Autor Thema: Achtung Virensprayer (Gelesen 5990 mal)

Semeaphoros · « **am:** 02.03.04 - 06:53:21 »

Heute morgen ist ein mit dem W32.Netsky.D@mm verseuchter Anhang an meine hier veröffentlichte Adresse gesendet worden. Da diese Mail-Adresse nur hier defniert ist, ist anzunehmen, dass ein Forumsbesucher zu den Virensprayern avanciert ist. Aus dem gefälschten Absender, eine *.ch-Adresse, schliesse ich, dass der betreffende Forumsbesucher vermutlich ebenfalls in der Schweiz zu Hause ist.

Also bitte: Im eigenen wie auch im Interesse aller Beteiligten: sorgt Euch um Euren Virenschutz. Wer jetzt vom Netsky infiziert wird, hat offenbar nicht richtig vorgesorgt.

Axel · « **Antwort #1 am:** 02.03.04 - 08:04:01 »

Hi,

es muß nicht zwangläufig einer der Forumsmitglieder sein. Mailabsender kann man fälschen. Mir ist das auch schon passiert, dass ich Zustelfehlerberichte bekommen habe, obwohl ich an diese Adresse nie eine Mail geschickt habe. Umgekehrt ist es auch schon vorgekommen.

Zitat

Also bitte: Im eigenen wie auch im Interesse aller Beteiligten: sorgt Euch um Euren Virenschutz. Wer jetzt vom Netsky infiziert wird, hat offenbar nicht richtig vorgesorgt.

Ungeachtet dessen ist dieser Hinweis sehr wichtig. Eigentlich sollte der Virenschutz für jeden verantwortungsbewussten User eine Selbstverständlichkeit sein. Ich gehe sogar noch einen Schritt weiter und sage, man sollte auch nie ohne Firewall im Internet unterwegs sein und diese natürlich auch aktuell halten.

Axel

Semeaphoros · « **Antwort #2 am:** 02.03.04 - 08:07:06 »

Absender und Adressat werden normalerweise von der befallenen Maschine zusammengegrabbelt. In diesem Fall muss ein Forumsmitglied beteiligt sein weil:

Die benutzte EMPFAENGERADRESSE ist nur hier im Forum publiziert (spezielle AtNotes-Adresse, schau Dir mal meine Mailadresse an, dann siehst Du, warum ich das weiss).

Axel · « **Antwort #3 am:** 02.03.04 - 08:13:38 »

Hi,

ich bin trotzdem nicht so ganz überzeugt davon, denn dann müsste deine Adresse in einem Adressbuch auf dem infizierten Rechner enthalten sein.

Aber möglich ist alles.

Axel

Semeaphoros · « **Antwort #4 am:** 02.03.04 - 08:38:25 »

... oder in irgend einem Dokument oder mal als Adresse verwendet worden sein, die neueren Viren verwenden nicht nur das (Outlook-)Adressbuch sondern durchsuchen zum Teil sämtliche Dokumente, sprich der Sprayer muss diese Adresse irgendwo auf seiner Maschine haben, und die verwendete Adresse stammt in jedem Fall von hier.

In keinem der Fälle, in denen ich echte Mails auf die Adressse bekommen habe, wurden mehrere Empfänger angegeben, also eine indirekte Verbreitung ist unwahrscheinlich.

Im übrigen Axel: ich würd jetzt mal behaupten, ich hab genügend Erfahrung, um meiner Aussage eine mindestens 90%-Wahrscheinlichkeit zuzuordnen (über 20 Jahre Erfahrung und erste Viren-Expreimente bereits Ende der 80er Jahre sprechen da wohl für sich).

Ute · « **Antwort #5 am:** 02.03.04 - 13:56:38 »

also die neueren Würmer grabben die eMail Adressen der Absender auch aus Internetauftritten, ist mir mit einer Domäne von mir so gegangen, wär ja auch mal eine Richtung in der man forschen könnte, und grade Netsky.d verbreitet sich momentan so rasant, wie ich es mit den Vorgängern nicht beobachten konnte,ich habe auch auf diversen Adressen von mir, also auch Adressen die nur Empfängeradressen für Newsletter sind das Ding
geschickt gekriegt. Hab natürlich Virenschutz, aber bei uns kamen die Mails bis gestern Mittag auch durch, weil das zwischen 2 Pattern Updates war. Haben allerdings keinen Schaden angerichtet, weil mittlerweile die Meisten doch vorsichtig geworden sind.
Gruß
Ute
die auch schon ein paar Jahre Viren kennt

Semeaphoros · « **Antwort #6 am:** 02.03.04 - 14:10:43 »

Wie gesagt, diese Adresse gibt es nur hier und in keinem Internet-Auftritt, es sei denn, sie sei missbraucht worden, aber selbst dann muss der Ausgangspunkt von hier aus ausgegangen sein.

Wolfgang · « **Antwort #7 am:** 02.03.04 - 15:28:41 »

... die Suchroboter werden die Mailadresse auch in Deinem Forumsprofil finden, denke ich ...

Semeaphoros · « **Antwort #8 am:** 02.03.04 - 15:30:21 »

Scheint mir nicht der Fall zu sein:

Das sagt google:

Your search - xxxxxxx - did not match any documents.

[Adresse wegen Suchmaschinen überschrieben]

thoge · « **Antwort #9 am:** 02.03.04 - 15:52:37 »

Hallo Jens,

hast Du mal unter Groups gegoogelt?

Da habe ich gerade meine eMail-Adresse in Beiträgen aus 1999 gefunden.

Bei mir laufen seit vorgestern übrigens ständig Virenwarnungsemails in die mail.box mit eMailadressen wie Zahlenkombinationen@meinefirma.de und Namensfragmenten@meinefirma.de auf. Einige dieser eMails sind auch richtig adressiert.

Ich selber habe drei dieser eMails von Virenschutzprogrammen erhalten, die mich darauf hinweisen, ich hätte pif-Dateien mit eben diesem Virus versandt. Unnötig zu erwähnen, dass ich keine pif-Files verschicke und unser dreistufige Virenschutz stets aktualisiert wird.

Da freue ich mich schon auf den ersten Anruf eines Betroffenen, der von mir angeblich einen Virus geschickt bekommen hat. Ich hab keine Ahnung, was ich dem dann erklären soll.

Frust

Thomas

eknori · « **Antwort #10 am:** 02.03.04 - 15:59:59 »

Frag mal Don Pasquale; der hat mir gestern auch gemailt, daß ICH ihm einen Wurm geschickt habe.
Und das zu einer Zeit, in der ich weder zuhause noch im Betrieb war...

Ulrich

Ute · « **Antwort #11 am:** 02.03.04 - 16:30:26 »

na, das deckt sich dann ja auch mit den Phänomenen die hier und auch bei meinem Mann seit gestern auftreten. Namensrudimente
erfundene Namen etc.
Ich habe gestern bei unserem Provider mal nachgefragt, ob er so eine Mail verfolgen kann, er kam bis auf den SMTP Server einer großen internationalen Firma. Ich behaupte, selbst das sagt nichts über den Absender aus.

Gruß
Ute

Wolfgang · « **Antwort #12 am:** 02.03.04 - 20:16:15 »

Zitat von: Semeaphoros am 02.03.04 - 15:30:21

Scheint mir nicht der Fall zu sein:

Das sagt google:

Your search - xxxxxxx - did not match any documents.

[Adresse wegen Suchmaschinen überschrieben]

... Gurgel ist zwar die bekannteste Suchmaschine, aber das heißt ja nicht, daß es nicht irgendwo noch eine andere gibt, die die Adresse vielleicht doch findet.

Ich habe sogar eine Mailadresse, die ich noch NIE irgendwo angegeben habe und die trotzdem Spam-Mails (auch mit Viren) erhält und zwar kurioserweise sogar mehr als eine des gleichen Providers, die es schon wesentlich länger gibt und die ich schon im Usenet veröffentlicht habe.

Falls ich jemals zweifelsfrei einen Spammer oder absichtlichen Virenversender identifizieren kann, frage ich hier mal nach, ob Interesse an einem spontanen Forumstreffen vor Ort besteht ...

Gruß
Wolfgang

eknori · « **Antwort #13 am:** 02.03.04 - 20:24:48 »

Zitat

Falls ich jemals zweifelsfrei einen Spammer oder absichtlichen Virenversender identifizieren kann

Rödelzeugs ist im Keller; ich wäre dabei ...

TMC · « **Antwort #14 am:** 02.03.04 - 20:27:58 »

Ich wiederum könnte mir gut vorstellen, dass sich mit einer Liste von sagen wir 80-90% realen Mailadressen, mit Zielschwerpunkt ND, durchaus Kohle machen lassen kann. Sollten dann aber schon einige (etliche tausende/hunderttausende) sein.
Dass allerdings jemand sich hier Adressen rauszieht um doofe Virenmails gezielt zu verschicken wage ich stark zu bezweifeln.

Aber es gibt da bestimmt Tools, die z.B. atnotes.de gezielt nach eMailadressen scannen können....

Matthias

TMC · « **Antwort #15 am:** 02.03.04 - 20:31:31 »

Übrigens ist in der aktuellen c't ein interessanter Artikel "Ferngesteuerte Spam-Armee". Handelt von einem Studenten, der sich mal so einen Virus (BDS/IRCBot.V) näher betrachtet hat, aktuell sind jetzt Ermittlungsbehörden mehrerer Länder tätig.
Ist ganz interessant zu lesen.....

pd · « **Antwort #16 am:** 03.03.04 - 09:04:04 »

Bei uns gab es auch schon den Zufall, dass ein Kollege dem anderen im Haus den Sobig.F geschickt hat. Es waren beides Kundenberater, weshalb deren email-Adressen in vielen privaten Adressbüchern von kunden enthalten sind.

Zur Zeit kann man wohl nur noch Definitionen aktualisieren und empfangene Virenmails löschen.

Gruß, Patrick

ata · « **Antwort #17 am:** 03.03.04 - 13:39:32 »

... das gesagte kann ich nur bestätigen, zur Zeit ist Rush-Hour bei Viren...

@Jens,
mach dir nichts draus, ob der jetzt aus der Schweiz kommt, oder dem tiefsten Afrika, es muß tatsächlich kein Forumsbesucher sein. Die Viren arbeiten im Internet, graben besuchte Seiten an und schaufeln sich dann tiefer. Adressbücher werden per Zufallssystem verwendet und gemischt...

ata

koehlerbv · « **Antwort #18 am:** 04.03.04 - 01:06:21 »

Zitat

über 20 Jahre Erfahrung und erste Viren-Expreimente bereits Ende der 80er Jahre sprechen da wohl für sich

Ganz offensichtlich nicht mehr, Jens !
SPAMmer und Virenautoren arbeiten heute mit Verfahren, die mit denen auch nur der letzten ganz wenigen Jahren gar nichts mehr zu tun haben. Irgendeine Website, auf der die eigene eMail-Adresse verewigt ist: Ist schon eine Quelle. Lokale Adressbücher: Sowieso (wenn Windows-kompatibel, Notes ist da nicht betroffen oder es wäre wirklich eine Neuerung). Ein gängiger Name (in Verbindung mit irgendeiner Webadresse) - wie hier schon publiziert: Da gehen die Schweinehunde auch mit BruteForce 'ran.

Beispiel: Ich habe Anfang des Jahres für die ganze Familie eMail-Adressen bei GMX eingerichtet. War wegen der Namensfindung zum Teil schwierig - was unterm Strich aber positiv war: Lediglich mein Sohn bekam "VornameName@GMX.NET" ab. Und genau das ging jetzt nach hinten los: Vorname = üblicher deutscher Vorname, Nachname = deutscher Portiersadel. Vier neue Adressen bei GMX, und nur Sohnie bekommt ca. 100 SPAMs pro Woche - die drei anderen Adressen sind davon vollkommen verschont.
Hinzuzufügen bleibt noch, das nur und ausschliesslich mein Sohn seine GMX-Adresse noch nie verwendet hat - trotz aller Unbequemlichkeit agiert er weiter mit einem dänischen eMail-Account ...

Vulgo: Bekommt man SPAM oder ein Virenmail von seinem engsten Freund oder Kollegen, so heisst das heutzutage noch lange nicht, dass dieser hierzu auch nur irgendeinen Beitrag geliefert hat. Unter Umständen hat der noch nicht mal die verwendete eMail-Adresse ... Die Achtziger sind jedenfalls sehr lange her !

Bernhard (der gerade seinen SPAM-belasteten Firmen-Account endlich losgeworden ist ;-)

Semeaphoros · « **Antwort #19 am:** 04.03.04 - 12:45:11 »

Falsch Bernhard, das weiss ich alles, hab schliesslich keinen Dornröschenchlaf gemacht.

Aber ich gehe da weiter nicht drauf ein, hier ist schon viel zu viel geredet worden.

Patrick (pd) hat auf den Punkt gebracht, was ich eigentlich vor allem sagen wollte: Kontrolliert Eure Virensicherheit und bringt sie auf den aktuellen Stand!