Sorbig Mails

Hmm, folgendes Problem:

Seit drei Tagen bekomme ich Mails mit einem Worm (Sorbus (?) A und B). Die Mails haben meist den Absender big@boss.com oder support@microsoft.com Dieses Vieh soll laut Vieren-Lexikon net so gefährlich sein. Ist aber auch net das Problem. Wie kann ich zurückverfolgen, woher der Worm stammt? Ich hab zwar eine Vermutung, aber . . .

Viele Grüße

Indigo
 
Schau dir doch einfach mal den kompletten Header an. Das könnte evtl. weiterhelfen (oder poste in hier einfach mal).

mfg. Flou
 
Das ist er:

Received: from [217.85.253.234] (helo=ELSOMBRERO)
by mx22.web.de with esmtp (WEB.DE 4.98 #244)
id 19MHma-0002dM-00
for DeepBlue83@web.de; Sun, 01 Jun 2003 03:37:13 +0200
From: <big@boss.com>
To: <DeepBlue83@web.de>
Subject: Re: Here is that sample
Date: Sun, 1 Jun 2003 3:33:55 +0200
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_0007DFE8"
X-WEBDE-TAG: S
Message-Id: <E19MHma-0002dM-00@mx22.web.de>
Sender: big@boss.com

This is a multipart message in MIME format

--CSmtpMsgPart123X456_000_0007DFE8
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Attached file:
--CSmtpMsgPart123X456_000_0007DFE8
Content-Type: application/octet-stream;
name="Movie_0074.mpeg.pif"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Movie_0074.mpeg.pif

Dann kommt nur noch:

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAA . . . .

Den Rest würd den Rahmen sprengen.
 
Received: from [217.85.253.234] (helo=ELSOMBRERO)

Also 217.85.253.234 ist der Mailserver, so wie ich das sehe. Allerdings hat dieser die Mail von "ELSOMBRERO", was ja keine echte Adresse ist, ne ;)

Möglicherweise ist die IP oben eine Privat-IP und der "Hacker" (ich weiss schon...) hat auf seinem PC einen Mailserver eingerichtet... Dann kannst Du mithilfe der IP den Provider ausfindig machen (hilfreich ) und bei diesem anfragen, wer die IP zu der im Header angegebenen Uhrzeit hatte...

Allerdings dürfte der Aufwand nicht lohnen...
 
nslookup 217.85.253.234
Server: www-proxy.M2.srv.t-online.de
Address: 62.155.254.208

DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an www-proxy.M2.srv.t-online.de


Hilft das irgendwem? Scheint ein Proxy zu sein..also wird das ganze nochmal härter...

--Ano
 
Hi

@Chriss: guter Tipp, leider ist meine net dabei

Ich hab versucht die IP in 'Neon Trance' einzugeben, komm aber net wirklich weiter. Bin noch in der 'Versuch und Irrtum' Phase.

Wenn das hin und wieder mal passieren würde, wär's ja nicht schlimm. Der gleiche Wurm innerhalb von drei Tagen auf die gleiche Mailadresse zu bekommen ist dann irgendwann witzlos.

Dass meine Kiste ein Eigenleben hat, hab ich auch schon herausgefunden. Das Teil ist furchtbar launisch . . . :D

Bye Indigo
 
Habe die IP 217.85.253.234 mal per Traceprogramm zurückverfolgt und er findet eine T-Online-Client-Adresse, also ist das vermutlich eine dynamische IP eines T-Online-Kunden (kein Proxy)...

Das bedeutet: Zur Zeit "Sun, 01 Jun 2003 03:37:13 +0200" befand sich hinter dieser IP ein Mailserver. Das erhärtet meiner Meinung nach die Vermutung, dass der "Hacker" einen Mailserver auf seinem PC hat und von seinem eigenen PC aus die Mails verschickt.

Sollte es Dir das wert sein, kannst Du damit mal zur Telekom gehen. Die haben Logs, in denen verzeichnet wird, welcher T-Online-Kunde zu welcher Zeit welche IP hat(te). Von daher müssten die in der Lage sein, herauszubekommen, wer das war.
Allerdings weiss ich nicht so recht, ob sie diese Information an DICH weitergeben werden (Datenschutz). Dazu müsste evtl. eine Straftat vorliegen und die Polizei eingeschaltet werden.
 
Hallo!

Folgende Angaben helfen dir evtl. (falls etwas schon genannt wurde bitte ich dies zu entschuldigen)

Die erste Zeile

Received: from [217.85.253.234] (helo=ELSOMBRERO)

bedeutet folgendes: Die IP-Adresse gehört zu demjenigen Mailserver, von welchem du diese Mail erhalten hast. Mir liegen keine Informationen vor, daß man diese auf einfachem Wege fälschen kann, also kannst du davon ausgehen, das es eine zu diesem Zeitpunkt gültige IP-Adresse war. Der Server hat sich mit helo=ELSOMBRERO bei deinem Mailserver vorgestellt.

by mx22.web.de with esmtp (WEB.DE 4.98 #244)

Das ist dein eigener Mailserver. In Klammern siehst du Namen und Version des dort verwendeten Mailprogrammes.

Im übrigen kann die Email-adresse big@boss.com sehr leicht gefälscht werden, ihr sollte deshalb nicht allzuviel Beachtung geschenkt werden.

X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)

Bei diesen Zeilen muss man aufpassen, da sie mit einem "X" beginnen. Sie können vom Benutzer beliebig eingefügt werden.

Der Rest des Headers ist wohl selbsterklärend und eher uninteressant.

Was du machen kannst: Einige praktische Programme wurden ja schon genannt, wie z.B. tracert oder traceroute oder auch nslookup. Im Prinzip kann man sich beim Betreiber des Mail-Servers beschweren (aber in deinem konkreten Fall ist er wohl mit dem Spam-Verschicker identisch, deshalb lass es lieber bleiben, Müllverschicker penetrieren dich mit noch viel mehr Müll, wenn man ihnen zu viel Aufmerksamkeit schenkt) .
Ansonsten den Mist löschen, Spamfilter einrichten o. Ä. und keinen Gedanken mehr daran verschwenden.
 
Hab auch so ne Mail Bekommen

Hallo Leute
Ich habe auch so ne E-Mails bekommen.
Mit den Wurm drin aber leider hat mein Viren Scanner den gleich Gelöscht.
Meist findet man in der Programierung verschiedene Informationen auserdem brauche ich die datei um die Person Anzuzeigen.

Hier so sieht der Quellcode bei mir aus.

X-Symantec-TimeoutProtection: 0
X-Symantec-TimeoutProtection: 1
Received: from [62.167.70.195] (helo=MAX-AH261G99LME)
by mx22.web.de with esmtp (WEB.DE 4.99 #448)
id 19puKM-0005sN-00
for Adleraugegericke@web.de; Thu, 21 Aug 2003 20:38:33 +0200
From: <margrith.steiner@freesurf.ch>
To: <Adleraugegericke@web.de>
Subject: Re: Your application
Date: Thu, 21 Aug 2003 20:38:10 +0200
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_NextPart_000_000737D0"
Message-Id: <E19puKM-0005sN-00@mx22.web.de>
Sender: margrith.steiner@freesurf.ch

X-Symantec-TimeoutProtection: 0
X-Symantec-TimeoutProtection: 1
X-Symantec-TimeoutProtection: 2
X-Symantec-TimeoutProtection: 3
Received: from [62.167.63.12] (helo=MAX-AH261G99LME)
by mx19.web.de with esmtp (WEB.DE 4.99 #448)
id 19pq4F-0002Yt-00
for Adleraugegericke@web.de; Thu, 21 Aug 2003 16:05:39 +0200
From: <info@ready4topjob.de>
To: <Adleraugegericke@web.de>
Subject: Re: Details
Date: Thu, 21 Aug 2003 16:05:19 +0200
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_NextPart_000_0007F5E4"
Message-Id: <E19pq4F-0002Yt-00@mx19.web.de>
Sender: info@ready4topjob.de

In der Mail stand
See the attached file for details


Laut Scan kommt die Person aus Zürich (47.450N, 8.533E)
Den Provider habe ich auch.
whois: This information is subject to an Acceptable Use Policy.
See http://www.switch.ch/id/terms/aup.html


Domain name:
adslplus.ch

Holder of domain name:
TDC Switzerland AG
Andrea Schneider
Domain Registration
Thurgauerstrasse 60
CH-8050 Z rich
Switzerland
dom-reg@sunrise.net

Technical contact:
TDC Switzerland AG
Andrea Schneider
Domain Registration
Thurgauerstrasse 60
CH-8050 Z rich
Switzerland
dom-reg@sunrise.net

Name servers:
ns1.sunrise.ch [193.192.227.3]
ns2.sunrise.ch [195.141.56.5]

Date of last registration:
19.09.2001

Date of last modification:
02.05.2003

Und das habe ich auch raus gekriegt
This is the RIPE Whois server.
The objects are in RPSL format.

Rights restricted by copyright.
See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 62.167.0.0 - 62.167.255.255
netname: CH-SUNRISE-20011231
descr: sunrise / TDC Switzerland AG
descr: PROVIDER LIR
country: CH
admin-c: SIPR1-RIPE
tech-c: SIPR1-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: AS6730-MNT
mnt-routes: AS6730-MNT
notify: ip-reg@sunrise.net
changed: hostmaster@ripe.net 20011231
changed: hostmaster@ripe.net 20020121
changed: hostmaster@ripe.net 20020419
changed: hostmaster@ripe.net 20020426
changed: hostmaster@ripe.net 20020429
source: RIPE

route: 62.167.0.0/16
descr: CH-SUNRISE-20011231
descr: sunrise / TDC Switzerland AG
origin: AS6730
notify: bgp@sunrise.net
mnt-by: AS6730-MNT
changed: bgp@sunrise.net 20020523
source: RIPE

role: sunrise ip registry
address: sunrise / TDC Switzerland AG
address: Hofwisenstrasse 50
address: CH-8050 Ruemlang
address: Switzerland
phone: +41 1 555 6666
fax-no: +41 1 555 6699
e-mail: ip-reg@sunrise.net
trouble: abuse-email: abuse@sunrise.net
admin-c: RG1257-RIPE
tech-c: DD2118-RIPE
tech-c: RG3846-RIPE
tech-c: PS10163-RIPE
tech-c: BM8503-RIPE
tech-c: DD11-RIPE
tech-c: LK4207-RIPE
tech-c: JNF5-RIPE
tech-c: MM1997-RIPE
tech-c: CR358-RIPE
tech-c: CB633-RIPE
tech-c: KV131-RIPE
tech-c: ER167-RIPE
tech-c: SV250-RIPE
tech-c: AA1573-RIPE
tech-c: JM1681-RIPE
tech-c: FG659-RIPE
tech-c: TS1799-RIPE
tech-c: FF706-RIPE
tech-c: FC905-RIPE
tech-c: RM1881-RIPE
tech-c: SM2115-RIPE
tech-c: EY45-RIPE
tech-c: SH1470-RIPE
tech-c: JNF3-RIPE
tech-c: CM1643-RIPE
nic-hdl: SIPR1-RIPE
remarks: homepage: www.sunrise.net
notify: ip-reg@sunrise.net
notify: hm-dbm-msgs@ripe.net
mnt-by: AS6730-MNT
changed: ip-reg@sunrise.net 20030813
source: RIPE


Jetzt meine Frage kann man jetzt über den Provider die Person erfahren die Hinter der Ip sitzt.
Und ihn dafür anzeigen ?
Es würde mir helfen wenn ich den Wurm bekommen und ihn auf diskette Speicher weil den hätte ich was in der hand gegen ihn.
Achso habe die Daten vom vortag überprüft stimmen bis auf die Ip überein.
 
Bei Sobig handelt es sich um einen Wurm, der sich ueber seine eigene SMTP-Engine verschickt.
Derjenige, von dem der Wurm kommt, muss aber keineswegs ein boeswilliger haxxor sein, sondern ist sehr viel wahrscheinlicher ein armer Teufel, der sich den Wurm eingefangen hat und von dem sich der Wurm "fortgepflanzt" hat (automatisch, ohne zutun des Eigentuemers des PCs!). Es macht also keinen Sinn herausfinden zu wollen, wer diese IP hatte.
 
re

Und wenn man über den Wurm ihn herausfindet.

Und warum soll derjehnige der sich ihn eingefangen hat nicht ausfindig gemacht werden?
Und wie soll dieser > Wurm < an meine Mailad gekommen sein.
Er muss urgentwo die Daten abrufen um sie an den jehnigen zu verschicken.
Deswegen benötige ich ja die die Datei um sie zu überprüfen.
Und übriegens die mail wurde über das Prog. esmtp 4.99 verschikt und da der jehnige der das PROG. anbietet jedes mal wenn eine Mail übertragen wird das Protokolliert und man es wenn man sich mit den jehnigen in verbindung setzt die daten bekommen kann.
Würde ich schon gerne wissen wer mir das Geschikt hat

from [62.167.63.12] (helo=MAX-AH261G99LME)
by mx19.web.de with esmtp (WEB.DE 4.99 #448)
id 19pq4F-0002Yt-00

Über diese Daten kann man erfahren:
IP ADresse des Senders 62.167.63.12
Connect dienst zu server MAX-AH261G99LME
Kategorie : mx19.web.de
Und das wichtigste die id 19pq4F-0002Yt-00
E19pq4F-0002Yt-00@mx19.web.de das ist die eigentliche Sender Adresse.
 
SPAM muss gestopt werden

Es kann ja eigentlich nicht angehen das es soviele Spam prog. im Netzt gibt da kann ja jeder Idejot Daten und Viren Wirmer Trojaner verschicken.
Es ist einfach nicht mehr schön das dein E-Mail Accund von Spam mails heim gesucht wird laut meiner Meinung musste das Verboten werden und man müsste sich dafür Sehr hohe Strafen aus denken.
 
Das ist in meinen Augen weder wuenschenswert noch realisierbar.

1. Nicht wuenschenswert, da ich gegen jede Art der Zensur und Beschraenkung im Internet bin und das ein Eingriff in das Recht der freien Meinungsaeusserung waere. Und wer definiert, was genau Spam und was nicht ist?

2. Schlecht realisierbar, da es ja schon mit allem Mitteln versucht wird, Spam einzudaemmen. Aber auch die Spammer sind ja nicht nur (!) keine dumme Kiddies die sich nen Mailbomber runtergeladen haben. z.B. gibt es Quellen die die Schuld an Sobig der Spammerszene zuschreibt, die versucht, neue Methoden fuer den Versandt von Spam sucht, da mehr und mehr SMTP-Server-Admins begriffen haben, dass "Allow relay" eines der groessten NoNo's ist, das es in der Branche gibt.
Auch hier, bei der Erstellung von Spamfiltern, ist das Hauptproblem wieder konkrete Unterscheidungsmerkmale zwischen Spam und normaler Mail zu finden. Ich glaube, wenn da einer fuer nen richtig guten Algo findet ist er steinreich...

Ich halte es genauso unsinnig, was weiss ich was fuer Strafe auf "Spamming" zu geben. Das Entbehrt jeder Vernunft und ist eine vollkommen emotionale Idee!

Man kann Spam aber auch Einhalt gebieten, indem man so einfache aber wirkungsvolle Tips wie:
- nicht in jedes Formular, das irgendwo auftaucht, die eMail-Adresse eingeben
- mehrere eMail-Adresse mit Prioritaeten: Sagen wir, die Hauptadresse nur fuer nahe Bekannte, die zweite fuer entferntere Bekannte und die dritte fuer jeden Sch***
- Wenn moeglich eine eMail-Adresse immer ohne "@"-Zeichen angeben, also z.B. user(at)host.tld
- auf keinen Fall auf Spam antworten, da der Spammer dann eine Bestaetigung hat, dass Deine Adresse "live" ist, also dass da wirklich ein User dahinter steckt.

Denn die Spammer erhalten ihre eMail-Adressen vor allem durch zwei Quellen:
- Anbieter von Webservices, bei denen eine eMail-Adresse eingegeben werden muss, die dann eMail-Adressenlisten verkaufen.
- Scannen von Webseiten nach Strings die das Zeichen "'@" enthalten

P.S.: neo2003, Deine bisherigen 4 posts enthalten 44 Rechtschreib- u. Grammatikfehler. Ich bin da wirklich nicht empfindlich, aber eine derartige Missachtung der Syntax der eigenen Sprache ist eine Zumutung fuer den Leser, weil er sich bei jedem dritten Wort erstmal ueberlegen muss, welches Wort das eigentlich sein soll...
 
@chris
Ich bin da wirklich nicht empfindlich, aber eine derartige Missachtung der Syntax der eigenen Sprache ist eine Zumutung fuer den Leser

hm, ich finde bei dir 3 schwere Satzbaufehler und 2 rechtschreibfehler.
Guter Schnitt für so viele Worte aber bleib doch trotzdem mal auf dem teppich ;)

ps: meine Gross-kleinschreibung wird zu 90% von meiner Faulheit bestimmt.
 
Wollte eigentlich nicht ins OT, aber nur soviel:

Natuerlich ist niemand (ich schon garnicht :) ) frei von Rechtschreibfehlern. Aber die meisten bemuehen sich. Das hat auch nichts damit zu tun, dass ich Perfektionist oder Orthographiefetischist waere sondern es ist ganz einfach wesentlich leichter und angenehmer einen vernuenftig geschriebenen Beitrag zu lesen als einen wirren Zeichensalat, bei dem man erstmal ueberlegt, ob man den vielleicht erst entschluessen muss... :rolleyes:
Und mir ist das lesen von neo2003's Beitraegen schon leicht die Lust am Lesen vergangen (btw: Es gab auch PN-Verkehr zwischen uns, das hat vielleicht Einfluss gehabt...). Ist auch nicht boese gemeint, sondern ein netter Tip, denn wenn Beitraege leicht zu lesen sind, lesen sie mehr Leute und es gibt mit hoeherer Wahrscheinlichkeit auch sinnvolles Feedback und Antworten.

Sorry fuer das OT... ;)
 
sobig.f

sobig.f muss nicht unbedingt einen pc infiziert haben um sich über diese emailadresse zu verbreiten. es reicht schon ein adressbuch. das war bei den vorgängern genauso...bin mal gespannt wann der programmierer von sobig.f richtig loslegt. denn die bisherige sobig reihe waren in meinen augen nur tests um heraus zufinden welche methode am besten ist. der programmierer gibt sich viel mühe...das sieht man auch am quelltext.
nicht so wie der programmierer vom blast... hrhrhr irgendwo ein exploit gefunden ein billiges prog geschrieben der den spass ausführt und fertig is der blast-wurm...meiner meinung nach ne schande für die viren-programmer-szene

greetz
 
Zurück
Oben