Dubiose mail

Little_H · 7. Juli 2003 um 16:41

Hallo,

habe folgende Dubiose mail erhalten:

Von: "System Anti-Virus Administrator"
 | Diese Mail ist Spam | Zum
Adressbuch hinzufügen 
 An: 
 CC: [email protected] 
 Betreff: Virus in verschickter Nachricht gefunden
"Re: Application" 


 Achtung: 

 Ein Virus wurde in Ihrer Email gefunden. 
 Dieser Email Scanner unterbrach die Versendung der
Nachricht an den 
 Empfaenger. 

 Der Virus scheint folgenden Typs zu sein: 

 I-Worm.Sobig.e 

 Bitte besorgen Sie sich neue Virendefinitionen (= ein
Update) fuer 
 Ihren 
 Virenscanner und benachrichtigen Ihre EDV-Abteilung
so schnell, wie 
 moeglich. 

 Ihre Nachricht wurde mit folgendem Absender und
Empfaenger verschickt: 

 MAIL FROM: 
 RCPT TO: [email protected] 

 ... und mit folgenden Headern: 

 From: 
 To: 
 Subject: Re: Application 
 Date: Mon, 7 Jul 2003 15:03:05 +0200 



 Die urspruengliche Email wird aufbewahrt unter: 

 qmail:/var/spool/qmailscan/quarantine 

 wo sie vom System Anti-Virus Administrator weiter
untersuchen werden 
 kann. 

 Der Virusscanner berichtete folgendes, als er die
Nachricht 
 untersuchte: 

 --- 

 ---avpdaemon results --- 

 Current object: 

/var/spool/qmailscan/qmail10575830853637358/1057583092.7398-0.qmail

 Test result: 0 
 No viruses were found 
 Found viruses: 

/var/spool/qmailscan/qmail10575830853637358/1057583092.7398-0.qmail
 ok. 


 Current object:
/var/spool/qmailscan/qmail10575830853637358/details.pif

 Test result: 4 
 Known viruses were detected 
 Found viruses:
/var/spool/qmailscan/qmail10575830853637358/details.pif

 infected: I-Worm.Sobig.e 


 Current object:
/var/spool/qmailscan/working/new/qmail10575830853637358

 Test result: 4 
 Known viruses were detected 
 Found viruses:
/var/spool/qmailscan/working/new/qmail10575830853637358

 archive: Mail 

/var/spool/qmailscan/working/new/qmail10575830853637358/[From
 
 ][Date Mon, 7 Jul
2003 15:03:05 
 +0200]/your\_details.zip archive: ZIP 

/var/spool/qmailscan/working/new/qmail10575830853637358/[From
 
 ][Date Mon, 7 Jul 2003 15:03:05 
 +0200]/your\_details.zip/details.pif infected:
I-Worm.Sobig.e 

 Number of pure objects: 
 1 
 Number of objects with detected viruses 
 2 
 Number of disinfected objects: 
 0 
 Number of deleted objects: 
 0 
 Number of suspicious objects: 
 0 
 Number of objects with corrupted or changed viruses: 
 0 
 Number of corrupted(or disabled) objects 
 0 
 Number of interrupted scan 
 0 
 Scan time: 
00:00:01 
 Return code: 4 

 ---

Meine Frage:

Spam?
bedient sich da einer meiner Mailaddi bei dem Freemailer?
die Mailaddi verwende ich nicht und diese ist eher zu einer Gag-Homepage gehöreig will mir da einer eins auswischen oder so?

qmail Spezialisten her … )

Gruß
h.
P.S.: Sebastian: kennst Du Dich nich mit qmail etwas aus?

Sebastian · 7. Juli 2003 um 18:38

habe folgende Dubiose mail erhalten:

Spam?

bedient sich da einer meiner Mailaddi bei dem Freemailer?

die Mailaddi verwende ich nicht und diese ist eher zu einer
Gag-Homepage gehöreig will mir da einer eins auswischen
oder so?

Nein. Der Virus Sobig.E hat sich hier verschickt und Du bekommst nun die Warnung des Virenscanners. Du solltest mal überprüfen, ob Du ihn Dir gefangen hast (obwohl ich Dich da eher für kompetent halte…): Er verschickt sich als Zip-Datei, entkam dadurch vielen Scannern und bedarf eines Users, der das Zip-Archiv entpackt und auf den Inhalt doppelklickt…

Nöglicherweise hat er aber auch nur Deine Adresse als Absenderadresse genommen, der fälscht wohl mal gerne…

qmail Spezialisten her … )

Das hat wenig mit qmail zu tun…

P.S.: Sebastian: kennst Du Dich nich mit qmail etwas aus?

Naja, ich weiß, wie man qmail buchstabiert: Kuh-Mehl. Kuh-Mehl. Kuh-Mehl.

Sebastian

niehaus@corrosive:~\> dig mx mindcrime.net

; \> DiG 8.3 \> mx mindcrime.net 
;; res options: init recurs defnam dnsrch
;; got answer:
;; -\>\>HEADER telnet mail.mindcrime.net smtp
Trying 216.33.99.132...
Connected to mail.mindcrime.net.
Escape character is '^]'.
220 mirage.mindcrime.net ESMTP
help
214 qmail home page: http://pobox.com/~djb/qmail.html
quit
221 mirage.mindcrime.net
Connection closed by foreign host.
niehaus@corrosive:~\> dig mx my.gnus.org

; \> DiG 8.3 \> mx my.gnus.org 
;; res options: init recurs defnam dnsrch
;; got answer:
;; -\>\>HEADER telnet a.mx.my.gnus.org 25
Trying 209.70.202.39...
Connected to a.mx.my.gnus.org.
Escape character is '^]'.
220 FOAD Enterprises - pissed off to meet you ESMTP
help
214 qmail home page: http://pobox.com/~djb/qmail.html
quit
221 FOAD Enterprises - pissed off to meet you
Connection closed by foreign host.
niehaus@corrosive:~\> telnet templeofhate.com 25
Trying 209.70.202.37...
Connected to templeofhate.com.
Escape character is '^]'.
220 vws1.kens.com ESMTP
help
214 qmail home page: http://pobox.com/~djb/qmail.html
quit
221 vws1.kens.com
Connection closed by foreign host.
niehaus@corrosive:~\>

Little_H · 7. Juli 2003 um 20:28

habe folgende Dubiose mail erhalten:

Spam?

bedient sich da einer meiner Mailaddi bei dem Freemailer?

die Mailaddi verwende ich nicht und diese ist eher zu einer
Gag-Homepage gehöreig will mir da einer eins auswischen
oder so?

Nein. Der Virus Sobig.E hat sich hier verschickt und Du
bekommst nun die Warnung des Virenscanners. Du solltest mal
überprüfen, ob Du ihn Dir gefangen hast (obwohl ich Dich da
eher für kompetent halte…): Er verschickt sich als
Zip-Datei, entkam dadurch vielen Scannern und bedarf eines
Users, der das Zip-Archiv entpackt und auf den Inhalt
doppelklickt…

Tja, mit eben dem „Problem“ das ich diese E-Mail Adresse weder in einem Adressbuch stehen habe (abgesehen davon sind meine Mailprogramme MS frei ) noch diese Mailadresse (ausser auf einer Website !) publiziert sind.

Nöglicherweise hat er aber auch nur Deine Adresse als
Absenderadresse genommen, der fälscht wohl mal gerne…

Daran dachte ich eben…
danke trotzdem

h.

Sebastian · 7. Juli 2003 um 21:30

Tja, mit eben dem „Problem“ das ich diese E-Mail Adresse weder
in einem Adressbuch stehen habe (abgesehen davon sind meine
Mailprogramme MS frei )

Das ist brav.

Dennoch: unter Windows macht es soweit ich das verstehe, in diesem Fall(!) tatsächlich kaum einen Unterschied, welches Mailprogramm man nutzt: Es ist der User gefragt, der ersteinmal das "ungefährliche ZIP-Archiv öffnen und dann den Inhalt „doppelklickt“

noch diese Mailadresse (ausser auf
einer Website !) publiziert sind.

Das kann im extremfall reichen, die Adresse kann so in den Browsercache wandern und damit prinzipiell als Quelle für Virus-Empfangsadressen dienen.

Sebastian

Anonym_028940377b35 · 8. Juli 2003 um 01:43

Hallo Little H.

Tja, mit eben dem „Problem“ das ich diese E-Mail Adresse weder
in einem Adressbuch stehen habe (abgesehen davon sind meine
Mailprogramme MS frei ) noch diese Mailadresse (ausser auf
einer Website !) publiziert sind.

Zitat aus dem Virenticker bei http://www.trojaner-info.de :

Bekannte Schäden: E-Mail - Versand, sucht sich dazu Mailadressen aus Dateien der Endungen .wab, .html, .htm, .eml, .dbx und .txt. Der Wurm stellt seine Verbreitung nach dem 14. Juli ein.

In einem der weiterführenden Links wird zudem noch erläutert, dass eben, wie Sebastian richtig vermutet hat, die Absender-Adresse gefälscht wird. Die Chancen stehen daher gut, dass Du gar nicht der Versender bist. Da checkt wohl ein Mailserver sämtliche eingehenden und ausgehenden Mails und sendet bei gefundenen Viren automatische Antworten an die Adresse, die jeweils als Absender drinsteht. Schwups, landet es in diesem Fall beim Falschen…

CU
Peter