Spam: Massen-Gang-Bang mit April?

[vgwort line=“71″ server=“vg05″ openid=“fb269fde9882484f9e1838ba5699eab6″]

Gestern meinten sechs Leute mich an ihrer schlaflosen, heißen Nacht mit April teilhaben lassen zu müssen.

Hier wird für Potenzpillen geworben, was nicht weiter ungewöhnlich ist und normalerweise schreibe ich über diese E-Mails nicht, ich hätte viel zu schreiben. Allerdings haben diese Spam-Mails Gemeinsamkeiten, die ich mir heute etwas näher angeschaut habe.

Glücklicherweise haben sie ihre Drohung, dass sie mir später mehr über ihre Erfolge bei April erzählen, nicht wahr gemacht. 😉

Ich habe mir die damit gewonnene Zeit genommen, die E-Mails näher anzuschauen.

Vorher noch eine Warnung: Nicht auf den Link in den Mails klicken, über die Parameter des Aufrufs erfahren die Spammer wer ihre Mails liest. Danach kommt nur noch mehr Mist ins Postfach.

Der Schlussteil, den ich abgeschnitten habe, wechselt von E-Mails zu E-Mail. Ein alter Trick um Spam-Filter in die Irre zu führen, der aber schon lange nicht mehr funktioniert. Mit einem Score zwischen 19,0 und 29,5 sind diese E-Mails sicher jenseits aller Schwellwerte. Damit sind sie eigentlich langweilig.

Die erste Gemeinsamkeit ist die Adresse der Absender. Egal wie die Absender heißen, thomas ist in allen Fällen Bestandteil der Adresse des Absenders:

• Black Lela <thomas1b0@busymofo.com>
• Heath Constance <thomas29@dilendo.nl>
• Lopez Darcy <thomasef32@mtnbusiness.co.za>
• Marsh Tobias <thomasc064@elitis.com.tr>
• Pratt Ahmed <thomasc52@5-23-76-237.emax.is>
• Rowland Dominique <thomas20fa@telecomitalia.it>

Auffällig ist, dass es neuerdings viele Spam-Mails gibt, die eine Reply-To-Adresse dieser Form im Header verwenden. Eigentlich überflüssig, denn die Antworten dürften selten bis nie einen Empfänger erreichen.

Domain Namen

Die Domain Hostnamen in dieser Gruppe von Spam folgen dem Aufbau vorname „.“ domain „.“ ru oder eu. Dieser Aufbau ist prädestiniert für eine eigene Regel in SpamAssassin. Aber bei einem Score nicht unter 19 nicht wirklich notwendig.

Interessant ist, dass T-Online die Host-Adresse thomas.expressjusthar.ru oder expressjusthar.ruzur IP-Adresse 127.0.0.1 auflöst. Hier gibt es eine Gruppe von Spam, die immer meinen Vornamen als Hostnamen und die Top Level Domains ru und eu nutzt. Die ganze Domain besteht nur aus einem Server und jeder beliebige Hostname wird zu diesem Server aufgelöst. Die Domain wird heute nicht mehr aufgelöst. Leider habe ich mir die IP-Adresse gestern nicht gemerkt. Ärgerlich. Ich tippe, sie war 108.59.1.237, denn an die 108 am Anfang kann ich mich noch erinnern.

Domain Liste

Dieser regelmäßige Aufbau der URL hat mich veranlasst meine gesammelten Spams nach weiteren Domains zu durchforsten. So habe ich aus meinem Spam-Ordner weitere 131 Domain Namen, die dem obigen Muster folgen, extrahiert und geprüft, ob sie noch erreichbar sind. Nur fünf Domains mit zwei IP-Adressen sind noch erreichbar. Die IP 84.22.62.253 führt zur Seite Canadian Heath & Care Mall; die IP 108.59.1.237 führt zu Pharmacy Express, wobei keine Um- oder Weiterleitung stattfindet.

Wer dort bestellt, wird nur sein Geld los und keine realen Potenzmittel bekommen. Wahrscheinlich bekommt er nicht einmal Plazebos mit Verpackungsmaterial zum Verbrennen im Kamin zugeschickt.

Siehe dazu den Bericht bei spam.tamagothi.de und den ausführlichen Wiki-Eintrag bei SpamTrackers zur Betrugsmasche und den gefälschten Lizenzen.

Domain Liste

Genug für heute. Zu guter Letzt noch die Liste der Domains für die Findemaschinen; nur für den Fall, dass jemand danach sucht.

1. atjohnjustkotj.eu
2. bestgarciniaabo.eu
3. bestgarciniaafe.eu
4. bestgarciniaaling.eu
5. bestgarciniaawil.eu
6. bestgarcinialca.eu
7. bestgarciniallo.eu
8. bestgarcinniarat.eu
9. bestgarcinniares.ru
10. bevedidnzbep.eu
11. biologicalrxassist.ru IP: 84.22.62.253
12. birepofzkuu.eu
13. blogarcinniahar.ru
14. blogarcinnialy.ru
15. blogfoxnewsaca.ru
16. bloggarciniaega.eu
17. bloggarciniaein.eu
18. bloggarciniaenot.eu
19. bloggarcinialhat.eu
20. bloggarcinialked.eu
21. bloggarcinialver.eu
22. bloggarcinniahar.ru
23. bloggarcinniaper.ru
24. bloggarcinniators.ru
25. bloggarcinniawa.ru
26. bloglfoxnewsagot.ru
27. bloglfoxnewsaling.ru
28. bloglnewarciniadi.ru
29. bloglnewarciniagot.ru
30. blognewarciniahar.ru
31. blognewarciniarat.ru
32. blognewarciniawron.ru
33. blognewarcinniahar.ru
34. blognewsarcinniahar.in
35. blognewsarcinniaper.in
36. blognewsarcinniareb.in
37. blognewsarcinniaspar.in
38. blognewsarcinniawa.in
39. buthedttinrfjb.eu
40. caltodixbqx.eu
41. datemehardhim.ru
42. datemehardhow.ru
43. datemehardjust.ru
44. datemehardru.ru
45. datemehardsu.ru
46. difaheskmii.eu
47. dintgotguxjsc.eu
48. doctorbaru.ru
49. doctorjchk.ru
50. doctormdyo.ru
51. doctornqtn.ru
52. doctorrhcy.ru
53. doctoruxnm.ru
54. ehealthgarciniago.eu
55. ehealthgarciniarigh.ru
56. ehealthgarciniase.eu
57. ehealthnewshemi.eu
58. ehealthnewsmi.eu
59. ehealthnewsmuchi.ru
60. ehealthnewssei.eu
61. ehealthnewstai.eu
62. ehealthnewstai.ru
63. ehealthnewsta.ru
64. ehealthnewstof.eu
65. ehealthnewstors.ru
66. etbabtertwpgr.eu
67. etbuperkohk.eu
68. expressable.ru
69. expressabout.ru
70. expressacademy.ru
71. expressace.ru
72. expressact.ru IP: 108.59.1.237
73. expressnofe.ru
74. expressrepher.ru IP: 108.59.1.237
75. fahisratdcxw.eu
76. farechapzuvr.eu
77. fedidnnotbkhx.eu
78. felorebacwg.eu
79. feotrowoefm.eu
80. ficesezqur.eu
81. fythetfiniwd.eu
82. gahertryaysz.eu
83. gahertryfmsv.eu
84. greennewsaspar.ru
85. greennewsay.ru
86. healthgarciniagotm.ru
87. healthgarciniajohn.eu
88. healthgarciniatanm.ru
89. healthgarciniatoft.eu
90. hecktodepgay.eu
91. hervebuttfsi.eu
92. heshecherssuni.eu
93. hetitnokdsb.eu
94. homeherbsservice.ru IP: 84.22.62.253
95. hoveheromrm.eu
96. idledvezdqa.eu
97. lanolednmmu.eu
98. litthatryztfs.eu
99. mahesredcuqm.eu
100. medicinalherbinc.ru IP: 84.22.62.253
101. meetmenighthow.ru
102. meetmenightno.ru
103. naretheckeyem.eu
104. naughkinibpi.eu
105. newsgarciniaaling.eu
106. newsgarciniaasa.eu
107. newsgarciniaaug.eu
108. newsgarcinialdu.eu
109. ninghibabtmxt.eu
110. nofirewwzfw.eu
111. onhedtbuprnu.eu
112. orketerfpvl.eu
113. penotromyqqn.eu
114. rechewoljfc.eu
115. retsinonkspy.eu
116. suburonounx.eu
117. thenleddeglaw.eu
118. thethestexkaz.eu
119. tittorsrenvudx.eu
120. toftsofhatsoyf.eu
121. tonsciryqbty.eu
122. tontronwronyxsq.eu
123. undrohadupkp.eu
124. unteninggebz.eu
125. withtotiddct.eu
126. wotanutgsqx.eu
127. wwwfoxnewsaca.ru
128. wwwfoxnewsahar.ru
129. wwwfoxnewsawas.ru
130. wwwgreennewsadi.ru
131. wwwgreennewsagot.ru