Stort spamangreb i Norden

Det startede så småt søndag d. 4. juni, hvor der e-mail brugere begyndte at modtage spammails, hvor der i emnet står "test gij". De tre bogstaver efter ordet test er tilfældigt genereret og kan også være "test syw", "test oed", "test hel" eller "test riq". Allerede om mandagen var antallet af spammails af denne type steget med mere end 300%, og hos nogle af Virus112s kunder var antallet om mandagen steget til det syvdobbelte af om søndagen.
Selve e-mailen er en ren spammail, der reklamerer for medicinske produkter fra en internet butik. E-mailen ser nogenlunde sådan ud:

****************************************
Hi,

X & N A X
M E R " D i A
A M B " E N
V " A G R A
P R 0 Z & C
S 0 M &
V A L " U M
L E V " T R A
C " A L i S

all 50 % off - http://www.negost.com/n1/
_____

am willing to let it stand against all my claim, dont you know. I may
be a burglar-or so they say: personally I never really felt like one-but
I am an honest one, I hope, more or less. Anyway I am going back now,
and the dwarves can do what they like to me. I hope you will find it
useful. The Elvenking looked at Bilbo with a new wonder.
Bilbo Baggins! he said. You are more worthy to wear the armour of
****************************************

Det domæne, der er linket til i e-mailen skifter, her er nogle af de domæner, der er brugt indtil videre:

# http://www.awerod.com/n1/
# http://www.wasoustar.com
# http://www.negost.com/n1/
# http://www.ancieregio.com
# http://www.lasoundesfa.com
# http://www.stiseermi.com
# http://www.seriocaves.com
# http://www.teresanol.com
# http://www.tonothille.com

Går du ind på et af domænerne, sendes du automatisk videre til http://relevananti.com eller direkte til Pharmacy Express, som er en online butik hvor man kan købe alskens former for ulovlige piller og medicin.

- Vores avancerede spamfilter har ingen problemer med at detektere de mange e-mails som spam, men det er antallet der er nyt. Det er stort set alle vores kunder, der i denne uge har fået blokeret rigtigt mange af denne type spammails, nogle kunder får blokeret flere tusinde om dagen, siger marketingchef Chris Østergaard fra Virus112.
- Firmaet bag det website, der reklameres for, kalder sig Pharmacy Express og manden bag denne "butik" hedder Leo Kuvayev, som arbejder sammen med stor-spammeren Alan Ralsky, der er en de mest berygtede spammere i verden. Om Leo Kuvayev kan det nævnes, at han arbejder med "OEM CD" pirat software spam, dyr og børne porno spam, opkrævning af betaling for porno, medicin/pille websites, og phishing. Han er berygtet for at udføre DNS på sine fjender og muligvis også at udføre DNS for andre spammere.
Det eller de bot-net, der udsender de millioner af spammails ejer derfor højst sandsynligt af Leo Kuvayev eller Alan Ralsky. Begge er kendt for at benytte sig af Bulletproof Hosting i Kina, Brasilien og Rusland.
Leo Kuvayev er også mistænkt for at være den "Pharmamaster" spammer der lavede DDoS (Distributed Denial of Service angreb) på firmaet BlueSecurity, som lukkede af samme årsag for bare et par uger siden.
Internet butikken Pharmacy Express er pænt designet i blå farver og med VISA samt Mastercard logoer på forsiden kunne man, som internet bruger, nemt forledes til at tro at dette er en helt officiel lovlig internetbutik. Butikken sælger dog medicin og piller, der ellers normalt skal bruges recept til, og det er langt fra lovligt. Virus112 anbefaler alle at holde sig langt væk fra denne og lignende butikker.