<br><br><div class="gmail_quote">On Wed, Jul 22, 2009 at 3:31 PM, Mark Doliner <span dir="ltr"><<a href="mailto:mark@kingant.net">mark@kingant.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
I'd also like to point out that when you access <a href="http://pidgindownload.com" target="_blank">pidgindownload.com</a>,<br>
some files are loaded from <a href="http://zangocash.com" target="_blank">zangocash.com</a>.  The whois for <a href="http://zangocash.com" target="_blank">zangocash.com</a><br>
shows that it is affiliated with <a href="http://zango.com" target="_blank">zango.com</a>.  And the wikipedia entry<br>
for <a href="http://zango.com" target="_blank">zango.com</a> suggests that they have distributed software with<br>
undesirable behavior in the past.<br>
<font color="#888888"><br>
-Mark<br>
</font><div><div></div><div class="h5"><br>
On Wed, Jul 22, 2009 at 3:12 PM, Jason Straw<<a href="mailto:jason.straw@gmail.com">jason.straw@gmail.com</a>> wrote:<br>
> Panama it is.<br>
><br>
> whois for the IP block containing <a href="http://pidgindownload.com" target="_blank">pidgindownload.com</a> below.<br>
><br>
> Jason<br>
><br>
> Mark Doliner wrote:<br>
>> I believe in June we requested that the ISP hosting this site turn it<br>
>> off.  I believe they did so, but then the <a href="http://pidgindownload.com" target="_blank">pidgindownload.com</a> people<br>
>> moved to a different ISP (possibly one outside the US?)  Maybe Kevin<br>
>> can clarify this statement?<br>
>><br>
>> I sent them an email on July 1st and said, "We ask that you avoid<br>
>> using our trademarks in a way that looks as if <a href="http://pidgindownload.com" target="_blank">pidgindownload.com</a> is<br>
>> the official website of the Pidgin IM client."  I haven't gotten any<br>
>> response.<br>
>><br>
>> Next steps?<br>
>><br>
>> -Mark<br>
>><br>
>> On Wed, Jul 22, 2009 at 3:01 PM, ChO₂<<a href="mailto:chemistrydioxide@quantentunnel.de">chemistrydioxide@quantentunnel.de</a>> wrote:<br>
>>> Hello everybody,<br>
>>><br>
>>> Someone has put a web site on the internet that looks very similar to<br>
>>> <a href="http://pidgin.im" target="_blank">pidgin.im</a>, but is actually different. This web site offers a file for<br>
>>> download that it claims to be Pidgin 2.5.8 for Windows.<br>
>>><br>
>>> I've downloaded Pidgin for Windows from the questionable web site and<br>
>>> from <a href="http://pidgin.im" target="_blank">pidgin.im</a>:<br>
>>><br>
>>> Original file:<br>
>>>    md5: e1f46848473cf69236b8a7020b7e5bd7<br>
>>>    size: 14323030 bytes<br>
>>> Questionable version:<br>
>>>    md5: fc87e991b2484c4eac968e17a41b0d6d<br>
>>>    size: 14275882<br>
>>><br>
>>> I already suggested that <a href="http://pidgindownload.com" target="_blank">pidgindownload.com</a> could be shipping something<br>
>>> different than Pidgin or a version of Pidgin that is infected with<br>
>>> spyware or a virus, but after googleing for the md5 hash, it seems that<br>
>>> it's just Pidgin 2.5.4 which is offered there:<br>
>>> <a href="http://www.google.de/search?q=fc87e991b2484c4eac968e17a41b0d6d&ie=UTF-8&oe=UTF-8" target="_blank">http://www.google.de/search?q=fc87e991b2484c4eac968e17a41b0d6d&ie=UTF-8&oe=UTF-8</a><br>

>>><br>
>>> However, I still think that the person who is running that site is up to<br>
>>> doing something nasty because<br>
>>> - the website is imitating <a href="http://pidgin.im" target="_blank">pidgin.im</a> and mirroring parts of it.<br>
>>> - <a href="http://pidgindownload.com" target="_blank">pidgindownload.com</a> is hiding its whois information which is uncommon<br>
>>> for reputable web sites when most websites in the same zone have<br>
>>> extensive whois data.<br>
>>><br>
>>> I am afraid that many people happen to end up on that site because it is<br>
>>> the third Google result for "pidgin download":<br>
>>> <a href="http://www.google.de/search?q=pidgin+download&ie=UTF-8&oe=UTF-8" target="_blank">http://www.google.de/search?q=pidgin+download&ie=UTF-8&oe=UTF-8</a><br>
>>><br>
>>><br>
>>> Greetings from a country that doesn't know patriotism<br>
>>> ChO2<br>
>>><br>
>>><br>
>>> PS: This is from #pidgin, today:<br>
>>><br>
>>> (2009-07-22 21:35:27) thomas001: thank google for it<br>
>>> (2009-07-22 21:35:48) dan: i did google, and i actually ended up at<br>
>>> <a href="http://pidgindownload.com" target="_blank">pidgindownload.com</a> which appears to be spyware<br>
>>> (2009-07-22 21:36:26) thomas001: "pidgin windows download" gave good<br>
>>> results<br>
>>> (2009-07-22 21:37:45) dan: someone might want to take a look at the<br>
>>> <a href="http://pidgindownload.com" target="_blank">pidgindownload.com</a> site since it seems to be a near copy of the real web<br>
>>> site, but links to s 300k exe file from some ad company<br>
>>> (2009-07-22 21:39:40) thomas001: wow,this is bad<br>
>>> (2009-07-22 21:39:58) Cobalt: I got a 13.7MB exe.<br>
>>> (2009-07-22 21:41:29) thomas001:<br>
>>> <a href="http://preview.licenseacquisition.org/48/1056168924.86392/pidgin.exe" target="_blank">http://preview.licenseacquisition.org/48/1056168924.86392/pidgin.exe</a><br>
>>> thie link is somewhat odd<br>
>>> (2009-07-22 21:42:20) Cobalt: That it is, also the name of the file,<br>
>>> although it appears to be the right size... But that can easily be<br>
>>> messed with.<br>
>>> (2009-07-22 21:42:48) Cobalt: Also, there's nothing there except the<br>
>>> Windows version, apparently.<br>
>>> (2009-07-22 21:44:10) Cobalt:<br>
>>> <a href="http://www.whois.net/whois/pidgindownload.com" target="_blank">http://www.whois.net/whois/pidgindownload.com</a><br>
>>> (2009-07-22 21:45:13) Cobalt: Creepy?<br>
>>><br>
>>> [...]<br>
>>><br>
>>> (2009-07-22 22:33:45) chemistrydioxide: <a href="http://pidgindownlaod.com" target="_blank">pidgindownlaod.com</a> is somehow<br>
>>> mirroring part of <a href="http://pidgin.im" target="_blank">pidgin.im</a><br>
>>><br>
>>> [...]<br>
>>><br>
>>> (2009-07-22 22:44:01) chemistrydioxide: i just downloaded pidgin 2.5.8<br>
>>> from <a href="http://pidgindownload.com" target="_blank">pidgindownload.com</a>. it's actually different from the official<br>
>>> version. it's slightly smaller<br>
>>><br>
>>> [...]<br>
>>><br>
>>> (2009-07-22 22:44:39) chemistrydioxide: i'm afraid that someone is<br>
>>> actually doing something nasty here<br>
>>> (2009-07-22 22:44:49) darkrain42: chemistrydioxide: ?<br>
>>> (2009-07-22 22:45:06) darkrain42: oh, sorry. saw the context. lastlog<br>
>>> was in the way.<br>
>>> (2009-07-22 22:45:10) ***darkrain42 grumbles<br>
>>> (2009-07-22 22:45:18) darkrain42: chemistrydioxide: Mention it in d@cpi,<br>
>>> please<br>
>>> (2009-07-22 22:45:23) elb: chemistrydioxide: that's not good<br>
>>> (2009-07-22 22:45:57) chemistrydioxide: darkrain42: k.<br>
>>> (2009-07-22 22:46:06) chemistrydioxide: i'll do it immediately<br>
>>><br>
><br>
> 18:11:04 jstraw@shipon:~ 2$ whois 91.184.49.215<br>
> % This is the RIPE Database query service.<br>
> % The objects are in RPSL format.<br>
> %<br>
> % The RIPE Database is subject to Terms and Conditions.<br>
> % See <a href="http://www.ripe.net/db/support/db-terms-conditions.pdf" target="_blank">http://www.ripe.net/db/support/db-terms-conditions.pdf</a><br>
><br>
> % Note: This output has been filtered.<br>
> %       To receive output for a database update, use the "-B" flag.<br>
><br>
> % Information related to '91.184.48.0 - 91.184.55.191'<br>
><br>
> inetnum:        91.184.48.0 - 91.184.55.191<br>
> netname:        VCN-20061001<br>
> descr:          VCN Corp. / <a href="http://kolido.net" target="_blank">kolido.net</a><br>
> country:        NL<br>
> admin-c:        VCN-RIPE<br>
> tech-c:         VCN-RIPE<br>
> status:         Assigned PA<br>
> mnt-by:         MNT-VCN<br>
> mnt-routes:     OCOM-MNT<br>
> source:         RIPE # Filtered<br>
><br>
> person:         Oliver Ellermeier<br>
> remarks:        +-----------------------------------------------------------<br>
> remarks:        | Abuse Contact: <a href="mailto:abuse@kolido.net">abuse@kolido.net</a> in case of Attacks,<br>
>    |<br>
> remarks:        | Illegal Activity, Violation, Scans, Spam etc.<br>
>    |<br>
> remarks:        | Please see VCN-RIPE for contacts in case of<br>
>    |<br>
> remarks:        | operational/technical issues.<br>
>    |<br>
> remarks:        +-----------------------------------------------------------<br>
> address:        VCN Corp.<br>
> address:        Ramon Arias Avenue Maheli Building<br>
> address:        Office 12-E<br>
> address:        Panama City<br>
> address:        Republic of Panama<br>
> phone:          +49 (180) 3471133111<br>
> fax-no:         +49 (180) 3684399484<br>
> abuse-mailbox:  <a href="mailto:abuse@kolido.net">abuse@kolido.net</a><br>
> mnt-by:         MNT-VCN<br>
> nic-hdl:        VCN-RIPE<br>
> source:         RIPE # Filtered<br>
><br>
> % Information related to '<a href="http://91.184.48.0/20AS16265" target="_blank">91.184.48.0/20AS16265</a>'<br>
><br>
> route:          <a href="http://91.184.48.0/20" target="_blank">91.184.48.0/20</a><br>
> descr:          kolido<br>
> origin:         AS16265<br>
> remarks:        kolido<br>
> mnt-by:         MNT-VCN<br>
> mnt-by:         OCOM-MNT<br>
> source:         RIPE # Filtered<br>
><br>
><br>
><br>
<br>
_______________________________________________<br>
Devel mailing list<br>
<a href="mailto:Devel@pidgin.im">Devel@pidgin.im</a><br>
<a href="http://pidgin.im/cgi-bin/mailman/listinfo/devel" target="_blank">http://pidgin.im/cgi-bin/mailman/listinfo/devel</a><br>
</div></div></blockquote></div><br>It looks like there is also a fake site at <a href="http://www.downloadpidgin.com">www.downloadpidgin.com</a>. This one's not up to date, though. I didn't look into very much at that site, but <a href="http://whois.domaintools.com/">http://whois.domaintools.com/</a> told me that <a href="http://downloadpidgin.com">downloadpidgin.com</a> is from IL and <a href="http://pidgindownload.com">pidgindownload.com</a> is from the Netherlands.<br>
<br>Ankit<br>