Spammer op Spotnet/lite

[Artifex]

Sinds vanmorgen 23-02 merk ik dat er talloze spamspots worden geplaatst onder windows applications.Deze spamspots worden wel door de disposelist verwijdert achteraf, maar ze blijven bijkomen.Deze komen van (short ID): Nt0fMQ ( volledig): wPbiPnA91dRKcxkmym8x
63KHDDXe3Z5fzhMt6PcR
R3/Cr4uo/BD9Z+WJWu/l
hU23

Ik dacht dit even te melden.

[hjvbft]

Spotter op de blacklist zetten en het is opgelost totdat de spotter een andere id gaat gebruiken. Helaas gebruikt de spotter niet Spotnet 1.8+ en zijn de spots in Spotnet nog zichtbaar in het overzicht totdat er een DISPOSE bericht word geplaatst. SpotLite gebruikers kunnen SpotLite IL v1.0 of SpotLite Dispose Lijst gebruiken. De spots worden toegevoegd via de usenet servers van Usenetter.NL (X-Trace word vermeld in de header).

Verder deze spotter en vergelijkbare spotters zo min mogelijk aandacht geven. Dan gaat de "lol" er vanzelf af.

[Artifex]

Ik had de spotter/spammer gebanned, maar hij blijft idd in het overzicht staan.Ik gebruik ook Spotlite IL met disposelijst.
Gellukig na een disposebericht is hij alweer verdwenen

[Harper]

Die spotter heeft waarschijnlijk een scriptje of zo lopen, dus voorlopig zijn we er nog niet vanaf....

-- [bericht automatisch samengevoegd - 24 feb 2012, 09:44] --

het is trouwens een vervelende trojan, zag in de berichten al slachtoffers ervan. Gisterochtend werd hij nog door geen enkele virusscanner gedetecteerd en nu geeft alleen McAfee de melding: Heuristic.LooksLike.Win32.FakeYak.E

[Artifex]

mm, net achter gekomen dat het hier om meerdere user IDs gaat.Ze staan allemaal wel op de blacklist, maar ze blijven wel binnenkomen.Zal wel een programmatje ofzo zijn om automatisch te spammen.Triest

[Harper]

bij een paar spots gevonden:

Deze persoon is een Duitser en is te zien op youtube hoe hij hackt.
Al zijn bestanden zijn 739 KB en is een tool voor hem om in te breken in je pc.
http://www.youtube.com/watch?v=g6ZM7Er9zJM

Gezien zijn username FR34K die ook in de lijst met afzenders van de trojans voorkomt zou dit goed kunnen kloppen...

[Ypsos]

vreemd http://www.usenetter.nl/ is nog niet online (26-02-2012) en toch gepost met usenetter.nl ?

whois
http://whois.domaintools.com/usenetter.nl
http://whois.domaintools.com/195.22.100.243

-- [bericht automatisch samengevoegd - 26 feb 2012, 20:10] --

Received: by 10.68.136.40 with SMTP id px8mr21582639pbb.1.1329911302280;
Wed, 22 Feb 2012 03:48:22 -0800 (PST)
MIME-Version: 1.0
Path: wr5ni55049pbc.0!nntp.google.com!news2.google.com!news3.google.com!feeder3.cambriumusenet.nl!feed.tweaknews.nl!85.12.40.139.MISMATCH!xlned.com!feeder7.xlned.com!posting1.xlned.com!reader5.newsreader.usenetter.nl!not-for-mail
From: fake naam <vxQbpIvvO-sUQXF6xRuF6JrDJqBjIBmEOGRhP1JY5Pl-spVOeofOA-prMg3UXwjk...@47a00b15b24.1794048.10.1329911296.1.NL.D8xmWY1JSqjTZEKZNGNm5ku1rbghJf26Kr6-pytvO5iTBiEI0VAng6TmBkSqIeGkV>
Subject: KMS Activator for M$ <knip> 2010 Applications x86 x64 Mul | windows7windows7off<knip> ack
Newsgroups: free.pt
Message-ID: <5mUAswObAKsptVETwACr1@spot.net>
X-XML: <Spotnet><Posting><Key>7</Key><Created>1329911296</Created><Poster>CaptainSalvo</Poster><Tag>windows7windows7officeoffice2010office2010crack</Tag><Title>KMS Activator for Mi<knip>x86 x64 Mul</Title><Description>Mi<knip>.</Description><Image Width='300' Height='217'><Segment>8JFqsxeolpQstVETwA...@spot.net</Segment></Image><Size>1794048</Size><Category>04<Sub>04a00</Sub><Sub>04b15</Sub><S
X-XML: ub>04b24</Sub></Category><NZB><Segment>ZUIv4dTprAosNVETwA...@spot.net</Segment></NZB></Posting></Spotnet>
X-XML-Signature: k8NmfsTs4xJGZSnoX6CqNm2I050IfB109OeeBFU0Xv1Jw4CmYab19yP2fYNhKJu1
X-User-Key: <RSAKeyValue><Modulus>vxQbpIvvO/UQXF6xRuF6JrDJqBjIBmEOGRhP1JY5Pl/pVOeofOA+rMg3UXwjknnp</Modulus><Exponent>AQAB</Exponent></RSAKeyValue>
X-User-Signature: gvoPhWms0kPUNHO9T8npd6uUw8VGnMFwlkMQADEw0LP68AQ-pWEiUZxVWvBks3fj7
Date: 22 Feb 2012 11:48:21 GMT
Lines: 4
Organization: Usenetter.NL
X-Comments: Posted via reader5.newsreader.usenetter.nl
NNTP-Posting-Date: 22 Feb 2012 11:48:21 GMT
NNTP-Posting-Host: b1ca5d71.newsreader.usenetter.nl
X-Trace: DXC=SLA\FR85[IN4>=>I;BKI;ON`GDf^Tj1@@47E>To7nNdNI<VKZ2M^GVBNXoKLQRIglDKgTn<6^oM@IT1k_o2P^>]EVYdjJNBOF]MKC2^1l=AX>GKOFDT@WW^:NRJ]CQ7M3cMD
X-Complaints-To: ab...@n-o-s-p-a-m.usenetter.nl
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit

MS <knip> gives you powerful new tools to express your ideas, solve problems, and connect with people. <knip> lets you work how, when, and where you want, letting you get things from a PC, the Web, and even a smartphone.

Use Offi<knip>
.............

bron: <knip>

[hjvbft]

In de header van een andere gebruiker staat ook "Organization: Usenetter.NL"
Bij dezelfde gebruiker staat in oudere headers "Organization: usenetxtreme.nl".

telnet reader.extremeusenet.nl 119
201 reader.newsreader.usenetter.nl NNRP Service Ready - info@usenetter.nl (<knip>).
reader.extremeusenet.nl = news.usenetxtreme.nl = 85.12.7.180 = Base IP B.V. (EuroAccess Network Operations)

Uit de oude header: X-Complaints-To: abuse@usenetxtreme.nl
Uit de nieuwe header: X-Complaints-To: abuse@n-o-s-p-a-m.usenetter.nl
Uit de whois (Netwerkbeheerder): Spam / abuse: abuse@baseip.com

Deze usenet server word gebruikt door meerdere usenet providers. Info
123usenet = reader.123usenet.nl
Usenet.Pro = reader.usenet.pro
Extreme Usenet = reader.usenetxtreme.nl
VoordeligUsenet.nl = reader.voordeligusenet.nl
MijnUsenet.nl = newsreader.mijnusenet.nl
De spam is dus geplaatst via één van deze usenet providers.
De spam kan waarschijnlijk het makkelijkste gemeld worden bij de netwerkbeheerder.

Als de spam geplaatst is via Extreme Usenet word er een boete van 99 euro per spam bericht opgelegd.
Dit staat in de algemene voorwaarden van Extreme Usenet.