「仙蒂」一案有突破性的發現...

**joe.oo** · 2001-03-13, 08:07 PM

前一陣子，很多人都收到「仙蒂」的 email ，
從信件的內容看來，好像是寄錯了．
有人還亂傳可能是有病毒或是駭客，其實不然．
這些信都是 Html 的格式，我打開原始檔一看，赫然發現一行如：
body background='http://203.69.200.163/cgi-bin/perl/image.cgi?no=219-198-205-(中間省略)-220-982648422'
這一行是很普通的 Html 語法，意思是：
你這封 Html 格式的 email 的背景圖是自動鏈結到 http://203.69.200.163 ，由 image.cgi 這支程式產生圖檔之後
送回你的電腦，你才能看到背景圖．( 而 /cgi-bin/perl/ 是 image.cgi 的路徑 )
「no」是參數名稱，
「= 」之後的字串就是要傳入的「值」了，
相信懂得 PHP , cgi , perl , asp .... 的人都知道這些吧 !

問題來了，為什麼如此單純的 email 其用到的背景圖要如此大費周章，用 cgi 去產生，而且還要傳入不一樣的「值」 ??
顯然是在搞什麼鬼．
但是，這一大串的數字，三位數一組，以「-」相隔，最後又是九位數字，代表什麼意思呢 ??

研究之後發現：
前面 ( 三位數一組，以「-」相隔 ) 是一個 email address ，但是有經過加密．
後面 ( 九位數字 ) 是一個日期，會寫 php 的人應該有印象吧，就是 Unix Epoch ( January 1 1970 GMT )起算的秒數．

下列是我寫的 javaScript 碼，可以幫大家解開這個謎底．
如果你懂得怎麼用 javaScript ，你可以利用下面的程式，幫你解密．
只有把「***」換成你信中的那個字串(例如 : 201-202-203-232-220-205-219-220-134-203-199-197-134-210-223-982247774)
然後用 ie 開啟就會出現了．

當你看到解密之後的 email address，是不是覺得很眼熟，應該就是你自己收到「仙蒂」的 mail Box 對吧 ??
如果是，那麼很明顯地，這是某個不消人士收集有效 email address 的手法，
因為，你一打開 email，並且是在上網的同時，那這封 email 就偷偷地用讓人就沒有防範的 http 協定，
自動連結回他們的主機 http://203.69.200.163 ，回報說你的 email address 是有效的．

語法:

// copy there start 
var code = "***"; // 把 *** 換成 no= 之後的字串例如 : 201-202-203-232-220-205-219-220-134-203-199-197-134-210-223-982247774
myarry = code.split("-");
str = "";
for( count = 0 ; count < myarry.length-1 ; count++ ){
	if ( myarry[count] == 134 ){
		str += ".";
	} else if ( myarry[count] == 232 ){
		str += "@";
	} else if ( ( myarry[count] >= 192 &&  myarry[count] <= 199 ) || ( myarry[count] >= 209 &&  myarry[count] <= 210 ) ){
		str += String.fromCharCode(myarry[count]-88);		
	} else if ( ( myarry[count] >= 201 &&  myarry[count] <= 207 ) || ( myarry[count] >= 216 &&  myarry[count] <= 224 ) ){
		str += String.fromCharCode(myarry[count]-104);
	} else if ( myarry[count] >= 144 &&  myarry[count] <= 145 ){
		str += String.fromCharCode(myarry[count]-88);
	} else {
		str += String.fromCharCode(myarry[count]-104);
	}
}
Millisecond = myarry[myarry.length-1];
myDate = new Date();
myDate.setTime(parseInt(myarry[myarry.length-1])*1000);
document.write( "<p>原始字串 : " + code + "<br>　　email : " + str + "<br>　　日期 : " + myDate.toGMTString() + "</p>" );
// end

**winson** · 2001-03-14, 04:18 AM

ㄟ~~厲害喔~~我以前只有發現那串數字~~因為不知所以然~~所以沒去追查~~...
恩~~我最近的信箱多了一堆以前沒出現過的廣告信~~都是奇怪的~~

恩~~針對OUTLOOK~~你們要小心Microsoft公司曾經發佈一個修正程式可以用來修復Outlook, Outlook Express VCard(名片)的安全性漏洞.此漏洞允許送件著傳送附有惡意程式的VCard的郵件在收件者機器上執行任意指令
http://www.microsoft.com/windows/ie/...itical/q283908
http://www.microsoft.com/technet/sec...n/MS01-012.asp
http://www.securiteam.com/windowsntf...erability.html
...
恩~~...另外想想~~防阻的目的是什麼~~我大概只是為了不甘願吧~~
否則我的電腦自己也有備份~~被幹掉了~~就重新安裝就好了~~
目前所知道的電腦系統本身的漏洞已經太多了∼多到覺得有點煩∼
唉~~大家小心吧

**路恨天** · 2001-03-14, 04:40 PM

那這修正程式都是支援英文版的吧 ?
中文版的出來了嗎 ?
要去哪下載,修正呢 ?
謝謝 ~ ^_^

**joe.oo** · 2001-03-14, 05:17 PM

補充:

剛才看了一下我寫的 javaScript 程式,
其中有些字串被這個留言版誤以為是vB Codes, 而key 掉了,沒辦法正常顯示, 導至程式錯誤,
現在已經修正好了.

**mingsheu** · 2001-03-15, 09:14 AM

像這種情況.....
能不能通知電信警察呢???
最近收到的廣告信真x的是一大票，就連我那
少用的SeedNet竟然也收了一大票.......

只恨自己功力不足....不然.......

**joe.oo** · 2001-03-15, 04:18 PM

原始作者是 : mingsheu
像這種情況.....
能不能通知電信警察呢???
最近收到的廣告信真x的是一大票，就連我那
少用的SeedNet竟然也收了一大票.......

只恨自己功力不足....不然.......

你可以選擇默默地承受,
一直到每次打開信箱,廣告信就有如泉水般湧出.
或者,採取反擊的動作.
想搞他們,不須什麼功力 !
這個網站有教人"廣告信處理(檢舉)方法"
http://www.netvigator.com.tw/~ya5411/
其中有個"假資料，真訂購"的方法,一定叫對方恨到吐血...

反對廣告信的鬥士們,加油!!!!

**voluspa** · 2001-03-17, 12:48 AM

No.6, Lane 382, Hu Lien Rd.,Yung Ching Shiang, Changhua

inetnum: 203.69.200.160 - 203.69.200.167
netname: LW-NET
descr: Lady Wu
descr: No.6, Lane 382, Hu Lien Rd.,Yung Ching Shiang, Changhua
descr: Changhua Taiwan
country: TW
--------------------------------------------------------
以上是203.69.200.163申請者的data
有興趣的人就去查一查吧

**arthurh** · 2001-03-17, 03:21 PM

原始作者是 : voluspa
No.6, Lane 382, Hu Lien Rd.,Yung Ching Shiang, Changhua

inetnum: 203.69.200.160 - 203.69.200.167
netname: LW-NET
descr: Lady Wu
descr: No.6, Lane 382, Hu Lien Rd.,Yung Ching Shiang, Changhua
descr: Changhua Taiwan
country: TW
--------------------------------------------------------
以上是203.69.200.163申請者的data
有興趣的人就去查一查吧

http://www.net520.net
http://www.jcboy.com.tw
這兩個網址都指向 203.69.200.163
你們有收過 [email protected] 寄來的廣告信嗎？
沒錯，他就是在網路上引起熱烈討論的仙蒂，也是小燕子

彰化縣永靖鄉瑚璉路382巷6號
駿豐資訊
應該是仙蒂的發源地

**joe.oo** · 2001-03-20, 04:35 AM

沒收到過 [email protected] 寄來的信,

"綠界科技"寄的匿名廣告信倒是一堆,
這種下三濫的公司,
不旦開發寄廣告信的軟體,又自己濫寄廣告信,
廣告信還用匿名的,不敢承認是它們寄的.
最下流的是,在信頭中用了下面這一行:
Return-Path: ＜[email protected]＞

詛咒它早早倒店!!