Steffen Moser wrote:
Hallo,
am Nachmittag des vergangenen Samstags (14.06., ca. 14:20 Uhr) wurden etliche eMails, die den Windows-/Outlook-Wurm "Bugbear.B"-Wurm enthal- ten, versendet. Diese eMails tragen als Absender-Adresse eine Adresse, mit der ich bis vor zwei Jahren u.a. an der SuSE-Linux-Mailingliste subscribed war ("moser at egu.schule.ulm.de") sowie meinen Namen.
Diese Nachricht poste ich hier aus zweierlei Gründen:
(i) Es liegt keine Wurm-Infektion meines Rechners (nutze hier ja sowieso praktisch ausschließlich Linux) oder eine Infektion von Rechnern, die mit mir zu tun haben, vor.
(ii) Ich bekam natürlich nach dem Versand der Wurm-Mails massenhaft Fehlermeldungen (teilweise einfach Unzustellbarkeitsmeldungen, aber natürlich auch Virenwarnungen von Mailservern, auf denen Virenscanner laufen) und natürlich auch Beschwerden ("Du Depp!"), aber auch freundliche und gutgemeinte Hinweise darauf, dass ich Viren versenden würde.
Insgesamt trafen im Laufe des Samstags mehr als 40 Mails bei mir ein. Die Adressen, die ich in den ganzen Fehlermeldungen las, deuten darauf hin, dass derjenige, der sich den Wurm eingefangen und damit die ganzen Bugbear-Mails versandt hat, mit dieser Liste zu tun hat (sprich Mitglied ist oder es zumindest mal war). Daher diese eMail an die SuSE-Linux-Liste.
Was genau passiert ist: Am vergangenen Samstag wird auf einem Rechner, der eMails und eMail-Adressen von Leuten, die in dieser Liste posten oder früher gepostet haben, gespeicher hat, dieser Wurm aktiv. Er fin- det unter anderem auch eine alte Mail, die ich mal an diese Mailingliste gesendet hatte, krallt sich meine alte eMail-Adresse (die ich zwar noch abrufe, aber nicht mehr aktiv nutze) und versendet sich dann an alle möglichen Leute, deren Adressen er auf dem befallenen Rechner (in Mails und Adressbüchern) eben so findet:
http://www.bsi.bund.de/av/vb/bugbearb.htm http://www.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.html
Für diese Leute sieht es natürlich so aus, als würden die eMails von mir stammen. In Wirklichkeit wurden sie aber nicht von einer "T-Online-via- T-DSL-Dialup-IP-Adresse" aus Ulm versendet (wie es der Fall gewesen wäre, wenn ich der Verursacher wäre), sondern von einer mir nicht bekannten Person, die einen (mir bisher auch nicht näher bekannten und in Nürnberg ansässigen) ISP ("odn.de") nutzt. Das geht aus den Header-Zeilen hervor.
Ich habe natürlich sofort am Samstag den Provider "odn.de" informiert und darum gebeten, dass sie doch den Kunden über den Wurmbefall seines Rechners informieren bzw. ihn notfalls temporär "abklemmen" mögen. Aus der Antwort des Providers entnehme ich, dass sie entsprechende Schritte eingeleitet haben.
Hier noch abschließend die Headerzeilen der Wurm-Nachricht (ich habe die Wurm-Mail übrigens auch bekommen):
| Return-Path: moser at egu.schule.ulm.de | Received: from mail2.odn.de (mail2.odn.de [212.34.160.70]) | by mailserv.egu.schule.ulm.de (8.12.8/8.12.8) with ESMTP id h5ECq4qQ012845 | for <moser at egu.schule.ulm.de>; Sat, 14 Jun 2003 14:52:04 +0200 | Received: from wmserver (dial10178.odn.de [212.34.161.178]) | by mail2.odn.de (8.12.6/8.12.6) with SMTP id h5ECoeuT025475; | Sat, 14 Jun 2003 14:50:40 +0200 (MET DST) | Date: Sat, 14 Jun 2003 14:50:40 +0200 (MET DST) | Message-Id: <200306141250.h5ECoeuT025475@mail2.odn.de> | From: Steffen Moser <moser at egu.schule.ulm.de> | Subject: Re: Routing-Problem | MIME-Version: 1.0 | Content-Type: multipart/mixed; boundary="----------BHSFMID6HRDWRQ" | To: undisclosed-recipients: ; | X-UIDL: ?P!m_h"!;5Q!!K#!#! | Status: RO | Content-Length: 98127 | Lines: 1290
Grüße, Steffen
Hallo Liste, hallo Steffen Moser, nicht gerade die feine Art, sich als langjaehriger stiller Mitleser und Nutzniesser der Liste zu outen, indem man naiv Ungeziefer verteilt ;-) Die parasitenbefallenen Mails kamen von mir. Der Schaden duerfte sich in Grenzen halten, da der Wurm sich erst am Samstag, 14.06., eingenistet hat und ich daraufhin nur einmal (ca. 14:50 Uhr) Mails ueber meine Win-98-Installation bezogen habe. Nu isser tot, der Wurm, dank der Maedels/Jungs bei BitDefender. Leider kann ich die Infektionsquelle nicht rueckverfolgen, da ich die Mail nach Durchsicht geloescht habe. Vage Erinnerung: Subject enthielt irgendwas Unverbindliches ueber "Terminabstimmung" oder so (drum hab ich auch geguckt, man will ja nix verpassen). Sender-Alias war ein deutscher Vor- und Zuname, angehaengt war eine Datei mit Doppelsuffix (xxxxx.zip.scr ???). Im Listenarchiv habe ich nichts passendes im in Frage kommenden Zeitfenster 05.-14.06.03 gefunden, also ging die Mail wohl direkt an mich. Ist jetzt zwar akademisch, aber interessieren wuerde mich der Infektor schon ... - moeglicherweise hat jemand von der Liste eine aehnliche Mail erhalten ? Aber genug geschwaetzt. Ich moechte mich bei allen, die in irgendeiner Form betroffen sind/waren, entschuldigen. Besonders leid tut es mir fuer Steffen Moser, der auch noch ungerechterweise Schelte bezogen hat. Seltsam ist allerdings, dass in meinem Outlook-Adressbuch oder -Mailarchiv mit Sicherheit keine Listenmails liegen, die aelter als 1 Woche sind; die Fake-Adresse moser-at-egu.schule.ulm.de muss der Wanzenbaer also mitgebracht haben. Auf die Linuxpartitionen (wo Listenmails der letzten 3 Jahre lagern) kann Win-98 bei mir nicht zugreifen. Oder gibt es da eine andere Erklaerung ? Gruss W.Meier -- Wolfgang Meier Tel. privat 09187-904006 Zum Kanzelschlag 2 Tel. mobil 0160-7329824 90518 Altdorf EMail: wolfgang-meier@odn.de