[HaBo]

Indigo

Hmm, folgendes Problem:

Seit drei Tagen bekomme ich Mails mit einem Worm (Sorbus (?) A und B). Die Mails haben meist den Absender big@boss.com oder support@microsoft.com Dieses Vieh soll laut Vieren-Lexikon net so gefährlich sein. Ist aber auch net das Problem. Wie kann ich zurückverfolgen, woher der Worm stammt? Ich hab zwar eine Vermutung, aber . . .

Viele Grüße

Indigo

Flou

Schau dir doch einfach mal den kompletten Header an. Das könnte evtl. weiterhelfen (oder poste in hier einfach mal).

mfg. Flou

Indigo

Das ist er:

Received: from [217.85.253.234] (helo=ELSOMBRERO)
by mx22.web.de with esmtp (WEB.DE 4.98 #244)
id 19MHma-0002dM-00
for DeepBlue83@web.de; Sun, 01 Jun 2003 03:37:13 +0200
From: <big@boss.com>
To: <DeepBlue83@web.de>
Subject: Re: Here is that sample
Date: Sun, 1 Jun 2003 3:33:55 +0200
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_0007DFE8"
X-WEBDE-TAG: S
Message-Id: <E19MHma-0002dM-00@mx22.web.de>
Sender: big@boss.com

This is a multipart message in MIME format

--CSmtpMsgPart123X456_000_0007DFE8
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Attached file:
--CSmtpMsgPart123X456_000_0007DFE8
Content-Type: application/octet-stream;
name="Movie_0074.mpeg.pif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Movie_0074.mpeg.pif

Dann kommt nur noch:

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAA . . . .

Den Rest würd den Rahmen sprengen.

Flou

Aus dem geposteten Header kann ich nichts entnehmen was dir weiterhelfen würde...

Chris

Also 217.85.253.234 ist der Mailserver, so wie ich das sehe. Allerdings hat dieser die Mail von "ELSOMBRERO", was ja keine echte Adresse ist, ne

Möglicherweise ist die IP oben eine Privat-IP und der "Hacker" (ich weiss schon...) hat auf seinem PC einen Mailserver eingerichtet... Dann kannst Du mithilfe der IP den Provider ausfindig machen (hilfreich ) und bei diesem anfragen, wer die IP zu der im Header angegebenen Uhrzeit hatte...

Allerdings dürfte der Aufwand nicht lohnen...

Anonym001

nslookup 217.85.253.234
Server: www-proxy.M2.srv.t-online.de
Address: 62.155.254.208

DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an www-proxy.M2.srv.t-online.de


Hilft das irgendwem? Scheint ein Proxy zu sein..also wird das ganze nochmal härter...

--Ano

Indigo

Hi

@Chriss: guter Tipp, leider ist meine net dabei

Ich hab versucht die IP in 'Neon Trance' einzugeben, komm aber net wirklich weiter. Bin noch in der 'Versuch und Irrtum' Phase.

Wenn das hin und wieder mal passieren würde, wär's ja nicht schlimm. Der gleiche Wurm innerhalb von drei Tagen auf die gleiche Mailadresse zu bekommen ist dann irgendwann witzlos.

Dass meine Kiste ein Eigenleben hat, hab ich auch schon herausgefunden. Das Teil ist furchtbar launisch . . .

Bye Indigo

Chris

Habe die IP 217.85.253.234 mal per Traceprogramm zurückverfolgt und er findet eine T-Online-Client-Adresse, also ist das vermutlich eine dynamische IP eines T-Online-Kunden (kein Proxy)...

Das bedeutet: Zur Zeit "Sun, 01 Jun 2003 03:37:13 +0200" befand sich hinter dieser IP ein Mailserver. Das erhärtet meiner Meinung nach die Vermutung, dass der "Hacker" einen Mailserver auf seinem PC hat und von seinem eigenen PC aus die Mails verschickt.

Sollte es Dir das wert sein, kannst Du damit mal zur Telekom gehen. Die haben Logs, in denen verzeichnet wird, welcher T-Online-Kunde zu welcher Zeit welche IP hat(te). Von daher müssten die in der Lage sein, herauszubekommen, wer das war.
Allerdings weiss ich nicht so recht, ob sie diese Information an DICH weitergeben werden (Datenschutz). Dazu müsste evtl. eine Straftat vorliegen und die Polizei eingeschaltet werden.

2Pacaveli

Vielleicht benutzt der "Hacker" auch einen E-Mail Bomber

Mfg 2Pacaveli

Medic

Hallo!

Folgende Angaben helfen dir evtl. (falls etwas schon genannt wurde bitte ich dies zu entschuldigen)

Die erste Zeile

bedeutet folgendes: Die IP-Adresse gehört zu demjenigen Mailserver, von welchem du diese Mail erhalten hast. Mir liegen keine Informationen vor, daß man diese auf einfachem Wege fälschen kann, also kannst du davon ausgehen, das es eine zu diesem Zeitpunkt gültige IP-Adresse war. Der Server hat sich mit helo=ELSOMBRERO bei deinem Mailserver vorgestellt.

Das ist dein eigener Mailserver. In Klammern siehst du Namen und Version des dort verwendeten Mailprogrammes.

Im übrigen kann die Email-adresse big@boss.com sehr leicht gefälscht werden, ihr sollte deshalb nicht allzuviel Beachtung geschenkt werden.

Bei diesen Zeilen muss man aufpassen, da sie mit einem "X" beginnen. Sie können vom Benutzer beliebig eingefügt werden.

Der Rest des Headers ist wohl selbsterklärend und eher uninteressant.

Was du machen kannst: Einige praktische Programme wurden ja schon genannt, wie z.B. tracert oder traceroute oder auch nslookup. Im Prinzip kann man sich beim Betreiber des Mail-Servers beschweren (aber in deinem konkreten Fall ist er wohl mit dem Spam-Verschicker identisch, deshalb lass es lieber bleiben, Müllverschicker penetrieren dich mit noch viel mehr Müll, wenn man ihnen zu viel Aufmerksamkeit schenkt) .
Ansonsten den Mist löschen, Spamfilter einrichten o. Ä. und keinen Gedanken mehr daran verschwenden.

neo2003

Hallo Leute
Ich habe auch so ne E-Mails bekommen.
Mit den Wurm drin aber leider hat mein Viren Scanner den gleich Gelöscht.
Meist findet man in der Programierung verschiedene Informationen auserdem brauche ich die datei um die Person Anzuzeigen.

Hier so sieht der Quellcode bei mir aus.

X-Symantec-TimeoutProtection: 0
X-Symantec-TimeoutProtection: 1
Received: from [62.167.70.195] (helo=MAX-AH261G99LME)
by mx22.web.de with esmtp (WEB.DE 4.99 #44
id 19puKM-0005sN-00
for Adleraugegericke@web.de; Thu, 21 Aug 2003 20:38:33 +0200
From: <margrith.steiner@freesurf.ch>
To: <Adleraugegericke@web.de>
Subject: Re: Your application
Date: Thu, 21 Aug 2003 20:38:10 +0200
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_NextPart_000_000737D0"
Message-Id: <E19puKM-0005sN-00@mx22.web.de>
Sender: margrith.steiner@freesurf.ch

X-Symantec-TimeoutProtection: 0
X-Symantec-TimeoutProtection: 1
X-Symantec-TimeoutProtection: 2
X-Symantec-TimeoutProtection: 3
Received: from [62.167.63.12] (helo=MAX-AH261G99LME)
by mx19.web.de with esmtp (WEB.DE 4.99 #44
id 19pq4F-0002Yt-00
for Adleraugegericke@web.de; Thu, 21 Aug 2003 16:05:39 +0200
From: <info@ready4topjob.de>
To: <Adleraugegericke@web.de>
Subject: Re: Details
Date: Thu, 21 Aug 2003 16:05:19 +0200
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_NextPart_000_0007F5E4"
Message-Id: <E19pq4F-0002Yt-00@mx19.web.de>
Sender: info@ready4topjob.de

In der Mail stand
See the attached file for details


Laut Scan kommt die Person aus Zürich (47.450N, 8.533E)
Den Provider habe ich auch.
whois: This information is subject to an Acceptable Use Policy.
See http://www.switch.ch/id/terms/aup.html


Domain name:
adslplus.ch

Holder of domain name:
TDC Switzerland AG
Andrea Schneider
Domain Registration
Thurgauerstrasse 60
CH-8050 Z rich
Switzerland
dom-reg@sunrise.net

Technical contact:
TDC Switzerland AG
Andrea Schneider
Domain Registration
Thurgauerstrasse 60
CH-8050 Z rich
Switzerland
dom-reg@sunrise.net

Name servers:
ns1.sunrise.ch [193.192.227.3]
ns2.sunrise.ch [195.141.56.5]

Date of last registration:
19.09.2001

Date of last modification:
02.05.2003

Und das habe ich auch raus gekriegt
This is the RIPE Whois server.
The objects are in RPSL format.

Rights restricted by copyright.
See http://www.ripe.net/ripencc/pub-serv...copyright.html

inetnum: 62.167.0.0 - 62.167.255.255
netname: CH-SUNRISE-20011231
descr: sunrise / TDC Switzerland AG
descr: PROVIDER LIR
country: CH
admin-c: SIPR1-RIPE
tech-c: SIPR1-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: AS6730-MNT
mnt-routes: AS6730-MNT
notify: ip-reg@sunrise.net
changed: hostmaster@ripe.net 20011231
changed: hostmaster@ripe.net 20020121
changed: hostmaster@ripe.net 20020419
changed: hostmaster@ripe.net 20020426
changed: hostmaster@ripe.net 20020429
source: RIPE

route: 62.167.0.0/16
descr: CH-SUNRISE-20011231
descr: sunrise / TDC Switzerland AG
origin: AS6730
notify: bgp@sunrise.net
mnt-by: AS6730-MNT
changed: bgp@sunrise.net 20020523
source: RIPE

role: sunrise ip registry
address: sunrise / TDC Switzerland AG
address: Hofwisenstrasse 50
address: CH-8050 Ruemlang
address: Switzerland
phone: +41 1 555 6666
fax-no: +41 1 555 6699
e-mail: ip-reg@sunrise.net
trouble: abuse-email: abuse@sunrise.net
admin-c: RG1257-RIPE
tech-c: DD2118-RIPE
tech-c: RG3846-RIPE
tech-c: PS10163-RIPE
tech-c: BM8503-RIPE
tech-c: DD11-RIPE
tech-c: LK4207-RIPE
tech-c: JNF5-RIPE
tech-c: MM1997-RIPE
tech-c: CR358-RIPE
tech-c: CB633-RIPE
tech-c: KV131-RIPE
tech-c: ER167-RIPE
tech-c: SV250-RIPE
tech-c: AA1573-RIPE
tech-c: JM1681-RIPE
tech-c: FG659-RIPE
tech-c: TS1799-RIPE
tech-c: FF706-RIPE
tech-c: FC905-RIPE
tech-c: RM1881-RIPE
tech-c: SM2115-RIPE
tech-c: EY45-RIPE
tech-c: SH1470-RIPE
tech-c: JNF3-RIPE
tech-c: CM1643-RIPE
nic-hdl: SIPR1-RIPE
remarks: homepage: www.sunrise.net
notify: ip-reg@sunrise.net
notify: hm-dbm-msgs@ripe.net
mnt-by: AS6730-MNT
changed: ip-reg@sunrise.net 20030813
source: RIPE


Jetzt meine Frage kann man jetzt über den Provider die Person erfahren die Hinter der Ip sitzt.
Und ihn dafür anzeigen ?
Es würde mir helfen wenn ich den Wurm bekommen und ihn auf diskette Speicher weil den hätte ich was in der hand gegen ihn.
Achso habe die Daten vom vortag überprüft stimmen bis auf die Ip überein.

Chris

Bei Sobig handelt es sich um einen Wurm, der sich ueber seine eigene SMTP-Engine verschickt.
Derjenige, von dem der Wurm kommt, muss aber keineswegs ein boeswilliger haxxor sein, sondern ist sehr viel wahrscheinlicher ein armer Teufel, der sich den Wurm eingefangen hat und von dem sich der Wurm "fortgepflanzt" hat (automatisch, ohne zutun des Eigentuemers des PCs!). Es macht also keinen Sinn herausfinden zu wollen, wer diese IP hatte.

neo2003

Und wenn man über den Wurm ihn herausfindet.

Und warum soll derjehnige der sich ihn eingefangen hat nicht ausfindig gemacht werden?
Und wie soll dieser > Wurm < an meine Mailad gekommen sein.
Er muss urgentwo die Daten abrufen um sie an den jehnigen zu verschicken.
Deswegen benötige ich ja die die Datei um sie zu überprüfen.
Und übriegens die mail wurde über das Prog. esmtp 4.99 verschikt und da der jehnige der das PROG. anbietet jedes mal wenn eine Mail übertragen wird das Protokolliert und man es wenn man sich mit den jehnigen in verbindung setzt die daten bekommen kann.
Würde ich schon gerne wissen wer mir das Geschikt hat

from [62.167.63.12] (helo=MAX-AH261G99LME)
by mx19.web.de with esmtp (WEB.DE 4.99 #44
id 19pq4F-0002Yt-00

Über diese Daten kann man erfahren:
IP ADresse des Senders 62.167.63.12
Connect dienst zu server MAX-AH261G99LME
Kategorie : mx19.web.de
Und das wichtigste die id 19pq4F-0002Yt-00
E19pq4F-0002Yt-00@mx19.web.de das ist die eigentliche Sender Adresse.

neo2003

Es kann ja eigentlich nicht angehen das es soviele Spam prog. im Netzt gibt da kann ja jeder Idejot Daten und Viren Wirmer Trojaner verschicken.
Es ist einfach nicht mehr schön das dein E-Mail Accund von Spam mails heim gesucht wird laut meiner Meinung musste das Verboten werden und man müsste sich dafür Sehr hohe Strafen aus denken.

neo2003

W32.Sobig.F@mm
Der war als anhang