Virenmails kennen meine Adressen

Dieses Thema im Forum "Mail-Programme" wurde erstellt von Keks, 10. Juli 2002.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Keks

    Keks Kbyte

    Registriert seit:
    31. August 2000
    Beiträge:
    208
    Hallo
    Ich bekomme in letzter Zeit ziemlich häufig emails mit angehängten exe Dateien, die alle einen virus enthalten.
    Was mich dabei aber wundert ist, dass diese Mails eine mir bekannte Absenderadresse enthalten. (Aus meinem Adressbuch).
    Im Header sehe ich aber dass die mails in Wirklichkeit von xy@mail.ru kommen. Wie ist denn der Absender an diese Adresse gekommen? Trojaner oder ähnliches kann ich denke ich ausschließen. (Unter anderem wegen Zugang über Router).
    Die mir bekannten Absender haben auch nie (auch unwissentlich) solche Mails an mich geschickt.
    Woher kennt also ein Absender (mail.ru) meine Kontakte?
     
  2. Gast

    Gast Guest

    Grundsätzlich gilt: ALLES an einer Mail kann gefälscht werden, allerdings ist dies bei Klez im Header wohl nicht der Fall. Dass du mit der dort gezeigten Adresse nichts anfangen kannst, ist doch völlig normal! Überlege doch bloß mal, welche Unmengen von Leuten bewusst oder unbewusst im Besitz deiner Mailadresse sind, weil du diese auf irgend einer Webseite, in Foren, Gästebüchern oder in Mails angegeben hast! Hinzu kommen Typen, die ebensolche öffentlichen Foren zum Sammeln von Adressen nutzen um diese mit Spam zu versorgen oder weiter zu verkaufen. So gelangt deine Adresse bis in die entlegensten Winkel der Erde. Nicht zu vergessen die Möglichkeit, dass deine Adresse auch eine Zufallskombination anderer Adressen durch Klez sein kann.
    Stöhn...
     
  3. Keks

    Keks Kbyte

    Registriert seit:
    31. August 2000
    Beiträge:
    208
    Dass die Absenderadresse gefälscht wird hab ich ja auch verstanden. Die Frage ist ob man die Return Path Adresse die man nur im Quelltext sieht auch fälschen kann. Mit der Adresse die nämlich da steht kann ich nichts anfangen weil ich sie nicht kenne.

    Mit VBS hab ich auch weniger Probleme. Hier kommen pif und exe Dateien an.
     
  4. Gast

    Gast Guest

    Wie ja nun bereits mehrfach erklärt wurde FÄLSCHT Klez die Absenderadresse mit Hilfe der im Adressbuch und im BROWSERCACHE gefundenen Mailadressen eines beliebigen infizierten Opfers. FAST NIE stimmt diese mit dem tatsächlichen Absender überein. Jetzt endlich geschnallt?
    Nebenbei: Um mich vor VBS zu schützen, brauch ich kein extra Programm. Ich muss lediglich bei den Dateitypen festlegen, dass VBS-Dateien zukünftig standardmäßig mit einem Texteditor meiner Wahl gestartet werden(Rechtsklick+Shift, Öffnen mit...und Programm aussuchen, fertig) bzw. ich deinstalliere einfach den Windows Scripting Host.
     
  5. Keks

    Keks Kbyte

    Registriert seit:
    31. August 2000
    Beiträge:
    208
    Ich habe jetzt das Programm mal getestet:
    eemp.exe das ist das was du meintest oder?
    Also das is eigentlich nicht sehr wirkungsvoll. Wenn man auf Schutz aktivieren klickt ändert es nur etwas in der Registry und zwar werden *.vbs Dateien jetzt mit Notepad statt mit WScript.exe geöffnet. Wenn man den Schutz deaktiviert wird das wieder rückgängig gemacht.
    Außderm fragt es noch ein paar Sachen in der Registry ab, wo ich aber nichts mit anfangen kann. ZB:

    (Process)Eemp (Request)QueryValueEx (Path)HKCU\Control Panel\Microsoft Input Devices\Mouse\Exceptions\1000\Filename (Result)SUCCESS (Other)"OEM.zzz"
    Das hab ich mit dem Programm Registry Monitor entdeckt.
    Das eigentlich was es macht wird aber wahrscheinlich die vbs änderung sein.
    [Diese Nachricht wurde von Keks am 10.07.2002 | 18:08 geändert.]
     
  6. Keks

    Keks Kbyte

    Registriert seit:
    31. August 2000
    Beiträge:
    208
    Danke für den Link so ein Programm hab ich schon seit längerem gesucht. Ich werds mal testen.
    Die Emails kommen aber (dem Return path zufolge) von mail.ru. Und ich kenne keine Leute die da eine emailadresse haben. Oder ist dieser Absender auch gefälscht?
    Hier ist mal so ein Mailheader:

    From chebis@mail.ru Tue Jul 09 07:24:26 2002
    Return-Path: <chebis@mail.ru>
    X-Flags: 1001
    Delivered-To: GMX delivery to MeineAdresse@gmx.de
    Received: (qmail 17217 invoked by uid 0); 9 Jul 2002 07:24:25 -0000
    Received: from mx1.mail.ru (194.67.57.11)
    by mx0.gmx.net (mx032-rz3) with SMTP; 9 Jul 2002 07:24:25 -0000
    Received: from [172.178.201.64] (helo=Jlrrw)
    by mx1.mail.ru with smtp (Exim SMTP.1)
    id 17RpLr-000EKh-00
    for MeineAdresse@gmx.de; Tue, 09 Jul 2002 11:24:00 +0400
    From: freund <bekannter@xy.de>
    To: MeineAdresse@gmx.de
    Subject: Fw:(erster Teil meiner Adresse),sos!
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
    boundary=XZ76of2Km67Znx5050u8018q1T40845
    Message-Id: <E17RpLr-000EKh-00@mx1.mail.ru>
    Date: Tue, 09 Jul 2002 11:24:00 +0400

    die namen vor @mail.ru sind immer andere.
    Der Virus oder Wurm war bei der mail e Klez
    bei den Mails steht immer der selbe Absender (den ich kenn) nur der Return path ändert sich.
     
  7. Keks

    Keks Kbyte

    Registriert seit:
    31. August 2000
    Beiträge:
    208
    Ja ich benutze Outlook Express.
    Aber wie kommt denn eine Mailadresse aus Russland an einen virus von mir der meine Adressen geklaut hat.
    Oder kann es sein, dass als der Virus bei mir war er sich die Adressen gemerkt hat und dann mit meinen Adressen im Gepäck den nächsten Infiziert hat usw? Dann müsste der Virus doch aber immer größer werden.
    Also momentan ist der PC nicht verseucht, er wars aber einmal. Wenn er noch infiziert wäre könnte das ja sein, dass er mails an mich selber schickt. Ich denke aber er ist jetzt sauber.
     
  8. Gast

    Gast Guest

    Und um etwas mehr Klarheit in die letzte Aussage zu bringen:
    Klez und Co. benutzen das Adressbuch aber auch sehr oft den Browsercache, um Mailadresse zu extrahieren. Klez z.B. bastelt aus den so gewonnenen Adressen sogar neue, indem er den Teil vor dem @ und den hinteren Teil munter zusammenwürfelt.
    Es reicht also z.B. aus, das jemand mit Klez eine Webseite besucht, auf der DEINE Mailadresse steht, damit SEIN Klez Mails in DEINEM Namen verschickt, womöglich sogar an DICH.
     
  9. tpf

    tpf Halbes Megabyte

    Registriert seit:
    28. Januar 2002
    Beiträge:
    958
    Es sieht für mich aber stark danach aus, als hätte ein
    eMail-Virus zugeschlagen. Du verwendest nicht zufälligerweise
    Outlook Express von Microsoft ?

    Das würde einiges erklären. Von den Plagegeistern gibts einige
    dieser Kategorie, die nur darauf aus sind sich schnellstmöglich
    zu verbreiten. Und die einfachste Möglichkeit an (höchstwahrscheinlich gültige) eMail-Adressen zu kommen ist
    halt das Adressbuch des eMail-Clients vom User.
    Ich erinnere mich mit keinem guten Gefühl an den Love-Letter und Kletz (momentan ist der letzte sehr am wüten). Dem erstgenannten nutzte gerade dieses Adressbuch von Outlook.
    Er machte die gesamte Aktion authentischer. (und damit wirksamer)

    Gruß
    Robert
    [Diese Nachricht wurde von tpf am 10.07.2002 | 03:13 geändert.]
     
  10. dieschi

    dieschi CD-R 80

    Registriert seit:
    25. Januar 2002
    Beiträge:
    7.656
    Jepp, das ist genau das Programm bei dem Ich nicht wußte wie es arbeitet.
    Das Teil das ich benutze (eSecurityFree) darf ja nichtmehr verteilt werden (keine Ahnung warum).
    Hier hatte ich ne Erklärung zu dem Tool gepostet: http://forum.pcwelt.de/fastCGI/pcwforum/topic_show.fpl?tid=62087

    Gruß .. dieschi
     
  11. dieschi

    dieschi CD-R 80

    Registriert seit:
    25. Januar 2002
    Beiträge:
    7.656
    Es reicht schon wenn einer deiner Kumpels (der natürlich auch deine Mailsaddy hat) den Virus auf seinem PC hat!
    Das Teil verschickt sich dann komplett selbsständig an dich ohne das es dein Kumpel weiß ...

    Es gibt Tools um Mails vor dem Serverabruf nach solchen bösen Viren zu scannen.
    Eins der Tools wurde kurz nach erscheinen vom Programmierer wieder gelöscht (warum weiß ich nicht es ist absolut zuverlässig, nutze es schon seit 2 Monaten) und beim anderen weiß ich nciht wie es funktioniert .. du kannst dich aber selbst mal schlau machen:
    http://www.sven-hanl.de/apboard/thread.php?id=436&start=1#2

    Gruß .. dieschi
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen