Supportnet / Forum / Security/Viren

Hallo liebe Mituser, hab vorhin von der im Subject genannten Adresse eine Mail mit dem Netsky-Wurm bekommen. Da ich nicht weiß, ob diese Mail-Adresse überhaupt etwas mit einem SN-Member oder dem Treffen zu tun hat und wem die Addy ggf. gehört, möchte ich auf diesem Wege davor warnen, die Mail oder gar deren Anhang zu öffnen. Denn ich bin sicher nicht die einzige, die sie erhalten hat und aufgrund der zeitlichen Nähe zum nächsten SN-Treffen bei diesem Absender auch nicht allzu misstrauisch ist. :-/ Gruß Seven [sub]such -> sevenoffnein[/sub]

ach mädel, immer erst mal google fragen ;-)

webmaster@sn-treff.de

Hi,

wundert mich schon, dass so eine typische Mail hier überhaupt noch jemanden dazu bewegt hier was dazu zu schreiben.

Also ich bekomme ständig Mails mit Absender xyz@supportnet.de, sehr beliebt ist auch info@supportnet.de ...

Die Spamer sind ja nicht so superblöd und haben sich darauf spezialisiert irgendwelche Domains, die es tatsächlich gibt, mit Namen, die es dort aber nicht als e-mail Adresse gibt oder mit Namen die allgemein benutzt werden zu versenden.

Man kann da leicht in die Blacklisten der Spamlistenverwalter rutschen obwohl man mit dem ganzen Unfug nichts zu tun hat.

Ich hab auch schon mal so ne mail bekommen wo als Absender meine e-mail Adresse drin stand...

Der Absender an sich ist ja frei wählbar, daher kann man nur auf Grund des Absenders auch keine Aussage darüber treffen ob die Mail jetzt Spam ist oder nicht.

Wollte ich nur mal als Erklärung hier hinterlassen.

Viele Grüße

Fabian

Nee, nee, so einfach ist das wohl doch nicht,
dass gerade Supportnet-Member Mails mit diesen Absendern bekommen:

Da wird wohl eher ein Member ein nicht virendichtes Adressbuch haben, das als Schleuder dient,

wenn ich mich nicht irre ;-)

@Mituser

Ach Knäblein, ich musste vorhin weg, hatte daher keine Zeit mehr, google oder sonstwen zu fragen.

Hab das obige Post nach Eingang der Mail noch gerade so im Stehen getippt, um die anderen Mituser (die lieben) zu warnen, die vielleicht kein AV-Programm nutzen, das Viren in Mails aufspüren kann, bevor diese Unheil anrichten können.

Aber auch wenn ich gewusst hätte, wem die Addy gehört, hätte das nichts geändert.


@halfstone



Für mich war das eine Premiere, obwohl ich wirklich spamerfahren bin.

Aber wg. Spam alleine hätte ich bestimmt keinen Thread aufgemacht. Hier wird jedoch ein Virus mitgeschickt und ich finde, dass sowohl derjenige, dessen Rechner diese Mails verschickt (wahrscheinlich ist das nicht mal der Inhaber der o.g. Adresse, aber vielleicht jemand aus dessen Adressbuch) als auch die Empfänger darüber informiert werden sollten. Siehst du das anders?

Sollte ich in diesem Zusammenhang etwas völlig falsch verstanden haben, bitte ich um Entschuldigung für den Fehlalarm und dringend um Aufklärung.

Danke.

Gruß
Seven

@SoN,
wenn das für dich eine Premiere war dann wundert es mich doch etwas aufgrund deiner doch regen Forenbeteiligung.
Es ist hinlänglich bekannt und hier schon zigfach gepostet, das dieser Wurm (oder auch andere) immer eine gefälschte Absenderadresse angibt, um die Herkunft des infizierten Systems zu verschleiern. Das bedeutet, dass eine Netsky-Mail nicht wirklich von jenem Benutzer verschickt wurde, der als Absender drinsteht. Die Mails kommen auch von ...@kaspersky.com, ...@microsoft.com, etc. In obigem Fall eben mal von einer weiteren Variante. Neu ist das aber wirklich nicht, und auf unaufgefordert übersandte Anhänge sollte man generell nicht klicken.

Gruss,
Mic

^{Bei Eingriffen ins System, die Registry oder an Systemdateien erst eine Sicherung vornehmen©}

Hallo,
ich kann Seven nur zustimmen, habe auch noch nie so eine Mail bekommen.
Aber dank Seven bin ich ja jetzt für den Fall der Fälle gewarnt.

Thx blödi

@Mic



Schön, dass du meine Aussage...


...inhaltlich noch mal wiederholst. Diese schon "zigfach" gepostete Tatsache kann man schließlich nicht oft genug betonen, gelle?

Aber irgendwoher muss Netsky doch meine Adresse sowie die des vermeintlichen Absenders haben. Und wenn ich nicht Jahre umsonst hier vertrödelt habe, hat er beide Adressen vom Rechner eines SN-Users oder eines Menschen, der mit SN-Usern Mailkontakt hat. Richtig? Ein Zufall ist doch ziemlich unwahrscheinlich, zumal ich diese Addy nur im SN nutze und darüber bisher mit genau drei SN-Membern Mailkontakt hatte. Spam oder Virenmails hatte ich auch noch nie auf dem Account Seven-Off-Nein@freenet.de

Wenn ihr dennoch meint, dass meine Warnung nutzlos ist oder gar schädlich, löscht den Thread halt einfach und gut ist.

Gruß
Seven

über den inhalt dieses beitrages möchte ich jetzt keine aussage treffen,
aber SevenOffNein schreibt immer wieder die längsten antworten und sorgt damit wieder mal dafür das es (ihr eigener beitrag wie immer mal wieder;-)) ein fall für die plauderecke wäre.

und ich gruesse euch noch ganz freundlich

Nabend,

ich weiss überhaupt nicht was hier derzeit los ist.
Sevens gut gemeinte Warnung an die Gemeinde ist doch durchaus legitim, auch wenns für den ein ober anderen hier kalter Kaffee ist.
Ich denke eine solche Meldung ist wichtiger als 50 mal die Frage zu sehen, wie man 2 PC`s miteinander vernetzt.

@Mickey,
ich halte es trotzdem für sehr merkwürdig, dass ein SN-Member eine Virenmail mit verschleierten Absender von einem anderen Member bekommt. Ich hielte es für wesentlich wahrscheinlicher, als Absender einen MS- oder Mcaffe-Server anzutreffen. Aber Zufälle soll es ja in großen Datennetzten schon mal geben. Auch den Zufall das ein Mcaffeekunde eine Virenmail mit einem vorgetäuschten Macaffeserver bekommt.

Grüße
Heizeisen

also ich find den beitrag von siebenvonneun schon berechtigt.
war da mal nicht schon was mit spam "nurfürmember"?
vielleicht könnten hier ja auch andere betroffenen mal kurz posten.
zumal die emailaddressen ja so nicht sichtbar sind (warum ist antwort3 rot? das färben ist hier eh nasenpolitik und hat mit objektivität rein gar nichts zutun).
so könnte man das leck einigermassen eingrenzen.

warum stinkt ihr so rum, nur weil ein member warnen möchte?

sevenoffnein:
poste doch mal den mailheader hier rein, vielleicht kann man da was erkennen.

alleanderen: wer OE nutzt ist selber drann schuld ;)

Alles Andere hab ich in der ersten Panik von avast! löschen lassen. (Jaja, lästert nur)

Für mich sind das böhmische Dörfer, aber falls irgendjemand damit was anfangen kann...

X-x: TimeOut+OK 40794 octets
Return-path: <webmaster@sn-treff.de>
Delivery-date: Thu, 11 Aug 2005 09:40:41 +0200
Received: from [194.97.50.135] (helo=mx2.freenet.de)
	by mbox67.freenet.de with esmtpa (ID exim) (Exim 4.52 #11)
	id 1E37g8-0001aL-NC
	for seven-off-nein@01019freenet.de; Thu, 11 Aug 2005 09:40:40 +0200
Received: from p5088cd78.dip.t-dialin.net ([80.136.205.120] helo=freenet.de)
	by mx2.freenet.de with esmtp (Exim 4.52 #3)
	id 1E37g6-0005Ep-4d
	for seven-off-nein@freenet.de; Thu, 11 Aug 2005 09:40:40 +0200
From: webmaster@sn-treff.de
To: seven-off-nein@freenet.de
Subject: [avast! - INFECTED]   Re: bill
Date: Thu, 11 Aug 2005 09:40:38 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
	boundary="----=_NextPart_000_0016_00007F74.0000387B"
X-Priority: 3
X-MSMail-Priority: Normal
Delivered-To: seven-off-nein@freenet.de
Envelope-to: seven-off-nein@freenet.de
X-Warning: Malware found (Worm.Mydoom.Gen-1).
X-Warning: Message contains Suspect signature (149285::050811094040-17D24000-4CABC6F3)
Status: RO
X-Antivirus: avast! (VPS 0532-3, 10.08.2005), Inbound message
X-Antivirus-Status: Infected
Attachment: \bill_seven-off-nein.zip#1113838919	Virus: Win32:Netsky-D-UPX [Wrm]	Deleted

This is a multi-part message in MIME format.

------=_NextPart_000_0016_00007F74.0000387B
Content-Type: multipart/related;
	boundary="----=_NextPart_001_0017_00007F74.0000387B"
	type="multipart/alternative"


------=_NextPart_001_0017_00007F74.0000387B
Content-Type: multipart/alternative;
	boundary="----=_NextPart_002_0018_00007F74.0000387B"


------=_NextPart_002_0018_00007F74.0000387B
Content-Type: text/plain;
	charset="Windows-1252"
Content-Transfer-Encoding: 7bit

Authentication required.

--------------------------------------------
bill_seven-off-nein.zip: No virus found
Powered by the new Norton OnlineScan
Get protected: www.symantec.com


------=_NextPart_002_0018_00007F74.0000387B
Content-Type: text/html;
	charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Diso-8859-1">
<META content=3D"MSHTML 6.00.2800.1106" name=3DGENERATOR>
</HEAD>
<BODY bgColor=3Dffffff>
<FONT face=3DArial size=3D2>Authentication required.</FONT>
<br><br><HR>
<FONT face=3DArial size=3D2>bill_seven-off-nein.zip: <b>No virus found</b><br><IMG=20
style=3D"WIDTH: 140px; HEIGHT: 38px" alt=3D"" hspace=3D0=20
src=3D"cid:0000040E31F1$000079B9$000049DC@7EE9" align=3Dright=20
border=3D0></FONT>
<FONT face=3DArial size=3D2>Powered by the new Norton =
OnlineScan</FONT><br>
<FONT face=3DArial size=3D2>Get protected: <A=20
href=3D"http://www.symantec.com">www.symantec.com</A></FONT>
</BODY></HTML>

------=_NextPart_002_0018_00007F74.0000387B--

------=_NextPart_001_0017_00007F74.0000387B
Content-Type: image/gif;
	name="symantec.gif"
Content-Transfer-Encoding: base64
Content-ID: <0000040E31F1$000079B9$000049DC@7EE9>

[hier stand jede Menge Buchstabensalat]

------=_NextPart_001_0017_00007F74.0000387B--

------=_NextPart_000_0016_00007F74.0000387B
Content-Type: multipart/alternative;
	boundary="----=_NextPart_Avast_Info_Boundary"

------=_NextPart_Avast_Info_Boundary
Content-Type: text/plain
Content-Transfer-Encoding: quoted-printable
Content-Description: avast info

---
avast! Antivirus: Eingehende Nachricht INFIZIERT:
\bill_seven-off-nein.zip#1113838919 (Win32:Netsky-D-UPX [Wrm]) wurde aus Na=
chricht geloescht.

Virus-Datenbank (VPS): 0532-3, 10.08.2005
Getestet um: 11.08.2005 16:17:00
avast! - copyright (c) 1988-2005 ALWIL Software.
http://www.avast.com

------=_NextPart_Avast_Info_Boundary--

------=_NextPart_000_0016_00007F74.0000387B--

@ Seven,
die Mail kam von dem genannten SN-User, zwar sicherlich nicht beabsichtigt, aber das ändert nichts daran, dass der Rechner jenes Users eine Wurmschleuder ist.
Die Leute hier sollten einfach mal "dankeschön für die Warnung" sagen .
Der betreffende User sollte seine Kiste neu aufsetzen.

@SON

THX4 Info. Bin auch Spamerfahren aber solche Mail hatte ich noch nie. Ich öffne fremden Mist auch nicht. Aber die Warnung finde ich klasse.

Mfg

DANK @ SON!

Zumindest für die Ungebildeten in Sachen PC, eMail etc., wie ich, war dieser Hinweis schon sehr gut.
Um dazu mehr zu wissen hier vielleicht der Hinweis auf eine entspr. Seite:
www.th-h.de/faq/headerfaq.php

Grüße von Opa Dietrich.

Hi an alle,

ok ok, ich sehe es ja ein, falls es falsch rüber gekommen ist dann berichtige ich es noch einmal:

Eine Absenderadresse lässt definitiv nicht auf den Absender schließen.

Das wollte ich damit nur aussagen, es ist auch in diesem Fall eher wahrscheinlich, dass einfach ein Domainrobot vorhandene Domains durchgefräst hat und einfach "webmaster" davor geklemmt hat.

Wie oben schon beschrieben bekomme ich ständig Spam Mails (und auch die mit Viren, sicher so ca. 50%, sind Spammails) mit Absendern von der domain supportnet.de, die aber von keinem der Supportnet e-mail Konten kommen.
Wenn ich meinen Virenscanner anschalte dann flippt der völlig aus wenn er meinen Spamordner durchforstet.

Auch der Heather sagt nicht sehr viel über die Herkunft der Mail aus, weder das From-Feld noch der Return-path müssen stimmen.

Das einzige was mich hier stutzig macht, ist dass die e-mail Adresse von deinem freenetaccount bekannt war, also schreib mal die Leute an, denen du deine e-mail Adresse bekannt gegeben hast (das sind inzwischen viele, da du sie ja auch hier gepostet hast), das zum Thema es sind ja nur drei die sie kennen können ;-)

Was ich eigentlich sagen wollte ist, dass man vorsichtig mit diesen Verdächtigungen sein sollte, wie sie hier ja auch schon wieder geäußert wurden, von wegen SN-Member Adressen...
So lange wie man sich nicht auskennt und sicher ist sollte man mit solchen Verdächtigungen vorsichtig sein.

Wir haben die Plattform mit viel Arbeit so umgebaut, dass keine Memberadressen mehr angezeigt werden, wir sind uns also des Problems bewusst, und dann ist es um so ärgerlicher wenn man falsch verdächtigt wird.

Nicht alles was man zu erkennen glaubt ist auch so.

Als Hinweis, wurde hier ja schon einige male gesagt und ich dachte das wäre inzwischen Allgemeinwissen:

E-Mails, die einen seltsamen Betreff haben (meist englisch), die nach Bankkontodatenaktualisierungen fragen, die Anhänge beigefügt haben, die nicht erwartet wurden, die im Betreff Aussagen enthalten, die neugierig machen sollen, einfach ungesehen in den Müll weiterleiten.

So das wars schon

Gruß Fabian

@ halfstone,
nicht was sein könnte, ist wesentlich, sondern was ist !
Und Fakt ist, dass Seven eine Wurmmail bekommen hat vom Absender ......
Ob da ein Robot mit im Spiel war oder nicht, sollte doch egal sein.
Du kannst nichts dafür, Seven auch nicht, aber derjenige, der diese Mailaddy tatsächlich hat, sollte sich Gedanken machen und derjenige wird auch wissen, ob es der normale Mailpath ist.
Nochmals @halfstone, keiner will Dir und dem SN ans Bein pinkeln.

Diese Grün/Rotfärberei hier ist eine Lachnummer.

....was eine simple Virenmail doch alles anrichten kann, wenn auch nicht durch den Virus selbst.

Im Ernst, statt gegenseitig aneinander hochzugehen, nehmen wir doch mal lieber mal den Header den SON veröffentlicht hat auseinander. Oder ist der ursprüngliche Geist vom Supportnet gestorben?

Fangen wir hier an:


Alles was darunter kommt, ist erstmal nicht so interessant.

Dann filtern wir alle Einträge mit X- beginnend heraus. Damit werden offiziell Einträge markiert, die nicht dem offiziellen Standard entsprechen. Diese Einträge kommen z.B. vom Mailclient selbst, wie z.B. Outlook Express und anderen. Gerade OE ist sehr geschwätzig.

Das bleibt übrig:


Den Eintrag From: ignorieren wir gleich mal. Wie halfstone schon schrieb, da kann sonstwas drin stehen. Dafür kann ich jedem Interessierten sofort den Beweis liefern, wenn er das möchte. *g*

Wirklich interessant zur Rückverfolgung sind hier nur die Einträge mit Recieved:


Mit diesen Einträgen kann man normalerweise verfolgen, über welche "Email-Relays" die Mail lief. Wenn man jetzt diese Einträge zeitlich chronologisch ordnet, sieht man was wer wann bekommen hat. Aber: Auch diese Einträge lassen sich fälschen. Lediglich der chronologisch letzte Eintrag, nämlich dem des POP3 Servers, ist aussagekräftig. Es sei denn der SMTP Server von freenet wurde gehackt. Ich denke das können wir mal ausschliessen.

Was ich momentan da rauslesen kann (ohne Gewähr!) ist: Der PC von dem die Virenmail ausging, war gestern um 9:40 online. Weiterhin ging der PC über T-Online oder Congster ins Netz. Der Besitzer des PCs hat mindestens ein Konto bei Freenet. Jeder auf den diese Infos zutreffen, sollte mal einen Komplettscan machen.

Was mich jetzt aber extrem stutzig macht, ist die Zeit die zwischen Versand und Empfang verstrichen ist. Um 9:40:38 wurde die Mail abgeschickt (kann gefälscht sein), um 9:40:40 hat sie der SMTP Server akzeptiert, fast zeitgleich (paar milisekunden später) wurde sie der Freenet Mailbox zugestellt und um 9:40:41 wurde sie auf dem Empfänger PC zugestellt. SON, ich empfehle Dir mal Stinger laufen zu lassen. ;)

Wie gesagt, ohne Gewähr, da kann theoretisch alles gefälscht sein.

Danke dir, Luke, für die "Übersetzung". Aber woran erkennst du, dass der Absender ebenfalls ein freenet-Account haben muss? Und Stinger, den ich sicherheitshalber drüber gejagt habe, konnte nichts finden, weil mein AV-Prog das Gewürms ja gleich eliminiert hatte. :-)

Ich möchte aber noch ein paar Dinge klar stellen, von denen ich eigentlich dachte, dass sie von Anfang an sonnenklar gewesen wären:

1. Ich habe niemanden beschuldigt oder verdächtigt!!!

Ich wusste ja beim Eröffnen dieses Threads nicht mal, dass die besagte Adresse einem SN-Member gehört. Die Mail könnte theoretisch von dessen Rechner gekommen sein, aber viel wahrscheinlicher ist, dass sie von irgendeinem anderen Rechner kam (wie bereits im Eingangspost erwähnt!), vielleicht einem, dessen User mal auf meine Visi geklickt hat, wo meine Mail-Addy steht und außerdem mal auf der SN-Treff-Anmeldeseite war.

Aus der Beschreibung von Worm Netsky-D (mit speziellem Gruß an mailheader ;-)):

[...]

Quelle

2. Ich habe die Mail nicht geöffnet!!

(Das geht an diejenigen, die kaum verhehlen, dass sie mich für ziemlich dämlich halten.)

3. Ich nutze einen Mailchecker namens PopTray, mit dessen Hilfe ich die Schrott-Mails schon auf dem Server löschen kann. Das habe ich in dem Fall zunächst nicht getan, weil ich in Betracht bezogen hatte, dass mich noch mal jemand auf den letzten Drücker dazu bewegen wollte, mein Hinterteil zum SN-Treff zu befördern. Also hab ich die Preview des Programms genutzt, um mal vorsichtig in den Quelltext der Mail zu linsen. Aber während des Downloads schrillten sofort alle Sirenen des fantastischen AV-Proggies avast! und die nette männliche Stimme mit dem Ösi-Akzent meldete, dass sich auf meinem Rechner ein Virus befände und fragte, wie damit zu verfahren wäre. Gelöscht -> fertig. Damit war die Sache für mich eigentlich erledigt.

4. Ich "durfte" schon mal erleben, was Viren anrichten können. Daher dachte ich daran, dass andere SN-User in Anbetracht des nahenden SN-Treffens bei Mails mit diesem Absender evtl. ähnliche Gedanken wie ich hegen, aber weniger gut abgesichert sein könnten und dass es eine gute Idee sein würde, die Leute vor dieser Gefahr zu warnen.


@halfstone

Ich schrieb, dass ich über diese Addy bisher erst mit drei SN-Membern Kontakt hatte, nicht dass sie nur drei Leute kennen würden. Wie sollte ich sowas behaupten können, da die Adresse auf meiner Visi steht? ;-)


Gruß
Seven

Hi



Daran:

Freenet verlangt nach einer Autorisierung bevor Emails versendet werden können (wie eigentlich alle Email Provider) und da die Email über Freenet eingeliefert wurde, lässt es nur diesen Schluss zu.

Um sicher zu gehen solltest Du in den abgesicherten Modus gehen und folgende Tools laufen lassen.

1. In Deinem Fall Avast nochmal komplett
2. Stinger
3. AdAware oder Spybot

Denn wie gesagt, die Zeitdifferenz zwischen Versand und Empfang macht mich sehr stutzig. Hast Du nach dem Empfang dieser Mail Avast komplett laufen lassen? Falls ja, kam dabei was heraus, bzw. was sagt das Protokoll?

also, was lernen wir daraus?

- keine vorschnellen Verdächtigungen

- kein Halbwissen verbreiten

- keine überheblicher Tonfall in den Postings

- auch ein typisches SPAM-Mail muss nicht für Jedermann(frau) alltäglich sein

(- letzteres spricht vielleicht sogar für überdurchschnittlich vorsichtiges, bewusstes surfen von SON)

FYA

@ Luke,

ist es so ungewöhnlich dass eine Mail nur 1 Sekunde benötigt?

Ich habe erst diese Woche eine Mail versendet (sogar mit einem kleinen Anhang) und die war sofort durch halb Deutschland. (Der Empfänger hat mich am Telefon beim sagen "jetzt hab ich sie losgeschickt" sofort unterbrochen und gesagt dass sie ankam)

Gruß Steffen

Ich bekomme täglich so 10 - 15 Virenmails. Als Absender stehen da immer die kuriosesten Namen drin.
Da war schon Microsoft, die Postbank, mein Chef ;-), ich selbst :-O, etliche aus dem SN hier, und was weiß ich für Absender.

Mein McAfee löscht die Anhänge schon bevor ich die sehen könnte und somit besteht keine Gefahr für denjenigen, der sich vor Viren schützt.

Also harren wir weiter der Dinge die da kommen und hoffen das irgendwann mal alle so schlau sind das Thema Viren ernst zu nehmen.

Gruß
Locke

Hi zusammen,

ich finde es schon recht lustig, dass eine(r) der (die)andere vor einer (potentiellen) Gefahr warnt, hier auf einmal in eine Verteidigungsposition gedrückt wird.
Es ist keine 4 Wochen her, dass mehrere SN-Member eine Virenmail erhalten haben, welche dem Anschein nach von "Butze" stammte.
Interessierte mögen den "Ton" von damals einschließlich dem "Teno" mal mit "Ton + Teno" hier vergleichen. Ist schon interessant. (Hier gehts zum Butze-Thread)



Gruss Anno

• Achtung Virus 1&1
• ACHTUNG, TROJANER in E-Mail, angeblich von Ebay !!!
• E-Mail-Link öffnen
• öffnen eines e-mail-anhangs mit der pdf-datei
• SN- Treff