Mails mit Attachement - virenfrei?

Hallo liebe Experten!

In der letzten Zeit häufen sich bei mir die Mails mit seltsamen Attachements. AntiVir hat nie angeschlagen, doch habe ich heute hier im Brett (oder im Archiv, weiß nicht mehr) gelesen, dass AntiVir keine Mails untersucht.

Nun habe ich einen Online Viren-Scan laufen lassen (http://de.trendmicro-europe.com/consumer/products/ho…). Und der hat NICHTS gefunden!
Dabei habe ich aber folgende Attachements hier (allesamt ungeöffnet):
your_document.pif, document_4351.pif, Readme.pif, oydreaq.exe, dinner.zip und textfile.zip!

Ist der Virenscanner unfähig oder habe ich hier lauter harmlose Sachen zugeschickt bekommen?

wer weiss was?

Hanna

Dabei habe ich aber folgende Attachements hier (allesamt
ungeöffnet):
your_document.pif, document_4351.pif, Readme.pif, oydreaq.exe,
dinner.zip und textfile.zip!

Dabei handelt es sich mit Sicherheit um Viren. Offenbar sind weder dein Antivir noch Trerndmicro in der Lage, Viren zu erkennen, solange diese in einer Mail in base64 codiert vorliegen. Möglicherweise legt auch dein Mailprogramm Mails in einer Art ab, die mit deinem Virenscanner nicht verträglich ist. In FAQ:125 findest du einige Scanner zum Download.

Wenn du Online-Virenscanner benutzt, solltest du dir bewußt sein, dass diese Teil des Problems sind, nicht Teil der Lösung: http://www.heise.de/security/news/meldung/46355

Gruss,
Schorsch

Hallo Hanna

Ist der Virenscanner unfähig

Das ist tatsächlich eine Möglichkeit.

oder habe ich hier lauter
harmlose Sachen zugeschickt bekommen?

Schau Dir ggf. mal an, wie gross diese Dateien sind. Wenn sie eine Grösse von 0 Byte haben, wäre es möglich, dass das eigentliche Virus von einem Mailserver, der das Virus erkannt hat, entfernt wurde.

Speichere die Attachments zudem explizit auf der Festplatte ab und wiederhole den Scan mit Deinem AV-Tool sowie mit einem Online-Scanner. Es kann nämlich sein, dass auch der Online-Scanner die Attachments in der Form, wie sie vom Mailprogramm abgespeichert sind, nicht scannen kann und die Viren nur erkennt, wenn Du die Dateien im ‚normalen‘ Format abspeicherst.

CU
Peter

Hallo Schorsch!

Dabei handelt es sich mit Sicherheit um Viren. Offenbar sind
weder dein Antivir noch Trerndmicro in der Lage, Viren zu
erkennen, solange diese in einer Mail in base64 codiert
vorliegen. Möglicherweise legt auch dein Mailprogramm Mails in
einer Art ab, die mit deinem Virenscanner nicht verträglich
ist.

Ich verwende *schämschäm* Outlook Express.
Meiner Ansicht nach sollten Virenscanner mit den gängigsten Mailprogrammen kompatibel sein.

In FAQ:125 findest du einige Scanner zum Download.

Ah, danke!
Leider ist nur einer davon kostenlos (und den habe ich schon).

Wenn du Online-Virenscanner benutzt, solltest du dir bewußt
sein, dass diese Teil des Problems sind, nicht Teil der
Lösung: http://www.heise.de/security/news/meldung/46355

Huch! Das ist ja furchtbar! Davon habe ich keine Ahnung gehabt!

Jedenfalls: Danke und Sternchen für Deine Antwort!

Hanna

Salü in die Schweiz!

oder habe ich hier lauter
harmlose Sachen zugeschickt bekommen?

Schau Dir ggf. mal an, wie gross diese Dateien sind. Wenn sie
eine Grösse von 0 Byte haben, wäre es möglich, dass das
eigentliche Virus von einem Mailserver, der das Virus erkannt
hat, entfernt wurde.

Mein Mailserver hat noch nie Viren gefiltert. Die Attachements sind ziemlich klein, sie haben nur zwischen 8 und 22 KB. Ob die ein ganzes Programm beinhalten können???

Speichere die Attachments zudem explizit auf der Festplatte ab
und wiederhole den Scan mit Deinem AV-Tool sowie mit einem
Online-Scanner. Es kann nämlich sein, dass auch der
Online-Scanner die Attachments in der Form, wie sie vom
Mailprogramm abgespeichert sind, nicht scannen kann und die
Viren nur erkennt, wenn Du die Dateien im ‚normalen‘ Format
abspeicherst.

Ich habe nun ein Mail mit Attachement abgespeichert und gescannt. Folgender Bericht (Hervorhebung von mir):

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Master-Bootsektor von Festplatte HD1
Der Sektor konnte nicht gelesen werden!
Fehlercode: 0x0015
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK

Ende des Suchlaufs: 10.04.2004 08:13
Benötigte Zeit: 00:00 min

0 Verzeichnisse wurden durchsucht
2 Dateien wurden geprüft
0 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

Dann habe ich das Attachement abgespeichert. Es ist eine Verknüpfung!!! Deshalb also so klein! Ich hab unter Eigenschaften geschaut: Dateityp: Verknüpfung mit einer Anwendung für MS-DOS

Was ist denn das nun wieder? Nirgendwo geht hervor, wo das Ziel der Verknüpfung ist!

Ich bin nun völlig verwirrt!

Hanna,
die bald ins Osterwochenende fährt und erst Montag Abend wieder online sein wird.

Morgen

Ich verwende *schämschäm* Outlook Express.
Meiner Ansicht nach sollten Virenscanner mit den gängigsten
Mailprogrammen kompatibel sein.

Ungluecklicherweise sind auch Viren mit diesem ‚gaengigen‘ mail-Programm kompatibel.

YMMV,
Gruss vom Frank.

Mein Mailserver hat noch nie Viren gefiltert. Die Attachements
sind ziemlich klein, sie haben nur zwischen 8 und 22 KB. Ob
die ein ganzes Programm beinhalten können???

Für einen Virus sind 22 kB normal - zumal er Schadroutinen u. U. selbtätig aus dem Internet nachlädt. Bei Rückläufern an vermeintliche Absenderadressen passiert es aber sehr häufig, dass nicht die komplette Mail, sondern nur ein ‚willkürlicher‘ Anteil retourniert wird. Auf diese Weise entstehen dann z. B. 8 kB grosse Fragmente, die von vielen Scannern nicht mehr als ursprünglich viral erkannt werden - und in den allermeisten Fällen auch harmlos geworden sind.

Dann habe ich das Attachement abgespeichert. Es ist eine
Verknüpfung!!! Deshalb also so klein! Ich hab unter
Eigenschaften geschaut: Dateityp: Verknüpfung mit einer
Anwendung für MS-DOS

Dabei handelt es sich offenbar um eine .pif-Datei. Jede ausführbare Datei, die nach name.pif umbenannt wird, wird von Windows als Verknüpfung zu einer MS-Dos-Datei betrachtet, bei Doppelklick aber ganz normal ausgeführt. Wenn du’s selbst mal ausprobieren willst, kannst du z. B. das Kartenspielchen freecell.exe umbenennen und den Effekt überprüfen (Allerdings ist die Rückbenennung bei Windows nicht vorgesehen, also vorher kopieren!).

Um zu prüfen, ob eine .pif-Datei tatsächlich eine Verknüpfung ist, kannst du diese im Notepad öffnen. Sind die beiden ersten Zeichen in der Datei ‚MZ‘ handelt es sich um eine getarnte ausführbare (.exe) Datei. Bei solchen Versuchen solltest du aber Vorsicht walten lassen. Ein versehentlicher Doppelklick oder ein öffnen in anderen Programmen (z. B. Wordpad) kann leicht zur ungewollten Ausführung führen. Also nicht per Rechtsklick oder Kontextmenu anpacken, sondern Start-> Ausführen-> Notepad-> Datei öffnen-> Alle Dateien *.*-> öffnen.

die bald ins Osterwochenende fährt und erst Montag Abend
wieder online sein wird.

Viel Spass,
Schorsch