Suggestions de blocage d'IPs - Hosts - Cookies
   
 


Tentative d'intimidation par la société PAL (Evidence Eliminator)



Synchronisation des blocages
Sévérité
Bloquer les intervalles d'IPs suivants
Bloquer les noms de domaine suivants
Bloquer les cookies suivants
80.96.3.0 à 80.96.3.255    
207.44.176.77 pal-evidence-eliminator.com
palsol.com		  
64.235.236.0 à 64.235.236.127 terriblyterrific.com
  
218.72.10.165 www.shopwo11.com  
146.82.38.232    

Pour toute correspondance à propos de cette page, utilisez les formulaire de feedback en bas de cette page.


Voir également cette collection de leurs agressions et de leur tromperies
Pal-Evidence-Eliminator - Vous risquez d'être arrêté !



Justification :
Spam de Evidence Eliminator avec tentative d'intimidation:

Reçu 5 spam intitulés "You are being watched" (on vous regarde) tentant de faire peur et incitant à l'achat du produit "Evidence Eliminator".
  • 03/07/03 : You'll be sorry if you don't act now
  • 05/07/03 : You are being watched!
  • 08/07/03 : You are being watched
  • 18/07/03 : You are being watched
  • 30/07/03 : You are not protected

Celui du 03.07.03, qui est entièrement une zone cliquable conduisant à http://80.96.3.18/ee/, dit :



You're in Serious Trouble - It's a Proven Fact!


Deleting "Internet Cache and History" will NOT protect you because any
of the Web Pages, Pictures, Movies, Videos, Sounds, E-mail, Chat Logs and
Everything Else you see or do could easily be recovered to Haunt you forever!
How would you feel if a snoop made this information public to your Spouse,
Mother & Father, Neighbors, Children, Boss, Church or the Media? It could
easily Ruin Your Life! Solve all your problems and enjoy all the benefits of
an "As New PC" Right Now! Evidence Eliminator can Speed-Up your
PC/Internet Browser, reclaim Hard Disk space and Professionally Clean
your PC in one easy mouse click!


CLICK HERE TO DOWNLOAD NOW!


Celui du 05.07.03 est le même, conduisant à http://80.96.3.18/ee/.

Celui du 08.07.03 est le même, conduisant à http://80.96.3.18/ee/.

Celui du 18.07.03 contient 1 image cliquable de promotion de Evidence Eliminator sur le domaine www.terriblyterrific.com qui renvoie sur le site d'Evidence Eliminator, à http://www.pal-evidence-eliminator.com, en passant par http://hop.clickbank.net puis par http://trial1.clickchatsold.com





Celui du 30/07/03 est assez similaire aux 3 premiers et comporte, en évidence, 2 liens vers http://81.180.94.25/ee/ :



You're in Serious Trouble - It's a Proven Fact!


http://81.180.94.25/ee/

Deleting "Internet Cache and History" will NOT protect you because any of the Web Pages, Pictures, Movies, Videos, Sounds,
E-mail, Chat Logs and Everything Else you see or do could easily be recovered to Haunt you forever! How would you feel if a
snoop made this information public to your Spouse, Mother & Father, Neighbors, Children, Boss, Church or the Media? It could
easily Ruin Your Life! Solve all your problems and enjoy all the benefits of an "As New PC" Right Now! Evidence Eliminator can
Speed-Up your PC/Internet Browser, reclaim Hard Disk space and Professionally Clean your PC in one easy mouse click!

PRESS HERE TO DOWNLOAD NOW!

http://81.180.94.25/ee/

To remove yourself: http://www.shopwo11.com/host/emailremove.asp



La page d'acceuil du site terriblyterrific.com est très "accueillante" et conduit à http://80.96.3.18/ee/.





Donc 4 des spams conduisent à http://80.96.3.18/ee/ le cinquième conduisant à la page de promotion de Evidence Elimnator sur le site de PAL.

Analyse :

Ouverture des e-mails en mode source. L'ensemble des spam est lié à une page sur un site identifié uniquement par son adresse IP soit 80.96.3.18 et sur une racine appelée ee.

Je commence par tenter une ouverture du http://80.96.3.18. J'obtiend le message "forbidden !" Donc je continue en tentant http://80.96.3.18/ee (l'url complete dans le spam). Cette page est une redirection invisible et immédiate vers une page du site de Evidence Eliminator. J'arrive à intercepter cette page de transition qui contient, en tout et pour tout, le code html suivant:



<html>
<head>
<title>Welcome!</title>
</head>
<body BGCOLOR="#FFFFFF">
<meta HTTP-EQUIV="Refresh" CONTENT="0; URL=http://www.evidence-eliminator.com/d2w/e.d2w?a=A664828&tr=m&rq=354426&click=pak1">
</body>
</html>



La page atteinte, http://www.evidence-eliminator.com/d2w/e.d2w EST BIEN UNE PAGE DU SITE DE EVIDENCE ELIMINATOR. Les caractères qui suivent l'URL, ?a=A664828&tr=m&rq=354426&click=pak1, ne sont que des paramètres passés avec l'URL et permettant le tracking de l'origine de votre visite à cette page (site affilié etc. ...). Elle tente de vous faire peur en vous affichant vos bêtes données standard d'environnement telle que "Votre adresse IP etc. ...) ainsi qu'en affichant, dans un iframe, le contenu du répertoire de votre disque C: avec navigation possible dessus. Assiste.com vous a déjà mis en garde à propos de ce genre de démonstration sur la page Qui êtes-vous ? Vous ne devez absolument pas être inquiété. C'est faux !



...Comment c'est possible ?


Du calme ! Ceci est fait très simplement en utilisant un Iframe. Cette information ne peut pas être révélée à qui que ce soit par la nature même des Iframes. Cette commande s'exécute sur votre ordinateur, localement, et aucune information ne remonte vers le Net. Ceci est juste fait pour vous démontrer qu'il est possible, facilement, d'accéder à tout votre ordinateur. Effrayant, non ? Et bien c'est totalement faux! N'ayez pas peur!



Attention


Plusieurs sites essayent de vous effrayer avec ce genre de démonstrations (je le répète, c'est totalement inofensif) qui se terminent souvent par la tentative de vous vendre un utilitaire de protection ou de télécharger gratuitement un utilitaire. Dans ce second cas, vous pouvez être assuré qu'il s'agit d'un cheval de Troie avec une charge utile de type backdoor ou virus ou dialer (ou tout autre forme d'attaque ou outil d'attaque utilisant votre ordinateur pour lancer d'autres attaques)...


Voici ce qu'affiche la page d'Evidence Eliminator pour faire peur. On y parle d'"investigation", d'"ordinateur dépisté", de "très haut risque", de "données sur la place publiques", d'"utilisation par la police", de "dernière investigation" voulant faire croire qu'il y en a eu d'autres, et, comme si ce n'est pas assez, on emploi une méthode encore plus musclée en suggérant une "culpabilité" quelque part suivie d'une fenêtre s'ouvrant sur une exploration du disque C: !!! N'ayez pas peur ! C'est une tentative d'intimidation. Rien ne sort de votre ordinateur ! Rien n'est vu par personne avec cette méthode.



C'est une escroquerie ! C'est scandaleux ! Honteux ! Complètement méprisable ! Et ceci est écrit par eux mêmes et mis directement sur leur site !!! L'idée est d'effrayer les gens pour qu'ils achètent leur programme. Voici le source complet de l'un des spam, y compris le header - les adresses sont manifestement spoofées (usurpées) et ne seront d'aucune utilité.



From - Thu Jul 03 18:23:27 2003
X-UIDL: 1057230199.31210.mrelay1-1
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
Return-Path: <rachel2256@yahoo.com>
Delivered-To: xxxxx.xxxxx.xxxxx.xxxxxx@xxxxxx.xxx
Received: (qmail 29449 invoked from network); 3 Jul 2003 11:02:22 -0000
Received: from p508338ef.dip.t-dialin.net (HELO yahoo.com) (80.131.56.239)
by mrelay1-1.free.fr with SMTP; 3 Jul 2003 11:02:22 -0000
From: Security Alert <jouko.selkala_262@which.co.uk>
To: <xxxxxxxxxxx@xxxxxx.xxx>
Subject: You'll be sorry if you don't act now
Date: Thu, 3 Jul 2003 03:37:08 2003 03:37:08 +0000 EST
Mime-Version: 1.0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit


<div align="center"><center><table border="1" cellpadding="0" cellspacing="0" width="630" bordercolor="#000000"><tr><td><div align="center"><table border="0" width="630" bgcolor="#FFFFFF" cellpadding="8" cellspacing="0"><tr><td width="88"><p align="center"><a href="http://80.96.3.18/ee/"><img border="0" src="http://80.96.3.18/ee/i/boxshotlarge.php" width="88" height="120"><br><font face="Arial" size="2" color="#0000FF">Quick & Safe!<br>Eliminate<br>Secret Data<br>Now!</font></a></p></td><td><p align="left"><a href="http://80.96.3.18/ee/"><u><font face="Arial" color="#FF0000" size="4"><b><i>You're in Serious Trouble - It's a Proven Fact!</i></b></font><font face="Arial" size="2" color="#0000FF"><br><br>Deleting "Internet Cache and History" will <b>NOT</b> protect you because any of the Web Pages, Pictures, Movies, Videos, Sounds, E-mail, Chat Logs and Everything Else you see or do could easily be recovered to Haunt you forever! How would you feel if a snoop made this information public to your <b>Spouse</b>, <b>Mother</b> & <b>Father</b>, <b>Neighbors</b>, <b>Children</b>,<b> Boss</b>, <b>Church</b> or the <b>Media?</b> It could easily Ruin Your Life! Solve all your problems and enjoy all the benefits of an <b>"As New PC" Right Now</b>! <b>Evidence Eliminator</b> can Speed-Up your PC/Internet Browser, reclaim Hard Disk space and <b>Professionally</b> Clean your PC in one easy mouse click!</font><br><br><b><font face="Arial" color="#0000FF" size="3">CLICK HERE TO DOWNLOAD NOW!</font></b></u></a></p></td></tr></table></div></td></tr></table></center></div><p align="center"><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br></tr><tr><td align=center><font size=2><a href="http://80.96.3.18/remove/unsub.php">To remove yourself from this list, please click here</a></font></p>


Whois sur 80.96.3.18


inetnum: 80.96.3.0 - 80.96.3.255
netname: SC-FILDANA-SRL
descr: SC FILDANA SRL
descr: B-dul. 21 Decembrie 150
descr: 3400 Cluj-Napoca Romania
country: ro
admin-c: NAG99
tech-c: NAG99
status: ASSIGNED PA
mnt-by: AS3233-MNT
mnt-lower: AS3233-MNT
mnt-routes: IHOLDING-MNT
notify: hostmaster@rnc.ro
changed: hostmaster@rnc.ro 20030513
source: RIPE

route: 80.96.3.0/24
descr: NewAge
origin: AS24927
mnt-by: IHOLDING-MNT
changed: andrei@pcnet.ro 20030626
source: RIPE

person: NewAge Comunications
address: NOC NewAge Comunications
phone: +40 21 4101031
e-mail: admin@negru.net
remarks: Any abuse mail to abuse@negru.net
nic-hdl: NAG99
mnt-by: LIMAN-MNT
notify: admin@negru.net
changed: admin@negru.net 20030626
source: RIPE



80.96.3.18
Cette machine est dans un intervalle (80.96.3.0 - 80.96.3.255) de 256 machines dont aucune ne répond lors d'une tentative d'accès direct (toutes sortent en "time out"). Cet intervale appartiend à SC-FILDANA-SRL qui est citée dans de très nombreuses listes de spammeurs.


pal-evidence-eliminator.com
nslookup : la machine est à 207.44.176.77
Cette adresse est dans un bloc de 32.756 machines qu'il n'est pas question de bloquer aveuglément.

palsol.com
nslookup : la machine est à 207.44.176.77
Dito ci-dessus.

terriblyterrific.com
nslookup : la machine est à 64.235.236.124
L'intervale est 64.235.236.0 - 64.235.236.127 appartenant à MZIMA-CUST-ALLIANCE
Le bloc 64.235.236.0 à 64.235.236.25 figure dans plusieurs listes de spammeurs dont la Spamhaus Block List (SBL) ainsi que plusieurs autres machines dans cet intervale. On peut raisonablement penser que c'est le comportement global de MZIMA-CUST-ALLIANCE qui est contraire à l'éthique du Net.

www.shopwo11.com
Ce site apparaît dans un des spam en adresse d'opt-out. Il s'agit d'un site de e-commerce de viagra, produit pour lequel la terre entière est spammée régulièrement. Est-ce que Evidence Eliminator à utilisé la liste de spam de ce site ? Quoi qu'il en soit, il convient de le bloquer, lui et sa machine.
nslookup : machine à 218.72.10.165 (nota : cette machine apparaît bloquée pour cause de spam dans plusieurs listes de spammeurs)


L'objet qui fait peur
Voici le source complet de la page qui tente de faire peur. Elle est à http://www.evidence-eliminator.com/d2w/e.d2w?a=A664828&tr=m&rq=354426&click=pak1


<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="GENERATOR" content="Microsoft FrontPage 4.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta HTTP-EQUIV="Pragma" CONTENT="no-cache">
<title>YOU HAVE A BIG PROBLEM</title>
<script language="JavaScript">
if (window != top) top.location.href = location.href;
</script>
<script language="JavaScript">
self.moveTo(0,0);
self.resizeTo(screen.availWidth - 5,screen.availHeight - 5);
</script>
</head>
<body bgcolor='yellow' text='black'>
<style type="text/css"><
a:link { color: #0000FF }
a:visited { color: #0000FF }
a:active { color: #0000FF }
a:hover { color: #0000FF }
>
</style>
<p>
<h1>
449 WANADOO Investigation
</h1>
<p>Your computer has been tracked.</p>
<hr>
<br><br>
<table border="1" cellpadding="2" width="700" bordercolorlight="#808080" bordercolordark="#808080">
<tr>
<td width="300">Your IP is under investigation:</td>
<td width="400"><i><b>217.128.0.17</b></i></td>
</tr>
<tr>
<td width="300">Your ISP is co-operating:</td>
<td width="400"><i><b>WANADOO</b></i></td>
</tr>
<tr>
<td width="300">They know you are using:</td>
<td width="400"><i><b>Netscape v$1.x</b></i></td>
</tr>
<tr>
<td width="300">Your computer is:</td>
<td width="400"><i><b>Windows XP</b></i></td>
</tr>
<tr>
<td width="300">Your risk status for further investigation:</td>
<td width="400"><i><b>VERY HIGH RISK</b></i></td>
</tr>
</table>
<br><br>
<hr>
<p align="left">Your computer is full of evidence. You need help now.</p>
<p>Years of Internet data could be used by the police.</p>
<p>Time of latest investigation: <i><b>Today <script langauge="JavaScript">
<!--
document.write("");
var right_now=new Date();
var right_hours=right_now.getHours()
if (right_hours > 12)
right_hours = right_hours - 12;
document.write(right_hours);
document.write(":");
var right_min=right_now.getMinutes();
if (right_min < 10)
document.write("0");
document.write(right_min);
document.write(":");
var right_sec=right_now.getSeconds();
if (right_sec < 10)
document.write("0");
document.write(right_sec);
var ampm=" A.M.";
if (right_now.getHours() > 12)
ampm=" P.M.";
document.write(ampm);
document.write(" ON ");
function makeArray() {
for (i = 0; i<makeArray.arguments.length; i++)
this[i + 1] = makeArray.arguments[i]; }
var months = new makeArray('JANUARY','FEBRUARY','MARCH','APRIL','MAY','JUNE','JULY','AUGUST','SEPTEMBER','OCTOBER','NOVEMBER','DECEMBER');
var date = new Date();
var day = date.getDate();
var month = date.getMonth() + 1;
var yy = date.getYear();
var year = (yy < 1000) ? yy + 1900 : yy;
document.write(day + " " + months[month] + " " + year);
//-->
</script>
</b></i></p>
<h2 align="left"><b><font color=#0000ff>
<a href="/product.shtml" onmouseover="parent.status='Get Protection Right Now';return true" onmouseout="parent.status='';return true" onclick="DisplayConsole=false">
<font color="#0000ff">
Click Here Now For Urgent Help To Stop This Investigation</font>
</a>
</font></b></h2>
Are you guilty? What's that on your desktop? What are all those PICTURES?
<p align='left'><iframe src='file:///C:/' height=300 width=500 marginwidth=0 marginheight=0 scrolling=no frameborder=0 vspace=2></iframe></p>
<h2 align="left"><b><font color=#0000ff>
<a href="/product.shtml" onmouseover="parent.status='Get Protection Right Now';return true" onmouseout="parent.status='';return true" onclick="DisplayConsole=false">
<font color="#0000ff">
Click Here Now For Urgent Help To Stop This Investigation</font>
</a>
</font></b></h2>
</body>
</html>



Création - 04.08.03
Révision - 29.11.04




Rédigé en écoutant :