[linux-l] E-Mailadresse eines Listenmitglieds als vermeintlicher Wurmversender
ah2003 at libertus.de
ah2003 at libertus.de
Do Aug 5 08:22:08 CEST 2004
Mail von georg <linux-l at mlists.in-berlin.de> zu "Re: [linux-l]
xx" als" vom Donnerstag, 5. August 2004 0:38 beantworte ich
wie folgt:
> Ich kenne mich zwar mit Malware nicht gut aus, aber es sieht doch nach Lage
> der Dinge so aus, daß Du trotz Vorsichtsmaßnahmen den Wurm eingefangen hast.
Das kann ich nicht bestätigen. Die Wirkweise von Netsky (gab
es schon vor den Nazimails) und der Nazimails ist bekannt. Vor
ca. 2 Monaten war ein Kollege von mir betroffen, mit dessen E-
Mailadresse diese Hassmails verschickt wurden.
Das einzige, wonach es aussieht, ist, dass ein Mitglied dieser
Liste ist: Jemand, der (oder die) meine und die Listenadresse
in beliebiger Weise auf seinem Rechner hat. Zu den
"Verdächtigen" gehöre ich nicht mehr als alle anderen
Listenteilnehmer - zumindest solange keine weiteren
Anhaltspunkte hinzu kommen. Thomas hat mir die Header seiner
angeblich von mir verschickten E-Mail geschickt. Darauf
erkenne ich das gleiche Ursprungssystem wie die anderen (2-3)
Wurmmails (alles Bounces!), die ich erhalten habe (alle E-
Mail-Adressen verändert):
-------------8K-----------------------------------------------
>From [...] Wed Aug 04 19:17:14 2004
Return-Path: <[...]liste>
X-Flags: 1001
Delivered-To: GMX delivery to [... Adresse von Thomas]
Received: (qmail 13387 invoked by uid 65534); 4 Aug 2004
19:17:14 -0000
Received: from einhorn.in-berlin.de (EHLO einhorn.in-
berlin.de)
(192.109.42.8)
by mx0.gmx.net (mx017) with SMTP; 04 Aug 2004 21:17:14 +0200
X-Envelope-From: [...]liste
Received: from gnu.in-berlin.de (gnu.in-berlin.de
[192.109.42.4])
by einhorn.in-berlin.de (8.12.10/8.12.10/Debian-4) with
ESMTP id
i74J5HDd031790;
Wed, 4 Aug 2004 21:05:17 +0200
Received: from mlists.in-berlin.de (p508195D3.dip0.t-
ipconnect.de
[80.129.149.211])
by gnu.in-berlin.de (8.12.11/8.12.11/Debian-4) with ESMTP
id
i74J0mXI026423
for <[...liste]>; Wed, 4 Aug 2004 21:00:48 +0200
Message-Id: <200408041900.i74J0mXI026423 at gnu.in-berlin.de>
From: [...meine E-Mail-Adr.]
To: [...Liste]
-------------8K-----------------------------------------------
Man kann Header bei Spamcop.net überprüfen lassen. Der Urheber
ist hier meines Erachtens die Liste, falls sie von folgender
IP verschickt wird: 80.129.149.211.
Von msn_newsletters, mit denen ich nichts zu schaffen habe,
habe ich angeblich vom HOST libertus.de (den gibt es nicht!)
eine Wurmmail erhalten. Was nach meinen Kenntniossen von
Headern nicht gefälscht ist, ist die IP 80.129.149.211.
Ich habe die E-Mail erhalten, als ich online war und hatte
selbst eine IP, die mit 217.... anfängt.
-------8k-----------------------------------------------------
X-Envelope-From: <msn_newslettersfr at hotmail.com>
X-Envelope-To: <ah2003 at libertus.de>
X-Delivery-Time: 1091645093
Received: from libertus.de (p508195D3.dip0.t-ipconnect.de [80.129.149.211])
by mailin.webmailer.de (8.12.10/8.12.10) with ESMTP id i74Iioq1023807
for <ah2003 at libertus.de>; Wed, 4 Aug 2004 20:44:51 +0200 (MEST)
Message-Id: <200408041844.i74Iioq1023807 at mailin.webmailer.de>
From: msn_newslettersfr at hotmail.com
To: ah2003 at libertus.de
Subject: Mail Delivery (failure ah2003 at libertus.de)
Date: Tue, 3 Aug 2004 11:36:52 +0200
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority: 3
X-MSMail-Priority: Normal
X-PMFLAGS: 570949760 0 1 PU0N5B3D.CNM
This is a multi-part message in MIME format.
-------8k-----------------------------------------------------
>
> Also: AV-Programm laufen lassen oder Wurm (falls möglich) manuell entfernen?
Ich vergaß in meiner gestrigen E-Mail zu erwähnen, dass ich
auch einen E-Mailscanner permanent laufen habe, der erst am
Samstag seine Aktualisierung abholt hat (für den hier
wirkenden Wurm ist das jedenfalls aktuell genug).
Heute abend, wenn ich von der Arbeit zurückkomme, besorge ich
sicherheitshalber einmal den aktuellen Stinger von
NAI/McAffee.
Gruß
Andreas
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20040805/bd380369/attachment.html>
Mehr Informationen über die Mailingliste linux-l