Recompensa 10 BTC por ayudar en robo de bitcoin: |
<< < (3/20) > >> |
Varmetric: Os doy mas detalles, la cabecera del correo es: Delivered-To: hector.cadelo@varmetric.co.uk Received: by 10.216.209.198 with SMTP id s48csp795534weo; Sat, 14 Jun 2014 03:08:57 -0700 (PDT) X-Received: by 10.66.248.228 with SMTP id yp4mr9875568pac.94.1402740536291; Sat, 14 Jun 2014 03:08:56 -0700 (PDT) Return-Path: <nobody@host.ozanimart.com> Received: from host.ozanimart.com ([122.201.94.179]) by mx.google.com with ESMTPS id nx10si4845019pbb.197.2014.06.14.03.08.55 for <hector.cadelo@varmetric.co.uk> (version=TLSv1 cipher=RC4-SHA bits=128/128); Sat, 14 Jun 2014 03:08:56 -0700 (PDT) Received-SPF: none (google.com: nobody@host.ozanimart.com does not designate permitted sender hosts) client-ip=122.201.94.179; Authentication-Results: mx.google.com; spf=neutral (google.com: nobody@host.ozanimart.com does not designate permitted sender hosts) smtp.mail=nobody@host.ozanimart.com Received: from nobody by host.ozanimart.com with local (Exim 4.77) (envelope-from <nobody@host.ozanimart.com>) id 1Wvktt-0008LS-5m for hector.cadelo@varmetric.co.uk; Sat, 14 Jun 2014 20:09:29 +1000 Date: Sat, 14 Jun 2014 20:09:29 +1000 To: hector.cadelo@varmetric.co.uk From: noreplay <support.corp@mail.bitsupport.com> Subject: welcome to wallet Message-ID: <514d8557afe2d1e09ca28de901ce784a@www.vanguardsingle.com.au> X-Priority: 3 MIME-Version: 1.0 Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset="us-ascii" X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - host.ozanimart.com X-AntiAbuse: Original Domain - varmetric.co.uk X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12] X-AntiAbuse: Sender Address Domain - host.ozanimart.com http://www.Bitpays.com/wallet-downloads-rFinieshed.seam= ?id=3Ddf5472208ef597f4f5762r81c34a4e7886a7bab5588752dbdewe908= e11fe605700c8592ad5302 Que en realidad va a: http://www.steddblue.com/index.php Domain Name: STEDDBLUE.COM Hace una redirección a www.masted.org/download/index.php que es donde ya descarga un archivo llamado BitPay-wallet-4ae23cea-062b-4609-8232-496b85fc5177.rar desde ese servidor. Intuyo que estos servidores han sido atacados previamente y puestos ahí el invento. Dentro de este archivo.rar hay un archivo .jar que ejecuta java y descarga de internet los siguientes archivos: JNativeHook_9150172923394402403.dll temporalito4067113274008559351okey.jar temporalito4591708588922498270Explorer.exe OJO, no abráis el .jad que os la lia! |
segaklon: Hombre , amigo Hector me parece increible que te hayan robado de nuevo , sera casi imposible cojer al ladron , espero noticias tuyas campeon. :) Y animos recuerda que los ultimos seran los que lo consigan. He rastreado la IP que has citado 122.201.94.179 y nos lleva a Sydney Australia , complicado de pillar pero seguire buscando . http://www.elhacker.net/geolocalizacion.html?host=122.201.94.179 Dirección IP 122.201.94.179 ASN Info AS | IP | BGP Prefix | CC | Registry | Allocated | AS Name 9512 | 122.201.94.179 | 122.201.80.0/20 | AU | apnic | 2006-10-27 | NETLOGISTICS-AU-AP Net Logistics Pty. Ltd.,AU DNS 122.201.94.179 Pais Australia Código de área New South Wales Región Australia Ciudad Sydney Código ZIP - Zona Horaria +10: Ips vinculadas 122.201.94.179 Whois IP RFC-3912 % Joint Whois - whois.lacnic.net % This server accepts single ASN, IPv4 or IPv6 queries % APNIC resource: whois.apnic.net % [whois.apnic.net] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html % Information related to '122.201.64.0 - 122.201.127.255' inetnum: 122.201.64.0 - 122.201.127.255 netname: NETLOGISTICS descr: Net Logistics Pty. Ltd. descr: Web Hosting and Web Application Provider descr: Sydney, NSW, Australia country: AU admin-c: NLN3-AP tech-c: NLN3-AP status: ALLOCATED PORTABLE mnt-by: APNIC-HM mnt-lower: MAINT-AU-NETLOGISTICS remarks: This IP space is statically assigned remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ remarks: This object can only be updated by APNIC hostmasters. remarks: To update this object, please contact APNIC remarks: hostmasters and include your organisation's account remarks: name in the subject line. remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ mnt-irt: IRT-NETLOGISTICS-AU changed: hm-changed@apnic.net 20080926 changed: hm-changed@apnic.net 20100421 source: APNIC irt: IRT-NETLOGISTICS-AU address: P.O Box 514 address: Broadway NSW 2007 address: AUSTRALIA e-mail: noc@netlogistics.com.au abuse-mailbox: noc@netlogistics.com.au admin-c: KR81-AP tech-c: KR81-AP auth: # Filtered mnt-by: MAINT-AU-NETLOGISTICS changed: noc@netlogistics.com.au 20111123 source: APNIC role: Net Logistics NOC address: Suite 85, 330 Wattle St address: Ultimo, NSW, 2007 country: AU phone: +61-2-90433968 e-mail: noc@netlogistics.com.au admin-c: KR81-AP tech-c: KR81-AP nic-hdl: NLN3-AP mnt-by: MAINT-AU-NETLOGISTICS changed: noc@netlogistics.com.au 20100420 source: APNIC % This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 He encontrado mas informacion relativa a la estafa . http://bitcoin-scam.blogspot.com.es/2013/11/bitcoin-team-scam.html |
Anillos2: Es posible que a un tal 14ybgCvwXP2wkfGAnhYHUEQFjY72jNu5bW también le hayan robado o sea parte del robo. https://blockchain.info/address/1JzA51EzejpSmH47jpVTyENeHb4KdkLa8b Quote from: Varmetric on June 18, 2014, 10:54:48 AM Os doy mas detalles, la cabecera del correo es: Delivered-To: hector.cadelo@varmetric.co.uk Received: by 10.216.209.198 with SMTP id s48csp795534weo; Sat, 14 Jun 2014 03:08:57 -0700 (PDT) X-Received: by 10.66.248.228 with SMTP id yp4mr9875568pac.94.1402740536291; Sat, 14 Jun 2014 03:08:56 -0700 (PDT) Return-Path: <nobody@host.ozanimart.com> Received: from host.ozanimart.com ([122.201.94.179]) by mx.google.com with ESMTPS id nx10si4845019pbb.197.2014.06.14.03.08.55 for <hector.cadelo@varmetric.co.uk> (version=TLSv1 cipher=RC4-SHA bits=128/128); Sat, 14 Jun 2014 03:08:56 -0700 (PDT) Received-SPF: none (google.com: nobody@host.ozanimart.com does not designate permitted sender hosts) client-ip=122.201.94.179; Authentication-Results: mx.google.com; spf=neutral (google.com: nobody@host.ozanimart.com does not designate permitted sender hosts) smtp.mail=nobody@host.ozanimart.com Received: from nobody by host.ozanimart.com with local (Exim 4.77) (envelope-from <nobody@host.ozanimart.com>) id 1Wvktt-0008LS-5m for hector.cadelo@varmetric.co.uk; Sat, 14 Jun 2014 20:09:29 +1000 Date: Sat, 14 Jun 2014 20:09:29 +1000 To: hector.cadelo@varmetric.co.uk From: noreplay <support.corp@mail.bitsupport.com> Subject: welcome to wallet Message-ID: <514d8557afe2d1e09ca28de901ce784a@www.vanguardsingle.com.au> X-Priority: 3 MIME-Version: 1.0 Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset="us-ascii" X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname - host.ozanimart.com X-AntiAbuse: Original Domain - varmetric.co.uk X-AntiAbuse: Originator/Caller UID/GID - [99 99] / [47 12] X-AntiAbuse: Sender Address Domain - host.ozanimart.com http://www.Bitpays.com/wallet-downloads-rFinieshed.seam= ?id=3Ddf5472208ef597f4f5762r81c34a4e7886a7bab5588752dbdewe908= e11fe605700c8592ad5302 Que en realidad va a: http://www.steddblue.com/index.php Domain Name: STEDDBLUE.COM Hace una redirección a www.masted.org/download/index.php que es donde ya descarga un archivo llamado BitPay-wallet-4ae23cea-062b-4609-8232-496b85fc5177.rar desde ese servidor. Intuyo que estos servidores han sido atacados previamente y puestos ahí el invento. Dentro de este archivo.rar hay un archivo .jar que ejecuta java y descarga de internet los siguientes archivos: JNativeHook_9150172923394402403.dll temporalito4067113274008559351okey.jar temporalito4591708588922498270Explorer.exe OJO, no abráis el .jad que os la lia! Fichero JAR tiene 3/53: https://www.virustotal.com/es/file/f0990c5a77be9aad83cb4aba659db5b6afbead0190ad20f0a7eae8c67789e8c4/analysis/ Cuando os bajéis algo id siempre a Virus Total, porque pocos antivirus llegan a detectar todo. |
Anillos2: Las transacciones ladronas son estas: https://blockchain.info/tx/869d6c9ee00609cb3d21e21c44490449b115c72000ed1fe04aa20f1e60847677 https://blockchain.info/tx/21b52da1316b42373ee156b219412d52df85da951f30f5b6f6a679143dcca954 Las posteriores ya son realizadas por los servicios web donde se depositó el dinero. Sería fantástico poder ver de dónde se retransmitieron esas transacciones, aunque lo mismo son enviadas desde TOR. Este hilo quizás esté relacionado: https://bitcointalk.org/index.php?topic=656052.msg7377515#msg7377515 |
nikkus: Tus Bitcoins salen de tu btc address: 14.9998 para aqui: https://blockchain.info/es/tx/21b52da1316b42373ee156b219412d52df85da951f30f5b6f6a679143dcca954 Y esta es la que MUY probablemente va a parar en BTC-E como dijo el compañero antes! Pero 15BTC para aquí: https://blockchain.info/es/tx/869d6c9ee00609cb3d21e21c44490449b115c72000ed1fe04aa20f1e60847677 (1JzA51EzejpSmH47jpVTyENeHb4KdkLa8b) Y de ahí los 15 BTC se dividen, y 10BTC van para aquí: https://blockchain.info/es/tx/aa9b104ef9889f073d876fd8208b49813b2f3d20dddc98ec0f1f1b6d38c8e339 (1HC3dc4DubRat1P39YBBkwVRbph3ijbtPQ) Y de esa dirección ya hay gente q "no se fía", o sea, ya hay sospechas... Ademas esta entre las 100 direcciones con mas transacciones! http://bitinfocharts.com/top-100-busiest_by_transactions-bitcoin-addresses.html Y 4,9999BTC para aquí: 1Fa6yc2g3MmCSRf2eRZn4pWbuKmwosEXbb Pero de ahí parece q las grandes transacciones convergen a: 1HC3dc4DubRat1P39YBBkwVRbph3ijbtPQ Así que SUPONGO que esta dirección es la cartera del "culpable" por la sustracción de tus Bitcoins, o quizás de algún otro servicio que esta persona utilice. Este tema me toca muy de cerca, pq también fue victima de una situación similar. por lo tanto seguiré "husmeando" por ahí a ver que logro ver. Un saludo! P.D.: Comentale a los de BTC-E a ver si se hizo alguna retirada de dinero a esta cuenta que te dije antes. |
Navigation |
Message Index |
Next page |
Previous page |