Klez-Versender herausfinden?

Internet Internet Sicherheit
1

Hallo,

wir erhalten seit einiger Zeit, verstärkt aber seit letztem Wochenende, Mails, die Norton als „Klez-infiziert“ erkennt. Sie tragen unterschiedliche Absender. Lässt man sich aber die Eigenschaften anzeigen, ist der Absender immer gleich, nennen wir ihn „Mister X“.

Eine Bekannte von uns erhielt nun auch eine Klez-Mail mit unserem Namen im Absender-Feld, die laut Eigenschaften aber ebenfalls von Mister X stammt.

Mister X erklärte mir bei meinem Besuch, dass er 3-fach gg. Viren geschützt sei (ich bin Laie und habe keine Ahnung, was ich davon halten soll):

  1. Norton
  2. irgendwas zwischen PC und Modem
  3. Schutz durch Server beim Arbeitgeber

Seltsam finde ich Folgendes:

Teilweise scheint Mister X um die Uhrzeit, zu der versendet wurde, nicht online gewesen zu sein.
Mister X erzählte, er hätte seit der ersten Mail, die wir im Februar erhalten hätten, schon einen neuen Computer, also könne kein Virus drauf sein.
Auf meinen Einwand, er hätte ja seine alten Dateien per Diskette wieder aufgespielt, sagte er, diese seinen sicher nicht Klez-verseucht, da von ihm selbst erstellt (Word und Excel-Dokumente).

Nun enfernte er alle mails von uns, versendet und empfangen, und löschte unsere Adresse aus seinem Adressbuch. Wir dachten, jetzt gibt es sicher keine neuen mails von ihm. Jedoch erhielten wir weiterhin E-Post von ihm (verseucht).

Fragen:

  1. Ist Mister X trotz der letztgenannten Vorkehrungen tatsächlich der Absender?
  2. Wie ergibt es sich dann, dass wir als Empfänger auftauchen, trotzdem er uns komplett gelöscht zu haben scheint?
  3. Sind die Uhrzeiten, die in infizierten mails als Versendezeit angegeben werden, korrekt?
  4. Gibt es einen guten Rat für Mister X?

Ich bin sehr neugierig auf eure Antworten.

Herzlichen Dank,
Pumuckl

2

wir erhalten seit einiger Zeit, verstärkt aber seit letztem
Wochenende, Mails, die Norton als „Klez-infiziert“ erkennt.
Sie tragen unterschiedliche Absender. Lässt man sich aber die
Eigenschaften anzeigen, ist der Absender immer gleich, nennen
wir ihn „Mister X“.

Ich weiß zwar nicht, was knkret die „Eigenschaften“ sind, aber vielleicht solltes Du mal die Header posten…

Eine Bekannte von uns erhielt nun auch eine Klez-Mail mit
unserem Namen im Absender-Feld, die laut Eigenschaften aber
ebenfalls von Mister X stammt.

? Der Absender kann gefälscht werden. Was ist „Laut Eigenschaften“?

Mister X erklärte mir bei meinem Besuch, dass er 3-fach gg.
Viren geschützt sei (ich bin Laie und habe keine Ahnung, was
ich davon halten soll):

  1. Norton

Klaz ist zumindest so abgehangen, daß Norton es finden könnte. Obwohl es Viren gibt, die gezielt Virenscanner abschalten (keine Ahnung, ob Klez das auch tut).

  1. irgendwas zwischen PC und Modem

Kabel? Das taugt als Virenschutz wenig. (Außer vielleicht, wenn man es durchschneidet…)

  1. Schutz durch Server beim Arbeitgeber

Taugt nicht wahnsinnig viel. Klez ist aber so alt, daß er erkannt weden sollte.

Seltsam finde ich Folgendes:

Teilweise scheint Mister X um die Uhrzeit, zu der versendet
wurde, nicht online gewesen zu sein.

Dann war er es nicht oder das Datum ist gefälscht.

Mister X erzählte, er hätte seit der ersten Mail, die wir im
Februar erhalten hätten, schon einen neuen Computer, also
könne kein Virus drauf sein.

Auch auf neue Computer kann man – „intuitiver“ – Software sei Dank mit wenig Aufwand Viren installieren.

Auf meinen Einwand, er hätte ja seine alten Dateien per
Diskette wieder aufgespielt, sagte er, diese seinen sicher
nicht Klez-verseucht, da von ihm selbst erstellt (Word und
Excel-Dokumente).

Nun, Word-Dateien sind Dateien mit potentiellem Virenrisiko. Nach Virenbefall sollte man das backup Einspielen, sich aber gut überlegen, was man mit alten Word- und Excel-Dateien macht: Auch ei Grund, weshalb man einen Bogen um diese Programme machen sollte, wo immer möglich).

Nun enfernte er alle mails von uns, versendet und empfangen,
und löschte unsere Adresse aus seinem Adressbuch. Wir dachten,
jetzt gibt es sicher keine neuen mails von ihm. Jedoch
erhielten wir weiterhin E-Post von ihm (verseucht).

Fragen:

  1. Ist Mister X trotz der letztgenannten Vorkehrungen
    tatsächlich der Absender?

Posten den Header von einer regulären mail von ihm sowie von einem Virus.

  1. Wie ergibt es sich dann, dass wir als Empfänger auftauchen,
    trotzdem er uns komplett gelöscht zu haben scheint?

Nichts. Ich wage nicht zu spekulieren, ob Einträge aus dem Adressbuch wirklich gelöscht sind oder nur als „werden nicht angezeigt“ markiert werden.

  1. Sind die Uhrzeiten, die in infizierten mails als
    Versendezeit angegeben werden, korrekt?

Nicht unbedingt. Wie sollen wir das jetzt entscheiden (BTW: Outlook zeigt immer falsche Erstellungszeiten an. Typisch…)

  1. Gibt es einen guten Rat für Mister X?

Ohne mehr Fakten eher noch nicht. Von Outlook würde ich allerdings schoneinmal blind abraten.

Sebastian

3

wir erhalten seit einiger Zeit, verstärkt aber seit letztem
Wochenende, Mails, die Norton als „Klez-infiziert“ erkennt.
Sie tragen unterschiedliche Absender. Lässt man sich aber die
Eigenschaften anzeigen, ist der Absender immer gleich, nennen
wir ihn „Mister X“.

Ich weiß zwar nicht, was knkret die „Eigenschaften“ sind

„Internetkopfzeilen“ werden angezeigt

aber

vielleicht solltes Du mal die Header posten…

Mach ich: Ich habe die Mail-Kennung des Versenders in „Mister X“ geändert, meinen in „Meine Mail-Adresse“.

Return-Path:
Received: from Qstxbiq (320001518207-0001@[80.128.218.204]) by fwd06.sul.t-online.com with smtp id 19LIVW-1qVljsC; Thu, 29 May 2003 10:11:30 +0200
From: „service“
To:
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
Subject: Darling
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_018B_01C325DC.998E52A0"
Date: Thu, 29 May 2003 10:11:30 +0200
Message-ID:
X-KAV_Disinfected: Thu, 29 May 2003 12:19:49 +0200
X-Sender: [email protected]

Eine Bekannte von uns erhielt nun auch eine Klez-Mail mit
unserem Namen im Absender-Feld, die laut Eigenschaften aber
ebenfalls von Mister X stammt.

Wie wir inzwischen wissen, aber mit einer anderen, nämlich seiner Firmen-Mail-Adresse!!

? Der Absender kann gefälscht werden. Was ist „Laut
Eigenschaften“?

(s.o.) Internetkopfzeilen

Mister X erklärte mir bei meinem Besuch, dass er 3-fach gg.
Viren geschützt sei (ich bin Laie und habe keine Ahnung, was
ich davon halten soll):

  1. Norton

Klaz ist zumindest so abgehangen, daß Norton es finden könnte.
Obwohl es Viren gibt, die gezielt Virenscanner abschalten
(keine Ahnung, ob Klez das auch tut).

Scheint möglich zu sein, aber wir hatten auch Norton, der es erkannt hat.

  1. irgendwas zwischen PC und Modem

Kabel? Das taugt als Virenschutz wenig. (Außer vielleicht,
wenn man es durchschneidet…)

Der Mensch ist etwas schwierig: Weiß alles, hat aber nur bedingt Ahnung von dem, was er sagt. Daher resistent gegen Ratschläge.

Seltsam finde ich Folgendes:

Teilweise scheint Mister X um die Uhrzeit, zu der versendet
wurde, nicht online gewesen zu sein.

Dann war er es nicht oder das Datum ist gefälscht.

Das hat mich interessiert, ob das möglich ist.

Nun enfernte er alle mails von uns, versendet und empfangen,
und löschte unsere Adresse aus seinem Adressbuch. Wir dachten,
jetzt gibt es sicher keine neuen mails von ihm. Jedoch
erhielten wir weiterhin E-Post von ihm (verseucht).

Fragen:

  1. Ist Mister X trotz der letztgenannten Vorkehrungen
    tatsächlich der Absender?

Posten den Header von einer regulären mail von ihm sowie von
einem Virus.

Virus-Mail s.oben, andere habe ich z.Zt. nicht, kann ich aber anfordern, wenn du willst.

Herzlichen Dank schon mal für deine Antwort. Bin leider Laie und daher dankbar für solch ausführliche Antworten.

Pumuckl

4

vielleicht solltes Du mal die Header posten…

X-Sender: [email protected]

Wenn Du an diese Adresse schreibst, solltest Du den echten Empfänger dieser Mail erwischen…

Eine Bekannte von uns erhielt nun auch eine Klez-Mail mit
unserem Namen im Absender-Feld, die laut Eigenschaften aber
ebenfalls von Mister X stammt.

En welchem Eintrag in „Eigenschaften“ machst Du das fest?

Wie wir inzwischen wissen, aber mit einer anderen, nämlich
seiner Firmen-Mail-Adresse!!

Auch hier wären die Header interessant…

  1. irgendwas zwischen PC und Modem

Kabel? Das taugt als Virenschutz wenig. (Außer vielleicht,
wenn man es durchschneidet…)

Der Mensch ist etwas schwierig: Weiß alles, hat aber nur
bedingt Ahnung von dem, was er sagt. Daher resistent gegen
Ratschläge.

Kannst Du ihn ignorieren? Dann solltest Du das halt tun… Oder – wenn sich der Verdacht bestätigt – einen Hinweis an [email protected] daß Du immer Viren von einem T-Online Kunden bekommst, mit der Bitte ihn zu ermitteln und ihn hinzuweisen. Das solltest Du aber nr tun, wenn Du sicher bist, daß der Virus über T-Online verschickt wurde (und wieder: vollständige Header-Zeilen liefern!).

Seltsam finde ich Folgendes:

Teilweise scheint Mister X um die Uhrzeit, zu der versendet
wurde, nicht online gewesen zu sein.

Dann war er es nicht oder das Datum ist gefälscht.

Das hat mich interessiert, ob das möglich ist.

Ja.

Einscghränkend sei aber auf outlook skaputte Anzeigefunktion hingewiesesn.

Posten den Header von einer regulären mail von ihm sowie von
einem Virus.

Virus-Mail s.oben, andere habe ich z.Zt. nicht, kann ich aber
anfordern, wenn du willst.

Naja, der „echte“ Absender ist enthalten: wenn das Mr. X ist, hast Du ihn wohl ertappt…

Sebastian

2 „Gefällt mir“
5

vielleicht solltes Du mal die Header posten…

X-Sender: [email protected]

Wenn Du an diese Adresse schreibst, solltest Du den echten
Empfänger dieser Mail erwischen…

Danke, Mail ist unterwegs. Ich bin gespannt, ob da Antwort kommt.

Eine Bekannte von uns erhielt nun auch eine Klez-Mail mit
unserem Namen im Absender-Feld, die laut Eigenschaften aber
ebenfalls von Mister X stammt.

En welchem Eintrag in „Eigenschaften“ machst Du das fest?

Offensichtlich am falschen. Ich dachte, der Eintrag des Absenders sei unter „from“ zu finden (fett gedruckt):

Return-Path:
Received: from Qstxbiq (320001518207-0001@[80.128.218.204]) by fwd06.sul.t-online.com with smtp id 19LIVW-1qVljsC; Thu, 29 May 2003 10:11:30 +0200
From: "service"
To:
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
Subject: Darling
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_018B_01C325DC.998E52A0"
Date: Thu, 29 May 2003 10:11:30 +0200
Message-ID:
X-KAV_Disinfected: Thu, 29 May 2003 12:19:49 +0200
X-Sender: [email protected]

du aber hast ja die Adresse hinter „Received“ genommen. Auf die Idee bin ich gar nicht gekommen

Wie wir inzwischen wissen, aber mit einer anderen, nämlich
seiner Firmen-Mail-Adresse!!

Auch hier wären die Header interessant…

Vielleicht kommen wir da mal ran. Ich werd mal sehen.

  1. irgendwas zwischen PC und Modem

Kabel? Das taugt als Virenschutz wenig. (Außer vielleicht,
wenn man es durchschneidet…)

Der Mensch ist etwas schwierig: Weiß alles, hat aber nur
bedingt Ahnung von dem, was er sagt. Daher resistent gegen
Ratschläge.

Kannst Du ihn ignorieren? Dann solltest Du das halt tun…

Ich werde mich bemühen, bin aber eher geneigt, das Problem ursächlich zu klären. So leicht kann ich nicht aufgeben. Die Familie, die alle Mail-Kontakt haben, ist riesig. Da wäre es schön blöd, wenn bald alle befallen sind. Also hoffe ich noch auf eine Lösung. Trotzdem danke für deinen Tipp.

Oder – wenn sich der Verdacht bestätigt – einen Hinweis an
[email protected] daß Du immer Viren von einem T-Online Kunden
bekommst, mit der Bitte ihn zu ermitteln und ihn hinzuweisen.
Das solltest Du aber nr tun, wenn Du sicher bist, daß der
Virus über T-Online verschickt wurde (und wieder: vollständige
Header-Zeilen liefern!).

Okay. Werde ich mir merken.

Vielen herzlichen Dank für deine Mühe. Ich meld mich wieder.
Pumuckl

6

Danke, Mail ist unterwegs. Ich bin gespannt, ob da Antwort
kommt.

Ich bin mir zunehmend sichr, daß es Mr. X ist…

Eine Bekannte von uns erhielt nun auch eine Klez-Mail mit
unserem Namen im Absender-Feld, die laut Eigenschaften aber
ebenfalls von Mister X stammt.

En welchem Eintrag in „Eigenschaften“ machst Du das fest?

Offensichtlich am falschen. Ich dachte, der Eintrag des
Absenders sei unter „from“ zu finden (fett gedruckt):

Das „From“ ist beliebig fälschbar (bei der Verwendung von T-Online-Mailservern zum Senden – wie hier der Fall – ist diese Aussage nicht uneingeschränkt gültig).

du aber hast ja die Adresse hinter „Received“ genommen. Auf
die Idee bin ich gar nicht gekommen

Ja. Und den X-Sender: das wird von T-Online hinzugefügt…

Wie wir inzwischen wissen, aber mit einer anderen, nämlich
seiner Firmen-Mail-Adresse!!

Auch hier wären die Header interessant…

Vielleicht kommen wir da mal ran. Ich werd mal sehen.

Jupp.

  1. irgendwas zwischen PC und Modem

Kabel? Das taugt als Virenschutz wenig. (Außer vielleicht,
wenn man es durchschneidet…)

Der Mensch ist etwas schwierig: Weiß alles, hat aber nur
bedingt Ahnung von dem, was er sagt. Daher resistent gegen
Ratschläge.

Kannst Du ihn ignorieren? Dann solltest Du das halt tun…

Ich werde mich bemühen, bin aber eher geneigt, das Problem
ursächlich zu klären. So leicht kann ich nicht aufgeben. Die
Familie, die alle Mail-Kontakt haben, ist riesig. Da wäre es
schön blöd, wenn bald alle befallen sind.

Naja, nur wil einem einer ein Virus schickt, ist man noch lange nicht befallen. Da muß schon ein unbedachter Klick oder ein schlechtes Mailprogram her…

Sebastian

1 „Gefällt mir“
7

Besonderheit bei t-online

Return-Path:
Received: from Qstxbiq (320001518207-0001@[80.128.218.204]) by
fwd06.sul.t-online.com with smtp id 19LIVW-1qVljsC; Thu, 29
May 2003 10:11:30 +0200
From: „service“
To:

Üblicherweise fälscht Klez/H die Absenderadresse so gut, dass du i. d. R. keine Chance hast, den tatsächlichen Absender zu ermitteln.

Komischerweise sieht dies bei Virenmails, die von t-online-Konten versendet wurden, anders aus. Hier kannst du nach meinen Erfahrungen (die allerdings keinen Anspruch auf Vollständigkeit erheben) davon ausgehen, dass der angegebene Absender auch der tatsächliche Absender ist. Dieses lässt sich auch sehr leicht überprüfen:

Nach dem alten Vergabeschema entspricht die t-online-interne Kennung (hier: 320001518207-0001 , ist aus dem t-online-Vertrag ersichtlich) der Rufnummer des Kunden. Dann reicht u. U. schon ein Blick ins Telefonbuch, um den Absender zu verifizieren. Im konkreten Fall ist die Kennung nach dem neuen Schema vergeben. Hier musst du also nur Mr. X anrufen und ihn fragen, ob dies seine Kennung ist. Ich denke, er wird mit „ja“ antworten.

Man mag einwenden, dass der Virus ja so perfide sein kann, sowohl die Kennung als auch die Absenderzeile zu fälschen. Nun, ich kann nicht beweisen, dass dem nicht so ist. Ich halte dies allerdings für sehr unwahrscheinlich, in den mir bislang bekannten Fällen waren die Absendedaten immer nachweislich echt. Möglicherweise ignorieren die t-online-Mailserver die Headerdaten des sendenden Programmes und setzen eigene, echte Daten ein.

Gruss,
Schorsch

2 „Gefällt mir“
8

Üblicherweise fälscht Klez/H die Absenderadresse so gut, dass
du i. d. R. keine Chance hast, den tatsächlichen Absender zu
ermitteln.

Komischerweise sieht dies bei Virenmails, die von
t-online-Konten versendet wurden, anders aus.

Die „normalen“ SMTP-Server von T-Online setzen einige „speiell“ Header und überschreiben insbesondere das „From“. Letzteres wird durch den (kostenpflichtigen) smtprelay.t-online.de umgangen.

Hier kannst du
nach meinen Erfahrungen (die allerdings keinen Anspruch auf
Vollständigkeit erheben) davon ausgehen, dass der angegebene
Absender auch der tatsächliche Absender ist. Dieses lässt sich
auch sehr leicht überprüfen:

Ja.

Nach dem alten Vergabeschema entspricht die t-online-interne
Kennung (hier: 320001518207-0001 , ist aus dem
t-online-Vertrag ersichtlich) der Rufnummer des Kunden. Dann
reicht u. U. schon ein Blick ins Telefonbuch, um den Absender
zu verifizieren. Im konkreten Fall ist die Kennung nach dem
neuen Schema vergeben. Hier musst du also nur Mr. X anrufen
und ihn fragen, ob dies seine Kennung ist. Ich denke, er wird
mit „ja“ antworten.

Man mag einwenden, dass der Virus ja so perfide sein kann,
sowohl die Kennung als auch die Absenderzeile zu fälschen.
Nun, ich kann nicht beweisen, dass dem nicht so ist. Ich halte
dies allerdings für sehr unwahrscheinlich, in den mir bislang
bekannten Fällen waren die Absendedaten immer nachweislich
echt. Möglicherweise ignorieren die t-online-Mailserver die
Headerdaten des sendenden Programmes und setzen eigene, echte
Daten ein.

Ja, so ist es. Und: T-Online-Nutzer können nicht direkt (also ohne Umgehung der T-Online-SMTP-Server an andere T-Online-Nutzer senden (ein weiterer T-Online-Spezialfall) .Damit wird es verdammt eng für „Mr. X.“

Sebastian

2 „Gefällt mir“
9

Ja - Klez-Versender gefunden !! DANKE !!

Danke, Mail ist unterwegs. Ich bin gespannt, ob da Antwort
kommt.

Ich bin mir zunehmend sichr, daß es Mr. X ist…

Habe eine Testmail mit banalen Angaben geschrieben. Wir versenden immer mit Lesegestätigungsanfrage o.ä.
Heute bekam ich die Lesebestätigung und - siehe da - die Bestätigung von Mister X hatte die gleichen Einträge in den Eigenschaften wie die Wurm-Mails zuvor. Ganz praktisch - er hatte heute so große Probleme mit dem PC, dass er ihn checken ließ und über 200 infizierte Dateien o.ä. gefunden wurden.

Es stellte sich heraus, dass auch andere Familienmitglieder seltsame Mails von Mister X erhalten hatten - aber das hat ja nun ein Ende.

Danke dir für deine Unterstützung und Infos, die ich mir auf alle Fälle merken werde.

Viele Grüße,
Pumuckl

10

Besonderheit bei t-online - scheint zu stimmen

Return-Path:
Received: from Qstxbiq (320001518207-0001@[80.128.218.204]) by
fwd06.sul.t-online.com with smtp id 19LIVW-1qVljsC; Thu, 29
May 2003 10:11:30 +0200
From: „service“
To:

Üblicherweise fälscht Klez/H die Absenderadresse so gut, dass
du i. d. R. keine Chance hast, den tatsächlichen Absender zu
ermitteln.

Komischerweise sieht dies bei Virenmails, die von
t-online-Konten versendet wurden, anders aus. Hier kannst du
nach meinen Erfahrungen (die allerdings keinen Anspruch auf
Vollständigkeit erheben) davon ausgehen, dass der angegebene
Absender auch der tatsächliche Absender ist.

Hi Schorsch,

danke für deinen interessanten HInweis. Wie unten schon beschrieben, konnte Mr. X heute „dingfest“ gemacht werden. Ich habe eine Lesebestätigung einer Testmail an ihn mit den Wurmmails verglichen - Bingo !! Zudem wurde der PC heute gesäubert, er hatte durch über 200 infizierte Dateien selbst große Probleme bekommen.
Die ganze Sache hat immerhin ein Gutes - ich bin schlauer als zuvor. Außerdem bleiben wir hofffentlich eine Weile verschont.

Ganz herzlichen Dank für deine Unterstützung,
Pumuckl