spams qui ne vendent rien

Le
siger
Bonjour,

Depuis peu je reçois plusieurs spams par jour, presque idendiques qui
ne vendent rien. Les sujets et expéditeurs sont à chaque fois
différents, le texte est du TXT, il n'y a aucun lien, c'est de
l'anglais, il est à chaque fois différent mais tous se ressemblent, il
est toujours question de business, de gros sous.

Ils cherchent visiblement à contourner les filtres, par exemple en
changeant un peu des mots reconnaissables (chacun revient plusieurs
fois, mais pas assez pour qu'on puisse le filtrer) :

G TRL
G TR L
G TR_L
G T RL
G T R_L
G T_RL
G T_R L
G T_R_L
G_TRL
G_TR L
G_TR_L
G_T R L
G_T R_L
G_T_RL
G_T_R L
G_T_R_L
GT R L
GT R_L
GT_RL
GT_R L
GTR L
GTR_L

C'est peut-être d'eux qu'il s'agit : http://finance.yahoo.com/q?s=GTRL

Le dernier :
"Your Immediate Attention: New Big Technical Report

Urgent News - G T_R L could soon reach 8 cent. G T_R L has awesome
announcements prepared and when G T_R L distribute the news the company
worth would rise! As its trades very undervalue lately, its the perfect
opportunity to purchase your 160`000 of G T_R L on May 6!"


Quel est l'intérêt ?

Ces spams sont tous tagués [SPAM] par OVH. Est-ce qu'ils filtrent le
HTML, et donc les liens ?


--
siger
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Sergio
Le #25384782
Le Sun, 05 May 2013 09:18:33 +0000, siger a écrit :

Ils cherchent visiblement à contourner les filtres, par exemple en
changeant un peu des mots reconnaissables (chacun revient plusieurs
fois, mais pas assez pour qu'on puisse le filtrer) :

Le dernier :
"Your Immediate Attention: New Big Technical Report

Urgent News - G T_R L could soon reach 8 cent. G T_R L has awesome
announcements prepared and when G T_R L distribute the news the company
worth would rise! As its trades very undervalue lately, its the perfect
opportunity to purchase your 160`000 of G T_R L on May 6!"

Quel est l'intérêt ?



De faire monter artificiellement l'action de cette société pour une
magouille boursière ?
Erwan David
Le #25384862
Sergio
Le Sun, 05 May 2013 09:18:33 +0000, siger a écrit :

Ils cherchent visiblement à contourner les filtres, par exemple en
changeant un peu des mots reconnaissables (chacun revient plusieurs
fois, mais pas assez pour qu'on puisse le filtrer) :



Le dernier :
"Your Immediate Attention: New Big Technical Report



Urgent News - G T_R L could soon reach 8 cent. G T_R L has awesome
announcements prepared and when G T_R L distribute the news the company
worth would rise! As its trades very undervalue lately, its the perfect
opportunity to purchase your 160`000 of G T_R L on May 6!"



Quel est l'intérêt ?



De faire monter artificiellement l'action de cette société pour une
magouille boursière ?



Oui c'est une magouille assez vieille. Prendre une boite dont les
actions sont peu échangées, si quelques centaines de personnes en
achètent d'un coup le cours va monter. Pour retomber plus tard, mais
celui qui a lancé l'arnaque s'en fout, il a bénéficié de la montée et
s'est retiré tout de suite


--
Les simplifications c'est trop compliqué
siger
Le #25384982
Erwan David a écrit :

Sergio
Quel est l'intérêt ?



De faire monter artificiellement l'action de cette société pour
une magouille boursière ?



Oui c'est une magouille assez vieille. Prendre une boite dont les
actions sont peu échangées, si quelques centaines de personnes en
achètent d'un coup le cours va monter. Pour retomber plus tard,
mais celui qui a lancé l'arnaque s'en fout, il a bénéficié de la
montée et s'est retiré tout de suite



Je reçois plusieurs messages par jour depuis janvier, j'aurai plutôt
l'impression que le but est d'énerver les gens et qu'ils vendent tout.

De plus c'est sur des adresses d'administration de listes, donc il n'y
a aucun doute sur l'intention malhonnête.

--
siger
Jacques Belin
Le #25392052
Le dimanche 5 mai 2013 12:41:29,
siger
Je reçois plusieurs messages par jour depuis janvier,



Je dirais plutot depuis février.

En effet, si les premières traces que j'ai du botnet qui envoient ces
spams datent du 6 janvier, c'est vers le 14 février qu'il a commencé à
etre vraiment actif en envoyant ces spams boursiers.

A propos, pour reconnaitre ce botnet, il suffit de regarder le dernier
entête Received:, qui est un fake (le premier valide, qui indique la
vraie IP de la machine vérolée est juste au dessus) et qui contient
toujours " unknown (HELO" suivi d'une chaine de caractères changeante
(et non un fdqn comme spécifié dans les RFC).
Perso, je filtre certaines de mes boites avec ça pour dégrossir le
travail (direct dans la corbeille...), mais sans détruire les messages,
car il y a parfois des messages légitimes qui contiennent aussi ce
"unknown (HELO"


j'aurai plutôt
l'impression que le but est d'énerver les gens et qu'ils vendent tout.



En fait il n'a quasiment fait qu'envoyer ces spams boursiers, si ce
n'est lors des attentats de Boston et l'explosion de l'usine au
Texas, où il a envoyé à la place des vidéos relatives aux éveneme nts,
suivie de lien vers des sites que je n'ai jamais eu le temps de visiter
avant qu'ils soient désactivés.


De plus c'est sur des adresses d'administration de listes, donc il n'y
a aucun doute sur l'intention malhonnête.



Bah, apparament, il envoie sur tout ce qu'il peut trouver. Et il en
trouve par millions...

Non seulement des adresses qu'il doit récupérer sur les machines
vérolées (ce qui explique que plein de vieux utilisateurs de services
que je gère se plaignent de se mettre à recevoir tout à coup des spam s -
3 par jour, c'est intiolérable !- %-)), que des adresses que ne peuvent
avoir que les spammeurs/collectionneurs, comme la fameuse adresse que je
n'ai utilsée qu'une seule fois il y a plus de dix ans pour envoyer UN
message dans un newsgroup, et qui est encore probablement mon adresse la
plus spammée...


A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown
Jacques Belin
Le #25392132
Le mercredi 8 mai 2013 17:30:19,
Jacques Belin
A propos, pour reconnaitre ce botnet, il suffit de regarder le dernier
entête Received:, qui est un fake (le premier valide, qui indique la
vraie IP de la machine vérolée est juste au dessus) et qui contient
toujours " unknown (HELO" suivi d'une chaine de caractères changeante



Ah zut... Je viens de regarder les derniers spams, et il semble que
depuis deux jours ils sont en train de réécrire ce faux entête en
mettant autre chose, ou alors qu'ils ont mis un deuxième botnet en route.
Cependant, il y aurait toujours un truc commun dans ce fake, c'est
"localhost"...


A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown
MELMOTH
Le #25392332
Ce cher mammifère du nom de Jacques Belin nous susurrait, le mercredi
08/05/2013, dans nos oreilles grandes ouvertes mais un peu sales tout
de même, et dans le message les doux mélismes suivants :

Je dirais plutot depuis février.



Dis donc, Mon bon...Ça va faire un bon bout de temps que tu ne Nous a
pas pondu la dernière MAJ de Becky!, hein...Faudrait voit à te secouer,
un peu, là...

--
Car avec beaucoup de science, il y a beaucoup de chagrin ; et celui qui
accroît sa science accroît sa douleur.
[Ecclésiaste, 1-18]
MELMOTH - souffrant
siger
Le #25392682
Jacques Belin a écrit :


Le mercredi 8 mai 2013 17:30:19,
Jacques Belin
A propos, pour reconnaitre ce botnet, il suffit de regarder le
dernier entête Received:, qui est un fake (le premier valide, qui
indique la vraie IP de la machine vérolée est juste au dessus) et
qui contient toujours " unknown (HELO" suivi d'une chaine de
caractères changeante



Ah zut... Je viens de regarder les derniers spams, et il semble
que depuis deux jours ils sont en train de réécrire ce faux entête
en mettant autre chose, ou alors qu'ils ont mis un deuxième botnet
en route. Cependant, il y aurait toujours un truc commun dans ce
fake, c'est "localhost"...



Ceux que je reçois ont toujours :
Received: from unknown (HELO


--
siger
Jacques Belin
Le #25393262
Le mercredi 8 mai 2013 21:25:32,
siger
Ceux que je reçois ont toujours :
Received: from unknown (HELO



Non, ceux là je n'en ai plus reçu depuis le début de l'après-midi.

Par contre, ceux que je reçois maintenant on tous "MailEnable ESMTP"
dans le faux entête.

Pratique : une recherche rapide dans mes archives montre que cette
chaîne est encore plus rarement trouvée dans les mails légitimes que
"unknown (HELO".

2013 : la fameuse phrase "les spammeurs sont des cons (c)" est toujours
d'actualité. ;-)

A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown
Gerard Manning
Le #25415482
On 05 May 2013 09:18:33 GMT, siger
Bonjour,

Depuis peu je reçois plusieurs spams par jour, presque idendiques qui
ne vendent rien. Les sujets et expéditeurs sont à chaque fois
différents, le texte est du TXT, il n'y a aucun lien, c'est de
l'anglais, il est à chaque fois différent mais tous se ressemblent, il
est toujours question de business, de gros sous.


(...)
Le dernier :
"Your Immediate Attention: New Big Technical Report



S'il y a un truc qui m'énerve encore plus que les spams (fallait le
faire...), ce sont les titres d'articles de presse électroniques ou de
mail composés uniquement de mots communs dont l'initiale est en
MAJUSCULE. Ce barbarisme américian (un de plus) a vraiment des
facultés épileptigènes.

J'ai donc établi les filtres ad hoc et tout est rentré dans l'ordre.
--

Pour une réponse privée, enlever le dernier 'n' dans mon nom.
" Nous sommes manipulés et muets parce que contraints par un joug dont nous
avons tout loisir de nous débarrasser, juste si nous le décidons. "
Patrick Sébastien " Une révolte. Pas une révolution "

--- news://freenews.netfront.net/ - complaints: ---
Gerard Manning
Le #25624662
On 05 May 2013 09:18:33 GMT, siger
Bonjour,

Depuis peu je reçois plusieurs spams par jour, presque idendiques qui
ne vendent rien. Les sujets et expéditeurs sont à chaque fois
différents, le texte est du TXT, il n'y a aucun lien, c'est de
l'anglais, il est à chaque fois différent mais tous se ressemblent, il
est toujours question de business, de gros sous.


(...)
C'est peut-être d'eux qu'il s'agit : http://finance.yahoo.com/q?s=GTRL

Le dernier :
"Your Immediate Attention: New Big Technical Report



Personnellement, s'il y a une chose qui m'énerve encore plus que les
spams, ce sont les titres d'articles (sur la presse Web) ou sujets de
mail qui sont composés de mots avec la lettre initiale en MAJUSCULE.
J'ai donc crée un filtre ad hoc et pratiquement plus rien ne passe.


--- news://freenews.netfront.net/ - complaints: ---
Publicité
Poster une réponse
Anonyme