Nochmal Sober I

Hinterwäldler

kennt sich schon aus
Guten Morgen Leuts

Aus einem für mich nicht ganz nachvollziehbaren Grund, erhielt ich gestern abend zeitlich gemeinsam mit einer Nachricht zu einer vorhandenen PN bei Supernature eine eMail mit Anhang und unten aufgeführten Inhalt zugestellt. Der Header dieser Mail ist komplett abgebildet. Meine eMailadresse habe ich geXXXXXt und damit unkenntlich gemacht.

Die Versendung derartiger Mails geschieht automatisch von einem schon infizierten System. Ich unterstelle darum keine Absicht!!!

Ich bedanke mich recht herzlich beim Versender für die Mitteilung. Den Inhalt des Anhanges habe ich als Worm.Sober.I identifiziert und in Sicherheitsverwahrung genommen. Mein AntiVir verhielt sich erst wieder normal, als der Anhang mit dem Namen daten.zip von der Festplatte verschwand (schrettern, nicht nur löschen).

Nochmal:
Wer derartige Anhänge öffnet, hat danach diesen Wurm garantiert auf seinem System.

der Hinterwäldler

-------------------------------------------------------------------------------------------------------------
Begin des Header:

Betreff: Auftragsbestätigung
Von: Postmaster@portfolio16.de
Datum: Tue, 23 Nov 2004 17:28:32 GMT
An: userX@freenet.de
X-UIDL: 1101231229.H128686P21057.mbox80.freenet.de,S=78769
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
Return-path: <Postmaster@portfolio16.de>
Delivery-date: Tue, 23 Nov 2004 18:33:49 +0100
Received: from [194.97.55.147] (helo=mx4.freenet.de) by mbox80.freenet.de with esmtpa (ID exim) (Exim 4.43 #2) id 1CWeY0-0005TU-I0 for geXXXXXt@01019freenet.de; Tue, 23 Nov 2004 18:33:49 +0100
Received: from pd9549859.dip.t-dialin.net ([217.84.152.89] helo=stkuw.de) by mx4.freenet.de with smtp (Exim 4.43 #13) id 1CWeXm-0008KI-Hs; Tue, 23 Nov 2004 18:33:39 +0100
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Nachricht-ID: <dbce64d9e.000d1a1d@portfolio16.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="======4b75e14322.aa9"
Content-Transfer-Encoding: 7bit
Received-SPF: fail (mx4.freenet.de: domain of portfolio16.de does not designate 217.84.152.89 as permitted sender) client-ip=217.84.152.89; envelope-from=Postmaster@portfolio16.de; helo=stkuw.de;
Delivered-To: geXXXXXt@freenet.de
Envelope-to: geXXXXXt@freenet.de
X-Warning: Malware found (Worm.Sober.I).
X-Warning: Message contains Suspect signature (149285::041123183349-523D-6CDC752D)
Delivered-To: geXXXXXt@01019freenet.de
Status: RO

- Headerende + Beginn der Nachricht -

Betreff: Auftragsbestätigung

Weitere Informationen befinden sich im Anhang dieser Mail


*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* FREENET- Anti_Virus Service
*-*-* http://www.freenet.de

- Ende der Nachricht -
 

Supernature

Und jetzt?
Teammitglied
Was ist für Dich nicht nachvollziehbar? Dass Du überhaupt ein virenverseuchtes Mail bekommen hast, oder dass es zeitgleich mit der PN-Benachrichtigung eintraf? Falls es Letzteres ist, so kann man einen Zusammenhang ausschliessen. Die Mail wurde laut Header um 18:33 ausgeliefert, die PN hast Du aber um 18:28 bekommen, und da wurde auch das Benachrichtigungsmail verschickt (keine Angst, ich lese nur Logs, keine PN's). Die beiden kamen also nicht gleichzeitig, Du hast sie nur gleichzeitig abgerufen.
In dem Moment, wo Deine Mailadresse auf irgendeiner Internetseite oder in irgendeinem Adressbuch gespeichert ist, bist Du schon ein potenzieller Viren-Empfänger. Ich bekomme bis zu 300 Stück am Tag, die der serverseitige Scanner aber gleich wegfrisst.
Die Inhalte sind natürlich komplett gefaked, auch die Signatur.
Es ist zum Beispiel auch eine Signatur mit "Supernature-Forum Anti Virus Service" und unserer URL unterwegs - die Anzeige gegen Unbekannt spar ich mir aber ;)

Ich verweise mal in diesem Zusammenhang auf unseren zwar schon etwas angestaubten, in vielen Punkten aber immer noch aktuellen Security-Workshop - insbesondere auf diesen Teil und den Abschnitt "Gefahrenquelle Emails":
https://www.supernature-forum.de/showthread.php?s=&threadid=8350
 

Bio-logisch

Moderator
Teammitglied
Edit:
Ok, Supi war schneller *g*

Vielleicht noch eine Anmerkung:
Gerade, da Du im Usenet bist, wird Deine E- Mail bei sehr vielen Menschen gespeichert sein, Die Du gar nicht kennst.
Derartige Mailwürmer versenden sich selber an jede E- Mail, die sie auf dem Wirt - System finden können. Damit bist Du schon mal eine riesige Zielscheibe für derartige Viren / Würmer / was auch immer.
 
B

Brummelchen

Gast
Bitte bitte keine Virenmails posten, meine Mailbox ist zu 80% mit dem
Dreck gefüllt seit Tagen, UNI.de meldet auch alles brav (Sober gefunden).
Zudem wurde auch hier im Board reichlich früh genug gewarnt.
Und das Prinzip ist immer dasselbe... who cares...
 
Oben