als ich heute meine mail-box abrief bekam ich 4 mails die nicht zugestell wurden.
in einer steht dass sie nicht zugestellt wurde weil sie einen virus enthält, und 3 andere wurden nicht zugestellt weil sie von einem offenen proxy gekommen sind.

ich bin mir zu 99% sicher dass die mails nicht von mir (meinen pc) verschickt wurden, ich hab gestern zwar mal win gebootet, aber darauf ist kein outlook express installiert (von dem die mail verschickt wurde).

gibt des die möglichtkeit herrauszufinden wer da mails unter meinen namen verschickt?

Poste uns doch mal den ganzen Mailheader, da steht einiges drin!

cu

Jochen

hm hab auch schonmal die ein oder andere mail dieser art erhalten. das sind meines erachtens fakes.

Hi,
Du brauchst kein outlook express, die meisten viren besitzen eine eigene smtp engine
Was für ein Mail-Proggi ist denn auf der Kiste drauf, bzw. hängt der im Netz, warst Du auf Crack-Sites ?

was steht denn in der Registry unter run und runonce, naja und wo noch bei den M$ Produkten Autostarts liegen ?

Gruß
Michael

Original geschrieben von Newbie2001
hm hab auch schonmal die ein oder andere mail dieser art erhalten. das sind meines erachtens fakes.

Mein Freund hat mal von sich selbst Spam bekommen von wegen:


Nas** T**ns

Also soviel zu den Fakes, es kann vorkommen!

Original geschrieben von habbom
Hi,
Du brauchst kein outlook express, die meisten viren besitzen eine eigene smtp engine
Was für ein Mail-Proggi ist denn auf der Kiste drauf, bzw. hängt der im Netz, warst Du auf Crack-Sites ?

was steht denn in der Registry unter run und runonce, naja und wo noch bei den M$ Produkten Autostarts liegen ?

Gruß
Michael

@habbom
ich hab unt win2000 pmail installiert, aber ich bin mir 99% sicher weil ich alle empfängeradressen nicht kenne (d.h. er kann sie nicht von meinen PC geholt haben), 2. hab ich einen vierenscanner (der sie ja hoffentlich entdecken sollte) und 3. sind die mails ja von einem proxy ...

und hier der mail header:



Return-Path: <A.Keusch@gmx.at>
Received: from rzcomm1.rz.tu-bs.de (rzcomm1.rz.tu-bs.de [134.169.9.107])
by rzcomm8.rz.tu-bs.de (8.9.3 (PHNE_25183)/8.9.3) with ESMTP id TAA27938
for <iht@rzcomm8.rz.tu-bs.de>; Mon, 16 Sep 2002 19:51:22 +0200 (METDST)
Received: from mail.tu-bs.de (p508E7E89.dip.t-dialin.net [80.142.126.137])
by rzcomm1.rz.tu-bs.de (8.9.3 (PHNE_24419)/8.9.3) with SMTP id TAA14073
for <iht@tu-bs.de>; Mon, 16 Sep 2002 19:51:15 +0200 (METDST)
Message-Id: <200209161751.TAA14073@rzcomm1.rz.tu-bs.de>
From: "A.Keusch"<A.Keusch@gmx.at>
To: iht@tu-bs.de
Subject: goldfish
Date: Mon,16 Sep 2002 19:49:44 PM
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=coxrwts

...ich denke, da einer seine absendekennung gefälscht, bin mir nicht sicher, aber ich meine das haben wir die Tage bei einem Kunden auch gehabt

Gruß
Michael

Hier, versuch mal das hier: http://www.linux-user.de/ausgabe/2002/09/076-whois/index.html

Im unteren abschnitt wird beschrieben wie du solche mails auseinander nehmen kannst....

MfG Robert

Die Mail kommt von der TU Braunschweig

cu

Jochen

Hi,

mit dieser Sorte Mails hatte ich die letzten drei Tage auch Probleme. Nicht zustellbare Mails, immer wieder tauchte der Titel "goldfish" auf - habe aber diese Mails gar nicht verschickt. Hier mal das, was ich u. a. zurückbekommen habe:
from p508E646B.dip.t-dialin.net [80.142.100.107]

----- The following addresses had permanent fatal errors -----
<demon@pro-linux.de>
(reason: 550-We don't accept mail from open proxies -- see http://proxies.bl.kundenserver.de/)

----- Transcript of session follows -----
... while talking to mx01.kundenserver.de.:
>>> DATA
<<< 550-We don't accept mail from open proxies -- see http://proxies.bl.kundenserver.de/
<<< 550 mail from 165.21.101.94 rejected: administrative prohibition (host is blacklisted)
550 5.1.1 <demon@pro-linux.de>... User unknown
<<< 503 Valid RCPT TO <recipient> must precede DATA

Als Anhang taucht folgendes auf:

Fw: goldfish
Von:
"Holger.Wagemann"<Holger.Wagemann@t-online.de>
An:
demon@pro-linux.de
Datum:
Mon,16 Sep 2002 20:20:58 PM

charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<FONT></FONT>
Hi Dear<BR>Check the attach<BR>See u<BR><BR>.<BR>.<BR>More details attached<BR></BODY></HTML>

goldfish.mp3.pif


Stutzig machte mich, dass da unter anderem die Adresse demon@pro-linux.de drin war. Habe Demon von pro-linux heute morgen darüber per Mail berichtet und auch schon den Verdacht geäußert, dass mein PC als Mailverteiler missbraucht wird.

Habe ein Debian System mit dsl Flat, rp-pppoe und der dort integrierten Firewall. Vielleicht reicht die nicht. Habe von "ständig online" seit heute Mittag auf "dial on demand" umgestellt.

Vielleicht weiß noch jemand was über diese komischen Mails mit dem Titel "goldfish" und ähnlichem.

Grüße,
Holger

Kann mir eigentlich nicht vorstellen, das wenn du eine Firewall am laufen hast und richtig konfiguriert hast, das es dann möglich ist über deinen Computer Mails zu verschicken!

cu

Jochen

hmm, ich denke ein Moderator sollte das Thema mal verschieben --> Sicherheit!

Habe kurz mal das Attachement goldfish.mp3.pif von google.de überprüfen lassen:

http://viadrina.euv-frankfurt-o.de/~semkrem2/

Auf dieser Seite gibt es ca 20 fast gleichlautende Dateien, eine endet sogar mit .bin!

http://www.rswe.com/FCI/Sicherheit%20im%20Netz/%23903621

das habe ich auch noch gefunden!!!

http://www.bsi.de/av/vb/yahae.htm <-- ist definitiv ein Virus! soll aber angeblich nur Microsoft-Systeme befallen!!!

Sehts Euch mal an

cu

Jochen

Hi Jochen,

bei Deinem Link auf http://www.bsi.de/av/vb/yahae.htm bin ich fündig geworden. Solche Anhänge mit Endungen "goldfish.scr.pif etc. hatte ich nämlich auch. Habe von Mirko alias demon von pro-linux auch schon erine Antwort bekommen, werde ihm diesen Link auf jeden Fall posten.

Werde mir mal das aktuellen Antivir auf den PC laden.

Danke für Deine Hilfe.
Beste Grüße,
Holger

@holgerw: Hast du Microsoft noch drauf oder ist der Virus bei dir unter Linux aktiv gewesen???

cu

Jochen

Hi Jochen,

ich habe seit vielen Monaten kein Microsoft mehr drauf. Neuer Stand der Dinge:

Habe vor ner halben Stunde mir das aktuelle f-prot gesaugt, und einen "dumb" Scan der gesamten Festplatte gemacht.

Resultat: 1 infiziertes Objekt, ein VBS Exploit.C, gefunden im Mailmülleimer des Accounts meiner Freundin. Sie bearbeitet manchmal E-Mails, die mit ihrem Arbeitgeber zu tun haben, von zuhause. Ihr wird neben wichtigen Infos häufig auch ne Menge Werbemüll mit diversen Anhängen zugeschickt. Die infizierte Mail kam aus China. Hmmm, Mist, habe das Objekt gelöscht. Jedenfalls habe ich daraufhin auch bei ihr auf Arbeit angerufen. Dort waren auch noch einige Mails dieser Art im Mailmülleimer. Vermutlich fungierte das System aus China auch nur als Mailverteiler.

Hoffe, noch mal so was zu bekommen, um es dann genauer beschreiben zu können, bevor ich es dann lösche.

Grüße,
Holger

P.S.: Ach so, zu Deiner Frage, ob der Virus bei mir unter Linux "aktiv" wurde? Hmmm, kann ich nicht genau beurteilen. Bekommen habe ich ja einiges mit Titeln wie "friends", "goldfish" und ähnlichen Anhängen. Und dazu dann die oben schonmal gepostete unzustellbare Mail:

Returned mail: see transcript for details
Von: Mail Delivery Subsystem <MAILER-DAEMON@rs04.singnet.com.sg>
An: <Holger.Wagemann@t-online.de>
Datum: Tue, 17 Sep 2002 02:22:35 +0800

Bedeutet das, dass der Virus mein System genutzt hat? Habe gelesen, dass der Virus eine eigene smtp Routine im "Gepäck" hat. Das würde dann bedeuten: Der Virus kann zwar Linuxsysteme und dessen Mailfunktionen als Verteiler nutzen, die Systeme aber nicht infizieren.

Hi,

so, habe mal wieder ne Mail mit dem Titel "Goldfish" bekommen.
Hier der Mail Header:
Return-Path: <az-aachen@gmx.de>
Received: from rs04.singnet.com.sg ([165.21.101.94]) by mailin03.sul.t-online.de
with esmtp id 17sMDr-0UBnuaC; Fri, 20 Sep 2002 13:45:23 +0200
Received: from 165.21.101.94 (p508E6B9B.dip.t-dialin.net [80.142.107.155])
by rs04.singnet.com.sg (8.12.3/8.12.3) with SMTP id g8KBjGuc017954
for <Holger.Wagemann@t-online.de>; Fri, 20 Sep 2002 19:45:17 +0800
Message-Id: <200209201145.g8KBjGuc017954@rs04.singnet.com.sg>
From: az-aachen<az-aachen@gmx.de>
To: Holger.Wagemann@t-online.de
Subject: Fw: goldfish
Date: Fri,20 Sep 2002 13:43:39 PM
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=lqgvlmf
Status: R
X-Status: N

Die Mail hat einen Anhang mit dem Titel:
goldfish.txt.bat

Ein Scan mit dem aktuellen f-prot bringt auch eine Virusmeldung:
Search: /home/holger
Action: Report only
Files: "Dumb" scan of all files
Switches: <none>
/home/holger/Mail/inbox/cur/1032539384.461.OhmZ->goldfish.txt.bat Infection: W32/Lentin.F@mm

Grüße,
Holger

Wenn du ein reines Linux-System hast, brauchst du dir um "goldfisch" keine Sorgen machen. Zudem muss man das Programm (*.pif) auch noch manuell ausführen.

Du kannst dich an die abuse Abteilung der Telekom wenden, oder du lässt den Aufwand bleiben und lässt den Outlook user wo er ist. Es wird aber schon einer deiner Bekannten sein, vielleicht sogar deine Freundin mit ihrem Geschäftsaccount.:D

Hi Jinto,

ernstlich Sorgen um mein System mache ich mir nicht - aber ich will auch nicht ungewollt als Verteiler von diesem Müll fungieren.


Es wird aber schon einer deiner Bekannten sein, vielleicht sogar deine Freundin mit ihrem Geschäftsaccount

Nein, das kann nicht sein. Die arbeiten mit Netscape Messenger. Und wenn meine Freundin von zuhause Mails ihres Arbeitgebers bearbeitet, dann über ein GNU/Debian Linux System mit Sylpheed.:D :D :D

Mal abwarten, wie oft ich diesen Sche*** noch bekomme. Vielleicht werde ich mich mal mit E-Mail Filtern befassen müssen.

Grüße,
Holger

ich habe auch gerade wieder so eine mail bekommen:



From: Mail Delivery Subsystem <MAILER-DAEMON@rs04.singnet.com.sg>
To: <A.Keusch@gmx.at>
Subject: Returned mail: see transcript for details
Date: Sat, 21 Sep 2002 04:21:55 +0800

The original message was received at Sat, 21 Sep 2002 04:21:49 +0800
from p508E63A3.dip.t-dialin.net [80.142.99.163]

----- The following addresses had permanent fatal errors -----
<demon@pro-linux.de>
(reason: 550-We don't accept mail from open proxies -- see http://proxies.bl.kundenserver.de/)

----- Transcript of session follows -----
... while talking to mx01.kundenserver.de.:
>>> DATA
<<< 550-We don't accept mail from open proxies -- see http://proxies.bl.kundenserver.de/
<<< 550 mail from 165.21.101.94 rejected: administrative prohibition (host is blacklisted)
550 5.1.1 <demon@pro-linux.de>... User unknown
<<< 503 Valid RCPT TO <recipient> must precede DATA

ich verstehe das ganze so:
jemand verschickt gerne virus infizierte mails, und fälscht dabei die absenderadresse mit irgendwelchen namen die er im netz gefunden hatte.

und es schaut aus als wäre es ein t-online user:
The original message was received at Sat, 21 Sep 2002 04:21:49 +0800
from p508E63A3.dip.t-dialin.net [80.142.99.163]

vielleicht sollte ich mal eine mail an t-online schicken, die sollten ja laut aktueller c't alle daten noch gespeichert haben ...

jochen@debian:~$ whois 80.142.99.163
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 80.128.0.0 - 80.146.159.255
netname: DTAG-DIAL16
descr: Deutsche Telekom AG
country: DE
admin-c: DTIP-RIPE
tech-c: ST5359-RIPE
status: ASSIGNED PA
remarks: ************************************************** ***************
remarks: * ABUSE CONTACT: abuse@t-ipnet.de IN CASE OF HACK ATTACKS, *
remarks: * ILLEGAL ACTIVITY, VIOLATION, SCANS, PROBES, SPAM, ETC. *
remarks: ************************************************** ***************
notify: auftrag@nic.telekom.de
notify: dbd@nic.dtag.de
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20020108
source: RIPE

route: 80.128.0.0/11
descr: Deutsche Telekom AG, Internet service provider
origin: AS3320
mnt-by: DTAG-RR
changed: bp@nic.dtag.de 20010807
source: RIPE

person: DTAG Global IP-Adressing
address: Deutsche Telekom AG
address: Bayreuther Strasse 1
address: D-90409 Nuernberg
address: Germany
phone: +49 911 68909856
e-mail: ripe.dtip@telekom.de
nic-hdl: DTIP-RIPE
mnt-by: DTAG-NIC
changed: ripe.dtip@telekom.de 20020717
source: RIPE

person: Security Team
address: Deutsche Telekom AG
address: Technikniederlassung Schwaebisch Hall
address: D-89070 Ulm
address: Germany
phone: +49 731 100 84055
fax-no: +49 731 100 84150
e-mail: abuse@t-ipnet.de
nic-hdl: ST5359-RIPE
notify: auftrag@nic.telekom.de
notify: dbd@nic.dtag.de
mnt-by: DTAG-NIC
changed: auftrag@nic.telekom.de 20010321
source: RIPE


Das spuckt eine whois Abfrage zu deiner Mail aus! Also Mail an abuse!

cu

Jochen

so, ich hab jetzt mal eine mail an die telekom geschrieben, mal sehen ob da was zurückkommt ...

Klar kommt was zurück: Da steht dann drin das es der Provider T-Online ist und das es weitergeleitet wird und bearbeitet wird!

Hab schon mehrerer solcher Mails an abuse geschickt, (wegen Code Red...) habe aber bis jetzt immer nur eine Bestätigungsmail geschickt bekommen! Werde denen aber trotzdem weiterhin auf die Nerven gehen! :D

cu

Jochen

die werden auch nicht jedem Antworten, davon kann man eigentlich ausgehen! ! :D


Mir antwortet auch nie jemand!

Weder Puretec noch T-online noch gmx web.de usw. nur die Zeitschriften die Antworten immer!!!!!!!!

@Spike05
Ich kann mir nicht vorstellen, dass die wegen CodeRed (bei privat Personen) auch nur einen Finger rühren.

Ist ja auch egal, aber immer wenn ich gerad mal Zeit habe, wird das logfile untersucht und ca. 10 Mails an die geschickt! Wenn das jeder machen würde, hätten die evtl mehr interesse was zu unternehmen!

cu

Jochen