[linux-l] E-Mailadresse eines Listenmitglieds als vermeintlicher Wurmversender

ah2003 at libertus.de ah2003 at libertus.de
Do Aug 5 08:22:08 CEST 2004 

Mail von georg <linux-l at mlists.in-berlin.de> zu "Re: [linux-l] 
xx" als" vom Donnerstag, 5. August 2004 0:38 beantworte ich 
wie folgt: 

> Ich kenne mich zwar mit Malware nicht gut aus, aber es sieht doch nach Lage 
> der Dinge so aus, daß Du trotz Vorsichtsmaßnahmen den Wurm eingefangen hast.

Das kann ich nicht bestätigen. Die Wirkweise von Netsky (gab 
es schon vor den Nazimails) und der Nazimails ist bekannt. Vor 
ca. 2 Monaten war ein Kollege von mir betroffen, mit dessen E-
Mailadresse diese Hassmails verschickt wurden.

Das einzige, wonach es aussieht, ist, dass ein Mitglied dieser 
Liste ist: Jemand, der (oder die) meine und die Listenadresse 
in beliebiger Weise auf seinem Rechner hat. Zu den 
"Verdächtigen" gehöre ich nicht mehr als alle anderen 
Listenteilnehmer - zumindest solange keine weiteren 
Anhaltspunkte hinzu kommen. Thomas hat mir die Header seiner 
angeblich von mir verschickten E-Mail geschickt. Darauf 
erkenne ich das gleiche Ursprungssystem wie die anderen (2-3) 
Wurmmails (alles Bounces!), die ich erhalten habe (alle E-
Mail-Adressen verändert): 

-------------8K-----------------------------------------------
>From [...] Wed Aug 04 19:17:14 2004
Return-Path: <[...]liste>
X-Flags: 1001
Delivered-To: GMX delivery to [... Adresse von Thomas]
Received: (qmail 13387 invoked by uid 65534); 4 Aug 2004 
19:17:14 -0000
Received: from einhorn.in-berlin.de (EHLO einhorn.in-
berlin.de)
(192.109.42.8)
  by mx0.gmx.net (mx017) with SMTP; 04 Aug 2004 21:17:14 +0200
X-Envelope-From: [...]liste
Received: from gnu.in-berlin.de (gnu.in-berlin.de 
[192.109.42.4])
    by einhorn.in-berlin.de (8.12.10/8.12.10/Debian-4) with 
ESMTP id
i74J5HDd031790;
    Wed, 4 Aug 2004 21:05:17 +0200
Received: from mlists.in-berlin.de (p508195D3.dip0.t-
ipconnect.de
[80.129.149.211])
    by gnu.in-berlin.de (8.12.11/8.12.11/Debian-4) with ESMTP 
id
i74J0mXI026423
    for <[...liste]>; Wed, 4 Aug 2004 21:00:48 +0200
Message-Id: <200408041900.i74J0mXI026423 at gnu.in-berlin.de>
From: [...meine E-Mail-Adr.]
To: [...Liste]

-------------8K-----------------------------------------------

Man kann Header bei Spamcop.net überprüfen lassen. Der Urheber 
ist hier meines Erachtens die Liste, falls sie von folgender 
IP verschickt wird: 80.129.149.211.

Von msn_newsletters, mit denen ich nichts zu schaffen habe, 
habe ich angeblich vom HOST libertus.de (den gibt es nicht!) 
eine Wurmmail erhalten. Was nach meinen Kenntniossen von 
Headern nicht gefälscht ist, ist die IP 80.129.149.211.

Ich habe die E-Mail erhalten, als ich online war und hatte 
selbst eine IP, die mit 217.... anfängt.

-------8k-----------------------------------------------------
X-Envelope-From: <msn_newslettersfr at hotmail.com>
X-Envelope-To: <ah2003 at libertus.de>
X-Delivery-Time: 1091645093
Received: from libertus.de (p508195D3.dip0.t-ipconnect.de [80.129.149.211])
	by mailin.webmailer.de (8.12.10/8.12.10) with ESMTP id i74Iioq1023807
	for <ah2003 at libertus.de>; Wed, 4 Aug 2004 20:44:51 +0200 (MEST)
Message-Id: <200408041844.i74Iioq1023807 at mailin.webmailer.de>
From: msn_newslettersfr at hotmail.com
To: ah2003 at libertus.de
Subject: Mail Delivery (failure ah2003 at libertus.de)
Date: Tue, 3 Aug 2004 11:36:52 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
	type="multipart/alternative";
	boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority: 3
X-MSMail-Priority: Normal
X-PMFLAGS: 570949760 0 1 PU0N5B3D.CNM                       

This is a multi-part message in MIME format.

-------8k-----------------------------------------------------

> 
> Also: AV-Programm laufen lassen oder Wurm (falls möglich) manuell entfernen?

Ich vergaß in meiner gestrigen E-Mail zu erwähnen, dass ich 
auch einen E-Mailscanner permanent laufen habe, der erst am 
Samstag seine Aktualisierung abholt hat (für den hier 
wirkenden Wurm ist das jedenfalls aktuell genug).

Heute abend, wenn ich von der Arbeit zurückkomme, besorge ich 
sicherheitshalber einmal den aktuellen Stinger von 
NAI/McAffee.

Gruß

Andreas


-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20040805/bd380369/attachment.html>

Mehr Informationen über die Mailingliste linux-l