Ich habe eine E-Mail von einem Freund erhalten, in der ich mit meinem
Namen angesprochen werde, und bei der auch zum Schluss „Tschüss“ und
der Name meines Bekannten steht. Dieser hat mir die Mail jedoch nicht
geschickt, die Absenderadresse ist aber genau seine! (Ich weiss, dass
er es nicht war - wir waren zum Absenderdatum zufällig zusammen!) Das
Problem ist, dass ein Virus in Form einer EXE-Datei beiliegt… Wie
kann ich mich gegen solche Angriffe schützen (ich verwende eine
Firewall und ein Anti-Virusprogramm, das vom Virus lahmgelegt
wurde!!!). Und wie sind solche Mails überhaupt möglich? Also, wie
kann der Angreifer von unseren Namen wissen? Kann ich evtl. den
Absender zurückverfolgen?
Moin
Und wie sind solche Mails überhaupt möglich? Also,
wie
kann der Angreifer von unseren Namen wissen?
Du hast sie deinem Windows gegeben, deinem office, deinem outlook ,… und du wunderst dich ? Sorgar IE schickt den Namen raus, wenn ihm danach ist, resp. der Server fragt. (nicht lachen, dafür gibts ein perl-skript das mit erstaunlich vielen IE-versionen funzt)
Kann ich evtl.
den
Absender zurückverfolgen?
Die mail wurde wahrscheinlich vom Rechner deines Freundes aus mit geändertem Header versendet worden. Woher der wurm kommt ist die interessante Frage, und glaub mir du bist nicht der erste der nach dem Author sucht.
cu
Hallo Joshua
Ich habe eine E-Mail von einem Freund erhalten, in der ich mit
meinem Namen angesprochen werde, und bei der auch zum Schluss
„Tschüss“ und der Name meines Bekannten steht.
Das ist etwas eigenartig. Dass ein Virus eine Mail so gestaltet, habe ich bisher noch nicht gehört.
Dieser hat mir die Mail jedoch nicht geschickt, die Absenderadresse :ist aber genau seine! (Ich weiss, dass er es nicht war - wir waren :zum Absenderdatum zufällig zusammen!)
Inzwischen fälschen die meisten Mailviren die Absender-Adressen. Die Adresse Deines Freunds muss daher nur per Zufall beim eigentlichen Urheber im Adressbuch, Browser-Cache oder sonstwo gelegen haben.
Das Problem ist, dass ein Virus in Form einer EXE-Datei
beiliegt…
Unverlangt zugeschicktes Attachment -> Löschen.
Wie kann ich mich gegen solche Angriffe schützen
Warum bezeichnest Du das als Angriff? Nun gut, falls da jemand bewusst eine gefakete Mail mit virulentem Attachment geschickt haben sollte, könnte man vielleicht noch sowas annehmen. Sollte es aber trotzdem ‚nur‘ die Verbreitung eines gewöhnlichen Virus sein, wäre ‚Angriff‘ zu hoch gegriffen.
(ich verwende eine Firewall und ein Anti-Virusprogramm, das vom Virus :lahmgelegt wurde!!!).
Ein AV-Programm, das vom Virus lahmgelegt wurde? Dann wurde das EXE-File also ausgeführt? Dann ist Dein PC virenverseucht, was Du umgehend beheben musst.
Und wie sind solche Mails überhaupt möglich? Also, wie
kann der Angreifer von unseren Namen wissen? Kann ich evtl.
den Absender zurückverfolgen?
Wie gesagt, viele Viren fälschen die Absender-Adresse und bedienen sich dazu im Adressbuch, im Browser-Cache und wo sie auf dem verseuchten Rechner sonst noch Email-Adressen finden. Evt. fälschen sie auch noch weitere Angaben im Mail-Header. Man könnte zwar den eigentlichen Absender ausfindig machen. Doch das wäre ein zu hoher Aufwand, das lohnt nicht. Du selber würdest maximal den Provider herausfinden und könntest dem mal mitteilen, er soll dem betreffenden User eine Mitteilung senden oder so.
Du musst in Zukunft sogar damit rechnen, dass solche Virenmails noch cleverer aufgebaut sind. Denn die Wirrköpfe, die all die Viren programmieren, sind zwar geistig irgendwie gestört, aber meistens gar nicht mal dumm. Die machen das Zeug noch besser, damit noch mehr Leute auf den Mist hereinfallen und ihren Rechner zur Virenschleuder umfunktionieren, wenn möglich ohne es zu merken…
Du und Dein Freund könnt mit verschiedenen Massnahmen das Risiko solcher Viren vermindern. Etwa indem Ihr ein Mailprogramm verwendet, das nicht aus dem Haus Microsoft stammt und es auch noch so einstellt, dass nichts, aber auch gar nichts ohne Euer Zutun ausgeführt wird. Indem Ihr ungefragt erhaltene Attachments unbesehen löscht. Indem Ihr Attachments, die Ihr erwartet, niemals blindlings ausführt, sondern immer erst abspeichert, mit dem AV-Tool checkt und wenn möglich erst via eine Software öffnet.
CU
Peter
Hallo Peter,
Das ist etwas eigenartig. Dass ein Virus eine Mail so
gestaltet, habe ich bisher noch nicht gehört.
Von Symantec.de kopiert, es geht um „W32.Bugbear.B@mm“:
"Er ruft die E-Mail-Adresse und den SMPT-Server des aktuellen Benutzers aus folgendem Registrierungsschlüssel ab:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts
Über seine eigene SMTP-Engine sendet er sich dann an alle gefundenen E-Mail-Adressen, wobei er die Absenderadresse fälscht.
Der Wurm kann eine vorhandene Nachricht beantworten oder weiterleiten , oder aber eine neue Nachricht mit einer der folgenden Betreffzeilen erstellen: (…)"
Ein kostenloses Fix-Tool gibt’s hier:
http://securityresponse.symantec.com/avcenter/FixBug…
Gruß, Markus
*warum zum T***** hatte ICH noch nie 'nen Virus?*
1 „Gefällt mir“
Hallo Markus
Das ist etwas eigenartig. Dass ein Virus eine Mail so
gestaltet, habe ich bisher noch nicht gehört.Von Symantec.de kopiert, es geht um „W32.Bugbear.B@mm“:
Jo, danke. Das war mir eigentlich bekannt. Was mich jedoch etwas verwirrt hat, waren die Text-Angaben. Dass ein Virus auch solche Formulierungen einbaut wie die zitierten, war mir unbekannt.
*warum zum T***** hatte ICH noch nie 'nen Virus?*
Also, wenn Du willst, kann ich Dir ja mal eines weitersenden. Wenn ich mal wieder eins bekommen sollte…
CU
Peter
Hallo Peter,
Jo, danke. Das war mir eigentlich bekannt. Was mich jedoch
etwas verwirrt hat, waren die Text-Angaben. Dass ein Virus
auch solche Formulierungen einbaut wie die zitierten, war mir
unbekannt.
Er baut keine Formulierungen ein, der Bugbear nimmt sich den vollständigen Text aus einer anderen, vom Absender versendeten oder erhaltenen, Mail. Dies sieht dann, im Vergleich zu anderen Viren, oft verblüffend echt aus. Ich habe schon einige Replies gesehen, wo das Virenopfer die von Bugbear erhaltene Mail für einen ganz alltäglichen Geschäftsvorfall gehalten und die üblichen Schritte eingeleitet (Weiterleitung an Verkauf, Bestellung auslösen…) hat.
Gruss,
Schorsch
1 „Gefällt mir“
Hallo Schorsch
Er baut keine Formulierungen ein, der Bugbear nimmt sich den
vollständigen Text aus einer anderen, vom Absender versendeten
oder erhaltenen, Mail.
Ach so ist das. Dann ist es natürlich klar, wie solch ein Text zustandekommt. THX.
Ich habe schon einige
Replies gesehen, wo das Virenopfer die von Bugbear erhaltene
Mail für einen ganz alltäglichen Geschäftsvorfall gehalten und
die üblichen Schritte eingeleitet (Weiterleitung an Verkauf,
Bestellung auslösen…) hat.
Die Mailviren werden, wie erwähnt, immer cleverer. Man kann ja bereits nicht mehr darauf gehen, ein unbekanntes Attachment von einem unbekannten Absender zu bekommen könnte verdächtig sein. Inzwischen muss man generell jedes Attachment, egal woher, mit Argusaugen und Samthandschuhen betrachten…
Aber eigentlich gibt es ja eh effizientere Wege, Daten zu übermitteln als Email…
CU
Peter