image

Rechtsextremistische spam verspreid via Sober.Q *update*

zondag 15 mei 2005, 11:46 door Redactie, 29 reacties

Woensdag werd het al voorspeld, maar met Sober.P geinfecteerde computers worden op dit moment met de nieuwe Sober.Q worm geinfecteerd. De besmette PC's fungeren daarna als springplank voor het verspreiden van spam waarin gelinkt wordt naar rechtsextremistische artikelen. Een soort gelijke situatie deed zich voor met de Sober.G variant, die vooral in Nederland voor zeer veel overlast zorgde. Aangezien Sober.P zich zeer snel heeft weten te verspreiden, is een nieuwe spamuitbraak goed mogelijk. (Kaspersky Lab)

*Update 14:50*
"Jeroen" laat ons weten dat via deze link alle onderwerpen van de spamberichten bekeken kunnen worden.

Reacties (29)
15-05-2005, 14:59 door Anoniem
yup maar wat gebeurt er als ik op zo link klik ? nix ergs
toch :)
firefox 1.0.4 dus kan nix gebeuren?
15-05-2005, 14:59 door Anoniem
het is te merken, krijg er 1 a 2 per uur binnen hier.......
15-05-2005, 16:40 door G-Force
Hoe komt het toch dat je elke keer hoort van computerbezitters dat hun
computers "geïnfecteerd" zijn geraakt. Waarom krijg ik toch elke keer weer
opnieuw het vermoeden dat er weinig tot niets aan beveiliging wordt
gedaan. Leren de mensen het dan nooit?

Misschien een rijbewijs voor computers invoeren....
15-05-2005, 16:57 door Anoniem

Misschien een rijbewijs voor computers invoeren....

Maar.....je rijdt toch niet in een computer ??
Naja, 't zal wel aan mij liggen.
15-05-2005, 18:22 door Anoniem
Door Anoniem

Misschien een rijbewijs voor computers invoeren....

Maar.....je rijdt toch niet in een computer ??
Naja, 't zal wel aan mij liggen.

we wisten allang dat het aan jouw lag
15-05-2005, 18:34 door Anoniem
Door Peter V.
Hoe komt het toch dat je elke keer hoort van
computerbezitters dat hun
computers "geïnfecteerd" zijn geraakt. Waarom krijg ik toch
elke keer weer
opnieuw het vermoeden dat er weinig tot niets aan
beveiliging wordt
gedaan. Leren de mensen het dan nooit?
Nee mensen leren nooit. En daarom gaat Microsoft nu
zich ook bewegen in de 10miljard anti-virus/anti-ect ect
industrie.

Of terwijl, je moet ons 25 dollar betalen, in ruil daarvoor
zorgen wij er voor dat je computer, met ons brakke OS, niet
zal worden geinfecteerd op manieren die wij pas na 6 maand
patchen.
15-05-2005, 20:20 door Anoniem
Het redelijke vermoeden bestaat dat de welbekende en erkende
spammer Dennis Steyfa hier achter zit. :-(
Kijk hier : http://opgelicht.net/index.php en hier
http://opgelicht.net/viewtopic.php?t=1140 maar eens !!!!
en hier ook maar dan : http://www.zoeken.nl/?
sstyle=c&sess=a3a3a303&query=dennis+steyfa&where=web .
Lekker allemaal :-(
15-05-2005, 21:07 door Anoniem
Dit is ongetwijfeld Dennis Steyfa , een mislukte zakenman die uit wraak
aan het spammen is geslagen.
Zie ook http://www.opgelicht.net

http://storage.msn.com/s1pZ8pl_R1n1zGhyEza6GEnajqPgviLlsr5YGyabKzv
JeuFdJH9ziG6BLhPIjnJCBabzi1zTcy2wv9cyMBfjgtg_Q/00.jpg?
MdToken=674394078574435
16-05-2005, 07:23 door Anoniem
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL

ReferralServer: whois://whois.ripe.net:43

NetRange: 81.0.0.0 - 81.255.255.255
CIDR: 81.0.0.0/8
NetName: 81-RIPE
NetHandle: NET-81-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: AUTH62.NS.UU.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to
users in
Comment: the RIPE NCC region. Contact information can be
found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate:
Updated: 2004-03-16

# ARIN WHOIS database, last updated 2005-05-15 19:10
16-05-2005, 09:09 door Anoniem
is Dennis Steyfa een nederlander of waT?
ik d8 dat de sober coders moffers waren ;-(
16-05-2005, 10:36 door Anoniem
Door Anoniem
is Dennis Steyfa een nederlander of waT?
ik d8 dat de sober coders moffers waren ;-(
en of tie nederlander is
geb 23-1-1976 te den helder
16-05-2005, 11:32 door Anoniem
Tsjonge, deze gaat best hard. Dit is de oogst aan subject
lines van de laatste 12 uur:

Subject: S.O.S. Kiez! Polizei schlaegt Alarm
Subject: Verbrechen der deutschen Frau
Subject: 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
Subject: Vorbildliche Aktion
Subject: Trotz Stellenabbau
Subject: Dresden Bombing Is To Be Regretted Enormously
Subject: Deutsche werden kuenftig beim Arzt abgezockt
Subject: Augen auf
Subject: Du wirst ausspioniert ....!
Subject: 60 Jahre Befreiung: Wer feiert mit?
Subject: Tuerkei in die EU
Subject: S.O.S. Kiez! Polizei schlaegt Alarm
Subject: Auslaender bevorzugt
Subject: Volk wird nur zum zahlen gebraucht!
Subject: Deutsche Buerger trauen sich nicht ...
Subject: Paranoider Deutschenmoerder kommt in Psychiatrie
Subject: Graeberschaendung auf bundesdeutsche Anordnung
Subject: Schily ueber Deutschland
Subject: Massenhafter Steuerbetrug durch auslaendische
Arbeitnehmer
Subject: Multi-Kulturell = Multi-Kriminell

In mijn geval allemaal (35+ en stijgend) afkomstig van een
3-tal IPnrs, waarvan 2 in NL.
16-05-2005, 20:42 door Jeroen Wijnands
Ben ik een een offline weekend aan het houden krijg je dit
weer. :-(

Ik pak ze nu zo:

#sober something 17th may05
/www.npd.de/ REJECT sober
/www.auslaendergewalt.ch/ REJECT sober
/service.spiegel.de/ REJECT sober
/Lese selbst/ REJECT sober
/Weiter auf/ REJECT sober

Kan ik natuurlijk makkelijk doen want ik mail niet in duits.


Wel grappig, europese verkiezingen, sober.nogwat,
euro-referendum, sober.nogwat.
16-05-2005, 22:12 door Anoniem
Door Anoniem
Dit is ongetwijfeld Dennis Steyfa , een mislukte zakenman die uit wraak
aan het spammen is geslagen.
Zie ook http://www.opgelicht.net

http://storage.msn.com/s1pZ8pl_R1n1zGhyEza6GEnajqPgviLlsr5YGyabKzv
JeuFdJH9ziG6BLhPIjnJCBabzi1zTcy2wv9cyMBfjgtg_Q/00.jpg?
MdToken=674394078574435

Mensen raken besmet met een virus en jij denkt meteen dat dat dan de
dader is. Dan ken ik nog wel een paar duizend daders.

Berichten met een virus zijn geen spam. Het virus zoekt de adressen van
de harde schijf van de geïnfecteerde computer. Als die persoon dus op
een bulletin board is geweest waar e-mail adressen worden genoemd, er
als er cache bestanden gemaakt door IE, dan is de kans groot dat het
virus zich naar die adressen zal sturen. Er is geen sprake van opzet.

Jeroen
16-05-2005, 22:14 door Anoniem
Voor een complete lijst subjects zie deze Spam Assassin file van
Raymond Dijkxhoorn:

http://mailscanner.prolocation.net/german.cf

Jeroen
16-05-2005, 23:07 door Frans E
Door Anoniem
Voor een complete lijst subjects zie deze Spam Assassin file van
Raymond Dijkxhoorn:

http://mailscanner.prolocation.net/german.cf

Jeroen

Dat werkt natuurlijk wel maar is wel extra werk om die subjects steeds toe
te voegen.

Beter is het om unieke eigenschappen in de header te zoeken.
Ik heb er 2 gevonden die samen uniek zijn voor de Sober.Q mail.

De helo string in de received header begint altijd met een reeks die alleen
uit kleine letters bestaat gevolgt door een punt en de tijdzone aanduiding in het Date veld wijkt af van normale mailers. Bij Sober.q wordt de tijdzone alleeen eengegeven in letters ipv bv +0200

In mercury gebruik ik daarvoor de volgende rule:

if Header "Received" matches "*from +/c[a-z]+.*"
and header "Date" matches "*:[0-9][0-9] +/c[A-Z]+" weight 51 tag "Sober@
mail"

in Pegasus kun je het alsvolgt doen:

If not expression headers matches "Date: *:[0-9][0-9] +[A-Z]+"
Goto "NotSoberQ"
If not expression headers matches "Received: from [a-z]+.*"
Goto "NotSoberQ"
Always Delete
Label "NotSoberQ"

Hmm regels breken een beetje raar af maar je kunt ze [url=http://www.viruswatch.nl/info/soberq_filter.html]hier[/url] ook vinden.
17-05-2005, 00:05 door Anoniem

Dat werkt natuurlijk wel maar is wel extra werk om die subjects steeds toe
te voegen.

Het zijn er maar 30 er komt vooralsnog niets bij.


Beter is het om unieke eigenschappen in de header te zoeken. Ik heb er 2
gevonden die samen uniek zijn voor de Sober.Q mail.

De helo string in de received header begint altijd met een reeks die alleen
uit kleine letters bestaat gevolgt door een punt en de tijdzone aanduiding in
het Date veld wijkt af van normale mailers. Bij Sober.q wordt de tijdzone
alleeen eengegeven in letters ipv bv +0200

Om te beginnen: veel mail servers voegen niet explicitet een HELO string
in de received header. Een reeks kleine letters met een punt erin voor een
HELO is standaard want dat is zo per RFC 821.

Een Date header met een tijdzone aanduiding in tekst is niet uitzonderlijk.

De berichten die ik van Postfix krijg lijken niet eens op jouw beschrijving.
Ze hebben een gewone Date header met cijfers. Dat is logisch, want het is
mijn server die ze toevoegt.

Received: from loreal.com (smtp5.loreal.com [81.255.155.129])
by mail.onsdomein.nl (Postfix) with ESMTP id 11D0A16C05
for <user@onsdomein.nl>; Sun, 15 May 2005 02:31:38 +0200
(MEST)

Date: Sun, 15 May 2005 02:31:33 +0200

Gmail:

Received: from wakniyv.com (CPE-24-209-112-148.wi.res.rr.com
[24.209.112.148])
by mx.gmail.com with SMTP id m35tj1152165rnd.2005.05.15.11.40.00;
Sun, 15 May 2005 11:40:01 -0700 (PDT)

Date: Sun, 15 May 2005 18:38:42 GMT

Dat zou een header uit elk willekeurig bericht kunnen zijn.

Ik vrees dat jouw methode onbruikbaar en onbetrouwbaar is. Gevaarlijk
zelfs.

Veel tegengehouden berichten zijn bounces, non delivery notifications,
door Sober verstuurd naar niet bestaande addressen elders met een
vervalst afzender adres van ons domein. Die NDR's quoten vaak wel de
subject header, maar ze verbouwen wel het bericht of ze gebruiken nieuwe
headers. Bericht signatures werken daarbij niet.

Jeroen
17-05-2005, 01:30 door Frans E
Jeroen schreef

Om te beginnen: veel mail servers voegen niet explicitet een HELO string
in de received header. Een reeks kleine letters met een punt erin voor een
HELO is standaard want dat is zo per RFC 821.

Een Date header met een tijdzone aanduiding in tekst is niet uitzonderlijk.

De berichten die ik van Postfix krijg lijken niet eens op jouw beschrijving.
Ze hebben een gewone Date header met cijfers. Dat is logisch, want het is
mijn server die ze toevoegt.

in de [url=http://www.faqs.org/rfcs/rfc821.html]RFC 821[/url] wordt niet
omschreven hoe een helo er uit moet zien. Er wordt geadviseerd hier het
senderdomein te gebruiken. In geval van een windows PC is dat de naam
van de PC. Ik ken geen mailservers die de helo string niet opnemen in hun
received headers.

Het unieke aan Sober.Q is dus dat deze de helo string opbouwd uit 5-10
kleine letters gevolgd door een top level domain zoals bv absdef.nl of
abcdefghi.com.au

Als jouw mailserver de Date header toevoegd is er al iets mis met de mail.
De Date header hoort als onderdeel van de mailheader door de mailclient
toegevoegd te worden. Het ontbreken van een Date header zal door vrijwel
alle spamfilters dan ook met spam punten gewaardeerd worden.

Je zou de regels eventueel nog kunnen verfijnen door te stellen dat de helo
string met minimaal 5 kleine letters moet beginnen gevolgd door een punt

dus "*from +/c[a-z][a-z][a-z][a-z][a-z]+.*"

De zone aanduiding in letters zoals GMT, UTC of CEST ben ik in geen
enkele mailcleint tegen gekomen. Deze wordt schijnbaar alleen door
automatische responders gebruikt zoals bv van SpamCop.

Ik had bij het opstellen van de regels ook eerst mijn twijfels over de helo
definitie en heb afgelopen nacht er 10K aan oude mails, inclusief de
zondag al ontvangen Sober.Q mails, er op losgelaten en hij scoorde 100%
Sober.Q mails met 0 false positives.
17-05-2005, 11:13 door Anoniem
is er een url waar alle tot nu toe bekende subjects te vinden zijn?
17-05-2005, 11:53 door Anoniem
Door Anoniem
is er een url waar alle tot nu toe bekende subjects te
vinden zijn?

http://bas.dds.nl/rechtse-spam/
17-05-2005, 12:35 door Anoniem
Door Anoniem
is er een url waar alle tot nu toe bekende subjects te vinden zijn?

http://mailscanner.prolocation.net/german.cf

Zie een paar berichten hoger.
17-05-2005, 13:03 door Anoniem
sjonge jonge...wat een kloten virus is dit zeg....sinds
vanmorgen bezig geweest met verwijderen van mails en
spamfilter zo in te stellen dat hij ze meteen blockt.

kwam gewoon van 1 enkel IP adres.
meteen melding naar [email]abuse@wanadoo.nl[/email] gestuurt maar dat
maakt toch geen ruk uit....
17-05-2005, 14:12 door MvE
Door Anoniem
Voor een complete lijst subjects zie deze Spam Assassin file
van
Raymond Dijkxhoorn:

http://mailscanner.prolocation.net/german.cf

Jeroen

Perfect, bedankt voor de link!
20-05-2005, 13:05 door Anoniem
er is een nieuwe: "Dresden Bombing Is To Be Regretted
Enormously"
20-05-2005, 14:31 door Anoniem
Ik heb er nog geeneen mogen ontvangen. :)
21-05-2005, 11:08 door Anoniem
Wat de spam betreft, waarom niet een regel instellen voor
de header TO:
die stelt:
als mail NIET bestemd voor [email]mijnnaam@domein.nl[/email] dan
verwijder.
21-05-2005, 16:30 door Anoniem
Door Anoniem
Wat de spam betreft, waarom niet een regel instellen voor
de header TO:
die stelt:
als mail NIET bestemd voor
[email]mijnnaam@domein.nl[/email] dan
verwijder.
Waarom zou je? Gewoon de maildrop
uitzetten. Als de gebruikte user of alias niet bestaat,
wordt de mail gewoon niet aangenomen.
21-05-2005, 18:44 door raboof
Wat de spam betreft, waarom niet een regel instellen
voor
de header TO: die stelt: als mail NIET bestemd voor
[email]mijnnaam@domein.nl[/email] dan verwijder.
Gaat dat niet mis met bijvoorbeeld mailinglijsten? (en
natuurlijk met spam die naar je adres gaat)
30-06-2005, 12:13 door Anoniem
Het spammen is al een tijdje in de gaten gehouden en door een e-mail
truukje met Dennis hebben we hem dus in de val gelokt. Samen met een
paar andere mensen hebben we een msn aangemaakt en opvallend
genoeg kreeg 1 persoon veel spam van hem terwijl op het andere adres
niets aankwam. Bij mij hezelfde, 2 adressen en 1 wel en de ander niet.
Lijkt me sterk dat een virus nog selectief te werk gaat ook.

Het was gewoon zeker Dennis ook al zal hij volhouden dat hij het niet was.
Het heeft wel een maandje geduurd voordat hij dat virus van zijn server had
gehaald zei hij. Als bedrijf zijnde wil je niet eens een virus hebben en als je
hem heb haal je hem direct weg of zit ik er nu naast.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.