Supportnet Computer
Planet of Tech

Supportnet / Forum / PC-Sonstiges

Mail mit Virus im Anhang und Outlook Express





Frage

Hallo, habe vor einigen Tagen eine email unbekannten Absenders bekommen mit Anhang. Betreff:W32.Elkern removal tools Ich habe die Mail bisher noch garnicht geöffnet. Daraufhin hab ich ca. 10 Mails von Mail Delivery System bekommen, mit jeweils returned mail von irgendwelchen Adressen, wo ich gar keine Mail hingeschickt hatte. seitdem krieg ich noch ab und komische Mails von z.B aurel mit Betreff Here to find out more. Virenscanner hab ich schon laufen lassen,kein Virus gefunden. 1.Kann es sein, dass sich von selbst von meinem PC Mails abgeschickt wurden, und das von Outlook Express 6 nicht angezeigt wird? 2.Wie werde ich nun diese emails los? Wenn ich nämlich draufklicke, ist ja schon das Vorschaufenster offen. Hab mal gelesen, dass das schon für manche Viren reicht.

Antwort 1 von chris1111

Nochwas: ich hab auch diese Mail
bekommen. Ist das ein Fake?

V I R U S A L E R T

Our viruschecker found a VIRUS (of the type 'Worm/Klez.E') in your email to the
following recipient(s):

-> zweitehand@zweitehand.de

Please check your system for viruses, or ask your system administrator
to do so.

For further information about this viruschecker see:

http://amavis.org/
AMaViS - A Mail Virus Scanner, licensed GPL


For your reference, here are the headers from your email:

------------------------- BEGIN HEADERS -----------------------------
Received: from mailbox-8.st1.spray.net (mailbox-8.st1.spray.net [212.78.202.108])
by mail.blinx.de (8.11.2/8.11.2/SuSE Linux 8.11.1-0.5) with ESMTP id g4LGGNR31783
for <zweitehand@zweitehand.de>; Tue, 21 May 2002 18:16:23 +0200
Received: from Uljursz (Bb37b.pppool.de [213.7.179.123])
by mailbox-8.st1.spray.net (8.8.8/8.8.8) with SMTP id SAA28100
for <zweitehand@zweitehand.de>; Tue, 21 May 2002 18:16:04 +0200 (DST)
Date: Tue, 21 May 2002 18:16:04 +0200 (DST)
Posted-Date: Tue, 21 May 2002 18:16:04 +0200 (DST)
Message-Id: <200205211616.SAA28100@mailbox-8.st1.spray.net>
From: rgerhards <rgerhards@adiscon.com>
To: zweitehand@zweitehand.de
Subject: A IE 6.0 patch
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=E849923s2xM

-------------------------- END HEADERS ------------------------------

=====================================================================

A C H T U N G! V I R U S!

Der Virenfilter unseres Mail-Systems hat ein Virus (vom Typ 'Worm/Klez.E') in
einer von Ihrer Adresse abgeschickten E-Mail entdeckt. Diese E-Mail ging
an die folgenden Empfänger:

-> zweitehand@zweitehand.de

Bitte überprüfen Sie Ihr Computersystem daraufhin, ob es Viren enthält
bzw. bitten Sie Ihren Systemadministrator darum.

Weitere diesen Virenfilter betreffende Informationen finden Sie unter

http://amavis.org/
AMaViS - A Mail Virus Scanner, licensed GPL


Für weitere Hinweise an Sie folgt nun der Kopf der E-Mail, die das
Virus enthielt:

------------------------- BEGIN HEADERS -----------------------------
Received: from mailbox-8.st1.spray.net (mailbox-8.st1.spray.net [212.78.202.108])
by mail.blinx.de (8.11.2/8.11.2/SuSE Linux 8.11.1-0.5) with ESMTP id g4LGGNR31783
for <zweitehand@zweitehand.de>; Tue, 21 May 2002 18:16:23 +0200
Received: from Uljursz (Bb37b.pppool.de [213.7.179.123])
by mailbox-8.st1.spray.net (8.8.8/8.8.8) with SMTP id SAA28100
for <zweitehand@zweitehand.de>; Tue, 21 May 2002 18:16:04 +0200 (DST)
Date: Tue, 21 May 2002 18:16:04 +0200 (DST)
Posted-Date: Tue, 21 May 2002 18:16:04 +0200 (DST)
Message-Id: <200205211616.SAA28100@mailbox-8.st1.spray.net>
From: rgerhards <rgerhards@adiscon.com>
To: zweitehand@zweitehand.de
Subject: A IE 6.0 patch
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=E849923s2xM
-------------------------- END HEADERS ------------------------------





Antwort 2 von Jens

1. Ja
2.http://www.bsi.de/av/vb/klez_e.htm
Die Vorschau unter Ansicht Layout deaktivieren.
Nein das ist kein Faker
DU VERSENDEST WEITERHIN UNBEWUSST MAILS MIT DEM WURM!!!!!!
Geh sofort off, besorg dir unter der obigen addy das Removetool!!!!

Gruß
Jens

Antwort 3 von Jens

1. Offline gehen
2. Dir das Removetool besorgen und ausführen
3. Besorg Dir einen Virenscanner
4. Den Sammelpatch von MS ausführen
http://www.pc-welt.de/news/viren_bugs/23688/

Antwort 4 von chris1111

Schon mal vielen Dank, Jens.

das obige Removetool hat keinen Virus
gefunden!! Ich hab die mail ja noch
gar nicht geöffnet!
Auch hat mein Bruder, dessen Mail-adresse in meinem Adressbuch gespeichert ist, keine Mail von mir erhalten.
Irgendwie komisch. vielleicht werden
die mails nur an Empfänger verschickt,
von denen ich was bekommen habe??

Was soll ich nun machen??
Mir fällt nur ein:
Den outlook-Patch installieren
Outlook Vorschau ausschalten und die
mails mit rechter Maustaste anklicken
und dann auf Löschen.
Dann ordner Gelöschte Mails leeren.

Was kann ich noch tun, da ja kein Virenprogramm was findet???




Antwort 5 von Mickey

mit folgendem trick kann man einen befall auch ohne virenscanner erkennen:

man ruft das adressbuch auf und erstellt einen neuen kontakt.
unter vornamen gibt man "!000" (ausrufezeichen und 3 nullen) und im feld bei der mailadresse "WurmAlarm" ein. es erscheint nun eine warnmeldung, dass die mailanschrift falsch ist, die man aber ignoriert.

bei einem wurmbefall passiert nun folgendes:
ein wurm, der nun heimlich an alle einträge im adressbuch etwas versenden will, nimmt zuerst den eintrag "!000" und scheitert daran wegen der falschen mailanschrift.
der mailclient bringt eine mitteilung, dass der versand an die adresse "WurmAlarm" fehlgeschlagen ist.

das behebt zwar nicht den wurmbefall, signalisiert aber sehr schnell die infektion!

gruss, redschina

ps: ich nutze firewall und virenscanner.
da ich kürzlich eine mail mit dem worm_klez.e bekommen habe, der ja ein ganz hinterlistiges bürschchen ist, bin ich bei meiner info-suche über obigen tipp gestolpert und wollte ihn euch nicht vorenthalten.


Zitat Redchina

Antwort 6 von Redschina

mickey lol,

das wollte ich gerade als link hier reinsetzen

gruss, redschina (mit "s" ;-))

Antwort 7 von Mickey

@Redschina:

*schäm* :-)

Antwort 8 von chris1111

kann mir denn keiner einen Tipp
geben?

Hab gerade schon wieder ein Mail
von "DMS91" mit Betreff "Darling"
bekommen; was kann ich dagegen machen?
Jedesmal andere Absender der Mails
mit Anhang . . .

Antwort 9 von fatschi

1.klez wird nur von top aktuellen virenscannern erkannt, also an ALLE: unbedingt virendefiniionen runterladen.

2.ich habe kürzlich auch dutzende von klez/elkern verseuchten mails von vielen unterschiedlichen (bekannten) Absendern erhalten. Bei genauerem abklären habe ich herausgefunden, dass vom virus jeweils eine falsche adresse angegeben wurde. er hat die Mails mit einer adresse aus dem Adressbuch des befallenen Rechners versehen.

das wird wohl bei dir auch der fall sein. ein kollege von dir hat den virus auf der platte und verschickt diese munter in deinem (und anderer leute) namen. da die absenderadresse falsch ist, sagt ihm niemand bescheid... Die reklamationen kommen immer an dich zurück.

Hier siehst du wie das funktioniert, anhand der Header Information einer E-Mail (Header Info auf das wesentliche gekürzt)
Zitat:

...
Return-Path: <andrwZZZ@mydiax.ch>
Delivered-To: GMX delivery to fatschi@gmx.com
...
Date: Tue, 14 May 2002 20:36:07 +0200
Message-Id: <200205141836.UAA24242@duba03h03-0.dplanet.ch>
From: hauzzz <hauZZZ@brother.ch>
To: fatschi@gmx.com
Subject: Klicken!
...


Was dies nun bedeutet:

1. Im Explorer wird als Absender hauZZZ@brother.ch angezeigt.
2. Der Tatsächliche Absender verbirgt sich hinter der Information "return-path:" und heisst andrwZZZ@mydiax.ch . Diese Information wird jedoch nur angezeigt, wenn man die ausfühlichen Mail-Header Informationen anzeigen lassen kann.
In der Regel sieht man jedoch nur eine gekürzte Fassung ohne den "return-path"

Fazit: Ich schreibe hauZZZ eine Mail er habe einen Virus, was jedoch völlig an den Haaren herbei gezogen ist. Genau das ist dir wohl passiert chris111.

3. Was du tun kannst:
a. Schau dir mal den vollständigen Header des Mails an. Kann dir nicht sagen wie das bei dir geht, da ich mit eudora die mails verschicke. da ist es ein knopfdruck. ich vermute dass alle mails vom selben absender stammen.
b. informiere die (wahre!) person die die mails verschickt, damit sie was dagegen tut.

gruss
fatschi


Antwort 10 von fatschi

ach ja, und falls ihr auf nummer sicher gehen wollt: http://www.bitdefender.de hat sowohl einen Klez remover (=entferner für die englischbanausen) wie auch einen online antiviren-scanner.

gruss
fatschi

Antwort 11 von Gaumarol

Und nochwas, Klez ist in der Lage sich auch nach einem Update des Virenscanners zu halten. Vorraussetzung ist dass ihn die Vorversion nicht erkannt hat und er sich bereits eingenistet hat. Eines seiner untrüglichen Zeichen ist aber dass er eine EXE Datei unter C:\%Windir%\System mit dem Anfang "Wink" hinterlässt und diese in der Registry auch unter Run anmeldet. Also mal nach wink*.* unter C: suchen und schaun was Windoof macht.
Ach ja, die Adressen unter FROM kann Klez fälschen außerdem braucht er kein Mailprogramm da er eine eigene SMTP-Engine enthält.
Ein richtiges Multitalent der Kleine.

Gruß Gaumarol

Antwort 12 von chris1111

Vielen Dank Euch beiden.
Hab ich das richtig verstanden, dass
ich nun gar keinen Virus habe?

Ist alle Gefahr weg, wenn ich in Outlook
die Mails lösche?



Antwort 13 von chris1111

Habe mal nach wink*.* unter C: suchen
lassen, wurden ca. 10 Dateien angezeigt,
allerdings alle vom Typ Gif Bilder.
Ungefährlich oder?

Bitte noch um eine Antwort meines letzten Beitrages

Antwort 14 von fatschi

@chris
1.
Zitat:
Hab ich das richtig verstanden, dass
ich nun gar keinen Virus habe?

Das kann ich dir natürlich nie mit 100% Sicherheit sagen, aber die Wahrscheinlichkeit ist sehr gross, dass nicht du den Virus auf deinem System hast.

2.
Zitat:

Klez ist in der Lage sich auch nach einem Update des Virenscanners zu halten. Vorraussetzung ist dass ihn die Vorversion nicht erkannt hat und er sich bereits eingenistet hat.

Dass Klez den antivirenscanner ausschalten kann, stimmt ebenfalls. Du kannst auch den Onlinescanner von http://www.bitdefender.de benutzen um sicher zu gehen.

3.
Zitat:
...allerdings alle vom Typ Gif Bilder. Ungefährlich oder?


Es müsste sich um die Datei Wink??.exe handeln. Deshalb ungefährlich
Welche Dateien wirklich betroffen sind findest du hier: http://www.de.bitdefender.com/virusi/virusi_descrieri.php?virus_id=71

Zitat:
Symptome:

- Datei Wink??.exe im System Verzeichnis (üblicherweise C:\Windows\System (95/98/Me) oder C:\Winnt\System32 (NT/2000) oder C:\Windows\System32 (XP))
- Eine Datei mit einem wahllosen Namen und der Extension .exe im Folder C:\Program Files


Wichtiger Hinweis noch betreffend Endungen: Du musst unbedingt Outlook so einstellen, dass er alle Endungen korrekt anzeigt.
Eine mit einem Virus versehene Datei sieht bei weggelassener Endung so aus:
bewerbung.doc
Und sobald die endungen eingeschaltet sind sieht dies so aus:
bewerbung.doc.exe
Wenn man im Namen einen Punkt reinbringt, kann man eine falsche Endung vortäuschen...

gruss
fatschi


Antwort 15 von chris1111

Habs gelesen, fatschi
Danke nochmal!

krieg leider immer noch mails mit "Darling" im Betreff und Hinweismails von Universitätsservern, dass eine mail von mir einen Virus hatte, da der blöde virus anscheinend
meine adresse als Absender abgibt.
Langsam hörts aber auf.

Antwort 16 von fatschi

es wird erst aufhören, wenn betreffende person merkt, dass er einen virus auf der platte hat! (oder wenn er/sie sich nicht mehr ins internet einwählt...)

Die Mails mit Darling im Betreff kannst genauer unter die Lupe nehmen. Bei GMX hast du in deinem Postfach die Möglichkeit auf "ausdruck der Header information" zu klicken. Dort schaust du dir den header genauer an. unter "return-path" siehst du den wahren absender und unter "from:" unter umständen den gefälschten.
(falls du die mails via pop3 runter lädst, hast du diese möglichekit in deinem email programm ebenfalls.

und sobald du weisst welcher deiner (Mail-)Kollegen das wahre Opfer ist, kannst du ihn kontaktieren.

gruss
fatschi

Antwort 17 von chris1111

Nochmal Danke, fatschi.

die betroffenen emailadresse ist von
lycos. wo ich die Funktion "Ausdruck
der Headerinformation" nicht finden konnte. Auch unter Outlook kann ich entpr. nicht finden.
Den "wahren" Absender zu finden, ist nicht leicht, da ich diese emailadresse
nur für irgendwelche Newsletter verwendet habe (aber keine Schmuddelsachen), also nicht für Persönliches.
ich hab aber auch von diesen Seiten
mails bekommen, dass eine mail von mir an sie einen Virus im Anhang hatte, wobei ich natürlich gar keine mail geschickt hatte. (war Wallstreet-online.de und onvista.de)Virus in mail
war Virus: WORM_KLEZ.H

Darum bin ich mir garnicht mehr so sicher, ob ich wirklich "sauber" bin. Leider findet kein Virenscanner was, der
obige Online Scanner stürzt bei mir
immer ab.
Doch an die persönlichen Adressen aus meinem outlook -Kontakte wurden noch keine mails geschickt. die obigen Newsletter adressen hab ich gar nicht in
Outlook gespeichert.

Noch eine Frage: Besteht eine Gefahr beim Homebanking in meinem Fall?





Antwort 18 von M. Ambros

@chris1111

Wenn Du Dir nicht sicher bist und der empfohlene Online-Scanner abstürzt probier doch den Online Scanner von Norton aus,

http://www.symantec.com/securitycheck/

Manfred

BTW: den Norton AV würd eich Dir sowieso empfehlen

Antwort 19 von chris1111

auch der stürzt ab.

kann das an meiner Firewall Zonearlarm
liegen? Muß ich die vorher ausschalten?

Norton AV hab ich eigentlich, doch
leider seit einem Jahr nicht mehr
aktualisiert, weil man dafür zahlen
muß und eine Kreditkarte braucht.

Antwort 20 von Redschina

hi chris,

---> "Darum bin ich mir garnicht mehr so sicher, ob ich wirklich "sauber" bin."

folgendes habe ich im april gefunden, als ich informationen über klez-e eingeholt habe:

mit folgendem trick kann man einen befall auch ohne virenscanner erkennen:

man ruft das adressbuch auf und erstellt einen neuen kontakt.
unter vornamen gibt man "!000" (ausrufezeichen und 3 nullen) und im feld bei der mailadresse "WurmAlarm" ein. es erscheint nun eine warnmeldung, dass die mailanschrift falsch ist, die man aber ignoriert.

bei einem wurmbefall passiert nun folgendes:
ein wurm, der nun heimlich an alle einträge im adressbuch etwas versenden will, nimmt zuerst den eintrag "!000" und scheitert daran wegen der falschen mailanschrift.
der mailclient bringt eine mitteilung, dass der versand an die adresse "WurmAlarm" fehlgeschlagen ist.

das behebt zwar nicht den wurmbefall, signalisiert aber sehr schnell die infektion!

gruss, redschina

Antwort 21 von IRON

@ redschina:
Sorry...aber dieser Trick ist absoluter Nonsens. Der geisterte schon vor Jahren, als Mailwürmer grad auftauchten, durchs Internet und stimmte schon damals nicht.
Das Abarbeiten gefundener Mailadressen durch den Wurm geschieht 1. nicht zwangsläufig in einer vorgegebenen Reihenfolge, 2. kann der Wurm bzw. eine eigene Mailroutine durchaus in der Lage sein, solche Fake-Adressen zu ignorieren.

Antwort 22 von fatschi

@redschi
falls du eine "mailerdaemon" nachricht erwartest weil die adrese ungültig ist: die geht wohl eher an die gefakte adresse und nicht zu dir zurück...

@iron
und wenns nur bei 1 von 10 Würmern helfen würde, ist es ein versuch wert mit "000"...

gruss fatschi

Antwort 23 von fatschi

@chris
wieso mehrere online scanner abstürzen ist mir ein rätsel denn der klez ist denen nicht unbekannt.

Zitat:
Doch an die persönlichen Adressen aus meinem outlook -Kontakte wurden noch keine mails geschickt. die obigen Newsletter adressen hab ich gar nicht in
Outlook gespeichert.

eben genau deshalb liegt die vermutung sehr nahe, dass nicht du das problem hast! Wenn ein computer vom klez.h befallen ist, dann kommen KEINE nachrichten betreffend wurmbefall retour, da ja die absenderadresse gefälscht wurde!

Zitat:

Noch eine Frage: Besteht eine Gefahr beim Homebanking in meinem Fall?

laut antiviren-herteller besteht diesbezüglich (mit dem klez.h) kein problem. ich kann mich aber erinnern, dass es einen virus gab, welcher die internet-banking software der schweizer grossbank UBS angegriffen hat. der war jedoch keine grosse gefahr, da nur wenige kunden die streichlistennummern auf dem computer gespeichert hatten, resp. nur eine gefahr war, wenn das programm nicht korrekt eingerichtet/installiert wurde.

http://www.ubs.com/g/index/media1/archive/20000817a.layer.g.html

Zitat:
17.8.2000 Ähnlich dem "I LOVE YOU"-Virus verbreitet sich dieser neue Virus über das E-Mail Programm Microsoft Outlook. Das Virus trägt die Betreffzeile "Resume" und enthält ein Attachment mit dem Namen "resume.txt.vbs". Sobald das Attachment geöffnet wird, versucht der Virus, Streichlistennummern aus dem UBS Pin-Modul zu stehlen. Dies misslingt, wenn der Benutzer UBS Pin gemäss der Installationsanleitung eingerichtet hat.


ABER WIE GESAGT, dass spielt hier in diesem thread KEINE rolle!

gruss
fatschi

Antwort 24 von Redschina

@iron,

wie wärs denn mal mit konkreter hilfe von dir anstatt dem üblichen "blabla"?

im april erhielt ich eine mail mit anhang (klez-e). auf informationssuche über diesen wurm bin ich in einem aktuellen(!) thread eines forums einer computer-zeitschrift auf obigen tipp gestossen.

hmmm... arbeite doch mal gelegentlich an deiner überheblichkeit - und: nur aufgrund deiner 0/8/15-aussage ist der tipp für mich noch lange nicht hinfällig - denn: er hat bereits mehrfach(!) funktioniert. nicht bei mir, bis jetzt gab es auf meinem pc noch keinen wurmbefall, trotz zahlreicher virenmails, kazaa usw.

wenn du schon alles weisst wäre es doch besser, die richtigen vorsichtsmassnahmen in normalem ton zu posten, denn man kann von keinem menschen erwarten, ALLES zu wissen!

ps: Z

Antwort 25 von Redschina

hi fatschi,

es kommt folgende fehlermeldung, dass die mail nicht gesendet werden konnte:

Die Nachricht konnte nicht gesendet werden, da einer der Empfänger vom Server nicht akzeptiert wurde. Die nicht akzeptierte E-Mail-Adresse ist "!000". Betreff 'test', Konto: 'pop.btx.dtag.de', Server: 'mailto.btx.dtag.de', Protokoll: SMTP, Serverantwort: '553 Error parsing recipient address.', Port: 25, Secure (SSL): Nein, Serverfehler: 553, Fehlernummer: 0x800CCC79

gruss, redschina

Antwort 26 von chris1111

Bitte nicht streiten hier.
Wir wollen uns doch gegenseitig helfen
bzw. von einander lernen.

Der Trick wurde mir schon am Anfang
empfohlen, hab ich auch gemacht.
Eine entpr. Fehlermeldung ist bisher
nicht gekommen.
Heute ist nur eine Mail gekommen,
dass eine Mail mit meinem Absendernamen einen Virus enthielt. komische Anhangooglemails krieg ich jetzt fast nicht mehr.
Ich werde dann das Vorschaufenster in Outlook ausschalten, alle entpr. Mails
löschen und dann den Ordner gelöschte
Objekte leeren.
dann ab und zu neue Virensignaturen runterladen und immer wieder meinen PC
durchsuchen lassen.
Mehr kann ich wohl nicht tun.
komisch ist nur dass die beiden oben
empfohlenen OnlineScanner bei mir abstürzen, werde es nochmal mit ausgeschalteter Firewall probieren


Antwort 27 von IRON

@ redschina:
Deine Reaktion bestärkt mich in der Tat darin, an meiner Überheblichkeit zu arbeiten - allerdings nicht in deinem Sinne.
Dass ein nicht den Konventionen für Mailadressen entsprechender Eintrag beim Versenden einer Mail via Outlook eine Fehlermeldung provoziert, ist naheliegend. Ebenso naheliegend sollte aber auch sein, dass eben WEGEN des nonkonformen Eintrags ein Mailwurm diesen beim Extrahieren ignoriert.
Darauf zu vertrauen, dass es bei einem von 10 Würmern doch klappt, weil dessen Programmierer einen schlechten Tag hatte, ist leichtsinnig.
Genauso gut könntest du beschließen, in Zukunft mit verbundenen Augen Antibabypillen und Merz Spezialdragees im Verhältnis 1:100 zu mischen und dann zu hoffen, schon die richtige zu erwischen.

Antwort 28 von Redschina

hi iron,

sorry wegen oben, aber ich reagiere etwas empfindlich wenn hilfesuchende "allgemeine belehrungen" und oft auch gelächter ernten. vor deinem posting bin ich die threads durchgegangen und über einige in der richtung "gestolpert". und mit sooooooo nem dicken hals hab ich dann dein posting gelesen - tut mir leid, ich werde wohl auch ein wenig an mir arbeiten müssen.

nixdestotrotz: zeige mir bitte nur EINE url, in der nachzulesen ist, dass sich der wurm die e-mail-addys "rauspickt", an die er sich weiterverschickt. ich bin lernfähig.

hier ein auszug aus einem artikel in www.network-secure.de:

"Die neue Variante H durchsucht das System gezielt nach Email-Adressen in den Dateien mit der Endung:
.htm, .html, .txt, .pdf, .bak, .rtf, .doc, .asp, .xls und .exe sowie im Outlook-Adressbuch und ICQ-Kontakten
und verschickt sich dann über einen eigenen SMTP-Server -->an die gefundenen Adressen<-- ??

mein tipp (vielleicht in diesem klez-thread etwas unglücklich gelandet) kann eine zusätzliche(!) massnahme sein, denn erstens gibt es keinerlei negativen folgen, zweitens dauert das einrichten der addy gerade mal eine minute und drittens hat er bereits funktioniert. hätte ich NUR darauf vertraut, oh je! steht aber auch dabei "das behebt zwar nicht den wurmbefall..."

ach ja: deinen tipp mit den pillen werd ich mal versuchen - aus dem gebärfreudigen alter bin ich schon raus - deshalb hoffe ich sehr, möglichst viele merz-dragees zu erwischen ;-)

@chris1111

dass jemand von DIR eine virenmail erhalten hat, ist fast "verständlich". dazu habe ich noch folgendes bei www.network-secure.de gefunden:

-------------------
Besonderheiten des Wurms:

Insbesondere KLEZ.H sucht auf infizierten Systemen nach Email-Adressen und ist in der Lage, Namen und Server beliebig zu kombinieren. In häufigen Fällen scheint es so, als wenn infizierte Nachrichten auch von Systemen verschickt wurden, die als nicht infiziert gelten, weil eine oder mehrere Email-Adressen im Adressbuch des infizierten Rechners lagern. Lassen Sie sich dadurch nicht verwirren! Es ist der Wurm selbst, der eine beliebige Email-Adresse zusammengefügt hat. Das heißt nicht, das Ihr Rechner infiziert ist. Setzen Sie einen leistungsfähigen Virenscanner mit aktuellen Patterndateien ein, sollte der Wurm eigentlich sicher erkannt und entfernt werden.
-------------------

die klez-mail, die ich im april bekam, stammte angeblich von einem mir völlig unbekannten absender, im header der mail konnte ich den richtigen "wurmbesitzer" feststellen --> ein kollege ;-)

gruss, redschina


Antwort 29 von IRON

Ja is ja guuuuut...und all das, was du gefunden hast, ist ja auch völlig richtig und das stelle ich auch gar nicht in Frage. Aber die entscheidende Stelle ist "...an die gefundenen Adressen". Eine solche ist aber ein solcher Fakeeintrag nicht und ein halbwegs gut programmierter Wurm merkt das auch und IGNORIERT diese also. Es mag ja sein, dass ein paar Uralt-Würmer drauf reinfallen, aber als brauchbare Alternative, ja selbst als zusätzliche Möglichkeit ist das einfach zu dünn. Da ist es doch wesentlich einfacher, entweder Outlook extrem sicher zu konfigurieren(soweit das möglich ist), also Zone für eingeschränkte Sites, kein JavaScript, kein ActiveX, keine Vorschau, NUR Textmails bzw. Darstellung von HTML-Mails als Text+ Virenwächter mit SCriptchecker im Hintergrund ODER besser gleich ein anderes Programm, dass entweder HTML-Mails GAR NICHT akzeptiert oder zumindest nicht die HTML-Engine von Outlook/IE verwendet.

Antwort 30 von Redschina

wo bleibt die url? ich glaube einfach nicht, dass sich der wurm nach xyz.* orientiert, sondern nach *.xyz!!!

outlook ist sowieso indiskutabel. den holt man sich auch ohne outlook.

Antwort 31 von Chrischan

Hi,
sooo und jetzt nehmen wir uns alle in die Arme und hören auf zu streiten.... Euch alle feste drück ...schluchz...so genug gesülzt !

@Chris1111:
im Outlook:
1. Vorschaufenster deaktivieren (sollte eigentlich seit "I love You" bereits geschehen sein)
2. Header lesen: entsprechende Email EINMAL mit rechterMaustaste anklicken, dann auf Eigenschaften gehen...dann auf Details...da siehst Du den Header....!
Wenn Du von einen unbekannten Absender Emails (vor allem mit Anhang) erhälst, würde ich die Grundsätzlich sofort löschen, ohne sie zu öffnen.
Wenn Du Dir nicht sicher bist, kannst Du auch den Header wieder aufrufen und dort "Quelltext" anklicken, und sehen was IN der Mail drinsteht.
Soweit ich weiß ist das Ansehen des Quelltextes ungefährlich (oder @Redschina+Iron ??)
..und @Chris1111 im Zweifelsfall höre immer auf Redschina...die Frau ist einfach klasse...smile

Gut's Nächtle
Chris (ohne 1111)

Antwort 32 von IRON

@ Redschina:
Du willst eine URL? Sollste haben!
Bitte sehr
Und ich zitiere genüsslich:
Zitat:
When you put in your own address or a bogus one, the worm will still happily send its poisonous load to everyone on the list. The one change is that if you use your address, you'll know about it sooner. Even if you have Outlook check for mail constantly (if you don't check often, the worm will do its work and you'll never have a chance to catch it), the worm will still be happily sending itself to everyone in your address book in milliseconds while you're playing catch-up in seconds. Some fix, huh?

Und das ist vom 1.11.2001

Antwort 33 von Redschina

hmmm chrischan,

ist doch alles im grünen bereich....?

das mit dem "quelltext" war echt gemein - bis jetzt galt das als 100% sicher...! das versuche ich so schnell wie möglich zu klären! *grmpf*

gute nacht/guten morgen, redschina :-)

Antwort 34 von Redschina

hi iron,

"...the worm will still be happily sending itself to everyone in your address book..." ist eine bestätigung "meiner these"! dankeschön :-))

und ich zitiere mich: "...das behebt zwar nicht den wurmbefall..."

Antwort 35 von Ratlos

Entschuldigen Sie die Störung liebe Redschina , aber wenn du den Link durchgelesen hättest den dir IRON gegeben hat , hättest du erfahren das der Autor genau das mit dem !ooo oder sonstwas , ausprobiert hat , und keinen erfolg damit gehabt hat.


Antwort 36 von Ratlos

The newest OTD, VBS.Masteal.Trojan, was discovered on October 18th. It's a Trojan horse that copies all e-mail Outlook addresses to the file C: Shell.dll.txt and then sends the addresses to a pre-programmed list of e-mail addresses within the Trojan. The !0000 can do nothing about this.



Antwort 37 von Redschina

hi ratlos,

meine bitte um die url lautete:

"nixdestotrotz: zeige mir bitte nur EINE url, in der nachzulesen ist, dass sich der wurm die e-mail-addys "rauspickt", an die er sich weiterverschickt."

ich habe seit ende april 3 weitere klez-mails erhalten und deshalb interessiert mich klez halt besonders. um meinen tipp gings bei der bitte um eine url doch gar nicht mehr.

gruss, redschina

Antwort 38 von fatschi

chris: mach genau das was du in antwort 26 geschrieben hast, mehr ist nicht möglich.

@iron
Zitat:
Darauf zu vertrauen, dass es bei einem von 10 Würmern doch klappt, weil dessen Programmierer einen schlechten Tag hatte, ist leichtsinnig.

RICHTIG Iron, darauf soll man nicht vertrauen, und deshalb ist dies "nur" EINE von VIELEN Massnahmen!!!

Zitat:

Genauso gut könntest du beschließen, in Zukunft mit verbundenen Augen Antibabypillen und Merz Spezialdragees im Verhältnis 1:100 zu mischen und dann zu hoffen, schon die richtige zu erwischen.
FALSCH! Wenn du da einen passenden Vergleich willst müsste der so lauten: Es ist dasselbe wie wenn du die Antibaby-Pille nimmst und jedes 10. Mal benutzt du ZUSÄTZLICH einen Gummi...
Oder willst du etwa behaupten, der Eintrag !000 würde das Antivirenprogramm (=die Pille) in seiner Funktion behindern?

;-)
Gruss
Fatschi

Antwort 39 von IRON

@ Fatschi:
Sorry, aber du hast wohl gar nichts verstanden.
@ Redschina:
Ich hab mir nicht die Mühe gemacht, extra nach URLs zu suchen, die das Herauspicken belegen, denn das ist gar nicht nötig. Das scheinst du aber, wie ja auch dein oberflächliches Lesen meines Links zeigt, nicht zu verstehen. Allein der Einwurf mit xyz.* und *.xyz ist schon falsch, da die Adressen in einer Datenbank und nicht als einzelne Dateien verwaltet werden. Mein Link zeigt sogar, dass es noch schlimmer um Outlook steht, als ich ahnen konnte, denn durch einen Sicherheitspatch (welche Ironie) wurde es unmöglich, einen solchen Fake-Eintrag vorzunehmen. Er wird vom Programm intern korrigiert.
Und denke bitte nicht, ich hätte es auf dich abgesehen. Ich habs allerdings auf Halbwissen und Wunderglaube im PC-Bereich abgesehen. Leider sind beide extrem verbreitet und ich versuche, gegenzusteuern. Manchmal tut das dann Leuten weh. Lässt sich aber nicht ändern.

Antwort 40 von chris1111

Hallo,

bin überwältigt davon, zu welchen Uhrzeiten hier ihr schreibt. vielen Dank
nochmal an alle!!

Die Online-Virenscanner funktionierten,nachdem ich zone arlarm
ausgeschaltet hatte. Es wurden (natürlich) in meinem Posteingang von
Outlook infizierte Dateien gefunden.
Ich habe jetzt diese Mails gelöscht.

Hier nochmal die details einer mail,
die ich nach dem Vorgehen von chris (ohne 1111) abgerufen habe. nur die Buchstaben vor meiner lycos adresse habe
ich durch XXX ersetzt.

Received: from mailout03.sul.t-online.com (mailout03.sul.t-online.com [194.25.134.81])
by mailbox-12.st1.spray.net (8.8.8/8.8.8) with ESMTP id LAA26242
for <kingster@lycos.de>; Thu, 23 May 2002 11:00:37 +0200 (DST)
Posted-Date: Thu, 23 May 2002 11:00:37 +0200 (DST)
Received-Date: Thu, 23 May 2002 11:00:37 +0200 (DST)
Received: from fwd00.sul.t-online.de
by mailout03.sul.t-online.com with smtp
id 17Annn-0001GN-08; Thu, 23 May 2002 10:18:27 +0200
Received: from Bctikj (520001373201-0001@[80.139.166.80]) by fwd00.sul.t-online.com
with smtp id 17AnnV-1UdpZoC; Thu, 23 May 2002 10:18:09 +0200
From: 520001373201-0001@t-online.de (kaschule)
To: XXX@lycos.de
Subject: A very powful tool
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=DC583HN60SL9Y3Z873bC0v
Date: Thu, 23 May 2002 10:18:09 +0200
Message-ID: <17AnnV-1UdpZoC@fwd00.sul.t-online.com>
X-Sender: 520001373201-0001@t-dialin.net


Die mails befinden sich noch im Ordner
"gelöschte Objekte". Soll ich den leeren
oder kann ich die mails nochmal als "Beweismaterial" gebrauchen?
Man weiß ja nie was noch so kommt.


Antwort 41 von IRON

Die Frage ist: WEM willst du WAS beweisen?
Wenn ich jetzt nicht irgendwas überlesen habe, waren nun doch infizierte Mails bei dir gelandet. Das würde bedeuten, dass eventuell auch du als Verbreiter in Frage kommst, unabhängig davon, ob das aus dem Absender einer Mail, die nun bei jemandem eintrudelt, auch ersichtlich ist. Da weder du die Absicht haben dürftest, jemanden zu verklagen, noch dies umgekehrt der Fall sein sollte (Glashaus...Steine), ist der Fall doch erledigt. Du solltest ein paar Tipps zum Selbstschutz mittlerweile verinnerlicht haben und das wars dann erstmal.

Antwort 42 von chris1111

war ja nur eine Idee.
immerhin kursieren ja im Internet viele
virensverseuchte mails mit meiner Absenderadresse, die ja evtl. Schaden
anrichten könnten.

Auch für mich ist die Sache nun erledigt.

Dank nochmal an alle die sich hier beteiligt haben.

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: