Ergebnis 1 bis 8 von 8

Thema: You just recieved a E-Greeting

  1. #1
    Mitglied Avatar von Schorchgrinder
    Registriert seit
    17.07.2005
    Ort
    Lower Uncton
    Beiträge
    571

    Standard You just recieved a E-Greeting


    header:
    01: Return-Path: <taguchi [at] technical.co.jp>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to bla
    04: Received: (qmail invoked by alias); 07 Apr 2007 xx:xx:xx -0000
    05: Received: from technical.co.jp (EHLO technical.co.jp) [202.69.234.113]
    06: by mx0.gmx.net (mx038) with SMTP; 07 Apr 2007 xx:xx:xx +0200
    07: Received: from technical.co.jp (localhost [127.0.0.1])
    08: by technical.co.jp (8.13.6.20060614/8.12.11) with ESMTP ID: [ID filtered]
    09: for <bla>; Sat, 7 Apr 2007 xx:xx:xx +0900 (JST)
    10: Received: (from taguchi [at] localhost)
    11: by technical.co.jp (8.13.6.20060614/8.12.11/Submit) ID: [ID filtered]
    12: Sat, 7 Apr 2007 xx:xx:xx +0900 (JST)
    13: Date: Sat, 7 Apr 2007 xx:xx:xx +0900 (JST)
    14: Message-ID: [ID filtered]
    15: To: bla
    16: Subject: You just recieved a E-Greeting.
    17: From: E-Greeting <greeting [at] all-yours.net>

    Code:
    Message-Id: <200704071013.
    scheint mir sehr interessant ,zum ich gestern schon so eine hatte und da war 20070406uhrzeit plus der ID Nummer . Prüfen die die Spammails schon per Datum und Versandzeit plus ID ab ?

    [HTML]

    <p><span class=GramE><span style='color:#00B0F0'>Hello</span> ,</span></p>

    <p>A Greeting Card is waiting for you at our virtual post office! You can pick
    up your postcard at the following web address:<o></o></p>

    <p><a href="http://www.all-yours.0catch.com/postalcard.jpg.exe"
    bref="http://75.50.192.60/postalcard.jpg.exe">http://www.all-yours.net/u/view.php?id=a123456789%3c/a</a></p>

    <p><span class=GramE>visit</span> E-Greetings at <a
    href="http://www.all-yours.0catch.com/postalcard.jpg.exe">http://www.all-yours.net/</a>
    and enter your pickup code, which is: a123456789<br>
    <br>
    (Your postcard will be available for 60 days.)</p>

    </div>

    </body>

    </html>[/HTML]

    Im Thunderbird wird da schon der Link mit jpg.exe angezeigt Und auch hier scheint es mit wird aber noch zusätzlich die Emailadresse verifiziert .
    Was die exe macht weis ich nicht .

    Aber nicht den Link mit Windows testen
    Der Weg zum Anwalt immer lohnt, auch wenn er etwas weiter wohnt.

  2. #2
    Senior Mitglied Avatar von skater
    Registriert seit
    26.09.2006
    Ort
    anywhere
    Beiträge
    2.121

    Standard

    Kaspersky sagt zu postcard.jpg.exe folgendes:

    postalcard.jpg.exe/data.rar/archive comment Ok
    postalcard.jpg.exe/data.rar/nicks.txt Ok
    postalcard.jpg.exe/data.rar/remote.ini Ok
    postalcard.jpg.exe/data.rar/script.ini Infiziert: Backdoor.IRC.Cloner.ae
    postalcard.jpg.exe/data.rar/servers.ini Ok
    postalcard.jpg.exe/data.rar/sup.bat Ok
    postalcard.jpg.exe/data.rar/sup.reg Ok
    postalcard.jpg.exe/data.rar/users.ini Ok
    postalcard.jpg.exe/data.rar/aliases.ini Ok
    postalcard.jpg.exe/data.rar/control.ini Ok
    postalcard.jpg.exe/data.rar/explorer.exe Infiziert: Backdoor.Win32.mIRC-based
    postalcard.jpg.exe/data.rar/mirc.ico Ok
    postalcard.jpg.exe/data.rar/mirc.ini Ok
    Da wird der PC glatt zu einer Bot-Drohne, typischer trojaner also.

    skater
    There is no Signature in progress

  3. #3
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.925

    Standard

    Zitat Zitat von Schorchgrinder Beitrag anzeigen
    Was die exe macht weis ich nicht.
    Im Moment gar nix. Das Programm scheint sehr beliebt zu sein, denn der Webserver stottert nur noch:

    This site has exceeded its limit of 40 Megabytes of transfer per day. The account can be upgraded to a paid account to increase the transfer limit up to 15 Gigs of transfer per month in your 0catch.com user tools section.
    (Und das hat sieben Anläufe mit wget gebraucht )

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

  4. #4
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard

    Zitat Zitat von Schorchgrinder Beitrag anzeigen
    Was die exe macht weis ich nicht .
    Ist doch klar, ich werf das Ding in eine Sandbox.
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  5. #5
    Senior Mitglied Avatar von skater
    Registriert seit
    26.09.2006
    Ort
    anywhere
    Beiträge
    2.121

    Standard

    Heute aufgeschlagen:

    header:
    01: Received: from webobjects.ornith.cornell.edu (webobjects.ornith.cornell.edu
    02: [128.84.71.109])

    You have just received a virtual postcard from a family member!
    You can pick up your postcard at the following web address:
    whois:http://www2.postcards.org/?a91-valets-cloud-31337
    Leitet weiter auf whois:http://194.25.140.10/~sc/postcard.exe
    Scheint ein gehackter Server zu sein, der in Deutschland steht.

    Nicht mit einem Windows-PC den Link öffnen

    Kaspersky sagt dazu folgendes:
    postcard.exe.zip/postcard.exe/data.rar/archive comment Ok
    postcard.exe.zip/postcard.exe/data.rar/fullname.txt Ok
    postcard.exe.zip/postcard.exe/data.rar/ident.txt Ok
    postcard.exe.zip/postcard.exe/data.rar/nicks.txt Ok
    postcard.exe.zip/postcard.exe/data.rar/aliases.ini Ok
    postcard.exe.zip/postcard.exe/data.rar/control.ini Ok
    postcard.exe.zip/postcard.exe/data.rar/mirc.ini Infiziert: Backdoor.IRC.Zapchast
    postcard.exe.zip/postcard.exe/data.rar/remote.ini Ok
    postcard.exe.zip/postcard.exe/data.rar/script.ini Infiziert: Backdoor.IRC.Zapchast
    postcard.exe.zip/postcard.exe/data.rar/servers.ini Ok
    postcard.exe.zip/postcard.exe/data.rar/users.ini Ok
    postcard.exe.zip/postcard.exe/data.rar/sup.bat Ok
    postcard.exe.zip/postcard.exe/data.rar/svchost.exe Infiziert: Virus.Win32.Parite.b
    postcard.exe.zip/postcard.exe/data.rar/mirc.ico Ok
    postcard.exe.zip/postcard.exe/data.rar/sup.reg Infiziert: Backdoor.IRC.Zapchast
    postcard.exe.zip/postcard.exe/data.rar/popups.txt Ok
    skater
    Geändert von skater (22.04.2007 um 16:25 Uhr) Grund: Warnhinweis ergänzt
    There is no Signature in progress

  6. #6
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    298

    Cool You have just received a virtual postcard from a family member!


    header:
    01: Return-Path: <postcards [at] postcards.org>
    02: X-Flags: 1001
    03: Delivered-To: GMX delivery to poor [at] spamvictim.tld
    04: Received: (qmail invoked by alias); 18 Apr 2007 xx:xx:xx -0000
    05: Received: from mail.lfccap.com (EHLO exchange.linc.com) [68.164.161.4]
    06: by mx0.gmx.net (mx097) with SMTP; 18 Apr 2007 xx:xx:xx +0200
    07: Received: from User ([67.106.166.151]) by exchange.linc.com with Microsoft
    08: SMTPSVC(6.0.3790.1830);
    09: Wed, 18 Apr 2007 xx:xx:xx -0500
    10: Reply-To: <noreply [at] postcards.org>
    11: From: "www.Postcards.org"<postcards [at] postcards.org>
    12: Subject: You have just received a virtual postcard from a family member!
    13: Date: Wed, 18 Apr 2007 xx:xx:xx -0400
    14: MIME-Version: 1.0
    15: Content-Type: text/html;
    16: charset="Windows-1251"
    17: Content-Transfer-Encoding: 7bit
    18: X-Priority: 3
    19: X-MSMail-Priority: Normal
    20: X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    21: X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
    22: Message-ID: [ID filtered]
    23: X-OriginalArrivalTime: 18 Apr 2007 xx:xx:xx.0663 (UTC)
    24: FILETIME=[C6417AF0:01C781F1]
    25: X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
    26: X-GMX-Antispam: 4 (From SPF protected domain over unauthorized server)
    27: X-GMX-UID: [UID filtered]
    Inhalt:
    Code:
    Von:    "www.Postcards.org"<postcards@postcards.org>
    An:    
    Kopie:    
    Betreff:    You have just received a virtual postcard from a family member!
    Datum:    18.04.2007 21:29:17
    You have just received a virtual postcard from a family member!
    .
    You can pick up your postcard at the following web address:
    .
    http://www2.postcards.org/?d21-sea-sunset
    .
    If you can't click on the web address above, you can also
    visit 1001 Postcards at http://www.postcards.com and enter your pickup code,
    which is: d21-sea-sunset
    .
    (Your postcard will be available for 60 days.)
    .
    Oh -- and if you'd like to reply with a postcard,
    you can do so by visiting this web address:
    http://www.postcards.com
    (Or you can simply click the "reply to this postcard"
    button beneath your postcard!)
    .
    We hope you enjoy your postcard, and if you do,
    please take a moment to send a few yourself!
    .
    Regards,
    1001 Postcards
    http://www.postcards.org/postcards/
    Der Link nach whois:http://www2.postcards.org/?d21-sea-sunset geht in Wahrheit nach whois:http://www.3host.ro/filehost/phrame.php?action=saveDownload&fileId=5160

    Leider konnte ich unter Linux von da nix runterladen (um es auf Malware zu testen ); habe das Cookie verweigert und es heißt nur "Access denied!"

    Sicherheitshalber von einem Wind* Rechner nicht auf den 3host.ro Link gehen!

    Der Link nach whois:http://www2.postcards.org/?d21-sea-sunset wird nach whois:http://www.postcards.org/postcards/special/aunt_edna_virus.html weitergeleitet.
    Dort findet sich eine Infoseite über
    Code:
    Aunt Edna Virus & postcards.gif.exe
    This Is Not A Real Postcard, And No, It Didn't Come From Our Site [..]
    Update: Now there's a second person out there spamming people with a fake greeting card notice,
    slandering our site. The title of this newest abomination is "You've received a postcard from a 
    family member!", and actually links to a malicious exe file.
    LG
    D
    Geändert von cmds (22.04.2007 um 18:50 Uhr) Grund: whois eingefügt

  7. #7
    Ritter der Tafelrunde Avatar von Arthur
    Registriert seit
    15.01.2007
    Ort
    Avalon
    Beiträge
    12.387

    Standard

    Zitat Zitat von Rava Telladeon Beitrag anzeigen
    Sicherheitshalber von einem Wind* Rechner nicht auf den 3host.ro Link gehen!
    und warum postest du es dann als aktiven Link? Auch dafür ist whois vorgeschrieben

  8. #8
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    9.526

    Standard


    header:
    01: Received: from cssp.mine.nu (cssp.mine.nu [82.131.174.173])
    02: by x (Postfix) with ESMTP ID: [ID filtered]
    03: for <x>; Sat, 29 Aug 2009 xx:xx:xx +0200 (CEST)
    04: Received: from localhost (localhost [127.0.0.1])
    05: by cssp.mine.nu (Postfix) with ESMTP ID: [ID filtered]
    06: for <x>; Thu, 27 Aug 2009 xx:xx:xx +0200 (CEST)
    07: Received: from cssp.mine.nu ([127.0.0.1])
    08: by localhost (sp-server [127.0.0.1]) (amavisd-new, port 10024)
    09: with ESMTP ID: [ID filtered]
    10: Thu, 27 Aug 2009 xx:xx:xx +0200 (CEST)
    11: Received: by cssp.mine.nu (Postfix, from userID: [ID filtered]
    12: ID: [ID filtered]
    whois:http://64.237.120.6/~bart/E-Greetings.exe

    Leider darf man nicht das Verzeichnis auflisten - die *.exe ist jedoch verfügbar und beinhaltet wenig schönes:
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen