Retour d'emails bizarres

[loorent]

bonjour,

 

une de mes amies a eu son facebook hacké ce WE. le hackeur a profité du hack pour contacter 2 personnes, pour leur demander de poster une annonce sur lebon coin.

 

j'ai recherché et vu que c'etait un SCAM, pour tenter d'obtenir les mots de passe des 2 personnes en question;

 

le compte facebook a été supprimé.

 

seulement, un des 2 contacts qui utilise son pc pour bosser, a effectué aujourd'hui un tests d'envoi recpetion de mail, et a eu un comportement bizarre:

 

elle s'est envoyé des mails a elle même, sur ses 3 comptes mails, et elle a eu le message suivant:

 

-----Original Message-----

From: [email protected]

Sent: Wednesday, November 14, 2012 5:18 AM

To: delphine.xxxxxxxxx.net

Subject: failure notice

 

Hi. This is the qmail-send program at vps.dns26.com.

I'm afraid I wasn't able to deliver your message to the following addresses.

This is a permanent error; I've given up. Sorry it didn't work out.

 

<[email protected]>:

128.163.184.108 does not like recipient.

Remote host said: 550 5.1.1 User unknown Giving up on 128.163.184.108.

 

<[email protected]>:

128.163.184.113 does not like recipient.

Remote host said: 550 5.1.1 User unknown Giving up on 128.163.184.113.

 

<[email protected]>:

128.163.184.108 does not like recipient.

Remote host said: 550 5.1.1 User unknown Giving up on 128.163.184.108.

 

<[email protected]>:

128.163.184.100 does not like recipient.

Remote host said: 550 5.1.1 User unknown Giving up on 128.163.184.100.

 

<[email protected]>:

128.163.184.100 does not like recipient.

Remote host said: 550 5.1.1 User unknown Giving up on 128.163.184.100.

 

<[email protected]>:

128.163.184.100 does not like recipient.

Remote host said: 550 5.1.1 User unknown Giving up on 128.163.184.100.

 

--- Below this line is a copy of the message.

 

Return-Path: <delphine.xxxxxxxxx.net>

Received: (qmail 30408 invoked from network); 14 Nov 2012 05:18:08 +0100

Received: from smtp.hexanet.fr (81.23.32.141)

by vps952dds.dns26.com with SMTP; 14 Nov 2012 05:17:53 +0100

Received: from DelphineNHP (unknown [31.29.105.176]) by smtp.hexanet.fr

(Postfix) with SMTP id 9FB0CD530; Wed, 14 Nov 2012 06:37:28 +0100 (CET)

Message-ID: <D93B7A1ED5134404B08D3E7DC9E8979E@DelphineNHP>

From: "Delphine delphine.xxxxxxxxx.net

To: "Delphine delphine.xxxxxxxxx@xxxxxx

<[email protected]>, <[email protected]>

Subject: test

Date: Wed, 14 Nov 2012 06:37:30 +0100

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="----=_NextPart_000_000D_01CDC232.853419F0"

X-Priority: 3

X-MSMail-Priority: Normal

Importance: Normal

X-Mailer: Microsoft Windows Live Mail 15.4.3555.308

X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3555.308

X-Antivirus: avast! (VPS 121113-1, 13/11/2012), Outbound message

X-Antivirus-Status: Clean

 

This is a multi-part message in MIME format.

 

------=_NextPart_000_000D_01CDC232.853419F0

Content-Type: text/plain;

charset="iso-8859-1"

Content-Transfer-Encoding: quoted-printable

 

 

------=_NextPart_000_000D_01CDC232.853419F0

Content-Type: text/html;

charset="iso-8859-1"

Content-Transfer-Encoding: quoted-printable

 

<HTML><HEAD></HEAD>

<BODY dir=3Dltr>

<DIV dir=3Dltr>

<DIV style=3D"FONT-FAMILY: 'Calibri'; COLOR: #000000; FONT-SIZE: 12pt"> <DIV> </DIV></DIV></DIV></BODY></HTML>

 

------=_NextPart_000_000D_01CDC232.853419F0--

 

 

or bien sur, le [email protected] n'est pas un de ses contacts, et elle ne lui a rien envoyé.

 

Comme si il y avait un spyware qui tentait d'envoyer des mails a cette adresse.

 

une idée ? que doit elle faire ?

 

pour le moment je lui ait conseillé de faire tourner malewarebyte.

 

pour info, elle est en wimax.

 

 

 

et du coup j'ai des doutes sur le PC de la copine qui a eu le FB hacké: je lui ais fait passer un antivirus, j'ai passé un coup de hijackthis, et un TDSSkiller, rien trouvé.

 

que conseillez vous également ?

 

 

 

ci dessous le texte du scam:

 

je dois remplis un formulaire de vente gratuit mais le site marche pas sur mon pc.

sinon que je te passe le site pour que tu m'aide??

 

...

ok va sur le site www.leboncoin.fr

 

....

Apré clik sur deposer gratuitement vos annonces a coté de la carte de france

 

....

Ok tu met:

Région: Midi-Pyrénées

Département: Haute-Garonne

Code postal: 31000

Categorie: Voiture

Vous etes Particulier

Type: Offre

Nom: lucy

Email: [email protected]

Tel: 0673125574 et tu masque

Remplit sa et tu me dit et je t'envoie la suite

....

Titre: Alfa romeo

Année-modèle : 2003

Kilométrage : 189 000 KM

Carburant : Diesel

Boîte de vitesse : Manuelle

Remplit sa et tu me dit et je t'envoie le texte de l'annonce.

 

...

Texte de l'annonce:

Alfa Roméo Giulietta Distinctive 1,6 JTDM 105 ch boite 6 vitesses, Vitres électriques , Rétroviseurs électriques rabattables,Rétroviseur intérieur électrochrome, Ordinateur de bord, Climatisation automatique bi zone, Radio CD et USB, Systeme Blue and me , Commandes au volant, Fermeture centralisé, Fixations Isofix pour siéges bébé, Roue de secours, ABS, ESP, Start & Stop, Radar de recul, Anti-patinage, Aide au démarrage en cote, Aide au freinage d'urgence, Direction assistée, Régulateur de vitesse, Détecteur de pluie, Allumage automatique des phares, Leds de jour, Phares antibrouillard, Systeme DNA, Toujour stationnée au garage

Prix: 3000

Remplit sa et tu me dit et je t'envoie les photos et tu les places

 

...

http://image.noelshack.com/fichiers/2012/38/1348076734-5.jpg

Clic sur le lien pour voir la photo et tu enregistre dans tes image et tu vas sur le site et tu la met.

.....

Valide maintenant et apres ne coche rien juste je te passe le mot de passe et tu revalide

....

Tu choisir ce que tu veux comme ville

Ne coche rien du tout au niveau des logo payante

Mot de passe: bon123

Et tu la saisie a nouveau et tu valide

 

Ok je vais verifié et je t'envoie le lien pour que tu confirme l'annonce

ok

 

Leboncoin.fr

Clique sur ce lien pour confirmer et copie moi ce qui s'affiche sur la page stp

Modifié le 14 novembre 2012 par loorent