scheint mir sehr interessant ,zum ich gestern schon so eine hatte und da war 20070406uhrzeit plus der ID Nummer . Prüfen die die Spammails schon per Datum und Versandzeit plus ID ab ?
<p><span class=GramE>visit</span> E-Greetings at <a
href="http://www.all-yours.0catch.com/postalcard.jpg.exe">http://www.all-yours.net/</a>
and enter your pickup code, which is: a123456789<br>
<br>
(Your postcard will be available for 60 days.)</p>
</div>
</body>
</html>[/HTML]
Im Thunderbird wird da schon der Link mit jpg.exe angezeigt Und auch hier scheint es mit wird aber noch zusätzlich die Emailadresse verifiziert .
Was die exe macht weis ich nicht .
Aber nicht den Link mit Windows testen
Der Weg zum Anwalt immer lohnt, auch wenn er etwas weiter wohnt.
postalcard.jpg.exe/data.rar/archive comment Ok
postalcard.jpg.exe/data.rar/nicks.txt Ok
postalcard.jpg.exe/data.rar/remote.ini Ok
postalcard.jpg.exe/data.rar/script.ini Infiziert:
[Link nur für registrierte Mitglieder sichtbar. ]
postalcard.jpg.exe/data.rar/servers.ini Ok
postalcard.jpg.exe/data.rar/sup.bat Ok
postalcard.jpg.exe/data.rar/sup.reg Ok
postalcard.jpg.exe/data.rar/users.ini Ok
postalcard.jpg.exe/data.rar/aliases.ini Ok
postalcard.jpg.exe/data.rar/control.ini Ok
postalcard.jpg.exe/data.rar/explorer.exe Infiziert:
[Link nur für registrierte Mitglieder sichtbar. ]
postalcard.jpg.exe/data.rar/mirc.ico Ok
postalcard.jpg.exe/data.rar/mirc.ini Ok
Da wird der PC glatt zu einer Bot-Drohne, typischer trojaner also.
Im Moment gar nix. Das Programm scheint sehr beliebt zu sein, denn der Webserver stottert nur noch:
This site has exceeded its limit of 40 Megabytes of transfer per day. The account can be upgraded to a paid account to increase the transfer limit up to 15 Gigs of transfer per month in your 0catch.com user tools section.
(Und das hat sieben Anläufe mit wget gebraucht )
Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.
Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.
Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
01: Received: from webobjects.ornith.cornell.edu (webobjects.ornith.cornell.edu
02: [128.84.71.109])
You have just received a virtual postcard from a family member!
You can pick up your postcard at the following web address: whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Leitet weiter auf whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Scheint ein gehackter Server zu sein, der in Deutschland steht.
Nicht mit einem Windows-PC den Link öffnen
Kaspersky sagt dazu folgendes:
postcard.exe.zip/postcard.exe/data.rar/archive comment Ok
postcard.exe.zip/postcard.exe/data.rar/fullname.txt Ok
postcard.exe.zip/postcard.exe/data.rar/ident.txt Ok
postcard.exe.zip/postcard.exe/data.rar/nicks.txt Ok
postcard.exe.zip/postcard.exe/data.rar/aliases.ini Ok
postcard.exe.zip/postcard.exe/data.rar/control.ini Ok
postcard.exe.zip/postcard.exe/data.rar/mirc.ini Infiziert: Backdoor.IRC.Zapchast
postcard.exe.zip/postcard.exe/data.rar/remote.ini Ok
postcard.exe.zip/postcard.exe/data.rar/script.ini Infiziert: Backdoor.IRC.Zapchast
postcard.exe.zip/postcard.exe/data.rar/servers.ini Ok
postcard.exe.zip/postcard.exe/data.rar/users.ini Ok
postcard.exe.zip/postcard.exe/data.rar/sup.bat Ok
postcard.exe.zip/postcard.exe/data.rar/svchost.exe Infiziert: Virus.Win32.Parite.b
postcard.exe.zip/postcard.exe/data.rar/mirc.ico Ok
postcard.exe.zip/postcard.exe/data.rar/sup.reg Infiziert: Backdoor.IRC.Zapchast
postcard.exe.zip/postcard.exe/data.rar/popups.txt Ok
skater
Geändert von skater (22.04.2007 um 16:25 Uhr)
Grund: Warnhinweis ergänzt
25: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
26: X-GMX-Antispam: 4 (From SPF protected domain over unauthorized server)
27: X-GMX-UID: [UID filtered]
Inhalt:
Code:
Von: "www.Postcards.org"<
[Link nur für registrierte Mitglieder sichtbar. ]>
An:
Kopie:
Betreff: You have just received a virtual postcard from a family member!
Datum: 18.04.2007 21:29:17
You have just received a virtual postcard from a family member!
.
You can pick up your postcard at the following web address:
.
http://www2.postcards.org/?d21-sea-sunset
.
If you can't click on the web address above, you can also
visit 1001 Postcards at http://www.postcards.com and enter your pickup code,
which is: d21-sea-sunset
.
(Your postcard will be available for 60 days.)
.
Oh -- and if you'd like to reply with a postcard,
you can do so by visiting this web address:
http://www.postcards.com
(Or you can simply click the "reply to this postcard"
button beneath your postcard!)
.
We hope you enjoy your postcard, and if you do,
please take a moment to send a few yourself!
.
Regards,
1001 Postcards
http://www.postcards.org/postcards/
Der Link nach whois:
[Link nur für registrierte Mitglieder sichtbar. ] geht in Wahrheit nach whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Leider konnte ich unter Linux von da nix runterladen (um es auf Malware zu testen ); habe das Cookie verweigert und es heißt nur "Access denied!"
Sicherheitshalber von einem Wind* Rechner nicht auf den 3host.ro Link gehen!
Der Link nach whois:
[Link nur für registrierte Mitglieder sichtbar. ] wird nach whois:
[Link nur für registrierte Mitglieder sichtbar. ] weitergeleitet.
Dort findet sich eine Infoseite über
Code:
Aunt Edna Virus & postcards.gif.exe
This Is Not A Real Postcard, And No, It Didn't Come From Our Site [..]
Update: Now there's a second person out there spamming people with a fake greeting card notice,
slandering our site. The title of this newest abomination is "You've received a postcard from a
family member!", and actually links to a malicious exe file.
LG
D
Geändert von cmds (22.04.2007 um 18:50 Uhr)
Grund: whois eingefügt
01: Received: from cssp.mine.nu (cssp.mine.nu [82.131.174.173])
02: by x (Postfix) with ESMTP ID: [ID filtered]
03: for <x>; Sat, 29 Aug 2009 xx:xx:xx +0200 (CEST)
04: Received: from localhost (localhost [127.0.0.1])
05: by cssp.mine.nu (Postfix) with ESMTP ID: [ID filtered]
06: for <x>; Thu, 27 Aug 2009 xx:xx:xx +0200 (CEST)
07: Received: from cssp.mine.nu ([127.0.0.1])
08: by localhost (sp-server [127.0.0.1]) (amavisd-new, port 10024)
09: with ESMTP ID: [ID filtered]
10: Thu, 27 Aug 2009 xx:xx:xx +0200 (CEST)
11: Received: by cssp.mine.nu (Postfix, from userID: [ID filtered]
12: ID: [ID filtered]
whois:
[Link nur für registrierte Mitglieder sichtbar. ]/~bart/E-Greetings.exe
Leider darf man nicht das Verzeichnis auflisten - die *.exe ist jedoch verfügbar und beinhaltet wenig schönes:
[Link nur für registrierte Mitglieder sichtbar. ]
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
Lesezeichen