Spammer verschicken gefälschte Heise-Newsletter [Update]
Seit dem heutigen Freitagmorgen verschicken Spammer gefälschte Heise-Newsletter per Mail -- auch Nicht-Abonnenten des Dienstes erhalten die Nachrichten mit gefälschter Absenderadresse.
Seit dem heutigen Freitagmorgen verschicken Spammer gefälschte Heise-Newsletter per Mail -- auch Nicht-Abonnenten des Dienstes erhalten die Nachrichten mit gefälschter Absenderadresse. In der Mail findet sich ein HTML-Dokument, das die Überschriften der letzen Meldungen aus dem heise-online-Newsticker nebst Anrisstexten enthält. Ein Klick auf eine der Überschriften führt dann allerdings nicht auf die Seiten von heise Online, sondern auf einen Server der Domain best-pedo.com.
Derzeit lösen die Name-Server die Domain aber zu keiner IP-Adresse auf, weshalb der Verbindungsversuch fehlschlägt. Bis vor kurzem muss die Domain aber noch aktiv gewesen sein, was zumindest das Ergebnis einer Google-Suche nahe legt. Was sich hinter den Seiten verborgen hat, ist unklar, der Domain-Name lässt aber kinderpornografische Inhalte vermuten. Es ist bislang nicht bekannt, wer hinter dieser Aktion steckt, auch die Whois-Einträge geben kaum Hinweise. Zum Versand werden offensichtlich zu Spam-Proxys umfunktionierte Dial-in-Rechner missbraucht.
Heise-Verlagsjustiziar Joerg Heidrich erklärte, dass der Heise Zeitschriften Verlag derzeit prüft, ob weitere rechtliche Schritte eingeleitet werden.
Update:
Seit Freitag abend ist die IP-Adresse, die in dem gefälschten Newsletter verlinkt wurde, aktiv. Die Web-Seiten dahinter versuchen, diverse Windows- beziehungsweise Internet-Explorer-Schwächen auszunutzen -- vermutlich, um Spyware oder ähnliches auf den Rechnern der Anwender zu installieren.
Die Seiten enthalten HTML-Code mit mehrfach ineinander verschachtelten Dechiffrier-Skripten. Diese binden schließlich in einem unsichtbaren IFrame eine Seite der Web-Site 1traff.us ein. Diese ist auch wieder kodiert und lädt ein ganzes Sammelsurium an Schädlingen: Neben einem Java-Bytecode-Verifier-Exploit (Trojan.Java.ClassLoader.c) schiebt sie auch eine ANI-Datei mit angeblichen Cursor-Daten unter, die Kaspersky als Trojan-Downloader.Win32.Ani.b identifiziert. Die URLs liefern zum Teil Ergebnisse, die von Browser-Kennung und IP-Adresse abhängen ("Sorry! You IP is blocked."). heise Security hat bereits bei dem Provider, auf den die Server eingetragen sind, eine Sperrung beantragt. (dab)