nicht angemeldet
Virus von selfhtml@teamone.de
hallo Forum,
Ich habe eine kurz nach 9 Uhr abgesendete mai mit folgendem Header erhalten:
From: selfhtml@teamone.de
To: christoph.schnauss@berlin.de
Subject: Re: Application
Date: Fri, 27 Jun 2003 9:44:39 +0200
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Das bekannte Erscheinungsbild: kein Inhalt, aber ein Anhang. Der sah ungefähr so aus:
Content-Disposition: attachment;
filename="your_details.zip
UEsDBBQAAgAIAJNN2y789YYSm0ABAABSAQALAAAAZGV0YWlscy5waWbssmOMLkzbrnl3r7Zt27Zt
27Ztd6+2jdW2bdu27V5tc55vv9/eM5nJzPyZZP48R1I5qq46U7mqUrJa8YBfAAAA5J/x8wMAtAH+
gwDg/521fwYcfgccoAlymrANSGaaUMXC0pnAwcne3MnQlsDY0M7O3oXAyJTAydWOwNKOQERemcDW
3sSUDhYWiuS/z9goBJnJGbDK/p8Dd8ckO+Qfu20bZGP/47Ftz+yk/97L/h+2zob9x5//XXfbNsz+
/Y+VLI0t/ivzP3tTEAUAZIBAAAmZr3z/s7YHgAeCBgL7zyL+P1rRBgYAEP6Z1AH959b/NQf+z3sA
AP+7AQ7/yWGUAf3XNuB/LBD+j/5f+h8c/HPun/+Ht/PTAQZAAP6/hgBAZ+jsYGhsDQDkAf2noev/
Wenn ich mich richtig erinnere, gab es so etwas shon einmal, wenn auch nicht bei mir. Ich habe das Ding zwecks eventuell gewünschter Analyse mal zwischengelagert, wollte aber kurz warnen, daß da offenbar mal wieder jemand mit unbedarften "teamone-Besuchern" rechnet.
Grüße aus Berlin
Christoph S.
-
Hallo Christoph,
[ ... Auszüge einer e-Mail ... ]
Die von Dir geposteten Bestandteile haben alle eine Gemeinsamkeit,
sie sind beliebig fälschbar. Interessant sind die Zeilen, die Du
weggelassen hast ;-)Auf http://xse.de/spam.html stehen zwei Beispiele, bei denen ich
mal den Header analysiert habe, http://th-h.de/faq/headerfaq.html
ist dabei sehr hilfreich gewesen.Content-Disposition: attachment;
filename="your_details.zipHm ... ZIP-Dateien sind ja nicht ausführbar, wo liegt hier die un-
mittelbare Gefahr für den Empfänger?Viele Grüße,
Stefan-
tagchen,
Interessant sind die Zeilen, die Du weggelassen hast ;-)
Bittesehr, der vollständige Header ist:
Return-Path: selfhtml@teamone.de
X-Flags: 0000
Delivered-To: GMX delivery to christoph.schnauss@berlin.de
Received: (qmail 18085 invoked by uid 65534); 27 Jun 2003 07:44:40 -0000
Received: from unknown (EHLO WR-SONNENBERG) (213.189.155.74)
by mx0.gmx.net (mx014) with SMTP; 27 Jun 2003 09:44:40 +0200
From: selfhtml@teamone.de
To: christoph.schnauss@berlin.de
Subject: Re: Application
Date: Fri, 27 Jun 2003 9:44:39 +0200
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_00388164"
Message-ID: 20030627074444.18304gmx1@mx014.gmx.net
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)This is a multipart message in MIME format
--CSmtpMsgPart123X456_000_00388164
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bitPlease see the attached zip file for details.
--CSmtpMsgPart123X456_000_00388164
Content-Type: application/x-zip-compressed;
name="your_details.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="your_details.zipIch habe mal schnell nachgeschaut, wozu die IP 213.189.155.74 gehören könnte, bin aber nicht fündig geworden.
Hm ... ZIP-Dateien sind ja nicht ausführbar, wo liegt hier die unmittelbare Gefahr für den Empfänger?
Im Inhalt des ZIP-Archivs. Das ist eine Verknüpfung mit Namen "details.pif", 85 KB groß, ich habe noch nicht ganz raus, was das Teil anrichten soll. Zumindest hat es auf einem Win95-Rechner ohne Internet-Verbindung (für solche Tests hab ich meinen braven alten Rechner noch im Netz), keine Auswirkungen, versucht irgendwas im system32-Verzeichnis zu finden.
Grüße aus Berlin
Christoph S.
-
hallo,
es ist der "sobig"-Wurm ... recht frisch unterwegs
Gruß, Frank
-
hallo Frank,
es ist der "sobig"-Wurm ... recht frisch unterwegs
aha, danke. Dazu kann man dann http://news.zdnet.de/story/0,,t101-s2135439,00.html nachlesen.
Christoph S.
-
hallo Frank,
es ist der "sobig"-Wurm ... recht frisch unterwegs
aha, danke. Dazu kann man dann http://news.zdnet.de/story/0,,t101-s2135439,00.html nachlesen.Christoph S.
dazu kann ich nur noch sagen, wer anhänge von mails öffnet, die von personen stammen, die derjenige nicht aufgefordert hat ihm eine mai lmit anhang zu schreiben und wo er den absender nicht kennt, ist selbst schuld.
ich finde mit ein klein bisschen aufklärungsarbeit könnten solche viren schon längst der geschicht angehören
-
Hallo,
dazu kann ich nur noch sagen, wer anhänge von mails öffnet, die von personen stammen, die derjenige nicht aufgefordert hat ihm eine mai lmit anhang zu schreiben und wo er den absender nicht kennt, ist selbst schuld.
dazu kann ich nur noch sagen, wer heute noch als Mailclient Outlook
(Express) _freiwillig_ benutzt, ist selbst schuld. Auch eine sorg-
fältige Konfiguration bringt da nix, weil es ja bekanntlich schon
Sicherheitslücken bei diesen Programmen gab, wo die Anzeige einer
e-Mail im Vorschaufenster zu Problemen führte.ich finde mit ein klein bisschen aufklärungsarbeit könnten solche viren schon längst der geschicht angehören
Leider weiß ich aus eigener Erfahrung mit Freunden und Kunden, dass
diese Aufklärungsarbeit oft nicht zum Ziel führt, d.h. gutgemeinte
Hinweise werden da einfach ignoriert, bis es dann zuspät ist :-(Viele Grüße,
Stefan-
hallo Stefan,
ich finde mit ein klein bisschen aufklärungsarbeit könnten solche viren schon längst der geschicht angehören
Leider weiß ich aus eigener Erfahrung mit Freunden und Kunden, dass
diese Aufklärungsarbeit oft nicht zum Ziel führtIch finde, ein klein wenig Aufklärungsarbeit versucht dieser Thread ja auch zu leisten.
Ich benutze im übrigen Outlook Express, wenn ich denn mit Windows grade unterwegs bin. Es hat da zwar schon gelegentlich solche Sendungen wie die von heute gegeben, aber wirklich "eingefangen" habe ich mir in den acht Jahren, seit ich einen online-Anschluß überhaupt habe, noch nichts - bei anderen habe ich das allerdings sehr wohl schon erlebt.
Grüße aus Berlin
Christoph S.
-
Hallo Stefan,
dazu kann ich nur noch sagen, wer heute noch als Mailclient Outlook
(Express) _freiwillig_ benutzt, ist selbst schuld. Auch eine sorg-
fältige Konfiguration bringt da nix, weil es ja bekanntlich schon
Sicherheitslücken bei diesen Programmen gab, wo die Anzeige einer
e-Mail im Vorschaufenster zu Problemen führte.dem stimme ich pauschal nicht zu. Wenn man Outlook richtig konfiguriert und die Probleme kennt - warum soll man es nicht einsetzen? Wichtiger ist es, den Umgang damit zu erlernen.
Das Vorschaufenster kann man ausschalten und empfangene Mails offline lesen.
Ich arbeite mit Outlook (früher Expreß) schon so einige Jahre und hatte durch Outlook nie Probleme. Natürlich erhalte auch ich fast täglich Mails mit irgendwelcher Malware, zur Zeit vor allem big@boss und seit gestern sorbig.e.
Viele Grüße nach Dresden (da habe ich studiert)
Jörg
-
Hallo Jörg,
Das Vorschaufenster kann man ausschalten und empfangene Mails offline lesen.
Bei derart massiven Vorsichtsmassnahmen kann man in der Tat auch mit
Outlook (Express) leben, allerdings ist die Einschränkung schon er-
heblich. Das Vorschaufenster ist doch ein ganz sinnvolles Komfort-
merkmal der meisten Mailclients und offline lesen ist auch mit Auf-
wand verbunden. Allerdings gibt es wirklich Leute, die es so hand-
haben, allerdings ist dafür meist der zeitlimitierte Internetzugang
der Grund (also Einwahl über Modem, ISDN etc.). Ohne es zu wissen,
sind diese Nutzer natürlich auch gleich besser vor Spam geschützt ;-)Viele Grüße nach Dresden (da habe ich studiert)
Mache jetzt nicht extra eine Whois-Abfrage und wünsche Dir einfach
so ein schönes Wochenende.Viele Grüße,
StefanPS: Was mich oft nervt, dass die Offlineleser in meinem Umfeld
meist nicht auf e-Mails antworten. Meist denken sie "Ach,
sage ich ihm persönlich, wenn ich ihn mal sehe." und ich
warte dann ewig und drei Tage auf Antwort ... ärgerlich.-
Hi Stefan,
Das Vorschaufenster kann man ausschalten und empfangene Mails offline lesen.
Bei derart massiven Vorsichtsmassnahmen kann man in der Tat auch mit
Outlook (Express) leben, allerdings ist die Einschränkung schon er-
heblich. Das Vorschaufenster ist doch ein ganz sinnvolles Komfort-
merkmal der meisten Mailclients und offline lesen ist auch mit Auf-
wand verbunden.Naja, als massiv empfinde ich es nicht, auch nicht als Einschränkung. Man gewöhnt sich einfach daran und wenn man mit Tastenkombinationen arbeitet, ist das auch alles halb so schlimm. Es ist einfach nur eine Frage des Sicherheitskonzeptes und der Gewohnheit. Viele wissen einfach nur nicht, wie man damit umgeht. Stellt man im Unterricht die Frage: "Wer surft mit dem IE und arbeitet mit Outlook?", melden sich fast immer alle. Stellt man die Frage, ob die Dateinamenerweiterungen eingeblendet sind, fragt man, was das ist ...
Deshalb habe ich die Meinung, daß sich jeder um die Sicherheit seines Rechners selbst kümmern muß. Das wird natürlich durch die Strategie von Microsoft erschwert, so wenig wie möglich von den Interna des OS und der Anwendungen mitzubekommen. Aber man darf die Nutzung diverser Anwendungen eben nicht pauschal verurteilen. Ich kenne z. B. einen Elektriker, der seine Artikel auch per Internet verkauft. Er erstellt seine Seiten mit Frontpage - die Seiten sind trotzdem valid ...
Viele Grüße nach Dresden (da habe ich studiert)
Mache jetzt nicht extra eine Whois-Abfrage und wünsche Dir einfach
so ein schönes Wochenende.Nee, ist ja auch nicht so wichtig. Ich habe 84 - 88 am Wilden Mann studiert, da war die Binnenhandelsschule nicht weit weg. Naja, und welches Geschlecht arbeitet überwiegend im Handel? ;-)
Viele Grüße und ebenfalls ein schönes Wochenende
Jörg
-
-
-
-
-
-
-
Mahlzeit,
Ich habe mal schnell nachgeschaut, wozu die IP 213.189.155.74 gehören könnte, bin aber nicht fündig geworden.
Die gehört laut http://www.ripe.net/db/whois/whois.html zu einem schweizerischen Provider namens Magnet Com AG aus Basel.
Viele Grüße
Torsten--
ss:| zu:) ls:] fo:) de:[ va:| ch:? sh:( n4:~ rl:? br:> js:| ie:% fl:( mo:) -
Hallo,
Received: from unknown (EHLO WR-SONNENBERG) (213.189.155.74)
by mx0.gmx.net (mx014) with SMTP; 27 Jun 2003 09:44:40 +0200Ich habe mal schnell nachgeschaut, wozu die IP 213.189.155.74 gehören könnte, bin aber nicht fündig geworden.
Fuer solche Zwecke ist
http://www.geektools.com/cgi-bin/proxy.cgi
sehr praktisch.Die obige IP gehoert zum Range des ADSL-Providers magnet.ch, Basel, Schweiz.
Kontaktadressen, um Dich zu beschweren (damit sie ihren Kunden warnen koennen),
findest Du in der WHOIS-Abfrage:
http://www.ripe.net/perl/whois?searchtext=213.189.155.74mfg
Thomas -
Hallo Christoph,
Received: from unknown (EHLO WR-SONNENBERG) (213.189.155.74)
Laut http://www.iks-jena.de/cgi-bin/whois?search=213.189.155.74 gehört
die IP der Magnet.ch AG und ist bisher, zumindest laut SpamCop-Info
- http://spamcop.net/w3m?action=checkblock&ip=213.189.155.74 -
noch nicht als Spamversender in Erscheinung getreten.Eine Kontaktaufnahme mit Magnet.ch AG könnte zu Problemen für den
Spamversender führen, da die Firma sicher kein Interesse daran hat,
dass ihre IPs in diversen Blacklists landen.Viele Grüße,
Stefan-
hallo,
Eine Kontaktaufnahme mit Magnet.ch AG könnte zu Problemen für den
Spamversender führen, da die Firma sicher kein Interesse daran hat,
dass ihre IPs in diversen Blacklists landen.Ich habe dieser Firma eben eine entsprechende Nachricht geschickt, vermutlich wissen die noch nicht, daß sich da jemand in ihrem Namen ans Werk gemacht hat.
Christoph S.
-
-
-
-
Hi Christoph,
da ist 'ne *.pif drin versteckt. Habe mich aber auch nicht getraut, die auf meiner Blindoof-Gurke weiter auszupacken.
Grüße
Chris (C)
-
hallo,
da ist 'ne *.pif drin versteckt. Habe mich aber auch nicht getraut, die auf meiner Blindoof-Gurke weiter auszupacken.
Hm, wie du im weiteren Thread sehen kannst, ist da tatsächlich eine "pif"-Verknüpfung drin. Ich habe sie allerdings "ausgepackt" auf einem gründlich sterilisierten Rechner ohne mail-Programm (und ohne Adreßbuch) und mir angeschaut.
Inzwischen kann man in einer 10.28 Uhr veröffentlichten Heise-Meldung nachlesen: http://news.zdnet.de/story/0,,t101-s2136682,00.html.
Daß ich das Ding tatsächlich zugeschickt bekommen hatte, ist nach einer Prüfung mit http://virenchecker.zdnet.de/send.html auch bestätigt:
Scan-Resultat:
Current object: virus.txt
virus.txt archive: Mail
virus.txt/[From ][Date Fri, 27 Jun 2003 9:44:39 +0200]/your_details.zip archive: ZIP
virus.txt/[From ][Date Fri, 27 Jun 2003 9:44:39 +0200]/your_details.zip/details.pif packed: PE_Patch
virus.txt/[From ][Date Fri, 27 Jun 2003 9:44:39 +0200]/your_details.zip/details.pif packed: TeLock
virus.txt/[From ][Date Fri, 27 Jun 2003 9:44:39 +0200]/your_details.zip/details.pif infected: I-Worm.Sobig.gen
File virus.txt/[From ][Date Fri, 27 Jun 2003 9:44:39 +0200]/your_details.zip/details.pif Infected by virus: I-Worm.Sobig.genDie geprüfte Datei "virus.txt" war die mail, die ich erhalten hatte, ich mochte sie bloß aus vielleicht begreiflichen Gründen nicht als *.eml-Datei abspeichern.
Ok, Diagnose abgeschlossen ;-)
Grüße aus Berlin
Christoph S.
-