E-Mail Header und Spam

TheBlueSin_f0dc96 · 7. Januar 2007 um 11:58

Hi

Mein Web.de Account hat heute ne Mail als Spam gekennzeichnet - es soll sich um ne 1&1-Rechnung handeln mit nem Anhang *.pdf.exe

Geklickt habsch den nicht ^^ aber ich wollt mal wissen wer mir was über den Header verraten kann

Received: from [82.30.245.43] (helo=cpc3-nott8-0-0-cust298.nott.cable.ntl.com)
by mx21.web.de with esmtp (WEB.DE 4.107 #114)
id 1H3Mqd-0008HS-00
for [email protected]; Sun, 07 Jan 2007 02:29:21 +0100
Received: from pawel (pawel [192.168.2.2])
by pawel (8.12.8p1/8.12.8) with ESMTP id iA1B990D319D77
for ; Sun, 7 Jan 2007 03:29:09 +0100
(envelope-from [email protected])
Date: Sun, 7 Jan 2007 03:29:09 +0100
From: 1&1
Reply-To: 1&1
X-Priority: 3 (Normal)
Message-ID:
To: [email protected]
Subject: 1&1 Internet AG - Ihre Rechnung 4839025 vom 29.12.2006
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------F145A01505246CD"
Sender: [email protected]

Es kam noch ne 2 E-Mail, ebenfalls mit *pdf.exe:

Received: from [66.255.175.196] (helo=uslec-66-255-175-196.cust.uslec.net)
by mx35.web.de with esmtp (WEB.DE 4.107 #114)
id 1H3PX6-0002DL-00
for [email protected]; Sun, 07 Jan 2007 05:21:20 +0100
Received: from ACP-BEC (ACP-BEC [10.17.1.204])
by ACP-BEC (8.12.8p1/8.12.8) with ESMTP id iABBCF6FD1A1EF
for ; Sat, 6 Jan 2007 18:22:13 -0500
(envelope-from [email protected])
Date: Sat, 6 Jan 2007 18:22:13 -0500
From: 1&1
Reply-To: 1&1
X-Priority: 3 (Normal)
Message-ID:
To: [email protected]
Subject: Internet AG - Ihre Rechnung 385400
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------BABCF6F7426EACEC"
Sender: [email protected]

Was kann man daraus erkennen? Via Google hab ich über falsche 1&1Rechnungen auf die schnelle nix gefunden - haben aber nix bei 1&1… und ich sehs nicht ein ne 01805er Nummer bei 1&1 anzurufen und da mal nachzufragen…

Grüße
Blue

Florian_Schmidt_956f61 · 7. Januar 2007 um 12:20

Nicht öffnen! Trojaner!!!
Hallo!
Den Anhang/die Rechnung auf gar keinen Fall öffnen. Es handelt sich bei dem Anhang zu 99,9% um einen Trojaner.
Wahrscheinlich Small.avu bzw. Dumador.bl oder eine seiner Varianten.
Mehr siehe hier:

http://board.protecus.de/t18796.htm
http://www.pcwelt.de/news/sicherheit/…
http://www.rokop-security.de/index.ph…

Gruß
Florian

Stefan_Schustereit · 7. Januar 2007 um 12:24

Geklickt habsch den nicht ^^ aber ich wollt mal wissen wer mir
was über den Header verraten kann

Mail No. 1:

Received: from [82.30.245.43]
(helo=cpc3-nott8-0-0-cust298.nott.cable.ntl.com)
by mx21.web.de with esmtp (WEB.DE 4.107 #114)

Kommt wohl von einem Kunden-PC des Anbieters NTL (http://
www.ntl.com).

Mail No. 2:

Received: from [66.255.175.196]
(helo=uslec-66-255-175-196.cust.uslec.net)
by mx35.web.de with esmtp (WEB.DE 4.107 #114)

Kommt wohl von einem Kunden-PC des Anbieters US LEC (http://
www.uslec.com).

Was kann man daraus erkennen?

Dass 1&1 ihre Rechnungen mehrfach über gekaperte Anwender-PC
versenden? Fazit: nicht öffnen und sofort wegschmeißen. Allein die
Endung .pdf.exe ist ein hundertprozentiger Hinweis auf Malware.

Gruß,
Stefan

TheBlueSin_f0dc96 · 7. Januar 2007 um 12:28

Hi

Hab ja geschrieben das ich den Anhang nicht geöffnet hab ^^ aber die Links sind klasse

Kann man trotzdem was über den Header sagen…?

TheBlueSin_f0dc96 · 7. Januar 2007 um 12:32

Mail No. 1:

Received: from [82.30.245.43]
(helo=cpc3-nott8-0-0-cust298.nott.cable.ntl.com)
by mx21.web.de with esmtp (WEB.DE 4.107 #114)

Kommt wohl von einem Kunden-PC des Anbieters NTL (http://
www.ntl.com).

Kommt wohl von einem Kunden-PC des Anbieters US LEC (http://
www.uslec.com).

D.h. allein daraus kann ich erkennen, dass es sich um nen Fake handelt? Ich denk mal, dass 1&1 die Rechnungen über den selben Server bzw. den von united internet versenden würde

Dass 1&1 ihre Rechnungen mehrfach über gekaperte Anwender-PC
versenden? Fazit: nicht öffnen und sofort wegschmeißen. Allein
die
Endung .pdf.exe ist ein hundertprozentiger Hinweis auf
Malware.

Liegen derzeit im Quarantäne-Ordner und sind noch nicht gelöscht, hab aber gerade eben gesehen, dass einen Tread über mir ebenfalls jemand die Mails bekommen hat…

Stefan_Schustereit · 8. Januar 2007 um 12:40

D.h. allein daraus kann ich erkennen, dass es sich um nen Fake
handelt?

Ich kenne kein Unternehmen, dass Rechnungen über über irgendwelche
Home-PC (cpc3-nott8-0-0-cust298.nott.cable.ntl.com) versendet. Diese
Rechneradresse riecht doch schon nach Fake. Und das
Dateiformat .pdf.exe erst recht.

Ich denk mal, dass 1&1 die Rechnungen über den selben
Server bzw. den von united internet versenden würde

Tja, ich auch, aber ein Rechner aus der Domain .ntl.com sieht nicht
danach aus, oder?

Gruß,
Stefan

TheBlueSin_f0dc96 · 8. Januar 2007 um 12:52

D.h. allein daraus kann ich erkennen, dass es sich um nen Fake
handelt?

Ich kenne kein Unternehmen, dass Rechnungen über über
irgendwelche
Home-PC (cpc3-nott8-0-0-cust298.nott.cable.ntl.com) versendet.
Diese
Rechneradresse riecht doch schon nach Fake. Und das
Dateiformat .pdf.exe erst recht.

Als Noob bzw. nicht PC-Experte schaut man eigentlich garnicht auf einen Header. Da ich die Daten selbst nicht kenne habe ich hier danach gefragt und die Antwort wo ich gesucht habe erhalten.

Man kann z.B. von einem Bäcker nicht erwarten, dass er nen Automotor zerlegen kann bzw. kann man auch nicht erwarten, dass sich jeder mit Dateiendungen sowie Header und Internet-Sachen auskennt

Think!