Alguém reconhece esse sniffer de e-mail ou malwaire usando a encoding ROT13?

Eu tenho um site privado que todas as semanas envia e-mails com dois links http diferentes paira um grupo de cerca de 30 pessoas. Quando um link é clicado, a resposta está registrada em um database. A pairtir da semana passada, um dos links do destinatário é seguido automaticamente por um sniffer de networking ou algum malwaire no computador do destinatário.

Cada e-mail é enviado individualmente, uma vez que os links contêm o endereço de e-mail de cada destinatário:

Yes, I will attend: http://mywebsite.com/?email=user@domain.com&answer=yes No, I can't attend: http://mywebsite.com/?email=user@domain.com&answer=no 

Cerca de 20 minutos após o envio do e-mail, recebo o seguinte request no meu site:

 UserHostName: 209.133.77.166 UserHostAddress: 209.133.77.166 UserAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2; MS-RTC LM 8) Browser: IE 7.0 Platform: WinXP HttpMethod: GET Path: /default.aspx Url: http://mywebsite.com/default.aspx?answer=ab&email=hfre@qbznva.pbz UrlReferrer: 

Há algumas coisas estranhas paira observair aqui:

  • O endereço de e-mail e a resposta são ambos codificados ROT13 (mas não os nomes dos pairâmetros).
  • A order dos pairâmetros é reviewtida.
  • Somente o segundo link, com resposta = não, é seguido.

Além disso:

  • Os campos IP-address, UserAgent, Browser e Platform não correspondem aos do computador do destinatário (mas podem ser falsificados, é clairo).
  • O endereço IP usado na semana passada foi 209.133.77.167. Ambos os endereços pairecem ser alocados dinamicamente no domínio above.net, realizando um tracert produz o nome do host 209.133.77.166.T01713-01.above.net.
  • Ao viewificair os headers de e-mail, o e-mail foi enviado do meu web hotel binero.net via messagelabs.com paira o server de email dos destinatários.
  • É apenas esse destinatário único que tem esses problemas.

Alguém reconhece o padrão dos seguintes links de e-mail e codifica os pairâmetros com ROT13?

  • Protegendo o Acrobat Reader paira mitigair vírus
  • Crianças + computadores mais antigos + nossa networking no escritório: risco de security?
  • Precisa de um recurso paira descobrir sobre a atividade de ataque mais recente?
  • Possível malwaire no meu server, como searchr a fonte?
  • Um trabalhador de TI anterior provavelmente deixou algumas portas traseiras. Como posso eliminá-los?
  • Conficker: as etapas tomadas na política de grupo paira proteger contra vírus permanecem?
  • One Solution collect form web for “Alguém reconhece esse sniffer de e-mail ou malwaire usando a encoding ROT13?”

    Hah, 5 minutos depois de postair a pergunta, findi a resposta sozinha. Já aconteceu com você? 馃檪

    https://security.stackexchange.com/questions/48684/help-investigating-potential-website-attack-url-rewriting-and-rot-13-obfuscatio

    Essencialmente:

    Levou algumas chamadas com a AboveNet (agora pairte do Zayo), mas finalmente conseguimos determinair que um de seus clientes é uma empresa anti-malwaire com sede no Reino Unido, oferecendo services a dois de nossos clientes comuns. Eles estavam digitalizando todos os emails recebidos e examinando quaisquer hiperlinks paira identificair potenciais perigos e / ou vulnerabilidades nos destinos.