Seltsame Email!

[dieter]

...100 ist schon saftig... bei mir sind es zur zeit täglich etwa 20 bis 30..... bleiben alle im NORTON Netz hängen....

[Cyrus]

Zitat:

Zitat von charlyvoss

jetzt werd ich aber langsam stinkig, was hab ich den Würmern getan? mögen die mich nicht? hab noch keine einzige Wurmmail bekommen

Warte,
ich schicke Dir mal welche!

[jfalkenstein]

Zitat:

Zitat von charlyvoss

jetzt werd ich aber langsam stinkig, was hab ich den Würmern getan? mögen die mich nicht? hab noch keine einzige Wurmmail bekommen

... und ich bin froh, daß ich davon noch nix gemerkt habe! Bei sind zwar einige Emails angekommen, deren Absender und Betreff reichlich ulkig aussehen, da ich aber grundsätzlich alles, von dem ich nicht ganz genau weiß, von wem es kommt (meine Adresse ist zum Glück privat, so daß ich keine Anfragen von Unbekannten erhalten kann), lösche, bin ich bis jetzt davon gekommen.

[charlyvoss]

Zitat:

Zitat von jfalkenstein

.... da ich aber grundsätzlich alles, von dem ich nicht ganz genau weiß, von wem es kommt lösche, bin ich bis jetzt davon gekommen.

so mach ich das ja auch

[Esmeralda]

Bei mir lieben sie die freenet-Adresse, kommen immer als Mailer Daemon - auf den anderen Adressen zum Glück noch nicht!

Anneke

[le loup]

Zitat:

Zitat von Anneke

Bei mir lieben sie die freenet-Adresse, kommen immer als Mailer Daemon - auf den anderen Adressen zum Glück noch nicht!

Anneke

hast du bei freenet den spamschutz aktiviert?
mittlere stufe reicht in fast allen fällen.
aktivieren kannst du den im office.

mailshell filtert ebenfalls recht gut
bei mir kommt seit tagen nix wurmiges an.

le loup

[Esmeralda]

ja hab ich :-(
aber selbst definiert, sollte ich noch mal nachgucken.....

Anke

[Esmeralda]

Hmmm,

bei freenet kann ich das in den Filterregeln nirgendwo unterbringen, nun wolte ich Outlook beibringen diese Mails gleich zu löschen, aber nirgendwo wird der Header oder Eintragungen darin berücksichtigt. Jetzt hab ich erst mal alle Mails mit Anlagen rot markieren lassen. Gern kommt das Viech ja auch als "undelivered mail" oder "mailer daemon" - aber die kann ich nicht alle löschen lassen weil da durchaus mal was kommt was ich wissen muß

Weiß jemand wie ich outlook soweit kriege, daß er alles, wo im header "x-warning: malware found steht, gleich rausschmeißt?

Anneke

[TomM]

Neue Variante von MyDoom unterwegs:

Zitat:

Hier sind die Information zu mydoom.b, die das Bundesamt für Sicherheit in der Informationstechnik zusammengetragen hat :
http://www.bsi.bund.de/av/vb/mydoomb.htm

Man sollte auch beachten, das dieser Wurm auch im KaZaA-Netzwerk sein Unwesen treibt.

Besonders perfide finde ich auch, das der Wurm nach einer Infektion den Port 80 benutzt, also den normalen http-Port, um Daten von aussen entgegenzunehmen.
Mit einer lokalen Firewall kann man den Wurm also gar nicht effektiv blockieren, sondern müsste auf einen Paket-Filter umrüsten, der sich am besten zwischen dem Arbeits-PC und dem Internet befindet.
Aber welche Privatperson treibt schon so einen Aufwand?

MyDoom.b ist nun superschlau und benutzt den Port 80

Lest euch den Link durch und benutzt das Symantec Tool!

[le loup]

Zitat:

Zitat von TomM

Neue Variante von MyDoom unterwegs:
...................
Lest euch den Link durch und benutzt das Symantec Tool!

moin
da steht doch deutlich geschrieben:

Zitat:

Der Wurm versendet sich in Dateien mit den Endungen .bat, .cmd, .exe, pif, .scr und .zip. Zusätzlich verbreitet er sich über den Downloadbereich des Peer-To-Peer-Netzwerks KaZaA.

wer heutzutage noch auf sowas klickt, egal ob mailanhang oder kazaa-download, ist merkbefreit und nicht mehr zu retten.

in den tauschbörsen oder irc-channels läuft das mittels "social engeneering". es werden crackprogramme angeboten, mit welchen sich sich löhnware illegal freischalten und kostenlos nutzen lässt.

wenn sich ein dieb oder betrüger bei seinem tun einen schaden zufügt habe ich kein mitleid mit ihm.

le loup

[le loup]

Zitat:

Zitat von Anneke

Hmmm,
................
Gern kommt das Viech ja auch als "undelivered mail" oder "mailer daemon" - aber die kann ich nicht alle löschen lassen weil da durchaus mal was kommt was ich wissen muß

Weiß jemand wie ich outlook soweit kriege, daß er alles, wo im header "x-warning: malware found steht, gleich rausschmeißt?

moin

einerseits sagst du, das eventuell ein mailrückläufer für dich wichtig ist, andererseits willste die rausschmeissen - zumindest wenn im header die besagte kennung steht.

ein echter rückläufer hat immer einen textteil in welchem der empfänger genannt wird. die eigentliche mail kann als anhang zurückgeliefert werden. welchen sinn macht es nun, diesen anhang zu betrachten?

du kannst demnach die vorhandene software Brain 1.0 erfolgreich nutzen und dich somit vor schaden bewahren.

wieviele wichtige rückläufer hattest du vor erscheinen dieser trickreichen software?

zu outlook(express):
es sollte doch möglich sein, eine regel mit dem inhalt "wenn die mail irgendwo x-warnig=blahblah enthält, dann mail shreddern" zu erstellen. falls outlook(express) das nicht kann ist der zeitpunkt gekommen um ernsthaft über deinstallation dieses programmes und ersatz durch ein besseres nachzudenken.

le loup - seit win95 ohne Oje

[TomM]

Och mann le loup,

da stand auch txt. für den "alten" Wurm, und wenn es sooooo klar wäre würden die Fragen nicht gestellt.

Du lesen bitte richtig, dieser Wurm ist saugefährlich weil er sich nicht an die bisherigen "konventionen" hält. Port 80 ist Quasi immer offen. Adressen scannt er aus dem Netz - ich habs bei mir gesehen wie eine Webmailer brav nur nach php Dateien gesucht hat. Dann kömmen die Forenadressen als Absender rein und keiner schöüft erst mal Verdacht.

Deine "einfachen" Ratschlägen wiegen die Leute in nicht vorhandener Sicherheit!

[dieter]

Zitat:

Zitat von le loup

wer heutzutage noch auf sowas klickt, egal ob mailanhang oder kazaa-download, ist merkbefreit und nicht mehr zu retten.
le loup

sei mir nicht böse, aber die sog. "alten hasen" oder "profis" vergessen halt immer wieder, dass es monat für monat auch einsteiger und anfänger gibt und man in das thema "computer" auch langsam hineinwachsen muss... man kann sich dies nicht alles auf einmal merken....

und wer dann mit den gleichen sätzen und floskeln wie oben argumentiert ist auch "nicht mehr zu retten" ....

genau dazu sind foren da... auch unser boote forum .....um hilfesuchenden auch hilfe zu bieten...
und wenn es darum geht, dass der computer ordentlich und gefahrenfrei läuft um auch unser thema boote zu diskutieren...


sorry aber das musste jetzt mal raus....

[le loup]

Zitat:

Zitat von dieter

Zitat:

sei mir nicht böse, aber die sog. "alten hasen" oder "profis" vergessen halt immer wieder, dass es monat für monat auch einsteiger und anfänger gibt und man in das thema "computer" auch langsam hineinwachsen muss... man kann sich dies nicht alles auf einmal merken....

und wer dann mit den gleichen sätzen und floskeln wie oben argumentiert ist auch "nicht mehr zu retten" ....

genau dazu sind foren da... auch unser boote forum .....um hilfesuchenden auch hilfe zu bieten...
und wenn es darum geht, dass der computer ordentlich und gefahrenfrei läuft um auch unser thema boote zu diskutieren...


sorry aber das musste jetzt mal raus....

und da stimme ich dir zunäxtmal völlig zu.
aber
das thema malware wird mittlerweile in epischer breite überall - insbesondere auch in den medien - diskutiert.
somit sollten auch neulinge der computerei bereits wissen, was man zu tun und zu lassen hat. und dazu gehört nunmal, seine neugier zu zügeln und nicht auf alles zu klicken, was nicht schnell genug wegrennt.
ein computer mit internetverbindung ist nunmal ein sehr komplexes teil. wer sowas in betrieb nimmt sollte sich halt informieren wie man damit umgeht.

machmal habe ich den eindruck, es ist ähnlich wie mit dem warnschild "frische farbe". die warnung wird ignoriert. die neugier obsiegt. und das passiert auch dann noch, wenn schon einige male besagte farbe an den fingern klebte.

ich bin mit sicherheit der letzte, der hilfesuchenden hilfe und informationen verweigert. aus genau diesem grunde habe ich schon vieles zur vermeidung von gefahren durch die bescheuerten grundeinstellungen der m$-ware geschrieben.

zum schluss noch was zum ursprünglichen thema "seltsame e-mail".
heute schlug erstmals ungeziefer mit dem anhang body.zip bei meiner ausschliesslich für dieses forum genutzten mailaddy auf. zumindest ein mitglied (oder gastleser?) dieses forums *hat nen verseuchten compi*.

wie kann das geschehen, wenn hier seit tagen und wochen über malware und gefahrenabwehr geschrieben wird? unwissenheit kann es nicht sein. bleibt nur: desinteresse an diesem problem.

um das ganze mal wieder anhand eines beispiels zu erklären:
regelmässig zum beginn der sommersaison sind die medien voller hinweise zur vermeidung von schäden durch hitze und zu starke sonneneinwirkung. trotzdem kümmern sich viele nicht darum, lassen kinder und haustiere in autos, setzen sich ohne schutz stundenlang der sonne aus.
also desinteresse an diesem problem. -> merkbefreiung

und das isses, was mich von zeit zu zeit auf den baum treibt.

le loup

[dieter]

.....alles klar.. auch das musste mal gesagt werden....

[TomM]

Der "neue" Typ geht um, Typ .B Mindestens 50 mails heute und der Virenscanner schlägt nicht an!

[dieter]

...mmmh... diese jungs sind eigentlich immer sehr fix... melden aber ..."wenig verbreitet" und wird von den scannern erkannt.... mmmmmh....

http://www.tu-berlin.de/www/software.../aktuell.shtml

[TomM]

Zitat:

Zitat von le loup

...
zum schluss noch was zum ursprünglichen thema "seltsame e-mail".
heute schlug erstmals ungeziefer mit dem anhang body.zip bei meiner ausschliesslich für dieses forum genutzten mailaddy auf. zumindest ein mitglied (oder gastleser?) dieses forums *hat nen verseuchten compi*.

le loup, genau deswegen redi ich mich hier wurmig, diese Mails kommen definitiv nicht vom Forum oder einem User, die Adressen werden gescannt und dann losgeschickt.

Ich bekomme heute sogar Mails von mir selbst, ist natürlich Käse, Eva, Marty, Frank@metasco.de schicken diese an vert***@metasco.de.

Die Variante B ist oberschlau, mit klicken hat das erst mal nichts zu tun.

Ich weiß, dass wir in die selbe Kerbe schlagen, aber es muß, gerade vor den Varianten gewarnt werden.

Übrigens, im Link von meinem Posting ist bei Symantec ein Removel Tool, die Scanner Soft war noch nicht soweit !

[TomM]

Seit heute wieder ein Neuer

Zitat:

[<<Vorige] [Nächste>>]

Microsoft von neuem Wurm attackiert

Die Hersteller von Antivirensoftware haben vor einem weiteren Wurm Doomjuice gewarnt, der über die auf MyDoom-infizierten Windows-PCs geöffnete Hintertür auf Port 3127 einbricht. Anders als der gestern gemeldete Wurm Deadhat deinstalliert er MyDoom (A oder B) nicht, sondern koexistiert mit den ersten Varianten. Zusätzlich startet er eine Denial-of-Service-Attacke gegen www.microsoft.com. Am gestrigen Montagvormittag waren die Webserver von Microsoft schwer zu erreichen. Nach Angaben von Netcraft sei dies schon auf die Attacken des neuen Wurms zurückzuführen.

Doomjuice kopiert auf befallenen Systemen zudem den Quellcode des MyDoom.A-Wurms in verschiedene Verzeichnisse. Weitere Schadroutinen hat der Wurm nicht, er öffnet auch keine weiteren Hintertüren, noch startet er Keylogger oder dergleichen.

Einige Hersteller haben neue Virensignaturen zur Verfügung gestellt. Diesmal gehört auch Symantec dazu, die ihre Signaturen für den LiveUpdate schon gestern aktualisierten -- angekündigt war ursprünglich der 11.Februar. Damit erkennt der Scanner Deadhat und Doomjuice. NAI dagegen bummelt immer noch hinterher und stellt seine DAT-Files für Deadhat/Vessel und Doomjuice erst am 11. Februar bereit. Microsoft hat sein Removal-Tool zur Entfernung von MyDoom.A und MyDoom.B erweitert, sodass nun auch Doomjuice von der Festplatte gefegt wird.

von hier: http://www.heise.de/newsticker/meldung/44457

[le loup]

Zitat:

Zitat von TomM

Zitat:

le loup, genau deswegen redi ich mich hier wurmig, diese Mails kommen definitiv nicht vom Forum oder einem User, die Adressen werden gescannt und dann losgeschickt.
..................snip
Ich weiß, dass wir in die selbe Kerbe schlagen, aber es muß, gerade vor den Varianten gewarnt werden.
.................

yep,
diese mails kommen nicht vom forum.
sie kommen von lesern des forums, deren compi verseucht ist.

ursprung ist die unter dem knopf/der schaltfläche "email" versteckte mailaddy der forumsmitglieder.
(siehe hierzu auch eine andere diskussion über aus dem forum geklaute mail-addys)

ist ein compi mit moderner malware verseucht, so scannt diese - unter anderem - den browsercache auf darin enthaltene mailddys. also alles nach dem muster blah@bläh. lass dir den quelltext dieser seite anzeigen und suche nach "mailshell".

einzige abhilfe dagegen bestünde darin, die email-mailaddy im profil zu löschen. das verhindert gleichzeitig erfolgreich die kommunikation der mitglieder per mail. wünschenswert ist das wohl nicht

vielleicht wäre es möglich, die mailaddy nicht mit den beiträgen des forums zu übertragen sondern bei click auf den knopf "email" aus der datenbank nachzuladen und ein "mailto:blah@bläh kommando" zu starten? keine ahnung, ob das mit der forumsoftware möglich ist.

es ist mittlerweile fast schon ein catch22 geworden.
willste dich vor mailaddyscannender malware schützen, dann musste internetautistisch werden.

ach war das noch schön, als auf jeder fremden diskette bootsektorviren lauerten

le loup

[TomM]

Das ist nicht ganz richtig le loup.

es gibt keine jane@me**co.de auch keinen Frank und keine Anna, geschickt werden die Würmer aber von denen - angeblich.

Der Wurm scannt Webweiten nach Adressen und klebt dann wahllos Namen dran, eben Jane@gefundenesite.com.

Erst wenn einer den Anhang aufmacht geht es los mir "echten Adressen" aus dem Adressbuch.

Ich hab den Webmailer zufällig gesehen wie er alle php seiten bei mir aufgerufen hat und nach @ gesucht hat, so kommt er erst mal an "gültige Adressen" für die Absender. Die Würmer werden verschickt und einige Trottelseiten weisen den Wurm ab. Du bekommst dann eine Mail (bei mit NZZ) zurück in der steht, dass Deine mail mit dem Virus MyDoom verseucht ist, im Anhang klebt das Dingens wieder.

Das alle Mails mit echter Website aber falscher Adresse an den Webmaster geleitet werden, laufen die nicht ins Leere sondern in einen Postkasten, manche treffen sogar den richitgen Namen und es geht weiter. Andere werden geöffnet und es geht auf dieser Schiene weiter.

Die DoS Attake hat nicht funktioniert, weil früh genug gewarnt wurde und die Vermehrung gut gestoppt wurde. Der neue Versuch schein besser zu laufen, vorgestern war Microsoft fast platt und heute morgen hat M$ zum download der Updates aufgerufen (im Radio).

Du siehst, le loup, Dein Mistrauen gegen die User hier ist nicht angebracht. Auf der anderen Seite hast Du den Wurm in seiner Art und Weise nicht richtig erkannt, das Ding ist saugefährlich, weil er pennetrant Mails schickt mit "existierenden" Adressen und irgendwann mal einer draufklickt.

Ich hab INet Zugang über einen Proxy, einen extra Rechner ohne diese blöde M$ Vernetzung, mein Port ist eher exotisch und meine IP wechselt dauernd. Deshalb bin ich recht sicher - früher hab ich nur gemerkt wenn ab und an mal ein Dialer versucht hat zu wählen - geht aber nicht weil ich dem Netz die direkte Verbindung nur vorgaukle.

Das kann fast jeder, der ne alte Kiste zuhause hat. Im Chip gabs mal nen Linux Proxy, der tut's schon. Nur kein INet sharing von M$ benutzen da ist null Sicherheit.

In diesem Sinne meine ich, lest das Zeug was ich hier zum Besten gebe. Ich posten keine Horrormeldungen ohne Hand und Fuss.

Diese MyDoom gehen neue Wege, so wie es mal bei den Dialern war, anfangs nur auf wenigen Seiten waren die auf einmal überall. Heute sind sie gottlob selten geworden. Verbreitet hatten sie sich eben durch die Pennetranz mit der sie auftraten. Irgendwann klickt immer einer falsch drauf, auch ich.

Deshalb le loup nochmal, verharmlose das Ding nicht und ziehe keine falschen Schlüsse.

[Cyrus]

Auf Radio Hamburg wurde auch zum Update aufgefordert.

Denn letzen Server Update habe ich vor zwei Wochen durchgeführt.
Jetzt sind wieder 39 wichtige Updates und ca. 36,9 MB fällig.

Das erkläre mal einer meinen Apple... Der macht immer nur so:

[TomM]

Du brauchst nur die "kritischen Updates" die "wichtigen" sind nix Wert, Cyrus.

Der Apple wäre genauso mies wenn es sich lohnen würde einen Virus für die paar zu programmieren.

[Cyrus]

Zitat:

Zitat von TomM

Du brauchst nur die "kritischen Updates" die "wichtigen" sind nix Wert, Cyrus.

Der Apple wäre genauso mies wenn es sich lohnen würde einen Virus für die paar zu programmieren.

Kritische Updates habe ich nicht gesehen.
Aber das Radio Update ist dabei.

Wußtest Du das unter dem Apple Betriebssystem 9.x der sicherste Webserver läuft? Selbst die US-Arme benutzt diese Server.

Allerdings muß ich sagen, das mit der Einführung von System 10.x (Linux/Unix) das neue Betriebsystem nicht mehr sicher ist.

Ich bleibe bei 9.2 so lange es geht.

[le loup]

tom,
wir sprechen über dasselbe problem, sehen es aber aus unterschiedlichem blickwinkel.

Zitat:

Zitat von TomM

Das ist nicht ganz richtig le loup.

hm, dann schaunwamal

Zitat:

es gibt keine jane@me**co.de auch keinen Frank und keine Anna, geschickt werden die Würmer aber von denen - angeblich.

Der Wurm scannt Webweiten nach Adressen und klebt dann wahllos Namen dran, eben Jane@gefundenesite.com.

stimmt, nicht nur mydoom fälscht die absenderdaten.

Zitat:

Erst wenn einer den Anhang aufmacht geht es los mir "echten Adressen" aus dem Adressbuch.

stimmt. dann wird $malware intalliert und sucht unter anderem auch nach empfängeradressen. diese können im adressbuch von windows vorhanden sein, so man denn ein solches adressbuch hat. sie können ebenfalls im browsercache vorhanden sein. etliche moderne malware scannt auch den browsercache.

Zitat:

Ich hab den Webmailer zufällig gesehen wie er alle php seiten bei mir aufgerufen hat und nach @ gesucht hat, so kommt er erst mal an "gültige Adressen" für die Absender.

das ist ein zusätzliches problem der betreiber von foren und websites.
daher meine frage ob es vielleicht möglich ist, die mailddy erst bei klick auf den entsprechenden knopf nachzuladen. das würde zumindest forumteilnehmer vor schnüffelei im browsercache und einfachen scripten schützen.

Zitat:

Die Würmer werden verschickt und einige Trottelseiten weisen den Wurm ab. Du bekommst dann eine Mail (bei mit NZZ) zurück in der steht, dass Deine mail mit dem Virus MyDoom verseucht ist, im Anhang klebt das Dingens wieder.

und es gibt keinen grund, einen solchen anhang zu öffnen.
es sei denn der "frisch-gestrichen-effekt".
genau das meinte ich doch. wenn sogar schon freundlicherweise der hinweis "achtung! verseuchte mail" vorhanden ist ....

ich glaube, man könnte mit grossem erfolg mails verschicken mit dem subject "Dies ist eine Virenmail - nicht klicken" und die leute würden trotzdem aus purer nuegier die malware aktivieren.

------snip

Zitat:

Du siehst, le loup, Dein Mistrauen gegen die User hier ist nicht angebracht. Auf der anderen Seite hast Du den Wurm in seiner Art und Weise nicht richtig erkannt, das Ding ist saugefährlich, weil er pennetrant Mails schickt mit "existierenden" Adressen und irgendwann mal einer draufklickt.

von misstrauen gegen die user war keine rede. malware ist immer gefährlich, wenn sie aktiviert wird. egal ob mydoom oder sonstwas.
mein misstrauen richtet sich gegen jede mail, die ich erhalte.
einzige ausnahme: plain-text ohne anhang.

Zitat:

...
Deshalb bin ich recht sicher - früher hab ich nur gemerkt wenn ab und an mal ein Dialer versucht hat zu wählen - geht aber nicht weil ich dem Netz die direkte Verbindung nur vorgaukle.

was hat ein dialer mit ner netzverbindung zu tun?
du meinst wohl das problem modem/isdnkarte.

Zitat:

Das kann fast jeder, der ne alte Kiste zuhause hat. Im Chip gabs mal nen Linux Proxy, der tut's schon.

du meinst wahrscheinlich FLI4L (fli4linux).

Zitat:

Nur kein INet sharing von M$ benutzen da ist null Sicherheit.

noch besssser: möglichst nix von m$ benutzen.
aber das lässt sich vielfach nicht ohne weiteres verwirklichen - leider

Zitat:

Ich posten keine Horrormeldungen ohne Hand und Fuss.

hier gehen unsere meinungen auseinander. mich interessiert es nicht die bohne, ob irgendeine malware nun SCO oder M$ angreift. ne malware die echelon erfolgreich lahmlegt würde ich sogar unterstützen.

mich interessiert nur eines: wie kann man vermeiden, dass malware installiert wird.

Zitat:

..........
Irgendwann klickt immer einer falsch drauf, auch ich.

das ist auch meine grösste sorge.

Zitat:

Deshalb le loup nochmal, verharmlose das Ding nicht und ziehe keine falschen Schlüsse.

ssshhhhhhh - nicht so laut, bitte

ich betrachte die entwicklung diverser malware jedoch sehr distanziert. der feind versteckt sich in der dunkelheit. beleuchten wir ihn mit dem licht unseres wissens so wird er sichtbar und schrumpft auf ein überschaubares mass.

um diesen beitrag mal wieder mit einem beispiel abzuschliessen:
greifst du in der dunkelheit nach einem scharfen messer, nach glasscherben oder einem säurebehälter, so besteht höchste verletzungsgefahr. beleuchte das gefährliche teil, packe es an der richtigen stelle - und es ist für dich harmlos.

le loup