E-Mail Angiffe

[LDIR]

In letzten Tagen bekam ich insgesammt 5 E-Mails mit angehängten Viren, was Norton Antivirus aber sofort erkannte. Einige kamen angeblich von einer italienischen E-Mail Adresse (Mit der Werbung eines polnischen FreE-Mail hosts, wie Clever!), zwei angeblich von Postmaster@Chello als unzustellbare E-Mails (In Englich verfasster Text, wie Clever!), daher nehme ich an daß jemand gezielt mich als Zielscheibe gewählt hat, wobei er immer wieder denselben Virus verschickt und hoft daß ich blöd genug wäre so etwas zu öffnen.
Mit Sam Spade konnte ich die wirkliche Absendeadresse nicht ermitteln, weiß daher Jemand ob es eine andere, bessere Methode gibt um den Absender auszuforschen? Am besten mit IP Adresse, damit ich ihn etwas erschrecken kann.

[quaylar]

lies dir die email header........

[LDIR]

E-Mail Header:
Betreff:
Undeliverable mail--"border"
Datum:
Tue, 19 Mar 2002 19:52:32 +0100
Von:
postmaster <postmaster@chello.at>
An:
xxx@chello.at


The following mail can't be sent to diele_@libero.it:

From: xxx@chello.at
To: diele_@libero.it
Subject: border
The file is the original mail

+Attachement mit Virus

Das war der Header (xxx=meine Adresse) sowie die E-Mail, aber wie gesagt, diese Absenderadresse (Nicht Postmaster, sondern diele, oder auch eryc@inwind.it, an die ich nachweislich nie eine Mail geschickt habe) ist ein Fake, das kann ich auch machen. Die E-Mails kommen wie gesagt immer von einer anderen .it Adresse oder von Postmaster (!), und den Ursprung habe ich schon in Polen lokalisiert, aber weiter komme ich nicht.

[copterfreak]

zeig bitte den quelltext -header

[quaylar]

ja - die vollständigen - bei OE findest die in den eigenschaften der mail....

--qu

[hans friedmann]

installier dir mal ein mail tracer programm.
das wirft die die ursprungsquelle sofort grafisch wie auch im detail aus (z.b. emailtracker pro)

[LDIR]

Eigenschaften der E-Mail kann ich in Netscape nicht finden, aber dank dem Tip habe ich das hier gefunden bei Seitenquelltext:

Return-Path: <isztriaifiumei.kert.board@katamail.com>
Received: from mta2.alephint.it ([194.153.172.195])
by viefep13-int.chello.at
(InterMail vM.5.01.03.06 201-253-122-118-106-20010523) with ESMTP
id <20020319170241.ZWMQ8119.viefep13-int.chello.at@mta2.alephint.it>
for <xxx@chello.at>; Tue, 19 Mar 2002 18:02:41 +0100
Received: from Nhd ([62.211.29.156]) by mta2.alephint.it with SMTP
id <20020319170303.CUMF27876.mta2@Nhd> for <xxx@chello.at>;
Tue, 19 Mar 2002 18:03:03 +0100
From: postmaster <postmaster@chello.at>
To: xxx@chello.at
Subject: Returned mail--"border"
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=U973YYOx8520MUv94V4aG2l7V769vx0tWE
Message-Id: <20020319170303.CUMF27876.mta2@Nhd>
Date: Tue, 19 Mar 2002 18:03:13 +0100
X-Mozilla-Status: 8001
X-Mozilla-Status2: 00000000
X-UIDL: <20020319170303.CUMF27876.mta2@Nhd>

--U973YYOx8520MUv94V4aG2l7V769vx0tWE
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>

<FONT>The following mail can't be sent to eryc@inwind.it:



From: xxx@chello.at

To: eryc@inwind.it

Subject: border

The attachment is the original mail</FONT></BODY></HTML>

--U973YYOx8520MUv94V4aG2l7V769vx0tWE
Content-Type: plain/text;
name="Norton AntiVirus-Bericht - 1.txt"[10].pif
Content-Transfer-Encoding: base64
Content-ID: <J06l6q1a7fq9X>

RGllIERhdGVpICJtZXNzIiBpc3QgbWl0IGRlbSBWaXJ1cyAiVz MyLktsZXouRUBtbSIgaW5m
aXppZXJ0Lg0NCkRpZSBEYXRlaSB3dXJkZSB2b24gTm9ydG9uIE FudGlWaXJ1cyBpc29saWVy
dC5UdWVzZGF5LCBNYXJjaCAxOSwgMjAwMiAgMTk6MzkNCg==
--U973YYOx8520MUv94V4aG2l7V769vx0tWE
--U973YYOx8520MUv94V4aG2l7V769vx0tWE
Content-Type: application/octet-stream;
name=mess[10].htm
Content-Transfer-Encoding: base64
Content-ID: <J06l6q1a7fq9X>

PGh0bWw+CjxoZWFkPgo8dGl0bGU+SGVybWVzIC0gbWVzc2FnZ2 VybyB2aXJ0dWFsZTwvdGl0
bGU+CjxtZXRhIGh0dHAtZXF1aXY9ImV4cGlyZXMiIGNvbnRlbn Q9Ik1vbiwgMDEgSmFuIDE5
OTAgMDE6MDA6MDAgR01UIj4KPG1ldGEgaHR0cC1lcXVpdj0iZX hwaXJlcyIgY29udGVudD0i
bm93Ij4KPG1ldGEgaHR0cC1lcXVpdj0icHJhZ21hIiBjb250ZW 50PSJuby1jYWNoZSI+Cjwv
aGVhZD4KPGJvZHk+CjxjZW50ZXI+Cjx0YWJsZSB3aWR0aD0iMz AwIiBib3JkZXI9IjAiIGNl
bGxzcGFjaW5nPSIwIiBjZWxscGFkZGluZz0iMCIgYmFja2dyb3 VuZD0iL2ltYWdlcy9ncmFm
aWNhL3N0dWRlbnRjaXR5L2hlcm1lcy9oZXJtZXNfYmcuZ2lmIj 4gCiAgPHRyIGJhY2tncm91
bmQ9Ii9pbWFnZXMvZ3JhZmljYS9zdHVkZW50Y2l0eS9oZXJtZX MvaGVybWVzX2JnLmdpZiI+
PHRkIGJhY2tncm91bmQ9Ii9pbWFnZXMvZ3JhZmljYS9zdHVkZW 50Y2l0eS9oZXJtZXMvaGVy
bWVzX2JnLmdpZiI+PGltZyBzcmM9Ii9pbWFnZXMvZ3JhZmljYS 9zdHVkZW50Y2l0eS9oZXJt
ZXMvaGVybWVzX3Rlc3RhdGEuZ2lmIiB3aWR0aD0iMjk0IiBoZW lnaHQ9IjY1Ij48L3RkPjwv
dHI+IAoKPGZvcm0gYWN0aW9uPSIvc3R1ZGVudGNpdHkvbWVtYm Vycy9tZXNzLnBocCIgbWV0
aG9kPSJwb3N0Ij4KICA8dHIgYmFja2dyb3VuZD0iL2ltYWdlcy 9ncmFmaWNhL3N0dWRlbnRj
aXR5L2hlcm1lcy9oZXJtZXNfYmcuZ2lmIj48dGQgYmFja2dyb3 VuZD0iL2ltYWdlcy9ncmFm
aWNhL3N0dWRlbnRjaXR5L2hlcm1lcy9oZXJtZXNfYmcuZ2lmIj 48Y2VudGVyPgoJPHRhYmxl
IHdpZHRoPSIyNjAiIGNlbGxzcGFjaW5nPSIwIiBjZWxscGFkZG luZz0iMCIgYm9yZGVyPSIw
IiBiYWNrZ3JvdW5kPSIiPgoJPHRyIGJhY2tncm91bmQ9IiI+PH RkIHdpZHRoPSIyNjAiIGJh
Y2tncm91bmQ9IiI+PGZvbnQgZmFjZT0iVmVyZGFuYSxBcmlhbC xIZWx2ZXRpY2EiIHNpemU9
IjIiIGNvbG9yPSJibGFjayI+PGJyPgoJPHRhYmxlIHdpZHRoPS IxMDAlIiBjb2xzPSIyIiBj
ZWxsc3BhY2luZz0iMCIgY2VsbHBhZGRpbmc9IjAiIGJvcmRlcj 0iMCIgYmFja2dyb3VuZD0i
Ij4KCTx0ciBiYWNrZ3JvdW5kPSIiPgoJPHRkIHdpZHRoPSI1MC UiIGJhY2tncm91bmQ9IiIg
YWxpZ249ImxlZnQiIHZhbGlnbj0ibWlkZGxlIj48Zm9udCBmYW NlPSJWZXJkYW5hLEFyaWFs
LEhlbHZldGljYSIgc2l6ZT0iMiIgY29sb3I9ImJsYWNrIj4KCT xmb250IGNvbG9yPSJkYXJr
Ymx1ZSI+QXV0b3JlOjwvZm9udD4gPGI+PGEgaHJlZj0iL3VzZX IvbGFzaXNzaSIgdGFyZ2V0
PSJfYmxhbmsiPkxhc2lzc2k8L2E+PC9iPgoJPC9mb250PjwvdG Q+Cgk8dGQgd2lkdGg9IjUw
JSIgYmFja2dyb3VuZD0iIiBhbGlnbj0icmlnaHQiIHZhbGlnbj 0ibWlkZGxlIj48Zm9udCBm
YWNlPSJWZXJkYW5hLEFyaWFsLEhlbHZldGljYSIgc2l6ZT0iMi IgY29sb3I9ImRhcmtibHVl
Ij4KCVsxNi8wMyAyMTozMF0KCTwvZm9udD48L3RkPgoJPC90cj 4KCTwvdGFibGU+Cgk8YnI+
CglmaWRhdGkgZGkgbGVpLi4uCTxicj4KCTxicj4KCTxpbnB1dC BuYW1lPSJ1c2VyaWQiIHR5
cGU9ImhpZGRlbiIgdmFsdWU9ImMwNjU0YWVjNjIyOWI2N2ZkM2 ZmMzY2YzZkMDdjMWYwIj4K
CTxpbnB1dCBuYW1lPSJhY3Rpb24iIHR5cGU9ImhpZGRlbiIgdm FsdWU9ImNvbXBvc2UiPgoJ
PGlucHV0IG5hbWU9ImRlc3RpbmF0YXJpbyIgdHlwZT0iaGlkZG VuIiB2YWx1ZT0ibGFzaXNz
aSI+Cgk8aW5wdXQgbmFtZT0idGVzdG8iIHR5cGU9ImhpZGRlbi IgdmFsdWU9ImZpZGF0aSBk
aSBsZWkuLi4iPgoJPC9mb250PjwvdGQ+PC90cj4KCTwvdGFibG U+CiAgPC9jZW50ZXI+PC9m
b250PjwvdGQ+PC90cj4gCiAgPHRyIGJhY2tncm91bmQ9Ii9pbW FnZXMvZ3JhZmljYS9zdHVk
ZW50Y2l0eS9oZXJtZXMvaGVybWVzX2JnLmdpZiI+PHRkIGJhY2 tncm91bmQ9Ii9pbWFnZXMv
Z3JhZmljYS9zdHVkZW50Y2l0eS9oZXJtZXMvaGVybWVzX2JnLm dpZiI+PGlucHV0IHR5cGU9
ImltYWdlIiBzcmM9Ii9pbWFnZXMvZ3JhZmljYS9zdHVkZW50Y2 l0eS9oZXJtZXMvaGVybWVz
X3JlcGxpY2EuZ2lmIiBib3JkZXI9IjAiPjwvdGQ+PC90cj4gCj wvZm9ybT4KCTwvdGFibGU+
Cjx0YWJsZSB3aWR0aD0iMzAwIiBib3JkZXI9IjAiIGNlbGxzcG FjaW5nPSIwIiBjZWxscGFk
ZGluZz0iMCI+IAogIDx0ciBiZ2NvbG9yPSIjNkI5NEU4Ij48dG QgYmdjb2xvcj0iIzZCOTRF
OCI+Jm5ic3A7PC90ZD48L3RyPiAKPC90YWJsZT4gCjx0YWJsZS B3aWR0aD0iMzAwIiBib3Jk
ZXI9IjAiIGNlbGxzcGFjaW5nPSIwIiBjZWxscGFkZGluZz0iMC I+IAo8dHIgYmdjb2xvcj0i
IzZCOTRFOCI+PHRkIGJnY29sb3I9IiM2Qjk0RTgiIGFsaWduPS JjZW50ZXIiPjxhIGhyZWY9
Ii9nbz8veWV0IiB0YXJnZXQ9Il9ibGFuayI+PGltZyBzcmM9Ii 9pbWFnZXMvZ3JhZmljYS9z
dHVkZW50Y2l0eS9oZXJtZXMvYmFubmVyNF9oZXJtZXMuZ2lmIi Bib3JkZXI9IjAiPjwvYT48
L3RkPjwvdHI+CjwvdGFibGU+IAo8L2NlbnRlcj4KPC9ib2R5Pg o8L2h0bWw+Cj==
--U973YYOx8520MUv94V4aG2l7V769vx0tWE--

Meine Adresse habe ich wieder durch xxx ersetzt. isztriaifiumei.kert.board@katamail.com ist wohl dann der Absender?

[copterfreak]

richtig.
und die ip's sind die die er passiert hat auf dem weg zu dir.

[hans friedmann]

ist italiener mit ip 62.211.29.156

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
| Sprung | % Verlust | IP-Adresse | Bezeichnung des Knotens | Lage | Zeitzone | ms | Graph | Netzwerk |
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
| 4 | | 213.46.173.25 | at-vie-rd-04-ge-2-1.chellonetwork.com | - | | 0 | x | Chello Broadband |
| 5 | | 213.46.160.133 | at-vie-rc-02-ge-2-1.chellonetwork.com | - | | 6 | x----- | ?213.46.160.133 |
| 6 | | 213.46.160.125 | fr-par-rc-02-pos-4-0.chellonetwork.com | - | | 36 | x- | ?213.46.160.125 |
| 7 | | 213.46.160.65 | fr-par-rc-01-pos-1-0.chellonetwork.com | - | | 37 | x- | ?213.46.160.65 |
| 8 | | 213.46.160.70 | de-fra-rc-01-pos-3-0.chellonetwork.com | - | | 45 | x | ?213.46.160.70 |
| 9 | | 213.46.160.94 | de-fra-rd-01-pos-1-0.chellonetwork.com | - | | 41 | x | ?213.46.160.94 |
| 10 | | 213.46.179.14 | - | | | 49 | x | ?213.46.179.14 |
| 11 | | 80.81.192.194 | - | | | 48 | x------- | ?80.81.192.194 |
| 12 | | 195.22.208.7 | ge9-0-mil8-mila.mil.seabone.net | | | 62 | x | ?195.22.208.7 |
| 13 | | 195.22.196.82 | ibs-10adsl-it-mil5.seabone.net | | | 60 | x | ?195.22.196.82 |
| 14 | 10 | 151.99.75.218 | r-mi213-fa4.interbusiness.it | Milan, Italy | +01:00 | 62 | -x | ?151.99.75.0 |
| 15 | | 195.31.96.238 | r-ge028-4.interbusiness.it | Genova, Italy | +01:00 | 71 | x-- | ?195.31.96.238 |
| 16 | | 62.211.29.156 | - | | | 115 | x- | ?62.211.29.156 |
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------
Roundtrip-Zeit für 62.211.29.156, durchschnittlich = 115ms, min. = 110ms, max. = 120ms -- 19.3.2002 22:23:42

[copterfreak]

bei mir folgendes ergebnis:

194.185.98.179
rom/italy