header:01: From - Mon Apr 13 xx:xx:xx 200902: X-Account-Key: account303: X-UIDL: [UID filtered]04: X-Mozilla-Status: 000105: X-Mozilla-Status2: 0000000006: X-Mozilla-Keys:07:08: Return-Path: <gutschein.oobe [at] blackblock.tk>09: X-Flags: 000010: Delivered-To: GMX delivery to poor [at] spamvictim.tld11: Received: (qmail invoked by alias); 13 Apr 2009 xx:xx:xx -000012: Received: from h1483805.stratoserver.net (HELO blackblock.tk) [85.214.154.160]13: by mx0.gmx.net (mx003) with SMTP; 13 Apr 2009 xx:xx:xx +020014: Message-ID: [ID filtered]15: Date: Mon, 13 Apr 2009 xx:xx:xx +040016: From: "Mitteilung" <gutschein.oobe [at] blackblock.tk>17: User-Agent: Mozilla 4.79 [en]C-CCK-MCD {SillyDog} (Win98; U)18: X-Accept-Language: en-us19: MIME-Version: 1.020: To: "INTERESSENT" <poor [at] spamvictim.tld>21: Subject: =?US-ASCII?B?IRGENDWASCODIERTES=?=22: Content-Type: text/plain;23: charset="us-ascii"24: Content-Transfer-Encoding: 7bit25: X-GMX-Antivirus: 0 (no virus found)26: X-GMX-Antispam: 0 (Mail was not recognized as spam)
Gutschein-Gewinner Nr. 5464
Herzlichen Glückwunsch!
Sie erhalten hiermit einen 10% Rabatt Gutschein für Ihren Ersteinkauf!
Die 10% werden Ihnen bei der Onlinerechnung automatisch abgezogen.
Der Gutscheincode erscheint automatisch in der Bestellung, er wird
automatisch für Sie generiert.
Jetzt Gutschein einlösen unter:
whois: [Link nur für registrierte Mitglieder sichtbar. ]
Wir haben die besten Potenzmittel - Originale und Generika
Super schneller Versand aus der EU und ohne Zoll-Probleme.
Kein peinlicher Arztbesuch, direkt online bestellen und diskrekt geliefert
bekommen.
Jetzt Gutschein einlösen unter:
whois: [Link nur für registrierte Mitglieder sichtbar. ]
Mit freundlichen Grüßen
Ihre Online-Apotheke
Hier können Sie sich aus dem Verteiler austragen:
whois: [Link nur für registrierte Mitglieder sichtbar. ]/dispatcher/service?ac=unsub&u=1&m=BLAFASELKLAPPTEHNICHT
„Das ist aber keine Sicherheitslücke, sondern die Technik ist so gebaut“ Ralf Sauerzapf, Sprecher der Telekom laut Bericht in der "Märkische Allgemeine"
Spammy geht uns wohl wegen Ostern so auf die [Link nur für registrierte Mitglieder sichtbar. ] .
Schein ein Affliliate zu sein:
-> whois: [Link nur für registrierte Mitglieder sichtbar. ]
-> /?wbm=311
-> &promoid=viagra-zollfrei-info-gutschein
-> &gutsch=7f682fa827fdd5e1bd844fdc91a2e8eb
offtopic:Was mich wundert ist, dass Strato tcp 3389 einfach so offen läßt.
Ist nicht schon mal ein O*S wg. einfacher Kennwörter übelst auf die Nase gefallen?
@Mods
Tackern?
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
Sokath! His eyes uncovered!
header:whois: [Link nur für registrierte Mitglieder sichtbar. ]01: Received: from ip29-198.cbn.net.ID: [ID filtered]02: by x (Postfix) with ESMTP03: ID: [ID filtered]
header:whois: [Link nur für registrierte Mitglieder sichtbar. ] ->01: Received: from unknown (EHLO display-technologies.com) [125.167.179.52]02: by mx0.gmx.net (mx032) with SMTP; 13 Apr 2009 xx:xx:xx +0200
whois: [Link nur für registrierte Mitglieder sichtbar. ]
Beispielskript von der ersten Spam - zweite identisch bis auf das Ziel:
Wer Interesse an dem Skript hat: [Link nur für registrierte Mitglieder sichtbar. ] - auf eigene Gefahr.Code:<script type="text/javascript" id="cintpl_loader" src="http://x.interia.pl/cintpl/cintpl.basic_80215a.js"></script> <script type="text/javascript"> <!-- <![CDATA[ if(!INTPL)var INTPL=function(){return "";}; // ]]> --> </script> <!-- Begin DOTSRV --> <script type="text/javascript"> <!-- <![CDATA[ var g=new Image(); g.src=location.protocol+'//interia.hit.gemius.pl/_'+(new Date()).getTime()+'/redot.gif?id=1YcB94y2nezNBZTNaQ32UfL7'+INTPL('g_parameters_g'); INTPL('g_write_pebi'); // ]]> --> </script> <!-- End DOTSRV --><!-- GA2.1 --> <script type="text/javascript"> <!-- <![CDATA[ var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www."); document.write(unescape('%3Cscript src="' + gaJsHost + 'google-analytics.com/ga.js" type="text/javascript"%3E%3C/script%3E')); // ]]> --> </script> <script type="text/javascript"> <!-- <![CDATA[ var pageTrackerP = _gat._getTracker( "UA-3530215-5" ); pageTrackerP._setDomainName(".interia.pl" ); pageTrackerP._setAllowHash( false ); pageTrackerP._trackPageview(); var pageTracker = _gat._getTracker( "UA-2540319-28" ); pageTracker._trackPageview(); // ]]> --> </script> <!-- /GA2.1 --><META HTTP-EQUIV="refresh" CONTENT="0;URL=http://cyberstorebiz.at">
whois: [Link nur für registrierte Mitglieder sichtbar. ] -> Nameserver whois:ns1.hostmedication.com
Der SOA-Wert der Zone kommt mir erstaunlich lang vor:Code:hostmedication.com NS ns1.hostmedication.com ns1.hostmedication.com A 201.236.86.60 -> Telefonica Empresas Chile ns1.hostmedication.com A 218.93.249.66 -> SUQIAN-PETRO-CORP CN cyberpharmacyguide.at NS ns1.hostmedication.com cyberinternalmedicine.at NS ns1.hostmedication.com cybernuclearmedicine.at NS ns1.hostmedication.com cyberpharmacyonline.at NS ns1.hostmedication.com cyberlandstore.at NS ns1.hostmedication.com cybermedicineinstitute.at NS ns1.hostmedication.com cyberpharmacyprescription.at NS ns1.hostmedication.com cleanplateclubgroup.at NS ns1.hostmedication.com cybermedicinecenter.at NS ns1.hostmedication.com creditcityautosales.at NS ns1.hostmedication.com cyberpharmacydiscounts.at NS ns1.hostmedication.com cyberpharmacydirect.at NS ns1.hostmedication.com cybermedicineport.at NS ns1.hostmedication.com cyberloveyou.at NS ns1.hostmedication.com cyberstoreindex.at NS ns1.hostmedication.com cyberpetpharmacy.at NS ns1.hostmedication.com cybermarketingdirectory.at NS ns1.hostmedication.com
@Mods:Code:> set q=soa > cyberstorebiz.at Server: 201-236-86-60.static.tie.cl Address: 201.236.86.60 cyberstorebiz.at primary name server = ns1.cyberstorebiz.at responsible mail addr = admin.cyberstorebiz.at serial = 2005000000 refresh = 600 (10 mins) retry = 900 (15 mins) expire = 1209600 (14 days) default TTL = 43200 (12 hours) cyberstorebiz.at nameserver = ns1.cyberstorebiz.at cyberstorebiz.at nameserver = ns2.cyberstorebiz.at ns1.cyberstorebiz.at internet address = 218.93.249.66 ns2.cyberstorebiz.at internet address = 201.236.86.60
das Headerskript futtert (wieder) zuviel weg - meine erste Headerzeile sieht original wie folgt aus (Whois vorsichtshalber gesetzt):
Received: from whois:ip29-198.cbn.net.id (whois:ip29-198.cbn.net.id [whois:202.158.29.198])
Geändert von schara56 (13.04.2009 um 13:53 Uhr) Grund: 2. Spam
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
Sokath! His eyes uncovered!
header:whois: [Link nur für registrierte Mitglieder sichtbar. ] -> whois: [Link nur für registrierte Mitglieder sichtbar. ]01: Received: from customer-202-28.porta.net (unknown [200.25.202.28])02: by x (Postfix) with ESMTP03: ID: [ID filtered]
header:whois: [Link nur für registrierte Mitglieder sichtbar. ] -> whois: [Link nur für registrierte Mitglieder sichtbar. ]01: Received: from jaja.salamouna.cz (t4.salamouna.net [193.165.184.53])02: by x (Postfix) with ESMTP ID: [ID filtered]03: Tue, 14 Apr 2009 xx:xx:xx +0200 (CEST)
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
Sokath! His eyes uncovered!
Ja, ja ein Selbstzitat - nicht die feine englische Art.
Ich habe einen Entwickler-Kollegen zu dem Skript befragt und er meinte dazu folgendes:
- es platziert ein permanentes Cookie, Inhalt unbekannt, bzw. von jeder Site, auf die man von der aus kommt, die das Script auch hat - geht das dann auch
- es lädt noch mehr jscript nach, dieses script ist etwas schwerer zugängig, keine Ahnung was das macht
- es rendert fröhlich HTML raus, lädt ein Shockwave, ActiveX und schaut nach ob Java aktiviert ist und meldet das dann an die Umlenk Seite, was auch schon bedenklich ist.
Ein Grund mehr für Firefox mit noscript oder Opera mit abgeschaltetem Skripting.
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
Sokath! His eyes uncovered!
header:01:02: Received: from host146-96-static.63-88-b.business.telecomitalia.it03: ([88.63.96.146]:2493)04: by 4.mx.freenet.de with esmtp (port 25) (Exim 4.69 #79)05: ID: [ID filtered]06: for *@*.de; Fri, 17 Apr 2009 xx:xx:xx +020007: To: <@*.de>08: Subject: {Spam?} {Disarmed} Brad was amazed at my trouser snake09: From: "Lino Gangwish" <Lino-jinti [at] pgm.com.eg>10: Mime-Version: 1.011: Content-Type: text/html; charset=iso-8859-112: Content-Transfer-Encoding: 7bit13: Delivered-To: *@*.de14: X-Warning: Message contains spam signature15: (149285::1239953356-00007B74-C89447BD/0-3582738996/0-10)
Neben einem sehr einfallsreichen HTML-Bildchen ein ebenso einfallsreicher HTML-Text:
whois: [Link nur für registrierte Mitglieder sichtbar. ]update.asp?mail=*@*de&key=*"> Update account information
whois: [Link nur für registrierte Mitglieder sichtbar. ]change.asp?mail=*@*.de&key=*"> Change e-mail address
whois: [Link nur für registrierte Mitglieder sichtbar. ]unsubscribe.asp?mail=*@*.de&key=*"> Unsubscribe
whois: [Link nur für registrierte Mitglieder sichtbar. ]privacy.asp?key=*">Privacy policy
Don't pay the ferryman,
Until he gets you to the other side (Chris De Burgh)
Wie einfallsreich ...
header:01:02: Received: from adsl-50-57.tricom.net ([190.94.50.57]:60357 helo=pqrimdrno)03: by 12.mx.freenet.de with esmtp (port 25) (Exim 4.69 #79)04: ID: [ID filtered]05: X-Sender: <cchergp [at] marshmc.com>06: From: "Carma Cher" <cchergp [at] marshmc.com>07: In-Reply-To: <**************$*********@5zty533>08: Message-ID: [ID filtered]09: Sender: <cchergp [at] marshmc.com>10: Reply-To: "Carma Cher" <cchergp [at] marshmc.com>11: To: <*@*.de>12: Date: Fri, 17 Apr 2009 xx:xx:xx -070013: Subject: {Spam?} Canada Pharmacy is a cheap and affordable discount online Canada Drugs14: Pharmacy which serves over 25,000 customers. We open 24 hours a day 7 days a week *****15: Content-Type: text/plain;16: charset="iso-8859-2"17: Content-Transfer-Encoding: 8bit18: Delivered-To: *@*.de19: X-Warning: Message contains spam signature20: (149285::1239970828-00007B74-86CBD3CE/2537036771-0/0-3)
Don't pay the ferryman,
Until he gets you to the other side (Chris De Burgh)
Spammy ist wohl etwas desorientiert:
header:01: Received: from 60-241-199-216.static.tpgi.com.au (EHLO02: 60-241-199-216.static.tpgi.com.au) [60.241.199.216] by mx0.gmx.net (mx079) with SMTP;03: 19 Apr 2009 xx:xx:xx +0200
whois: [Link nur für registrierte Mitglieder sichtbar. ]Jetzt bestellen und naechste Woche erhalten - 12 Tb. umsonst zum
Weihnachten!
Frohe Weihnachten
natürlich ein Redirect auf:
whois: [Link nur für registrierte Mitglieder sichtbar. ]
Sieht man dann noch den Registrar:
und die 'Kraft der 4 Nameserver', dann weiss man, dass dies nur Alex/Yambo von der Russenmafia sein kann.Registrar: XIN NET TECHNOLOGY CORPORATION
Status: ok
Dates: Created 17-apr-2009 Updated 17-apr-2009 Expires
17-apr-2010
DNS Servers: A1.AWAREREAL.COM B2.AWAREREAL.COM C3.AWAREREAL.COM
D4.AWAREREAL.COM
Ansonsten erbricht der Nameserver noch:
whois: [Link nur für registrierte Mitglieder sichtbar. ]
das hatten wir hier auch schon.
- kjz
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
whois:interia.pl ist jetzt schon ein monatelanges Ärgernis
Schaut man auf whois:217.74.65.162 findet man
Zwischenzeitlich lagen dort auch Phishing- und Virenverseuchte Seiten.horyzont2000.w.interia.pl
douglassarenfrow2000.w.interia.pl
gladysscforde1100.w.interia.pl
raymondssssrmachulsky5100.w.interia.pl
davidwilliamson6100.w.interia.pl
lesliebolinger9100.w.interia.pl
margaretmarcellus4200.w.interia.pl
billieminton5200.w.interia.pl
belapatel4300.w.interia.pl
terijennings1400.w.interia.pl
darneilgrove9400.w.interia.pl
toddsandssusanmunnik9400.w.interia.pl
robertparkin1600.w.interia.pl
raydolensky6600.w.interia.pl
darelwillman3700.w.interia.pl
tammystangler5900.w.interia.pl
frankholthoff0010.w.interia.pl
alanholcombe3010.w.interia.pl
robertpennington3010.w.interia.pl
marycastelli010.w.interia.pl
ozi11110.w.interia.pl
gaillard6110.w.interia.pl
richardgaillard6110.w.interia.pl
franksjhuppenthal6110.w.interia.pl
benhoye210.w.interia.pl
darespalmerjennings0310.w.interia.pl
cliffordspaulvogel2310.w.interia.pl
donbarrows310.w.interia.pl
s27angelo410.w.interia.pl
dennisds27angelo410.w.interia.pl
sebastiaodutra1510.w.interia.pl
marshallwakefield4510.w.interia.pl
ullard510.w.interia.pl
soyongbullard510.w.interia.pl
franksthalpin510.w.interia.pl
shanadowns7610.w.interia.pl
laurafrew8610.w.interia.pl
keithcrosland610.w.interia.pl
sghuber610.w.interia.pl
williamsghuber610.w.interia.pl
elizabethpaulino5710.w.interia.pl
angelvizcaino9710.w.interia.pl
anthonymatthews0810.w.interia.pl
jeremysjmier6910.w.interia.pl
jamessrbradshaw9910.w.interia.pl
dx10.w.interia.pl
lamondamccraw5020.w.interia.pl
adouceur2220.w.interia.pl
robertladouceur2220.w.interia.pl
wspatrickwerner4420.w.interia.pl
rayspencer6420.w.interia.pl
dakotastipes7420.w.interia.pl
edwardmummert7520.w.interia.pl
williamsmorrill2620.w.interia.pl
jackbowe3720.w.interia.pl
rodriguezsdesbaez0820.w.interia.pl
manuelarodriguezsdesbaez0820.w.interia.pl
kathymager3920.w.interia.pl
terrirandolph6030.w.interia.pl
peggyos27brien1130.w.interia.pl
lupeng2130.w.interia.pl
normahauser7130.w.interia.pl
kaycockerham130.w.interia.pl
eunicesmrssellers9230.w.interia.pl
hinneman230.w.interia.pl
danaslshinneman230.w.interia.pl
michaelsahabib3330.w.interia.pl
timothyearnest530.w.interia.pl
noracraver1630.w.interia.pl
mariannesdriccardi2630.w.interia.pl
paulsingleton4630.w.interia.pl
asessrhoggard7630.w.interia.pl
tonydumas0730.w.interia.pl
raymondspmcintosh9730.w.interia.pl
earlscrankins5830.w.interia.pl
donaldsrchipman6830.w.interia.pl
jesusbaeza0040.w.interia.pl
yauskeecheung4040.w.interia.pl
josephpoling5040.w.interia.pl
walterssgoldberg9040.w.interia.pl
josemanzano5240.w.interia.pl
gabrielemassaro8240.w.interia.pl
hung9240.w.interia.pl
jooeunchung9240.w.interia.pl
delbertadamson240.w.interia.pl
michaelslpropst0340.w.interia.pl
gwendolyneverett340.w.interia.pl
donaldsmrowland9440.w.interia.pl
karengollon1540.w.interia.pl
gregkuhlman0640.w.interia.pl
shawnester7640.w.interia.pl
adrianjefferson2740.w.interia.pl
traceyzielinski7740.w.interia.pl
nmays740.w.interia.pl
robertsnmays740.w.interia.pl
kennethsjsjrhodson8840.w.interia.pl
markwakeman5940.w.interia.pl
jamesbarrett6050.w.interia.pl
lledge9150.w.interia.pl
warrenelledge9150.w.interia.pl
randymurdock250.w.interia.pl
robertwills5350.w.interia.pl
lachunemcbride350.w.interia.pl
donbullard7450.w.interia.pl
marybellemare8450.w.interia.pl
waltveale3550.w.interia.pl
stevensaperry7550.w.interia.pl
helenkubiak9550.w.interia.pl
erikiverson6650.w.interia.pl
jamesskpeedin650.w.interia.pl
solonsimonds650.w.interia.pl
jonmclaughlin0750.w.interia.pl
adolfobenavidez4750.w.interia.pl
veronicasalinas5950.w.interia.pl
barbarasmflowers6950.w.interia.pl
tomasvallejosapolinares950.w.interia.pl
christophermiddleton0060.w.interia.pl
robertstecki060.w.interia.pl
pearman060.w.interia.pl
thomasspearman060.w.interia.pl
lauber0160.w.interia.pl
michaellauber0160.w.interia.pl
josesmiguelchavez1160.w.interia.pl
billfaught260.w.interia.pl
corafrazier0360.w.interia.pl
onbohn1360.w.interia.pl
brandonbohn1360.w.interia.pl
richardsatoney1360.w.interia.pl
johnsebolton5460.w.interia.pl
trejo6660.w.interia.pl
nahumtrejo6660.w.interia.pl
franksjsmdcano4760.w.interia.pl
karelshboonzaayer0860.w.interia.pl
richarddickens6860.w.interia.pl
hey9860.w.interia.pl
amypeachey9860.w.interia.pl
oswaldsilva1960.w.interia.pl
ruthsidecker5960.w.interia.pl
robertelston3070.w.interia.pl
ermabranson7270.w.interia.pl
beulahstrait9270.w.interia.pl
ddsrubinstein0370.w.interia.pl
sergiosddsrubinstein0370.w.interia.pl
chasityangell7470.w.interia.pl
lindachildress1570.w.interia.pl
charleskilburn7770.w.interia.pl
obles4870.w.interia.pl
luannenobles4870.w.interia.pl
williamsabarrett5870.w.interia.pl
gaylonblanton2970.w.interia.pl
hughsbuddyjudd3970.w.interia.pl
kizsandsclintonrogers6970.w.interia.pl
johnsjrswholman8970.w.interia.pl
msmssutherland9970.w.interia.pl
josephfisher3080.w.interia.pl
garysagiles1180.w.interia.pl
waynetuckersbays6280.w.interia.pl
sonyadelcastillo4380.w.interia.pl
davidsesumner4480.w.interia.pl
codyblankenship6580.w.interia.pl
josesilva580.w.interia.pl
shavonneedgecombe1680.w.interia.pl
rose0880.w.interia.pl
karenfennell4880.w.interia.pl
codyluker4880.w.interia.pl
robertsrhampson980.w.interia.pl
tombarrett2090.w.interia.pl
stephenos27donnell090.w.interia.pl
artmiliander090.w.interia.pl
rickypounders7190.w.interia.pl
fears190.w.interia.pl
bernicefears190.w.interia.pl
arthurtodd6290.w.interia.pl
michaelmckinnon8290.w.interia.pl
holt290.w.interia.pl
charlesholt290.w.interia.pl
rhondahoover6390.w.interia.pl
baselidesvalladares0590.w.interia.pl
richardfrazier3590.w.interia.pl
markstmchugh1790.w.interia.pl
stuartkolb2890.w.interia.pl
lorettabandy5890.w.interia.pl
carrieslosborne6890.w.interia.pl
helensleepappas890.w.interia.pl
brucelilly890.w.interia.pl
jessiemarinez6990.w.interia.pl
eg001.w.interia.pl
susanmcguire7101.w.interia.pl
marysanndenney8101.w.interia.pl
soniamandelasnevarez8101.w.interia.pl
terrygollnow6201.w.interia.pl
dorothyhutson8301.w.interia.pl
josephsmhemingway9301.w.interia.pl
lindamccall2401.w.interia.pl
rthington6401.w.interia.pl
sonyaworthington6401.w.interia.pl
karinpetties2501.w.interia.pl
Ruft man z. B. whois:karinpetties2501.w.interia.pl auf kommt man zu whois: [Link nur für registrierte Mitglieder sichtbar. ] Dort hängen auch 4 potente Namensserver dran.
D4.PRIMEMEEK.COM
A1.PRIMEMEEK.COM
C3.PRIMEMEEK.COM
B2.PRIMEMEEK.COM
Dort findet man unter anderem noch
whois:332232.com
whois:111233.com
whois:122233.com
whois:112245.com
whois:primemeek.com
Hier werden bestimmt zigtausende Kombinationen im Umlauf sein
Gruß Antispam2006
Lesezeichen