Mailinglist Archive: opensuse-de (4598 mails)

< Previous Next >
Re: Auf meine unbekannte Adresse aus Liste Spam
  • From: David Haller <david@xxxxxxxxxx>
  • Date: Thu, 10 Jul 2003 14:26:22 +0200
  • Message-id: <20030710122622.GA5802@xxxxxxxxxxxxxxxxxx>
Hallo,

Stephan, du hast dir Bugbear eingefangen! DU DEPP!!!

On Thu, 10 Jul 2003, Konrad Neitzel schrieb:
>Andreas Kyek <a.kyek@xxxxxxxxxxxx> schrieb:
>> Plädiere daher auf "nicht schuldig".

Aber ja. Hier sind 2 mit M. Hoppe und einmal mit MaxX als angeblichen
Absender aufgeschlagen, die Header sowie der verstuemmelte Text im
Body waren aber verdaechtig, der Anhang wurde dann von AntiVir (VDF:
6.20.0.34 vom 9.7.03) als Worm/Bugbear.B identifiziert.

====
Received: from koeflach-tv.at ([62.218.237.20])
by mailin.webmailer.de (8.12.8/8.8.7) with ESMTP id h69JiiAl018473
for <david@xxxxxxxxxx>; Wed, 9 Jul 2003 21:44:44 +0200 (MEST)
Received: from q1s2t4 [62.218.210.21] by koeflach-tv.at
(SMTPD32-5.05) id A24D162F007C; Wed, 09 Jul 2003 21:51:41 +0200
====
Received: from koeflach-tv.at ([62.218.237.20])
by mailin.webmailer.de (8.12.9/8.12.9) with ESMTP id h69Jjm6A026457
for <dh@xxxxxxxxxx>; Wed, 9 Jul 2003 21:45:49 +0200 (MEST)
Received: from q1s2t4 [62.218.210.21] by koeflach-tv.at
(SMTPD32-5.05) id A2FE1634007C; Wed, 09 Jul 2003 21:54:38 +0200
====
Received: from koeflach-tv.at ([62.218.237.20])
by mailin.webmailer.de (8.12.8/8.8.7) with ESMTP id h69JlLPm025305
for <20030406210056.GB9136@xxxxxxxxxxxxxxxxxx>; Wed, 9 Jul 2003 21:47:22 +0200
+(MEST)
Received: from q1s2t4 [62.218.210.21] by koeflach-tv.at
(SMTPD32-5.05) id A2FE1634007C; Wed, 09 Jul 2003 21:54:38 +0200
====

Interessant das. Zwei meiner Mailadressen und eine Msg-Id, die wg.
"catchall" auch ankommt... Und letztere beiden sind identisch und
gingen offenbar (man beachte die identischen IDs!) via Bcc an dh@ und
die Msg-Id gleichzeitig. Angeblicher Absender und Text-Fragment waren
gleich. Die Message-Id stammt uebrigens aus dieser Liste und dem
Thread 'Re: k3b erkennt keine Laufwerke' vom 6.4.03 in dem weder der
angebliche Absender M. Hoppe, noch Stephan mitgeschrieben haben. Und
"dh@" habe ich in der Mail nicht verwendet, die muss also aus noch
einer anderen Mail oder aus dem Adressbuch stammen...

>Da bei den Würmern Standard ist, dass sich der Wurm immer zwei Adressen
>heraussucht, ist das alles ehh nicht zu diskutieren. Sprich:
>
>Absender und Empfänger kommen aus dem infizierten Adressbuch.

Nein. Die kommen offenbar aus dem Mail-Archiv. Anders laesst sich die
Msg-Id als Adresse nicht erklaeren.

Ich werde hier uebrigens nebenbei auch praktisch taeglich (teils
mehrfach am Tag!) mit Worm/Sorbig.A "beglueckt". Leider variieren die
(nichtssagenden) Hostnamen und die IPs stammen aus dip.t-dialin.net,
die zu kontakten ist also fast aussichtslos. Und dann bekomme ich auch
noch bounces von defekt konfigurierten Hosts:

====
>From MAILER-DAEMON@server Mon Jun 30 18:27:37 2003
Return-Path: <MAILER-DAEMON@server>
Received: from localhost (localhost [127.0.0.1])
by feersum.endjinn.de, with ESMTP id SAA00796
for <dh@localhost>; Mon, 30 Jun 2003 18:24:06 +0200
From: MAILER-DAEMON@server
^^^^^^ sic(!)
[..]
Received: from server9.client.org ([66.246.38.250])
Message-Id: <200306300548.h5U5mv6w028465@xxxxxxxxxxxxxxxxxxx>
^^^^^^^^^^^^^^^^^^^sic(!)
[..]
Hi. This is the qmail-send program at server.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<linux-setup@xxxxxxxxxxx>:
ezmlm-reject: fatal: Sorry, I don't accept messages larger than 100000 bytes (#5.2.3)

--- Below this line is a copy of the message.

Return-Path: <david@xxxxxxxxxx>
Received: (qmail 7780 invoked from network); 30 Jun 2003 05:47:55 -0000
Received: by incoming mail bandwidth measurement device
Received: from unknown (216.180.242.130)
by 66.246.41.31 with QMTP; 30 Jun 2003 05:47:55 -0000
Received: (qmail 4153 invoked from network); 30 Jun 2003 05:49:22 -0000
Received: by incoming mail bandwidth measurement device
Received: from unknown (HELO MFWONG) (211.24.143.52)
by server12.client.org with SMTP; 30 Jun 2003 05:49:22 -0000
From: <david@xxxxxxxxxx>
^^^^^^^^^^^^^^^^faked. Ich verschicke nicht als "MFWONG"
To: <linux-setup@xxxxxxxxxxx>
[..]
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^sic(k)(!)
====

Ja und was haengt unten an?? Genau, die _KOMPLETTE_ zu grosse Mail in
all ihrer Pracht, enthaltend den Worm/Sobig.E....

====
This is a multipart message in MIME format

--CSmtpMsgPart123X456_000_00DFDB3F
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Please see the attached zip file for details.
--CSmtpMsgPart123X456_000_00DFDB3F
Content-Type: application/octet-stream;
name="your_details.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="your_details.zip
[..]
AA==
--CSmtpMsgPart123X456_000_00DFDB3F--
=====

*AAAAAAAAAAAAAAAAARRRRRRRRRRRRGGGGGGGGGGGGGGGGGGHHHHHHHHHHHHHHH*

Als waere ich nicht schon gestraft genug mit den normalen Virenmails,
aber dann noch solche pseudo-"bounces" von defekt konfigurierten
Mailservern...

-dnh, was mich das ohne DSL-Flat kosten wuerde *schauder*...

--
16. When your language is nowhere near Turing-complete, syntactic
sugar can be your friend.
--- Eric S. Raymond, "The Cathedral and the Bazaar"

< Previous Next >
Follow Ups