Flash, the spammer

Recibo hoy el mail de promoción de “Activa ya tu casilla Flash Mail de 10 GB!”.
Me resulta raro, en principio, que el SpamAssassin lo haya catalogado como spam.
Sin embargo, los puntajes mas altos provienen de:

3.5 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
[score: 0.9989]
3.9 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
[200.42.0.218 listed in sbl-xbl.spamhaus.org]

Metido a investigar un poco más, ya que pensé que se podía tratar de un intento de phishing, también me encuentro con esto:

Received: from unknown (HELO sender.prima.com.ar) (200.42.0.218)
by mail.comtron.com.ar with SMTP; 5 Oct 2006 21:12:17 -0000
Received: from elvis ([172.16.36.37]) by sender.prima.com.ar with Microsoft SMTPSVC(5.0.2195.6713);
Thu, 5 Oct 2006 18:12:16 -0300

Y sus correspondientes confirmaciones:

vinicius:/home/javier# ping sender.prima.com.ar
ping: unknown host sender.prima.com.ar
vinicius:/home/javier# host 200.42.0.218
Name: ps.prima.net.ar
Address: 200.42.0.218

Picaronesssss, ¿como es eso de enviar los mails informando una url que no existe?

Y finalmente, para completar, la url a la que apunta el botón que dice “Hacé CLICK y probalo ahora!” nos manda a:
http://deliver.ads.uigc.net/RealMedia/ads/click_lx.ads/ciudad.ar/spam/232129007/x50/
OasDefault/AR_CI-NEWS_FLASH-MAIL_EMKT/1×1.gif/948759475938579161096.58673626
(Finalmente, redirige a https://autogestion.ciudad.com.ar/administracion/login.aspx. Las negritas son mías y la linea fue truncada para mejor visualización)

OOOPPPSSSS, ¿y quien es uigc.net?
Jejejeje, ellos mismos
http://www.dnsstuff.com/tools/whois.ch?ip=uigc.net

Prima S.A.
La Rioja 301 1er Piso
Buenos Aires, Cap. Fed. C1214ADG
AR

Domain Name: UIGC.NET

Administrative Contact:
Martin Frejenal *********@prima.com.ar
Prima S.A.
La Rioja 301
Buenos Aires, Cap. Fed. C1214ADG
AR
Phone: +54 11-4370-0034
Fax: +54 11-4370-0060

Ya saben, argentinos. Si tienen que hacer spam, hay alguien en el pais que puede ayudarlos.

Compartir via ...Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Email this to someone
email

5 comentarios

1 ping

Saltar al formulario de comentarios

    • Albert el 14 de febrero de 2007 a las 13:14

    Lo más curioso es que Flash, “la unidad de negocios del Grupo Clarín especializada en soluciones de telecomunicaciones e Internet, actualmente integrada por siete diferentes marcas: Clarín.com, Ubbi, Vontel, DATAMARKETS, Fullzero, Ciudad Internet y Flash; siendo estas tres últimas las marcas especializadas en el negocio de conexión de Internet para hogares”(flash.com.ar)tiene este registro en nic.ar:

    Entidad Registrante: PRIMA SA
    País: Argentina
    Actividad: Proveedor de Servicios de Internet

    Datos en Argentina
    Domicilio: Lima 1261
    Ciudad/Localidad: Ciudad de Buenos Aires
    Provincia: Ciudad de Buenos Aires
    Código Postal: 1138
    Teléfono: 4370-0070
    Fax: 4370-0060

    ——————————————————————————–

    Persona Responsable: Miguel Fernandez
    Domicilio: La Rioja 301
    Ciudad: Capital Federal
    Código Postal: 1214
    Provincia:
    País: Argentina
    Teléfono: 4370-0070
    Fax: 4370-0060
    Horario de contacto: 10-18 HS

    ——————————————————————————–

    Entidad Administradora: PRIMA SA
    Domicilio: Lima 1261
    Ciudad: Ciudad de Buenos Aires
    Código Postal: 1138
    Provincia: Ciudad de Buenos Aires
    País: Argentina
    Teléfono: 4370-0070
    Fax: 4370-0060
    Actividad: Proveedor de Servicios de Internet

    ——————————————————————————–

    Contacto Técnico: Miguel Fernandez
    Domicilio: La Rioja 301
    Ciudad: Capital Federal
    Código Postal: 1214
    Provincia:
    País: Argentina
    Teléfono: 4370-0070
    Fax: 4370-0060
    Horario de contacto: 10-18 HS

    ——————————————————————————–

    Servidores DNS:
    DNS Primario: Nombre:o200.prima.com.ar
    Dirección IP:200.42.0.108
    DNS Secundario: Nombre:o2000.prima.com.ar
    Dirección IP:200.42.0.109

    registro coincidente con el del dominio prima.com.ar:

    Entidad Registrante: PRIMA SA
    País: Argentina
    Actividad: Proveedor de Servicios de Internet

    Datos en Argentina
    Domicilio: Lima 1261
    Ciudad/Localidad: Ciudad de Buenos Aires
    Provincia: Ciudad de Buenos Aires
    Código Postal: 1138
    Teléfono: 4370-0070
    Fax: 4370-0060

    ——————————————————————————–

    Persona Responsable: Miguel Fernandez
    Domicilio: La Rioja 301
    Ciudad: Capital Federal
    Código Postal: 1214
    Provincia:
    País: Argentina
    Teléfono: 4370-0070
    Fax: 4370-0060
    Horario de contacto: 10-18 HS

    ——————————————————————————–

    Entidad Administradora: PRIMA SA
    Domicilio: Lima 1261
    Ciudad: Ciudad de Buenos Aires
    Código Postal: 1138
    Provincia: Ciudad de Buenos Aires
    País: Argentina
    Teléfono: 4370-0070
    Fax: 4370-0060
    Actividad: Proveedor de Servicios de Internet

    ——————————————————————————–

    Contacto Técnico: Miguel Fernandez
    Domicilio: La Rioja 301
    Ciudad: Capital Federal
    Código Postal: 1214
    Provincia:
    País: Argentina
    Teléfono: 4370-0070
    Fax: 4370-0060
    Horario de contacto: 10-18 HS

    ——————————————————————————–

    Servidores DNS:
    DNS Primario: Nombre:o200.prima.com.ar
    Dirección IP:200.42.0.108
    DNS Secundario: Nombre:o2000.prima.com.ar
    Dirección IP:200.42.0.109

    Y saben a quién corresponde el dominio prima.com.ar? Mírenlo por sí mismos en http://www.domaintools.com:

    Whois for Prima.com.ar (Prima)
    DomainTools Launches New Whois Service (Auto-Completion) PsychicWhois.com
    Front Page Information
    Record Type: Domain Name

    Indexed Data
    DMOZ Directory: Militar
    DMOZ Title: Fuerza Aérea Argentina
    DMOZ Description: Sitio Oficial de la Fuerza Aérea Argentina
    Alexa Trend/Rank: 207,293 (1 Month) 180,453 (3 Month)
    Compete.com Rank: Limited statistical data

    Paranoia? Si alguien me lo explica, le agradecería… 🙂

    • Javier el 14 de febrero de 2007 a las 13:52
      Autor

    Albert:
    ¿Que querés que te diga? Algo de paranoia tenés 😆
    El tema debe estar en la forma en que domaintools realiza las consultas whois, ya que nic.ar no tiene un servidor de ese servicio. Solo se puede hacer la consulta desde la página web.
    Seguramente, cuando domaintools hace la consulta, algo le debe estar respondiendo una IP de Prima, ya que ahi es donde tienen alojada la página de la Fuerza Aerea.

  1. Excelente post. A mi me llegan decenas de correo basura a mi mail, pero la mayoria de VIAGRA y son de EEUU. No se com ose dieron cuenta que tengo problemas con eso…jajaja. ALguna solucion para esto?

  2. Tengo un problema con el tal “Miguel Fernandez
    Domicilio La Rioja 301”.
    Lo descubrí luego de instalar el Zone Alarm.Cada vez que veo una pelicula usando el Gom Player (y sólo en el Gom Player) Zone Alarm me indica que éste quiere conectarse a Internet a la IP 200.42.97.111.
    Po lo demás eliminé todos los virus espía que me detectó el ZA pero Gom Player sigue tratando de comunicarse. ¿Alguien sabe a qué se debe el comportamiento del Gom? ¿Tengo que desinstalarlo?
    ¿Tiene algo que ver con el funcionamiento lento de mi PC?

  3. Hice un experimento,hice recién un escaneo de mi IP y me salen los mismos datos del tal Miguel Fernandez. O sea ¿A donde corno se comunica el Gom Player?

  1. […] – zonageek y los caprichos de maxtor – Un gaditano en Silicon Valley 24 Horas EN Craigslist – Kusor dice que hay cosas tecnicamente inmorales 😛 – FGimenez blogea por 4to año – Ricardo Galli y un poco de la locura por el pagerank – martinpulido con unas pautas para integrar Photoshop y Flash – eConectados y la paranoia de la aviacion.. hasta con ridiculeces – el libro de todas las cosas Los post que no fueron o el complejo proceso de escribir un artículo para tu blog. – aNieto y un buen post sobre los WordPress Widgets – kapikua blog es uno que no conocía y me gusto – netadblog y el Ford Ka Viral :S – Before & After magazine – Celularis la blackberry que quiero 🙂 – Dirson y las Diez razones por las cuales es casi imposible competir contra Google – Fabio y amor en tiempo de las torres 😛 – Online y un howto que me hubiese venido muy bien en el colegio 😛 – Bajo sus alas reseña lo ultimo de Enigma – Peinate y las 5 razones para tener un blog – Jeffrey Zeldman es veterano en serio… y encima llega a una conclusión interesante 😉 – Chilehardware vio una presentacion condifencial de ATI – Comunidad UEM y otro video downloader – Cada loco con su blog, no? y el spam “oficial” 🙂 – End Of Wires le da una paliza a WiBree – Nerdgaucho y la publicidad apuntada a niños.. – Fabio y no podía dejar pasar la tercera parte de sus tutoriales de Kubuntu – Fogonazos y una buena historia en fotografía – elektronaut grosso 😛 – eConectados y un mapa de los ultimos 5000 años de medio oriente […]

Deja una respuesta

Tu dirección de correo electrónico no será publicada.