SilverSurfer99
gehört zum Inventar
Wo Virenprüfer bei Mails machtlos sind?!! Virenschleuder ohne Schuld?
Dies ist eine sachgerecht gekürzte Diskussion vom Trojaner-Board. Weiterführende
Links zu Informationen sind am Schluss aufgeführt.
"MEIN FACIT: Einzige vernünftige Abwehrmaßnahme (zum Schutz Dritter) ist es,
Mails von unbekannten Absendern grundsätzlich NICHT WEITERZULEITEN,
auch wenn sie keine Anhänge enthalten.
So trug es sich kurzgefasst zu (GING NICHT KÜRZER):
1. Unser Sohn weiterleitete arglos eine Mail (von einem unbekannten Absender)
über Web.de an Bekannte mit dem Inhalt, dass auf www.Kaspersky.com ein
spezielles Klez-Removalprogramm erhältlich sei, denn kein Anhang war vorhanden
und AVP-Signaturenstand 16.09.2002 hatte nicht angeschlagen hatte. Völlig
unerwartet erhielt er von einem der Bekannten eine von NortonAntivirus XXX automatisch
erzeugte Re-Mail mit dem Inhalt 'Sie haben die virusinfizierte Mail XYZ verbreitet!'.
2. Daher sandte er mir fragend an MailZone.ch die gleiche Mail - auch bei
mir schlug KAV 3.5 beim Lesen der Mail unter MailZone.ch NICHT AN.
3. Daraufhin speicherte ich die Mail (als HTML) lokal ab und klickte Offline
auf diese HTML - und nun blockte KAV mit 'Virenverdächtiger
Code.Exploit.IFrame.FileDownload - dies ist eine KRITISCHE Situation...'
4. Die Textbetrachtung dieser HTML offenbarte, dass in der MIME-
Version offenbar ein HTML-Aufruf verborgen ist, der evtl. Schlimmes tut,
OHNE DASS ein schlimmer Anhang vorhanden sein muss.
5. Beim Nachforschen fand ich zum Stichwort Exploit.IFrame.FileDownload
auch den Hinweis HTML_Framesets / Inline-Frames.
6. VERMUTUNG. Wenn der weblike genutzte Mail-Provider keine Ausführung von 'Inline-Frames'
unterstützt, dann wird der (in diesem Falle schädliche) Code beim Klicken auf die
Mail OFFENBAR auch NICHT auf dem lokalen PC in den Hauptspeicher geladen, und
findet AVP/KAV-Monitor somit auch nichts Virenverdächtiges.
7. Das ist natürlich tückisch, dass man/frau eine harmlos scheinende Mail ohne
jeden riskanten Anhang lesen kann, verschickt, und die Mail dann bei jemand
anderem (ohne Schutzprogramm) Schäden herbeiführen kann/könnte?.
-------------
1. Man öffnet keine Mails als HTML, sondern als Nurtext! Dabei passiert mal garnichts!
2. Man versendet keine Mails als HTML, sondern als Nurtext! Dabei passiert auch nichts!
3. Es ist imho völlig ausreichend, wenn KAV beim öffnen der Mail das Vorhandensein
von Malware meldet und blockt.
4. Wenn man Mails weiter versendet, ist es imho sinnvoll, sich vorher von Ihrer
"Unschädlichkeit" überzeugt zu haben.
5. Kaspersky versendet nicht unaufgefordert Informationen über irgendwelche
Removal-Tools.
6. Sei froh, dass es Malware und kein Dialer war und lern daraus.
-------------
Naja...die Sache mit den IFRAMEs ist mittlerweile ein alter Hut (zumindest wenn
man sich schon mal damit beschäftigt hat).
Dass KAV nicht meckert, wenn die Mail nichts meckernswertes enthält, ist
eigentlich klar - die besagte Mail wurde über ein Webinterface weitergeleitet, ohne
vorher auf der Platte gespeichert worden zu sein. Wenn Web.de also IFRAME-
Geschichten beim Betrachten herausfiltert, beim Weiterleiten jedoch nicht, dann
ist das ein Problem von Web.de, nicht eines des Virenscanners.
Ich hab ein paar mal solche IFRAME-Mails erhalten und bei jedem Versuch, diese
herunterzuladen hat KAV bei mir diese Versuche blockiert. Dass man mit Mails
grundsätzlich extrem vorsichtig umzugehen hat, wenn diese von Unbekannten
kommen (bei Bekannten natürlich auch), sollte eigentlich klar sein. Letztendlich
ist aber jeder für den Schutz seiner Daten selbst verantwortlich und kann
diese nicht an jemanden delegieren, der eine Mail weitergeleitet hat.
-------------
siehe auch: http://www.rokopsecurity.de/main/article.php?sid=258
und: http://www.rokopsecurity.de/main/article.php?sid=17
-------------
Meinen Dank an euch, dann war die Anfrage und die Auffrischung des
Themas doch sehr nützlich. Ich erhalte max. fünf Spams oder Mails von
Unbekannten pro Jahr, die ich 'ohne Ansehen der Person' sofort lösche
(bei insgesamt 7-8 Tsd Mails jährlich, die Mehrzahl sind Infoletter).
Damit war dieses Mailrisiko für mich bisher keine Thema. Würde jemand eine
Umfrage starten, so würden bestimmt 98 Prozent der User ankreuzen
'EMails ohne Anhang sind ungefährlich' - dieser Aberglaube gehört zum
'festen PC-Wissen' zumindest der PC-Einsteiger."
http://www.trojaner-board.de/forum/ultimatebb.cgi?ubb=get_topic;f=6;t=003428
Dies ist eine sachgerecht gekürzte Diskussion vom Trojaner-Board. Weiterführende
Links zu Informationen sind am Schluss aufgeführt.
"MEIN FACIT: Einzige vernünftige Abwehrmaßnahme (zum Schutz Dritter) ist es,
Mails von unbekannten Absendern grundsätzlich NICHT WEITERZULEITEN,
auch wenn sie keine Anhänge enthalten.
So trug es sich kurzgefasst zu (GING NICHT KÜRZER):
1. Unser Sohn weiterleitete arglos eine Mail (von einem unbekannten Absender)
über Web.de an Bekannte mit dem Inhalt, dass auf www.Kaspersky.com ein
spezielles Klez-Removalprogramm erhältlich sei, denn kein Anhang war vorhanden
und AVP-Signaturenstand 16.09.2002 hatte nicht angeschlagen hatte. Völlig
unerwartet erhielt er von einem der Bekannten eine von NortonAntivirus XXX automatisch
erzeugte Re-Mail mit dem Inhalt 'Sie haben die virusinfizierte Mail XYZ verbreitet!'.
2. Daher sandte er mir fragend an MailZone.ch die gleiche Mail - auch bei
mir schlug KAV 3.5 beim Lesen der Mail unter MailZone.ch NICHT AN.
3. Daraufhin speicherte ich die Mail (als HTML) lokal ab und klickte Offline
auf diese HTML - und nun blockte KAV mit 'Virenverdächtiger
Code.Exploit.IFrame.FileDownload - dies ist eine KRITISCHE Situation...'
4. Die Textbetrachtung dieser HTML offenbarte, dass in der MIME-
Version offenbar ein HTML-Aufruf verborgen ist, der evtl. Schlimmes tut,
OHNE DASS ein schlimmer Anhang vorhanden sein muss.
5. Beim Nachforschen fand ich zum Stichwort Exploit.IFrame.FileDownload
auch den Hinweis HTML_Framesets / Inline-Frames.
6. VERMUTUNG. Wenn der weblike genutzte Mail-Provider keine Ausführung von 'Inline-Frames'
unterstützt, dann wird der (in diesem Falle schädliche) Code beim Klicken auf die
Mail OFFENBAR auch NICHT auf dem lokalen PC in den Hauptspeicher geladen, und
findet AVP/KAV-Monitor somit auch nichts Virenverdächtiges.
7. Das ist natürlich tückisch, dass man/frau eine harmlos scheinende Mail ohne
jeden riskanten Anhang lesen kann, verschickt, und die Mail dann bei jemand
anderem (ohne Schutzprogramm) Schäden herbeiführen kann/könnte?.
-------------
1. Man öffnet keine Mails als HTML, sondern als Nurtext! Dabei passiert mal garnichts!
2. Man versendet keine Mails als HTML, sondern als Nurtext! Dabei passiert auch nichts!
3. Es ist imho völlig ausreichend, wenn KAV beim öffnen der Mail das Vorhandensein
von Malware meldet und blockt.
4. Wenn man Mails weiter versendet, ist es imho sinnvoll, sich vorher von Ihrer
"Unschädlichkeit" überzeugt zu haben.
5. Kaspersky versendet nicht unaufgefordert Informationen über irgendwelche
Removal-Tools.
6. Sei froh, dass es Malware und kein Dialer war und lern daraus.
-------------
Naja...die Sache mit den IFRAMEs ist mittlerweile ein alter Hut (zumindest wenn
man sich schon mal damit beschäftigt hat).
Dass KAV nicht meckert, wenn die Mail nichts meckernswertes enthält, ist
eigentlich klar - die besagte Mail wurde über ein Webinterface weitergeleitet, ohne
vorher auf der Platte gespeichert worden zu sein. Wenn Web.de also IFRAME-
Geschichten beim Betrachten herausfiltert, beim Weiterleiten jedoch nicht, dann
ist das ein Problem von Web.de, nicht eines des Virenscanners.
Ich hab ein paar mal solche IFRAME-Mails erhalten und bei jedem Versuch, diese
herunterzuladen hat KAV bei mir diese Versuche blockiert. Dass man mit Mails
grundsätzlich extrem vorsichtig umzugehen hat, wenn diese von Unbekannten
kommen (bei Bekannten natürlich auch), sollte eigentlich klar sein. Letztendlich
ist aber jeder für den Schutz seiner Daten selbst verantwortlich und kann
diese nicht an jemanden delegieren, der eine Mail weitergeleitet hat.
-------------
siehe auch: http://www.rokopsecurity.de/main/article.php?sid=258
und: http://www.rokopsecurity.de/main/article.php?sid=17
-------------
Meinen Dank an euch, dann war die Anfrage und die Auffrischung des
Themas doch sehr nützlich. Ich erhalte max. fünf Spams oder Mails von
Unbekannten pro Jahr, die ich 'ohne Ansehen der Person' sofort lösche
(bei insgesamt 7-8 Tsd Mails jährlich, die Mehrzahl sind Infoletter).
Damit war dieses Mailrisiko für mich bisher keine Thema. Würde jemand eine
Umfrage starten, so würden bestimmt 98 Prozent der User ankreuzen
'EMails ohne Anhang sind ungefährlich' - dieser Aberglaube gehört zum
'festen PC-Wissen' zumindest der PC-Einsteiger."
http://www.trojaner-board.de/forum/ultimatebb.cgi?ubb=get_topic;f=6;t=003428