Wir haben letztens an eine Kontaktadresse unserer Webpräsenzen folgende Mail in HTTP-Format bekommen:
Offensichtlich ist das per Script aus der eMail-Adresse generiert, denn im normalen Geschäftsablauf schreiben wir uns "Cocker-Academy", und wir werden üblicherweise auch so angeschrieben. Es versteht sich von selber, daß wir die obige Domain nicht besitzen (und von smartwhois auch als unbekannnt abgewiesen wird); das wird wohl auch nach der Art w*w.emailaddy-online.com gebildet. Unter diesem HREF wird tatsächlich auf h**p://chichic.tripod.com.ar/mmm.htm%3Fsid%3D121A02180C43030F000C500A0C24125D0C4F03040841455109455C5E4C05565F1944075D42534A0157 verlinkt, und wget brachte dort ein arg unleserliches Javascript zutage. An dem Punkt habe ich die Analyse gestoppt; ich vermute wohl, das im weiteren Verlauf ein Dialer installiert werden soll. Abschließend habe ich noch ein smartwhois auf die Absender-IP losgelassen, der dann bei einer obskuren Firma in Bogota endete.
Ist das mal wieder eine neue Masche?
Code:
Betreff: Ist das von dir?
Von: "Michael M" <[email protected]>
An: "Cockeracademy l" <cockeracademy@[unserprovider].de>
hey Cockeracademy,
sagmal ist die homepage hier von dir?
h**p://www.Cockeracademy-online.com [als A HREF in der eMail]
kam mir etwas komisch vor - ist aber sehr lustig :o))
gruss,
Micha
Offensichtlich ist das per Script aus der eMail-Adresse generiert, denn im normalen Geschäftsablauf schreiben wir uns "Cocker-Academy", und wir werden üblicherweise auch so angeschrieben. Es versteht sich von selber, daß wir die obige Domain nicht besitzen (und von smartwhois auch als unbekannnt abgewiesen wird); das wird wohl auch nach der Art w*w.emailaddy-online.com gebildet. Unter diesem HREF wird tatsächlich auf h**p://chichic.tripod.com.ar/mmm.htm%3Fsid%3D121A02180C43030F000C500A0C24125D0C4F03040841455109455C5E4C05565F1944075D42534A0157 verlinkt, und wget brachte dort ein arg unleserliches Javascript zutage. An dem Punkt habe ich die Analyse gestoppt; ich vermute wohl, das im weiteren Verlauf ein Dialer installiert werden soll. Abschließend habe ich noch ein smartwhois auf die Absender-IP losgelassen, der dann bei einer obskuren Firma in Bogota endete.
Ist das mal wieder eine neue Masche?