Eben erhielt ich eine Mail ich sollte das unsubscribe bestätigen. Weil ich das nicht vorhabe kam mir das natürlich komisch vor. Im Anhang befand sich eine Datei namens request.msg welche wiederum 2 Anhänge hat: request. msg und info.pif. Letztere ist ein Windows executable. Naja, mir kanns wurscht sein, alle die Ihre Listenmails mit winxxx lesen, sollten aufpassen ;) Ich kann Mailheader nicht so gut lesen, für mich sieht das schon so aus, als ob die Mail vom SuSE-Server kam. Kann das jemand bestätigen? -----------8<-----------
From - Thu Mar 4 13:22:34 2004 X-UIDL: mm2"!`!_"!VAD"!;+p"! X-Mozilla-Status: 0001 X-Mozilla-Status2: 10000000 Envelope-to:
Return-path: Received: from fwdallmx.t-online.com (ident=unknown) by msg.illuminatus.priv with pop3 (masqmail 0.2.20) id 1Ayrl3-0sZ-04 for ; Thu, 04 Mar 2004 13:15:21 +0100 Received: from lists.suse.com ([195.135.221.131]) by mailin00.sul.t-online.de with smtp id 1AyrcM-1g8JIO0; Thu, 4 Mar 2004 13:06:22 +0100 Received: (qmail 23472 invoked by alias); 4 Mar 2004 12:06:16 -0000 Mailing-List: contact suse-linux-help@suse.com; run by ezmlm List-Help: mailto:suse-linux-help@suse.com List-Post: mailto:suse-linux@suse.com List-Subscribe: mailto:suse-linux-subscribe@suse.com Date: 4 Mar 2004 12:06:16 -0000 Message-ID: <1078401976.23471.ezmlm@suse.com> From: suse-linux-help@suse.com To: Illuminatus@t-online.de Delivered-To: responder for suse-linux@suse.com Received: (qmail 23454 invoked from network); 4 Mar 2004 12:06:16 -0000 Received: from unknown (HELO Cantor.suse.de) (195.135.220.2) by 0 with SMTP; 4 Mar 2004 12:06:16 -0000 Received: from hermes.suse.de (Hermes.suse.de [195.135.221.8]) (using TLSv1 with cipher EDH-RSA-DES-CBC3-SHA (168/168 bits)) (No client certificate requested) by Cantor.suse.de (Postfix) with ESMTP id 773B52900D6 for ; Thu, 4 Mar 2004 13:06:16 +0100 (CET) Received: from Cantor.suse.de (ns.suse.de [195.135.220.2]) (using TLSv1 with cipher EDH-RSA-DES-CBC3-SHA (168/168 bits)) (No client certificate requested) by hermes.suse.de (Postfix) with ESMTP id 5E2199673 for ; Thu, 4 Mar 2004 13:06:16 +0100 (CET) Received: from hp (dsl-213-023-207-141.arcor-ip.net [213.23.207.141]) by Cantor.suse.de (Postfix) with SMTP id 816FE2900D5 for ; Thu, 4 Mar 2004 13:06:15 +0100 (CET) MIME-Version: 1.0 Content-Type: multipart/mixed; charset=iso-8859-1; boundary=epnngiebfjmpbokgidpo Reply-To: suse-linux-uc.1078401976.kioclfligjigoefialoa-Illuminatus=t-online.de@suse.com Subject: confirm unsubscribe from suse-linux@suse.com X-Seen: false X-TOI-SPAM: n;0;2004-03-04T12:06:37Z X-UIDL: mm2"!`!_"!VAD"!;+p"!
--epnngiebfjmpbokgidpo Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: quoted-printable Hi! This is the ezmlm program. I'm managing the suse-linux@suse.com mailing list. I'm working for my owner, who can be reached at suse-linux-owner@suse.com. Um zuzustimmen, da=DF Ihre Adresse Illuminatus@t-online.de von der Mailingliste suse-linux@suse.com gestrichen werden soll, senden Sie bitte eine leere Mail an folgende Adresse: ------------8<---------- -- Gruss Bernd
Hallo, Seit ein paar Tagen, bekomme ich jede Menge Mails die einen Anhang *.pif haben. Ich habe sie alle gelöscht. Gruss Karl
* Karl Sinn postete am 04. Mär. 2004 folgendes:
Seit ein paar Tagen, bekomme ich jede Menge Mails die einen Anhang *.pif haben.
Ich habe sie alle gelöscht.
Solche Mails bedeuten nix gutes. Brav so. *ggg* *SCNR* Bye Michael -- Hiroshima '45 Tschernobyl '86 Windows '95 _______________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://autohbci.macbyte.info/
guenther dilger schrieb:
Am Donnerstag, 4. März 2004 16:56 schrieben Karl Sinn:
Hallo,
Seit ein paar Tagen, bekomme ich jede Menge Mails die einen Anhang *.pif haben.
Ich habe sie alle gelöscht.
Ja, diese Anhänge sind nix Neues. Aber in einer Mail vom Listserver für mich schon und vor Allem in Verbindung mit der Aufforderung zum unsubscribe. Wenn die Mail wirklich von dort kommt... -- Gruss Bernd
Hallo! Am Donnerstag, 4. März 2004 16:56 schrieb Karl Sinn:
Seit ein paar Tagen, bekomme ich jede Menge Mails die einen Anhang *.pif haben.
Hat jemand mal nachgeschaut, was in der .pif drin steht? Unter Linux sollte da ja nix passieren. Aber eines verstehe ich nicht: wieseo bekommen alle solche Mails, und ich nie? Noch nicht mal in der Firma, wo Outlook läuft? Thilo -- ------------------------------------------------------------------------------------ Thilo Gramlich Thilo (a dot) Gramlich (an at symbol) aktivanet (a dot) de
Hallo Thilo, Am Donnerstag, 4. März 2004 19:59 schrieb Thilo Gramlich: [...]
Aber eines verstehe ich nicht: wieseo bekommen alle solche Mails, und ich nie? Noch nicht mal in der Firma, wo Outlook läuft?
Ich kann ja mal die nächste eMail an Dich weiterleiten, aber behaupte hinterher nicht, Du seist nicht gewarnt worden... :-) Grüße Jens :-) -- Einzelgänger sucht Gleichgesinnte...
Am Donnerstag, 4. März 2004 19:59 schrieb Thilo Gramlich:
Hallo!
Am Donnerstag, 4. März 2004 16:56 schrieb Karl Sinn:
Seit ein paar Tagen, bekomme ich jede Menge Mails die einen Anhang *.pif haben.
Hat jemand mal nachgeschaut, was in der .pif drin steht? Unter Linux sollte da ja nix passieren.
Aber eines verstehe ich nicht: wieseo bekommen alle solche Mails, und ich nie? Noch nicht mal in der Firma, wo Outlook läuft?
Thilo
-- --------------------------------------------------------------------------- --------- Thilo Gramlich Thilo (a dot) Gramlich (an at symbol) aktivanet (a dot) de
Hätte ich getan wenn ich auch eine bekommen hätte. Naja was nicht ist kann noch werden ich freu mich drauf. -- Gruss Nils Hebisch www.web-base.org <<>> www.deep-inside-your-mind.de www.dev-null.info <<>> ???
Hallo, Am Thu, 04 Mar 2004, Thilo Gramlich schrieb:
Am Donnerstag, 4. März 2004 16:56 schrieb Karl Sinn:
Seit ein paar Tagen, bekomme ich jede Menge Mails die einen Anhang *.pif haben.
Hat jemand mal nachgeschaut, was in der .pif drin steht? Unter Linux sollte da ja nix passieren.
Das sind irgendwelche aktuellen Wuermer/Viren, meist wohl NetSky oder Bagle. -dnh -- If you haven't got time to RTFM, you haven't got time to whine on this mailing list.
Am 04.03.2004 um 19:59 Uhr schrieb Thilo Gramlich:
Hat jemand mal nachgeschaut, was in der .pif drin steht? Unter Linux sollte da ja nix passieren.
Aber eines verstehe ich nicht: wieseo bekommen alle solche Mails, und ich nie? Noch nicht mal in der Firma, wo Outlook läuft?
Zitat: MessageBox...@wsprint...ExitProcess...LoadLibrary...GeProcAddress... VirtualProtect...InternetGetConnectedState...GetNetworkParams... RegOpenKey...USER32.dll...KERNEL32.dll...ININET.dll...WS2_32.dll Also eindeutig ein Windowsprogramm. Ich lese und schreibe in einer anderen Liste mit, wo hauptsächlich Win- und OE-Benutzer sind, über diese eMail-Adresse bekomme ich solch nette Würmer! cu PeeGee
Hallo Bernd, hallo Leute, Am Donnerstag, 4. März 2004 16:18 schrieb Bernd Obermayr:
Eben erhielt ich eine Mail ich sollte das unsubscribe bestätigen. Weil ich das nicht vorhabe kam mir das natürlich komisch vor. Im Anhang befand sich eine Datei namens request.msg welche wiederum 2 Anhänge hat: request. msg und info.pif. Letztere ist ein Windows executable.
Eindeutig ein Wurm oder Virus. Und der hat zufälligerweise die unsubscribe-Adresse aus einer Listenmail gezogen. Das in Kombination mit Deiner Adresse als Absender genügt für eine solche Verwirrung ;-) Ich muss aber sagen, dass wir damit noch glimpflich davonkommen - suse-security wird regelmäßig mit den neuesten Würmern direkt in der Liste gefüttert :-( (immerhin ist dort jetzt die Anhangfilterung wie hier aktiv, damit der gefährliche Teil nicht mehr mitkommt)
Ich kann Mailheader nicht so gut lesen, für mich sieht das schon so aus, als ob die Mail vom SuSE-Server kam. Kann das jemand bestätigen?
-----------8<----------- [...] Received: from lists.suse.com ([195.135.221.131]) by mailin00.sul.t-online.de with smtp id 1AyrcM-1g8JIO0; Thu, 4 Mar 2004 13:06:22 +0100 Received: (qmail 23472 invoked by alias); 4 Mar 2004 12:06:16 -0000 Mailing-List: contact suse-linux-help@suse.com; run by ezmlm List-Help: mailto:suse-linux-help@suse.com [...]
Sieht mir ziemlich sicher nach dem Listenserver aus, auch die IP stimmt. Außerdem: Ich kann mir nicht vorstellen, dass ein Virus sich die Mühe macht, die Mailheader einer ML nachzumachen ;-) Die Bestätigung meiner o. g. Theorie solltest Du in der unsubscribe-Aufforderung finden, dort schickt ezmlm immer die "request message", in diesem Fall also den Wurm, nochmal mit. Kannst Du ja mal nachsehen. Gruß Christian Boltz PS: Der neueste Trick scheint zu sein, auf gesperrte Mailserver hinzuweisen. Subject: Warning about your e-mail account. Inhalt: Dear user of <Servername> gateway e-mail server, Your e-mail account has been temporary disabled because of unauthorized access. [...] Blöderweise ist ein *verschlüsseltes* ZIP angehängt, an dem sich die Virenscanner die Zähne ausbeißen :-| Nur blöde User können es aufmachen, da das Passwort in der Mail steht... -- Ich glaube aber nicht, dass der DDR Ram hat. Er hat seinen Rechner doch erst vor einem Jahr gekauft! Die werden Ihm da doch nicht uralt-Speicherbausteine hereingesteckt haben. Maximal kann er also "Ex-DDR"-Speicher haben (Sprich Infineon, denn die Produzieren ja auch in Dresden ...). [Konrad Neitzel in suse-linux]
Hallo, Am Thu, 04 Mar 2004, Christian Boltz schrieb:
PS: Der neueste Trick scheint zu sein, auf gesperrte Mailserver hinzuweisen. Subject: Warning about your e-mail account. Inhalt: Dear user of <Servername> gateway e-mail server, Your e-mail account has been temporary disabled because of unauthorized access. [...]
Besonders "nett" dann die Variante mit der eigenen Domain: ==== To: david@dhaller.de Subject: E-mail account security warning. From: support@dhaller.de [..] Dear user of "Dhaller.de" mailing system, Your e-mail account has been temporary disabled because of unauthorized access. For details see the attach. The Management, The Dhaller.de team http://www.dhaller.de [-- Attachment #2: Info.pif --] [-- Type: application/octet-stream, Encoding: base64, Size: 16K --] ==== ALERT: [..] --> Info.pif <<< Contains signature of the worm Worm/Bagle.J Ganz schoen dreist das. Sogar inkl. Homepage Angabe. *grmpf* -dnh -- If you haven't got time to RTFM, you haven't got time to whine on this mailing list.
Hallo, am Donnerstag, 4. März 2004 um 16:18 schrieb Bernd Obermayr
Ich kann Mailheader nicht so gut lesen, für mich sieht das schon so aus, als ob die Mail vom SuSE-Server kam. Kann das jemand bestätigen?
+0100 (CET) Received: from hp (dsl-213-023-207-141.arcor-ip.net [213.23.207.141]) by Cantor.suse.de (Postfix) with SMTP id 816FE2900D5 for
; Thu, 4 Mar 2004 13:06:15 +0100 (CET)
IMHO stammt die Mail von dem Arcor DSL Anschluss, natuerlich an SuSE geliefert. cu stonki -- Deutsche ProFTP Docs: http://www.proftpd.de, EFNET: #proftpd KDE3 Renamer: http://www.krename.net KDE3 Barcode und Label Solution: http://www.kbarcode.net Just me: http://www.stonki.de
Stefan Onken schrieb:
Hallo,
am Donnerstag, 4. März 2004 um 16:18 schrieb Bernd Obermayr
Ich kann Mailheader nicht so gut lesen, für mich sieht das schon so aus, als ob die Mail vom SuSE-Server kam. Kann das jemand bestätigen?
+0100 (CET) Received: from hp (dsl-213-023-207-141.arcor-ip.net [213.23.207.141]) by Cantor.suse.de (Postfix) with SMTP id 816FE2900D5 for
; Thu, 4 Mar 2004 13:06:15 +0100 (CET) IMHO stammt die Mail von dem Arcor DSL Anschluss, natuerlich an SuSE geliefert.
Danke, hast Du solange überlegen müssen, oder war die Mail so lang unterwegs? ;)) Gruss Bernd
Am Mittwoch, 7. April 2004 13:58 schrieb Bernd Obermayr:
Danke, hast Du solange überlegen müssen, oder war die Mail so lang unterwegs? ;))
ich schaeme mich auch. Bin heute erst wieder ins Buero gekommen auf der ich auch die SuSE-Liste aboniert habe und irgendwie sah ich Deine Email. Erst spaeter viel mir auf, dass ich mir irgendwelche Uralt Mails anschaue.... Naja, erster Tag in London kurz vor Ostern.. da kann man ja mal durcheinander werden.. cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
participants (13)
-
Christian Boltz
-
David Haller
-
guenther dilger
-
Illuminatus@t-online.de
-
Jens Ruckelshäuser
-
Karl Sinn
-
Michael Raab
-
Nils Hebisch
-
Peter Geerds
-
Stefan Onken
-
Stefan Onken
-
Thilo Gramlich
-
Tux007