russ. Bandenkriege

[kjz1]

Die Drogenbanden der Russkis liefern sich mal wieder Kriege per Joe Job. Ein Joe ist eigenlich leicht zu erkennen: plötzlich prasseln innerhalb kurzer Zeiträume dutzende von Spams für nur einige ganz wenige Websites herein (sonst nur 1-2 pro Tag). Und während echter Spam immer tunlichst Legalität vortäuscht, wird hier mehr oder weniger offen mit Illegalität geworben.

Dies mal hat man per Skript anscheinend Hotmail-Accounts im Tausenderpack generiert und bläst über ein Botnetz (hauptsächlich in Dritte-Welt-Ländern) tausende von Spams über die Hotmail-Server.

Beispiel-Header:

header:

01: Received: from blu0-omc4-s18.blu0.hotmail.com (EHLO blu0-omc4-s18.blu0.hotmail.com)
02: 	[65.55.111.157]
03:   by mx0.gmx.net (mx065) with SMTP; 27 Apr 2012 xx:xx:xx +0200
04: Received: from BLU154-W17 ([65.55.111.135]) by blu0-omc4-s18.blu0.hotmail.com
05: 	with Microsoft SMTPSVC(6.0.3790.4675);
06: 	 Fri, 27 Apr 2012 xx:xx:xx -0700

X-Originating-IP: [87.247.43.24] ---> FTTB_Dzhezkazgan, Kazachstan

die Betreffzeilen sind dann entsprechend:

Ilgeal meds drcetly to your door. Austians innto MMrovaia, aand would have falild in his capiagn.
Fwd: Ilelgal ccootrlled pplls US ddvliery The Frnech aadvaanned with equal coruge, buut noot with euaal radpity.
Your cmpptueer ifcetced! Join our siite to fix. And it acnkowldeed
him.
Join us sitee to acecss hidddeen illeggal prron. By the ccnospciuus
potal.
Your pprrviate photos pusbihed if you do not fiill this form. TTHE
GOD AND TTHE BAAYADRE.
We accept any kind of traffic: spam, hacks, trojans, carded etc

Folgende Seiten wurden angegriffen:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

'Gehostet' waren die Seiten in der Ukraine, wo man sie aber größtenteils vom Netz genommen hat.

[kjz1]

Bei der russ. Drogen-Mafia herrscht wieder Bandenkrieg, oder hat man da nur einen Affiliate hereingelegt? Es rauschen wieder dutzende Joe-Spams rein. Die Mafia würde sich nämlich richtig wehren, DDoS-Angriff und der Server in Portugal wäre platter als platt.

Wieder Hotmail missbraucht, der Kriminelle kann wohl automatisiert Hotmail-Account im Tausenderpack anlegen:

header:

01: Received: from col0-omc1-s11.col0.hotmail.com
02: (col0-omc1-s11.col0.hotmail.com [65.55.34.21])
03: 	by mx.kundenserver.de (node=mxeu0) with ESMTP (Nemesis)
04: 	ID: [ID filtered]
05: Received: from COL119-W28 ([65.55.34.8]) by
06: col0-omc1-s11.col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
07: 	 Thu, 10 May 2012 xx:xx:xx -0700

X-Originating-IP: [122.61.173.156] ---> 122-61-173-156.jetstream.xtra.co.nz

[Link nur für registrierte Mitglieder sichtbar. ]

Subject: Illegal meds directly to your door. Molly was a good little mother
and gave him a careful bringing up.

/alium, (A)mbien, *anax, C()deine, P/-/entermine

Overnight shipping, PayPal accepted

^whois: [Link nur für registrierte Mitglieder sichtbar. ] (email orders by sup@^whois:pharma-monster.net)

Florentines have villas, and near which Fra Angelico lived as a monk.

Beide auf einer IP: 77.91.204.236 ---> CGEST S.A., PT

[kjz1]

Der Krieg der russ. Drogenmafia geht weiter, wieder derselbe Angreifer, wieder über Hotmail:

header:

01: Received: from BLU159-W40 ([65.55.111.72]) by
02: blu0-omc2-s11.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
03: 	 Wed, 27 Jun 2012 xx:xx:xx -0700

X-Originating-IP: [60.53.203.147] ---> Telekom Malaysia Berhad

Eingeworfen über wechselnde IPs (Botnetz), meist in Schwellenländern in Asien, Südamerika und Südafrika. Angegriffen werden folgende 'Konkurrenz-Domains':

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 78.47.167.198 ---> static.78-47-167-198.clients.your-server.de/Hetzner


^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 78.47.168.9 ---> static.9.168.47.78.clients.your-server.de/Hetzner


^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 78.47.167.137 ---> Hetzner


^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 78.47.167.198 ---> Hetzner


^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 78.47.168.9 ---> Hetzner


^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 78.47.167.198 ---> Hetzner


^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Alles völlig merk- und schmerzbefreit natürlich gehostet bei Hetzner, die natürlich überhaupt nicht dafür verantwortlich sind, was ihre Affiliates so alles treiben....

[kjz1]

Neue Welle, man hostet jetzt nicht mehr bei Hetzner, sondern in der Ukraine:

^whois:usdailypharmacy.com
IP:192.162.19.149 ---> ISPHOST2, UA/Galahost, Ukraine


^whois:online-pharmacy-market.com
IP: 192.162.19.149 ---> ISPHOST2, UA/Galahost, Ukraine

^whois:pills-4-love.com
IP: 192.162.19.151 ---> ISPHOST2, UA/Galahost, Ukraine

Dirty network hosting spammer sites (advertised through Blackhat SEO like Forum/Comment and backlink spam):

[Link nur für registrierte Mitglieder sichtbar. ]

Und natürlich läuft auf diesen Servern nur nginx, ein reverse Proxy aus russ. Produktion.

[kjz1]

Man ist wieder bei Hetzner gelandet:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

IP: 176.9.189.223 ---> static.223.189.9.176.clients.your-server.de/Hetzner/Twinservers Hosting Solutions Inc. (mit einem sehr russ. klingenden Eigner)

Gestern IP 78.47.167.198 ---> Hetzner/TWINSERVERSNET

Das läßt mich annehmen, dass Hetzner seinen IP-Space anscheinend an 'Hinz und Kunz' untervermietet, Hauptsache, die Kasse stimmt...

[kjz1]

Man merkt, dass es sich um eine ganz gezielte Aktion handelt. Geht eine Domain des Gegners vom Netz, wird diese auch nicht mehr per Joe Job angegriffen. Registriert der Gegner frische Domains, so tauchen diese direkt wieder in den Joe Spams auf. Schutzgelderpressung?

[kjz1]

Neu registriert, schon als Joe Job von der konkurrierenden Russen-Mafia angegriffen:

header:

01: Received: from snt0-omc3-s2.snt0.hotmail.com (EHLO
02: snt0-omc3-s2.snt0.hotmail.com) [65.55.90.141]
03:   by mx0.gmx.net (mx044) with SMTP; 09 Jul 2012 xx:xx:xx +0200
04: Received: from SNT137-W18 ([65.55.90.135]) by
05: snt0-omc3-s2.snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
06: 	 Mon, 9 Jul 2012 xx:xx:xx -0700

X-Originating-IP: [200.121.63.251] ---> PE-PETD3-LACNIC

[Link nur für registrierte Mitglieder sichtbar. ]

Das ganze Drumherum läßt vermuten, dass nicht nur bei Juchuu, sondern auch bei Mickysoft das Anmeldesystem durch die Kriminellen längst gecrackt wurde, so dass man automatisiert Freemailer-Accounts im Tausenderpack erzeugen und missbrauchen kann.

BBrnuwcikk, aand wwere onn tthher way to bbe impprisoed aat Frrederikton.


^whois: [Link nur für registrierte Mitglieder sichtbar. ] (Xambo International Inc [Link nur für registrierte Mitglieder sichtbar. ])

Some faccts:

Sppam trfafic acpcted, US affiaties wecocme!

Payys 40% resrhare (incsreess with voulme)
AApcetts Visa and Mastercard
Wrldwdide deilvry, incluing DE, CA annd other cooutrnris coisedred
diiffclltt.
DDedatced shops witth overr 400 pilss, ED and Cotrolled, with low pices,
lower tthan mostt comepition.
Relgar paeynents too afifilliaess with 1 week hold ttoo all mjoor
sysetms (wire, paxum, weebmnoeeyy, etc)
AAvvanced tools for shop crteion and trfficc anayslis


Theey werre seflih tears. The Geeat Sprit does not heed them eveer.

Which his heart venome must asswage.
Confederate States be set at liberty.
Hamilton in vain waited for her reply.

IP: 50.7.21.149 ---> fdcservers.net

[kjz1]

Bei der Russenmafia herrscht weiter Krieg:

header:

01: Received: from snt0-omc4-s35.snt0.hotmail.com (EHLO
02: snt0-omc4-s35.snt0.hotmail.com) [65.55.90.238]
03:   by mx0.gmx.net (mx022) with SMTP; 23 Jul 2012 xx:xx:xx +0200
04: Received: from SNT143-W24 ([65.55.90.200]) by
05: snt0-omc4-s35.snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
06: 	 Sun, 22 Jul 2012 xx:xx:xx -0700

X-Originating-IP: [190.79.70.60] ---> 190-79-70-60.dyn.dsl.cantv.net

[Link nur für registrierte Mitglieder sichtbar. ]

Time and events, meanwhile, had been powerfully telling for Burke.

^whois: [Link nur für registrierte Mitglieder sichtbar. ] (Xambo International Inc [Link nur für registrierte Mitglieder sichtbar. ])

Some facts:

Spam traffic accepted, US affiliates welcome!

Pays 40% revshare (increases with volume)
Accepts Visa and Mastercard
Worldwide delivery, including DE, CA and other countries considered
difficult.
Dedicated shops with over 400 pills, ED and Controlled, with low prices,
lower than most competition.
Regular payments to affiliates with 1 week hold to all major systems
(wire, paxum, webmoney, etc)
Advanced tools for shop creation and traffic analysis


It was with great difficulty that he gained the courage to answer.

IP: 31.131.28.53 ---> wx23.terapharm.net/VPS-UA, Ukraine

[kjz1]

Bei der Russenmafia herrscht weiter Bandenkrieg, heute in großem Maße über Hotmail bespammt:


^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

Vieles mal wieder beim Schlüsseldienst registriert, wen wundert's...

[kjz1]

Heute für die Russenmafia (mit Registrierung beim Schlüsseldienst) am Start:

X-Originating-IP: [124.6.181.107] ---> Globe Telecom, PH

[Link nur für registrierte Mitglieder sichtbar. ]

[Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

IP: 109.235.51.38 ---> xenEurope VPS Services

und direkt noch hinterher:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]