I-Worm Hybris
 

Hab gestern folgendes Mail erhalten:
Return-Path: <>
Delivered-To: meinemailadresse@aon.at
Received: (qmail 37086 invoked from network); 26 May 2002 16:21:53 -0000
Received: from unknown ([172.18.5.80]) (envelope-sender <>)
by qmail1.highway.telekom.at (qmail-ldap-1.03) with QMQP
for <>; 26 May 2002 16:21:53 -0000
Received: (qmail 113264 invoked from network); 26 May 2002 16:21:50 -0000
Received: from mail-fe2.tele2.ee (HELO everyday.com) ([212.107.32.185]) (envelope-sender <>)
by qmail5rs.highway.telekom.at (qmail-ldap-1.03) with SMTP
for <meinemailaddresse@aon.at>; 26 May 2002 16:21:50 -0000
Received: (qmail 9079 invoked from network); 26 May 2002 16:21:36 -0000
Received: from unknown (HELO win98) (193.80.38.162)
by mail-fe2.tele2.ee with SMTP; 26 May 2002 16:21:36 -0000
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEXYBGTYFKDMF"

Der Scanner hat es als i-Worm Hybris erkannt, und der dürfte schon ein etwas älterer Hut sein.
Komischerweise wurden die Nachrichten von Wcm bzgl New-Postings auch als infiziert ausgegeben.
Kann man aus dem Header Rückschlüße ziehen woher das Mail stammt?
Es war ein leeres Mail ohne Betreff nur mit der exe als Anhang.

Die 193.80.38.162 ist eine Dial-Up nummer von KPN-Qwest
und die 212.107.32.185 ist entnehme(interpretiere) ich aus der Traceroute ein Mailserver in Tallin.
Nur wie hängen die beiden zusammen ?
Der Versender wird befürchte ich nicht zu Orten sein.
Oder doch - an wem sollte die abuse-Meldung gehen ?

Natürlich kann die dial-up ip gefaked sein, aber ich würd auf jeden Fall an KPN-Qwest mailen....
Der Server in Tallin wird wahrscheinlich ein offenes Mail-Relay haben, deswegen wird er ihn benutzt haben...(das ist der Zusammenhang ;) )

--qu

Thank's
Also die Kanone wurde per kpnQwest Einwahl abgeschossen unter Verwendung eines Mailservers in Tallin und Aon hat damit nichts zu tun, außer als Empfänger der es in meine Mailbox einsortiert hat.
Dann geht die Meldung an Kpnqwest.