Mailheaderanalyse....

renew · 03.06.2002, 20:20

Ich bräuchte ein paar Seiten die zeigen wie man den Mailheader "lesen" kann.

Mein Vater hat in letzter Zeit einige dubiose Mails bekommen, wo auch immer ein netter Virus drinnen war. (W32.Klez...)
Jetzt will ich die header analysieren um darauf zu schließen was los ist.

Hier ist ein Header von einen dieser mails
Return-Path: <zinapa@mail.ru>
X-Flags: 0000
Delivered-To: GMX delivery to Empfängeradresse
Received: (qmail 11823 invoked by uid 0); 31 May 2002 18:07:26 -0000
Received: from mx1.mail.ru (194.67.57.11)
by mx0.gmx.net (mx027-rz3) with SMTP; 31 May 2002 18:07:26 -0000
Received: from [217.76.161.7] (helo=Wrgeyjyw)
by mx1.mail.ru with smtp (Exim SMTP.1)
id 17Dqnj-000Dwh-00
for Empfängeradresse; Fri, 31 May 2002 22:07:00 +0400
From: steuerbuero.ofenboeck <steuerbuero.ofenboeck@24on.cc>
To: Empfängeradresse
Subject: Spice girls' vocal concert
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=Uq087w9WM98
Message-Id: <E17Dqnj-000Dwh-00@mx1.mail.ru>
Date: Fri, 31 May 2002 22:07:00 +0400
X-Modified-Forwards: 2L.Remote address meine Adresse, 3L.Remote address 2 Adresse von mir

Ich hab nur "unsere" Adressen durch die Texte in kursiv ersetzt. Was mich wundert, und vor allem interessiert: was das X-Modified-Forwards sind weil dort 2 Adressen von mir stehen, die ich auch wirklich verwende.

Was ich auch komisch finde ist, dass alle komischen mails die mein Vater erhalten hat, immer von der gleichen IP Adresse kommen (217.76.161.7)

Vielleicht könnts mir da ja weiterhelfen.

PS: bei Ripe hab ich schon geschaut, die Domain 24on.cc gibts net.
edit: bei ripe gibts es sie nicht, weiß wer wo .cc Domains gelistet sind, so ähnlich wie halt ripe mit whois funktioniert?

renew · 03.06.2002, 21:40

Nach einiger Recherche im Internetz, wie so ein Mail-header ausschaut glaube ich des Rätsels Lösung gefunden zu haben, sodass es eigentlich keine wirkliche Lösung gibt.

Weil mir kommt vor, dass der Virus, der sich auf irgendeinem Rechner befindet und sich selber weiter verschickt so ziemlich alles im Header Faked was lokal noch möglich ist, bevor die Mail rausgeht.
Damit meine ich, dass er einen anderen Absender einträgt, die IP Adresse verändert von wo der Virus kommt, aus dem Header löscht, dass er sich über Outlook verbreitet usw.

Falls jemand eine andere Lösung dafür hat, nur her damit!

valo · 03.06.2002, 23:02

also a paar infos über den virus die ich halt mal so mitbekommen hab...

der rechner durchsucht den befallenen rechner nach allen email adressen die er finden, verschickt über einen eigenen mailserver die emails und trägt in alle felder die man faken kann irgendwelche sachen ein....
zum rückverfolgen abslut blöd.... am besten einfach einen virenscanner installiern der das alles abfängt...

renew · 03.06.2002, 23:53

Zitat:

Original geschrieben von valo
also a paar infos über den virus die ich halt mal so mitbekommen hab...

der rechner durchsucht den befallenen rechner nach allen email adressen die er finden, verschickt über einen eigenen mailserver die emails und trägt in alle felder die man faken kann irgendwelche sachen ein....
zum rückverfolgen abslut blöd.... am besten einfach einen virenscanner installiern der das alles abfängt...

jo der findet eh alles

Der NAV is jo in der Hinisicht eh supa. Sonst würd ich das ganze ja gar net so gut wissen.

Ich hab eh schon aufgehört, das ganze zurück zu verfolgen, weil bringen tuts nix. Und dass er die Adressen aus allen möglichen Adressbüchern sucht hab ich eh auch schon auf www.sarc.com gelesen.

valo · 04.06.2002, 00:17

i hab die meisten infos aus der arbeit vom mailserver virenscanner.... i krieg jedesmal a mail ins admin postfach wenn a virus abgefangen wird... inklusive link auf die nai seite zur beschreibung des virus... und das können mitunter schon sehr viele pro tag sein, da denkt man gar nimma ans rückverfolgen, sondern hauptsache is: abgefangen worden isser, also passts...

kansas · 04.06.2002, 07:53

.cc ist übrigens das länderkürzel von cocos islands... soweit man da von länderkürzel reden kann ;-)

lg
andi

Clystron · 05.06.2002, 18:51

www.24on.cc ist ein Business-Portal, die domain hat zwei Nameserver, einen Mailexchanger, das ganze schaut doch recht offiziell aus

Der IP-Bereich gehört einer European Telecom International AG in Wien.

Der Virus kann viel faken, aber nicht die "received from xxxxxxxxx by xxxxxx" Einträge weil die die Mailserver machen...

Leider geben die nicht allzuviel her, eine IP die laut RIPE einem Telemarketingservice in Wien gehört, ein Mailserver in Russland der Mails von dieser IP relayed und dann is eh schon GMX....

Naja, wegen so ner kleinigkeit lohnt sichs eh nicht sich irgendwo zu beschweren...

mfg
Clystron

03.06.2002, 20:20	#1
renew Inventar Registriert seit: 22.10.2000 Alter: 41 Beiträge: 5.552	Mailheaderanalyse.... Ich bräuchte ein paar Seiten die zeigen wie man den Mailheader "lesen" kann. Mein Vater hat in letzter Zeit einige dubiose Mails bekommen, wo auch immer ein netter Virus drinnen war. (W32.Klez...) Jetzt will ich die header analysieren um darauf zu schließen was los ist. Hier ist ein Header von einen dieser mails Return-Path: <zinapa@mail.ru> X-Flags: 0000 Delivered-To: GMX delivery to Empfängeradresse Received: (qmail 11823 invoked by uid 0); 31 May 2002 18:07:26 -0000 Received: from mx1.mail.ru (194.67.57.11) by mx0.gmx.net (mx027-rz3) with SMTP; 31 May 2002 18:07:26 -0000 Received: from [217.76.161.7] (helo=Wrgeyjyw) by mx1.mail.ru with smtp (Exim SMTP.1) id 17Dqnj-000Dwh-00 for Empfängeradresse; Fri, 31 May 2002 22:07:00 +0400 From: steuerbuero.ofenboeck <steuerbuero.ofenboeck@24on.cc> To: Empfängeradresse Subject: Spice girls' vocal concert MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=Uq087w9WM98 Message-Id: <E17Dqnj-000Dwh-00@mx1.mail.ru> Date: Fri, 31 May 2002 22:07:00 +0400 X-Modified-Forwards: 2L.Remote address meine Adresse, 3L.Remote address 2 Adresse von mir Ich hab nur "unsere" Adressen durch die Texte in kursiv ersetzt. Was mich wundert, und vor allem interessiert: was das X-Modified-Forwards sind weil dort 2 Adressen von mir stehen, die ich auch wirklich verwende. Was ich auch komisch finde ist, dass alle komischen mails die mein Vater erhalten hat, immer von der gleichen IP Adresse kommen (217.76.161.7) Vielleicht könnts mir da ja weiterhelfen. PS: bei Ripe hab ich schon geschaut, die Domain 24on.cc gibts net. edit: bei ripe gibts es sie nicht, weiß wer wo .cc Domains gelistet sind, so ähnlich wie halt ripe mit whois funktioniert?

03.06.2002, 23:02	#3
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	also a paar infos über den virus die ich halt mal so mitbekommen hab... der rechner durchsucht den befallenen rechner nach allen email adressen die er finden, verschickt über einen eigenen mailserver die emails und trägt in alle felder die man faken kann irgendwelche sachen ein.... zum rückverfolgen abslut blöd.... am besten einfach einen virenscanner installiern der das alles abfängt... ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

04.06.2002, 00:17	#5
valo Inventar Registriert seit: 15.11.2000 Alter: 43 Beiträge: 7.684	i hab die meisten infos aus der arbeit vom mailserver virenscanner.... i krieg jedesmal a mail ins admin postfach wenn a virus abgefangen wird... inklusive link auf die nai seite zur beschreibung des virus... und das können mitunter schon sehr viele pro tag sein, da denkt man gar nimma ans rückverfolgen, sondern hauptsache is: abgefangen worden isser, also passts... ____________________________________ Yeah, yo mama dresses you funny and you need a mouse to delete files. Jabber-ID: valo [at] cargal \'.\' org Infected Mushroom and Barri Saharof - Live in Eilat Desert Israel 24-10-2002 ASY*S - SSL-Pickup 21-10-2002 Dj Tiesto - Forbidden Paradise 8/Mystic Swamp

05.06.2002, 18:51	#7
Clystron Hero Registriert seit: 07.02.2001 Alter: 46 Beiträge: 805	www.24on.cc ist ein Business-Portal, die domain hat zwei Nameserver, einen Mailexchanger, das ganze schaut doch recht offiziell aus Der IP-Bereich gehört einer European Telecom International AG in Wien. Der Virus kann viel faken, aber nicht die "received from xxxxxxxxx by xxxxxx" Einträge weil die die Mailserver machen... Leider geben die nicht allzuviel her, eine IP die laut RIPE einem Telemarketingservice in Wien gehört, ein Mailserver in Russland der Mails von dieser IP relayed und dann is eh schon GMX.... Naja, wegen so ner kleinigkeit lohnt sichs eh nicht sich irgendwo zu beschweren... mfg Clystron ____________________________________ God, Root, what is difference?

03.06.2002, 21:40	#2
renew Inventar Registriert seit: 22.10.2000 Alter: 41 Beiträge: 5.552	Nach einiger Recherche im Internetz, wie so ein Mail-header ausschaut glaube ich des Rätsels Lösung gefunden zu haben, sodass es eigentlich keine wirkliche Lösung gibt. Weil mir kommt vor, dass der Virus, der sich auf irgendeinem Rechner befindet und sich selber weiter verschickt so ziemlich alles im Header Faked was lokal noch möglich ist, bevor die Mail rausgeht. Damit meine ich, dass er einen anderen Absender einträgt, die IP Adresse verändert von wo der Virus kommt, aus dem Header löscht, dass er sich über Outlook verbreitet usw. Falls jemand eine andere Lösung dafür hat, nur her damit!

04.06.2002, 07:53	#6
kansas Master Registriert seit: 04.06.2001 Beiträge: 784	.cc ist übrigens das länderkürzel von cocos islands... soweit man da von länderkürzel reden kann ;-) lg andi

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)