nicht angemeldet
Ist das ein Wurm oder sowas?
Hallo Forum!
Ich habe mal unter http://www.geocities.com/calocybe/__foo/self_forum/silly-mail.msg.txt (Bitte erst noch das am Ende lesen!) ne Mail hochgeladen, die ich heute bekommen habe. Normalerweise waere sie durch die Spam-Sortier-Anlage gerutscht, aber da die Absenderadresse selfhtml@teamone.de verwendet wurde, habe ich sie mir doch ein bisschen genauer angeschaut.
Zunaechst sah ich nicht viel davon, Netscape Messenger zeigt mir einfach eine leere Mail, in der lediglich From: und Subject: gesetzt ist. Da die Mail aber 77kB gross ist, hab ich mir mal den Source angeschaut. So ganz werde ich nicht draus schlau, aber es faellt jedenfalls auf, dass in einem HTML-Teil ein IFRAME enthalten ist, dessen SRC-Attribut ein anderes Attachment referenziert, welches den Namen "sample.exe" und den Typ "audio/x-wav" traegt. Die ersten Bytes des Attachments sind auch tatsaechlich 'MZ', das typische Kennzeichen einer EXE-Datei (oder auf Windows auch DLL und anderes). (Findet man mit
perl -MMime::Base64 -w -e "print MIME::Base64::decode('TVqQAAMAAAAEAAAA')"
raus.)
Auffaellig ist weiterhin, dass die beiden Trennzeichen der verschiedenen Teile der Mail ====_ABC123456j7890DEF_==== und ====_ABC09876j54321DEF_==== lauten. Da herkoemmliche Mailer eher recht zufaellig aussehende Boundaries verwenden, sieht mir die ganze Mail also sehr selbstgebastelt aus. Was ich nicht verstehe ist das abschliessende -- in Zeile 34. Gehoert das zum MIME-Standard?
Was meint Ihr so dazu?
Und jetzt der Link zum Draufdruecken. Ich weiss nicht, ob ein allseits beliebter "Browser" aus Redmond vielleicht nicht versteht, was eine Textdatei ist und dann die Mail gleich an Outlook weiterreicht, welches wiederum aufgrund von ganz tollen Features gleich mal 1000 Mails verschickt und eine Verjuengungskur fuer die Daten auf Festplatten vornimmt. Vielleicht sollten sich IE-Benutzer also ueberlegen, ob sie da wirklich draufklicken wollen oder doch lieber nur Save link as waehlen und dann einen Texteditor benutzen. Aber, no risk - no fun. http://www.geocities.com/calocybe/__foo/self_forum/silly-mail.msg.txt
So long
-
Hallo Forum!
Hallo, Calocybe!
Was meint Ihr so dazu?
Ohne das Attachment runterzuladen und zu dekodieren (was sicherlich ungefährlich ist) und es dann zu betrachten (und zu disassemblieren, falls notwendig) würde ich sagen: Das scheint mir eine seltsame Mail zu sein, die man besser im Papierkorb platziert und schnell mit Nullen überschreibt.
- Sven Rautenberg
-
Hi
Was meint Ihr so dazu?
Hab so eine eMail auch schon bekommen.
Der Absender ist hunder prozentig gefälscht, und der Anhang schon seeeeeeehhhhhr auffällig.
Ich würd die Finger weg lassen.Und jetzt der Link zum Draufdruecken. Ich weiss nicht, ob ein allseits beliebter "Browser" aus Redmond vielleicht nicht versteht, was eine Textdatei ist und dann die Mail gleich an Outlook weiterreicht, welches wiederum aufgrund von ganz tollen Features gleich mal 1000 Mails verschickt und eine Verjuengungskur fuer die Daten auf Festplatten vornimmt. Vielleicht sollten sich IE-Benutzer also ueberlegen, ob sie da wirklich draufklicken wollen oder doch lieber nur Save link as waehlen und dann einen Texteditor benutzen.
Tut er nicht (aktiver Selbstversuch mit Version 6 ;-)
Ciao,
Harry
-
Hallo Calocybe,
ich vermute, daß es sich um den Nimda-Wurm handelt oder um eine leicht
veränderte Version von diesem. Dieser verschickt sich unter
falscher eMail-Adresse, läßt den Mailbody leer und fügt (eigentlich)
eine readme.exe an, die er als "audio/x-wav" ausgibt. Aufgrund eines
Bugs in Outlook, wird diese Datei (manchmal?) automatisch gestartet.
Nähere Infos findest du u.a. hier:
http://www.cert.org/advisories/CA-2001-26.htmlGruß
Slyh-
Hi,
ich vermute, daß es sich um den Nimda-Wurm handelt oder um eine leicht
veränderte Version von diesem. [...]dazu passt auch das Posting weiter unten: http://forum.de.selfhtml.org/?m=3622&t=617
Grüße,
nobody -
Hi there!
ich vermute, daß es sich um den Nimda-Wurm handelt oder um eine leicht
veränderte Version von diesem.Ach so, dann ist das ja schon fast ein alter Hut. *g* Haette das CERT Advisory vielleicht auch mal lesen sollen - liegt immer noch in meiner Inbox. *g* Komisch finde ich aber das deutsche Subject. Normalerweise schreiben die Wuermer doch immer in Englisch.
Etwas anderes bewegt mich noch (geht nicht an Dich, Slyh). Wieso krieg ich eigentlich staendig solche Tips wie "gleich loeschen", "nicht oeffnen", "Finger weglassen"? Sehe ich denn ein bisschen dumm aus? Ich gehe eben den Dingen gerne auf den Grund, was ist daran eigentlich so schlimm?
So long
-
Hi
Sehe ich denn ein bisschen dumm aus?
Woher sollen _wir_ das wissen? ;)
Rolf
-
Hi Rolf!
Woher sollen _wir_ das wissen? ;)
hmmm... zB schliersee story lesen oder eine der viele unkommentierten bildersammlungen von div. treffen <fg/>
http://www.atomic-eggs.com/selfspezial/sss/stb_rola.htm
CU Roman
P.S.: sorry roland ;-)
-
Hi all!
hmmm?!?...vor kurzem wurde hier doch ein kostenloses online-voting
besprochen .... *FFG*SCNR
Rolf-
PS: Roland lass die Finger davon!
ROFL*ROLF
-
-
Hallo Roman,
autsch ;-)
http://www.atomic-eggs.com/selfspezial/sss/*.html
die gibt es nocht!? ;-)
grüße
thomas -
Huhu!
Du bist ja soooooooo gemein. *g*
So long
-
-
-
Hi auch,
ich vermute, daß es sich um den Nimda-Wurm handelt oder um eine leicht
veränderte Version von diesem.
Etwas anderes bewegt mich noch (geht nicht an Dich, Slyh). Wieso krieg ich eigentlich staendig solche Tips wie "gleich loeschen", "nicht oeffnen", "Finger weglassen"? Sehe ich denn ein bisschen dumm aus? Ich gehe eben den Dingen gerne auf den Grund, was ist daran eigentlich so schlimm?vielleicht will keiner mehr für irgendwas verantwortlich gemacht werden können,
zumal ja solche Äusserungen oft richtig sind, also das Prinzip Fehlervermeidung
statt Kreativität..
Unter Netscape habe schon öfters merkwürdige Attachments auf Disk abgespeichert
und konnte dann per Virenscanner auch rauskriegen welcher Virus es war, die
Maildateien selbst werden offenbar nicht richtig geprüft.
Aber da will ich natürlich nichts empfehlen, schliesslich gibt es klare Vor-
gehensweisen: "gleich loeschen", "nicht oeffnen", "Finger weglassen", die
ja nicht falsch sind, zumal ich da keine Verantwortung .....Grüsse
Cyx23
-
-
-
Hoi Calo,
Was ich nicht verstehe ist das abschliessende -- in Zeile 34. Gehoert das
zum MIME-Standard?Jep, gehoert es:
boundary--\r\n\r\n
sieht die RFC als Ende fuer jeden MIME-Part vor.
Gruss,
CK-
Hi auch!
Jep, gehoert es:
boundary--\r\n\r\n
sieht die RFC als Ende fuer jeden MIME-Part vor.Aha. Dann fehlt -- aber in Zeile 1051, oder ist auch vorgesehen, dass es am EOF wieder weggelassen werden kann?
So long
P.S.: Sag mal, wo ist eigentlich dieser XML-Thread vom Ende letzter Woche? So schnell kann der doch nichts ins Archiv sein?
-
Hoi,
Aha. Dann fehlt -- aber in Zeile 1051, oder ist auch vorgesehen, dass es am
EOF wieder weggelassen werden kann?Nein. Der muesste da auch hin.
P.S.: Sag mal, wo ist eigentlich dieser XML-Thread vom Ende letzter Woche?
So schnell kann der doch nichts ins Archiv sein?Gute Frage, nach der Abstinenz wollte ich heute darauf eigentlich antworten.
Gruss,
CK-
Hallo,
... und zu welchem Standard gehört Zeile 1024?
oder seit wann sind in base64 leerzeilen vorgesehen?bye eddie
-
Hallo Ed!
... und zu welchem Standard gehört Zeile 1024?
oder seit wann sind in base64 leerzeilen vorgesehen?Wer weiss, vielleicht mag es Outlook so lieber. ;-)
So long
-
Hi,
wie gesagt, hier ein smiley als nachtrag ;-)
bye eddie
-
Hoi,
... und zu welchem Standard gehört Zeile 1024?
oder seit wann sind in base64 leerzeilen vorgesehen?Ich glaube, wir brauchen uns ueber die Tatsache, dass die Mail komisch ist,
nicht streiten ;-) da bin ich derselben Meinung.Gruss,
CK
-
-
-
-
-
Hallo Calo
ja, leider setzt der Nimda-Wurm ja auch "beliebige" Absenderadressen in die Mails ein, die er versendet. Es reicht offenbar eine irgendwo auf dem Rechner gespeicherte Mailadresse. Und wo ist "selfhtml@teamone.de" nicht gespeichert? *g* - Letzte Woche hab ich schon einen Anruf von einem erbosten Menschen aus der Schweiz erhalten, ich wuerde sein Geschaeft schaedigen, weil er gar nicht mehr an seine Mails komme. Ich selber hatte definitiv keinen Virus, und die IP-Adressen des "received from" hatten auch nichts mit mir bzw. meinem Mailserver zu tun.
Es waere allerdings interessant herauszufinden, ob das eine "Standard-Nimda-Mail" ist oder irgendwas Nachgebautes. Insofern bin ich mal gespannt, was bei der Diskussion hier rauskommt.
viele Gruesse
Stefan Muenz-
Hoi Stefan,
ja, leider setzt der Nimda-Wurm ja auch "beliebige" Absenderadressen
in die Mails ein, die er versendet. Es reicht offenbar eine
irgendwo auf dem Rechner gespeicherte Mailadresse. Und wo
ist "selfhtml@teamone.de" nicht gespeichert? *g*Jepp, stimmt.
Letzte Woche hab ich schon einen Anruf von einem erbosten Menschen
aus der Schweiz erhalten, ich wuerde sein Geschaeft schaedigen,
weil er gar nicht mehr an seine Mails komme. Ich selber hatte
definitiv keinen Virus, und die IP-Adressen des "received from"
hatten auch nichts mit mir bzw. meinem Mailserver zu tun.*lol*
Es waere allerdings interessant herauszufinden, ob das eine
"Standard-Nimda-Mail" ist oder irgendwas Nachgebautes. Insofern
bin ich mal gespannt, was bei der Diskussion hier rauskommt.Das sieht eher wie ein Nachbau aus. Das, was ich bisher vom
Nimda gesehen habe, ist korrekt aufgebaut -- er benutzt halt
die Routinen von OE. Und OE mag ja viele, viele Macken haben,
aber MIME Mails kann es ;-)Gruss,
CK-
Hallo Christian,
Das sieht eher wie ein Nachbau aus. Das, was ich bisher vom
Nimda gesehen habe, ist korrekt aufgebaut -- er benutzt halt
die Routinen von OE. Und OE mag ja viele, viele Macken haben,
aber MIME Mails kann es ;-)Eines haben die mir bislang bekannten Mails jedenfalls gemeinsam - auch die hier zitierte: die IP-Adressen fuehren in die Schweiz, auch die 212.23.234.70. Naja, wenn man Genaueres wissen wollte, muesste man sich wohl dort an die entsprechenden Provider wenden. Wenn mir noch mehr von diesen Mails bekannt wird, werde ich das wohl auch mal tun.
viele Gruesse
Stefan Muenz-
Joho Stefan,
Eines haben die mir bislang bekannten Mails jedenfalls gemeinsam -
auch die hier zitierte: die IP-Adressen fuehren in die Schweiz,
auch die 212.23.234.70. Naja, wenn man Genaueres wissen wollte,
muesste man sich wohl dort an die entsprechenden Provider wenden.
Wenn mir noch mehr von diesen Mails bekannt wird, werde ich das wohl
auch mal tun.Ja, das wuerde ich auch machen, denn solche Mails wirken ja durchaus
auch rufschaedigend (siehe Juraforum, Posting von Rob wegen der
3,7MB-Mail).
Es muessen ja keine rechtlichen Schritte unternommen werden (das hielte
ich fuer voellig daneben), aber den Sender darauf aufmerksam machen,
dass er 'nen Virus hat, kann man alle mal ;-)Gruss,
CK
-
-
-
hallo Stefan,
Insofern bin ich mal gespannt, was bei der Diskussion hier rauskommt.
selfnimda? *g*
grüße
thomas
-