PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : HTML.Phishing.Pay-6 aus evolution Inbox entfernen?



Master Mayhem
27.05.05, 14:52
Hallo!

Da ich letzte Tage sehr seltsame zugriffen von innen auf meine firewall hatte (port 9898 monkeycom, hat sich als bittorrent tracker herausgestellt) habe ich mir mal ClamAV installiert, nen signaturen update gemacht und nen vollen scan auf beide festplatten durchgeführt.
Das ist das Protokoll:

--------------------------------------
Scan started: Wed May 25 03:02:05 2005

//home/tyler/.evolution/mail/local/Inbox: HTML.Phishing.Pay-6 FOUND
ERROR: Can't open file //sys/bus/pci/drivers/parport_pc/new_id
ERROR: Can't open file //sys/bus/pci/drivers/uhci_hcd/new_id
ERROR: Can't open file //sys/bus/pci/drivers/net2280/new_id
ERROR: Can't open file //sys/bus/pci/drivers/cx8800/new_id
ERROR: Can't open file //sys/bus/pci/drivers/8139cp/new_id
ERROR: Can't open file //sys/bus/pci/drivers/shpchp/new_id
ERROR: Can't open file //sys/bus/pci/drivers/pciehp/new_id
ERROR: Can't open file //sys/bus/pci/drivers/Intel ICH Joystick/new_id
ERROR: Can't open file //sys/bus/pci/drivers/Intel ICH/new_id
ERROR: Can't open file //sys/bus/pci/drivers/agpgart-nvidia/new_id
ERROR: Can't open file //sys/bus/pci/drivers/ehci_hcd/new_id
ERROR: Can't open file //sys/bus/pci/drivers/ohci_hcd/new_id
ERROR: Can't open file //sys/bus/pci/drivers/intel810_audio/new_id
ERROR: Can't open file //sys/bus/pci/drivers/8139too/new_id
ERROR: Can't open file //sys/bus/pci/drivers/forcedeth/new_id
ERROR: Can't open file //sys/bus/pci/drivers/AMD IDE/new_id
ERROR: Can't open file //sys/bus/pci/drivers/ata_piix/new_id
ERROR: Can't open file //sys/bus/pci/drivers/serial/new_id

-- summary --
Known viruses: 34710
Engine version: 0.84
Scanned directories: 38807
Scanned files: 414675
Infected files: 1
Data scanned: 41758.82 MB
Time: 15589.019 sec (259 m 49 s)

Wobei mir das Can't open keine sorgen macht, die Dateien gehören root (habe den scan auch als root ausgeführt) sind aber aus einem mir unbekannten grund nur chmod 200.

Mehr Sorgen macht mir der HTML.Phishing.Pay-6, denn ich hab kein Plan, wie das Ding zu entfernen ist.
Vermutlich ist das Ding mit einer Phishing mail gekommen bzgl PayPal, das Ding hab ich mir im gmx webmail angesehen und an spoo@paypal.com weitergeleitet - leider auch an mich, um das zu dokumentieren....das war eine etwas unüberlegete aktion, denn das ding habe ich abgerufen und bums in der Inbox.
Genau diese mail habe ich auch schon gelöscht - ohne Erfolg der Scanner findet immer noch den besagten Trojaner.


--------------------------------------
Scan started: Wed May 25 11:14:19 2005

/home/tyler/.evolution/mail/local/Inbox: HTML.Phishing.Pay-6 FOUND

-- summary --
Known viruses: 34710
Engine version: 0.84
Scanned directories: 143
Scanned files: 128
Infected files: 1
Data scanned: 7.07 MB
Time: 5.673 sec (0 m 5 s)

ClamAV kann zwar infizierte Dateien entfernen...nur möchte ich nicht meine komplette Inbox entfernen, bei evolution liegt alles, was nicht einsortiert ist, also der Eingangsordner, in einer datei.

Kann das ding überhaupt schaden anrichten auf nem linux system (bzw versendet es sich weiter über mein adressbuch) oder geht das nur unter windows?
Habe die inbox jetzt schon verschoben in einen Ordner, der root gehört und sowohl die Inbox, als auch den Ordner mit chmod 000 versehen.

Bevor ich das Ding aber nach /dev/null verschiebe hätte ich gerne gewußt, ob ich irgendeine chance habe die mails in der inbox zu retten, oder ob sogaer ein copy&paste der datei im texteditor geöffnet den schädling mitnimmt.

Ist der überhaupt in einer bestimmten mail und meine vermutung war falsch und die verseuchte mail ist immer noch im eingangsordner und die muss ich nur finden und löschen, oder hat der sich über die ganze datei verteilt und es ist nichts mehr zu retten?

Dankbar für tips

mfg tyler

http://www.viruslist.com/en/find?search_mode=virus&words=HTML.Phishing.Pay-6

oracle2025
27.05.05, 15:48
Die Mail kann da bleiben bis sie schwarz wird, die wird keinen Schaden anrichten.

Evtl. ist sie einfach noch im Papierkorb.

Master Mayhem
29.05.05, 17:04
Hi!

Thx für die schnelle Reaktion!

Dass Würmer und Trojaner auf Linux systemen verhungern hab ich auch immer gehört - nur Vorsicht ist die Mutter der Porzellankiste und ich wolte aus ästhetischen ;-) Gründen die Meldung weghaben.

Also hab ich mal genauer nachgesehen - im Papierkorb waren sie nicht mehr, zumindestens nicht im evolution papierkorb, denn den habe ich natürlich geleert, bevor ich erneut gescannt habe.

Das Problem ist evolution und der Umgang mit gelöschten, lokalen emails, was in meinen Augen nicht sehr gelungen ist. (Ich habe schonmal geflucht, als ich ohne Sicherungskopie einen Ordner in dem GUI von evolution kopiert und dann das Original gelöscht habe - die Kopie war auch weg, weil evolution statt eine Kopie zu erstellen einen symbolischen Link angelegt hat...)

In diesem Fall gibt es für jeden loaklen Ordner in dem GUI von evolution vier Dateien im Ordner ~/.evolution/mail/local/ - Inbox und Outbox haben noch eine Datei zusätzlich.
Dabei sind die mails immer in der Datei ohne Dateiendung und die anderen sind wohl index files.

tyler@schlachtfeld:~$ ls -la .evolution/mail/local/
insgesamt 1208
drwxr-xr-x 6 tyler tyler 4096 2005-05-29 16:11 .
drwxr-xr-x 8 tyler tyler 115 2005-05-27 22:07 ..
-rw-r--r-- 1 tyler tyler 0 2005-04-16 16:55 debian-lists
-rw-r--r-- 1 tyler tyler 124 2005-05-28 01:12 debian-lists.cmeta
-rw------- 1 tyler tyler 7168 2005-04-16 16:55 debian-lists.ibex.index
-rw------- 1 tyler tyler 8 2005-04-16 16:55 debian-lists.ibex.index.data
drwxr-xr-x 2 tyler tyler 4096 2005-05-28 01:12 debian-lists.sbd
-rw-r--r-- 1 tyler tyler 0 2005-04-11 19:03 Drafts
-rw-r--r-- 1 tyler tyler 124 2005-05-27 23:25 Drafts.cmeta
-rw------- 1 tyler tyler 1024 2005-05-27 22:07 Drafts.ibex.index
-rw------- 1 tyler tyler 0 2005-05-27 22:07 Drafts.ibex.index.data
drwxr-xr-x 2 tyler tyler 6 2005-04-16 16:54 Drafts.sbd
-rw-r--r-- 1 tyler tyler 0 2005-04-20 00:13 hbci-lists
-rw-r--r-- 1 tyler tyler 124 2005-05-27 19:07 hbci-lists.cmeta
-rw------- 1 tyler tyler 7168 2005-04-20 00:13 hbci-lists.ibex.index
-rw------- 1 tyler tyler 8 2005-04-20 00:13 hbci-lists.ibex.index.data
drwxr-xr-x 2 tyler tyler 4096 2005-05-29 16:11 hbci-lists.sbd
-rw-r--r-- 1 tyler tyler 0 2005-04-16 16:55 heise-lists
-rw-r--r-- 1 tyler tyler 124 2005-05-27 19:07 heise-lists.cmeta
-rw------- 1 tyler tyler 7168 2005-04-16 16:55 heise-lists.ibex.index
-rw------- 1 tyler tyler 8 2005-04-16 16:55 heise-lists.ibex.index.data
drwxr-xr-x 2 tyler tyler 4096 2005-05-27 19:19 heise-lists.sbd
-rw------- 1 tyler tyler 435525 2005-05-27 19:25 Inbox
-rw-r--r-- 1 tyler tyler 192 2005-05-29 16:11 Inbox.cmeta
-rw------- 1 tyler tyler 5212 2005-05-27 19:25 Inbox.ev-summary
-rw------- 1 tyler tyler 242688 2005-05-27 19:25 Inbox.ibex.index
-rw------- 1 tyler tyler 229060 2005-05-27 19:23 Inbox.ibex.index.data
-rw-r--r-- 1 tyler tyler 118 2005-05-27 19:16 .Junk.cmeta
-rw------- 1 tyler tyler 0 2005-05-27 21:49 Outbox
-rw-r--r-- 1 tyler tyler 124 2005-05-27 23:25 Outbox.cmeta
-rw------- 1 tyler tyler 44 2005-05-27 21:49 Outbox.ev-summary
-rw------- 1 tyler tyler 7168 2005-05-27 21:49 Outbox.ibex.index
-rw------- 1 tyler tyler 8 2005-05-27 22:07 Outbox.ibex.index.data
-rw------- 1 tyler tyler 96361 2005-05-27 23:25 Sent
-rw-r--r-- 1 tyler tyler 192 2005-05-27 23:25 Sent.cmeta
-rw------- 1 tyler tyler 6716 2005-05-27 23:25 Sent.ev-summary
-rw------- 1 tyler tyler 52224 2005-05-27 23:25 Sent.ibex.index
-rw------- 1 tyler tyler 43972 2005-05-27 21:49 Sent.ibex.index.data
-rw-r--r-- 1 tyler tyler 158 2005-05-27 23:25 .Trash.cmeta

Wobei schon auffällt, dass Trash keinen Ordner , sondern nur die Datei .Trash.cmeta hat, d.h. keine mails in diese Datei verschoben werden, sondern nur im index vermerkt wird, dass diese mail gelöscht sein soll.
In dem GUI taucht die mail dann auch nicht mehr auf, wenn der papierkorb (.Trash) geleert wurde.
Tatsächlich löscht man damit nur den index der "gelöschten mails" im papierkorb, die aufgabe welche mails gelöscht sind und welche nicht hat dann wohl das index file des ordners, in dem gelöscht wurde.
Denn die mail bleibt in der Datei vorhanden, obwohl über das GUI nicht mehr darauf zugegriffen werden kann.
Ich habe erst alle html mails in der Inbox gelöscht, papierkorb geleert, alle mails in der Inbox in einen Ordner temp verschoben, den ich in dem GUI von evolution angelegt habe und auch in evolution verschoben. Dabei wird übrigens auch das übliche set von vier dateien unter ~/.evolution/mail/local/ angelegt.
Danach habe ich mir temp angesehen im texteditor und Inbox und welche überraschung:
In temp lagen alle mails, die ich in dem GUI von evolution verschoben habe und in der Inbox lagen alle mails, die ich in dem GUI von evolution gelöscht habe immer noch drin, unter anderem noch die mit dem gesuchten trojaner....
Die Inbox gelöscht und leer neu angelegt hat das Problem behoben, danach habe ich in evolution die mails aus temp zurück in die Inbox verschoben und fertig - trojaner meldung weg und mails gerettet.

Nur würde evolution gelöschte mails wirklich löschen, dann wäre das nicht so aufwendig gewesen...

mfg tyler