Discussion:
DCE RPC Spamming?
(zu alt für eine Antwort)
Felix Saphir
2005-10-04 20:25:26 UTC
Permalink
Hallo!

Ist diese Gruppe eigentlich aktiv? Liest mich jemand?

Bin kein Fachmann, hoffentlich ist meine Erklärung verständlich: Ich bekomme
zur Zeit häufiger UDP-Pakete von z.B. 202-111-173-42, die wohl einen
(Windows? -) Remote Procedure Call bewirken sollen. Im Paket enthalten ist
eine Nachricht "Windows has encountered [...] internal error [] registry
corrupted", mit dem Hinweis sofort http :// www . FixRegNow . com zu
besuchen.

Das ganze ist mit mehreren Beispielen als ethereal-dump vorhanden.

Frage: Ist das als SPAM zu bewerten? Lohnt ein complaint (an wen?)?

Grüße,
Felix
--
/^\ ASCII Ribbon "In a world without
\ / Campaign walls and fences -
X No HTMLin who needs windows
/ \ email & news and gates?"
Gabriela Salvisberg
2005-10-04 22:56:06 UTC
Permalink
Post by Felix Saphir
Hallo!
Ist diese Gruppe eigentlich aktiv? Liest mich jemand?
Hier! *wink*
Hab die Gruppe eher zufällig immer noch abonniert, aber sie scheint
wirklich tot zu sein. Eine Alternative könnte de.comp.security.misc
sein.
Post by Felix Saphir
Bin kein Fachmann, hoffentlich ist meine Erklärung verständlich: Ich bekomme
zur Zeit häufiger UDP-Pakete von z.B. 202-111-173-42, die wohl einen
(Windows? -) Remote Procedure Call bewirken sollen. Im Paket enthalten ist
eine Nachricht "Windows has encountered [...] internal error [] registry
corrupted", mit dem Hinweis sofort http :// www . FixRegNow . com zu
besuchen.
Das erinnert mich an den alten "net send"-Spam per
Windows-Nachrichtendienst. Sind irgendwelche Ports angegeben?
Es könnten auch Rückmeldungen von Seiten sein, die in einem geblockten
Popup verlinkt wurden.
Post by Felix Saphir
Das ganze ist mit mehreren Beispielen als ethereal-dump vorhanden.
Frage: Ist das als SPAM zu bewerten? Lohnt ein complaint (an wen?)?
Jedenfalls wird da irgend ein Schlangenöl-Tool beworben, das
vermutlich den PC erst recht infiziert/trojanisiert. Laut
http://www.iks-jena.de/cgi-bin/whois stammt die IP 202-111-173-42 aus
China. Beschwerden sind da vergeblich.

Die beworbene Domain kannst dort auch nachschlagen. Da aber im Whois
kein vertrauenswürdig wirkender Kontakt erscheint, würde ich es mal
beim Zuständigen für die IP versuchen. Ein Ping auf die Domain ergibt
66.150.161.136, was "Internap Network Services" bedeutet (abuse at
internap.com). Sollten die UDP-Pakete jedoch von einem geblockten
Popup kommen, dann sind Beschwerden eher chancenlos.

Gruss
Gaby
Felix Saphir
2005-10-05 09:02:51 UTC
Permalink
Post by Gabriela Salvisberg
Post by Felix Saphir
Hallo!
Ist diese Gruppe eigentlich aktiv? Liest mich jemand?
Hier! *wink*
Hab die Gruppe eher zufällig immer noch abonniert, aber sie scheint
wirklich tot zu sein. Eine Alternative könnte de.comp.security.misc
sein.
*zurückwink* Danke für den Tip.
Post by Gabriela Salvisberg
Post by Felix Saphir
Bin kein Fachmann, hoffentlich ist meine Erklärung verständlich: Ich bekomme
zur Zeit häufiger UDP-Pakete von z.B. 202-111-173-42, die wohl einen
(Windows? -) Remote Procedure Call bewirken sollen. Im Paket enthalten ist
eine Nachricht "Windows has encountered [...] internal error [] registry
corrupted", mit dem Hinweis sofort http :// www . FixRegNow . com zu
besuchen.
Das erinnert mich an den alten "net send"-Spam per
Windows-Nachrichtendienst. Sind irgendwelche Ports angegeben?
Es könnten auch Rückmeldungen von Seiten sein, die in einem geblockten
Popup verlinkt wurden.
Eher Nachrichtendienst, so wie ich das einschätze. Wenn ich mich recht
erinnere (dump liegt zuhause...) werden die Ports 42009 und 1026 benutzt
(uh, welcher auf welcher Seite?), ein Blick in /etc/services half mir da
nicht weiter. Da guck ich nochmal genau nach.
Post by Gabriela Salvisberg
Post by Felix Saphir
Das ganze ist mit mehreren Beispielen als ethereal-dump vorhanden.
Frage: Ist das als SPAM zu bewerten? Lohnt ein complaint (an wen?)?
Jedenfalls wird da irgend ein Schlangenöl-Tool beworben, das
vermutlich den PC erst recht infiziert/trojanisiert. Laut
http://www.iks-jena.de/cgi-bin/whois stammt die IP 202-111-173-42 aus
China. Beschwerden sind da vergeblich.
... und nochmal danke! Das war nicht die einzige IP, aber dann kann ich
jetzt ja selber nachgucken gehen.
Post by Gabriela Salvisberg
Die beworbene Domain kannst dort auch nachschlagen. Da aber im Whois
kein vertrauenswürdig wirkender Kontakt erscheint, würde ich es mal
beim Zuständigen für die IP versuchen. Ein Ping auf die Domain ergibt
66.150.161.136, was "Internap Network Services" bedeutet (abuse at
internap.com). Sollten die UDP-Pakete jedoch von einem geblockten
Popup kommen, dann sind Beschwerden eher chancenlos.
Das könnte ein Treffer sein. Vielleicht hab ich hier einfach ein
"falsches" Beispiel gepostet; die 66.xxx IP kommt mir bekannt vor. Jetzt
wäre es doch aber sinnlos sich bei dem Sender der Pakete (RegFixNow und
"Verbündete") selbst zu beschweren. Meinst Du mit "zuständig", daß
Internap der Provider für RegFixNow ist, oder verstehe ich Dich falsch?

Grüße,
Felix
Florian Weimer
2005-10-05 11:14:10 UTC
Permalink
Post by Felix Saphir
Eher Nachrichtendienst, so wie ich das einschätze. Wenn ich mich recht
erinnere (dump liegt zuhause...) werden die Ports 42009 und 1026 benutzt
(uh, welcher auf welcher Seite?), ein Blick in /etc/services half mir da
nicht weiter. Da guck ich nochmal genau nach.
1026 dürfte auf Deiner Seite liegen. Diese Ports werden von Windows
beim Systemstart vergeben und sind nicht vorab zugewiesen, weswegen
sie nicht in ætc/services auftauchen. Der Absender schickt meist auf
Verdacht Pakete an 1024, 1025, 1026 usw.
Felix Saphir
2005-10-05 14:13:57 UTC
Permalink
Post by Florian Weimer
Post by Felix Saphir
Eher Nachrichtendienst, so wie ich das einschätze. Wenn ich mich recht
erinnere (dump liegt zuhause...) werden die Ports 42009 und 1026 benutzt
(uh, welcher auf welcher Seite?), ein Blick in /etc/services half mir da
nicht weiter. Da guck ich nochmal genau nach.
1026 dürfte auf Deiner Seite liegen. Diese Ports werden von Windows
beim Systemstart vergeben und sind nicht vorab zugewiesen, weswegen
sie nicht in ætc/services auftauchen. Der Absender schickt meist auf
Verdacht Pakete an 1024, 1025, 1026 usw.
Aha, Danke. Allerdings bezweifle ich, das die Ports (bei mir) von
*Windows* beim Start vergeben werden ... :)

Ein Beispiel hier zu posten dürfte überflüssig sein, oder?

Na, ich werd mal mein Abuse-"Glück" versuchen. Vielen Dank für die
Erklärungen!

Grüße,
Felix
Frank Ellermann
2005-10-06 18:49:46 UTC
Permalink
Post by Gabriela Salvisberg
Hab die Gruppe eher zufällig immer noch abonniert, aber sie
scheint wirklich tot zu sein.
Aus meiner Sicht haben Florian, Felix und Du gerade bewiesen,
dass diese Gruppe immer noch bestens funktioniert... :-) Bye
Gabriela Salvisberg
2005-10-06 21:29:49 UTC
Permalink
Post by Frank Ellermann
Aus meiner Sicht haben Florian, Felix und Du gerade bewiesen,
dass diese Gruppe immer noch bestens funktioniert... :-) Bye
Nur die Spinnweben in den Ecken haben anfangs noch etwas gestört :o)

Gaby

Loading...