RE: defamatory joe job attack by botnet

["Kane Lightowler" <Kane () contentsecurity com au>]

I can also confirm that this is continuing from one of my many email adresses also.


Regards,

Kane Lightowler
Network Security Consultant

Content Security
Level 4, Suite 42c 
203 Castlereagh Street 
Sydney 2000

> -----Original Message-----
> From: full-disclosure-admin () lists netsys com
> [mailto:full-disclosure-admin () lists netsys com]On Behalf Of lsi
> Sent: Friday, June 25, 2004 1:43 PM
> To: full-disclosure () lists netsys com
> Subject: [Full-disclosure] defamatory joe job attack by botnet
>
>
> On June 11 it was reported that Dutch mailboxes were flooded 
> with racist 
> hatemail sent via the Sobig worm.
>
> http://www.theregister.co.uk/2004/06/11/german_hate_mail_virus/
>
> I can report that not only is this activity continuing, but it is 
> doing so under the names of ... well, me, at least - I have received 
> several bounces indicating that my email address is being used as the 
> "from" address.
>
> I include the fulltext of a sample bounce below.  Note: the text is 
> reportedly racist in nature.  I include it for forensic purposes.  
> This is the full disclosure list, right?  
>
> Maybe it was just me who got joe-jobbed by Sobig in this way?  Or 
> maybe there are some other posters to the security conferences who 
> are being toasted too?
>
> Note: 82.3.47.243 is apparently a cable connection owned by NTL UK.  
> Probably just an owned box though.  And probably a dynamic IP as 
> well.
>
> Stuart
>
> [ok, I trimmed these headers, irrelevant]
> Date: Thu, 24 Jun 2004 13:05:42 +0100 (BST)
> From: MAILER-DAEMON () pfmx1 pop uk netscalibur com (Mail 
> Delivery System)
> Subject: Undelivered Mail Returned to Sender
> To: stuart () cyberdelix net
>
> This is a MIME-encapsulated message.
>
> --69D9D6749F5.1088078742/pfmx1.pop.uk.netscalibur.com
> Content-Description: Notification
> Content-Type: text/plain
>
> This is the Postfix program at host pfmx1.pop.uk.netscalibur.com.
>
> I'm sorry to have to inform you that the message returned
> below could not be delivered to one or more destinations.
>
> For further assistance, please send mail to <postmaster>
>
> If you do so, please include this problem report. You can
> delete your own text from the message returned below.
>
>                       The Postfix program
>
> <louise () cyrus02 pop uk netscalibur com>: host
>     cyrus02.store.pop.uk.netscalibur.com[194.112.32.39] said: 
> 552 5.2.2 Over
>     quota (in reply to RCPT TO command)
>
> --69D9D6749F5.1088078742/pfmx1.pop.uk.netscalibur.com
> Content-Description: Delivery error report
> Content-Type: message/delivery-status
>
> Reporting-MTA: dns; pfmx1.pop.uk.netscalibur.com
> Arrival-Date: Thu, 24 Jun 2004 13:05:42 +0100 (BST)
>
> Final-Recipient: rfc822; louise () cyrus02 pop uk netscalibur com
> Action: failed
> Status: 5.0.0
> Diagnostic-Code: X-Postfix; host
>     cyrus02.store.pop.uk.netscalibur.com[194.112.32.39] said: 
> 552 5.2.2 Over
>     quota (in reply to RCPT TO command)
>
> --69D9D6749F5.1088078742/pfmx1.pop.uk.netscalibur.com
> Content-Description: Undelivered Message
> Content-Type: message/rfc822
> Content-Transfer-Encoding: 8bit
>
> Received: from rmx5.dircon.net (rmx5.dircon.net [195.157.4.7])
>       by pfmx1.pop.uk.netscalibur.com (Postfix) with ESMTP id 
> 69D9D6749F5
>       for <louise () dircon co uk>; Thu, 24 Jun 2004 13:05:42 +0100 (BST)
> Received: from qmx0.uk.netscalibur.com 
> (qmx0.uk.netscalibur.com [194.112.32.44])
>       by rmx5.dircon.net (Mirapoint Messaging Server MOS 3.3.5-GR)
>       with SMTP id AVI60539;
>       Thu, 24 Jun 2004 13:04:08 +0100 (BST)
> Received: (qmail 95729 invoked from network); 24 Jun 2004 
> 12:04:33 -0000
> Cc: recipient list not shown: ;
> Received: from unknown (HELO yddcfxtx.net) (82.3.47.243)
>   by 194.112.32.44 with SMTP id 1088078670X93760X0; 24 Jun 
> 2004 12:04:30 -0000
> From: stuart () cyberdelix net
> Date: Thu, 24 Jun 2004 11:33:35 GMT
> MIME-Version: 1.0
> Subject: EU Beitritt der Tuerkei ? (Id:9951)
> Importance: Normal
> X-Priority: 3 (Normal)
> Message-ID: <4148b811e04d28.e372b.qmail () cyberdelix net>
> Content-Transfer-Encoding: 7bit
> Content-Type: text/plain; charset="us-ascii"
>
> Aufnahme der Beitrittsverhandlungen mit der Tuerkei oder 
> nicht - eine Entscheidung, die 'das Ende Europas' bedeuten 
> koennte. Dieses Wort stammt vom frueheren franzoesischen 
> Praesidenten Giscard d'Estaing.
> Schon 2002 hatte er davor gewarnt, dass ein Beitritt der 
> Tuerkei zur EU dem 'Ende Europas' gleichkaeme. Die 
> bundesdeutschen Beitrittsbefuerworter verdraengen und 
> verschweigen die unabsehbaren Folgen dieser Entscheidung:
>
> (1) Die Tuerkei hat schon jetzt 70 Millionen Einwohner. Sie 
> wird bis zu ihrem EU-Beitritt die BRD in der 
> Bevoelkerungszahl ueberholt haben und in den EU-Institutionen 
> das entsprechende Stimmengewicht erhalten.
> (2) Die Tuerkei passt wirtschaftlich nicht in die EU. Das 
> Land ist hoffnungslos ueberschuldet und waere ohne staendige 
> internationalen Kredite laengst bankrott. Das 
> Pro-Kopf-Einkommen betraegt nur 23% des EU-Durchschnitts. Die 
> EU-Subventionen, auf die die Tuerkei Anspruch haette, wuerden 
> nicht nur den Bruesseler Haushalt sprengen, sondern auch die 
> heute schon ueberschuldeten 'Geberlaender' wie die BRD 
> gaenzlich ruinieren.
> (3) Mit der Aufnahme eines asiatischen Landes und dem 
> Verzicht auf vernuenftige Aussengrenzen verliert die EU ihre 
> Identitaet.
>
> Trotz dieser unbestreitbaren Sprengsaetze rollt die Kampagne 
> fuer den tuerkischen Beitritt immer schneller und 
> unaufhaltsamer voran: Der tuerkische Regierungschef Erdogan 
> nimmt bereits an den Konferenzen der EU-Regierungschefs teil, 
> freilich noch ohne Stimmrecht und die Tuerkei erhaelt jetzt 
> schon EU-Gelder zur 'Beitrittsvorbereitung'.
> Es ist alles wie bei der Euro-Einfuehrung: Erst erscheint der 
> ganze Plan unrealistisch und wird von vielen fuer 
> undurchfuehrbar gehalten; dann wird eine offene Diskussion 
> ueber Pro und Contra als 'europa- oder fremdenfeindlich' 
> kriminalisiert, und schliesslich wird die Entscheidung hinter 
> verschlossenen Tueren, ohne Beteiligung des demokratischen 
> Souveraens und ohne Volksabstimmung gefaellt und fuer 
> unumkehrbar erklaert.
> Dasselbe Spiel mit den Vorbedingungen: Beim Euro waren es die 
> Maastrichter Kriterien, die schon vor 1999 nicht erfuellt 
> wurden und inzwischen offen missachtet werden. Die 
> Tuerkei-Kriterien heissen: Wiedervereinigung Zyperns (als ob 
> das so wichtig waere), Menschenrechte, Demokratisierung. 
> Nichts hindert Ankara daran, diese Bedingungen pro forma zu 
> erfuellen. Selbst wenn sie erfuellt wuerden, waeren damit die 
> oben angefuehrten grundlegenden Argumente gegen den 
> Tuerkei-Beitritt nicht im geringsten widerlegt.
> Ein uebles Spiel, das den Verdacht naehrt, hier werde eine 
> Verschwoerung gegen Deutschland und Europa angezettelt. 
> Berlin hat sich ohne jedes Waehlermandat bereits festgelegt. 
> Sollte der Beitritt scheitern, sagte Aussenminister Fischer 
> laut 'WamS' vom 8. 2. 2004, wuerde man dafuer 'einen sehr 
> hohen Preis zahlen'.
>
> Ein Satz, den man zweimal lesen muss. Fischer droht dem 
> deutschen Volk. Worin der hohe Preis bestehen wuerde, 
> verschweigt er. Vielleicht meint er, dass die in Deutschland 
> lebenden Tuerken auf die Strasse gehen koennten. Oder er 
> fuerchtet den Zorn der USA, die den Beitritt seit Jahren 
> verlangen. Washington weiss genau, dass die Aufnahme 
> Kleinasiens zu einem 'bankrotten Halt' der gesamten EU (so 
> die 'Financial Times' vom 15.1.2004) fuehren koennte. Ganz 
> nuechtern urteilt die 'International Herald Tribune' am 
> 24.11.2003:
>
> 'Dass die Bevoelkerung in ganz Europa schrumpft, bedeutet, 
> dass noch mehr Einwanderung bevorsteht. Die Aufnahme der 
> Tuerkei als EU-Mitglied wuerde diesen Trend beschleunigen und 
> die Definition Europas unwiderruflich aendern ... Viele 
> Europaeer muessen erst noch akzeptieren, dass die 
> traditionell weisse, christliche Kultur ihrer Vorfahren 
> abgeloest wird von einem multikulturellen Mix mit einem 
> starken islamischen Gewicht.'
>
> --69D9D6749F5.1088078742/pfmx1.pop.uk.netscalibur.com--
>
> -- End --
> ------- End of forwarded message -------
>
> ---
> Stuart Udall
> stuart at () cyberdelix dot net - http://www.cyberdelix.net/
>
> --- 
>  * Origin: lsi: revolution through evolution (192.168.0.2)
>
> _______________________________________________
> Full-Disclosure - We believe in it.
> Charter: http://lists.netsys.com/full-disclosure-charter.html

_______________________________________________
Full-Disclosure - We believe in it.
Charter: http://lists.netsys.com/full-disclosure-charter.html