Verdächtige Mail - wer kennt diese File?

Anonym · 17. August 2001 um 22:25

Hallo zusammen,

folgende Mail erreichte mich vor zwei Tagen. Die Absenderadresse ist mir unbekannt, cust.lt sind jedenfalls die Zollbehörden in Littauen (?!)

^{Return-path:
Envelope-to: [email protected]
Delivery-date: Mon, 13 Aug 2001 16:46:38 +0200
Received: from [212.227.116.80] (helo=mailgate3.cinetic.de)
by mxng04.kundenserver.de with esmtp (Exim 3.22 #2)
id 15WIzD-0004sU-00
for [email protected]; Mon, 13 Aug 2001 16:46:35 +0200
Received: from mx04.web.de (mx04.dlan.cinetic.de [172.20.0.44])
by mailgate3.cinetic.de (8.11.2/8.11.2/SuSE Linux 8.11.0-0.4) with SMTP id f7DEkZ605833
for ; Mon, 13 Aug 2001 16:46:35 +0200
Received: from mx0.gmx.net by mx04.web.de with smtp
(freemail 4.2.2.2 #11) id m15WIzD-007VDLA; Mon, 13 Aug 2001 16:46 +0200
Received: (qmail 29971 invoked by alias); 13 Aug 2001 14:46:31 -0000
Delivered-To: GMX delivery to [email protected]
Received: (qmail 25634 invoked by uid 0); 13 Aug 2001 14:42:38 -0000
Received: from matheus.cust.lt (193.219.11.162)
by mx0.gmx.net (mx12) with SMTP; 13 Aug 2001 14:42:38 -0000
Received: from Pc96lt.cust.lt ([192.168.110.96])
by matheus.cust.lt (8.9.3/8.9.3) with SMTP id QAA18441
for ; Mon, 13 Aug 2001 16:42:22 +0200 (GMT+0200)
Message-Id:
From: "=?ISO-8859-1?Q?Judita=20K=2E?=„
To: [email protected]
Subject: 1938
date: Wed, 13 Aug 2025 17:34:49 +0300
MIME-Version: 1.0
X-MIMEOLE: Produced By Microsoft MimeOLE V5.50.4133.2400
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
Content-Type: multipart/mixed; boundary=“----53BBDD73_Outlook_Express_message_boundary"
Content-Disposition: Multipart message
X-Resent-By: Forwarder
X-Resent-For: [email protected]
X-Resent-To: [email protected]

------53BBDD73_Outlook_Express_message_boundary
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: message text}

Nachrichtentext:
^{Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks}

Attachments:
^{------53BBDD73_Outlook_Express_message_boundary
Content-Type: application/mixed; name=1938.doc.com
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=1938.doc.com}

Das Attach (offensichtlich eine verkappte .COM-file) habe ich natürlich nicht aufgemacht.
Nach Speicherung auf Festplatte erhält die File übrigens ein Media-Symbol und dem Namen ATT00115.DAT.
Ich erinnere mich, daß ich mal von Hand .DAT mit dem Mediaplayer verlinkt hatte (ich hatte mal eine CD mit Musikvideos, auf der man die .DAT-files mit dem Mediaplayer abspielen konnte)

Ist das nun eine Mediafile oder eine .COM?

Hat vielleicht sonst noch jemand so eine Mail bekommen? Oder kennt jemand die Datei?

Hier die Datei-Infos:
^{Typ: Datei .DAT
Größe 219 kB (224.256 Bytes gesamt) 225.280 Bytes belegt}
Das Erstellungsdatum entspricht dem Speicherdatum.

Bin für jede Aufklärung dankbar

Oliver

Anonym · 17. August 2001 um 22:32

Ergänzung
Ich habe die Mail nicht am Mittwoch, sondern am Montag den 13.8 bekommen. Das Datum wird auch im Header korrekt wiedergegeben, außer am Schluß:

^{To: [email protected]
Subject: 1938
date: Wed, 13 Aug 2025 17:34:49 +0300}

Hier also ebenfalls der 13.8., aber im Jahr 2025

(nur Falls das irgendeine Bedeutung haben sollte)

*kopfkratz*

Oliver

Anonym_028940377b35 · 18. August 2001 um 00:59

folgende Mail erreichte mich vor zwei Tagen. Die
Absenderadresse ist mir unbekannt, cust.lt sind jedenfalls die
Zollbehörden in Littauen (?!)

Gib nicht allzuviel darauf.

Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks

Das klingt ganz nach Sircam.

Attachments:
Content-Disposition: attachment; filename=1938.doc.com

Jup, das dürfte Sircam sein. Der treibt mittlerweile eine ganze Weile sein Unwesen. Jede Website, die sich dem Thema Viren verschrieben hat, kann Dir Informationen liefern, z.B. http://www.trojaner-info.de und andere.

An Sircam sind zwei Dinge etwas speziell, was wohl der Grund ist, warum er immer noch rumgeistert:

Erstens versendet er sich nicht, wie sonst meistens, via Outlook-Adressbuch, sondern schlicht direkt via SMTP.

Zweitens greift er sich wahllos ein File aus ‚Eigene Dateien‘ und packt sich selber dazu. Die Dateiendung, in Deinem Fall das *.com, ist ebenfalls verschieden. Dadurch sind Dateiname (den übernimmt er gleich als Subject), Dateigrösse und Suffix verschieden, worauf dann offenbar immer noch viele Leute hereinfallen.

Das Attach (offensichtlich eine verkappte .COM-file) habe ich
natürlich nicht aufgemacht.

Das ist auch besser so. Lösche die Datei umgehend und teile ggf. dem Absender mit, dass er ein Virenproblem hat und sein System unbedingt säubern muss.

Nach Speicherung auf Festplatte erhält die File übrigens ein
Media-Symbol und dem Namen ATT00115.DAT.

*.dat-Dateien können alles mögliche sein. Outlook hat z.B. je nach Einstellung die Angewohnheit, Winmail.dat-Dateien zu versenden. Die lassen sich nicht mit dem Mediaplayer anschauen. Lass es also lieber und leg Dir zur Sicherheit einen aktuellen Virenscanner zu, mit dem Du verdächtige Attachments etc. checken kannst. Das ist zwar kein Allheilmittel, aber durchaus eine sinnvolle Ergänzung zum vorsichtigen Umgang mit Attachments etc.

CU
Peter

Anonym · 18. August 2001 um 09:08

Hallo Peter,

stimmt, eine neue Scannerversion entdeckt SirCam, Du hattest recht

Was ich bisher noch nicht verstanden habe: Über welchen SMTP-Server versendet sich der Virus? Muß jener irgendwo in den Outlook-Konten des Users definiert sein, oder hat der Virus eine eigene Liste von Servern?

Ich würde gerne den Absender der Mail von seiner Infektion unterrichten, aber wie finde ich heraus, wer der wahre Absender ist? [email protected] war es sicher nicht, jedenfalls wüßte ich nicht, wie dort jemand meine Mailadresse haben sollte.

Eventuell würde es ja weiterhelfen, einen Blick auf die .doc-file zu werfen. Fragt sich bloß, wie ich das tue, ohne den Virus zu aktivieren. Würde Umbenennen von .doc.com nach .doc reichen?

vielen lieben Dank!

Oliver

Sebastian · 18. August 2001 um 10:49

Was ich bisher noch nicht verstanden habe: Über welchen
SMTP-Server versendet sich der Virus? Muß jener irgendwo in
den Outlook-Konten des Users definiert sein, oder hat der
Virus eine eigene Liste von Servern?

Der Virus ist so programmiert, daß er selbeer die (von ihm) benötigte Funktionalität eines Servers mitbringt.

Ich würde gerne den Absender der Mail von seiner Infektion
unterrichten, aber wie finde ich heraus, wer der wahre
Absender ist? [email protected]

Ich würde das mal annehmen.

war es sicher nicht, jedenfalls
wüßte ich nicht, wie dort jemand meine Mailadresse haben
sollte.

Deine Mailadresse mß nicht im Adreßbuch stehen, Es reicht, wenn er auch ein Gästebuch besucht hat, in dem Du Dich vorher eingetragen hast (mit Mailadresse) - nur als Beispiel.

Oder er hat wer-weiss-was besucht…

Eventuell würde es ja weiterhelfen, einen Blick auf die
.doc-file zu werfen. Fragt sich bloß, wie ich das tue, ohne
den Virus zu aktivieren. Würde Umbenennen von .doc.com nach
.doc reichen?

Vermutlich kaum. Ich habe hier eine Methode, die Dateien zu öffnen, wenn Du eine kleine Datei hast, kannst Du sie ja vorbeisenden.

Sebastian

Anonym · 19. August 2001 um 14:31

Hallo Sebastian,

Deine Mailadresse mß nicht im Adreßbuch stehen, Es reicht,
wenn er auch ein Gästebuch besucht hat, in dem Du Dich vorher
eingetragen hast (mit Mailadresse) - nur als Beispiel.
Oder er hat wer-weiss-was besucht…

Verstehe ich jetzt so, daß der Virus im Speicher, Cache oder Festplatte befindliche HTML-Codes nach mailto-Tags durchsucht.

Ganz schön smart.

Mal das ganze weitergesponnen: Ein Spammer könnte das Virus dergestalt manipulieren, daß die Adressen zusätzlich an seinen eigenen e-mail-Account gesandt werden. Das gibt dann eine üppige Adreßsammlung.

Vermutlich kaum. Ich habe hier eine Methode, die Dateien zu
öffnen, wenn Du eine kleine Datei hast, kannst Du sie ja
vorbeisenden.

Werde ich gleich tun. Ich hoffe, 230k sind nicht zu groß.

Danke,

Oliver

Sebastian · 19. August 2001 um 14:46

Verstehe ich jetzt so, daß der Virus im Speicher, Cache oder
Festplatte befindliche HTML-Codes nach mailto-Tags durchsucht.

Im „Internetcache“, AFAIK

Ganz schön smart.

Eben. Viren will man nicht. Schon garnicht SirCam.

Mal das ganze weitergesponnen: Ein Spammer könnte das Virus
dergestalt manipulieren, daß die Adressen zusätzlich an seinen
eigenen e-mail-Account gesandt werden. Das gibt dann eine
üppige Adreßsammlung.

Nett, oder?

Werde ich gleich tun. Ich hoffe, 230k sind nicht zu groß.

Grenze bei meiner krepligen Verbindung. Ich werde es bearbeiten und Dir zurücksenden. Garantien kann ich natürlich nicht übernehmen, scließlich könnte die Originaldate schon Makroviren haben.

Mal sehen, ich werde Dir ggfs noch ein ungefährliches Format zukommen lassen.

Sebastian

Matthias_f5f964 · 21. August 2001 um 09:19

Ich habe gestern auch eine mail mit diesem inhalt bekommen und es war ein anhang dran, der sircam verseucht war. meine mail kam von einem t-online benutzer, der wohl infiziert ist. wahrscheinlich sind dann auch die zollbehörden in litauen verseucht

tschau

Anonym · 21. August 2001 um 19:31

Eventuell würde es ja weiterhelfen, einen Blick auf die
.doc-file zu werfen. Fragt sich bloß, wie ich das tue, ohne
den Virus zu aktivieren. Würde Umbenennen von .doc.com nach
.doc reichen?

Wenn schon, dann am besten als .txt und in einem Texteditor öffnen (z.B. TextPad)

Gruss, Ingo