In meinem Hotmail-Account treten seit einiger Zeit unerklärliche Phänomene auf:
So treffen täglich Nachrichten, die so um 130K groß sind, wildfremder Personen ein, beim öffnen jedoch nur eine weisse Fläche (NIX) enthalten! Keinen Text, keinen Anhang! Es ist auch keine Werbung!
Weiter ist heute eine Mail eines empörten Herren eingetroffen (der mir ebenfalls nicht bekannt ist und NIE von mir angeschrieben wurde), welcher sich, mit Drohung einer Anklage, darüber aufregt er sei von meiner Adresse aus zugespamt worden!
Weiter ist heute eine Mail eines empörten Herren eingetroffen
(der mir ebenfalls nicht bekannt ist und NIE von mir
angeschrieben wurde), welcher sich, mit Drohung einer Anklage,
darüber aufregt er sei von meiner Adresse aus zugespamt
worden!
Das hört sich nach dem im Titel besagten Viech an, das im Moment massiv sein Unwesen treibt… Versuch es mal mit dem von Beowolf empfohlenen Tool:
Du hast geschrieben, daß Dein Rechner nicht befallen ist… Es stimmt leider (meiner war es auch nicht!). Und selbst Der Spiegel blieb nicht verschont; schau mal: http://www.spiegel.de/netzwelt/technologie/0,1518,19…
Was macht das Teil genau?
Das Viech nistet sich in Deinem Adressbuch ein, und verschickt munter - mit einer veränderten Absenderadresse - Mails an jeden, den es in Deinem Adressbuch findet. Schlimmer noch: das Viech deaktiviert Viren-Scanner…
Wie krieg ich das/hab ich das bekommen?
Es ist wohl eine Sicherheitslücke im IE & IE. Weitere Infos und eine Update-Möglichkeit findest Du unter http://www.tu-berlin.de/www/software/virus/aktuell.s… (auch ansonsten eine 1A-Adresse in Sachen Virus & Hoax).
Warum erkannt NAV 2002 das nicht selbst?
Weil es in NAV gar nicht erfaßt ist (ich habe mir das Tierchen wohl Ende April 2002 eingefangen).
BTW: offenbar verbreitet der Wurm inzwischen auch noch den Chernobyl-Virus: http://www.zdnet.de/itsupport/virencenter/news/2002/…. Ob das wirklich stimmt, weiß ich nicht - Google spuckt bei der Suche nach Klez 536.000 Treffer (sic!) - Deutsch immerhin nur noch ca. 36.000 - aus.
Ich hoffe, ich konnte Dir wenigstens halbwegs helfen.
Du hast geschrieben, daß Dein Rechner nicht befallen ist…
Doch! Nur NAV 2002 hat ihn nicht entdeckt! Das Tool was du mir empfolen hast schon! Und nun ist er auch weg!
Das Viech nistet sich in Deinem Adressbuch ein, und verschickt
munter - mit einer veränderten Absenderadresse - Mails an
jeden, den es in Deinem Adressbuch findet. Schlimmer noch: das
Viech deaktiviert Viren-Scanner…
Moment, Adressbuch? Bei dem Hotmail account geht es nicht um OE oder Outlook, sondern um die Website!
Und hat es nochwas angestellt? Ich meine, ein Virus ist ja kein Virus, wenn er sich nur verbreitet und nix macht! Löscht er auch was oder so?
Florian, ich weiß es echt nicht… Mit solchen Fragen bist Du vermutlich besser bei Kim Schmitz & Co. besser aufgehoben (oooooder - wenn es etwas seriöser sein darf: bei Markus & Sven in ‚IT-Sicherheit‘)… *lach* Ich bin froh, daß ich dieses nervige Vieh los bin!
Moment, Adressbuch? Bei dem Hotmail account geht es nicht um
OE oder Outlook, sondern um die Website!
Erstens: ich meinte natürlich IE und OE (nicht zwei Mal IE). Zweitens: frag mich nicht… Spiegel dürfte wie Fort Knox abgeriegelt sein, trotzdem hatten auch sie sich das Vieh irgendwie geholt…
Ich meine, ein Virus ist ja
kein Virus, wenn er sich nur verbreitet und nix macht! Löscht
er auch was oder so?
Klez ist auch kein Virus, sondern ein Wurm. Schau Dir mal die HP von der TU Berlin an. Da sind auch die Auswirkungen beschrieben. Für ganz Faule:
W32/Klez.h (17.04.) **** weltweit stark verbreitet ****
Alias: W32/Klez.gen, W32.Klez.H, I-Worm.Klez.h, WORM_KLEZ.G
Typ: EXE (Win32), E-Mail-Wurm, Trojan-Dropper
Verbreitung per E-Mail, Netzwerkfreigaben (ca. 90 KB, beliebige Dateinamen)
Sicherheitslöcher in Outlook Express führen zum automatischen
Öffnen des (getarnten) Anhangs!
Absender: verschieden (oft gefälscht bzw. vorgetäuscht!)
Betreff/Subject: viele verschiedene (aus Textbausteinen), z.B.:
„Worm Klez.E immunity“
„A IE 6.0 patch“
„introduction on ADSL“
„japanese girl VS playboy“ (und viele mehr)
Nachricht: sehr verschieden (aus Textbausteinen)
Symptome: Existenz der Dateien Wqk.exe und Wink???.exe in \Windows\System[32]\
Schaden: E-Mail-Versand; löscht/infiziert Dateien; deaktiviert Virenscanner;
schleust Trojanisches Pferd W32/Elkern.c (Win32/Wqk.C) ein
Gegenmittel: kostenlos bei Bitdefender, Kaspersky, Symantec, Trend Micro
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro
Quelle: http://www.tu-berlin.de/www/software/virus/aktuell.s…
OK, OE öffnet den Anhang ungefragt… Vielleicht sollten wir mit diesem Thema aber wirklich in Richtung IT-Sicherheit umziehen…
Erstens: ich meinte natürlich IE und OE (nicht zwei Mal
IE).
Ich meine bei dem Hotmail-Account, dass ich ihn nicht per OE nachschaue, sondern per Website! Kann es denn dort auch mit Würmern befallen werden? Komisch…
BTW: offenbar verbreitet der Wurm inzwischen auch noch den
Chernobyl-Virus: http://www.zdnet.de/itsupport/virencenter/news/2002/….
Ob das wirklich stimmt, weiß ich nicht - Google spuckt bei der
Suche nach Klez 536.000 Treffer (sic!) - Deutsch immerhin nur
noch ca. 36.000 - aus.
Der KLEZ greift sich eine beliebige Datei des befallenen Rechners, und schickt diese als zweiten Anhang mit. Wenn er also von einem mehrfach verseuchtem PC aus verschickt wird, ist die Wahrscheinlichkeit natürlich hoch, dass er weitere Viren huckepack versendet.
Von vielen Dutzend bei mir inzwischen eingegangenen KLEZ/H waren zwei mal auch Javascript-Apps dabei, die 0190-Dialer installieren wollten. Der Wurm ist wirklich die übelste Landplage seit der Erfindung von Einsen und Nullen.
Erstens: ich meinte natürlich IE und OE (nicht zwei Mal
IE).
Ich meine bei dem Hotmail-Account, dass ich ihn nicht per OE
nachschaue, sondern per Website! Kann es denn dort auch mit
Würmern befallen werden? Komisch…
Komisch dabei nur, dass der PC nicht befallen sein kann, da
die Mails auf hotmail.com gelesen werden1 Kann das auch
befallen sein?
eher weniger.
Ich tippr darauf, dass ein Freund/Bekannter von Dir das Ding hat, deshalb schickt der Rechner von X dir eine Mail mit dem Absender Y, den Du nicht kennen musst.
Genauso könnte die Geschicht e mit dem alten Herren verlaufen sein.
Ich tippr darauf, dass ein Freund/Bekannter von Dir das Ding
hat,
Das ist möglich!
deshalb schickt der Rechner von X dir eine Mail mit dem
Absender Y, den Du nicht kennen musst.
Nur komisch, wenn ich dabei Y bin, ich Z (der Empfänger) nicht kenne und X überhaupt nicht auftaucht in der Sache!
Fragt sich, wie X an meinen Absender kommt und wie X an Z kommt!
Wird ja schon recht mathematisch Aber wir wollen mal nicht ins Mathematik-Brett auswandern!
Nochwas:
Hat Z (der aufgebrachte Herr) etwas gegen mich in der Hand? Ich meine: er hat mir jede Menge § aufgetischt und droht mit Klage! Was soll ich da tun?
Nein, ins „Recht“-Brett wollen wir auch nicht, ich denke wir belassen es bei einem Umzug , aber vielleicht wisst ihr das ja zufällig auch!
Nur komisch, wenn ich dabei Y bin, ich Z (der Empfänger) nicht
kenne und X überhaupt nicht auftaucht in der Sache!
Fragt sich, wie X an meinen Absender kommt und wie X an Z
kommt!
Wird ja schon recht mathematisch Aber wir wollen mal nicht
ins Mathematik-Brett auswandern!
Nochwas:
Hat Z (der aufgebrachte Herr) etwas gegen mich in der Hand?
Ich meine: er hat mir jede Menge § aufgetischt und droht mit
Klage! Was soll ich da tun?
Nein, ins „Recht“-Brett wollen wir auch nicht, ich denke wir
belassen es bei einem Umzug , aber vielleicht wisst ihr
das ja zufällig auch!
Natürlich hat er nix gegen dich in der Hand. Das Minimum was er haben müsste, nämlich die vollständigen Mailheader, hat er offenkundig nicht - sonst könnte er leicht erkennen, dass du der Absender nicht sein kannst. Die From: Adresse ist gefälscht, der Return-path: hingegen zeigt den tatsächlichen Absender an.
Du kannst ihm diesen Hinweis natürlich freundlich mitteilen - ich an deiner Stelle würde den Kerl aber bösest anblöken. Wer mit rechtlichen Schritten droht, ohne sich vorher auch nur im mindesten schlau zu machen, verdient m. E. keine Höflichkeit mehr.
Und wie kommt nun deine Adresse in die From: Zeile? Ganz einfach: X taucht auf, aber nur im normalerweise nicht sichtbaren Return-path:
X ist irgend ein Kumpel oder Geschäftspartner von dir, der deine Adresse in seinem Adressbuch hat. Und der KLEZ hat sich ganz einfach wahllos eine Adresse aus dessem Adressbuch rausgesucht und als scheinbaren Absender eingetragen.
Nochwas:
Hat Z (der aufgebrachte Herr) etwas gegen mich in der Hand?
Ich meine: er hat mir jede Menge § aufgetischt und droht mit
Klage! Was soll ich da tun?
Hallo Florian!
Wie schon erwähnt, die Absenderadresse ist hier unrelevant.
Daher muss Herr Z anhand der IP-Adresse im Header der Email nachweisen, dass die Emails von Dir stammen.
Diese Daten kann er nicht selber überprüfen, sondern nur der zuständige Provider.
Der gibt die Daten aber nicht an Privatpersonen heraus, sondern nur, wenn geklagt wird.
Stellt sich natürlich die Frage, ob es überhaupt soweit kommt, oder ob die Klage wegen Geringfügigkeit abgewiesen wird.
Da Du die Emails aber nicht gesendet hast, würde ich alles in Ruhe abwarten.
Aber weisst du/wisst ihr auch was zu meinem zweiten Phänomen,
mit den leeren Mails? Ist das auch Klez? Wann hört das wieder
auf?
Der KLEZ bedient sich beim generieren der Mail nicht der Funktionen eines Mailclients oder -servers, sondern schreibt die Attachments selbst zusammen. Und dabei hat der Autor sich einige grobe Schnitzer geleistet. Die Mails sind so fehlerhaft zusammengebaut, dass die Mailclients sie oft nicht richtig lesen können, und daher die Anhänge nicht extrahieren und anzeigen.
Von den bei mir inzw. eingegangenen KLEZ lassen sich nur knappe 30 Prozent in einem Mailclient korrekt öffnen. Ich habe einen eigenen Parser, der mir die Mails auf dem Server zerlegt, und in diesem habe ich für den KLEZ eine eigene Funktion einbauen müssen, um an die Anhänge ranzukommen. Da der Wurm beliebige Dateien vom sendenden Rechner mitschickt, sind manchmal ganz interessante Dinge drin - Gehaltslisten, Nacktbildchen, Verträge…
Wenn ein PC mit sowas befallen ist, treibt KLEZ das it den Mails dann immer weiter? Oder hört er irgendwann mal auf? Ich habe (bzw. der Inhaber des Accounts hat) nämlich langsam keine Lust mehr auf diese riesigen Mails ohne Inhalt, die von verschiedensten Adressen kommen! Lohnt es sich den befallenen PC zu suchen (was SEHR schwer sein dürfte), damit das aufhört, oder hört das irgendwann von selbst wieder auf?
Aber weisst du/wisst ihr auch was zu meinem zweiten Phänomen,
mit den leeren Mails? Ist das auch Klez? Wann hört das wieder
auf?
Der KLEZ bedient sich beim generieren der Mail nicht der
Funktionen eines Mailclients oder -servers, sondern schreibt
die Attachments selbst zusammen. Und dabei hat der Autor sich
einige grobe Schnitzer geleistet. Die Mails sind so fehlerhaft
zusammengebaut, dass die Mailclients sie oft nicht richtig
lesen können, und daher die Anhänge nicht extrahieren und
anzeigen.
Von den bei mir inzw. eingegangenen KLEZ lassen sich nur
knappe 30 Prozent in einem Mailclient korrekt öffnen. Ich habe
einen eigenen Parser, der mir die Mails auf dem Server
zerlegt, und in diesem habe ich für den KLEZ eine eigene
Funktion einbauen müssen, um an die Anhänge ranzukommen. Da
der Wurm beliebige Dateien vom sendenden Rechner mitschickt,
sind manchmal ganz interessante Dinge drin - Gehaltslisten,
Nacktbildchen, Verträge…
Ich hab auch mal Klez-Mails bekommen. Da PegasusMail rel. anständig damit umgeht, hab ich mal einen Blick in die Struktur geworfen. Bei mir waren die Anhänge Screensaver, Docs, html. Ich hatte angenommen, dass der Klez sich dort eingenistet hat und nun darauf wartet gestartet zu werden. Ist dies richtig? Oder verbirgt er sich in einem undefinierten Anhang ? Die eigentl. Mail war immer leer.
Aber wir wollen mal nicht ins Mathematik-Brett auswandern!