Spam Mail Mailadresse smtp Dateien Express Aug

Verdächtige Mail - wer kennt diese File?

Von: , Frage gestellt am Fr, 17. Aug 2001

Hallo zusammen,

folgende Mail erreichte mich vor zwei Tagen. Die Absenderadresse ist mir unbekannt, cust.lt sind jedenfalls die Zollbehörden in Littauen (?!)


<sup>Return-path: <[E-Mail-Adresse entfernt]>
Envelope-to: [E-Mail-Adresse entfernt]
Delivery-date: Mon, 13 Aug 2001 16:46:38 +0200
Received: from [212.227.116.80] (helo=mailgate3.cinetic.de)
by mxng04.kundenserver.de with esmtp (Exim 3.22 #2)
id 15WIzD-0004sU-00
for [E-Mail-Adresse entfernt]; Mon, 13 Aug 2001 16:46:35 +0200
Received: from mx04.web.de (mx04.dlan.cinetic.de [172.20.0.44])
by mailgate3.cinetic.de (8.11.2/8.11.2/SuSE Linux 8.11.0-0.4) with SMTP id f7DEkZ605833
for <[E-Mail-Adresse entfernt]>; Mon, 13 Aug 2001 16:46:35 +0200
Received: from mx0.gmx.net by mx04.web.de with smtp
(freemail 4.2.2.2 #11) id m15WIzD-007VDLA; Mon, 13 Aug 2001 16:46 +0200
Received: (qmail 29971 invoked by alias); 13 Aug 2001 14:46:31 -0000
Delivered-To: GMX delivery to [E-Mail-Adresse entfernt]
Received: (qmail 25634 invoked by uid 0); 13 Aug 2001 14:42:38 -0000
Received: from matheus.cust.lt (193.219.11.162)
by mx0.gmx.net (mx12) with SMTP; 13 Aug 2001 14:42:38 -0000
Received: from Pc96lt.cust.lt ([192.168.110.96])
by matheus.cust.lt (8.9.3/8.9.3) with SMTP id QAA18441
for <[E-Mail-Adresse entfernt]>; Mon, 13 Aug 2001 16:42:22 +0200 (GMT+0200)
Message-Id: <[E-Mail-Adresse entfernt]>
From: "=?ISO-8859-1?Q?Judita=20K=2E?="<[E-Mail-Adresse entfernt]>
To: [E-Mail-Adresse entfernt]
Subject: 1938
date: Wed, 13 Aug 2025 17:34:49 +0300
MIME-Version: 1.0
X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
Content-Type: multipart/mixed; boundary="----53BBDD73_Outlook_Express_message_boundary"
Content-Disposition: Multipart message
X-Resent-By: Forwarder <[E-Mail-Adresse entfernt]>
X-Resent-For: [E-Mail-Adresse entfernt]
X-Resent-To: [E-Mail-Adresse entfernt]

------53BBDD73_Outlook_Express_message_boundary
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: message text</sup>


Nachrichtentext:


<sup>Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks</sup>


Attachments:


^{------53BBDD73_Outlook_Express_message_boundary
Content-Type: application/mixed; name=1938.doc.com
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=1938.doc.com}


Das Attach (offensichtlich eine verkappte .COM-file) habe ich natürlich nicht aufgemacht.
Nach Speicherung auf Festplatte erhält die File übrigens ein Media-Symbol und dem Namen ATT00115.DAT.
Ich erinnere mich, daß ich mal von Hand .DAT mit dem Mediaplayer verlinkt hatte (ich hatte mal eine CD mit Musikvideos, auf der man die .DAT-files mit dem Mediaplayer abspielen konnte)

Ist das nun eine Mediafile oder eine .COM?

Hat vielleicht sonst noch jemand so eine Mail bekommen? Oder kennt jemand die Datei?

Hier die Datei-Infos:

^{Typ: Datei .DAT
Größe 219 kB (224.256 Bytes gesamt) 225.280 Bytes belegt}

Das Erstellungsdatum entspricht dem Speicherdatum.


Bin für jede Aufklärung dankbar

Oliver

8 Antworten zu dieser Frage

1. Antwort von nach 7 Minuten 0 hilfreich

   Ergänzung

   Ich habe die Mail nicht am Mittwoch, sondern am Montag den 13.8 bekommen. Das Datum wird auch im Header korrekt wiedergegeben, außer am Schluß:
   
   
   ^{To: [E-Mail-Adresse entfernt]
   Subject: 1938
   date: Wed, 13 Aug 2025 17:34:49 +0300}
   
   
   Hier also ebenfalls der 13.8., aber im Jahr 2025
   
   (nur Falls das irgendeine Bedeutung haben sollte)
   
   *kopfkratz*
   
   Oliver
   

2. Antwort von nach 2 Stunden 0 hilfreich

   Re: Verdächtige Mail - wer kennt diese File?

   folgende Mail erreichte mich vor zwei Tagen. Die
   Absenderadresse ist mir unbekannt, cust.lt sind jedenfalls die
   Zollbehörden in Littauen (?!)
   Gib nicht allzuviel darauf. Hi! How are you?
   
   I send you this file in order to have your advice
   
   See you later. Thanks
   Das klingt ganz nach Sircam. Attachments:
   Content-Disposition: attachment; filename=1938.doc.com
   Jup, das dürfte Sircam sein. Der treibt mittlerweile eine ganze Weile sein Unwesen. Jede Website, die sich dem Thema Viren verschrieben hat, kann Dir Informationen liefern, z.B. http://www.trojaner-info.de und andere.
   
   An Sircam sind zwei Dinge etwas speziell, was wohl der Grund ist, warum er immer noch rumgeistert:
   
   Erstens versendet er sich nicht, wie sonst meistens, via Outlook-Adressbuch, sondern schlicht direkt via SMTP.
   
   Zweitens greift er sich wahllos ein File aus 'Eigene Dateien' und packt sich selber dazu. Die Dateiendung, in Deinem Fall das *.com, ist ebenfalls verschieden. Dadurch sind Dateiname (den übernimmt er gleich als Subject), Dateigrösse und Suffix verschieden, worauf dann offenbar immer noch viele Leute hereinfallen. Das Attach (offensichtlich eine verkappte .COM-file) habe ich
   natürlich nicht aufgemacht.
   Das ist auch besser so. Lösche die Datei umgehend und teile ggf. dem Absender mit, dass er ein Virenproblem hat und sein System unbedingt säubern muss. Nach Speicherung auf Festplatte erhält die File übrigens ein
   Media-Symbol und dem Namen ATT00115.DAT.
   *.dat-Dateien können alles mögliche sein. Outlook hat z.B. je nach Einstellung die Angewohnheit, Winmail.dat-Dateien zu versenden. Die lassen sich nicht mit dem Mediaplayer anschauen. Lass es also lieber und leg Dir zur Sicherheit einen aktuellen Virenscanner zu, mit dem Du verdächtige Attachments etc. checken kannst. Das ist zwar kein Allheilmittel, aber durchaus eine sinnvolle Ergänzung zum vorsichtigen Umgang mit Attachments etc.
   
   CU
   Peter
   

   • Antwort von nach 10 Stunden 0 hilfreich

     Re^2: Verdächtige Mail - wer kennt diese File?

     Hallo Peter,
     
     stimmt, eine neue Scannerversion entdeckt SirCam, Du hattest recht ;-)
     
     Was ich bisher noch nicht verstanden habe: Über welchen SMTP-Server versendet sich der Virus? Muß jener irgendwo in den Outlook-Konten des Users definiert sein, oder hat der Virus eine eigene Liste von Servern?
     
     Ich würde gerne den Absender der Mail von seiner Infektion unterrichten, aber wie finde ich heraus, wer der wahre Absender ist? [E-Mail-Adresse entfernt] war es sicher nicht, jedenfalls wüßte ich nicht, wie dort jemand meine Mailadresse haben sollte.
     
     Eventuell würde es ja weiterhelfen, einen Blick auf die .doc-file zu werfen. Fragt sich bloß, wie ich das tue, ohne den Virus zu aktivieren. Würde Umbenennen von .doc.com nach .doc reichen?
     
     vielen lieben Dank!
     
     Oliver
     

     • Antwort von nach 12 Stunden 0 hilfreich

       Re^3: Verdächtige Mail - wer kennt diese File?

       Was ich bisher noch nicht verstanden habe: Über welchen
       SMTP-Server versendet sich der Virus? Muß jener irgendwo in
       den Outlook-Konten des Users definiert sein, oder hat der
       Virus eine eigene Liste von Servern?
       Der Virus ist so programmiert, daß er selbeer die (von ihm) benötigte Funktionalität eines Servers mitbringt. Ich würde gerne den Absender der Mail von seiner Infektion
       unterrichten, aber wie finde ich heraus, wer der wahre
       Absender ist? [E-Mail-Adresse entfernt]
       Ich würde das mal annehmen. war es sicher nicht, jedenfalls
       wüßte ich nicht, wie dort jemand meine Mailadresse haben
       sollte.
       Deine Mailadresse mß nicht im Adreßbuch stehen, Es reicht, wenn er auch ein Gästebuch besucht hat, in dem Du Dich vorher eingetragen hast (mit Mailadresse) - nur als Beispiel.
       
       Oder er hat wer-weiss-was besucht... Eventuell würde es ja weiterhelfen, einen Blick auf die
       .doc-file zu werfen. Fragt sich bloß, wie ich das tue, ohne
       den Virus zu aktivieren. Würde Umbenennen von .doc.com nach
       .doc reichen?
       Vermutlich kaum. Ich habe hier eine Methode, die Dateien zu öffnen, wenn Du eine kleine Datei hast, kannst Du sie ja vorbeisenden.
       
       
       
       Sebastian
       

       • Antwort von nach einem Tag 0 hilfreich

         Re^4: Verdächtige Mail - wer kennt diese File?

         Hallo Sebastian, Deine Mailadresse mß nicht im Adreßbuch stehen, Es reicht,
         wenn er auch ein Gästebuch besucht hat, in dem Du Dich vorher
         eingetragen hast (mit Mailadresse) - nur als Beispiel.
         Oder er hat wer-weiss-was besucht...
         Verstehe ich jetzt so, daß der Virus im Speicher, Cache oder Festplatte befindliche HTML-Codes nach mailto-Tags durchsucht.
         
         Ganz schön smart.
         
         Mal das ganze weitergesponnen: Ein Spammer könnte das Virus dergestalt manipulieren, daß die Adressen zusätzlich an seinen eigenen e-mail-Account gesandt werden. Das gibt dann eine üppige Adreßsammlung. Vermutlich kaum. Ich habe hier eine Methode, die Dateien zu
         öffnen, wenn Du eine kleine Datei hast, kannst Du sie ja
         vorbeisenden.
         Werde ich gleich tun. Ich hoffe, 230k sind nicht zu groß.
         
         Danke,
         
         Oliver
         

         • Antwort von nach einem Tag 0 hilfreich

           Re^5: Verdächtige Mail - wer kennt diese File?

           Verstehe ich jetzt so, daß der Virus im Speicher, Cache oder
           Festplatte befindliche HTML-Codes nach mailto-Tags durchsucht.
           Im "Internetcache", AFAIK Ganz schön smart.
           Eben. Viren will man nicht. Schon garnicht SirCam. Mal das ganze weitergesponnen: Ein Spammer könnte das Virus
           dergestalt manipulieren, daß die Adressen zusätzlich an seinen
           eigenen e-mail-Account gesandt werden. Das gibt dann eine
           üppige Adreßsammlung.
           Nett, oder? Werde ich gleich tun. Ich hoffe, 230k sind nicht zu groß.
           Grenze bei meiner krepligen Verbindung. Ich werde es bearbeiten und Dir zurücksenden. Garantien kann ich natürlich nicht übernehmen, scließlich könnte die Originaldate schon Makroviren haben.
           
           Mal sehen, ich werde Dir ggfs noch ein ungefährliches Format zukommen lassen.
           
           
           Sebastian
           

     • Antwort von nach 3 Tagen 0 hilfreich

       Re^3: Verdächtige Mail - wer kennt diese File?

       Eventuell würde es ja weiterhelfen, einen Blick auf die
       .doc-file zu werfen. Fragt sich bloß, wie ich das tue, ohne
       den Virus zu aktivieren. Würde Umbenennen von .doc.com nach
       .doc reichen?
       Wenn schon, dann am besten als .txt und in einem Texteditor öffnen (z.B. TextPad)
       
       Gruss, Ingo
       

3. Antwort von nach 3 Tagen 0 hilfreich

   Re: Verdächtige Mail - wer kennt diese File?

   Ich habe gestern auch eine mail mit diesem inhalt bekommen und es war ein anhang dran, der sircam verseucht war. meine mail kam von einem t-online benutzer, der wohl infiziert ist. wahrscheinlich sind dann auch die zollbehörden in litauen verseucht :-)
   
   tschau
   

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!