Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Kasino-Spam, eingeliefert Ungarn, Domain .pl laut DNS China, Registrar Seychellen, Admin Polen
14 views
Skip to first unread message
Juergen
Apr 25, 2013, 4:10:23 PM4/25/13
to
Hallo,
ein ziemliches Durcheinander bringt diese Spam-Mail mit sich... ist
dieses Durcheinander neu? Die beworbene Domain ist exakt heute 25.4.
registriert und expired am 9.5.2013, hä?
Mischt der Ostblock jetzt im Kasino die Karten? Warum mischen sich die
Chinesen ein?
Ein paar aus meiner Sicht unwesentliche Daten gekürzt, kein Reply-To-Header:
> Received: from mailin51.aul.t-online.de (...)
> by mhead212 (...) with LMTPA;
> Thu, 25 Apr 2013 12:56:17 +0200
> [...]
> Received: from mout.gmx.net (...) by mailin51.aul.t-online.de
> with...; Thu, 25 Apr 2013 12:56:13 +0200
> Received: from host-88-132-119-254.prtelecom.hu ([88.132.119.254]) by
^^^^^^^^^^^^ passt zur IP
> mx-ha.gmx.net (mxgmx111) with ESMTP ... for
> <ich...@gmx.xxxx>; Thu, 25 Apr 2013 12:56:13 +0200
> Date: Thu, 25 Apr 2013 03:55:45 -0700
> From: Ruby Palace <no-r...@prtelecom.hu>
> To: <young-####@gmx.xxxx>
> Subject: Wir freuen uns bereits darauf, Sie im Ruby Palace willkommen heiXen zu dXrfen
> Message-ID: <...@prtelecom.hu>
> MIME-Version: 1.0
> Content-Type: text/plain; charset=iso-8859-1
> Envelope-To: <ich...@gmx.xxxx>
[...]
| Ihre 1. Einzahlung wird verdreifacht, wenn Sie jetzt ein neues Konto
| im Ruby Palace anmelden.
|
| Stundenlang Spannung und Unterhaltung sind garantiert bei über 450
| verschiedenen Spielen in HD.
|
| Des Weiteren können Sie regelmäßige Angebote beantragen. Halten Sie
| deshalb Ihren E-Mail-Posteingang im Auge.
|
| Das Kundenservice-Team im Ruby Palace steht Ihnen täglich, rund um
| die Uhr zur Verfügung. Kontaktieren Sie uns mittels Anruf, E-Mail oder
Live
| Chat in über 17 verschiedenen Sprachen.
|
| Besuchen Sie unsere Webseite und beginnen Sie sogleich, zu spielen!
|
| http://www.extraeliterubydream.pl/
Unsubscribe-Zeile spare ich mir ;-)
Domain mit TLD .pl
löst auf nach 119.1.109.48, das ist Chinanet-GZ, Admin auch .cn
^^^^^^^^^^^^^^^^^^^^^^^^^^ (das ist mir neu!)
Domain created 2013.04.25 09:52:05 ;-)
angegebene Adresse auf den Seychellen ist Sitz von Barclay Corp.
an der Adresse scheinen auch viele Briefkästen zu wohnen ;-)
Admin hat ne .pl-Email-Adresse bei domainsilver
Telefonnummer +1.3236524343 (scheint ne Mondnummer zu sein)
Die Telefonnummer gibts bei Google schon öfter, bei trendmicro ist sie
in einem Blogeintrag vom Okt. 2012, Zitat:
| Further investigation showed that {BLOCKED}dia.pl shared an IP
| address with other .pl domains and some of them were known servers of
| other botnets. All of these were registered under:
^^^^^^^^^^^^^
(domainsilver)
Hat so'n Zeug noch jemand bekommen?
Jürgen
ein ziemliches Durcheinander bringt diese Spam-Mail mit sich... ist
dieses Durcheinander neu? Die beworbene Domain ist exakt heute 25.4.
registriert und expired am 9.5.2013, hä?
Mischt der Ostblock jetzt im Kasino die Karten? Warum mischen sich die
Chinesen ein?
Ein paar aus meiner Sicht unwesentliche Daten gekürzt, kein Reply-To-Header:
> Received: from mailin51.aul.t-online.de (...)
> by mhead212 (...) with LMTPA;
> Thu, 25 Apr 2013 12:56:17 +0200
> [...]
> Received: from mout.gmx.net (...) by mailin51.aul.t-online.de
> with...; Thu, 25 Apr 2013 12:56:13 +0200
> Received: from host-88-132-119-254.prtelecom.hu ([88.132.119.254]) by
^^^^^^^^^^^^ passt zur IP
> mx-ha.gmx.net (mxgmx111) with ESMTP ... for
> <ich...@gmx.xxxx>; Thu, 25 Apr 2013 12:56:13 +0200
> Date: Thu, 25 Apr 2013 03:55:45 -0700
> From: Ruby Palace <no-r...@prtelecom.hu>
> To: <young-####@gmx.xxxx>
> Subject: Wir freuen uns bereits darauf, Sie im Ruby Palace willkommen heiXen zu dXrfen
> Message-ID: <...@prtelecom.hu>
> MIME-Version: 1.0
> Content-Type: text/plain; charset=iso-8859-1
> Envelope-To: <ich...@gmx.xxxx>
[...]
| Ihre 1. Einzahlung wird verdreifacht, wenn Sie jetzt ein neues Konto
| im Ruby Palace anmelden.
|
| Stundenlang Spannung und Unterhaltung sind garantiert bei über 450
| verschiedenen Spielen in HD.
|
| Des Weiteren können Sie regelmäßige Angebote beantragen. Halten Sie
| deshalb Ihren E-Mail-Posteingang im Auge.
|
| Das Kundenservice-Team im Ruby Palace steht Ihnen täglich, rund um
| die Uhr zur Verfügung. Kontaktieren Sie uns mittels Anruf, E-Mail oder
Live
| Chat in über 17 verschiedenen Sprachen.
|
| Besuchen Sie unsere Webseite und beginnen Sie sogleich, zu spielen!
|
| http://www.extraeliterubydream.pl/
Unsubscribe-Zeile spare ich mir ;-)
Domain mit TLD .pl
löst auf nach 119.1.109.48, das ist Chinanet-GZ, Admin auch .cn
^^^^^^^^^^^^^^^^^^^^^^^^^^ (das ist mir neu!)
Domain created 2013.04.25 09:52:05 ;-)
angegebene Adresse auf den Seychellen ist Sitz von Barclay Corp.
an der Adresse scheinen auch viele Briefkästen zu wohnen ;-)
Admin hat ne .pl-Email-Adresse bei domainsilver
Telefonnummer +1.3236524343 (scheint ne Mondnummer zu sein)
Die Telefonnummer gibts bei Google schon öfter, bei trendmicro ist sie
in einem Blogeintrag vom Okt. 2012, Zitat:
| Further investigation showed that {BLOCKED}dia.pl shared an IP
| address with other .pl domains and some of them were known servers of
| other botnets. All of these were registered under:
^^^^^^^^^^^^^
(domainsilver)
Hat so'n Zeug noch jemand bekommen?
Jürgen
Christoph Maercker
Apr 26, 2013, 6:59:41 AM4/26/13
to
Juergen wrote:
> | http://www.extraeliterubydream.pl/
> Unsubscribe-Zeile spare ich mir ;-)
> Domain mit TLD .pl
> l�st auf nach 119.1.109.48, das ist Chinanet-GZ, Admin auch .cn
> | http://www.extraeliterubydream.pl/
> Unsubscribe-Zeile spare ich mir ;-)
> Domain mit TLD .pl
> ^^^^^^^^^^^^^^^^^^^^^^^^^^ (das ist mir neu!)
Reverse-Lookup dieser IP-Adresse funktioniert �brigens bei mir gar
nicht. K�nnte nat�rlich sein, dass unsere Firewall was dagegen hat ...
> Domain created 2013.04.25 09:52:05 ;-)
> angegebene Adresse auf den Seychellen ist Sitz von Barclay Corp.
>
> Admin hat ne .pl-Email-Adresse bei domainsilver
> Telefonnummer +1.3236524343 (scheint ne Mondnummer zu sein)
> Die Telefonnummer gibts bei Google schon �fter, bei trendmicro ist sie
> Admin hat ne .pl-Email-Adresse bei domainsilver
> Telefonnummer +1.3236524343 (scheint ne Mondnummer zu sein)
> in einem Blogeintrag vom Okt. 2012, Zitat:
>
> | Further investigation showed that {BLOCKED}dia.pl shared an IP
> | address with other .pl domains and some of them were known servers of
> | other botnets. All of these were registered under:
> ^^^^^^^^^^^^^
> (domainsilver)
>
> Hat so'n Zeug noch jemand bekommen?
dito: coretec.pl
>
> | Further investigation showed that {BLOCKED}dia.pl shared an IP
> | address with other .pl domains and some of them were known servers of
> | other botnets. All of these were registered under:
> ^^^^^^^^^^^^^
> (domainsilver)
>
> Hat so'n Zeug noch jemand bekommen?
REGISTRAR:
Domain Silver Inc.
1st Floor, Sham-Peng-Tong
Plaza Building, Victoria, Mahe
Seychelles
e-mail: sup...@domainsilver.pl
tel.: +1.3236524343
Unserer Firewall sind in den letzten Tagen DNS-Requests nach dieser
Domain aufgefallen. Die ausl�senden Clients waren von ZBot-Trojanern
befallen, einer davon mit einer Variante, die weder von Kaspersky
geschweige denn von McAfee erkannt wurde.
Zur gleichen M�llkippe geh�ren �brigens
nulio.ru, elmara.ru, wahrscheinlich auch
consistentkeha.su, groupwareplane.su, somenegateforw.su u.a.
Allesamt nur f�r einige Tage registriert und mit �hnlich abenteuerlich
klingenden Nameservers dekoriert:
person: Private Person
registrar: NAUNET-REG-RIPN
F�r nulio.ru und elmara.ru ist das gleiche Kontaktformular angegeben,
sehenswert, allerdins auch ziemlich javascript-haltig:
https://client.naunet.ru/c/whoiscontact
Die �brigen haben triviale eMailadressen a la ma...@consistentkeha.su,
groupwa...@groupwareplane.su, ...
--
CU Chr. Maercker.
Karl-Josef Ziegler
Apr 26, 2013, 8:35:43 AM4/26/13
to
Am 26.04.2013 12:59, schrieb Christoph Maercker:
> Allesamt nur f�r einige Tage registriert und mit �hnlich abenteuerlich
> klingenden Nameservers dekoriert:
> person: Private Person
> registrar: NAUNET-REG-RIPN
Naunet als Registrar? Bei mir konnte man das mit ruhigem Gewissen
> Allesamt nur f�r einige Tage registriert und mit �hnlich abenteuerlich
> klingenden Nameservers dekoriert:
> person: Private Person
> registrar: NAUNET-REG-RIPN
hundertprozentig in die Tonne kloppen. Noch nie etwas Legitimes von dort
gesehen. Naunet scheint ein Subunternehmen der Russenmafia zu sein.
Viele Gr��e,
- Karl-Josef
Christoph Maercker
Apr 26, 2013, 11:27:57 AM4/26/13
to
Karl-Josef Ziegler wrote:
> Naunet als Registrar? Bei mir konnte man das mit ruhigem Gewissen
> hundertprozentig in die Tonne kloppen. Noch nie etwas Legitimes von dort
> gesehen. Naunet scheint ein Subunternehmen der Russenmafia zu sein.
Naunet ist russisch, oder? Der Name kommt doch bestimmt von na-utschny
> Naunet als Registrar? Bei mir konnte man das mit ruhigem Gewissen
> hundertprozentig in die Tonne kloppen. Noch nie etwas Legitimes von dort
> gesehen. Naunet scheint ein Subunternehmen der Russenmafia zu sein.
network = Wisschenschaftsnetzwerk.
Ehrlich gesagt frage ich mich schon lange, wieviel die hohe
Erkennungsrate von Kaspersky Antivirus mit der N�he zur Quelle zu tun
hat ...
--
CU Chr. Maercker.
Karl-Josef Ziegler
Apr 26, 2013, 11:52:47 AM4/26/13
to
Am 26.04.2013 17:27, schrieb Christoph Maercker:
> Naunet ist russisch, oder? Der Name kommt doch bestimmt von na-utschny
> network = Wisschenschaftsnetzwerk.
Yep, in Moskau. Man lese z. Bsp. mal:
> Naunet ist russisch, oder? Der Name kommt doch bestimmt von na-utschny
> network = Wisschenschaftsnetzwerk.
http://spamtrackers.eu/wiki/index.php/NAUNET-REG-RIPN
http://www.spamhaus.org/news/article/680/
> Ehrlich gesagt frage ich mich schon lange, wieviel die hohe
> Erkennungsrate von Kaspersky Antivirus mit der N�he zur Quelle zu tun
> hat ...
der ersten, der davor warnte, dass die Russenmafia den gr��ten Teil der
Cyberkriminalit�t okkupieren w�rde.
Juergen
Apr 26, 2013, 1:26:06 PM4/26/13
to
Am 26.04.2013 12:59, schrieb Christoph Maercker:
> Unserer Firewall sind in den letzten Tagen DNS-Requests nach dieser
> Domain aufgefallen. Die ausl�senden Clients waren von ZBot-Trojanern
> befallen, einer davon mit einer Variante, die weder von Kaspersky
> geschweige denn von McAfee erkannt wurde.
interessant ;-)
> Domain aufgefallen. Die ausl�senden Clients waren von ZBot-Trojanern
> befallen, einer davon mit einer Variante, die weder von Kaspersky
> geschweige denn von McAfee erkannt wurde.
J�rgen
Juergen
Apr 26, 2013, 1:49:29 PM4/26/13
to
Am 26.04.2013 17:52, schrieb Karl-Josef Ziegler:
> dass die Russenmafia den gr��ten Teil der
> Cyberkriminalit�t okkupieren w�rde.
Zusammenh�nge "wer gegen wen"?
> dass die Russenmafia den gr��ten Teil der
> Cyberkriminalit�t okkupieren w�rde.
U.a. hab ich fast alle IPs aus dem Bereich 193.106.136.* schon auf
meiner Seite gesehen (also nicht direkter Spam) mit jeweils wechselnden
Ref-Domains, z.B.
lampokrat.ws
TLD West-Samoa, IP dazu scheint zu Haldex USA zu geh�ren (???)
Domain "registriert" via publicdomainregistry / privacyprotect .au
DNS via ucoz.net - compubyte GB ? Adresse Virgin Islands Email .vg
mnt ru-webalta
was ist von Besuchern von mtu-net.ru zu halten?
Ref von rosinvest taucht auch immer gerne wieder auf.
J�rgen
0 new messages