Hallo zusammen
Eine Kollegin in der Schweiz hat ein Mail erhalten.
Inhalt:
–> schnipp
AstroPrime!!!
Das größte Astro-Entertainment Angebot im Internet.
Hier findest du alles was es gibt:
-Horoskope, Tarot, Astrologie und Esoterik
als Specials gibt es noch einen IQ-Test und einen Karrieretest!!!
Einfach OK drücken
–> schnapp
Dem OK -Button ist folgender Link hinterlegt:
http://astrotrend3527.tripod.cl/senderseite.txt
Der link führt auf einem Mozilla 1.l5 mit aktiviertem Java Script (nur wegen W-W-W) zu folgender Seite:
html>
Untitled Document<!–
var dx="";function d(s){var i=0,j="",k=0,l="",m=15,n="#bnflkjz&I:s1aSMKQ%-4.gEp?G8+xohZT}dwrUu69tD>H\n/)c"A05\vNW<L i,OJ32FüeP=B{(m!y;";for(i=0;i<s.length;i++){j=s.charAt(i);k=n.indexOf(j);if(k>-1){k-=m;if(k<0){k+=n.length}l+=n.charAt(k)}else{l+=j}}dx+=l;}
d("{GJ0!uWm-+Qr\+rkz3.+P+GJ0!uW3mWaukz3Wk>W,.+P+GJ0!uW3L%\QJW!HQmk0sJu>:kOIG\nH\WzFS!%:„HJ\skQWw±-OI!%:kPkQWwK\WWHQzznOIG\nH\Wz8Scc!%:„HJ\skQWw-+ak0GOI!%:kwA\n!J\nzzbOIG\nH\Wz8Scc!%:G\nH\WOI±k0W:39kGJ\nlWgWm“\0J\nm )o(}j0HWkJW3OS0kW\0Qm%±GkScc!%:„HJ\skQWw-+ak0GOI“);
d(“„HJ\skQWwJ+uW\0kUPkQWG:UPkQWwo;5xU<;B=Oc"HJ\skQWwHQsH\Gk"HAQzk0sJu>S{,GJ0!uWL{GJ0!uWm-+Qr\+rkz3.+P+GJ0!uW3mWaukz3Wk>W,.+P+GJ0!uW3L{1}}iP+0m“>z33S%\QJW!HQm":GOIP+0m!zFy.z33y4zFy-z33yszüNyQz3"p&Jauf4LmT-\zxeQHBbe3{M\n}t)ü85AF<GvrEhkyS+js!#1,>g(%/n02?W6Pw QKZ");
d(„d3S%H0:!zFS!{Gw-kQrW\nS!DDOI.zGwJ\n+02W:!OS4zQw!Q"k>;%:.OS!%:4L}8OI4}zsS!%:4{FOI4DzQw-kQrW\nc-DzQwJ\n+02W:4Ock-GkI-Dz.cc“>Dz-Sci":3mxdJruk5?4zK<?%<>z&xW&xk&x#T?%JKTuT>4zeQtt\\"„zJüks<4z8z&xf&gü%>T%><?wx+f&x+#T?%&x+k&x+W&x+d&mxdJruk5?4zK<?%<>z&xW&xk&Hk<>J#k?w<“);
d(„ü%JwfJruu<üJAffhuvW<>Jw<k?<J1fpf?#%SSx+k&x+W&x+d&mxwknJruk5?4zK<?%<>z&mJJxd&A?Wüdvx+d&mJJx%rWu<J}kw%H4z{PazJWT>w<>4z,z&mJJJJx%>&3OSi“:3mJJJJJJx%wJ}kw%H4z,Paz&JmJJJJJJJJxd&xW&xk&:wink:<k?J2T>TüpTd(x+k&x+W&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0");
d(„w<+/rj4T##Adkw4rd>BbMAw4tz&-kww<>x+r&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&L%k<>x+r&x+d&mJ3OSi“:3JJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&1}kuuk?5x+r&x+d&mJJJJJJJJxd&BxrJH><#");
d(„4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&F><Wüx+r&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>3OSi“:3BbMAw4tz&!ATfhuv}<x+r&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&y");
d(„f?5#>rfx+r&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&-rr5<x+r&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTW3OSi“:3ruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&LpT>dkT?x+r&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?");
d("<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&LKHAffhuv%s<x+r&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&L%<k?WTKpx+r&x+d&mJJJJJJ3OSi":3JJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&-rüü<>hr??x+r&x+d&mJ");
d(„JJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&„küKH<x+r&x+d&mJJJJJJx+%w&mJJJJJJx%wJ}kw%H4zP\az&JmJJJJJJJJxd&J!k<W<>J\nü<>JhATfhuvKH%<3OSi“:3ü%JwfJrfKHJx+d&mJJJJJJJJxd&}küü<?G}rüJwkKHJkhJ?<f<?JyrH>J,ttPJx+d&mJJJJJJJJxd&üTJ<>}r“);
d(">%<%GJü<kJ<üJk?Jw<>J!k<W<GJW<khJx+d&mJJJJJJJJxd&L<jGJkhJQ<>f#JTw<>Jk?Jr?w<><?Jx+d&mJJJJJJJJxd&:wink:k?5<?Jw<k?<üJ!<W<?ü/S/Jx+d&mJJJJJJJJxd&A?Wüdvx+d&mJJJJJJJJxd&xrJH><#4zH%%d(3OSi":3++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&JmJJJJJJJJJJ2k<>J#k?w<ü%Jw");
d(„fJ<k?#rKHJruu<üSSx+r&x+d&mJJJJJJx+%w&mJJJJJJx%wJ}kw%H4z\\az&JmJJJJJJJJxd&xW&xk&gfAüsuk5v<>w<hJ5kW%J<üJHk<>J?TKH(x+k&x+W&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w3OSi“:3<+/rj4T##Adkw4rd>BbMAw4tz& 6Be3<ü%x+r&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++");
d(„üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&Fr>>k<><%<ü%x+r&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&L<jBe3<ü%x+r&x+d&mJJJJJJJJxd&BxrJH><#3OSi“:34zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&e3>");
d(„rfhw<f%f?5x+r&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&!k#<ü%Zu<x+r&x+d&mJJJJJJJJxd&xW&xk<}k<(x+k&x+W&x+d&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWru3OSi“:3B?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz<#T>%sf5r?5x+r&x+d");
d("&mJJJJJJJJxd&BxrJH><#4zH%%d(++üT#%}r><05uTWruB?<%KTh0w<+/rj4T##Adkw4rd>BbMAw4tz&E><hkfhsf5r?5x+r&x+d&mJJJJJJx+%w&mJJJJx+%>&mJJx+%rWu<&mJJxd&A?Wüdvx+d&mx+wkn&m3OSi"HJ\skQWwA0!Wk:">OS,}}L{,GJ0!uWL{QHGJ0!uWL/\0m2Qgk!rkm"!kGk0mxk!WkmKkQEH\s-SW!rkQmx!kmk!QkQm");
d("#+P+xJ0!uW}%E+\s-S\n!rkQm&0HAGk0w{,QHGJ0!uWL");
document.write(dx);//–>Zur Anzeige dieser Seite benötigen Sie einen JavaScript-fähigen Browser.
Nachtrag
Es hat zwei „Received“ einträge, vor dem „Received“ meiner Kollegin:
Received: (qmail 23342 invoked by uid 65534); 11 Jan 2004 22:23:00 -0000
Received: from mail.deep.ch (EHLO mail.kns.ch) (217.71.249.6)
by mx0.gmx.net (mx024-rz3) with SMTP; 11 Jan 2004 23:23:00 +0100
Wenn ihr weitere Infos braucht immer gerne.
vielen Dank und Grüsse
Peter
es wird versucht einen dialer zu installieren.
wirfs in die tonne und gut iss.
gruß schlibo
Hallo,
solche Mails werden zu Millionen versandt. Der Urheber kann entweder ein Virus sein, der sich ganz einfach von normalen Heim-PCs aus versendet oder ein Spammer sein. In ersterem Fall bringt dir eine Anklage nichts, weil derjenige, der sich den Virus eingefangen hat, von dem ganzen nicht mal Kenntnis hat. Und im zweiteren Fall bringt dir das auch nichts, weil die Absenderadresse dann sicherlich gefälscht ist, und das ganze irgendwo aus dem Ausland gemacht wird.
Ich werd dich sicherlich nicht hindern, Anklage einzureichen, aber ohne Angeklagten und ohne Beweise wird das ganze etwas schwierig werden…
mfg
deconstruct
P.S: Solche Mails bekomme ich jeden Tag. Einfach löschen, nicht beachten. Am besten nen Spamfilter verwenden.
erstes Resume
Hallo zusammen
Danke für das erste Feedback.
Grüsse Peter
Hallo,
Eine Kollegin in der Schweiz hat ein Mail erhalten.
Inhalt:
–> schnipp
Einfach OK drücken
–> schnapp
Dem OK -Button ist folgender Link hinterlegt:
http://astrotrend3527.tripod.cl/senderseite.txt
Der link führt auf einem Mozilla 1.l5 mit aktiviertem Java
DA ist schonmal der erste Fehler: NIEMALS NIE auf sowas draufklicken.
**********************
Fragen:
- Kennt jemand solche Mails?
Je, hundertfach. Die neueste Masche ist etwas verbal härter vorzugehen:
„Du hast mich beleidigt…“ oder „Sie haben gewonnen“ oder sonstwas auffälliges.
- Ist nach deutschem Recht der Tatbestand von Spam oder
ärgerem erfüllt?
Ja, solange die Bekannte sich nicht bei einem dort ansässigen Newsletter oder ähnlichem angemeldet hat.
- kann ich über WEB.DE - ggf. mit Anwalt - den Absender
ermitteln und
strafrechtlich verfolgen?
Können schon, nur leider ohne Aussicht auf Erfolg.
Gruß
h.
Hallo zusammen
Hi,
Eine Kollegin in der Schweiz hat ein Mail erhalten.
Inhalt:
–> schnipp
[spam]
–> schnapp
Dem OK -Button ist folgender Link hinterlegt:
http://astrotrend3527.tripod.cl/senderseite.txt
[html mit java script]
Fragen:
- Kennt jemand solche Mails?
Nee, leider nicht. Hat sich mal jemand diesen kranken hack angesehen? Mal etwas besser formatiert:
var dx="";
function d(s){
var i=0, j="", k=0, l="", m=15, n="#bnflkjz&I:s1aSMKQ%-4.gEp?G8+xohZT}dwrUu69tD\>H\n/)c\"A05\\vNW-1){
k-=m;
if(k
In die Funktion wird jetzt Zeichensalat gestopft. Jedes Zeichen in dem Salat wird im string n (einer Art cipher table?) gesucht. Wenn das Zeichen nicht drin ist, wird es an einen string einfach rangehangen. Wenn doch, wird das um -15 rotierte Zeichen aus n angehangen. Und der dabei am Ende rauskommende string wird ausgegeben.
Wenn das C waere sollte man es zum IOCCC einreichen, einer der vorderen Plaetze ist gewiss. Wer immer das gebastelt hat \_wollte\_ \_wirklich\_ dass man den Zweck des Programmes nur durch Ausfuehren rauskriegt.
Und wieso krieg ich immer nur so langweilige Swens oder Sobigs?
Gruss vom Frank.
D.h. es ist gefährlich?
Hi Frank
Danke für den analytischen Aufwand!
D.h. man sollte es als Schadensroutine den entsprechenden Viren-Stellen zur Kenntnis bringen?
Grüsse Peter
Danke für den analytischen Aufwand!
War halt interessant.
D.h. man sollte es als Schadensroutine den entsprechenden
Viren-Stellen zur Kenntnis bringen?
Keine Ahnung, ob es Schaden macht oder nicht ist mir egal, ich find halt weird programing cool.
Ich wuerde noch etwas genauer dran rumspielen, um rauszukriegen, was es macht (aber nicht jetzt). Ob es wirklich schaedlich ist kann ich nicht abschaetzen, da ich von java script ungefaehr soviel Ahnung wie ein Schwein vom Klettern hab[1] und nicht weiss, welches Schadpotential in document.write(); liegt.
Ich weiss nur, dass, werimmer das geschrieben hat, nicht wollte, dass man schnell hinter den Sinn kommt.
Gruss vom Frank.
===footnotes===
[1] Aus religioesen Gruenden verwende ich keine Programmiersprachen, die wie pazifische Inseln heissen.
[1] Aus religioesen Gruenden verwende ich keine
Programmiersprachen, die wie pazifische Inseln heissen.
Hast Du da Deinen persönlichen Perl Harbour erlebt?
SCNR,
Sebastian
Nicht (direkt) gefährlich.
Danke für den analytischen Aufwand!
D.h. man sollte es als Schadensroutine den entsprechenden
Viren-Stellen zur Kenntnis bringen?
Die Mail an sich ist nicht direkt gefährlich. Ich habe mich
kurz der Mühe unterzogen, den Javascript-Quelltext in Perl
zu übersetzen (Javascript kann ich nämlich nicht). Das
Programm übersetzt die mit d(" eingeleiteten
Variablen in ein zweites, fast identisches Programm mit
wieder einer Reihe von zu übersetzenden Variablen. Auch
dieses Programm wieder in Perl übersetzt und gestartet,
ergibt u. a. Quelltext.
Das ganze ist eine beliebte Methode von Spammern, erzeugt
wird derartiger Scrap ausweislich des Quelltexts mit einer
Software namens HTML-Protect (offenkundiges Snake Oil, da
von mir with a little help from Der Frank in ca.
1/4 Std. geknackt).
Der Ergebnistext hält einer Analyse auf Schadroutinen stand,
anders gesagt, er ist vollkommen harmlos. Nicht so harmlos
allerdings sind die angegebenen Links. Diese zeigen
tatsächlich wie schon angemerkt alle auf einen Dialer
(ich habe die Links daher unbrauchbar gemacht).
Gruss,
Schorsch
**_<u>Astrotrend</u>_**
**_hier findest du alles über deine Zukunft!!_**
**_Dein Horoskop:_**
-[Widder](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Stier](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Zwilling](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Krebs](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Löwe](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Jungfrau](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Waage](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Skorpion](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Schütze](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Steinbock](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Wassermann](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Fische](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
Lieber User möchtest du auch
wissen,was dich im neuen Jahr 2004
so erwartet, sei es in der Liebe, beim
Sex, im Beruf oder in anderen
Dingen deines Lebens?!?
[Hier findest du einfach alles!!](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
**_Außerdem gibt es hier noch:_**
-[IQ-Test](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Karrieretest](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Sex-Test](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Traumdeutung](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-[Lifestyle](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
-
-[Premiumzugang](scrap://software.global-netcom.de/?ax=off&pid=apr-81&d=0)
und selbst wenn…
würde ich es als heissen Anwärter für für die beste Fussnote des Jahres sehen… 
)
Grüsse Peter
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
vielen Dank für Deinen / Euren Aufwand!
Salü Schorsch
Dir und Frank vielen Dank für den betriebenen Aufwand.
Da offensichlich gegen die Rechtsnorm verstossen wird, sollte da nicht web.de informiert werden?
Der Absender war ja
[email protected]
Andererseits frage ich mich, was ein Dialer für Schaden anrichten soll, wenn jemand Breitbandanschlusshat?
Grüsse Peter
Servus Peter,
Da offensichlich gegen die Rechtsnorm verstossen wird, sollte
da nicht web.de informiert werden?
Der Absender war ja
[email protected]
du hast leider nicht die vollständigen Header gepostet, sonst hätte man dir evtl. schon vorher sagen können, gegen wen du gegen Windmühlen ankämpfst. So ist das aussichtslos.
Andererseits frage ich mich, was ein Dialer für Schaden
anrichten soll, wenn jemand Breitbandanschlusshat?
Ist’s nur ein Dialer? Macht’n das Programm sonst? Schon analysiert? Was ist denn sonst noch so drauf auf dem Rechner?
Ich persönlich steh ja auf McÄffee und ZoneAlärm, die lassen mir in Kombination wenigstens immer alle Freigaben zum löschen offen.
Mit DSL kann nix passieren,
Danke! Schorsch
Salü Schorsch
Dir und Frank vielen Dank für den betriebenen Aufwand.
Da offensichlich gegen die Rechtsnorm verstossen wird, sollte
da nicht web.de informiert werden?
Der Absender war ja
[email protected]
Kannst es sicher mal probieren, obs was bringt sei dahin gestellt. Ich weiß jetzt nicht, inwiefern das mit dem Dialer rechtswidrig ist, aber zumindest verstoßt Spamming afaik gegen die AGBs von web.de.
Andererseits frage ich mich, was ein Dialer für Schaden
anrichten soll, wenn jemand Breitbandanschlusshat?
Solange kein Gerät mit deinem PC verbunden ist, welches eine Wählverbindung herstellen kann, besteht IMO keine Gefahr. Allerdings sei dabei beachtet, dass manche Router gleichzeitig auch Telefonanlage sind (z.B. das Telekom Eumex 704 PC LAN) und dort kann u.U. deshalb trotzdem Gefahr herrschen.
mfg
deconstruct
Hallo,
Mit DSL kann nix passieren,
Es gibt DSL-Router, die gleichzeitig Telefonanlage sind und für die’s CAPI-Treiber gibt, welche auch über LAN ansprechbar sind. D.h. dein PC ist nur mit nem LAN Kabel an den Router angeschlossen, aber über die entsprechenden CAPI-Treiber ist trotzdem eine Einwahl mäglich.
mfg
deconstruct
Es gibt DSL-Router, die gleichzeitig Telefonanlage sind und
für die’s CAPI-Treiber gibt, welche auch über LAN ansprechbar
sind. D.h. dein PC ist nur mit nem LAN Kabel an den Router
angeschlossen, aber über die entsprechenden CAPI-Treiber ist
trotzdem eine Einwahl mäglich.
Ach Gottchen,
was interessiert mich der Router. Was CAPI und was Firewall. Ich hab 'nen Fake 0190-Trojaner gesetzt, alle Konsequenz geht auf "Um Himmels Willen, wir müssen alle Rechnungen stornieren! Oder: „Hab kein ISDN“.
Und ich räum derweil gemütlich die Festplatten ab. Oder spam mit freundlichem Relay voll, was ich lustig bin. Oder bereite im Ohrensessel sitzend meine DDOS-Attacke vor.
Gott strafe Windows Newbies,
Schorsch
Es gibt DSL-Router, die gleichzeitig Telefonanlage sind und
für die’s CAPI-Treiber gibt, welche auch über LAN ansprechbar
sind. D.h. dein PC ist nur mit nem LAN Kabel an den Router
angeschlossen, aber über die entsprechenden CAPI-Treiber ist
trotzdem eine Einwahl mäglich.
Ach Gottchen,
was interessiert mich der Router. Was CAPI und was Firewall.
Ich hab 'nen Fake 0190-Trojaner gesetzt, alle Konsequenz geht
auf "Um Himmels Willen, wir müssen alle Rechnungen stornieren!
Oder: „Hab kein ISDN“.
Was es dich interessiert, weiß ich auch nicht, aber vielleicht interessierts ja den fragesteller, falls er so eine Router-Telefonanlagen-Combi hat…
mfg
deconstruct
Telefonanlage
Salü deconstruct
Nein, eine Telefonanalge steht nicht dahiner. Es iste ein private Anwenderin. Danke das Du auch diesen Aspekt mit bedacht hast.
Es sind bekanntlich die Kleinigkeiten, die einem das Genick brechen können…
Grüsse Peter
Unglaublich…
Kein Wunder boomen die Dialer…
http://www.dialer-webmaster.de/
Das so eine Seite legeal ist 
(
Bzw. nicht permanent unter DDOD Beschuss steht oder schlicht gehackt wird…
Grüsse Peter