Spammer verfolgen

Internet Internet Sicherheit
1

Hallo zusammen,

z.Zt. scheint es Mode zu sein jemanden selbst (und ggf. auch andere) mit offensichtlichen Viren zuzumüllen, die von einer eigenen Domain kommt. Da kommt ja nun in einem der Jagdtrieb auf :wink:
Gibt es eine Möglichkeit diese zurück zu verfolgen? Vorrausgesetzt der oder diejenigen sind auch noch online…

Hier mal der Header:

— schnipp —

_X-UIDL: c2741021fed3bab5a263d698ecd29e1b
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Apparently-To: via 217.12.10.70; Sun, 28 Dec 2003 15:05:17 -0800
X-YahooFilteredBulk: 212.227.126.188
Return-Path:
Received: from 212.227.126.188 (EHLO moutng.kundenserver.de) (212.227.126.188)
by mta200.mail.scd.yahoo.com with SMTP; Sun, 28 Dec 2003 15:05:15 -0800
Received: from [212.227.126.148] (helo=mxng05.kundenserver.de)
by moutng.kundenserver.de with esmtp (Exim 3.35 #1)
id 1AajyF-0005jG-00
for ; Mon, 29 Dec 2003 00:05:15 +0100
Received: from [62.109.109.173] (helo=LUNAT.de)
by mxng05.kundenserver.de with esmtp (Exim 3.35 #1)
id 1AajyA-0001Mu-00; Mon, 29 Dec 2003 00:05:10 +0100
From: mymailaddi
Subject: Bankverbindungs- Daten
X-MailScanner: Nothing was found
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MSMail-Priority: Normal
Message-ID:
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=„5d14925d4280f.3f561f2f3b4“
X-RBL-Warning: (dialup.bl.kundenserver.de) This mail has been received from a dialup host.
Bcc:
Date: Mon, 29 Dec 2003 00:05:10 +0100
X-Provags-Forward: [email protected] -> mymailaddi

This is a multi-part message in MIME format.

–5d14925d4280f.3f561f2f3b4

Sehr geehrte Frau Bieders,
Wir möchten uns noch einmal für unsere falsche
E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies
einige Fehler beim versenden auf.
Ihre Pass- und Geheimwörter wurden selbstverständlich kostenlos geändert.

Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.
In falschen Händen , hätte jede andere Person freie Einsicht
bzw. Verfügung über Ihr Konto!

Mit freundlichen Grüssen:
i.a: Regina Rüthers

+++ Bamberger Bank eG Raiffeisen-Volksbank
+++ Luitpoldstr. 19, 96052 Bamberg
+++ Telefon: 0951/8620 Kunden- Fax: 0951/862120

–5d14925d4280f.3f561f2f3b4

Content-Type: application/octet-stream; name=Kundendat2768BaB.bat
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=" Kundendat2768BaB.bat"_
— schnapp —

1.) der Aufbau der Mails scheint immer gleich. Nur die „geschädigte“ Firma im unteren Teil samt name, etc. scheint immer falsch zu sein.
2.) es geht immer nur an eine E-Mail Adresse einer Domain.
3.) der vermeintliche Virus ist immer eine .bat Datei
4.) die LUNAT.de taucht auch öfters auf, ist aber ein Logistik Unternehmen.

Wer weiss Rat?

gruß
h.

2

z.Zt. scheint es Mode zu sein jemanden selbst (und ggf. auch
andere) mit offensichtlichen Viren zuzumüllen, die von einer
eigenen Domain kommt. Da kommt ja nun in einem der Jagdtrieb
auf :wink:
Gibt es eine Möglichkeit diese zurück zu verfolgen?
Vorrausgesetzt der oder diejenigen sind auch noch online…

Hallo,

Die Mail die du bekommen hast wird vom Wurm Sober_C verschickt, der z.Z. sein Unwesen treibt. Er verbreitet sich wie gesagt per Mail und auch über File-Sharing Netzwerke. Zum Versenden benutzt er einen eigenen SMTP-Client der die Email-Absender-Daten fälscht. Mehr dazu und auch Links auf Entfernungstools findest du hier:
http://www.bsi.de/av/vb/soberc.htm

Eine Zurückverfolgung macht also wenig Sinn, da es sich wohl um einen mit Sober_C befallen Rechner macht, der das ganze ohne Wissen seines Besitzers tut.

Allgemein kann man aber sagen, dass man das ganze in der Regel bis zur IP-Adresse zurückverfolgen kann, unter der sie abgesendet worden ist. In deinem Fall, sind das die Zeilen:

Received: from [62.109.109.173] (helo=LUNAT.de)
by mxng05.kundenserver.de with esmtp (Exim 3.35 #1)
id 1AajyA-0001Mu-00; Mon, 29 Dec 2003 00:05:10 +0100

In eckigen Klammern steht die IP-Adresse, von der der Mailserver (mxng05.kundenserver.de) die Email bekommen hat, in runden Klammern steht, unter welchem Namen er sich gemeldet hat.
Der Name wäre LUNAT.de, die IP 62.109.109.173.

Aber hier fängts schon an…
LUNAT.de ist gefälscht. Die IP von LUNAT.de ist nämlich nicht 62.109.109.73. Diese IP gehört nämlich zu b109173.adsl.hansenet.de
Dabei handelt es sich um einen A-DSL Anschluss beim Provider HanseNet, also wohl um einen Privat-Rechner. Und dieser Rechner hat sich vermutlich mit dem Sober_C Wurm infiziert.

Da Sober_C deine Email-Adresse aber auf diesem Rechner irgendwo gefunden haben muss, kannst du davon ausgehen, dass du die Person kennst, die dir die Mail geschickt hat.
Kennst du denn jemanden der beim Provider HanseNet ist und DSL hat?

mfg
deconstruct

3

Hallo h.,

…Da kommt ja nun in einem der Jagdtrieb
auf :wink:

Das kommt auf die Menge der Viren-Mails an.
IMHO haben sich da aber die Viren-Programmierer abgesichert.
Du wirst allerhöchstens den Einlieferungs-Server ausfindig machen können; das sind dann im angesprochenen Fall laienhaft gesagt „ungeschützte“ Server kleinerer Firmen, bei denen die Mail-Einlieferung keine Verifizierung verlangt, so dass jeder D*pp einliefern kann… :frowning:

Hast Du schon folgenden Thread gelesen?
http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…

…und die schier endlosen Diskussionen hier im Brett vor vielleicht 3, 4, 5 Monaten?

Vielleicht hilft’s…

CU DannyFox64 :wink:

4

das sind dann im angesprochenen Fall laienhaft
gesagt „ungeschützte“ Server kleinerer Firmen, bei denen die
Mail-Einlieferung keine Verifizierung verlangt, so dass jeder
D*pp einliefern kann… :frowning:

Soweit es sich um Spam handelt, ist das oftmals richtig. Viren aber nutzen keine offenen Relays, die haben i. d. R. ihre eigene SMTP-Engine eingebaut, und mir ist bislang kein Fall bekannt, in dem ein Virus die eigene Sende-IP-Adresse gefälscht hätte. Hier lässt sich aus der Adresse also tatsächlich auf den sendendem PC rückschliessen. Nutzt natürlich auch wieder nix, wenn die Adresse dynamisch vergeben wurde.

Gruss,
Schorsch

5

Hallo Deconstruct!

[…]
Dabei handelt es sich um einen A-DSL Anschluss beim Provider
HanseNet, also wohl um einen Privat-Rechner. Und dieser
Rechner hat sich vermutlich mit dem Sober_C Wurm infiziert.

Hmm?! Ist wohl so.

Da Sober_C deine Email-Adresse aber auf diesem Rechner
irgendwo gefunden haben muss, kannst du davon ausgehen, dass
du die Person kennst, die dir die Mail geschickt hat.

Vielleicht ist das so, aber ich glaube es eigentlich nicht.
Ich bekam die letzten Tage 2 Sober-C-Mails. Aber nur an eine Adresse, die „ausschliesslich bespammt wird“, will heissen: die ist nur noch den Robots (und Spam-Bots) durch irgendwelche Gästebuch-Einträge bekannt… aber sonst nich’!

Deswegen wundert mich also Deine Aussage oder zumindest der Rückschluss, dass die bespammte Mail-Adresse auf dem virenverseuchten Absender-Rechner zu finden sein soll… oder hat sich da etwa ein echter Spammer infiziert? :smiley:)

CU DannyFox64

6

Soweit es sich um Spam handelt, ist das oftmals richtig. Viren
aber nutzen keine offenen Relays, die haben i. d. R. ihre
eigene SMTP-Engine eingebaut, und mir ist bislang kein Fall
bekannt, in dem ein Virus die eigene Sende-IP-Adresse
gefälscht hätte. Hier lässt sich aus der Adresse also
tatsächlich auf den sendendem PC rückschliessen.

Oh, ja, danke für den Hinweis, Schorsch!

Nutzt natürlich auch wieder nix, wenn die Adresse
dynamisch vergeben wurde.

Und die wird ja in 99,xxx Prozent aller Fälle dynamisch vergeben, zumindest bei Privatleuten.

Das bedeutet in der Sache, zu der Little H. fragt, dass man mit Beeilung und natürlich etwas Glück über den Zugangsprovider (einzelne Mit-) Verursacher ausmachen kann?! Oder besser gesagt: von deren Zugangsprovider stoppen lassen kann, wenn die Leute dort auf Zack sind.

Aber viel mehr, meine ich, kann man da nicht machen.

Gruss DannyFox64

7

Hallo,

Da Sober_C deine Email-Adresse aber auf diesem Rechner
irgendwo gefunden haben muss, kannst du davon ausgehen, dass
du die Person kennst, die dir die Mail geschickt hat.

Vielleicht ist das so, aber ich glaube es eigentlich nicht.

Da man genau weiss, was Sober_C macht, kann man es aber überprüfen.

Ich bekam die letzten Tage 2 Sober-C-Mails. Aber nur an eine
Adresse, die „ausschliesslich bespammt wird“, will heissen:
die ist nur noch den Robots (und Spam-Bots) durch irgendwelche
Gästebuch-Einträge bekannt… aber sonst nich’!

Ja und?

Wird der Wurm aktiviert geschieht folgendes:

  1. Der Wurm kopiert sich selbst unter „“ in das Windows-Systemverzeichnis.

  2. Danach durchsucht er das System nach E-Mail-Adressen in Dateien mit folgenden Dateierweiterungen:
    .htt .rtf .doc .xls .ini .mdb .txt .htm .html .wab .pst .fdb .cfg .ldb .eml .abc .ldif .nab .adp .mdw .mda .mde .ade .sln .dsw .dsp .vap .php .nsf .asp .shtml .shtm .dbx .hlp .mht .nfo

Unter diesen Dateien finden sich auch .htm und .html-Dateien. Diese findest du z.B. im Browser-Cache. Es langt also, wenn der von Sober_C befallen Computer eine gecachete Variante eines Gästebuches hat, in dem deine Email-Adresse zu finden ist. Und schon bist du dabei.

Desweiteren durchsucht er .eml und .pst-Dateien, in welchen sich z.B. die von Outlook abgespeicherten Mails befinden. Da deine „Spamadresse“ ja anscheinende Spammern bekannt ist, kann sie sich gut und gerne in einer Mail auf dem befallenen Rechner z.B. im CC oder BCC befinden. Denn Spam-Mails werden oft an viele Absender verschickt.

Deswegen wundert mich also Deine Aussage oder zumindest der
Rückschluss, dass die bespammte Mail-Adresse auf dem
virenverseuchten Absender-Rechner zu finden sein soll… oder
hat sich da etwa ein echter Spammer infiziert? :smiley:)

Ich hoffe, dass ich dir mit obigen Ausführungen beweisen konnte, dass sich deine Email-Adresse durchaus auch auf fremden Rechnern finden kann. Allerdings ist in einem der oben beschrieben Fälle natürlich nicht mehr gegeben, dass man den Absender kennt. Aber deswegen schrieb ich in meinem vorherigen Posting ja auch, dass er ihn „vielleicht“ kennt.

mfg
deconstruct

8