PDA

Просмотр полной версии : Открытки



ScratchyClaws
18.06.2007, 09:35
Приходит письмо...
аутлук его отображает вот так -


Вам пришла виртуальная открытка.
Для ее получения зайдите на сайт www.postcard.ру/card.php?6765221442
и нажмите на ссылку 'получить открытку'

Служба рассылки открыток POSTCARD.RU

------------------------------------------------



You recieved an postcard.

To get it follow to web-site www.postcard.ру/card.php?6765221442
switch to english and click on 'get my postcard'


Postcard service POSTCARD.RU

Отправитель ессесно postcard.ru

а теперь то же письмо, но через просмотр исходного сообщения -

<html><!-- чахнуть энтузиаст угодно --><!-- заикаться обрезаться азот кадык --><body>
Вам пришла виртуальная открытка.<!-- incubus ductwork advocacy asset --><bR>
Для ее получения зайдите на сайт <a href="http://www.postcard.ру/card.php?6765221442"><table><tr><td><a href="http://dоmstroy.оrg/card.php?fr=EleanorBruce&n=info@ХХХ.ru">www.pоstcard.ру/card.php?6765221442</td></tr></table></a>
и нажмите на ссылку 'получить открытку'<!-- oscar disposable --><P>
<!-- backbone --><Br>
Служба рассылки открыток POSTCARD.RU<!-- acrimony cry dispensary thine --><p>
------------------------------------------------<!-- cluck antithetic strata --><P>
<!-- d'etat --><p>
<!-- excision --><Br>
You recieved an postcard.<!-- moo proclaim --><P>
To get it follow to web-site <a href="http://www.pоstcard.ру/card.php?6765221442"><table><tr><td><a href="http://tangоmania.ru/card.php?fr=EleanorBruce&n=info@ХХХ.ru">www.pоstcard.ру/card.php?6765221442</td></tr></table></a>
switch to english and click on 'get my postcard'<!-- barnard ogre dully --><p>
<!-- hereinbelow izvestia ani jensen --><br>
Postcard service POSTCARD.RU<!-- confirm bartok --><p>
</body><!-- подкрепление кондитерская дрянной -->
</html>

Объясните как работает такой вот вариант *двойной ссылки* - идет тег <a href="..." дальше табличка и в ней опять линк, на этот раз другой. Насколько я понимаю должен сработать тот линк, который внутри?
Да ещё и, судя по включенному в ссылку е-мейлу, проверяется живой ли адрес... Интересно, а учитывая то что адреса в русском и английском адресе разные, они ещё и язык получателя проверяют? ;)

pig
18.06.2007, 11:52
Да, типовая ошибка браузеров в том, что отображается внешняя ссылка, а переход идёт по внутренней.

Harihara
18.07.2007, 15:17
Мне похожее сегодня пришло:



Вам пришла виртуальная открытка.
Для ее получения зайдите на сайт
www.postcard.ru/card.php?6254923882
и нажмите на ссылку 'получить открытку'

Служба рассылки открыток POSTCARD.RU
------------------------------------------------



You recieved an postcard.
To get it follow to web-site
www.postcard.ru/card.php?6254923882
switch to english and click on 'get my postcard'

Postcard service POSTCARD.RU


У меня как клиент стоит Thunderbird и он сразу показывает что линк совсем на другой сайт и ни на какой не посткард.ру :(
А вот какой:


[хттп://ВВВ.atco-us.com/images/card.php?fr=RodgersMinnie&n=(А тут стоит мой е-майл адрес!)

С какой такой радости на php-engine отправляется мой е-майл адрес прямо в строке? Ни один нормальный сайт такого не делает!

Понятно что на самом посткард.ру никакой открытки с таким ID нет...
Далее: я не поленился и залез по ссылке (предварительно вытерев из адресной строки переменную с параметром моего адреса.)
Там реально весит какая-то смешная картинка с текстом под ней:


С праздником!
Поздравляю c праздником первого мая!

И вообще, как у тебя дела? Почему так долго не пишешь. Я уже скучаю. Пиши. Жду.
Женя.

НО! Mozilla через несколько секунд выкинула мне такую штучку:


You have chosen to open
realfoto.exe
etc...

На предложение Save я естественно ответил Cancel :)
Очень сомневаюсь что там что-то хорошее в этом exe-файле...

Kuzz
18.07.2007, 16:49
Очень сомневаюсь что там что-то хорошее в этом exe-файле...
Хорошего там: http://virusinfo.info/showthread.php?p=123441#post123441
(второй файл)

Rene-gad
18.07.2007, 17:06
У меня как клиент стоит Thunderbird
это хорошо :thumbsup:

На предложение Save я естественно ответил Cancel
а вот это жаль. Хорошо было бы ему в глаза посмотреть...;). Кстати, при Save ничего плохого не происходит.

Kuzz
18.07.2007, 17:10
а вот это жаль. Хорошо было бы ему в глаза посмотреть...;). Ссылка еще действует..
Да и (как минимум) у меня и у icon экземпляр остался.

borka
23.07.2007, 00:41
Кто-то может объяснить, как и откуда берется этот realfoto.exe?
В заголовках сайта я вижу
<META HTTP-EQUIV=Refresh Content="10;URL=realfoto.exe">
и все, ни единой ссылки...

А сайт-то какой богатый:
22-07-2007 23:46:28 D:\Documents and Settings\Borka\Local Settings\Temporary Internet Files\Content.IE5\VP10P9AT\images[1].php - ошибка распаковки
22-07-2007 23:46:29 [CL] (PID = 1136) D:\Documents and Settings\Borka\Рабочий стол\win1ogon.exe - упакован MORPHINE - упакован FSG - упакован BINARYRES - упакован UPX - инфицирован UPX
...
22-07-2007 23:46:30 D:\Documents and Settings\Borka\Local Settings\Temporary Internet Files\Content.IE5\0TAB01M7\images[2].php - ошибка распаковки
22-07-2007 23:46:31 [CL] (PID = 1136) D:\Documents and Settings\Borka\Рабочий стол\mshelper.exe - упакован MORPHINE - упакован FSG - инфицирован BackDoor.Salidol
...
22-07-2007 23:46:32 D:\Documents and Settings\Borka\Local Settings\Temporary Internet Files\Content.IE5\4JK7UVKP\images[1].php - ошибка распаковки
22-07-2007 23:46:32 [CL] (PID = 1136) D:\Documents and Settings\Borka\Рабочий стол\dxinstall.exe - упакован MORPHINE - упакован UPX - инфицирован Trojan.Hooker.205
...
22-07-2007 23:46:35 D:\Documents and Settings\Borka\Local Settings\Temporary Internet Files\Content.IE5\WHIJOXAV\images[1].php - ошибка распаковки
22-07-2007 23:46:36 [CL] (PID = 1136) D:\Documents and Settings\Borka\Рабочий стол\msofficer.exe - упакован MORPHINE - упакован UPX - инфицирован Trojan.Starman

Плюс еще что-то, пока не детектируемое. :)

pig
23.07.2007, 02:44
Кто-то может объяснить, как и откуда берется этот realfoto.exe?
В заголовках сайта я вижу
<META HTTP-EQUIV=Refresh Content="10;URL=realfoto.exe">
Вот отсюда и берётся. Это инструкция через десять секунд загрузить в теущее окно realfoto.exe.

borka
23.07.2007, 12:34
Вот отсюда и берётся. Это инструкция через десять секунд загрузить в теущее окно realfoto.exe.
О, как... Спасибо. Я и не подозревал о такой фишке.