E-Mail Angiffe
 

In letzten Tagen bekam ich insgesammt 5 E-Mails mit angehängten Viren, was Norton Antivirus aber sofort erkannte. Einige kamen angeblich von einer italienischen E-Mail Adresse (Mit der Werbung eines polnischen FreE-Mail hosts, wie Clever!), zwei angeblich von Postmaster@Chello als unzustellbare E-Mails (In Englich verfasster Text, wie Clever!), daher nehme ich an daß jemand gezielt mich als Zielscheibe gewählt hat, wobei er immer wieder denselben Virus verschickt und hoft daß ich blöd genug wäre so etwas zu öffnen.
Mit Sam Spade konnte ich die wirkliche Absendeadresse nicht ermitteln, weiß daher Jemand ob es eine andere, bessere Methode gibt um den Absender auszuforschen? Am besten mit IP Adresse, damit ich ihn etwas erschrecken kann.

lies dir die email header........

E-Mail Header:
Betreff:
Undeliverable mail--"border"
Datum:
Tue, 19 Mar 2002 19:52:32 +0100
Von:
postmaster <postmaster@chello.at>
An:
xxx@chello.at


The following mail can't be sent to diele_@libero.it:

From: xxx@chello.at
To: diele_@libero.it
Subject: border
The file is the original mail

+Attachement mit Virus

Das war der Header (xxx=meine Adresse) sowie die E-Mail, aber wie gesagt, diese Absenderadresse (Nicht Postmaster, sondern diele, oder auch eryc@inwind.it, an die ich nachweislich nie eine Mail geschickt habe) ist ein Fake, das kann ich auch machen. Die E-Mails kommen wie gesagt immer von einer anderen .it Adresse oder von Postmaster (!), und den Ursprung habe ich schon in Polen lokalisiert, aber weiter komme ich nicht.

zeig bitte den quelltext -header

ja - die vollständigen - bei OE findest die in den eigenschaften der mail....

--qu

installier dir mal ein mail tracer programm.
das wirft die die ursprungsquelle sofort grafisch wie auch im detail aus (z.b. emailtracker pro)

Eigenschaften der E-Mail kann ich in Netscape nicht finden, aber dank dem Tip habe ich das hier gefunden bei Seitenquelltext:

Return-Path: <isztriaifiumei.kert.board@katamail.com>
Received: from mta2.alephint.it ([194.153.172.195])
by viefep13-int.chello.at
(InterMail vM.5.01.03.06 201-253-122-118-106-20010523) with ESMTP
id <20020319170241.ZWMQ8119.viefep13-int.chello.at@mta2.alephint.it>
for <xxx@chello.at>; Tue, 19 Mar 2002 18:02:41 +0100
Received: from Nhd ([62.211.29.156]) by mta2.alephint.it with SMTP
id <20020319170303.CUMF27876.mta2@Nhd> for <xxx@chello.at>;
Tue, 19 Mar 2002 18:03:03 +0100
From: postmaster <postmaster@chello.at>
To: xxx@chello.at
Subject: Returned mail--"border"
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=U973YYOx8520MUv94V4aG2l7V769vx0tWE
Message-Id: <20020319170303.CUMF27876.mta2@Nhd>
Date: Tue, 19 Mar 2002 18:03:13 +0100
X-Mozilla-Status: 8001
X-Mozilla-Status2: 00000000
X-UIDL: <20020319170303.CUMF27876.mta2@Nhd>

--U973YYOx8520MUv94V4aG2l7V769vx0tWE
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>

<FONT>The following mail can't be sent to eryc@inwind.it:



From: xxx@chello.at

To: eryc@inwind.it

Subject: border

The attachment is the original mail</FONT></BODY></HTML>

--U973YYOx8520MUv94V4aG2l7V769vx0tWE
Content-Type: plain/text;
name="Norton AntiVirus-Bericht - 1.txt"[10].pif
Content-Transfer-Encoding: base64
Content-ID: <J06l6q1a7fq9X>

RGllIERhdGVpICJtZXNzIiBpc3QgbWl0IGRlbSBWaXJ1cyAiVz MyLktsZXouRUBtbSIgaW5m
aXppZXJ0Lg0NCkRpZSBEYXRlaSB3dXJkZSB2b24gTm9ydG9uIE FudGlWaXJ1cyBpc29saWVy
dC5UdWVzZGF5LCBNYXJjaCAxOSwgMjAwMiAgMTk6MzkNCg==
--U973YYOx8520MUv94V4aG2l7V769vx0tWE
--U973YYOx8520MUv94V4aG2l7V769vx0tWE
Content-Type: application/octet-stream;
name=mess[10].htm
Content-Transfer-Encoding: base64
Content-ID: <J06l6q1a7fq9X>

PGh0bWw+CjxoZWFkPgo8dGl0bGU+SGVybWVzIC0gbWVzc2FnZ2 VybyB2aXJ0dWFsZTwvdGl0
bGU+CjxtZXRhIGh0dHAtZXF1aXY9ImV4cGlyZXMiIGNvbnRlbn Q9Ik1vbiwgMDEgSmFuIDE5
OTAgMDE6MDA6MDAgR01UIj4KPG1ldGEgaHR0cC1lcXVpdj0iZX hwaXJlcyIgY29udGVudD0i
bm93Ij4KPG1ldGEgaHR0cC1lcXVpdj0icHJhZ21hIiBjb250ZW 50PSJuby1jYWNoZSI+Cjwv
aGVhZD4KPGJvZHk+CjxjZW50ZXI+Cjx0YWJsZSB3aWR0aD0iMz AwIiBib3JkZXI9IjAiIGNl
bGxzcGFjaW5nPSIwIiBjZWxscGFkZGluZz0iMCIgYmFja2dyb3 VuZD0iL2ltYWdlcy9ncmFm
aWNhL3N0dWRlbnRjaXR5L2hlcm1lcy9oZXJtZXNfYmcuZ2lmIj 4gCiAgPHRyIGJhY2tncm91
bmQ9Ii9pbWFnZXMvZ3JhZmljYS9zdHVkZW50Y2l0eS9oZXJtZX MvaGVybWVzX2JnLmdpZiI+
PHRkIGJhY2tncm91bmQ9Ii9pbWFnZXMvZ3JhZmljYS9zdHVkZW 50Y2l0eS9oZXJtZXMvaGVy
bWVzX2JnLmdpZiI+PGltZyBzcmM9Ii9pbWFnZXMvZ3JhZmljYS 9zdHVkZW50Y2l0eS9oZXJt
ZXMvaGVybWVzX3Rlc3RhdGEuZ2lmIiB3aWR0aD0iMjk0IiBoZW lnaHQ9IjY1Ij48L3RkPjwv
dHI+IAoKPGZvcm0gYWN0aW9uPSIvc3R1ZGVudGNpdHkvbWVtYm Vycy9tZXNzLnBocCIgbWV0
aG9kPSJwb3N0Ij4KICA8dHIgYmFja2dyb3VuZD0iL2ltYWdlcy 9ncmFmaWNhL3N0dWRlbnRj
aXR5L2hlcm1lcy9oZXJtZXNfYmcuZ2lmIj48dGQgYmFja2dyb3 VuZD0iL2ltYWdlcy9ncmFm
aWNhL3N0dWRlbnRjaXR5L2hlcm1lcy9oZXJtZXNfYmcuZ2lmIj 48Y2VudGVyPgoJPHRhYmxl
IHdpZHRoPSIyNjAiIGNlbGxzcGFjaW5nPSIwIiBjZWxscGFkZG luZz0iMCIgYm9yZGVyPSIw
IiBiYWNrZ3JvdW5kPSIiPgoJPHRyIGJhY2tncm91bmQ9IiI+PH RkIHdpZHRoPSIyNjAiIGJh
Y2tncm91bmQ9IiI+PGZvbnQgZmFjZT0iVmVyZGFuYSxBcmlhbC xIZWx2ZXRpY2EiIHNpemU9
IjIiIGNvbG9yPSJibGFjayI+PGJyPgoJPHRhYmxlIHdpZHRoPS IxMDAlIiBjb2xzPSIyIiBj
ZWxsc3BhY2luZz0iMCIgY2VsbHBhZGRpbmc9IjAiIGJvcmRlcj 0iMCIgYmFja2dyb3VuZD0i
Ij4KCTx0ciBiYWNrZ3JvdW5kPSIiPgoJPHRkIHdpZHRoPSI1MC UiIGJhY2tncm91bmQ9IiIg
YWxpZ249ImxlZnQiIHZhbGlnbj0ibWlkZGxlIj48Zm9udCBmYW NlPSJWZXJkYW5hLEFyaWFs
LEhlbHZldGljYSIgc2l6ZT0iMiIgY29sb3I9ImJsYWNrIj4KCT xmb250IGNvbG9yPSJkYXJr
Ymx1ZSI+QXV0b3JlOjwvZm9udD4gPGI+PGEgaHJlZj0iL3VzZX IvbGFzaXNzaSIgdGFyZ2V0
PSJfYmxhbmsiPkxhc2lzc2k8L2E+PC9iPgoJPC9mb250PjwvdG Q+Cgk8dGQgd2lkdGg9IjUw
JSIgYmFja2dyb3VuZD0iIiBhbGlnbj0icmlnaHQiIHZhbGlnbj 0ibWlkZGxlIj48Zm9udCBm
YWNlPSJWZXJkYW5hLEFyaWFsLEhlbHZldGljYSIgc2l6ZT0iMi IgY29sb3I9ImRhcmtibHVl
Ij4KCVsxNi8wMyAyMTozMF0KCTwvZm9udD48L3RkPgoJPC90cj 4KCTwvdGFibGU+Cgk8YnI+
CglmaWRhdGkgZGkgbGVpLi4uCTxicj4KCTxicj4KCTxpbnB1dC BuYW1lPSJ1c2VyaWQiIHR5
cGU9ImhpZGRlbiIgdmFsdWU9ImMwNjU0YWVjNjIyOWI2N2ZkM2 ZmMzY2YzZkMDdjMWYwIj4K
CTxpbnB1dCBuYW1lPSJhY3Rpb24iIHR5cGU9ImhpZGRlbiIgdm FsdWU9ImNvbXBvc2UiPgoJ
PGlucHV0IG5hbWU9ImRlc3RpbmF0YXJpbyIgdHlwZT0iaGlkZG VuIiB2YWx1ZT0ibGFzaXNz
aSI+Cgk8aW5wdXQgbmFtZT0idGVzdG8iIHR5cGU9ImhpZGRlbi IgdmFsdWU9ImZpZGF0aSBk
aSBsZWkuLi4iPgoJPC9mb250PjwvdGQ+PC90cj4KCTwvdGFibG U+CiAgPC9jZW50ZXI+PC9m
b250PjwvdGQ+PC90cj4gCiAgPHRyIGJhY2tncm91bmQ9Ii9pbW FnZXMvZ3JhZmljYS9zdHVk
ZW50Y2l0eS9oZXJtZXMvaGVybWVzX2JnLmdpZiI+PHRkIGJhY2 tncm91bmQ9Ii9pbWFnZXMv
Z3JhZmljYS9zdHVkZW50Y2l0eS9oZXJtZXMvaGVybWVzX2JnLm dpZiI+PGlucHV0IHR5cGU9
ImltYWdlIiBzcmM9Ii9pbWFnZXMvZ3JhZmljYS9zdHVkZW50Y2 l0eS9oZXJtZXMvaGVybWVz
X3JlcGxpY2EuZ2lmIiBib3JkZXI9IjAiPjwvdGQ+PC90cj4gCj wvZm9ybT4KCTwvdGFibGU+
Cjx0YWJsZSB3aWR0aD0iMzAwIiBib3JkZXI9IjAiIGNlbGxzcG FjaW5nPSIwIiBjZWxscGFk
ZGluZz0iMCI+IAogIDx0ciBiZ2NvbG9yPSIjNkI5NEU4Ij48dG QgYmdjb2xvcj0iIzZCOTRF
OCI+Jm5ic3A7PC90ZD48L3RyPiAKPC90YWJsZT4gCjx0YWJsZS B3aWR0aD0iMzAwIiBib3Jk
ZXI9IjAiIGNlbGxzcGFjaW5nPSIwIiBjZWxscGFkZGluZz0iMC I+IAo8dHIgYmdjb2xvcj0i
IzZCOTRFOCI+PHRkIGJnY29sb3I9IiM2Qjk0RTgiIGFsaWduPS JjZW50ZXIiPjxhIGhyZWY9
Ii9nbz8veWV0IiB0YXJnZXQ9Il9ibGFuayI+PGltZyBzcmM9Ii 9pbWFnZXMvZ3JhZmljYS9z
dHVkZW50Y2l0eS9oZXJtZXMvYmFubmVyNF9oZXJtZXMuZ2lmIi Bib3JkZXI9IjAiPjwvYT48
L3RkPjwvdHI+CjwvdGFibGU+IAo8L2NlbnRlcj4KPC9ib2R5Pg o8L2h0bWw+Cj==
--U973YYOx8520MUv94V4aG2l7V769vx0tWE--

Meine Adresse habe ich wieder durch xxx ersetzt. isztriaifiumei.kert.board@katamail.com ist wohl dann der Absender?

richtig.
und die ip's sind die die er passiert hat auf dem weg zu dir.

ist italiener mit ip 62.211.29.156

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
| Sprung | % Verlust | IP-Adresse | Bezeichnung des Knotens | Lage | Zeitzone | ms | Graph | Netzwerk |
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
| 4 | | 213.46.173.25 | at-vie-rd-04-ge-2-1.chellonetwork.com | - | | 0 | x | Chello Broadband |
| 5 | | 213.46.160.133 | at-vie-rc-02-ge-2-1.chellonetwork.com | - | | 6 | x----- | ?213.46.160.133 |
| 6 | | 213.46.160.125 | fr-par-rc-02-pos-4-0.chellonetwork.com | - | | 36 | x- | ?213.46.160.125 |
| 7 | | 213.46.160.65 | fr-par-rc-01-pos-1-0.chellonetwork.com | - | | 37 | x- | ?213.46.160.65 |
| 8 | | 213.46.160.70 | de-fra-rc-01-pos-3-0.chellonetwork.com | - | | 45 | x | ?213.46.160.70 |
| 9 | | 213.46.160.94 | de-fra-rd-01-pos-1-0.chellonetwork.com | - | | 41 | x | ?213.46.160.94 |
| 10 | | 213.46.179.14 | - | | | 49 | x | ?213.46.179.14 |
| 11 | | 80.81.192.194 | - | | | 48 | x------- | ?80.81.192.194 |
| 12 | | 195.22.208.7 | ge9-0-mil8-mila.mil.seabone.net | | | 62 | x | ?195.22.208.7 |
| 13 | | 195.22.196.82 | ibs-10adsl-it-mil5.seabone.net | | | 60 | x | ?195.22.196.82 |
| 14 | 10 | 151.99.75.218 | r-mi213-fa4.interbusiness.it | Milan, Italy | +01:00 | 62 | -x | ?151.99.75.0 |
| 15 | | 195.31.96.238 | r-ge028-4.interbusiness.it | Genova, Italy | +01:00 | 71 | x-- | ?195.31.96.238 |
| 16 | | 62.211.29.156 | - | | | 115 | x- | ?62.211.29.156 |
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
Roundtrip-Zeit für 62.211.29.156, durchschnittlich = 115ms, min. = 110ms, max. = 120ms -- 19.3.2002 22:23:42

bei mir folgendes ergebnis:

194.185.98.179
rom/italy

:confused:

wie hast es ermittelt?

habe mal vorsichtshalber mir den header angesehen:

Received: from Nhd ([62.211.29.156]) by mta2.alephint.it with SMTP
dürfte daher wirklich von 62.211.29.156 stammen.

Super, danke, das hat sehr geholfen, jetzt habe ich ihn bald. Interessant was man aus so einem Header alles herauslesen kann. Man lernt nie aus.

sorry war falsche dateninfo

62.211.29.156

inetnum: 62.211.29.0 - 62.211.29.255
netname: TIN
descr: Telecom Italia Net
descr: Telecom Italia Net ADSL Lite in OSPF Area 10
descr: PROVIDER
country: IT
admin-c: TAS10-RIPE
tech-c: TAS10-RIPE
status: ASSIGNED PA
remarks: Please send abuse notification to abuse@tin.it
notify: nettin@tin.it
mnt-by: TIN-MNT
changed: nettin@tin.it 20010216
source: RIPE


route: 62.211.0.0/16
descr: INTERBUSINESS
origin: AS3269
remarks: Please report spam/abuse notification to abuse@tin.it
notify: network@cgi.interbusiness.it
mnt-by: INTERB-MNT
changed: network@cgi.interbusiness.it 20011029
source: RIPE


mail an abuse@tin.it mit den vollständigen email headern und der ip 62.211.29.156, sowie der tatsache dass er dir einen mailwurm geschickt hat....

--qu

Danke, bin schon kräftigst dabei! Hoffe daß das Abuse Team ihm kräftig einheizt.

Seltsam, aber anscheinend existiert die e-mail isztriaifiumei.kert.board@katamail.com überhaupt gar nicht... Na ja, ich hoffe daß die Italierner trotzdem Erfolg haben.

@LDIR

Du hast doch Sam Spade.

Kopiere den Teil von Return-Path bis X-UIDL ins Clipboard.
Dann starte Sam Spade und mache ein Ctrl-V und schau einmal was er sagt.
Nur so kann Spade Header analysieren.

g17

@g17: Sam meint daß es wie eine Mail ausschaut, er aber keine tags finden kann (Hat anscheinend was mit Netscape zu tun).

Hast du es direkt aus der Mail probiert?

Für diese Mail dürfte ja alles klar sein, aber wenn du zukünftigen Spam etc analysieren willst, wäre es Schade denn die Infos die Spade gibt sind normalerweise gut.

Es gibt auch eine gute Spam-Header FAQ, habe den Link schon mal gepostet, finde ihn nur jetzt auf die Schnelle nicht,wo genau drinnen steht was alles fakebar ist u.a. der Return-Path, der ist meist das erste was gefaked wird.

g17

Den Header aus der Mail habe ich auch schon versucht, aber Spade kann auch da nichts machen. Na ja, wenn der Return Path gefakt sein kann ist es ja nicht so schlimm, aber die echte IP Adresse ist schon drinnen, oder? (Außer wenn der Typ Webmail mit Anonymous Proxy benutzt). Danke jedenfalls für die Hilfe an alle die gepostet haben.

Muß nicht sein, denn der Ursprüngliche Versender der Mail, kann ja über ein Relay gepostet haben. Aber dann ist eine Beschwerde auch nicht falsch, denn so kommen die drauf das sie offen sind und als Relay benützt werden.
Relaying ist aber eher bei Prof.Spamming und wirklichen Angriffen zu erwarten.

g17

Da er aber praktisch nur meine Mailadresse angegeben hat, sind diese Angriffe ausdrücklich gegen mich gerichtet (Dabei habe ich keinem Italiener was angetan), somit ist es eher unwahrscheinlich daß er sich so viel mühe gemacht hat um Relaying zu benutzen.

__________________________________________________ _________
Da er aber praktisch nur meine Mailadresse angegeben hat
__________________________________________________ __________

Das muß auch nicht sein. Im sogenannten Envelope, das ist der Briefumschlag der eMail, den bekommst du nicht zu Gesicht, können hunderte Adressen gestanden sein,und an alle geht die Mail, nur die DAUs verwenden Cc.

g17

Ps Hier die FAQ
http://www.faqs.org/faqs/de-net-abuse/email-header-faq/

Wenn er sich aber versucht hat als Postmaster@chello.at zu tarnen und auch noch dazu die Mail so getarnt hat als wäre sie eine Undelivered Mail die von mir weggeschickt wurde, so spricht das eher für einen gezielten Angriff.

Ob du für einen gezielten Angriff in Frage kommst, kann nicht ich, sondern nur du beantworten.
Ich wollte dir nur zeigen das es auch ein Script-Kiddy sein kann der sich einen Spass daraus macht, eine Menge Leute zu erschrecken und/oder zu infizieren.

Mach einmal die Beschwerde,und schau was rauskommt.

g17

Ps:von wegen keinem Italiener etwas angetan, es kann ja dein Nachbar sein der eben nur einen offenen Ital.Server gefunden hat.

Ja, die Nachbarstochter habe ich geschwängert und ihr Kind dann dem Satan geopfert ;)
Na ja, wenn nur ein Kiddy seine Virensammlung unter die Leute bringen will, frage ich mich wieso er das fünf mal mit demselben Virus ausprobiert hat.
Ernsthafte Feinde habe ich keine, außer einem Exemplar, doch der macht eher Terroranrufe mitten in der Nacht, kann aber dafür nicht mit einem Computer umgehen.
Aber gut, auch wenn die Angriffe nicht so schnell aufhören, mit Norton Antivirus habe ich kaum was zu befürchten, es ist halt etwas nervend...

__________________________________________________ _________
frage ich mich wieso er das fünf mal mit demselben Virus ausprobiert hat.
__________________________________________________ __________

Umgekehrt würde ein wirklicher Angreifer, ja nicht 5x das gleiche (nutzlose) Versuchen, sondern die Angriffe solang variieren bis einer Erfolg hat.

g17

Wahrscheinlich denkt er daß ich ein DAU bin ;) Na ja, sei es drum, hoffentlich macht ihm das Abuse Team Feuer unterm Hintern sonst Pinge ich ihn mit 1 Gbit Paketen zu ;) (War eh nur Spaß, so etwas würde ich nie machen).

Du kannst Ihn ja auch ärgern wenn du die IP hast.
-Mails schicken (um die 40000 Stück)
-Scannen (auch wenn keine Port offen ist, Scann Ihn Simultan auf mehrere Proxis, dann hat er nur noch Zeit für seine Firewall)
-Blocken

usw

Ich habe ihm schon eine Mail "Ätsch, hab Dich bei deinem ISP gemeldet" geschickt, aber die Mail war unzustellbar. Na ja, ich bin nicht nachtragend weil kein Schaden entstanden sind, mal sehen was das Abuse Team erreicht, portscan oder totpingen oder DOSen kann ich ihn ja auch noch später.

Weil es der Wurm selber war der sich verschickt hat und sich dabei fremder Email Adressen bedient (sowohl als Sender bzw. Absender) die unter Kontakte gespeichert sind.

Statt ihn also 40000 Email zu schicken wäre es hilfreiche ihn eine Email mit den Hinweis zu schicken das er sich z.b. Norton Antivirus kaufen sollte ;)

@Philipp: Fünf mal derselbe Virus, jedesmal ein anderer Absender und anderer Begleittext! Nur ich als Empfänger und mit Italienern hatte ich noch nie so engen Kontakt daß sie mich ins Adressbuch hätten aufnehmen sollen. Die Einzige Italienische Gruppe mit der ich je kontakt hatte, Ramsoft (Of Real Spectrum fame), haben mich sicher nicht im Adressbuch, und vor allem, ich benutzte damals einen anderen Alias als der auf den ich die Viren bekam. Ich glaube auch kaum daß er den Postmaster@chello.at im Adressbuch hatte.
Die E-Mail die ich jetzt geschickt habe, war unzustellbar, also warte ich was das Abuse Team unternimmt.

Es liegt trotzdem nur am Wurm. Betreff & Nachricht werden auch automatisch generiert, anscheind borgt es sich teilweise die Sachen auch aus anderen Nachrichten aus. Das Ding ist auf jedenfall gemeingefährlich :mad:.

Ich selber bekomme immer wieder solche Emails die von NAV aber gleich gelöscht werden:

Wenn das so ist, dann scheint der Virus ja wirklich extrem gefährlich zu sein. Na ja, Heute hat er mich noch nicht noch einmal kontaktiert, dann scheint das Abuse Team ihre Arbeit gut zu machen.
Ich bin irgendwie froh den NAV zu haben, obwohl ich kein Outlook benutze und Exe Dateien grundsätzlich bei E-Mails nie öffne.