Virus112 melder om at uvanlig store mengder spam nå rettes mot nordiske e-postmottakere. Det dreier seg om millioner av meldinger som alle stammer fra samme aktør.
Ifølge selskapet startet det hele så smått sist søndag. Da begynt enkelte å motta meldinger med emnet "test gij". De tre siste bokstavene skal variere og virker tilfeldig genererte. Mengden skal ha økt kraftig i løpet av mandagen, og enkelte av Virus112s kunder ville ha fått tilsendt flere tusen meldinger om dagen, hadde det ikke vært for bruk av spamfiltre.
Selve e-posten er ren søppelpost som reklamerer for medisinske produkter som vanligvis krever resept, fra en nettbutikk. Eksempel på e posten ser du under:
****************************************
Hi,
X & N A X
M E R " D i A
A M B " E N
V " A G R A
P R 0 Z & C
S 0 M &
V A L " U M
L E V " T R A
C " A L i S
all 50 % off - http://www.negost.com/n1/
_____
am willing to let it stand against all my claim, dont you know. I may
be a burglar-or so they say: personally I never really felt like one-but
I am an honest one, I hope, more or less. Anyway I am going back now,
and the dwarves can do what they like to me. I hope you will find it
useful. The Elvenking looked at Bilbo with a new wonder.
Bilbo Baggins! he said. You are more worthy to wear the armour of
****************************************
Nettadressene som benyttes varierer, men felles for alle er at de leder fram til http://relevananti.com eller direkte til Pharmacy Express, som er en nettbutikk hvor man kan kjøpe alskens former for piller og medisin.
Blant adressene Virus112 har registrert, er disse:
# http://www.awerod.com/n1/
# http://www.wasoustar.com
# http://www.negost.com/n1/
# http://www.ancieregio.com
# http://www.lasoundesfa.com
# http://www.stiseermi.com
# http://www.seriocaves.com
# http://www.teresanol.com
# http://www.tonothille.com
Den omtalte søppelposten som Virus112 blokkerer, kommer ikke fra enkeltåstående e-postservere, men mottas fra hele verden og høyst sannsynlig fra et eller flere bot-nets.
Les også:
- [25.11.2009] «Gudfaren av spam» fikk fire år ubetinget
- [04.01.2008] Spammet seg til formue på børsen
- [02.03.2004] Virusofre sender hver tredje spampost
- [22.04.2003] Spammer oversvømmes av papirpost
Pharmacy Express drives av Leo Kuvayev, en person som Virus112 oppgir at samarbeider med stor-spammeren Alan Ralsky. Kuvayev selv skal tidligere ha vært involvert en hel del andre former for tvilsom virksomhet, inkludert phishingforsøk. Han skal også være beryktet for å utføre DNS-angrep mot sine motstander, men antas også å gjøre dette på oppdrag for andre spammere.
Virus112 skriver at det eller de bot-net som sender ut millioner av denne søppelposten, høyst sannsynlig styres av Leo Kuvayev eller Alan Ralsky. Begge er kjent for å benytte seg av Bulletproof Hosting i Kina, Brasil og Russland.
Leo Kuvayev er også mistenkt for å være "Pharmamaster"- spammeren som opprettet et DDoS-angrep (Distributed Denial of Service) på firmaet BlueSecurity, som ble lukket av samme årsak for et par uker siden.
