ALERTE - Spam d'Evidence Eliminator

Bonjour

Spam de Evidence Eliminator

Reçu 2 spam intitulés "You are being watched" (on vous regarde) tentant de faire peur et incitant à l'achat d'un produit : Evidence Eliminator.


Le premier le 8/7/03

[code]You're in Serious Trouble - It's a Proven Fact!

Deleting "Internet Cache and History" will NOT protect you because any
of the Web Pages, Pictures, Movies, Videos, Sounds, E-mail, Chat Logs and
Everything Else you see or do could easily be recovered to Haunt you forever!
How would you feel if a snoop made this information public to your Spouse,
Mother & Father, Neighbors, Children, Boss, Church or the Media? It could
easily Ruin Your Life! Solve all your problems and enjoy all the benefits of
an "As New PC" Right Now! Evidence Eliminator can Speed-Up your
PC/Internet Browser, reclaim Hard Disk space and Professionally Clean
your PC in one easy mouse click!

CLICK HERE TO DOWNLOAD NOW![/code]

Le second est juste une image cliquable "inquiétante" sur le domaine www.terriblyterrific.com.

Les deux spam conduisent à la même adresse. Analyse du spam :

Ouverture du mail en mode source. L'ensemble du texte est un flux html entièrement linké à une page sur un site identifié uniquement par son adresse IP soit 80.96.3.18 et sur une racine appelée ee.

Je commence par tenter une ouverture du http://80.96.3.18

80.96.3.18 -> forbidden !

Donc je continue en tentant http://80.96.3.18/ee (l'url complete dans le spam).

Cette page est une redirection invisible et immédiate vers une page du site de Evidence Eliminator.
J'arrive à intercepter cette page de transision qui contiend le code suivant:

[code]<html>
<head>

<title>Welcome!</title>
</head>
<body BGCOLOR="#FFFFFF">
<meta HTTP-EQUIV="Refresh" CONTENT="0; URL=[gras]http://www.evidence-eliminator.com[/gras]/d2w/e.d2w?a=A664828&tr=m&rq=354426&click=pak1">
</body>
</html>[/code]

La page atteinte [gras]EST BIEN UNE PAGE DU SITE DE EVIDENCE ELIMINATOR[/gras]. Elle tente de vous faire peur en vous affichant vos bêtes données standard d'environnement telle que "Votre adresse IP est ...) ainsi qu'en affichant dans un iframe le contenu du répertoire de votre dicque C: avec navigation possible dessus.

Les paramètres qui suivent l'url pourraient être des identificateurs de traçage - peut-être pour rémunérer des partenaires se prétant à cette scandaleuse démonstration fournie par l'éditeur lui-même du logiciel.

[code]Je vous ai déjà mis en garde la-dessus. Extrait de ma page "qui etes-vous ?" à
http://terroirs.denfrance.free.fr/p/internet/essentiel/qui_etes_vous.php

...Comment c'est possible ?
Du calme ! Ceci est fait très simplement en utilisant un Iframe. Cette information ne peut pas être révélée à qui que ce soit par la nature même des Iframes. Cette commande s'exécute sur votre ordinateur, localement, et aucune information ne remonte vers le Net. Ceci est juste fait pour vous démontrer qu'il est possible, facilement, d'accéder à tout votre ordinateur. Effrayant, non ?

Je ne vois rien - la case reste vide
Si cela ne fonctionne pas, c'est que votre navigateur ne supporte pas la méthode employée. Une seconde méthode est employée ci-dessous.

Attention
Plusieurs sites essayent de vous effrayer avec ce genre de démonstrations (je le répète, c'est totalement inofensif) qui se terminent souvent par la tentative de vous vendre un utilitaire de protection ou de télécharger gratuitement un utilitaire. Dans ce second cas, vous pouvez être assuré qu'il s'agit d'un cheval de Troie avec une charge utile de type backdoor ou virus ou dialer (ou tout autre forme d'attaque ou outil d'attaque utilisant votre ordinateur pour lancer d'autres attaques)...[/code]

Voici ce qu'affiche la page d'évidence eliminator pour me faire peur. On y parle même de la police !!!

[code]449 WANADOO Investigation
Your computer has been tracked.
Your IP is under investigation:xxxxxxxxxxx
Your ISP is co-operating:xxxxxxxxxxxx
They know you are using:xxxxxxxxxxxxx
Your computer is:xxxxxxxxxxxxxxxx
Your risk status for further investigation: VERY HIGH RISK

Your computer is full of evidence. You need help now.
Years of Internet data could be used by the police.
Time of latest investigation: Today -
Click Here Now For Urgent Help To Stop This Investigation
Are you guilty? What's that on your desktop? What are all those PICTURES?

Ici, un iframe avec appel à l'explorateur de Windows qui affiche la racine du disque C:

Click Here Now For Urgent Help To Stop This Investigation[/code]

C'est une escroquerie ! C'est scandaleux ! Honteux ! Complètement méprisable ! Et ceci est écrit par eux mêmes et mis directement sur leur site !!! L'idée est d'effrayer les gens pour qu'ils achètent leur programme. Voici le source complet du mail, y compris, donc le header.

[code]From - Thu Jul 03 18:23:27 2003
X-UIDL: 1057230199.31210.mrelay1-1
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
Return-Path: <rachel2256@yahoo.com>
Delivered-To: xxxxx.xxxxx.xxxxx.xxxxxx@xxxxxx.xxx
Received: (qmail 29449 invoked from network); 3 Jul 2003 11:02:22 -0000
Received: from p508338ef.dip.t-dialin.net (HELO yahoo.com) (80.131.56.239)
by mrelay1-1.free.fr with SMTP; 3 Jul 2003 11:02:22 -0000
From: Security Alert <jouko.selkala_262@which.co.uk>
To: <xxxxxxxxxxx@xxxxxx.xxx>
Subject: You'll be sorry if you don't act now
Date: Thu, 3 Jul 2003 03:37:08 2003 03:37:08 +0000 EST
Mime-Version: 1.0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit

<div align="center"><center><table border="1" cellpadding="0" cellspacing="0" width="630" bordercolor="#000000"><tr><td><div align="center"><table border="0" width="630" bgcolor="#FFFFFF" cellpadding="8" cellspacing="0"><tr><td width="88"><p align="center"><a href="http://80.96.3.18/ee/"><img border="0" src="http://80.96.3.18/ee/i/boxshotlarge.php" width="88" height="120"><br><font face="Arial" size="2" color="#0000FF">Quick & Safe!<br>Eliminate<br>Secret Data<br>Now!</font></a></p></td><td><p align="left"><a href="http://80.96.3.18/ee/"><u><font face="Arial" color="#FF0000" size="4"><b><i>You're in Serious Trouble - It's a Proven Fact!</i></b></font><font face="Arial" size="2" color="#0000FF"><br><br>Deleting "Internet Cache and History" will <b>NOT</b> protect you because any of the Web Pages, Pictures, Movies, Videos, Sounds, E-mail, Chat Logs and Everything Else you see or do could easily be recovered to Haunt you forever! How would you feel if a snoop made this information public to your <b>Spouse</b>, <b>Mother</b> & <b>Father</b>, <b>Neighbors</b>, <b>Children</b>,<b> Boss</b>, <b>Church</b> or the <b>Media?</b> It could easily Ruin Your Life! Solve all your problems and enjoy all the benefits of an <b>"As New PC" Right Now</b>! <b>Evidence Eliminator</b> can Speed-Up your PC/Internet Browser, reclaim Hard Disk space and <b>Professionally</b> Clean your PC in one easy mouse click!</font><br><br><b><font face="Arial" color="#0000FF" size="3">CLICK HERE TO DOWNLOAD NOW!</font></b></u></a></p></td></tr></table></div></td></tr></table></center></div><p align="center"><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br></tr><tr><td align=center><font size=2><a href="http://80.96.3.18/remove/unsub.php">To remove yourself from this list, please click here</a></font></p>[/code]

J'ai fais un Whois sur 80.96.3.18 - voici le résultat : C'est dans un intervalle d'adresse IP appartenant à une société de communications sise en Roumanie.

[code]inetnum: 80.96.3.0 - 80.96.3.255
netname: SC-FILDANA-SRL
descr: SC FILDANA SRL
descr: B-dul. 21 Decembrie 150
descr: 3400 Cluj-Napoca Romania
country: ro
admin-c: NAG99
tech-c: NAG99
status: ASSIGNED PA
mnt-by: AS3233-MNT
mnt-lower: AS3233-MNT
mnt-routes: IHOLDING-MNT
notify: hostmaster@rnc.ro
changed: hostmaster@rnc.ro 20030513
source: RIPE

route: 80.96.3.0/24
descr: NewAge
origin: AS24927
mnt-by: IHOLDING-MNT
changed: andrei@pcnet.ro 20030626
source: RIPE

person: NewAge Comunications
address: NOC NewAge Comunications
phone: +40 21 4101031
e-mail: admin@negru.net
remarks: Any abuse mail to abuse@negru.net
nic-hdl: NAG99
mnt-by: LIMAN-MNT
notify: admin@negru.net
changed: admin@negru.net 20030626
source: RIPE[/code]

Intervalle 80.96.3.0 - 80.96.3.255
Inutile de vous dire que cet intervalle d'adresse IP figure dans ma liste de blocage d'adresses IP par http://terroirs.denfrance.free.fr/p/p2p/peerguardian/presentation.html

Le domaine www.terriblyterrific.com est introduit dans ma liste hosts
Les serveurs de terriblyterrific.com sont
NS1.QWDNS.COM introduit dans ma liste hosts
NS2.QWDNS.COM introduit dans ma liste hosts
Les adresses IP de ces 2 serveurs sont 65.89.167.2 146.82.38.4, introduites individuellement (pas sous forme d'un intervalle !!!) dans PeerGuardian
Le domaine negru.net n'existe pas
Le domaine rnc.ro est celui d'un registrar
Le domaine pcnet.ro est celui d'un FAi et hébergeur

Voici le source complet de la page qui tente de faire peur. Elle est à
http://www.evidence-eliminator.com/d2w/e.d2w?a=A664828&tr=m&rq=354426&click=pak1

[code]<html>
<head>


<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="GENERATOR" content="Microsoft FrontPage 4.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta HTTP-EQUIV="Pragma" CONTENT="no-cache">
<title>YOU HAVE A BIG PROBLEM</title>

<script language="JavaScript">
if (window != top) top.location.href = location.href;
</script>

<script language="JavaScript">
self.moveTo(0,0);
self.resizeTo(screen.availWidth - 5,screen.availHeight - 5);
</script>
</head>

<body bgcolor='yellow' text='black'>
<style type="text/css"><
a:link { color: #0000FF }
a:visited { color: #0000FF }
a:active { color: #0000FF }
a:hover { color: #0000FF }
>
</style>

<p>
<h1>
449 WANADOO Investigation
</h1>
<p>Your computer has been tracked.</p>
<hr>
<br><br>

<table border="1" cellpadding="2" width="700" bordercolorlight="#808080" bordercolordark="#808080">
<tr>
<td width="300">Your IP is under investigation:</td>
<td width="400"><i><b>217.128.0.17</b></i></td>
</tr>
<tr>
<td width="300">Your ISP is co-operating:</td>
<td width="400"><i><b>WANADOO</b></i></td>

</tr>
<tr>
<td width="300">They know you are using:</td>
<td width="400"><i><b>Netscape v$1.x</b></i></td>
</tr>
<tr>
<td width="300">Your computer is:</td>

<td width="400"><i><b>Windows XP</b></i></td>
</tr>
<tr>
<td width="300">Your risk status for further investigation:</td>
<td width="400"><i><b>VERY HIGH RISK</b></i></td>
</tr>
</table>

<br><br>
<hr>
<p align="left">Your computer is full of evidence. You need help now.</p>
<p>Years of Internet data could be used by the police.</p>
<p>Time of latest investigation: <i><b>Today <script langauge="JavaScript">
<!--
document.write("");
var right_now=new Date();
var right_hours=right_now.getHours()
if (right_hours > 12)
right_hours = right_hours - 12;
document.write(right_hours);
document.write(":");
var right_min=right_now.getMinutes();
if (right_min < 10)
document.write("0");
document.write(right_min);
document.write(":");
var right_sec=right_now.getSeconds();
if (right_sec < 10)
document.write("0");
document.write(right_sec);
var ampm=" A.M.";
if (right_now.getHours() > 12)
ampm=" P.M.";
document.write(ampm);
document.write(" ON ");
function makeArray() {
for (i = 0; i<makeArray.arguments.length; i++)
this[i + 1] = makeArray.arguments[i]; }
var months = new makeArray('JANUARY','FEBRUARY','MARCH','APRIL','MAY','JUNE','JULY','AUGUST','SEPTEMBER','OCTOBER','NOVEMBER','DECEMBER');
var date = new Date();
var day = date.getDate();
var month = date.getMonth() + 1;
var yy = date.getYear();
var year = (yy < 1000) ? yy + 1900 : yy;
document.write(day + " " + months[month] + " " + year);
//-->
</script>
</b></i></p>

<h2 align="left"><b><font color=#0000ff>

<a href="/product.shtml" onmouseover="parent.status='Get Protection Right Now';return true" onmouseout="parent.status='';return true" onclick="DisplayConsole=false">
<font color="#0000ff">
Click Here Now For Urgent Help To Stop This Investigation</font>

</a>

</font></b></h2>
Are you guilty? What's that on your desktop? What are all those PICTURES?
<p align='left'><iframe src='file:///C:/' height=300 width=500 marginwidth=0 marginheight=0 scrolling=no frameborder=0 vspace=2></iframe></p>
<h2 align="left"><b><font color=#0000ff>

<a href="/product.shtml" onmouseover="parent.status='Get Protection Right Now';return true" onmouseout="parent.status='';return true" onclick="DisplayConsole=false">
<font color="#0000ff">
Click Here Now For Urgent Help To Stop This Investigation</font>
</a>

</font></b></h2>

</body>

</html>[/code]

http://terroirs.denfrance.free.fr/p/internet/essentiel/qui_etes_vous.php

http://terroirs.denfrance.free.fr/p/p2p/peerguardian/presentation.html

http://terroirs.denfrance.free.fr/p/frameset/09.html