Virus?

Internet Internet Sicherheit
1

Hallo,

ich erhielt soeben eine email, die den Betreff „hones“ und den Absender „inet“ bzw. „[email protected]“ trug.

Hier die Eigenschaften der mail:
Return-Path:
Received: from mx1.mail.ru (mx1.mail.ru [194.67.57.11])
by mx05.nexgo.de (Postfix) with ESMTP id 69756341A9
for ; Tue, 28 May 2002 18:28:30 +0200 (CEST)
Received: from [217.3.194.99] (helo=Jruuilcf)
by mx1.mail.ru with smtp (Exim SMTP.1)
id 17Cjpb-000Bnm-00
for [email protected]; Tue, 28 May 2002 20:28:19 +0400
From: inet
To: [email protected]
Subject: Honey
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=Ohc86qQB742v02i0D8z0BD49
Message-Id:
Date: Tue, 28 May 2002 20:28:19 +0400


Daß da nicht MS hinter steckt, ist mir spätestens klar geworden, als ich sah, daß die mail eigentlich aus Rumänien kommt.

Die email hatte einen Anhang namens „uhr.exe“, den ich natürlich nicht geöffnet habe. Auf den einschlägigen Seiten habe ich dazu keine Info finden können.

Wer weiß mehr?

Gruß und Danke
Christian

2

Spärlich…

Daß da nicht MS hinter steckt, ist mir spätestens klar
geworden, als ich sah, daß die mail eigentlich aus Rumänien
kommt.

.ru ist „Russian Federation“, nur so nebenbei… Guckst Du hier: http://www.iana.org/cctld/cctld-whois.htm

Die email hatte einen Anhang namens „uhr.exe“, den ich
natürlich nicht geöffnet habe. Auf den einschlägigen Seiten
habe ich dazu keine Info finden können.

Wer weiß mehr?

Gruß und Danke
Christian

Nur anhand des Headers und des Dateinamens wird es kaum möglich sein, das zu diagnostizieren… Du könntest die Datei natürlich mal mit einem Virenscanner untersuchen (tagesaktuelles Update machen!), aber vermutlich hast Du sie schon gelöscht, was ja durchaus auch richtig ist.
Insofern, freu Dich, daß Du nicht drauf reingefallen bist und hak die Sache ab! Weiteres Vorgehen gegen den Absender wird wohl zwecklos sein…

Es sei denn, Du wendest Dich mal an T-Online mit dieser IP:

217.3.194.99 (mit den Zeitangaben aus dem Header natürlich.)

Das scheint der Absender gewesen zu sein. Er müsste hier aus NRW kommen, mein traceroute gibt irgendwo bei Wuppertal auf.

Gruß,

Doc.

3

naja…
Hi,

.ru ist „Russian Federation“, nur so nebenbei… Guckst Du
hier: http://www.iana.org/cctld/cctld-whois.htm

während ich schrieb, fiel mir schon wieder ein, daß Rumänien latürnich „ro“ ist. Ru ist in der Tat Russland, wie ich eigentlich wissen sollte. Naja, meine dortigen Kollegen werden diese Zeilen kaum lesen :wink:

Nur anhand des Headers und des Dateinamens wird es kaum
möglich sein, das zu diagnostizieren…

Ich dachte ja nur, daß evtl. jemand eine ähnliche Begegnung hatte.

Du könntest die Datei
natürlich mal mit einem Virenscanner untersuchen
(tagesaktuelles Update machen!),

Kann ich auch lassen, weil Virenscanner nur sehr begrenzten Nutzen haben und ich daher seit Jahren keinen mehr benutze.

aber vermutlich hast Du sie
schon gelöscht, was ja durchaus auch richtig ist.

Nein, sowas hebe ich mir Vergleichszwecke in einem speziellen Verzeichnis auf.

Insofern, freu Dich, daß Du nicht drauf reingefallen bist und
hak die Sache ab! Weiteres Vorgehen gegen den Absender wird
wohl zwecklos sein…

Schon richtig, ich wollte nur wissen, was ich mir da evtl. eingefangen haben könnte, wenn ich es nicht verhindert hätte.

Es sei denn, Du wendest Dich mal an T-Online mit dieser IP:

217.3.194.99 (mit den Zeitangaben aus dem Header natürlich.)

Alles früher mal versucht. Resultat: Keines.

Das scheint der Absender gewesen zu sein. Er müsste hier aus
NRW kommen, mein traceroute gibt irgendwo bei Wuppertal auf.

Hmm, vielleicht fahre ich da am Freitag mal vorbei :wink:

Gruß
Christian

4

ahja!

Du könntest die Datei
natürlich mal mit einem Virenscanner untersuchen
(tagesaktuelles Update machen!),

Kann ich auch lassen, weil Virenscanner nur sehr begrenzten
Nutzen haben und ich daher seit Jahren keinen mehr benutze.

Genau hierfür sind sie dann aber schon sinnvoll! :smile:

aber vermutlich hast Du sie
schon gelöscht, was ja durchaus auch richtig ist.

Nein, sowas hebe ich mir Vergleichszwecke in einem speziellen
Verzeichnis auf.

Dann laß bloß niemand anderen an den Rechner!!! (Mein Frau würde mit Freude auf die ganzen bunten Symbole klicken!!)

Insofern, freu Dich, daß Du nicht drauf reingefallen bist und
hak die Sache ab! Weiteres Vorgehen gegen den Absender wird
wohl zwecklos sein…

Schon richtig, ich wollte nur wissen, was ich mir da evtl.
eingefangen haben könnte, wenn ich es nicht verhindert hätte.

s.o.

Hmm, vielleicht fahre ich da am Freitag mal vorbei :wink:

Noch scheint er online zu sein (oder sein IP-Nachfolger)…
Sind Port-Scans eigentlich illegal?

Gruß
Christian

Gruß,

Doc.

1 „Gefällt mir“
5

Genau hierfür sind sie dann aber schon sinnvoll! :smile:

Nicht wirklich, weil ja bisher kein Anbieter den „Virus“ erwähnt. Wenn ein neuer Virus kommt, hinken die Datenbanken idR 3-10 Tage hinterher.

Dann laß bloß niemand anderen an den Rechner!!! (Mein Frau
würde mit Freude auf die ganzen bunten Symbole klicken!!)

An meinen Rechner lasse ich nur micht und gelegentlich ein Gläschen Wein. Da ist das Risiko einer Infektion begrenzt :wink:

Hmm, vielleicht fahre ich da am Freitag mal vorbei :wink:

Noch scheint er online zu sein (oder sein IP-Nachfolger)…
Sind Port-Scans eigentlich illegal?

Ich nix wissen, aber wenn Du die RL-Adresse raushast, dann sag mal Bescheid :wink:

Gruß
C

6

Hai,

Noch scheint er online zu sein (oder sein IP-Nachfolger)…
Sind Port-Scans eigentlich illegal?

So weit ich weiss: nein. Sie entsprechen wohl dem Probieren, ob eine Tuer offen ist, sind aber kein Einbruch.
Nur manche Provider reagieren allergisch, wenn ihre Kunden durch Portscans auffallen … nun, denn …

salut

gernot

7

ich erhielt soeben eine email, die den Betreff „hones“ und den
Absender „inet“ bzw. „[email protected]“ trug.

Return-Path:

From: inet
To: [email protected]
Subject: Honey
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=Ohc86qQB742v02i0D8z0BD49
Message-Id:
Date: Tue, 28 May 2002 20:28:19 +0400

Wenn man’s weiss, sieht man’s sofort: In boundary=Ohc86qQB742v02i0D8z0BD49 fehlen die von den RFCs geforderten einschliessenden Hochkommas boundary= "…"

Und Return-Path: unterscheidet sich dicke von From: inet

Ist der KLEZ/H Wurm. Erstaunlich variabel, unter wievielen Masken dieser Wurm sich versteckt. Die microsoft.com Variante kannte ich noch nicht. Aber die genannten zwei Merkmale unterscheiden den KLEZ/H von jedem anderen mir bekannten Virus.

Gruss,
Schorsch