OT: ezmlm verschickt verseuchte Anhänge (W32/Netsky.B@mm)
Hallo Liste! Ich habe gerade von der Adresse 'suse-programming-help@suse.com' eine Mail mit dem Betreff 'confirm subscribe to suse-programming@suse.com' erhalten. Der Body der Mail ist die übliche Aufforderung von ezmlm, die Subscription dieser Mailing-Liste zu bestätigen. Ich war natürlich sehr überrascht, weil ich diese Liste schon lange abonniert habe. Bei näherem Hinsehen habe ich einen Anhang namens 'doc.scr' entdeckt. F-Prot erkennt diese Datei als 'W32/Netsky.B@mm'. Offensichtlich hatte jemand mit meiner Adresse eine Subscription-Anfrage an 'suse-programming-subscribe@suse.com' gerichtet und an diese Anfrage die Datei 'doc.scr' angehängt. Ezmlm hängte die komplette Anfrage-Mail inclusive verseuchtem Anhang an die Bestätigungsaufforderung an. Mir ist klar, dass ezmlm nicht feststellen kann, ob der Absender gefälscht wurde. Aber könnte man ezmlm nicht eine der folgenden Verhaltensregeln beibringen, damit in Zukunft diese Art der Schädlingsverbreitung unterbunden wird: 1. Subscription-Bestätigungsmails werden nicht an Adressen gerichtet, die bereits als Teilnehmer registriert sind. 2. Es werden alle Anhänge von Subscription-Anfragen entfernt. Was haltet ihr davon? An wen soll ich mich bei SuSE wegen dieses Problems wenden? Auf Wunsch kann ich euch natürlich eine Kopie der betreffenden Mail zukommen lassen. Ich will sie nur nicht in die Mailing-Liste schicken, da ich der Verbreitung des Schädlings dadurch Vorschub leisten würde. Gruß, Michael
On Friday 12 March 2004 00:36, Michael Wenger wrote:
Was haltet ihr davon? An wen soll ich mich bei SuSE wegen dieses Problems wenden?
Vergiß es einfach, Du hast einfach ganz normalen Virus-Spam mit gefälschten
Headern erhalten. Das kommt nicht wirklich von SuSE. Davon bekommt jeder von
uns Dutzende am Tag.
CU
--
Stefan Hundhammer
Hi Stefan! Stefan Hundhammer schrieb:
On Friday 12 March 2004 00:36, Michael Wenger wrote:
Was haltet ihr davon? An wen soll ich mich bei SuSE wegen dieses Problems wenden?
Vergiß es einfach, Du hast einfach ganz normalen Virus-Spam mit gefälschten Headern erhalten. Das kommt nicht wirklich von SuSE. Davon bekommt jeder von uns Dutzende am Tag.
Ich kenne auch diese billig gefakten Mails. Diese Mail, die ich
anspreche, kommt aber offensichtlich von Suse. Hier der interessante
Teil des Headers:
------------------------
Delivered-To: GMX delivery to onlymails@gmx.net
Received: (qmail 9111 invoked by uid 65534); 11 Mar 2004 18:51:41 -0000
Received: from lists.suse.com (HELO lists.suse.com) (195.135.221.131)
by mx0.gmx.net (mx010) with SMTP; 11 Mar 2004 19:51:41 +0100
Received: (qmail 4293 invoked by alias); 11 Mar 2004 18:50:33 -0000
Mailing-List: contact suse-programming-help@suse.com; run by ezmlm
List-Help: mailto:suse-programming-help@suse.com
List-Post: mailto:suse-programming@suse.com
List-Subscribe: mailto:suse-programming-subscribe@suse.com
Date: 11 Mar 2004 18:50:33 -0000
Message-ID: <1079031033.4292.ezmlm@suse.com>
From: suse-programming-help@suse.com
To: onlymails@gmx.net
Delivered-To: responder for suse-programming@suse.com
Received: (qmail 4157 invoked from network); 11 Mar 2004 18:50:30 -0000
Received: from unknown (HELO Cantor.suse.de) (195.135.220.2)
by 0 with SMTP; 11 Mar 2004 18:50:30 -0000
Received: from hermes.suse.de (Hermes.suse.de [195.135.221.8])
(using TLSv1 with cipher EDH-RSA-DES-CBC3-SHA (168/168 bits))
(No client certificate requested)
by Cantor.suse.de (Postfix) with ESMTP id 32F6F2D82A9
for
Hallo Michael, hallo Stefan, hallo Leute, Am Freitag, 12. März 2004 16:58 schrieb Michael Wenger:
Stefan Hundhammer schrieb:
On Friday 12 March 2004 00:36, Michael Wenger wrote:
Was haltet ihr davon? An wen soll ich mich bei SuSE wegen dieses Problems wenden?
Vergiß es einfach, Du hast einfach ganz normalen Virus-Spam mit gefälschten Headern erhalten. Das kommt nicht wirklich von SuSE. Davon bekommt jeder von uns Dutzende am Tag.
Ich kenne auch diese billig gefakten Mails. Diese Mail, die ich anspreche, kommt aber offensichtlich von Suse. [...]
Ich habe testweise eine Mail an 'suse-programming-subscribe@suse.com' geschickt. Der Header der Antwort gleicht diesem hier auffallend.
Die Mail, die Du erhalten hast, stammt ja auch von SuSE bzw. der Listensoftware. Der *Auslöser* war allerdings eine Wurm-Mail mit gefaktem Absender.
AFAIK kann man die 'Received'-Zeilen nicht so ohne weiteres fälschen.
Stimmt nur teilweise. Was AFAIK nicht geht: die Received-Zeilen "von unterwegs" fälschen. Allerdings kann niemand verhindern, dass man von vorn herein ein paar Received-Zeilen mitliefert. Sieht man ja auch oft bei Leuten, deren Mails erstmal den Weg über localhost und den internen Mailserver machen, bevor sie ins Internet entlassen werden. Genausogut kann man diese unteren Received-Header im Handbetrieb hinzufügen. Zurück zur wurmigen Mail: Um die Sache auszuklären - ich vermute folgendes (mit 99,9%iger Wahrscheinlichkeit): Der "nette" Wurm hat sich mal wieder verschickt - und sich eben aus den vorhandenen Mails zufällig die folgenden Daten ausgesucht: - Absender: onlymails (at) gmx.net - Empfänger: suse-programming-subscribe (at) suse.de Dadurch wurde eben an den vermeintlichen Absender eine Einladung für diese Liste versandt - und die request.msg ist eben Bestandteil dieser Einladungsmail. Vermutlich hat derjenige, der mit dem Wurm infiziert ist, diese Liste abboniert. Ich bitte also alle Win-User, die diese Liste lesen, mal wieder ihren Virenscanner upzudaten ;-)
Außerdem habe ich jetzt gerade testweise eine Subscription-Anfrage mit angehängtem 'doc.scr' gestartet und prompt eine Antwort mit eben diesem Anhang erhalten. Ich finde dieses Verhalten des ezmlm nicht korrekt.
Meine Vorschläge behalten also ihre Gültigkeit.
Stimmt, eine Virenprüfung auf dem Listenserver würde nicht schaden. Allerdings würde das auf dem Server einiges an Last erzeugen - von daher ich weiß nicht, ob das der Listenserver Load-mäßig leisten kann. Schön wäre die Virenprüfung aber auf jeden Fall. Gruß Christian Boltz -- [Mails bouncen bei "verbotenen" Wörtern]
dann weisst du jetzt ja auch, dass ficken legal ist ... *umfall* das war gelogen. 'Ficken' scheint legal zu sein. denn ficken bounced. [Michael Meyer in suse-linux]
participants (3)
-
Christian Boltz
-
Michael Wenger
-
Stefan Hundhammer