Silent noise - about spam, trojans and other nasty stuff

The police is in the end phase of the investigation against a norwegian who had a botnet of as much as 30.000 computers. The botnet has been used for DDoS attacks against websites all over the world.
According to the police, the norwegian case also has connections to other cases that are being investigated.

Source: http://www.tu.no/it/article112853.ece (only in Norwegian).

Trenger du hosting for et websted med en smule tvilsomt innhold?
Eller kanskje til og med du prøver å svindle litt?
Det ser ut som om broadnet.no / hostex.no er på tilbudssida.

Nå har det nok en gang dukket opp en svindlersite, igjen på IP-adressen 85.112.149.168.
Bare få dager etter at swlogistics.org [intern link] forsvant fra samme IP-adresse spretter dido-gmbh.com opp.
Det begynner unektelig å virke mistenkelig ut.

Der har broadnet.no via hostex.no igjen prestert å bli listet av Spamhaus.
Denne gang ser det ut som om listinga gjelder IP-adressen 85.112.149.18:
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL52332. [Listingen er nå deaktivert]
Tittelen på listinga denne gang er: "Spammer host: RUS-HOST.NET / rus-host.biz".
Sist gang gjaldt det IP-adressen 85.112.149.52, samme nettblokk, antakeligvis en såkalt reseller av Hostex.

advista.no / nettkatalogen.no ignorerer robots.txt.
Kort sagt vil det si at "Vi besøker de sidene på ditt nettsted vi vil samme faen hva du har å si til det".
Jeg vil også sammenligne det med uønskede gjester som banker på, tvinger seg inn og attpåtil skal drikke morrakaffen i lag med meg.

"Agent: AdSearch 2.01 (www.advista.no)"
Konkret fra IP-adressen 80.241.88.76.
Like greit å blokke hele greia (80.241.88.64/28) totalt i .htaccess:

inetnum:        80.241.88.64 - 80.241.88.79
netname:        DIGNET-NO-ADVISTA
descr:          Advista Oslo
country:        NO
  

Et par og tjue dager siden siste spam fra k-software.net.
Som subject sier, i dag er det spam for faktureringsprogrammet hans.
Sendt fra 212.105.110.66 (SE-K-SOFT-NORGE-AS-NET) via 213.150.135.170 (telenor.se).

k-software.net holder fremdeles til på IP-adressen 194.14.208.4.
194.14.208.0/24; SE-KSOFTSWE-NET, K-Soft Sverige AB (okwebhotel.se)

Han har en formulering i all spammen sin:

Ikke bruke Replay [sic] -To-Sender / Svar-Avsender knappen hvis du vil kontakte oss, da denne postkassen ikke leses av mennesker og email til denne adressen derfor ikke vil bli lest.

Du har sikkert fått tilbud om Viagra i innboksen din.
Og slettet den, som seg hør og bør. Om du hadde kjøpt noe fra et slikt websted ville det har vært ulovlig å innføre til Norge.
Men om du nå skulle ha fulgt linken ville du antakeligvis ha reagert på at det tok sin tid før sida kom opp i nettleseren din. Websidene er som regel plassert i China, Brasil eller andre plasser i verden. På trege servere.

Men nå kan du få kjøpt både viagra og andre medisiner fra et nettsted som ligger på kjappe norske servere. Hvis du nå er villig til å se gjennom fingrene med at det er fra en av verdens verste spammere, Leo Kuvayev. Mer informasjon finnes på spamhaus.org sine sider her.
I tillegg til spam for diverse medisiner har du antakeligvis funnet fristende tilbud fra han om piratprogramvare, kanskje litt barneporno eller dyreporno i innboksen din. Han har kanskje til og med prøvd å hacke pc-en din. Hvem vet, kanskje han til og med har lyktes?
Et vel raskt sammendrag: Tiltalt og dømt flere ganger i USA, ryktene vil ha det til at han har rømt tilbake til Russland for å unngå rettsvesenet.

Et lite skjermbilde av nettstedet, tatt i dag (19. februar 2007). Du kan selv ta en titt om du ønsker, kopier og lim 85.112.149.52 inn i nettleseren din så får du den opp, kjapt som bare f.... i forhold til f.eks. en kinesisk server.

Eller et litt større bilde for de som ønsker det her (bruk "back" eller "tilbake" eller hva nå enn den der knappen heter, etter å ha sett på det).

Hvordan kan en slik kriminell storspammer få innpass på norske servere?
Jeg aner ikke, men så har nå uansett skjedd.

Ta en titt på broadnet.no sine listinger hos spamhaus.org

Broadnet har vært host for en av verdens største spammere fra sommeren 2006 til februar 2007. Og som man ser av skjermbildet over holder han fremdeles til der, 85.112.149.52.
Det ser ut som om det er "Hostex ANS" / Mikhail Yakovlev som hoster ham.
For de som orker er det mer info å finne hos Brønnøysundregistrene; www.brreg.no
Yakovlev har tilsynelatende også vært involvert i "sikkerhetstjenester".
Ikke særlig tillitvekkende med tanke på hans kriminelle kunder.

85.112.149.0/24 (85.112.149.0 - 85.112.149.255)

inetnum:        85.112.149.0 - 85.112.149.255
netname:        BROADNET-NO-HOSTEXNET2
descr:          Hostex ANS
country:        NO
admin-c:        MY274-RIPE
tech-c:         BNH2-RIPE
status:         ASSIGNED PA
mnt-by:         BROADNET-NO-MNTNER
source:         RIPE # Filtered

role:           BROADNET NO HOSTMASTER
address:        Broadnet Norge AS
address:        Lilleakerveien 10
address:        Postboks 279, Lilleaker
address:        N-0216 OSLO
address:        Norway
phone:          +47 21 54 30 00
e-mail:         hostmaster@broadnet.no
admin-c:        KT273-RIPE
tech-c:         KT273-RIPE
nic-hdl:        BNH2-RIPE
remarks:        ----------------------------------------------------------
remarks:        For matters concerning ANY kind of abuse contact
remarks:        abuse@broadnet.no or admin-c of the respective IP address.
remarks:        Do NOT send abuse mail to BNH2-RIPE or KT273-RIPE as it
remarks:        WILL be ignored!
remarks:        ----------------------------------------------------------
mnt-by:         BROADNET-NO-MNTNER
source:         RIPE # Filtered

person:         Mikhail Yakovlev
address:        Hostex ANS
address:        Loftsrudhogda 211
address:        N-1281 OSLO
address:        Norway
phone:          +47 21 65 85 99
e-mail:         mikhail@hostex.no
nic-hdl:        MY274-RIPE
mnt-by:         BROADNET-NO-MNTNER
source:         RIPE # Filtered

% Information related to '85.112.128.0/19AS25351'

route:        85.112.128.0/19
descr:        NO-BROADNET
origin:       AS25351
mnt-by:       BROADNET-NO-MNTNER
source:       RIPE # Filtered

Et par linker til gruppene news.admin.net-abuse.email og .sightings:
Vedrørende IP-adressen 85.112.149.52
Vedrørende Pharmacy Express

Ellers vil du også kunne finne et domene som best-ringtones-online.info også hostet av broadnet.no. Forumspammere.
Og i tillegg en drøss andre websteder hvor det selges ymse medisiner.

Ulovlig dersom du innfører dem til Norge.
Lovligheten ved å hoste webstedene i Norge setter jeg et stort spørsmålstegn ved.
Nå har jeg ikke gjort all verdens søk vedrørende den problematikken, men jeg snubla over denne linken:
http://www.un.dk/norwegian/crime_congress/crime.htm
"FNs tiende kongress om kriminalitetsforebyggelse og behandling av lovovertredere ble avholdt i Wien 10. - 17.april 2000."
Kort sitat fra "Kriminalitetsbekjempelse på nettet":

I tillegg til å angripe private websider, åpner datakriminelle sine egne sider for å bedra kunder eller selge forbudte varer og tjenester, slik som våpen, narkotika, ulovlige medisiner eller pornografi.

Det finnes sikker mer relevant info der ute enn det jeg fant med mitt lille søk.

Uansett er Leo Kuvayev en person som passer som hånd i hanske innafor det meste når man snakker om organisert kriminalitet på nett.

"And proudly hosted by broadnet.no og Hostex ANS".

Som hostex.no selv sier:

Vi tilbyr noe annet - KVALITET hele veien!

Jeg er sikker på at Kuvayev er fornøyd.