marketingtiger.com

1 view
Skip to first unread message

Carel

unread,
Jan 3, 2006, 5:47:53 PM1/3/06
to
Ik heb er nog niet zoveel over gezien, maar ze mailen in ieder geval
stevig door. Samples:

http://www.spamvrij.nl/lijsten/bedrijf.php?idbedrijf=1407

Het marketingtiger.com domein is door DomainsbyProxy afgeschermd.
www.marketingtiger.com is gehost in China, op 61.129.33.134. De whois
van dat IP laat al weer zien wat voor 'shady business' dit is:

inetnum: 61.129.32.0 - 61.129.33.255
netname: GREEN-POWER-BAR
descr: Green Power Bar
country: CN
admin-c: LJ526-AP
tech-c: LJ526-AP
mnt-by: MAINT-CHINANET-SH
changed: ip-a...@mail.online.sh.cn 20040413
status: ASSIGNED NON-PORTABLE
source: APNIC

Hosten in een internetcafe, goed bezig. Daar stond een frameset waarin
http://www.suchmaschinen-experten.biz/marketingtiger/ werd geopend.
Die wordt op z'n beurt weer gehost bij OMCNet in Duitsland op
212.77.232.1.
Inmiddels werkt het niet meer, Zoneedit heeft de DNS aangepast,
www.marketingtiger.com leeft nu op 0.0.0.0. De .biz pagina doet het
nog. Een wget met toegevoegd Host: header naar 61.129.33.134 geeft
alleen nog maar een pagina met wat onbegrijpbare Chinese zooi.

Overigens heb ik nog geen idee welk bedrijf hier achter zit. De
Nederlandse pagina heeft erg slecht taalgebruik. Er is ook een Duitse
variant, te vinden op http://www.suchmaschinen-experten.biz/.
Waarschijnlijk wees www.suchmaschinenreport.com (ook gehost op
61.129.33.134, ook voorzien van een verbeterd A-record) daar naartoe.
In het recente verleden is er ook nog in het Duits gespammed voor
900suchmachinen.com, zie ook

http://groups.google.nl/groups?q=900suchmaschinen.com

www.900suchmaschinen.com (momenteel op 222.77.186.35) doet het nog
wel, die redirect via eenzelfde frame naar
http://www.suchmaschinenexperten.biz/900suchmaschinen/. Dit domein
(let op het streepje) draait ook op 212.77.232.1 bij OMCNet.

Carel

Geert Booster

unread,
Jan 4, 2006, 3:22:55 AM1/4/06
to
On 2006-01-03, Carel <ca...@xs4all.nl> wrote:
> Inmiddels werkt het niet meer, Zoneedit heeft de DNS aangepast,
> www.marketingtiger.com leeft nu op 0.0.0.0. De .biz pagina doet het
> nog. Een wget met toegevoegd Host: header naar 61.129.33.134 geeft
> alleen nog maar een pagina met wat onbegrijpbare Chinese zooi.

Waarvoor dank aan mijzelf voor die tip natuurlijk ;-)

> Overigens heb ik nog geen idee welk bedrijf hier achter zit. De
> Nederlandse pagina heeft erg slecht taalgebruik.

De pagina's lijken niet door een Nederlander vertaald te zijn in ieder
geval.

Ik begreep trouwens uit betrouwbare bron dat al diverse mensen vragen
hebben gesteld aan hun huidige Zoekmachinemarketing boer over
Marketingtiger.

Groet,

Geert

Carel

unread,
Jan 4, 2006, 5:15:33 AM1/4/06
to
Geert Booster wrote:
> On 2006-01-03, Carel <ca...@xs4all.nl> wrote:
>> Inmiddels werkt het niet meer, Zoneedit heeft de DNS aangepast,
>> www.marketingtiger.com leeft nu op 0.0.0.0. De .biz pagina doet het
>> nog. Een wget met toegevoegd Host: header naar 61.129.33.134 geeft
>> alleen nog maar een pagina met wat onbegrijpbare Chinese zooi.
>
> Waarvoor dank aan mijzelf voor die tip natuurlijk ;-)

Vanzelfsprekend :)

> De pagina's lijken niet door een Nederlander vertaald te zijn in ieder
> geval.
>
> Ik begreep trouwens uit betrouwbare bron dat al diverse mensen vragen
> hebben gesteld aan hun huidige Zoekmachinemarketing boer over
> Marketingtiger.

Dezelfde partij spamt ook voor -jawel- nep-planten. Zie
www.superproducts2005.com (gehost op 222.77.186.35 waar ook
900suchmaschinen.com zit) met een frame die een pagina van
www.internetchoiceeurope.com haalt. Die laatste is ook gehost bij
OMCNet.

Carel

Geert Booster

unread,
Jan 4, 2006, 6:34:16 AM1/4/06
to
On 2006-01-04, Carel <ca...@xs4all.nl> wrote:
> Geert Booster wrote:
>> On 2006-01-03, Carel <ca...@xs4all.nl> wrote:
>>> Inmiddels werkt het niet meer, Zoneedit heeft de DNS aangepast,
>>> www.marketingtiger.com leeft nu op 0.0.0.0. De .biz pagina doet het
>>> nog. Een wget met toegevoegd Host: header naar 61.129.33.134 geeft
>>> alleen nog maar een pagina met wat onbegrijpbare Chinese zooi.
>>
>> Waarvoor dank aan mijzelf voor die tip natuurlijk ;-)
>
> Vanzelfsprekend :)

:-)

>> De pagina's lijken niet door een Nederlander vertaald te zijn in ieder
>> geval.
>>
>> Ik begreep trouwens uit betrouwbare bron dat al diverse mensen vragen
>> hebben gesteld aan hun huidige Zoekmachinemarketing boer over
>> Marketingtiger.
>
> Dezelfde partij spamt ook voor -jawel- nep-planten. Zie
> www.superproducts2005.com (gehost op 222.77.186.35 waar ook
> 900suchmaschinen.com zit) met een frame die een pagina van
> www.internetchoiceeurope.com haalt. Die laatste is ook gehost bij
> OMCNet.

Dat is interessant.

WeFindProducts Ltd. Zug, Paris, Amsterdam Oceandr. 29/33 6. Floor,
Gibraltar

Zit voor de rest op die pagina internetchoiceeurope.com *erg* veel
rotzooi, wellicht bedoeld als (slechte) SEO technologie..

En de gegevens van dat domein:

owner-contact: P-TGB81
owner-organization: Trade Town Asia Ltd.
owner-fname: Frank
owner-lname: Martens
owner-street: 6 Main Street
owner-city: Gibraltar
owner-state: Gibraltar
owner-zip: 11111
owner-country: GI
owner-phone: +34.68545895
owner-email: ma...@hostingsforyou.com

Hmm, dat is nogsteeds Gibraltar, maar wel een ander adres.

Groet,

Geert

Jeroen Wijnands

unread,
Jan 4, 2006, 7:29:13 AM1/4/06
to
Wat is de link met Nederland eigenlijk?

Carel

unread,
Jan 4, 2006, 11:28:31 AM1/4/06
to
Jeroen Wijnands wrote:
> Wat is de link met Nederland eigenlijk?

De spams zijn in het Nederlands, de website is (even afgezien van de
kwaliteit) in het Nederlands, de doelgroep is Nederlands en misschien
is er een Nederlandse partij/affiliate bij betrokken.

Carel

Message has been deleted

Ruitenheer

unread,
Jan 4, 2006, 12:53:31 PM1/4/06
to
Carel <ca...@xs4all.nl> schreef in
news:slrndrlvop...@zutkooi.joeniks.nl:

> Ik heb er nog niet zoveel over gezien, maar ze mailen in ieder geval
> stevig door. Samples:

Ze sturen me trouw iedere dag een nieuw mailtje. De eerste paar keren heb
ik nog actie ondernomen, ik denk dat ik er nu geen energie meer aan
besteed. Inmiddels een reactie van Yahoo gekregen, ze nemen "appropriate
action".

Ruitenheer

Carel

unread,
Jan 4, 2006, 2:30:01 PM1/4/06
to
Ruitenheer wrote:
>> Ik heb er nog niet zoveel over gezien, maar ze mailen in ieder geval
>> stevig door. Samples:
>
> Ze sturen me trouw iedere dag een nieuw mailtje. De eerste paar keren heb
> ik nog actie ondernomen, ik denk dat ik er nu geen energie meer aan
> besteed. Inmiddels een reactie van Yahoo gekregen, ze nemen "appropriate
> action".

Ik zag dat ze vandaag ook nog wat hebben gemaild, maar niet op
dezelfde schaal als eerder deze week. Het lijkt er dus op dat
halverwege de spamrun iemand tot de ontdekking kwam dat de gespamde
URL het niet meer deed :)

Carel

Geert Booster

unread,
Jan 4, 2006, 5:21:21 PM1/4/06
to
On 2006-01-04, Carel <ca...@xs4all.nl> wrote:
> Ik zag dat ze vandaag ook nog wat hebben gemaild, maar niet op
> dezelfde schaal als eerder deze week. Het lijkt er dus op dat
> halverwege de spamrun iemand tot de ontdekking kwam dat de gespamde
> URL het niet meer deed :)

Tja voor hoe lang is de vraag. Nieuw domein aanvragen en ergens
bulletproof hosten en ze kunnen weer flink door. Aan de hoeveelheid te
zien die ze al verstuurd hebben zullen vast nog wel wat aankunnen
(totdat de proxies dood gaan o.i.d.)

Geert

Ruitenheer

unread,
Jan 5, 2006, 12:25:06 PM1/5/06
to
Geert Booster <use...@webboost.nl> schreef in
news:slrndroij1...@roma.webboost.nl:

Maar de afname van de spam was te vroeg gejuicht. Ik kreeg er vandaag weer
2 binnen, weer met dezelfde (inmiddels dode) url.

Ruitenheer

Geert Wirken

unread,
Jan 5, 2006, 5:52:40 PM1/5/06
to
Ruitenheer schreef op 5-1-2006 18:25:

> Maar de afname van de spam was te vroeg gejuicht. Ik kreeg er vandaag weer
> 2 binnen, weer met dezelfde (inmiddels dode) url.

Sinds zaterdag heb ik elke dag wel mailtjes van ze ontvangen. Wat zou
die gekke code onderaan de berichten zijn? Lijkt een soort unique
identifier, maar wat hebben ze daar aan?

--
Met vriendelijke groeten,
Geert Wirken

Carel

unread,
Jan 5, 2006, 6:39:36 PM1/5/06
to
Geert Wirken wrote:
> Ruitenheer schreef op 5-1-2006 18:25:
>> Maar de afname van de spam was te vroeg gejuicht. Ik kreeg er vandaag weer
>> 2 binnen, weer met dezelfde (inmiddels dode) url.
>
> Sinds zaterdag heb ik elke dag wel mailtjes van ze ontvangen. Wat zou
> die gekke code onderaan de berichten zijn? Lijkt een soort unique
> identifier, maar wat hebben ze daar aan?

Het kan een unieke identifier zijn, maar bedenk dan wel dat de spammer
ze ook ergens moet loggen. Dat betekent dus al snel een (tekstbestand,
database) met miljoenen identifiers. En ik heb zo het gevoel dat deze
spammer dat niet precies na gaat lopen op niet-afgeleverde mails (de
afzenders zijn tocg nep) of op exemplaren die worden gerapporteerd.
De kans is groter dat het hashbusters zijn. Systemen als de DCC maken
eenvoudig gezegd een hash van mails die ze tegenkomen. Komt dezelfde
hash vaak langs, gaat er een alarm af: de mail is bulk. Door te zorgen
dat een (voldoende) deel van iedere mail totaal verschillend is
voorkom je dat soort alarmen.

Carel

Geert Booster

unread,
Jan 6, 2006, 2:18:29 AM1/6/06
to
On 2006-01-04, Carel <ca...@xs4all.nl> wrote:
> Ik zag dat ze vandaag ook nog wat hebben gemaild, maar niet op
> dezelfde schaal als eerder deze week. Het lijkt er dus op dat
> halverwege de spamrun iemand tot de ontdekking kwam dat de gespamde
> URL het niet meer deed :)

Kwam er vannacht hier weer minimaal 1 binnen zetten, komende vanaf
71.142.24.137 (open proxy of course)

Resolving link obfuscation
http://www.marketingtiger.com
Host www.marketingtiger.com (checking ip) = 202.109.140.212
host 202.109.140.212 (getting name) no name


URL doet 't dus weer, geeft hier echter alleen een Apache Welcome page.


Geert

Dr.Ruud

unread,
Jan 6, 2006, 8:15:05 AM1/6/06
to
Carel:

> [hashbusters] Systemen als de DCC maken


> eenvoudig gezegd een hash van mails die ze tegenkomen. Komt dezelfde
> hash vaak langs, gaat er een alarm af: de mail is bulk. Door te zorgen
> dat een (voldoende) deel van iedere mail totaal verschillend is
> voorkom je dat soort alarmen.

Inderdaad, maar het wordt ze niet te gemakkelijk gemaakt:

<http://www.rhyolite.com/anti-spam/dcc/>
"The checksums include values that are constant across common variations
in bulk messages"
"the main DCC checksums are fuzzy and ignore aspects of messages"


--
Affijn, Ruud

"Gewoon is een tijger."

Message has been deleted

Ruitenheer

unread,
Jan 7, 2006, 12:11:08 PM1/7/06
to
nom...@invalid.id (Dupo) schreef in news:1h8ss8q.1pme3f01o62zikN%
nom...@invalid.id:

> Website werkt weer op het moment. Ik krijg 2 tot 4 spams per dag binnen
> van die mongolen..

Op enige intelligentie kun je ze niet betrappen. Als je al overwoog om
zaken met ze te doen, zou je dat na de zoveelste spam over moeten zijn.

> heeft een abuse via yahoo.co.uk zin?

Mijn mailtjes naar ab...@yahoo.co.uk hadden geen zin, van ab...@yahoo.com
kreeg ik wel snel bericht

> Gebruikte adressen:
>
> ordermark...@yahoo.co.uk
> deletemark...@yahoo.co.uk
>
>
> Disclaimer::
> MarketingTiger.com
> Telephone 0044- (0) 871 6610034
> Telefax 0044- (0) 871 661 8220
> London - Paris - St. Galllen

Ik heb even een offerte voor hun eigen site aangevraagd.

Ruitenheer

Reply all
Reply to author
Forward
0 new messages