Storspammer til angrep på Norden

Millioner av uønsket e-post blir denne uken sendt til mottakere i hele Norden.

Virus112 melder om at uvanlig store mengder spam nå rettes mot nordiske e-postmottakere. Det dreier seg om millioner av meldinger som alle stammer fra samme aktør.

Ifølge selskapet startet det hele så smått sist søndag. Da begynt enkelte å motta meldinger med emnet "test gij". De tre siste bokstavene skal variere og virker tilfeldig genererte. Mengden skal ha økt kraftig i løpet av mandagen, og enkelte av Virus112s kunder ville ha fått tilsendt flere tusen meldinger om dagen, hadde det ikke vært for bruk av spamfiltre.

Selve e-posten er ren søppelpost som reklamerer for medisinske produkter som vanligvis krever resept, fra en nettbutikk. Eksempel på e posten ser du under:

****************************************

Hi,

X & N A X

M E R " D i A

A M B " E N

V " A G R A

P R 0 Z & C

S 0 M &

V A L " U M

L E V " T R A

C " A L i S

all 50 % off - http://www.negost.com/n1/

_____

am willing to let it stand against all my claim, dont you know. I may

be a burglar-or so they say: personally I never really felt like one-but

I am an honest one, I hope, more or less. Anyway I am going back now,

and the dwarves can do what they like to me. I hope you will find it

useful. The Elvenking looked at Bilbo with a new wonder.

Bilbo Baggins! he said. You are more worthy to wear the armour of

****************************************

Nettadressene som benyttes varierer, men felles for alle er at de leder fram til http://relevananti.com eller direkte til Pharmacy Express, som er en nettbutikk hvor man kan kjøpe alskens former for piller og medisin.

Blant adressene Virus112 har registrert, er disse:

# http://www.awerod.com/n1/

# http://www.wasoustar.com

# http://www.negost.com/n1/

# http://www.ancieregio.com

# http://www.lasoundesfa.com

# http://www.stiseermi.com

# http://www.seriocaves.com

# http://www.teresanol.com

# http://www.tonothille.com

Den omtalte søppelposten som Virus112 blokkerer, kommer ikke fra enkeltåstående e-postservere, men mottas fra hele verden og høyst sannsynlig fra et eller flere bot-nets.

    Les også:

Pharmacy Express drives av Leo Kuvayev, en person som Virus112 oppgir at samarbeider med stor-spammeren Alan Ralsky. Kuvayev selv skal tidligere ha vært involvert en hel del andre former for tvilsom virksomhet, inkludert phishingforsøk. Han skal også være beryktet for å utføre DNS-angrep mot sine motstander, men antas også å gjøre dette på oppdrag for andre spammere.

Virus112 skriver at det eller de bot-net som sender ut millioner av denne søppelposten, høyst sannsynlig styres av Leo Kuvayev eller Alan Ralsky. Begge er kjent for å benytte seg av Bulletproof Hosting i Kina, Brasil og Russland.

Leo Kuvayev er også mistenkt for å være "Pharmamaster"- spammeren som opprettet et DDoS-angrep (Distributed Denial of Service) på firmaet BlueSecurity, som ble lukket av samme årsak for et par uker siden.

Til toppen