Jak wiadomo cyberprzestępcy wykorzystują światowe wiadomości do rozprzestrzeniania e-maili zachęcających do odwiedzania reklamowanych witryn. Czasami będą to strony zmieniające Wasze systemy operacyjne w boty (z pomocą błędów w aplikacjach), a czasem sklepy sprzedające niebieskie tabletki. Wieść o śmierci Króla Popu zaatakowała wszystkich znienacka odrywając nas na chwilę od rzeczywistości. Oczywiście twórcy chwytliwych tematów w wiadomościach spamujących od razu zaatakowali i utworzyli kampanię, która podważa śmierć Michaela Jacksona i oczywiście zaprasza do kliknięcia załączonego pliku (HTML), w którym znajdują się rzekome cenne informacje na ten temat.
Kampania reklamowa wykorzystująca wizerunek Króla Popu w mojej skrzynce pocztowej (kilka adresów e-mail) objawiła się w postaci 30 maili. Pierwszy dotarł w sobotę (27.06) o godzinie 12:49, a ostatni o 18:18 czyli trwała w moim przypadku 5 godzin i 29 minut. W polach From pojawiły się losowe adresy e-mail, z istniejących różnorodnych domen.
Oprogramowanie antyspamowe SpamAssassin oznaczyło wszystkie wiadomości jako SPAM, oceniając je od 6.5 do 32.3 punktów. Wszystkie tematy wiadomości wyglądały dokładnie tak samo:
Michael Jackson dead? NO!!!
Treść przez pierwsze 19 wiadomości wyglądała tak:
Michael Jackson dead? NO!!! Open attached file and read!!!
(w załączniku obecny był plik w kodowaniu UTF-16: Michael Jackson Live!.html, który w kodzie strony zawierał przekierowanie do konkretnej strony: <meta http-equiv=’Refresh’ content=’0; url=hxxp://addfamous.com/’ /> )
aby przez następne 10 wyglądać:
Michael Jackson dead? NO!!!
hxxp://addfamous.com/
(nadal z załącznikiem oraz linkiem bezpośrednio w treści wiadomości [html]).
A dla ostatnich 4 wiadomości link został nakryty zdjęciem Jacksona z naniesionymi nań losowymi kolorowymi kreskami utrudniającymi identyfikację takich samych zdjęć (filtry antyspamowe).
Ostatnia wiadomość zawierała zmienioną domenę na: hxxp://fromview.com/
Każdą wiadomość oprócz jednej otrzymałem z innego adresu IP. Odwrotne adresy DNS dla tych adresów IP wskazują w większości na domowe komputery z całego świata:
133.90.broadband7.iol.cz
189-111-204-110.dsl.telesp.net.br
189-74-22-241.gnace704.e.brasiltelecom.net.br
189-78-64-232.dsl.telesp.net.br
200-163-23-129.bsace703.dsl.brasiltelecom.net.br
7.sub-70-213-83.myvzw.com
74-130-12-241.dhcp.insightbb.com
81-64-23-43.rev.numericable.fr
adsl-dyn10.78-99-121.t-com.sk
chello089075208195.chello.pl !!!
cpe-69-205-191-142.stny.res.rr.com
cpe-74-71-83-201.twcny.res.rr.com
d14-69-101-225.try.wideopenwest.com
dft69.neoplus.adsl.tpnet.pl
doc-24-32-95-45.cabot.ar.cebridge.net
dsl88.238-31270.ttnet.net.tr
host-82-201-171-64.static.link.com.eg
ks-138-210-206-160.dhcp.embarqhsd.net
ppp-94-69-168-2.home.otenet.gr
Jeśli chodzi zaś o domeny, na których widnieje witryna dobrze znana czytelnikom bothuntersów – fabryka medykamentów Canadian Pharmacy obie wskazują na te same adresy IP serwerów WWW. Co ciekawe domena posiada aż 6 adresów IP co oznacza zapewne, że zmniejszają obciążenie serwerów za pomocą tego mechanizmu oraz przedłużają żywotność witryny w sytuacji gdy, któryś z serwerów zostanie wyłączony.
fromview.com has address 119.39.238.2
fromview.com has address 203.93.208.86
fromview.com has address 60.191.221.117
fromview.com has address 60.191.239.153
fromview.com has address 61.191.191.241
fromview.com has address 218.75.144.6addfamous.com has address 119.39.238.2
addfamous.com has address 203.93.208.86
addfamous.com has address 60.191.221.117
addfamous.com has address 60.191.239.153
addfamous.com has address 61.191.191.241
addfamous.com has address 218.75.144.6Wszystkie te 6 adresów serwerów WWW znajduje się w Chinach :], każdy z serwerów WWW odpowiada ładnie serwując stronę z medykamentami :]
Co się tyczy zaś rejestracji domen to wykupione są u innych rejestratorów:
Domain Name: ADDFAMOUS.COM
Registrar: ONLINENIC, INC.
Whois Server: whois.onlinenic.com
Referral URL: http://www.OnlineNIC.com
Name Server: NS1.WOODDOES.IN
Name Server: NS2.WOODDOES.IN
Name Server: NS3.GLADLIVE.RU
Name Server: NS4.GLADLIVE.RU
Status: clientTransferProhibited
Updated Date: 25-jun-2009
Creation Date: 23-jun-2009
Expiration Date: 23-jun-2010Registrant:
Lorenv Cerre ad0@safe-mail.net +1.2138848801
Lorenv Cerre
4033 po box
New York,NY,US 10337Domain Name: FROMVIEW.COM
Registrar: CHINA SPRINGBOARD INC.
Whois Server: whois.namerich.cn
Referral URL: http://www.namerich.cn
Name Server: NS1.WOODDOES.IN
Name Server: NS2.WOODDOES.IN
Name Server: NS3.GLADLIVE.RU
Name Server: NS4.GLADLIVE.RU
Name Server: NS5.SILVERLEGEND.PL !!!
Name Server: NS6.SILVERLEGEND.PL !!!
Status: ok
Updated Date: 25-jun-2009
Creation Date: 18-jun-2009
Expiration Date: 18-jun-2010
Szczególnie do gustu przypadły mi linijki:
Name Server: NS5.SILVERLEGEND.PL !!!
Name Server: NS6.SILVERLEGEND.PL !!!
Niestety albo i stety na tę chwilę domena nie istnieje. Domena ta została usunięta przez NASK dnia: 2009-06-27 08:03:02 MEST
DOMAIN: silverlegend.pl is undergoing proceedings
created: 2009.06.09 16:29:30
last modified: 2009.06.26 16:31:49
no optionREGISTRAR: EPAG Domainservices GmbH
Customer Support
Rheinallee 3
53173 Bonn
Niemcy/Germany
phone:+49.2283296840
fax:+49.2283296849
support@epag.de
Na szybkiego przeszukując swoją skrzynkę pod kątem występowania domeny FROMVIEW.COM okazuje się, że pojawia się ona w wielu innych wiadomościach typu SPAM.
Zaczynam się zastanawiać czy wymyślający tematy i treści do tych emaili posiadają swój sztab kryzysowy, który w posiada odpowiedni plan działania i reaguje odpowiednio szybko na pojawienie się interesujących światowych wiadomości ;]
5 komentarzy do
28 czerwca, 2009 o godzinie 14:14
No, artykuł pierwsza klasa! (-:
Ktoś szybko reaguje na nowe wiadomości ze świata..
Na gg też się dzieje: przed chwilą dostałem SPAMem, o którym wcześniej była mowa:
„(13:50)
Jak zyjesz :)
(13:50)
Kurcze… Jackson nie zyje. Zapalilam mu swieczke… gg nie puszcza linkow (buuuu), jak zamienisz na kropki, wklei w przegladarke…”
Na końcu link ze słowem „majkel” , w domenie .com.
28 czerwca, 2009 o godzinie 14:43
A pamiętasz nazwę domeny?
28 czerwca, 2009 o godzinie 17:23
Jasne, przecież pisałem wcześniej, że kolekcjonuje spam z gg :)
wwwmajkelonodotcom
21 lipca, 2009 o godzinie 11:41
O mój Boże! Dlaczego on nie żyje? To jest okropne!!! Odszedł ze świata tak niezwykły człowiek! W latach 80-tych wyglądał jak słodkie ciastko z kremem! ale ze względu na to jak się zmienił i tak będę go kochać!! i te choroby! ehhhh…
jak ktoś na niego coś złego powie niech go lepiej piorun PIERDYKNIE!
PS.Zawsze w naszych sercach! ”King Of Pop”!
29 lipca, 2009 o godzinie 18:21
micheal is ded and gone