Seltsame Mails im Umlauf? Script Viren?

zAPPEL · 11.02.2002, 21:46

Kann es sein das derzeit vermehrt irgendwelche Script Viren im Umlauf sind? Ich bekomme ab und zu selsame Mails von mir nicht bekannten Leuten mit englischen Texten und teilweise leere Mails bei denen mir Outlook XP sagt das da geblockte Scripts drinnen sind.

Meine Schwester hat von einem Bekannten von mir den sie nicht mal kennt, also ich weiß nicht wie der an diese E-Mail Adresse gekommen ist, ein mail bekommen mit seltsamen Dateien als Anhang und einem Betreff namens: documents.cookies ..

Ich habe aber sicherheitshalber mal das Vorschaufenster vom Outlook abgedreht und die Familie gewarnt. Angeblich verschickten sich die nur weiter und gehören nicht zur bösartigen Gattung der Viren aber wer weiß....

LG zAPPEL

CISK · 11.02.2002, 21:54

hmmm mir ist nicht bekannt,hast einen virenscanner oben?

zAPPEL · 11.02.2002, 22:01

Ich habe keinen Virus, habe vor 3h neu aufgesetzt und keine Mails angesehen.. aber das Mail hat folgenden HEader:

Code:

Return-Path: <winkler@terramail.pl>
X-Flags: 0000
Delivered-To: GMX delivery to ...@gmx.at
Received: (qmail 21304 invoked by uid 0); 11 Feb 2002 20:14:43 -0000
Received: from alfa.terramail.pl (213.76.136.82)
  by mx0.gmx.net (mx022-rz3) with SMTP; 11 Feb 2002 20:14:43 -0000
Received: from Fimmjxwf (h062040190146.per.cm.kabsi.at [62.40.190.146])
	by alfa.terramail.pl (Postfix) with SMTP id 6F6DE229F4
	for <...@gmx.at>; Mon, 11 Feb 2002 21:14:40 +0100 (CET)
From: irenchen <irenchen@deal-maker.com>
To: ...@gmx.at
Subject: A special  new website
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary=QE8u7Jf40C55t52w5Y984mPD03pLP
Message-Id: <20020211201440.6F6DE229F4@alfa.terramail.pl>
Date: Mon, 11 Feb 2002 21:14:40 +0100 (CET)
X-Modified-Forwards: 1A.inbox

Ich kenn mich da nicht aus, aber meine Schwester hat so ein Mail mit einem ähnlichen Header auch mit .pl am Ende und einer .pif datei bekommen, ich habe ihr jetzt gesagt sie soll alles löschen was mit englischen Betreff kommt. Und zwar unangeschaut..

LG zAPPEL

brew · 11.02.2002, 22:29

hallo zAPPEL!
habe mit meinem chello-konto und outlook express ein ähnliches problem, nur hatte der wurm meine festplatten ausspioniert und dateien von meinem pc mit gefaketen e-mail-absendern an leute aus meinem adressbuch verschickt.
seither ist bei mir outlook-express im ruhestand. habe virenscanner, ad-aware und firewall installiert und schaue meine mails nur mehr per webmail an.
da krieg ich noch immer seltsame mails hinein! z.B. angeblich nicht zustellbare mails, die ich nie abgeschickt habe, mit größen von über 100kb (normale mails ca 2-10kb)!!!
ich glaube, ich muss mich von meiner chello-adresse verabschieden...

siehe auch meinen beitrag vom 3.2.02
"wurm virus e-mail"

Sloter · 11.02.2002, 23:37

Also

Die eingesetzte Software ist Qmail (Linuxmaschine) die als erstes das mail weitergeschickt hat.

Die zwiete maschine war ein rechner mit einer polnischen Domain (.pl)
Danach kahm GMX zum Zug und zu letzt landete das Mail bei dem Kabelanbieter Kapsi.at

Ein ganz normaler Mailheader ohne Viren oder sonstigen

, bitte keine Panik auslösen, ruhig verhalten Frauen und Kinder zu erst

.
Diese Zeilen findest du bei jedem E-Mail (rechte Maustaste Eigenschaften).

Sloter

zAPPEL · 11.02.2002, 23:48

Joo..

das Problem ist das ich den Absender des Mails nicht kenne, und in meinem bekanntenkreis einige solcher seltsamer 2 zeiliger Text Mails im Umlauf sind.. und ein Mail mit sinnlosem Betreff UND einer 2 zeiligen Textnachricht die keinen interressier, das das soweit verschickt wurde erscheint mir "seltsam" .. naja.. egal.. mein outlook führt keine skripten aus

immerhin..

Was ist eine .pif datei? Meine Schwester hat eine prr.pif Datei von einem Freund von mir bekommen. Das habe ich eh shcon oben erwähnt.. Da war die email Adresse aber gefaked, denn er hat das Mail nicht geschickt.

LG zAPPEL

brew · 11.02.2002, 23:50

@ sloter!
kannst a bissl konkreter werden?
heisst das, du warst des?...

maXTC · 11.02.2002, 23:59

ja, der sloter wars

Sloter · 12.02.2002, 00:02

Zitat:

Original geschrieben von brew
@ sloter!
kannst a bissl konkreter werden?
heisst das, du warst des?...

Ne ne, ich war das bestimmt nicht.
ich wollte nur aufzeigen das so einen Head ein jedes Mail hat, nur halt mit anderen SMTP-Server und Absender und Empfängeradresse.

Ich kann zwar nicht polnisch aber www.terramail.pl dürfte ein FreeMailanbieter sein und winkler@terramail.pl ist der Absender von den Mails.
Ein Bekannter von euch?

Fazit: der Mailheader sagt nur aus von wem an wem ein Mail gegangen ist, welche Server beteiligt waren (Qmail,Postfix ist ein wenig im kreis gelaufen), der MimeTyp sonst nichts.

Also kein Hack oder sonstwas, nur ein normaler Mailheader.
Alarm abblasen alle wieder zurück auf ihre Posten

Sloter

g17 · 12.02.2002, 01:34

@zappel
Holts euch Samspade von http://www.samspade.org/ssw/

den Header ins Clipboard, Spade starten,Strg-v, dann kommt das (nur in Farbe) raus:
==========================================
02/12/02 01:24:24 Input
The Received: headers are the important ones to read

My comments are just hints, and should be considered only
an opinion. I may have guessed wrong, or things may have
changed since I was written

Return-Path: <winkler@terramail.pl>
X-Flags: 0000
Delivered-To: GMX delivery to ...@gmx.at
Received: (qmail 21304 invoked by uid 0); 11 Feb 2002
20:14:43 -0000
This received header was added by your mailserver
Just a qmail status line

Received: from alfa.terramail.pl (213.76.136.82) by
mx0.gmx.net (mx022-rz3) with SMTP; 11 Feb 2002 20:14:43
-0000
mx0.gmx.net received this from alfa.terramail.pl
(IP addresses match)

Received: from Fimmjxwf (h062040190146.per.cm.kabsi.at
[62.40.190.146]) by alfa.terramail.pl (Postfix) with SMTP
id 6F6DE229F4 for <...@gmx.at>; Mon, 11 Feb 2002 21:14:40
+0100 (CET)
alfa.terramail.pl received this from someone claiming
to be Fimmjxwf
This doesn't match the IP address in the headers, so this
may be a relay point. If so all headers below are probably
forged.
It really came from h062040190146.per.cm.kabsi.at
================================================== ==========

Sehr empfehlenswert auch:

[FAQ] E-Mail-Header lesen und verstehen <2001-07-10>

http://www.faqs.org/faqs/de-net-abuse/email-header-faq/

g17

11.02.2002, 21:46	#1
zAPPEL Inventar Registriert seit: 07.11.2001 Ort: Perchtoldsdorf Alter: 45 Beiträge: 2.085 Mein Computer	Seltsame Mails im Umlauf? Script Viren? Kann es sein das derzeit vermehrt irgendwelche Script Viren im Umlauf sind? Ich bekomme ab und zu selsame Mails von mir nicht bekannten Leuten mit englischen Texten und teilweise leere Mails bei denen mir Outlook XP sagt das da geblockte Scripts drinnen sind. Meine Schwester hat von einem Bekannten von mir den sie nicht mal kennt, also ich weiß nicht wie der an diese E-Mail Adresse gekommen ist, ein mail bekommen mit seltsamen Dateien als Anhang und einem Betreff namens: documents.cookies .. Ich habe aber sicherheitshalber mal das Vorschaufenster vom Outlook abgedreht und die Familie gewarnt. Angeblich verschickten sich die nur weiter und gehören nicht zur bösartigen Gattung der Viren aber wer weiß.... LG zAPPEL ____________________________________ „Das menschliche Gehirn ist eine großartige Sache. Es funktioniert vom Moment der Geburt an – bis zu dem Zeitpunkt, wo du aufstehst, um eine Rede zu halten.“ Mark Twain "Windle shook his head sadly. Four exclamation marks, the sure sign of an insane mind" Reaper Man, Terry Pratchett

11.02.2002, 21:54	#2
CISK Inventar Registriert seit: 24.05.2001 Alter: 40 Beiträge: 3.387 Mein Computer	hmmm mir ist nicht bekannt,hast einen virenscanner oben? ____________________________________ Free beans NOW! free beans for a free world

11.02.2002, 22:01	#3
zAPPEL Inventar Registriert seit: 07.11.2001 Ort: Perchtoldsdorf Alter: 45 Beiträge: 2.085 Mein Computer	Ich habe keinen Virus, habe vor 3h neu aufgesetzt und keine Mails angesehen.. aber das Mail hat folgenden HEader: Code: Return-Path: <winkler@terramail.pl> X-Flags: 0000 Delivered-To: GMX delivery to ...@gmx.at Received: (qmail 21304 invoked by uid 0); 11 Feb 2002 20:14:43 -0000 Received: from alfa.terramail.pl (213.76.136.82) by mx0.gmx.net (mx022-rz3) with SMTP; 11 Feb 2002 20:14:43 -0000 Received: from Fimmjxwf (h062040190146.per.cm.kabsi.at [62.40.190.146]) by alfa.terramail.pl (Postfix) with SMTP id 6F6DE229F4 for <...@gmx.at>; Mon, 11 Feb 2002 21:14:40 +0100 (CET) From: irenchen <irenchen@deal-maker.com> To: ...@gmx.at Subject: A special new website MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=QE8u7Jf40C55t52w5Y984mPD03pLP Message-Id: <20020211201440.6F6DE229F4@alfa.terramail.pl> Date: Mon, 11 Feb 2002 21:14:40 +0100 (CET) X-Modified-Forwards: 1A.inbox Ich kenn mich da nicht aus, aber meine Schwester hat so ein Mail mit einem ähnlichen Header auch mit .pl am Ende und einer .pif datei bekommen, ich habe ihr jetzt gesagt sie soll alles löschen was mit englischen Betreff kommt. Und zwar unangeschaut.. LG zAPPEL ____________________________________ „Das menschliche Gehirn ist eine großartige Sache. Es funktioniert vom Moment der Geburt an – bis zu dem Zeitpunkt, wo du aufstehst, um eine Rede zu halten.“ Mark Twain "Windle shook his head sadly. Four exclamation marks, the sure sign of an insane mind" Reaper Man, Terry Pratchett

11.02.2002, 23:48	#6
zAPPEL Inventar Registriert seit: 07.11.2001 Ort: Perchtoldsdorf Alter: 45 Beiträge: 2.085 Mein Computer	Joo.. das Problem ist das ich den Absender des Mails nicht kenne, und in meinem bekanntenkreis einige solcher seltsamer 2 zeiliger Text Mails im Umlauf sind.. und ein Mail mit sinnlosem Betreff UND einer 2 zeiligen Textnachricht die keinen interressier, das das soweit verschickt wurde erscheint mir "seltsam" .. naja.. egal.. mein outlook führt keine skripten aus immerhin.. Was ist eine .pif datei? Meine Schwester hat eine prr.pif Datei von einem Freund von mir bekommen. Das habe ich eh shcon oben erwähnt.. Da war die email Adresse aber gefaked, denn er hat das Mail nicht geschickt. LG zAPPEL ____________________________________ „Das menschliche Gehirn ist eine großartige Sache. Es funktioniert vom Moment der Geburt an – bis zu dem Zeitpunkt, wo du aufstehst, um eine Rede zu halten.“ Mark Twain "Windle shook his head sadly. Four exclamation marks, the sure sign of an insane mind" Reaper Man, Terry Pratchett

11.02.2002, 23:59	#8
maXTC Inventar Registriert seit: 02.02.2001 Ort: South Central Alter: 49 Beiträge: 7.248	ja, der sloter wars ____________________________________ A.C.A.B.

11.02.2002, 22:29	#4
brew Newbie Registriert seit: 11.10.2000 Beiträge: 8	hallo zAPPEL! habe mit meinem chello-konto und outlook express ein ähnliches problem, nur hatte der wurm meine festplatten ausspioniert und dateien von meinem pc mit gefaketen e-mail-absendern an leute aus meinem adressbuch verschickt. seither ist bei mir outlook-express im ruhestand. habe virenscanner, ad-aware und firewall installiert und schaue meine mails nur mehr per webmail an. da krieg ich noch immer seltsame mails hinein! z.B. angeblich nicht zustellbare mails, die ich nie abgeschickt habe, mit größen von über 100kb (normale mails ca 2-10kb)!!! ich glaube, ich muss mich von meiner chello-adresse verabschieden... siehe auch meinen beitrag vom 3.2.02 "wurm virus e-mail"

11.02.2002, 23:37	#5
Sloter Inventar Registriert seit: 05.01.2000 Beiträge: 3.812	Also Die eingesetzte Software ist Qmail (Linuxmaschine) die als erstes das mail weitergeschickt hat. Die zwiete maschine war ein rechner mit einer polnischen Domain (.pl) Danach kahm GMX zum Zug und zu letzt landete das Mail bei dem Kabelanbieter Kapsi.at Ein ganz normaler Mailheader ohne Viren oder sonstigen , bitte keine Panik auslösen, ruhig verhalten Frauen und Kinder zu erst . Diese Zeilen findest du bei jedem E-Mail (rechte Maustaste Eigenschaften). Sloter

11.02.2002, 23:50	#7
brew Newbie Registriert seit: 11.10.2000 Beiträge: 8	@ sloter! kannst a bissl konkreter werden? heisst das, du warst des?...

12.02.2002, 01:34	#10
g17 Elite Registriert seit: 13.07.2001 Beiträge: 1.339	@zappel Holts euch Samspade von http://www.samspade.org/ssw/ den Header ins Clipboard, Spade starten,Strg-v, dann kommt das (nur in Farbe) raus: ========================================== 02/12/02 01:24:24 Input The Received: headers are the important ones to read My comments are just hints, and should be considered only an opinion. I may have guessed wrong, or things may have changed since I was written Return-Path: <winkler@terramail.pl> X-Flags: 0000 Delivered-To: GMX delivery to ...@gmx.at Received: (qmail 21304 invoked by uid 0); 11 Feb 2002 20:14:43 -0000 This received header was added by your mailserver Just a qmail status line Received: from alfa.terramail.pl (213.76.136.82) by mx0.gmx.net (mx022-rz3) with SMTP; 11 Feb 2002 20:14:43 -0000 mx0.gmx.net received this from alfa.terramail.pl (IP addresses match) Received: from Fimmjxwf (h062040190146.per.cm.kabsi.at [62.40.190.146]) by alfa.terramail.pl (Postfix) with SMTP id 6F6DE229F4 for <...@gmx.at>; Mon, 11 Feb 2002 21:14:40 +0100 (CET) alfa.terramail.pl received this from someone claiming to be Fimmjxwf This doesn't match the IP address in the headers, so this may be a relay point. If so all headers below are probably forged. It really came from h062040190146.per.cm.kabsi.at ================================================== ========== Sehr empfehlenswert auch: [FAQ] E-Mail-Header lesen und verstehen <2001-07-10> http://www.faqs.org/faqs/de-net-abuse/email-header-faq/ g17

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)