Ce genre de titre sent déjà la magouille à plein nez, mais pourquoi est-ce qu’elle a partagé cette vidéo 2 fois de suite sur son profil ? Je clique sur le lien pour voir.

Hormis la traduction plus qu’approximative, je suis invité à cliquer sur un bouton « Jaa ». Pourquoi pas ? Je clique, une fenètre popup s’ouvre et me propose de partager cette vidéo sur mon mur Facebook :

Là encore la fenêtre popup a été configurée pour s’afficher en finlandais (on voit « locale=fi_FI » dans l’URL du popup, « FI » étant le code de la Finlande). Je doute fort que le webmaster soit finlandais. A mon avis, ce choix de langue est là pour noyer le poisson. C’est plutôt malin, je suis sûr que 90% des internautes qui en sont déjà arrivés là cliquent aveuglement sur « Jaa » sans réfléchir. Un bouton « partager » leur aurait mis la puce à l’oreille !

Partage ou pas, en fermant le popup Facebook, on arrive (presque) à la vidéo :

J’adore l’idée du YooTube. Pour confirmer mon âge, on me demande de cliquer sur une des deux publicités ci-dessous et c’est là que ça devient intéressant et plutôt énervant.

En visionnant le code source de la page, on trouve des bouts de scripts qui appellent le domaine www.promotiontrack.mobi. Vous pouvez cliquer, il n’y a absolument rien sur l’index de ce domaine.

En fouillant un peu, on trouve pas mal de répertoires cachés  sur ce domaine, dont les accès sont bloqués :

• http://www.promotiontrack.mobi/js
• http://www.promotiontrack.mobi/widget
• http://www.promotiontrack.mobi/webicons

Ce qui est très énervant, c’est qu’avec un reverse-ip, on trouve une 30aine d’autres domaines qui ont EXACTEMENT les mêmes caractéristiques que « promotiontrack.mobi » et qui hébèrgent des sites sur le même serveur que « promotiontrack.mobi » :

• advertlead.net
• affiliatevalue.info
• bannerperformance.net
• impressionlead.com
• + 28 autres dans le même genre
  

Le propriétaire de ces domaines (tous neufs) a pris soin de tous les anonymiser. Impossible de savoir à qui ils appartiennent et à quoi ils servent ! Apparemment, ces sites affichent les deux publicités « Vous voulez gagner une Mercedes ? » et « Partez en vacances ! »… mais impossible de savoir quelle régie pub propose ça.

Continuons : si vous avez toujours envie de voir votre vidéo, il vous faudra cliquer sur l’une des deux publicités. Je me lance avec « partir en vacance » ! En cliquant sur ce lien, on arrive d’abord sur impressionlead.com (tiens, on le connait celui là, cf la liste précédente) puis on est immédiatement redirigé sur clickintercom.com puis enfin sur aldaniti.net :

En deux temps trois mouvements, aldaniti.net récupère votre identité, votre adresse, votre numéro de téléphone et votre e-mail pour, je cite « ‘être contacté par e-mail, téléphone, SMS ou voie postale, ainsi que recevoir des informations commerciales qui porraient m’intéresser de la part de Hotelbono et de nos sponsors » (la faute d’orthographe est d’origine).

Parmi les sponsors, 14 sites prêts à vous spammer nuit et jour ! Mais ce qui me dégoute dans tout ça, c’est cette page chez aldaniti.net :

A savoir que ces 39 grosses sociétés profitent des données enregistrées par aldaniti pour faire du business. Voila comment ça se passe :

1. Vous êtes sur Facebook
2. Vous trouvez une vidéo sexy, vous allez la voir
3. On vous demande de « confirmer votre âge » en cliquant sur une pub
4. Vous vous faites avoir par la pub « partir en vacance » et vous lâchez vos coordonnées pour participer au concours
5. Accor Hotel, HotelClub ou Dell achètent vos coordonnées pour vous spammer. Avec votre accord.

C’est dingue ! Aldaniti vend des coordonnées obtenues par le biais d’un attrape-nigaud sur Facebook et Dell, La Redoute et j’en passe profite de ça pour faire du ca$h. Ils peuvent tous remercier ce jeune roumain de 32 ans qui s’amuse à faire tourner des fausses vidéos virales sur Facebook (lui, il récupère une commission sur chaque identité revendue j’imagine).

Son système est extrêmement bien rodé et apparemment il a l’air de s’y connaitre en magouille virale sur Facebook, à en croire le contenu (mal) caché de ses autres sites :

• Même principe avec la vidéo d’un chien qui attaque un gosse : http://youtube-video.j-up.info/landing/
• La même magouille en version anglophone : http://x200.info/gas/gas.html
• Avec le buzz de la fille qui met une caméra sur ses fesses : http://x200.info/summer/
• Et là avec un jeu en 3D typique du LOL sur Facebook : http://x200.info/game/

Savoir que des grandes sociétés font du cash indirectement avec ce genre d’escroquerie de bas étage… ça fait plutôt mal au cœur. Le pire, c’est que tout ce système est très probablement 100% légal. A côté de ce trafic d’identités par des régies pub anonymisées, on fait chier les petits blogueurs pour les obliger à déclarer leurs noms sur une page « mentions légales ». TOUT VA BIEN !

En passant, j’ai écris cet article hier au soir. Aujourd’hui, la vidéo « sexy » a déjà disparue au profit d’une vidéo qui parle d’un alien. Ce mec est un vrai pro :

Avec tout le mal que tu te donnes, j’espère que tu arrives à te faire un SMIC par mois.

J’avais hésité à rédiger cet article mais là je craque, ça me fait trop rire ! Certains vont peut-être me dire que je suis tombé de la dernière pluie, mais voila : depuis quelques temps, je reçois un bon paquet de mails très…. explicites.

Aucune image crue ou choquante dans ce que vous lirez ici, cet article n’est pas  NSFW ! ;)

Tout a commencé un dimanche matin par ce mail :

Sarah, Lorene, je suis enchanté mais terriblement gêné par votre proposition… J’y réfléchis, et je vous re-contacte peut-être plus tard! Bisous mes chéries.

J’ai laissé courir ces deux bombasses, mais quelques jours plus tard je reçois un nouveau mail :

Bonjour Eva, bonjour Luc. Votre proposition m’intérèsse, vos copines Sarah et Lorene m’avait déjà bien chauffé il y a quelques jours… !

Bon cette fois je me crée une adresse mail fictive et je leur répond que la proposition d’un plan à 3 m’intérèsse fortement, je tape « BG » sur Google Image et je sors la photo d’un bel étalon noir que j’ajoute en pièce jointe de mon message.

Réponse, moins de 12 heures plus tard :

Je me dis que c’est un serveur mail bien agencé, qui détecte les réponses et renvoie un texte bidon automatiquement. A première vue, l’opération visait à promouvoir Erotendo.fr, un site échangiste.

Dans ma très grande naïveté mais aussi parce que je suis quelqu’un de consciencieux, je leur demande en réponse si tous deux ont bien fait les tests pour le VIH, je ne veux prendre aucun risque.

Réponse :

ROBOT SPAM FAILED ! Il m’a juste recopié la fin de la réponse précédente, pas juste !!!!
Mais j’ai vraiment envie de savoir moi. Je leur ré-envoie ma question dans un ultime mail. Et là, TADADADADADADA :

Houuu… L’orthographe fait un peu « on a engagé des polonais pour vous répondre » mais c’est assez ouf que quelqu’un ai pris la peine de me répondre personnellement. J’ai renvoyé ma question une troisième fois pour voir si le robot était programmé pour réagir à « VIH » ou non, mais cette fois aucune réponse.

Je repensé à mes deux bombes atomiques d’étudiantes, Sarah et Lorene de l’autre jour. Je décide de les recontacter. Un petit mail coquin pour pécho et voila la réponse :

Pas maaaaaaaaaaaaaaaaaaal les filles !!!
Sauf que cette fois le délire n’est pas le même qu’avec Eva et Luc. Cette fois, ce sont deux prostitués que l’on me propose, c’est pas très drôle. Flirtanonyme.com est un site d’escort-girl : je ne connais pas les nuances juridiques entre « prostitution » et « escorting » mais il est clair que ce mail racoleur n’est ni plus ni moins qu’une proposition de prostitution, le site affilié doit être de la même trempe.

Bref, je leur demande si à notre petit rendez-vous, je peux amener une pote à moi. (fallait trouver une question bidon rho, laissez-moi tranquille !!!!)
Cette fois, je n’ai pas eu droit à une aussi jolie réponse qu’Eva et Luc. Le robot m’a renvoyé un mail bidon, classique, avec les mêmes pièces jointes :

Merci Gmail de filtrer tous les spams méchants mais de me laisser les spams rigolo en tous cas !
Puis ce matin, je reçois un nouveau message (toujours pas filtré !! Étrange.) d’une certaine Miss Jane :

Opera.com c’est le site du célèbre navigateur web Opera Browser. La meuf doit vraiment être à bout pour aller pécho ses mecs sur ce site ! Mais ne vous inquietez, pas le lien « opera.com » pointe en réalité sur « saymehi.com », un site de rencontre online.

Bref, tout ces petits messages m’ont bien fait rigoler. Je me demandais si vous aviez reçu les mêmes récemment ? C’est la première fois qu’autant de nana veulent mon corps par email, ça fait tout drôle.

J’ai fait des recherches assez approfondies sur l’IP des serveur qui envoient ces mails, mais même en remontant assez loin je n’ai strictement rien trouvé. Pour une fois, les spammeurs se sont bien cachés !

Allez, si vous voulez les emails de tout ce ptit monde pour vous amuser lors de vos chaudes soirées d’été,  dites le en commentaire ;)

Après un sévère décorticage de cette étude suivi de quelques recherches personnelles sur le sujet, j’ai choisi de vous résumer tout cela ici. Cet article présentera quelques statistiques (que je trouve passionnantes) sur le spam. Il présentera aussi les conséquences du spam sur l’écologie et sur la production de CO2 à l’échelle mondiale.

Les 3 méthodes d’envoi de spams les plus utilisées depuis 2 ans

1. 64% du spam est envoyé depuis des spambot installés sur des ordinateurs hôtes mal protégés. (le votre par exemple ?)
2. 27% du spam est envoyé depuis des relais ouverts accessibles via telnet (des serveurs d’envoi de mails mal protégés)
3. 5% du spam est envoyé via des comptes mail chez les principaux fournisseurs (yahoo, google mail, hotmail…) crées de façon automatique.

Statistiques concernant le volume de spam envoyé à travers le monde

En 2008, c’est environ 62 billions de messages spam qui ont été envoyé dans le monde.
Pour mieux se rendre compte, 62 billions c’est….

• 170 millions de spams par jour
• 7 millions de spams par heure
• 120 000 spams par minute
• 2000 spams par seconde
• Tic…. tac…. tic…. tac…. Environ 88.000 spam envoyés depuis que vous lisez ce billet.
• Bill Gates était l’homme le plus spammé du monde. Il recevait environ 4 millions de mails par jour. Sur ces 4 millions de mails, seuls 10 lui arrivaient personnellement. Les autres mails étaient déclarés comme « SPAM » par le service chargé de trier son e-courrier.

Un évènement extraordinaire à connaitre pour sa « culture internet »

Le 11 novembre 2008, le plus gros hébergeur de spam au monde, McColo, a été suspendu par son fournisseur d’accès internet. Ce jour là, 70% du spam mondial a été stopé net.

Il a fallu attendre quelques jours pour que les spammeurs trouvent d’autres plateformes et que le spam reprenne. Soulagement de courte durée.

Le business-model du spam

Le premier « vrai » spam de l’histoire d’internet a été envoyé en 1994 par Laurence Canter et Martha Siegel. Ces deux avocats spécialisés dans les affaires d’immigration ont envoyé leur carte de visite à plusieurs millions d’internautes par l’intermediaire des groupes de discussions. Ils ont reçu, en quelques semaines, plus de 25.000 demandes concernant la fameuse « Green card » dont ils vantaient les mérites dans leur spam.

Depuis, ce modèle économique a évolué. On peut classer les acteurs du spam en trois catégories :

• Ceux qui collectent des e-mails et les revendent. A titre d’indication, la société Bulk Email Superstore qui a pignon sur rue dans le domaine de la vente de mails, propose des listes de 1 million d’adresses pour 30€. Le prix varie selon la demande du client : liste mails ciblée, par exemple.
• Ceux qui vendent ou louent des botnet (réseaux de robots spam) ainsi que des serveurs mails aux spammeurs. Un réseau botnet de taille modeste se loue à une centaine d’euro la semaine.
• Ceux qui profitent directement du spam : pub, achat de leur produit, phishing, etc.

Concernant l’anti-spam….

• Les grosses sociétés dépensent plus d’un million d’euros par an dans des solutions anti-spam et dans la maintenance de leurs serveurs mails.
• Un e-mail spam peut parfois naviguer sur plusieurs serveurs d’envoi avant d’arriver dans votre boite mail. Votre anti-spam vérifie la date d’envoi et la date d’arrivée de chaque mail. Si l’écart est trop grand entre les deux dates, cela veut dire que l’email en question a trainé sur plusieurs serveurs spam avant d’arriver chez vous. Ce critère, peu connu, est très utilisé par les filtres anti-spam.
• Fût un temps, l’idée de faire payer l’envoi de mails à fait surface. Cette idée a été abandonnée.

L’impacte du SPAM sur l’écologie mondiale

Les émissions de gaz à effet de serre (GES) liées au SPAM proviennent en grande partie de la combustion de sources d’énergie fossiles nécessaire à la production d’électricité.

• Les principales sources d’émissions reponsables de l’empreinte carbone du spam sont, dans l’ordre

1. La collecte d’adresses mails
2. L’envoi du spam depuis les ordinateurs zombies
3. La transmission du spam sur le réseau, de machines en machines
4. Le traitement du spam par les serveurs de filtrage
5. La consultation du spam dans les boites mails, ainsi que sa suppression côté utilisateur

• A l’échelle mondiale, le spam consomme annuelement 33 milliards de kilowatt-heures. Ce chiffre ne nous dit rien. Il correspond en fait à l’électricité d’une ville de 2.4 millions de foyers aux États-Unis.
• Depuis que vous lisez cet article, le spam envoyé sur toute la planète a consommé l’énergie électrique de 266 327 foyers aux États-Unis.
• Si chaque boite mail était protégée convenablement contre le spam, cela reviendrait à diminuer le nombre de voitures en circulation de 2.3 millions par an.
• Les émissions de gaz à effet de serre émises par un message spam correspondent à environ 0.3 grammes de CO2. En terme d’émission, cela revient à rouler sur un mètre avec une voiture « légère ». Si l’on multiplie ce taux d’émission par le volume de spam envoyé en un an, cela correspond à faire le tour de la terre 1.6 millions de fois.

Sources :

• Rapport sur l’empreinte carbone du spam dans les messageries, Mc Afee et l’ICF.
• « Sécurité informatique », de Gildas Avoine, Pascal Junod et Philippe Oechslin.
• Cet article de email-way.com
• Une étude anglaise de securelist.com

La seconde raison concerne mon article précédent : je vous ai promis une série de billets consacrés à la création d’un robot-spam en C, pour vous prouver que spammer un site ou un blog n’était pas qu’un loisir réservé aux professionnels. Pour introduire cette série d’articles, j’ai choisis de vous présenter le spam sous un aspect que vous n’avez probablement jamais approché.

Hier, quand j’ai commencé à réfléchir à la manière dont j’allais écrire cette introduction sur le spam, j’étais loin de me douter que j’allais faire des découvertes aussi exaltantes ! Je vais donc essayer de vous expliquer de quoi je suis parti et où je suis arrivé.

Avant toutes choses, je tiens à remercier @giyomu, @erdnaxeli, @hsztheater et @DJKweezes pour leur aide précieuse et leurs supers idées.

Je me suis toujours posé cette question : « pourquoi le spam ? ». Je me suis toujours demandé qui pouvaient envoyer le spam, qui pouvaient l’ouvrir, à qui profitait-il, et comment tout ça pouvait s’organiser, techniquement parlant.
Puisque Google ne m’a absolument pas renseigné sur ces quelques questions, j’ai décidé d’ouvrir ma propre enquête.

Chercher le spam qui va bien, et remonter jusqu’à l’expéditeur.

Première étape : chercher des commentaires-spam sur mes  blogs. J’en reçois une vingtaine par semaine minimum, ce n’était donc pas la partie la plus ardue de mes recherches.

Deuxième étape : choisir un spam et essayer de remonter jusqu’à l’expéditeur. Là, il fallait viser juste. J’ai dans l’idée que certains spam sont moins intéressants que d’autres. Celui là par exemple, amène directement sur un site porno vitrine qui vous demande de passer un coup de fil surtaxé pour avoir accès au contenu. Au pire des cas, vous n’avez pas accès à vos vidéos porno et vous perdez 50€, je ne trouve pas l’arnaque bien intéressante :

Par contre j’ai repéré deux ou trois autres spams apparemment distincts mais en réalité très liés :

Analyse comparative rapide :

• Pas la même adresse mail.
• Pas le même message, pas les mêmes liens dans le message.
• Pas la même adresse IP.
• Pas le même site,….. mais point commun dans la structure de l’URL.

C’est grâce à cette ressemblance assez frappante entre les deux URL, à savoir :

• kfojg.com/map.html
• jjehtrw.com/map.html

que l’idée m’est venue de partir sur cette piste.

Vous pouvez visiter les deux sites en question, il n’y aucun risque.
Les deux sites ont été mis à jour en août 2008, les deux domaines ont été acheté par la même personne il y a quelques semaines, et partagent les mêmes serveurs DNS privés.

Analyser un spam et voir où il peut vous mener.

Analysez brièvement le contenu du site kfojg.com. Vous remarquerez vite qu’il s’agit de pavés sans aucun sens, composés d’une succession de mot anglais. (à fort potentiel SEO, certes.)
La majorité des mots-clef de chaque phrase est orné d’un lien menant vers une page interne du site kfojg. Je me suis longtemps demandé l’intérêt de spammer de telles pages : pas de contenu, pas de liens vers d’autres sites web, rien. Vous comprendrez plus tard, à la fin de l’article. C’est simplement du génie.

Maintenant, analysez brièvement le contenu du site jjehtrw.com.
ATTENTION : à partir de maintenant, vous serez amené(e) à parcourir des sites porno dangereux. Aussi, vous vous verrez peut-être proposé le téléchargement d’un virus. Tant que vous ne l’installez pas sur votre ordinateur explicitement, vous ne courrez aucun risque !

Le site jjehtrw est de la même trempe que kfojg.com. Seulement, les liens des pavés vous amènent sur un site externe cette fois-ci. Soit un site pornographique, soit une page vous proposant de regarder une vidéo « très regardée »  (+ de 20.000 vues!) :

Pour visionner cette vidéo, le site vous demande de télécharger un plug-in manquant. Vous est alors proposé un téléchargement tout ce qu’il a de plus louche et dangereux : RunAV_460.exe. Surtout, ne le téléchargez pas.

C’est à partir de là que ça devient intéressant.

A quoi sert et à qui profite RunAV_460.exe ?

Pour en avoir le cœur net, j’ai décidé d’installer une machine virtuelle sous Windows XP, et d’installer ce truc. Cette machine virtuelle, protégée par Avast, ne m’a absolument pas signalé de virus lorsque je téléchargeais, lançais ou installais le logiciel RunAV_460.

Sur le site porno de toute à l’heure, on nous dit que RunAV_406 est un contrôle Active-X permettant de voir la vidéo. Quand on l’installe, il se présente sous forme d’un anti-virus agréé par Microsoft.

Pendant l’installation, j’ai lancé un netstat dans une invite de commande MS-DOS. La commande netstat permet de connaitre toutes les connexions entrantes et sortantes de votre ordinateur.

Et BAM, un serveur louche établi une connexion avec mon ordinateur durant l’installation. Je parle de 91.213.157.104. Un petit whois sur cette IP :

Puis une petite recherche de PE Sattelecom sur MalwareURL.com et on tombe rapidement sur cette page : http://www.malwareurl.com/listing.php?domain=findercrs.org

Ah, un petit nouveau dans l’histoire ! Le site findercrs.org propose une identification dont je n’ai évidement pas les accès, mais laisse en libre circulation plusieurs virus aux adresses suivantes :

findercrs.org

/ms/install01
/ms/setup

Je les ai téléchargé sur ma machine virtuelle après avoir désactivé Avast. Il suffit de les renommer en setup.exe et install01.exe pour les exécuter.

… le rapport entre spam, phishing & ordinateurs zombies.

Et le hasard fait bien les choses : le soit disant anti-virus que j’ai téléchargé  toute à l’heure (RunAV_460.exe) me les détecte automatiquement comme de méchants virus. RunAV_460 alias « Digital Protection » se lance pour la première fois, et se met en analyse automatique. Il me sort énormément de virus dont la dangerosité est mise en évidence. Pour les supprimer, je dois acheter la version complète de l’anti-virus. Le plus drôle, c’est la phase de paiement :

Plutôt que d’ouvrir une page Internet explorer, on me propose un « safebrowser » made in RunAV_460, en me certifiant que la transaction est SSL, cryptée & compagnie. Je ris, et je ferme tout ça.

Ah, une nouvelle fenêtre s’ouvre. Cette fois, on m’explique que tous mes mots de passe sont entrain d’être piraté !!!! Vite, il faut que j’achète la version complète de l’anti-virus !!!

Bref.

Entre temps, une nouvelle IP est apparue dans mon netstat: 194.129.79.22.

Un whois sur elle me renvoie sur une machine hébergée par le fournisseur d’accès américain UU Net…… spécialisé dans les hébergements d’attaque spam !
Cette fois c’est officiel : ma machine virtuelle est bien connectée à des serveurs de spam ! Youpi, les mails commentaires-spam-porno que vous recevez sur vos blogs proviennent peut-être de mon PC désormais :-D Ne me remerciez pas.

Une question m’a longtemps turlupiné : à quoi ont servi les deux sites de départ, à savoir kfojg.com & jjehtrw.com ?

Ce qu’il faut avoir en tête, c’est que les faux sites porno proposant de télécharger un virus tombent environ toutes les 5 heures. En effet, toutes les 5 heures, ces domaines sont bloqués et blacklistés par les navigateurs web (sauf IE), par Google et par vos antivirus.

Pour résoudre le problème, les spammer ont trouvé une solution assez géniale il faut l’avouer : ils spamment des sites comme kfojg.com et jjehtrw.com dont les URL, complètement aléatoires, ne peuvent pas être filtrées.

Ces deux sites ne contiennent que des liens internes. On a donc l’impression qu’aucun des deux ne link des sites pirates ou ce genre de chose. Que neni ! Cliquez sur un soit disant lien interne de jjehtrw.com et vous serez très vite redirigé (grâce à un .htaccess) vers un site porno dangereux.

La technique est donc la suivante :

• Spammer des sites « vitrines » ne contenant à priori aucun backlink vers des sites dangereux.
• Faire pointer les liens internes des sites vitrines vers des sites dangereux.

Lorsqu’un site dangereux est blacklisté, il suffit d’en créer un nouveau et de modifier les redirections sur les sites vitrines ! C’est ce qui se passe tout la journée, j’ai fait le test.
Toutes les 5 heures environ, les redirections m’envoyaient vers un nouveau site me proposant à chaque fois le même virus. Grâce à cette ingénierie, les spams envoyés il y a 2 semaines contenant des liens vers jjehtrw.com sont toujours valables ! :-)

Tout ça peut se résumer en quelques points clef :

1. Les spammeurs sont très riches, très organisés, et très malins. Dans un article sur la pédopornographie, j’expliquais la relation entre cyber-mafia et spam.
2. Le spam permet de lancer d’immense vague de phishing.
3. Le spam permet de prendre le contrôle de millions d’ordinateurs par l’intermediaire de chevaux de Troie comme RunADV_460.

Écrire cet article m’a permis d’apprendre beaucoup sur le spam, j’éspère que c’est le cas pour vous aussi. J’attends vos réactions avec impatience :

• Que pensez-vous de tout ça ? Aviez-vous déjà essayé de tracer du spam ?
• Avez-vous reçu des spam qui mériteraient que l’on s’y intéresse ?
• Avez-vous des questions sur le spam ?

Si vous avez autre chose à dire, n’hésitez pas ! Je serai ravi de recevoir vos commentaires.

Mon prochain billet entamera la série sur la création d’un bot-spam en C. Vous vous rendez compte qu’il est hors de notre portée de créer un tel réseau de spam, mais créer un simple bot-spam-flood est une chose enfantine;

A très vite, et n’oubliez pas de suivre @giyomu, @erdnaxeli, @hsztheater et @DJKweezes sur Twitter ! Tous les 4 m’ont beaucoup aidé à y voir plus clair dans tout ça. Merci à eux !

]]> http://www.mangetamain.fr/enquete-sur-le-spam-de-nos-blogs-phishing-pute-et-argent-sale.html/feed 37