www.viellieber.de

Linie von Ralf Viellieber

Mailmissbrauch

Vorwort: Das Problem ist mittlerweile auch schon etwas älter - Absenderadressen werden in Mails gefälscht. Immer wieder ärgerlich, wenn man hunderte von Mailrückläufern hat - mit der Information man hätte einen Virus oder Spam versendet, oder das der Empfänger nicht erreichbar ist. (Verflucht seien unfähige Systemadministratoren!) Mittlerweile findet sich ein SPF-Record in meiner Zone, aber da das kaum jemand zu prüfen scheint, löst dies das Problem auch nicht.

Damals stand folgender Text auf meiner Homepage

Warnung : Heute 22.11.2001 3 Uhr hat jemand in meinem Namen Werbemails mit XXX Werbung verschickt. Diese Mails enthalten verdächtigen Javascriptcode! Deshalb Mail gar nicht erst öffnen. Wenn schon geschehen auf keinen Fall die Seite besuchen. Auch hier wird auf eingeschalteten Javascriptcode überprüft. Virengefahr!!!
Dies ist ein normaler Missbrauch von Mailadressen - ich habe nichts damit zu tun! Und wenn ich den Depp kriege reiss ich ihm den Arsch auf (vielleicht war er ja so blöd und hat Spuren in meinen Logdateien hinterlassen).
Derweil ist schon mal die Löschung der Seite beantragt. Momentan analysiere ich den Javascriptcode. Die Ergebnisse wohl demnächst hier.

Also jetzt die Ergebnisse:

Zunächst mal zu den Logdaten - war wohl ein normaler Robot, der das Web nach Mailadressen absucht, also keine Chance.

Hier der Javascriptcode als txt

Die Seite war bei einem spanischen Provider gehostet. D.h. eigentlich nur die Umleitung, denn schaut man sich den Quelltext an sieht man folgendes:

Javascript entschlüsselt

Also zunächst mal nix gefährliches. Alle 8 Sekunden lädt die Seite ein php-Script nach, welches wohl Dialersoftware auf dem Userrechner installieren will. Mit dem IE hat man wenig Chancen das alles zu sehen (deaktivierte Klickereignisse), aber da gibt's ja noch den NS.

Dem spanischen Provider (der im Übrigen scheinbar keine internationale Version seiner Seiten wie z.B. englisch anbietet) fällt es somit schwerer durch Scannen seiner Inhalte solche Seiten bzw. Bilder zu entdecken (weil sie ja auch nicht auf seinem Server liegen). Mittlerweile ist der spanische Provider aber immerhin schneller geworden, was das Abschalten solcher Seiten anbelangt.

Wir sehen hier, dass der eigentliche Host vins283.dreamhost.com ist.

Eine whois-Abfrage liefert:

whois

Später war auch unter Heise (ct) folgendes zu lesen:

Die Rückkehr der Geschlechtsnocken

Da ich nicht weis wie lange so was archiviert bleibt - hier eine kurze Zusammenfassung:

  • Spam-Welle im November

  • Unbekannter versendet tausende Porno-Spam-E-Mails

  • von einem automatischen Dolmetscher übersetzt

  • unter falschen Absender-Adressen versandt

  • Spammer benutzt unter anderem GMX- und Firemail-Adressen

  • WWW-Seiten beim spanischen Freespace-Provider terra.es

  • mit HTML-fähigen Mailer, der auch JavaScript ausführt, öffnet sich automatisch ein Browser-Fenster mit
    einschlägigen Beispielseiten

  • zweites Fenster mit einem Datei-Download

  • benutzt Dialer eines Sex-Dienstes, der 55 Mark pro Anruf berechnet

heise stand in Kontakt mit dem italienischen Unternehmen, das die Dialer in Europa vermarktet. Sie wollten die Telefonnummer sperren lassen und den hier schuldigen ausmachen. (Heisa - echt Clever :-) so kriegt man ihn/sie)
Wie das ausgegangen ist, weis ich (noch) nicht. 

Ein guter Artikel zum Thema Spam:

http://www.xwolf.de/artikel/spam.shtml