05.13
Über den Dienst „BadBots“ erhalten wir viele URLs und Links, welche Spamer in unseren Honeypot-Wiki und Foren eintragen. Die Foren und Wikis erlauben dort das Posten ohne Registrierung, allerdings werden die Einträge nicht öffentlich gespeichert und sofort über blocklist.de reportet.
Bei den Spam-URL’s, nutzen die Spamer aus, das man in seinem Profil HTML und Bilder verwenden kann (Screenshots weiter unten).
Mit diesem wird dann das Bild über den Rest der Seite gelegt:
<h2>Über mich</h2>
<div style="padding: 5px 150px; background: rgb(255, 255, 255) none
repeat scroll 0% 0%; overflow: visible; z-index: 2147483647; position:
absolute; left: 0pt; top: 0pt; width: 980px; height: 2000px; font-size:
16pt;">
<strong><span style="font-family:Times New Roman;"><span
style="color:#FF0000;"><span style="font-size:x-large;"><font>THIS SITE
IS INTENDED FOR ADULTS ONLY!</font></span></span></span></strong>
<br>
<br>
<br>
<img alt="" src="http://nsrecord.org/pics/lol.jpg">
<br>
<a href="http://1k.pl/hifive"><img alt=""
src="http://nsrecord.org/pics/exit.jpg"></a> <a
href="http://1k.pl/hifive"><img alt=""
src="http://nsrecord.org/pics/enter.jpg"></a>
<br><br><br>
Dabei verweisen alle Links immer zu der Domain 1k.pl dort wiederrum ist ein Nachbau von youporn-Site aber alle Links dort verweisen auf eine xxxFlashxxxxx12323324234xxxxplayer.exe, welche sehr wahrscheinlich ein Trojaner ist.
[Edit]: die Datei wird aktuell nur von Symantec als Trojan.FakeAV!gen54 erkannt (Bei VirtusTotal 3 von 41).
[EDIT]: Mittlerweile wird auch Google zum weiterleiten verwendet und nicht nur noch 1k.pl:
http://www.google.com/url?sa=D&q=http://xxxx.com/xx/lxxxlla&usg=AFQjCNG0gcHHQ9Ob-o9RVRj6bslE6ORZCA
Allerdings meldet google nur das weitergeleitet wird und leitet automatisch um. Wenn man nur den Domainnamen eingibt, kommt die Warnung zum anklicken.
Betroffen sind folgende Dienste/Portal:
Counts | Url/Host
- 4819 abduzeedo.com
- 4571 my.opera.com
- 3246 technorati.com
- 2801 www.continental-furnishing.org
- 2799 www.us.splinder.com
- 2534 forum.ea.com
- 953 about.me
gehackt:
normal:
Die Top-Portale haben wir über die Konakt-Seite oder vorherigen Adressen angeschrieben.
Zwei (Opera und www.elakiri.com) haben die Liste von den URLs bereits erhalten und danach gefragt.
Mal schauen ob die anderen antworten. bzw. wir arbeiten daran über X-ARF die einzelnen URLs über das Schema Fraud automatisiert zu reporten.
[…] Abuse the about-me Sites from opera.com […]
[…] sind sehr viele Seiten von großen Portalen dabei, wo Aboute-Me-Seiten missbraucht werden. Einige Portale haben nach mehrmaligen Reports Abhilfe geschaffen (z.B. […]
[…] prüfen ab und zu manuell die Einträge, ob ein großer Dienst wie z.B. damals opera.com missbraucht werden, bzw. durch eine sehr hohe Anzahl an Einträgen auf die gleiche URL/Host […]