auch-duenn.org
endlichschlank10.com
lass-es-wieder-krachen10.com
heute-laenger-knuspern10.com
lass-es-wieder-krachen20.com
heute-laenger-knuspern20.com
lass-es-wieder-krachen11.com
heute-laenger-knuspern11.com
lass-es-wieder-krachen1.com
heute-laenger-knuspern1.com
lass-es-wieder-krachen12.com
heute-laenger-knuspern12.com
lass-es-wieder-krachen2.com
heute-laenger-knuspern2.com
lass-es-wieder-krachen13.com
heute-laenger-knuspern13.com
lass-es-wieder-krachen3.com
heute-laenger-knuspern3.com
lass-es-wieder-krachen14.com
heute-laenger-knuspern14.com
lass-es-wieder-krachen4.com
heute-laenger-knuspern4.com
lass-es-wieder-krachen15.com
heute-laenger-knuspern15.com
lass-es-wieder-krachen5.com
heute-laenger-knuspern5.com
lass-es-wieder-krachen16.com
heute-laenger-knuspern16.com
lass-es-wieder-krachen6.com
heute-laenger-knuspern6.com
lass-es-wieder-krachen17.com
heute-laenger-knuspern17.com

Komisch - die im Whois hinterlegte Domain ^whois:venemail.com ist gar nicht vergeben...

[Blubberblase]

Hallo,

wollte gerade nen Schwung davon posten, denn davon habe ich meinen Spamordner auch voll. Komischerweise bin ich mit der Mailadresse wo diese Sachen kommen nur bei Amazon angemeldet und da weiß ich ja wenigstens wo es herkommt.

Bei Amazon ist es aber glaube schwierig irgendetwas abzuschalten zwecks Widerruf Weitergabe der Daten an Dritte, denn auf denen ihrer Seite habe ich keine Infos zum Datenschutz bekommen.

Im Mailheader stehen massig Adressen inkl. meiner, wo der Schrott überall hingeht.

[truelife]

Amazon gibt die Daten garantiert nicht an V1@Gr4-Spammer weiter...

[Blubberblase]

Amazon gibt die Daten garantiert nicht an V1@Gr4-Spammer weiter...

Das weiß ich eben nicht genau, aber ich hatte bei Amazon mal über einen Drittanbieter Ware bestellt und eventuell haben die was weitergegeben. Also bei Amazon bestellt und die haben dem Lieferanten ( sprich dem Shop der meine bestellte Ware ausgeliefert hat ) ja meine Daten gegeben, Versandadresse etc. um eben meine Ware zu liefern und von diesem Shop bekam ich dann auch einen Newsletter, den ich nie bestellt habe.

Normalerweise dürfen die meine Daten doch nur in Verbindung mit meiner Bestellung verwenden, aber geben Daten wohl doch irgendwie weiter.

[kjz1]

auch aus deutschen Landen:

header:

01: Received: from fj138.net116254073.thn.ne.jp (EHLO
02: fj138.net116254073.thn.ne.jp) [116.254.73.138]
03:   by mx0.gmx.net (mx007) with SMTP; 24 Dec 2009 xx:xx:xx +0100

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/notebook/public/12680542266839407742/BDUFj3goQ-OWS1NYk

natürlich nur als Weiterleitung auf:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

gebottete IP: 194.65.235.164 ---> dial-b1-235-164.telepac.pt

Reissack-Registrar natürlich...

- kjz

[Schnubbi]

header:

01:  Received: from vpn-pool-109-124-3-169.tomtel.ru ([109.124.3.169]:2586)
02: 	by 3.mx.freenet.de with smtp (port 25) (Exim 4.69 #94)
03: 	ID: [ID filtered]
04: 	for *@*.de; Mon, 28 Dec 2009 xx:xx:xx +0100
05: From: VIAGRA ® Official Reseller <*@*.de>
06: To: *@*.de
07: Subject: {Spam?} For *! Discount ID**954
08: MIME-Version: 1.0
09: Content-Type: text/html; charset="ISO-8859-1"
10: Content-Transfer-Encoding: 7bit
11: Message-ID: [ID filtered]
12: Date: Mon, 28 Dec 2009 xx:xx:xx +0100
13: Return-Path: *@*.de
14: X-OriginalArrivalTime: 28 Dec 2009 xx:xx:xx.0775 (UTC)   

Inhalt: Eine Bilddatei ^whois: [Link nur für registrierte Mitglieder sichtbar. ]nl/webmd_new_user/nl_img_welcome-webmd.gif

Aber dann:

You are subscribed as *@*.de.
View and manage your WebMD ^whois: [Link nur für registrierte Mitglieder sichtbar. ] to more newsletters. ( )
Change/update your email address.

WebMD Office of Privacy
1175 Peachtree Street, Suite 2400, Atlanta, GA 30361
2009 WebMD, LLC. All rights reserved.

[kjz1]

Wobei ^whois: [Link nur für registrierte Mitglieder sichtbar. ] durchaus seriös ist. Die Domain existiert schon seit 1998. Viele Spammer nutzen diese Seriosität, um ihren Spam-Score zu senken, indem man Bildchen von webmd in seinen eigenen Spam einbindet. Bitte noch einmal genau den Quelltext des Spams ansehen, die 'Schaddomain' des Spammers ist eine andere, webmd ist nur 'innocent bystander'.

Solche Spam kenne ich auch, verlinkt ist da z. Bsp.:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]/nl/webmd_new_user/nl_img_welcome-webmd.gif

die eigentlich Spammerdomain (weiter unten) ist aber:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Leider wehrt sich webmd anscheinend nicht gegen den Bilderklau. Ich würde da nl_img_welcome-webmd.gif ganz schnell gegen etwas Eindeutiges austauschen....

- kjz