Full Disclosure mailing list archives

Previous By Date Next
Previous By Thread Next

Re: defamatory joe job attack by botnet

From: Jean-Marie Monnier <kedves () attglobal net>
Date: Tue, 25 May 2004 10:45:14 +0200
I have - and this annoyance still goes on- experimented something similar as the "stealing of identity reported by Suart (except that there is so far no "hate mail" involved, but "good old spamming"? to sell junk or offer access to porn sites, which I discovered by getting undelivered mail sent under my email address, but with so far a fake name... To wit: 
=========================================================================================================

A message (from <kedves () attglobal net>) (that's moi!) was received at 24 Jun 2004 20:19:46 +0000.

The following addresses had delivery problems:

<keithb () attglobal net>
        Permanent Failure: 522_mailbox_full;_group_quota_sz=3144715/3145728_ct=734/100000
        Delivery last attempted at Thu, 24 Jun 2004 20:19:46 -0000

------------------------------------------------------------------------

Reporting-MTA: dns; prserv.net
Arrival-Date: 24 Jun 2004 20:19:46 +0000

Final-Recipient: rfc822; <keithb () attglobal net>
Action: failed
Status: 5.0.0 522_mailbox_full;_group_quota_sz=3144715/3145728_ct=734/100000
Diagnostic-Code: smtp; Permanent Failure: Other undefined Status
Last-Attempt-Date: Thu, 24 Jun 2004 20:19:46 -0000


------------------------------------------------------------------------

Sujet:
<<POTENTIAL-SPAM>> 452332
De:
"Louis Hastings" <kedves () attglobal net>
Date:
Sun, 27 Jun 2004 00:31:32 +0400

A:
"Kedves" <kedves () attglobal net>


Kedves, Looking for not expensive high-quality software?
We might have just what you need.
Windows XP Professional 2002 <http://M6AsC.mhcnjcnn.info/?wf2B2NwL1A7pOw0U0E>............. $50 
<http://U3GHRW.cklibcdn.info/?N0PSPyhwOloazNNuJQhOZU>
and lots more... <http://86InS.cklibcdn.info/?mBoXU7m5nWtLEmmQYj>
======================================================================================================
I can't figure how "they" do this, and if I have a way to protect myself... I am also afraid that this mail can- and is probably- not sent at random, but also to some preople found out in my address book or elsewhere, and might paint me as a "black sheep".... 

Chers, jm

lsi a écrit:
On June 11 it was reported that Dutch mailboxes were flooded with racist hatemail sent via the Sobig worm. 

http://www.theregister.co.uk/2004/06/11/german_hate_mail_virus/
I can report that not only is this activity continuing, but it is doing so under the names of ... well, me, at least - I have received several bounces indicating that my email address is being used as the "from" address.
I include the fulltext of a sample bounce below. Note: the text is reportedly racist in nature. I include it for forensic purposes. This is the full disclosure list, right? Maybe it was just me who got joe-jobbed by Sobig in this way? Or maybe there are some other posters to the security conferences who are being toasted too?
Note: 82.3.47.243 is apparently a cable connection owned by NTL UK. Probably just an owned box though. And probably a dynamic IP as well. 

Stuart

[ok, I trimmed these headers, irrelevant]
Date: Thu, 24 Jun 2004 13:05:42 +0100 (BST)
From: MAILER-DAEMON () pfmx1 pop uk netscalibur com (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: stuart () cyberdelix net

This is a MIME-encapsulated message.

--69D9D6749F5.1088078742/pfmx1.pop.uk.netscalibur.com
Content-Description: Notification
Content-Type: text/plain

This is the Postfix program at host pfmx1.pop.uk.netscalibur.com.

I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the message returned below.

                        The Postfix program

<louise () cyrus02 pop uk netscalibur com>: host
   cyrus02.store.pop.uk.netscalibur.com[194.112.32.39] said: 552 5.2.2 Over
   quota (in reply to RCPT TO command)

--69D9D6749F5.1088078742/pfmx1.pop.uk.netscalibur.com
Content-Description: Delivery error report
Content-Type: message/delivery-status

Reporting-MTA: dns; pfmx1.pop.uk.netscalibur.com
Arrival-Date: Thu, 24 Jun 2004 13:05:42 +0100 (BST)

Final-Recipient: rfc822; louise () cyrus02 pop uk netscalibur com
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host
   cyrus02.store.pop.uk.netscalibur.com[194.112.32.39] said: 552 5.2.2 Over
   quota (in reply to RCPT TO command)

--69D9D6749F5.1088078742/pfmx1.pop.uk.netscalibur.com
Content-Description: Undelivered Message
Content-Type: message/rfc822
Content-Transfer-Encoding: 8bit

Received: from rmx5.dircon.net (rmx5.dircon.net [195.157.4.7])
        by pfmx1.pop.uk.netscalibur.com (Postfix) with ESMTP id 69D9D6749F5
        for <louise () dircon co uk>; Thu, 24 Jun 2004 13:05:42 +0100 (BST)
Received: from qmx0.uk.netscalibur.com (qmx0.uk.netscalibur.com [194.112.32.44])
        by rmx5.dircon.net (Mirapoint Messaging Server MOS 3.3.5-GR)
        with SMTP id AVI60539;
        Thu, 24 Jun 2004 13:04:08 +0100 (BST)
Received: (qmail 95729 invoked from network); 24 Jun 2004 12:04:33 -0000
Cc: recipient list not shown: ;
Received: from unknown (HELO yddcfxtx.net) (82.3.47.243)
 by 194.112.32.44 with SMTP id 1088078670X93760X0; 24 Jun 2004 12:04:30 -0000
From: stuart () cyberdelix net
Date: Thu, 24 Jun 2004 11:33:35 GMT
MIME-Version: 1.0
Subject: EU Beitritt der Tuerkei ? (Id:9951)
Importance: Normal
X-Priority: 3 (Normal)
Message-ID: <4148b811e04d28.e372b.qmail () cyberdelix net>
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset="us-ascii"

Aufnahme der Beitrittsverhandlungen mit der Tuerkei oder nicht - eine Entscheidung, die 'das Ende Europas' bedeuten koennte. 
Dieses Wort stammt vom frueheren franzoesischen Praesidenten Giscard d'Estaing.
Schon 2002 hatte er davor gewarnt, dass ein Beitritt der Tuerkei zur EU dem 'Ende Europas' gleichkaeme. Die 
bundesdeutschen Beitrittsbefuerworter verdraengen und verschweigen die unabsehbaren Folgen dieser Entscheidung:

(1) Die Tuerkei hat schon jetzt 70 Millionen Einwohner. Sie wird bis zu ihrem EU-Beitritt die BRD in der 
Bevoelkerungszahl ueberholt haben und in den EU-Institutionen das entsprechende Stimmengewicht erhalten.
(2) Die Tuerkei passt wirtschaftlich nicht in die EU. Das Land ist hoffnungslos ueberschuldet und waere ohne staendige 
internationalen Kredite laengst bankrott. Das Pro-Kopf-Einkommen betraegt nur 23% des EU-Durchschnitts. Die EU-Subventionen, auf 
die die Tuerkei Anspruch haette, wuerden nicht nur den Bruesseler Haushalt sprengen, sondern auch die heute schon ueberschuldeten 
'Geberlaender' wie die BRD gaenzlich ruinieren.
(3) Mit der Aufnahme eines asiatischen Landes und dem Verzicht auf vernuenftige Aussengrenzen verliert die EU ihre 
Identitaet.

Trotz dieser unbestreitbaren Sprengsaetze rollt die Kampagne fuer den tuerkischen Beitritt immer schneller und unaufhaltsamer 
voran: Der tuerkische Regierungschef Erdogan nimmt bereits an den Konferenzen der EU-Regierungschefs teil, freilich noch ohne 
Stimmrecht und die Tuerkei erhaelt jetzt schon EU-Gelder zur 'Beitrittsvorbereitung'.
Es ist alles wie bei der Euro-Einfuehrung: Erst erscheint der ganze Plan unrealistisch und wird von vielen fuer undurchfuehrbar 
gehalten; dann wird eine offene Diskussion ueber Pro und Contra als 'europa- oder fremdenfeindlich' kriminalisiert, und 
schliesslich wird die Entscheidung hinter verschlossenen Tueren, ohne Beteiligung des demokratischen Souveraens und ohne 
Volksabstimmung gefaellt und fuer unumkehrbar erklaert.
Dasselbe Spiel mit den Vorbedingungen: Beim Euro waren es die Maastrichter Kriterien, die schon vor 1999 nicht erfuellt 
wurden und inzwischen offen missachtet werden. Die Tuerkei-Kriterien heissen: Wiedervereinigung Zyperns (als ob das so 
wichtig waere), Menschenrechte, Demokratisierung. Nichts hindert Ankara daran, diese Bedingungen pro forma zu 
erfuellen. Selbst wenn sie erfuellt wuerden, waeren damit die oben angefuehrten grundlegenden Argumente gegen den 
Tuerkei-Beitritt nicht im geringsten widerlegt.
Ein uebles Spiel, das den Verdacht naehrt, hier werde eine Verschwoerung gegen Deutschland und Europa angezettelt. Berlin hat sich ohne 
jedes Waehlermandat bereits festgelegt. Sollte der Beitritt scheitern, sagte Aussenminister Fischer laut 'WamS' vom 8. 2. 2004, 
wuerde man dafuer 'einen sehr hohen Preis zahlen'.
Ein Satz, den man zweimal lesen muss. Fischer droht dem deutschen Volk. Worin der hohe Preis bestehen wuerde, verschweigt er. Vielleicht meint er, dass die in Deutschland lebenden Tuerken auf die Strasse gehen koennten. Oder er fuerchtet den Zorn der USA, die den Beitritt seit Jahren verlangen. Washington weiss genau, dass die Aufnahme Kleinasiens zu einem 'bankrotten Halt' der gesamten EU (so die 'Financial Times' vom 15.1.2004) fuehren koennte. Ganz nuechtern urteilt die 'International Herald Tribune' am 24.11.2003: 

'Dass die Bevoelkerung in ganz Europa schrumpft, bedeutet, dass noch mehr Einwanderung bevorsteht. Die Aufnahme der Tuerkei 
als EU-Mitglied wuerde diesen Trend beschleunigen und die Definition Europas unwiderruflich aendern … Viele Europaeer muessen 
erst noch akzeptieren, dass die traditionell weisse, christliche Kultur ihrer Vorfahren abgeloest wird von einem multikulturellen 
Mix mit einem starken islamischen Gewicht.'

--69D9D6749F5.1088078742/pfmx1.pop.uk.netscalibur.com--

-- End --
------- End of forwarded message -------

---
Stuart Udall
stuart at () cyberdelix dot net - http://www.cyberdelix.net/
--- * Origin: lsi: revolution through evolution (192.168.0.2) 

_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.netsys.com/full-disclosure-charter.html



_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.netsys.com/full-disclosure-charter.html
Previous By Date Next
Previous By Thread Next

Current thread: