Rechtsextremistische spam verspreid via Sober.Q *update*
Woensdag werd het al voorspeld, maar met Sober.P geinfecteerde computers worden op dit moment met de nieuwe Sober.Q worm geinfecteerd. De besmette PC's fungeren daarna als springplank voor het verspreiden van spam waarin gelinkt wordt naar rechtsextremistische artikelen. Een soort gelijke situatie deed zich voor met de Sober.G variant, die vooral in Nederland voor zeer veel overlast zorgde. Aangezien Sober.P zich zeer snel heeft weten te verspreiden, is een nieuwe spamuitbraak goed mogelijk. (Kaspersky Lab)
*Update 14:50*
"Jeroen" laat ons weten dat via deze link alle onderwerpen van de spamberichten bekeken kunnen worden.
Reacties (29)
yup maar wat gebeurt er als ik op zo link klik ? nix ergs
toch :)
firefox 1.0.4 dus kan nix gebeuren?
toch :)
firefox 1.0.4 dus kan nix gebeuren?
15-05-2005, 16:40 door
G-Force
Hoe komt het toch dat je elke keer hoort van computerbezitters dat hun
computers "geïnfecteerd" zijn geraakt. Waarom krijg ik toch elke keer weer
opnieuw het vermoeden dat er weinig tot niets aan beveiliging wordt
gedaan. Leren de mensen het dan nooit?
Misschien een rijbewijs voor computers invoeren....
computers "geïnfecteerd" zijn geraakt. Waarom krijg ik toch elke keer weer
opnieuw het vermoeden dat er weinig tot niets aan beveiliging wordt
gedaan. Leren de mensen het dan nooit?
Misschien een rijbewijs voor computers invoeren....
Misschien een rijbewijs voor computers invoeren....
Maar.....je rijdt toch niet in een computer ??
Naja, 't zal wel aan mij liggen.
Door Anoniem
Misschien een rijbewijs voor computers invoeren....
Maar.....je rijdt toch niet in een computer ??
Naja, 't zal wel aan mij liggen.
Misschien een rijbewijs voor computers invoeren....
Maar.....je rijdt toch niet in een computer ??
Naja, 't zal wel aan mij liggen.
we wisten allang dat het aan jouw lag
Door Peter V.
Hoe komt het toch dat je elke keer hoort van
computerbezitters dat hun
computers "geïnfecteerd" zijn geraakt. Waarom krijg ik toch
elke keer weer
opnieuw het vermoeden dat er weinig tot niets aan
beveiliging wordt
gedaan. Leren de mensen het dan nooit?
Nee mensen leren nooit. En daarom gaat Microsoft nuHoe komt het toch dat je elke keer hoort van
computerbezitters dat hun
computers "geïnfecteerd" zijn geraakt. Waarom krijg ik toch
elke keer weer
opnieuw het vermoeden dat er weinig tot niets aan
beveiliging wordt
gedaan. Leren de mensen het dan nooit?
zich ook bewegen in de 10miljard anti-virus/anti-ect ect
industrie.
Of terwijl, je moet ons 25 dollar betalen, in ruil daarvoor
zorgen wij er voor dat je computer, met ons brakke OS, niet
zal worden geinfecteerd op manieren die wij pas na 6 maand
patchen.
Het redelijke vermoeden bestaat dat de welbekende en erkende
spammer Dennis Steyfa hier achter zit. :-(
Kijk hier : http://opgelicht.net/index.php en hier
http://opgelicht.net/viewtopic.php?t=1140 maar eens !!!!
en hier ook maar dan : http://www.zoeken.nl/?
sstyle=c&sess=a3a3a303&query=dennis+steyfa&where=web .
Lekker allemaal :-(
spammer Dennis Steyfa hier achter zit. :-(
Kijk hier : http://opgelicht.net/index.php en hier
http://opgelicht.net/viewtopic.php?t=1140 maar eens !!!!
en hier ook maar dan : http://www.zoeken.nl/?
sstyle=c&sess=a3a3a303&query=dennis+steyfa&where=web .
Lekker allemaal :-(
Dit is ongetwijfeld Dennis Steyfa , een mislukte zakenman die uit wraak
aan het spammen is geslagen.
Zie ook http://www.opgelicht.net
http://storage.msn.com/s1pZ8pl_R1n1zGhyEza6GEnajqPgviLlsr5YGyabKzv
JeuFdJH9ziG6BLhPIjnJCBabzi1zTcy2wv9cyMBfjgtg_Q/00.jpg?
MdToken=674394078574435
aan het spammen is geslagen.
Zie ook http://www.opgelicht.net
http://storage.msn.com/s1pZ8pl_R1n1zGhyEza6GEnajqPgviLlsr5YGyabKzv
JeuFdJH9ziG6BLhPIjnJCBabzi1zTcy2wv9cyMBfjgtg_Q/00.jpg?
MdToken=674394078574435
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
ReferralServer: whois://whois.ripe.net:43
NetRange: 81.0.0.0 - 81.255.255.255
CIDR: 81.0.0.0/8
NetName: 81-RIPE
NetHandle: NET-81-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: AUTH62.NS.UU.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to
users in
Comment: the RIPE NCC region. Contact information can be
found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate:
Updated: 2004-03-16
# ARIN WHOIS database, last updated 2005-05-15 19:10
OrgID: RIPE
Address: P.O. Box 10096
City: Amsterdam
StateProv:
PostalCode: 1001EB
Country: NL
ReferralServer: whois://whois.ripe.net:43
NetRange: 81.0.0.0 - 81.255.255.255
CIDR: 81.0.0.0/8
NetName: 81-RIPE
NetHandle: NET-81-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS-PRI.RIPE.NET
NameServer: NS3.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: AUTH62.NS.UU.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to
users in
Comment: the RIPE NCC region. Contact information can be
found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate:
Updated: 2004-03-16
# ARIN WHOIS database, last updated 2005-05-15 19:10
is Dennis Steyfa een nederlander of waT?
ik d8 dat de sober coders moffers waren ;-(
ik d8 dat de sober coders moffers waren ;-(
Door Anoniem
is Dennis Steyfa een nederlander of waT?
ik d8 dat de sober coders moffers waren ;-(
en of tie nederlander is is Dennis Steyfa een nederlander of waT?
ik d8 dat de sober coders moffers waren ;-(
geb 23-1-1976 te den helder
Tsjonge, deze gaat best hard. Dit is de oogst aan subject
lines van de laatste 12 uur:
Subject: S.O.S. Kiez! Polizei schlaegt Alarm
Subject: Verbrechen der deutschen Frau
Subject: 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
Subject: Vorbildliche Aktion
Subject: Trotz Stellenabbau
Subject: Dresden Bombing Is To Be Regretted Enormously
Subject: Deutsche werden kuenftig beim Arzt abgezockt
Subject: Augen auf
Subject: Du wirst ausspioniert ....!
Subject: 60 Jahre Befreiung: Wer feiert mit?
Subject: Tuerkei in die EU
Subject: S.O.S. Kiez! Polizei schlaegt Alarm
Subject: Auslaender bevorzugt
Subject: Volk wird nur zum zahlen gebraucht!
Subject: Deutsche Buerger trauen sich nicht ...
Subject: Paranoider Deutschenmoerder kommt in Psychiatrie
Subject: Graeberschaendung auf bundesdeutsche Anordnung
Subject: Schily ueber Deutschland
Subject: Massenhafter Steuerbetrug durch auslaendische
Arbeitnehmer
Subject: Multi-Kulturell = Multi-Kriminell
In mijn geval allemaal (35+ en stijgend) afkomstig van een
3-tal IPnrs, waarvan 2 in NL.
lines van de laatste 12 uur:
Subject: S.O.S. Kiez! Polizei schlaegt Alarm
Subject: Verbrechen der deutschen Frau
Subject: 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
Subject: Vorbildliche Aktion
Subject: Trotz Stellenabbau
Subject: Dresden Bombing Is To Be Regretted Enormously
Subject: Deutsche werden kuenftig beim Arzt abgezockt
Subject: Augen auf
Subject: Du wirst ausspioniert ....!
Subject: 60 Jahre Befreiung: Wer feiert mit?
Subject: Tuerkei in die EU
Subject: S.O.S. Kiez! Polizei schlaegt Alarm
Subject: Auslaender bevorzugt
Subject: Volk wird nur zum zahlen gebraucht!
Subject: Deutsche Buerger trauen sich nicht ...
Subject: Paranoider Deutschenmoerder kommt in Psychiatrie
Subject: Graeberschaendung auf bundesdeutsche Anordnung
Subject: Schily ueber Deutschland
Subject: Massenhafter Steuerbetrug durch auslaendische
Arbeitnehmer
Subject: Multi-Kulturell = Multi-Kriminell
In mijn geval allemaal (35+ en stijgend) afkomstig van een
3-tal IPnrs, waarvan 2 in NL.
16-05-2005, 20:42 door
Jeroen Wijnands
Ben ik een een offline weekend aan het houden krijg je dit
weer. :-(
Ik pak ze nu zo:
#sober something 17th may05
/www.npd.de/ REJECT sober
/www.auslaendergewalt.ch/ REJECT sober
/service.spiegel.de/ REJECT sober
/Lese selbst/ REJECT sober
/Weiter auf/ REJECT sober
Kan ik natuurlijk makkelijk doen want ik mail niet in duits.
Wel grappig, europese verkiezingen, sober.nogwat,
euro-referendum, sober.nogwat.
weer. :-(
Ik pak ze nu zo:
#sober something 17th may05
/www.npd.de/ REJECT sober
/www.auslaendergewalt.ch/ REJECT sober
/service.spiegel.de/ REJECT sober
/Lese selbst/ REJECT sober
/Weiter auf/ REJECT sober
Kan ik natuurlijk makkelijk doen want ik mail niet in duits.
Wel grappig, europese verkiezingen, sober.nogwat,
euro-referendum, sober.nogwat.
Door Anoniem
Dit is ongetwijfeld Dennis Steyfa , een mislukte zakenman die uit wraak
aan het spammen is geslagen.
Zie ook http://www.opgelicht.net
http://storage.msn.com/s1pZ8pl_R1n1zGhyEza6GEnajqPgviLlsr5YGyabKzv
JeuFdJH9ziG6BLhPIjnJCBabzi1zTcy2wv9cyMBfjgtg_Q/00.jpg?
MdToken=674394078574435
Dit is ongetwijfeld Dennis Steyfa , een mislukte zakenman die uit wraak
aan het spammen is geslagen.
Zie ook http://www.opgelicht.net
http://storage.msn.com/s1pZ8pl_R1n1zGhyEza6GEnajqPgviLlsr5YGyabKzv
JeuFdJH9ziG6BLhPIjnJCBabzi1zTcy2wv9cyMBfjgtg_Q/00.jpg?
MdToken=674394078574435
Mensen raken besmet met een virus en jij denkt meteen dat dat dan de
dader is. Dan ken ik nog wel een paar duizend daders.
Berichten met een virus zijn geen spam. Het virus zoekt de adressen van
de harde schijf van de geïnfecteerde computer. Als die persoon dus op
een bulletin board is geweest waar e-mail adressen worden genoemd, er
als er cache bestanden gemaakt door IE, dan is de kans groot dat het
virus zich naar die adressen zal sturen. Er is geen sprake van opzet.
Jeroen
Voor een complete lijst subjects zie deze Spam Assassin file van
Raymond Dijkxhoorn:
http://mailscanner.prolocation.net/german.cf
Jeroen
Raymond Dijkxhoorn:
http://mailscanner.prolocation.net/german.cf
Jeroen
16-05-2005, 23:07 door
Frans E
Door Anoniem
Voor een complete lijst subjects zie deze Spam Assassin file van
Raymond Dijkxhoorn:
http://mailscanner.prolocation.net/german.cf
Jeroen
Voor een complete lijst subjects zie deze Spam Assassin file van
Raymond Dijkxhoorn:
http://mailscanner.prolocation.net/german.cf
Jeroen
Dat werkt natuurlijk wel maar is wel extra werk om die subjects steeds toe
te voegen.
Beter is het om unieke eigenschappen in de header te zoeken.
Ik heb er 2 gevonden die samen uniek zijn voor de Sober.Q mail.
De helo string in de received header begint altijd met een reeks die alleen
uit kleine letters bestaat gevolgt door een punt en de tijdzone aanduiding in het Date veld wijkt af van normale mailers. Bij Sober.q wordt de tijdzone alleeen eengegeven in letters ipv bv +0200
In mercury gebruik ik daarvoor de volgende rule:
if Header "Received" matches "*from +/c[a-z]+.*"
and header "Date" matches "*:[0-9][0-9] +/c[A-Z]+" weight 51 tag "Sober@
mail"
in Pegasus kun je het alsvolgt doen:
If not expression headers matches "Date: *:[0-9][0-9] +[A-Z]+"
Goto "NotSoberQ"
If not expression headers matches "Received: from [a-z]+.*"
Goto "NotSoberQ"
Always Delete
Label "NotSoberQ"
Hmm regels breken een beetje raar af maar je kunt ze [url=http://www.viruswatch.nl/info/soberq_filter.html]hier[/url] ook vinden.
Dat werkt natuurlijk wel maar is wel extra werk om die subjects steeds toe
te voegen.
Het zijn er maar 30 er komt vooralsnog niets bij.
Beter is het om unieke eigenschappen in de header te zoeken. Ik heb er 2
gevonden die samen uniek zijn voor de Sober.Q mail.
De helo string in de received header begint altijd met een reeks die alleen
uit kleine letters bestaat gevolgt door een punt en de tijdzone aanduiding in
het Date veld wijkt af van normale mailers. Bij Sober.q wordt de tijdzone
alleeen eengegeven in letters ipv bv +0200
Om te beginnen: veel mail servers voegen niet explicitet een HELO string
in de received header. Een reeks kleine letters met een punt erin voor een
HELO is standaard want dat is zo per RFC 821.
Een Date header met een tijdzone aanduiding in tekst is niet uitzonderlijk.
De berichten die ik van Postfix krijg lijken niet eens op jouw beschrijving.
Ze hebben een gewone Date header met cijfers. Dat is logisch, want het is
mijn server die ze toevoegt.
Received: from loreal.com (smtp5.loreal.com [81.255.155.129])
by mail.onsdomein.nl (Postfix) with ESMTP id 11D0A16C05
for <user@onsdomein.nl>; Sun, 15 May 2005 02:31:38 +0200
(MEST)
Date: Sun, 15 May 2005 02:31:33 +0200
Gmail:
Received: from wakniyv.com (CPE-24-209-112-148.wi.res.rr.com
[24.209.112.148])
by mx.gmail.com with SMTP id m35tj1152165rnd.2005.05.15.11.40.00;
Sun, 15 May 2005 11:40:01 -0700 (PDT)
Date: Sun, 15 May 2005 18:38:42 GMT
Dat zou een header uit elk willekeurig bericht kunnen zijn.
Ik vrees dat jouw methode onbruikbaar en onbetrouwbaar is. Gevaarlijk
zelfs.
Veel tegengehouden berichten zijn bounces, non delivery notifications,
door Sober verstuurd naar niet bestaande addressen elders met een
vervalst afzender adres van ons domein. Die NDR's quoten vaak wel de
subject header, maar ze verbouwen wel het bericht of ze gebruiken nieuwe
headers. Bericht signatures werken daarbij niet.
Jeroen
17-05-2005, 01:30 door
Frans E
Jeroen schreef
Om te beginnen: veel mail servers voegen niet explicitet een HELO string
in de received header. Een reeks kleine letters met een punt erin voor een
HELO is standaard want dat is zo per RFC 821.
Een Date header met een tijdzone aanduiding in tekst is niet uitzonderlijk.
De berichten die ik van Postfix krijg lijken niet eens op jouw beschrijving.
Ze hebben een gewone Date header met cijfers. Dat is logisch, want het is
mijn server die ze toevoegt.
Om te beginnen: veel mail servers voegen niet explicitet een HELO string
in de received header. Een reeks kleine letters met een punt erin voor een
HELO is standaard want dat is zo per RFC 821.
Een Date header met een tijdzone aanduiding in tekst is niet uitzonderlijk.
De berichten die ik van Postfix krijg lijken niet eens op jouw beschrijving.
Ze hebben een gewone Date header met cijfers. Dat is logisch, want het is
mijn server die ze toevoegt.
in de [url=http://www.faqs.org/rfcs/rfc821.html]RFC 821[/url] wordt niet
omschreven hoe een helo er uit moet zien. Er wordt geadviseerd hier het
senderdomein te gebruiken. In geval van een windows PC is dat de naam
van de PC. Ik ken geen mailservers die de helo string niet opnemen in hun
received headers.
Het unieke aan Sober.Q is dus dat deze de helo string opbouwd uit 5-10
kleine letters gevolgd door een top level domain zoals bv absdef.nl of
abcdefghi.com.au
Als jouw mailserver de Date header toevoegd is er al iets mis met de mail.
De Date header hoort als onderdeel van de mailheader door de mailclient
toegevoegd te worden. Het ontbreken van een Date header zal door vrijwel
alle spamfilters dan ook met spam punten gewaardeerd worden.
Je zou de regels eventueel nog kunnen verfijnen door te stellen dat de helo
string met minimaal 5 kleine letters moet beginnen gevolgd door een punt
dus "*from +/c[a-z][a-z][a-z][a-z][a-z]+.*"
De zone aanduiding in letters zoals GMT, UTC of CEST ben ik in geen
enkele mailcleint tegen gekomen. Deze wordt schijnbaar alleen door
automatische responders gebruikt zoals bv van SpamCop.
Ik had bij het opstellen van de regels ook eerst mijn twijfels over de helo
definitie en heb afgelopen nacht er 10K aan oude mails, inclusief de
zondag al ontvangen Sober.Q mails, er op losgelaten en hij scoorde 100%
Sober.Q mails met 0 false positives.
Door Anoniem
is er een url waar alle tot nu toe bekende subjects te
vinden zijn?
is er een url waar alle tot nu toe bekende subjects te
vinden zijn?
http://bas.dds.nl/rechtse-spam/
Door Anoniem
is er een url waar alle tot nu toe bekende subjects te vinden zijn?
is er een url waar alle tot nu toe bekende subjects te vinden zijn?
http://mailscanner.prolocation.net/german.cf
Zie een paar berichten hoger.
sjonge jonge...wat een kloten virus is dit zeg....sinds
vanmorgen bezig geweest met verwijderen van mails en
spamfilter zo in te stellen dat hij ze meteen blockt.
kwam gewoon van 1 enkel IP adres.
meteen melding naar [email]abuse@wanadoo.nl[/email] gestuurt maar dat
maakt toch geen ruk uit....
vanmorgen bezig geweest met verwijderen van mails en
spamfilter zo in te stellen dat hij ze meteen blockt.
kwam gewoon van 1 enkel IP adres.
meteen melding naar [email]abuse@wanadoo.nl[/email] gestuurt maar dat
maakt toch geen ruk uit....
17-05-2005, 14:12 door
MvE
Door Anoniem
Voor een complete lijst subjects zie deze Spam Assassin file
van
Raymond Dijkxhoorn:
http://mailscanner.prolocation.net/german.cf
Jeroen
Voor een complete lijst subjects zie deze Spam Assassin file
van
Raymond Dijkxhoorn:
http://mailscanner.prolocation.net/german.cf
Jeroen
Perfect, bedankt voor de link!
Wat de spam betreft, waarom niet een regel instellen voor
de header TO:
die stelt:
als mail NIET bestemd voor [email]mijnnaam@domein.nl[/email] dan
verwijder.
de header TO:
die stelt:
als mail NIET bestemd voor [email]mijnnaam@domein.nl[/email] dan
verwijder.
Door Anoniem
Wat de spam betreft, waarom niet een regel instellen voor
de header TO:
die stelt:
als mail NIET bestemd voor
[email]mijnnaam@domein.nl[/email] dan
verwijder.
Waarom zou je? Gewoon de maildropWat de spam betreft, waarom niet een regel instellen voor
de header TO:
die stelt:
als mail NIET bestemd voor
[email]mijnnaam@domein.nl[/email] dan
verwijder.
uitzetten. Als de gebruikte user of alias niet bestaat,
wordt de mail gewoon niet aangenomen.
21-05-2005, 18:44 door
raboof
Wat de spam betreft, waarom niet een regel instellen
voor
de header TO: die stelt: als mail NIET bestemd voor
[email]mijnnaam@domein.nl[/email] dan verwijder.
Gaat dat niet mis met bijvoorbeeld mailinglijsten? (envoor
de header TO: die stelt: als mail NIET bestemd voor
[email]mijnnaam@domein.nl[/email] dan verwijder.
natuurlijk met spam die naar je adres gaat)
Het spammen is al een tijdje in de gaten gehouden en door een e-mail
truukje met Dennis hebben we hem dus in de val gelokt. Samen met een
paar andere mensen hebben we een msn aangemaakt en opvallend
genoeg kreeg 1 persoon veel spam van hem terwijl op het andere adres
niets aankwam. Bij mij hezelfde, 2 adressen en 1 wel en de ander niet.
Lijkt me sterk dat een virus nog selectief te werk gaat ook.
Het was gewoon zeker Dennis ook al zal hij volhouden dat hij het niet was.
Het heeft wel een maandje geduurd voordat hij dat virus van zijn server had
gehaald zei hij. Als bedrijf zijnde wil je niet eens een virus hebben en als je
hem heb haal je hem direct weg of zit ik er nu naast.
truukje met Dennis hebben we hem dus in de val gelokt. Samen met een
paar andere mensen hebben we een msn aangemaakt en opvallend
genoeg kreeg 1 persoon veel spam van hem terwijl op het andere adres
niets aankwam. Bij mij hezelfde, 2 adressen en 1 wel en de ander niet.
Lijkt me sterk dat een virus nog selectief te werk gaat ook.
Het was gewoon zeker Dennis ook al zal hij volhouden dat hij het niet was.
Het heeft wel een maandje geduurd voordat hij dat virus van zijn server had
gehaald zei hij. Als bedrijf zijnde wil je niet eens een virus hebben en als je
hem heb haal je hem direct weg of zit ik er nu naast.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.