Spam oder Virus

Internet Internet Sicherheit
#1

Hallo liebe Experten,

seit einigen Tagen häufen sich bei mir die Müll-Mails, die auffälliger Weise alle 68kb groß sind und spamtypische Betreffzeilen wie „Na gut, hier mein Foto“ oder „Account gesperrt“ usw. haben. Ich verwende 2 Freemail-Anbieter, zum einen GMX und zum anderen Web.de, wobei ich die Mails vom GMX-Server direkt mit Netscape abrufe und die Mails von Web.de auf den GMX-Account weiterleite.
Nun zu meinen eigentlichen Fragen:

  1. Die Müll-Mails erscheinen im Netscape-Posteingang bei mir auf dem Rechner. Dem erweiterten Header habe ich entnommen, daß diese über den Web.de-Account gekommen sind. Dort tauchen sie aber in keinem der Eingangsordner auf. Kann mir jemand verraten, wie die Mails über diesen Account laufen können, ohne dort im Posteingang aufzutauchen?

  2. Ich gehe jetzt einmal davon aus, daß es sich bei hier um einen Wurm oder Virus handelt, der da sein Unwesen treibt. Auf der Hoax-Info-Seite der TU Berlin habe ich allerdings keinen Virus entdeckt, auf den diese Kriterien zutreffen. Handelt es sich dabei um einen neuen Schädling oder kann ich ihn nur nicht richtig einordnen?

  3. Weiß jemand eine Möglichkeit, solche Mails auszufiltern? Über die Web-Oberfläche von Web.de geht’s ja schon mal nicht, nachdem die Mails da nicht mal auftauchen.

Ich hoffe, Ihr könnt mich in der Hinsicht ein wenig aufklären.
Elephant

#2

Hallo,

  1. Die Müll-Mails erscheinen im Netscape-Posteingang bei mir
    auf dem Rechner. Dem erweiterten Header habe ich entnommen,
    daß diese über den Web.de-Account gekommen sind. Dort tauchen
    sie aber in keinem der Eingangsordner auf. Kann mir jemand
    verraten, wie die Mails über diesen Account laufen können,
    ohne dort im Posteingang aufzutauchen?

Vielleicht sind sie im Ordner Spam/unbekannt/unerwünscht gelandet oder die Mails werden nach der Weiterleitung gelöscht? (Konfiguration unter Extras-> Einstellungen-> Spam/Virenschutz und Ordner).

  1. Weiß jemand eine Möglichkeit, solche Mails auszufiltern?
    Über die Web-Oberfläche von Web.de geht’s ja schon mal nicht,
    nachdem die Mails da nicht mal auftauchen.

Entweder über den Spamfilter bei gmx oder du erstellst dazu Filterregeln in Netscape.

Gruß

Sebastian

#3

Hallo Elephant!
Also ich denke die mails kommen Tatsächlich über deinen web.de account
rein, nur sie werden dann weiter geleitet zu deinem gmx account.
und danach automatisch aus dem eingang von web.de geräumt.

das kannst du ja problemlos über prüfen in dem du dir selbst mal eine mail
nach web.de schickst und danach schaust ob sie bei web.de im eingang auftaucht.

desweiteren haben sowohl web.de als auch gmx spammfilter.
diese greifen jedoch nur wenn man die web oberfläche nimmt.
sich also nicht per pop3 bei den anbietern einlogged.

da netscape keinen spammfilter besitzt, ist es ziemlich mühsam…
den spamm auszufiltern ich nutze deswegen seit einiger zeit opera (www.opera.com) als standard browser die haben einen lehrnenden spamm filter der sehr gute
abeit leistet. aber die mails natürlich erst lokal auf deinem rechner ausfiltert.

ob das was du da erhälst nun klassischer spam ist oder mit vierus versetzt kann ich dir leider nicht sagen.

gruss chris

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#4

Hallo Christian,

desweiteren haben sowohl web.de als auch gmx spammfilter.
diese greifen jedoch nur wenn man die web oberfläche nimmt.
sich also nicht per pop3 bei den anbietern einlogged.

Ich hab mir das gerade bei web.de angeschaut, dort kann man auswählen, ob Mails im Ordner Unbekannt/Unerwünscht/Spam per pop3 abgerufen werden oder nicht (Alternativ dazu kan man sich einen „Statusreport“ senden lasen -ich weiss aber nicht, ob das auch für die Weiterleitung gilt)…

Von gmx bekomm ich auch immer einen Statusreport:

Anzahl Mails in Ihrem Spamverdacht-Ordner: n
Anzahl neue Mails im Spamverdacht-Ordner: m

Gruß

Sebastian

#5

Also ich denke die mails kommen Tatsächlich über deinen web.de
account
rein, nur sie werden dann weiter geleitet zu deinem gmx
account.
und danach automatisch aus dem eingang von web.de geräumt.

Alle anderen Mails, die bei Web.de eingehen und weitergeleitet werden, bleiben auf dem Server vorhanden, bis ich sie über die Seite von Web.de lösche. Nur die mit den 68 kb tauchen nicht auf…

desweiteren haben sowohl web.de als auch gmx spammfilter.
diese greifen jedoch nur wenn man die web oberfläche nimmt.
sich also nicht per pop3 bei den anbietern einlogged.

Bei Web.de benutze ich nur die Web-Oberfläche.

da netscape keinen spammfilter besitzt, ist es ziemlich
mühsam…
den spamm auszufiltern ich nutze deswegen seit einiger zeit
opera (www.opera.com) als standard browser die haben einen
lehrnenden spamm filter der sehr gute
abeit leistet. aber die mails natürlich erst lokal auf deinem
rechner ausfiltert.

Nachdem die Mails nie den gleichen Absender haben und nur selten den gleichen Betreff, gestaltet sich auch das Einrichten eines Filters als sehr schwierig.

Um das Problem zu beheben, müßte ich ja nur die Weiterleitung abstellen, aber dann kommen die erwünschten Mails leider auch nicht mehr an, und das war eigentlich nicht im Sinne des Erfinders.

Elephant

#6

Hi Elephant,
merkwürdig was ich kenne ist das sich spamm mit falschen absendern versieht,
jedoch braucht jeder spamm prinzip bedingt nen empfänger und der sollte richtig
sein sonnst kann er ja sein ziel nicht erreichen.
bin jetzt mal wirklich ratlos wie diese mails es dann in deinen gmx postfach kommen.
gruss chris

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#7

auffälliger Weise alle 68kb groß sind und spamtypische
Betreffzeilen wie „Na gut, hier mein Foto“ oder „Account
gesperrt“ usw. haben. […]

  1. Ich gehe jetzt einmal davon aus, daß es sich bei hier um
    einen Wurm oder Virus handelt, der da sein Unwesen treibt. Auf
    der Hoax-Info-Seite der TU Berlin habe ich allerdings keinen
    Virus entdeckt, auf den diese Kriterien zutreffen. Handelt es
    sich dabei um einen neuen Schädling oder kann ich ihn nur
    nicht richtig einordnen?

Den Betreffzeilen nach dürfte es sich hierbei um den Sober.G handeln. Dieser ist seit Mitte Mai aktiv, einige Virenscanner (insb. F-Secure) haben aber Probleme, ihn sauber zu erkennen. Etwas irritierend ist hier die angegebene Grösse von 68 kB, die tatsächliche Grösse des Virus beträgt 49.661 byte. Die Differenz erklärt sich daraus, dass dein Mailprogramm offenbar die Grösse der base64-kodierten Mail anzeigt statt der Nettogrösse des Anhangs.

Sinnvoller, als diese Mails mit einem Spamfilter ausfiltern zu wollen, ist der Einsatz eines aktuellen Virenscanners. Leider sind die meisten Scanner immer noch nicht in der Lage, im Standardformat base64 kodierte Mails auf Viren zu untersuchen, sie funktionieren daher nur mit ganz bestimmten Mailprogrammen, die dem Scanner den decodierten Anhang vorlegen. Einer der Scanner, die den Sober.G auch im codierten Format sauber erkennen, ist der F-Prot http://f-prot.com/

Gruss,
Schorsch