I-Worm Hybris

allwissende Müllhalde · 27.05.2002, 05:19

Hab gestern folgendes Mail erhalten:
Return-Path: <>
Delivered-To: meinemailadresse@aon.at
Received: (qmail 37086 invoked from network); 26 May 2002 16:21:53 -0000
Received: from unknown ([172.18.5.80]) (envelope-sender <>)
by qmail1.highway.telekom.at (qmail-ldap-1.03) with QMQP
for <>; 26 May 2002 16:21:53 -0000
Received: (qmail 113264 invoked from network); 26 May 2002 16:21:50 -0000
Received: from mail-fe2.tele2.ee (HELO everyday.com) ([212.107.32.185]) (envelope-sender <>)
by qmail5rs.highway.telekom.at (qmail-ldap-1.03) with SMTP
for <meinemailaddresse@aon.at>; 26 May 2002 16:21:50 -0000
Received: (qmail 9079 invoked from network); 26 May 2002 16:21:36 -0000
Received: from unknown (HELO win98) (193.80.38.162)
by mail-fe2.tele2.ee with SMTP; 26 May 2002 16:21:36 -0000
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEXYBGTYFKDMF"

Der Scanner hat es als i-Worm Hybris erkannt, und der dürfte schon ein etwas älterer Hut sein.
Komischerweise wurden die Nachrichten von Wcm bzgl New-Postings auch als infiziert ausgegeben.
Kann man aus dem Header Rückschlüße ziehen woher das Mail stammt?
Es war ein leeres Mail ohne Betreff nur mit der exe als Anhang.

allwissende Müllhalde · 27.05.2002, 05:44

Die 193.80.38.162 ist eine Dial-Up nummer von KPN-Qwest
und die 212.107.32.185 ist entnehme(interpretiere) ich aus der Traceroute ein Mailserver in Tallin.
Nur wie hängen die beiden zusammen ?
Der Versender wird befürchte ich nicht zu Orten sein.
Oder doch - an wem sollte die abuse-Meldung gehen ?

quaylar · 27.05.2002, 08:59

Natürlich kann die dial-up ip gefaked sein, aber ich würd auf jeden Fall an KPN-Qwest mailen....
Der Server in Tallin wird wahrscheinlich ein offenes Mail-Relay haben, deswegen wird er ihn benutzt haben...(das ist der Zusammenhang

)

--qu

allwissende Müllhalde · 27.05.2002, 18:44

Thank's
Also die Kanone wurde per kpnQwest Einwahl abgeschossen unter Verwendung eines Mailservers in Tallin und Aon hat damit nichts zu tun, außer als Empfänger der es in meine Mailbox einsortiert hat.
Dann geht die Meldung an Kpnqwest.

27.05.2002, 05:19	#1
allwissende Müllhalde Inventar Registriert seit: 28.12.2000 Beiträge: 1.693	I-Worm Hybris Hab gestern folgendes Mail erhalten: Return-Path: <> Delivered-To: meinemailadresse@aon.at Received: (qmail 37086 invoked from network); 26 May 2002 16:21:53 -0000 Received: from unknown ([172.18.5.80]) (envelope-sender <>) by qmail1.highway.telekom.at (qmail-ldap-1.03) with QMQP for <>; 26 May 2002 16:21:53 -0000 Received: (qmail 113264 invoked from network); 26 May 2002 16:21:50 -0000 Received: from mail-fe2.tele2.ee (HELO everyday.com) ([212.107.32.185]) (envelope-sender <>) by qmail5rs.highway.telekom.at (qmail-ldap-1.03) with SMTP for <meinemailaddresse@aon.at>; 26 May 2002 16:21:50 -0000 Received: (qmail 9079 invoked from network); 26 May 2002 16:21:36 -0000 Received: from unknown (HELO win98) (193.80.38.162) by mail-fe2.tele2.ee with SMTP; 26 May 2002 16:21:36 -0000 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="--VEXYBGTYFKDMF" Der Scanner hat es als i-Worm Hybris erkannt, und der dürfte schon ein etwas älterer Hut sein. Komischerweise wurden die Nachrichten von Wcm bzgl New-Postings auch als infiziert ausgegeben. Kann man aus dem Header Rückschlüße ziehen woher das Mail stammt? Es war ein leeres Mail ohne Betreff nur mit der exe als Anhang. ____________________________________ Nordick-Wogging Dumm-ness boomt Ihr Fengshui Berater Eurofighter abfangen !

27.05.2002, 05:44	#2
allwissende Müllhalde Inventar Registriert seit: 28.12.2000 Beiträge: 1.693	Die 193.80.38.162 ist eine Dial-Up nummer von KPN-Qwest und die 212.107.32.185 ist entnehme(interpretiere) ich aus der Traceroute ein Mailserver in Tallin. Nur wie hängen die beiden zusammen ? Der Versender wird befürchte ich nicht zu Orten sein. Oder doch - an wem sollte die abuse-Meldung gehen ? ____________________________________ Nordick-Wogging Dumm-ness boomt Ihr Fengshui Berater Eurofighter abfangen !

27.05.2002, 08:59	#3
quaylar Hero Registriert seit: 28.09.2001 Beiträge: 940	Natürlich kann die dial-up ip gefaked sein, aber ich würd auf jeden Fall an KPN-Qwest mailen.... Der Server in Tallin wird wahrscheinlich ein offenes Mail-Relay haben, deswegen wird er ihn benutzt haben...(das ist der Zusammenhang ) --qu ____________________________________ Those who desire to give up Freedom in order to gain Security, will not have, nor do they deserve, either one. -- Benjamin Franklin

27.05.2002, 18:44	#4
allwissende Müllhalde Inventar Registriert seit: 28.12.2000 Beiträge: 1.693	Thank's Also die Kanone wurde per kpnQwest Einwahl abgeschossen unter Verwendung eines Mailservers in Tallin und Aon hat damit nichts zu tun, außer als Empfänger der es in meine Mailbox einsortiert hat. Dann geht die Meldung an Kpnqwest. ____________________________________ Nordick-Wogging Dumm-ness boomt Ihr Fengshui Berater Eurofighter abfangen !

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)