Calocybe: Ist das ein Wurm oder sowas?

Hallo Forum!

Ich habe mal unter http://www.geocities.com/calocybe/__foo/self_forum/silly-mail.msg.txt (Bitte erst noch das am Ende lesen!) ne Mail hochgeladen, die ich heute bekommen habe. Normalerweise waere sie durch die Spam-Sortier-Anlage gerutscht, aber da die Absenderadresse selfhtml@teamone.de verwendet wurde, habe ich sie mir doch ein bisschen genauer angeschaut.

Zunaechst sah ich nicht viel davon, Netscape Messenger zeigt mir einfach eine leere Mail, in der lediglich From: und Subject: gesetzt ist. Da die Mail aber 77kB gross ist, hab ich mir mal den Source angeschaut. So ganz werde ich nicht draus schlau, aber es faellt jedenfalls auf, dass in einem HTML-Teil ein IFRAME enthalten ist, dessen SRC-Attribut ein anderes Attachment referenziert, welches den Namen "sample.exe" und den Typ "audio/x-wav" traegt. Die ersten Bytes des Attachments sind auch tatsaechlich 'MZ', das typische Kennzeichen einer EXE-Datei (oder auf Windows auch DLL und anderes). (Findet man mit
  perl -MMime::Base64 -w -e "print MIME::Base64::decode('TVqQAAMAAAAEAAAA')"
raus.)

Auffaellig ist weiterhin, dass die beiden Trennzeichen der verschiedenen Teile der Mail ====_ABC123456j7890DEF_==== und ====_ABC09876j54321DEF_==== lauten. Da herkoemmliche Mailer eher recht zufaellig aussehende Boundaries verwenden, sieht mir die ganze Mail also sehr selbstgebastelt aus. Was ich nicht verstehe ist das abschliessende -- in Zeile 34. Gehoert das zum MIME-Standard?

Was meint Ihr so dazu?

Und jetzt der Link zum Draufdruecken. Ich weiss nicht, ob ein allseits beliebter "Browser" aus Redmond vielleicht nicht versteht, was eine Textdatei ist und dann die Mail gleich an Outlook weiterreicht, welches wiederum aufgrund von ganz tollen Features gleich mal 1000 Mails verschickt und eine Verjuengungskur fuer die Daten auf Festplatten vornimmt. Vielleicht sollten sich IE-Benutzer also ueberlegen, ob sie da wirklich draufklicken wollen oder doch lieber nur Save link as waehlen und dann einen Texteditor benutzen. Aber, no risk - no fun. http://www.geocities.com/calocybe/__foo/self_forum/silly-mail.msg.txt

So long

  1. Hallo Forum!

    Hallo, Calocybe!

    Was meint Ihr so dazu?

    Ohne das Attachment runterzuladen und zu dekodieren (was sicherlich ungefährlich ist) und es dann zu betrachten (und zu disassemblieren, falls notwendig) würde ich sagen: Das scheint mir eine seltsame Mail zu sein, die man besser im Papierkorb platziert und schnell mit Nullen überschreibt.

    - Sven Rautenberg

  2. Hi

    Was meint Ihr so dazu?

    Hab so eine eMail auch schon bekommen.
    Der Absender ist hunder prozentig gefälscht, und der Anhang schon seeeeeeehhhhhr auffällig.
    Ich würd die Finger weg lassen.

    Und jetzt der Link zum Draufdruecken. Ich weiss nicht, ob ein allseits beliebter "Browser" aus Redmond vielleicht nicht versteht, was eine Textdatei ist und dann die Mail gleich an Outlook weiterreicht, welches wiederum aufgrund von ganz tollen Features gleich mal 1000 Mails verschickt und eine Verjuengungskur fuer die Daten auf Festplatten vornimmt. Vielleicht sollten sich IE-Benutzer also ueberlegen, ob sie da wirklich draufklicken wollen oder doch lieber nur Save link as waehlen und dann einen Texteditor benutzen.

    Tut er nicht (aktiver Selbstversuch mit Version 6 ;-)

    Ciao,

    Harry

  3. Hallo Calocybe,

    ich vermute, daß es sich um den Nimda-Wurm handelt oder um eine leicht
    veränderte Version von diesem. Dieser verschickt sich unter
    falscher eMail-Adresse, läßt den Mailbody leer und fügt (eigentlich)
    eine readme.exe an, die er als "audio/x-wav" ausgibt. Aufgrund eines
    Bugs in Outlook, wird diese Datei (manchmal?) automatisch gestartet.
    Nähere Infos findest du u.a. hier:
    http://www.cert.org/advisories/CA-2001-26.html

    Gruß
    Slyh

    1. Hi,

      ich vermute, daß es sich um den Nimda-Wurm handelt oder um eine leicht
      veränderte Version von diesem. [...]

      dazu passt auch das Posting weiter unten: http://forum.de.selfhtml.org/?m=3622&t=617

      Grüße,
      nobody

    2. Hi there!

      ich vermute, daß es sich um den Nimda-Wurm handelt oder um eine leicht
      veränderte Version von diesem.

      Ach so, dann ist das ja schon fast ein alter Hut. *g* Haette das CERT Advisory vielleicht auch mal lesen sollen - liegt immer noch in meiner Inbox. *g* Komisch finde ich aber das deutsche Subject. Normalerweise schreiben die Wuermer doch immer in Englisch.

      Etwas anderes bewegt mich noch (geht nicht an Dich, Slyh). Wieso krieg ich eigentlich staendig solche Tips wie "gleich loeschen", "nicht oeffnen", "Finger weglassen"? Sehe ich denn ein bisschen dumm aus? Ich gehe eben den Dingen gerne auf den Grund, was ist daran eigentlich so schlimm?

      So long

      1. Hi

        Sehe ich denn ein bisschen dumm aus?

        Woher sollen _wir_ das wissen? ;)

        Rolf

        1. Hi Rolf!

          Woher sollen _wir_ das wissen? ;)

          hmmm... zB schliersee story lesen oder eine der viele unkommentierten bildersammlungen von div. treffen <fg/>

          http://www.atomic-eggs.com/selfspezial/sss/stb_rola.htm

          CU Roman

          P.S.: sorry roland ;-)

          1. Hi all!

            http://www.atomic-eggs.com/selfspezial/sss/stb_rola.htm

            hmmm?!?...vor kurzem wurde hier doch ein kostenloses online-voting
            besprochen .... *FFG*

            SCNR
            Rolf

            1. PS: Roland lass die Finger davon!

              ROFL*ROLF

          2. Hallo Roman,

            autsch ;-)

            http://www.atomic-eggs.com/selfspezial/sss/*.html

            die gibt es nocht!? ;-)

            grüße
            thomas

          3. Huhu!

            http://www.atomic-eggs.com/selfspezial/sss/stb_rola.htm

            Du bist ja soooooooo gemein. *g*

            So long

      2. Hi auch,

        ich vermute, daß es sich um den Nimda-Wurm handelt oder um eine leicht
        veränderte Version von diesem.
        Etwas anderes bewegt mich noch (geht nicht an Dich, Slyh). Wieso krieg ich eigentlich staendig solche Tips wie "gleich loeschen", "nicht oeffnen", "Finger weglassen"? Sehe ich denn ein bisschen dumm aus? Ich gehe eben den Dingen gerne auf den Grund, was ist daran eigentlich so schlimm?

        vielleicht will keiner mehr für irgendwas verantwortlich gemacht werden können,
        zumal ja solche Äusserungen oft richtig sind, also das Prinzip Fehlervermeidung
        statt Kreativität..
        Unter Netscape habe schon öfters merkwürdige Attachments auf Disk abgespeichert
        und konnte dann per Virenscanner auch rauskriegen welcher Virus es war, die
        Maildateien selbst werden offenbar nicht richtig geprüft.
        Aber da will ich natürlich nichts empfehlen, schliesslich gibt es klare Vor-
        gehensweisen: "gleich loeschen", "nicht oeffnen", "Finger weglassen", die
        ja nicht falsch sind, zumal ich da keine Verantwortung .....

        Grüsse

        Cyx23

  4. Hoi Calo,

    Was ich nicht verstehe ist das abschliessende -- in Zeile 34. Gehoert das
    zum MIME-Standard?

    Jep, gehoert es:

    boundary--\r\n\r\n

    sieht die RFC als Ende fuer jeden MIME-Part vor.

    Gruss,
     CK

    1. Hi auch!

      Jep, gehoert es:
      boundary--\r\n\r\n
      sieht die RFC als Ende fuer jeden MIME-Part vor.

      Aha. Dann fehlt -- aber in Zeile 1051, oder ist auch vorgesehen, dass es am EOF wieder weggelassen werden kann?

      So long

      P.S.: Sag mal, wo ist eigentlich dieser XML-Thread vom Ende letzter Woche? So schnell kann der doch nichts ins Archiv sein?

      1. Hoi,

        Aha. Dann fehlt -- aber in Zeile 1051, oder ist auch vorgesehen, dass es am
        EOF wieder weggelassen werden kann?

        Nein. Der muesste da auch hin.

        P.S.: Sag mal, wo ist eigentlich dieser XML-Thread vom Ende letzter Woche?
        So schnell kann der doch nichts ins Archiv sein?

        Gute Frage, nach der Abstinenz wollte ich heute darauf eigentlich antworten.

        Gruss,
         CK

        1. Hallo,

          ... und zu welchem Standard gehört Zeile 1024?
          oder seit wann sind in base64 leerzeilen vorgesehen?

          bye eddie

          1. Hallo Ed!

            ... und zu welchem Standard gehört Zeile 1024?
            oder seit wann sind in base64 leerzeilen vorgesehen?

            Wer weiss, vielleicht mag es Outlook so lieber. ;-)

            So long

          2. Hi,

            wie gesagt, hier ein smiley als nachtrag ;-)

            bye eddie

          3. Hoi,

            ... und zu welchem Standard gehört Zeile 1024?
            oder seit wann sind in base64 leerzeilen vorgesehen?

            Ich glaube, wir brauchen uns ueber die Tatsache, dass die Mail komisch ist,
            nicht streiten ;-) da bin ich derselben Meinung.

            Gruss,
             CK

  5. Hallo Calo

    ja, leider setzt der Nimda-Wurm ja auch "beliebige" Absenderadressen in die Mails ein, die er versendet. Es reicht offenbar eine irgendwo auf dem Rechner gespeicherte Mailadresse. Und wo ist "selfhtml@teamone.de" nicht gespeichert? *g* - Letzte Woche hab ich schon einen Anruf von einem erbosten Menschen aus der Schweiz erhalten, ich wuerde sein Geschaeft schaedigen, weil er gar nicht mehr an seine Mails komme. Ich selber hatte definitiv keinen Virus, und die IP-Adressen des "received from" hatten auch nichts mit mir bzw. meinem Mailserver zu tun.

    Es waere allerdings interessant herauszufinden, ob das eine "Standard-Nimda-Mail" ist oder irgendwas Nachgebautes. Insofern bin ich mal gespannt, was bei der Diskussion hier rauskommt.

    viele Gruesse
      Stefan Muenz

    1. Hoi Stefan,

      ja, leider setzt der Nimda-Wurm ja auch "beliebige" Absenderadressen
      in die Mails ein, die er versendet. Es reicht offenbar eine
      irgendwo auf dem Rechner gespeicherte Mailadresse. Und wo
      ist "selfhtml@teamone.de" nicht gespeichert? *g*

      Jepp, stimmt.

      Letzte Woche hab ich schon einen Anruf von einem erbosten Menschen
      aus der Schweiz erhalten, ich wuerde sein Geschaeft schaedigen,
      weil er gar nicht mehr an seine Mails komme. Ich selber hatte
      definitiv keinen Virus, und die IP-Adressen des "received from"
      hatten auch nichts mit mir bzw. meinem Mailserver zu tun.

      *lol*

      Es waere allerdings interessant herauszufinden, ob das eine
      "Standard-Nimda-Mail" ist oder irgendwas Nachgebautes. Insofern
      bin ich mal gespannt, was bei der Diskussion hier rauskommt.

      Das sieht eher wie ein Nachbau aus. Das, was ich bisher vom
      Nimda gesehen habe, ist korrekt aufgebaut -- er benutzt halt
      die Routinen von OE. Und OE mag ja viele, viele Macken haben,
      aber MIME Mails kann es ;-)

      Gruss,
       CK

      1. Hallo Christian,

        Das sieht eher wie ein Nachbau aus. Das, was ich bisher vom
        Nimda gesehen habe, ist korrekt aufgebaut -- er benutzt halt
        die Routinen von OE. Und OE mag ja viele, viele Macken haben,
        aber MIME Mails kann es ;-)

        Eines haben die mir bislang bekannten Mails jedenfalls gemeinsam - auch die hier zitierte: die IP-Adressen fuehren in die Schweiz, auch die 212.23.234.70. Naja, wenn man Genaueres wissen wollte, muesste man sich wohl dort an die entsprechenden Provider wenden. Wenn mir noch mehr von diesen Mails bekannt wird, werde ich das wohl auch mal tun.

        viele Gruesse
          Stefan Muenz

        1. Joho Stefan,

          Eines haben die mir bislang bekannten Mails jedenfalls gemeinsam -
          auch die hier zitierte: die IP-Adressen fuehren in die Schweiz,
          auch die 212.23.234.70. Naja, wenn man Genaueres wissen wollte,
          muesste man sich wohl dort an die entsprechenden Provider wenden.
          Wenn mir noch mehr von diesen Mails bekannt wird, werde ich das wohl
          auch mal tun.

          Ja, das wuerde ich auch machen, denn solche Mails wirken ja durchaus
          auch rufschaedigend (siehe Juraforum, Posting von Rob wegen der
          3,7MB-Mail).
          Es muessen ja keine rechtlichen Schritte unternommen werden (das hielte
          ich fuer voellig daneben), aber den Sender darauf aufmerksam machen,
          dass er 'nen Virus hat, kann man alle mal ;-)

          Gruss,
           CK

    2. hallo Stefan,

      Insofern bin ich mal gespannt, was bei der Diskussion hier rauskommt.

      selfnimda? *g*

      grüße
      thomas