|
|
|
|
|
|
Mitglied
Registrierungsdatum: Aug 2004
Beiträge: 59
|
Virus in Mail -> Absender finden?
Hallo zusammen!
Ich hab heute folgende Mail erhalten (Seit etwa einer Wocher erhalte ich ständig solche Mails) :
Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.nintendo.de
-------
Folgende Fehler wurden aufgezeichnet:
3.144.59.56_does_not_like_sender.
# 331: Remote_host_said:_Requested_action_not_taken
# 298: This_account_has_been_disabled_[#468].
# 454: mailbox_unavailable
# 165: MAILBOX NOT FOUND
# 524: Giving_up_on_3.144.59.56.
STOP mailer
-------
Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl.
Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Automatic-Mail.Config#: [nintendo]
*-*-* Attachment-Scanner: NO VIRUS
*-*-* YAHOO- Anti_Virus Service
*-*-* http://www.yahoo.de
Der Anhang enthält volgenden Virus:
Dateiname: data_info_4443.scr
Dateigröße: 55kb
Dateityp: application/octet-stream
Scan-Ergebnis: Ein Virus "W32.Sober.I@mm" wurde gefunden.
Die angehängte Datei ist mit einem Virus infiziert, der nicht löschbar ist. Sie können Download nicht anhängen.
Okay, hier ist noch der Vollständige Header, bei dem klar wird, dass die Mail wohl doch nicht von Nintendo kommt:
X-Apparently-To: nomainwin-basic@yahoo.de via 206.190.39.168; Thu, 16 Dec 2004 10:08:15 -0800
X-YahooFilteredBulk: 217.228.219.166
Authentication-Results: mta137.mail.re2.yahoo.com from=nintendo.de; domainkeys=neutral (no sig)
X-Originating-IP: [217.228.219.166]
Return-Path: <re-mailer@nintendo.de>
Received: from 217.228.219.166 (HELO pahbth.de) (217.228.219.166) by mta137.mail.re2.yahoo.com with SMTP; Thu, 16 Dec 2004 10:08:00 -0800
Von: Re-Mailer@nintendo.de
Datum: Thu, 16 Dec 2004 17:42:08 GMT
Betreff: FwD: Mailzustellung fehlgeschlagen
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: <a29d9dbc08f16af03@nintendo.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="===782f4e.aeea5bc56e80fa30bd"
Content-Transfer-Encoding: 7bit
This is a multi-part message in MIME format.
Content-Length: 58443
Nun, was kann ich gegen diese Mails machen, oder besser gesagt, gegen den Absender? (Gar nichts, oder?)
Ach ja, ich bin auf dem Gebiet ziemlich unbewandt, also nehmt es mir nicht übel, wenn sich das hier als Lapalie herausstellen sollte.
THX JokerJoe
Geändert von JokerJoe (16. 12. 2004 um 20:23 Uhr).
|
16. 12. 2004, 18:48
|
#1
|
|
HierKönntIhreWerbungStehn
Registrierungsdatum: Apr 2003
Beiträge: 854
|
Viele Wege führen nach Rom, aber meine These ist:
Irgendjemand hat mit deiner (gefakten) Yahoo-E-Mailadresse (sehr) viele Mails mit diesem Virus an viele verschiedene Adresse verschickt.
Darunter war auch eine Mailadresse von Nintendo, die deaktiviert war. (# 298: This_account_has_been_disabled_[#468].)
Vielleicht kann dir das sonst nochmal jemand ausführlicher erklären...
Um auf deine eigentliche Frage zurückzukommen:
Es ist fast unmöglich den echten Versender zu finden, denn die benutzen meist einen oder mehrere Proxys...
Der wichtigste Inhalt diesbezüglich ist:
Received: from 217.228.219.166 (HELO pahbth.de) (217.228.219.166) by mta137.mail.re2.yahoo.com with SMTP; Thu, 16 Dec 2004 10:08:00 -0800
Denn da steht woher die Mail gekommen ist, theoretisch also von dem Internetdiestleister pahbth.de und einem Typen der die IP 217.228.219.166 hatte. Wie gesagt theoretisch, denn die Domain pahbth.de gibt es gar nicht...
Bye Study
|
|
16. 12. 2004, 19:22
|
#2
|
|
Mitglied
(Threadstarter)
Registrierungsdatum: Aug 2004
Beiträge: 59
|
Was verstehst du unter gefake Adresse? Das ist meine Yahoo-Wegwerfadresse.
Also hat er mich benutzt um seine Mails zu versenden, oder wie?
Ich hab nämlich vermutet, dass dieses ganze "Error MAILBOX NOT FOUND" Zeug dazu bringen soll den Anhang mit Virus zu öffnen.
Für weitere Vorschläge bin ich dankbar.
Ach ja, [NUR MAL SO EIN GEDANKENGANG] diese IP 217.228.219.166 (HELO pahbth.de) . Wenn das der Versender ist, könnte man den nicht irgendwie "Nuken" 
|
|
16. 12. 2004, 20:18
|
#3
|
|
HierKönntIhreWerbungStehn
Registrierungsdatum: Apr 2003
Beiträge: 854
|
Mit gefakt meinte ich eher, er benutzt deíne e-mailadresse, obwohl sie ihm nicht gehört.
Meine 2. Idee wäre, dass die Mail komplett gefälscht war und und man den Anhand ansehen sollte.
Achja und wegen der IP bringt es nix mit nuken:
1. Gibbet die IP zurzeit nicht im Netz (nicht ping-bar)
2. Hat der Versender vielleicht Proxys zur IP-Verschleierung benutzt...
|
|
16. 12. 2004, 20:48
|
#4
|
|
Mitglied
(Threadstarter)
Registrierungsdatum: Aug 2004
Beiträge: 59
|
Das mit dem "genuke" war ja auch eher ein Scherz
|
|
16. 12. 2004, 20:57
|
#5
|
|
HierKönntIhreWerbungStehn
Registrierungsdatum: Apr 2003
Beiträge: 854
|
...habe ich auch so verstanden, war nur zur erläuterung ...
|
|
17. 12. 2004, 05:01
|
#6
|
|
Moderator
Registrierungsdatum: May 2000
Beiträge: 15.884
|
Das einzige was du tun kannst ist die Beschwerde bei dem Zugangsanbieter des Versenders. Die IP-Adresse (als einziges nicht gefälschtes Merkmal in der Mail) gehört zu T-Com, die Abuse-Abteilung von denen ist unter https://abuse.t-ipnet.de/cgi-bin/abuse.pl zu erreichen. Von T-Online (dem wahrscheinlichen Anbieter für den Endkunden) gibt es außerdem http://www.t-online.de/abuse/kontakt/. Ich bin mir aber nicht sicher, ob es zwingend ein T-Online-Kunde gewesen sein muss, möglicherweise stellt T-Com auch für andere Anbieter das Netz zur Verfügung.
Ich habe keine Ahnung, ob eine Beschwerde bei dem Verein irgendwas bringt, probier es aus, wenn du Lust hast. Ansonsten solltest du den Kram einfach von deinem Spamfilter aussortieren lassen.
Geändert von aNtiCHrist (18. 12. 2004 um 03:50 Uhr).
|
|
18. 12. 2004, 03:30
|
#7
|
|
Mitglied
(Threadstarter)
Registrierungsdatum: Aug 2004
Beiträge: 59
|
Oh, wieder eine Mail von Nintendo:
X-Apparently-To: nomainwin-basic@yahoo.de via 206.190.39.172; Sat, 18 Dec 2004 03:30:57 -0800
X-YahooFilteredBulk: 217.80.226.18
Authentication-Results: mta100.mail.re2.yahoo.com from=nintendo-power.de; domainkeys=neutral (no sig)
X-Originating-IP: [217.80.226.18]
Return-Path: <hostmaster@nintendo-power.de>
Received: from 217.80.226.18 (HELO afclk.de) (217.80.226.18) by mta100.mail.re2.yahoo.com with SMTP; Sat, 18 Dec 2004 03:30:57 -0800
Von: Hostmaster@nintendo-power.de Zum Adressbuch hinzufügenZum Adressbuch hinzufügen
An: Send an Instant Message dorothee_liebmann@yahoo.de
Datum: Sat, 18 Dec 2004 10:56:19 GMT
Betreff: Ihre E-Mail wurde verweigert
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: <91bee49.b7c4bd6cf1f@nintendo-power.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="c2b4ba7d959b1e55b4.aced"
Content-Transfer-Encoding: 7bit
This is a multi-part message in MIME format.
Content-Length: 58416
Lassen sich hieraus neue Schlüsse ziehen?
|
|
18. 12. 2004, 14:25
|
#8
|
|
Psychopath
Registrierungsdatum: Oct 2004
Beiträge: 4.285
|
Ich habe genau das selbe Problem:
Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.gmx.de
-------
Folgende Fehler wurden aufgezeichnet:
145.103.133.249_does_not_like_sender.
% 305: This_account_has_been_disabled_[#342].
% 202: mailbox_unavailable
% 498: Remote_host_said:_Requested_action_not_taken
% 324: MAILBOX NOT FOUND
% 356: Giving_up_on_145.103.133.249.
STOP mailer
-------
Außerdem kommen die Mails teilweise von Leuten, denen ich mal was geschickt hab.
Aber ich hab den Virus sicher nicht, alles schon mehrfach gescannt.
Würde mich auch über eine Lösung freuen.
Genmutant
|
18. 12. 2004, 14:29
|
#9
|
|
Moderator
Registrierungsdatum: May 2000
Ort: Anus mundi
Beiträge: 8.952
|
Was wollt IHR denn dagegen machen, dass jemand den Sober-Wurm auf seinem PC hat?
Der Wurm grast dort fröhlich E-Mail-Adressen ab (inkl. eurer) und feuert dann mit seiner eigenen SMTP-Engine diese lustigen Mails raus.
Gruß
|
|
18. 12. 2004, 15:08
|
#10
|
|
Moderator
Registrierungsdatum: May 2000
Beiträge: 15.884
|
@JokerJoe: Das ist wieder mal jemand aus dem T-Com-Netz, die gleiche Adresse wie oben wäre der Ansprechpartner. Wenn du jemanden mit Nintendo-Bezug in deinem Bekantenkreis hast, wäre der vielleicht eine potentielle Quelle. Ansonsten lässt sich nichts neues aus dem Header erkennen.
@Genmutant: Bei dir gilt das ebenso, vermutlich wird sich jemand in deinem Bekanntenkreis infiziert haben. Vielleicht kennen die sich ja auch untereinander, es ist also schwer zu sagen, wer das genau war. Vielleicht ist dir beim Auffinden die IP-Adresse im Header der Mail hilfreich. Wenn du weißt, welchen Zugangsanbieter die Bekannten haben, kannst du vielleicht welche ausschließen und den Kreis eingrenzen.
Zu welchem Anbieter die IP-Adresse gehört, kann man unter http://ripe.net/ über das WHOIS-Formular herausfinden. Da werden normalerweise auch Abuse-Adressen genannt, an die man sich wenden kann. Aber eine Reaktion sollte man nicht unbedingt erwarten...
|
|
18. 12. 2004, 15:12
|
#11
|
|
is der beste ;-)
Registrierungsdatum: Oct 2004
Ort: Underground
Beiträge: 223
|
Die mails krieg ich auch dauernt, werden allerdings weniger....
|
|
23. 12. 2004, 17:20
|
#12
|
|
|
Alle Zeitangaben in UTC +1. Es ist jetzt 01:34 Uhr.
|
|
