[OT] eMails mit Wurm "Bugbear.B" von "moser at egu.schule.ulm.de"
Hallo, am Nachmittag des vergangenen Samstags (14.06., ca. 14:20 Uhr) wurden etliche eMails, die den Windows-/Outlook-Wurm "Bugbear.B"-Wurm enthal- ten, versendet. Diese eMails tragen als Absender-Adresse eine Adresse, mit der ich bis vor zwei Jahren u.a. an der SuSE-Linux-Mailingliste subscribed war ("moser at egu.schule.ulm.de") sowie meinen Namen. Diese Nachricht poste ich hier aus zweierlei Gründen: (i) Es liegt keine Wurm-Infektion meines Rechners (nutze hier ja sowieso praktisch ausschließlich Linux) oder eine Infektion von Rechnern, die mit mir zu tun haben, vor. (ii) Ich bekam natürlich nach dem Versand der Wurm-Mails massenhaft Fehlermeldungen (teilweise einfach Unzustellbarkeitsmeldungen, aber natürlich auch Virenwarnungen von Mailservern, auf denen Virenscanner laufen) und natürlich auch Beschwerden ("Du Depp!"), aber auch freundliche und gutgemeinte Hinweise darauf, dass ich Viren versenden würde. Insgesamt trafen im Laufe des Samstags mehr als 40 Mails bei mir ein. Die Adressen, die ich in den ganzen Fehlermeldungen las, deuten darauf hin, dass derjenige, der sich den Wurm eingefangen und damit die ganzen Bugbear-Mails versandt hat, mit dieser Liste zu tun hat (sprich Mitglied ist oder es zumindest mal war). Daher diese eMail an die SuSE-Linux-Liste. Was genau passiert ist: Am vergangenen Samstag wird auf einem Rechner, der eMails und eMail-Adressen von Leuten, die in dieser Liste posten oder früher gepostet haben, gespeicher hat, dieser Wurm aktiv. Er fin- det unter anderem auch eine alte Mail, die ich mal an diese Mailingliste gesendet hatte, krallt sich meine alte eMail-Adresse (die ich zwar noch abrufe, aber nicht mehr aktiv nutze) und versendet sich dann an alle möglichen Leute, deren Adressen er auf dem befallenen Rechner (in Mails und Adressbüchern) eben so findet: http://www.bsi.bund.de/av/vb/bugbearb.htm http://www.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.html Für diese Leute sieht es natürlich so aus, als würden die eMails von mir stammen. In Wirklichkeit wurden sie aber nicht von einer "T-Online-via- T-DSL-Dialup-IP-Adresse" aus Ulm versendet (wie es der Fall gewesen wäre, wenn ich der Verursacher wäre), sondern von einer mir nicht bekannten Person, die einen (mir bisher auch nicht näher bekannten und in Nürnberg ansässigen) ISP ("odn.de") nutzt. Das geht aus den Header-Zeilen hervor. Ich habe natürlich sofort am Samstag den Provider "odn.de" informiert und darum gebeten, dass sie doch den Kunden über den Wurmbefall seines Rechners informieren bzw. ihn notfalls temporär "abklemmen" mögen. Aus der Antwort des Providers entnehme ich, dass sie entsprechende Schritte eingeleitet haben. Hier noch abschließend die Headerzeilen der Wurm-Nachricht (ich habe die Wurm-Mail übrigens auch bekommen): | Return-Path: moser at egu.schule.ulm.de | Received: from mail2.odn.de (mail2.odn.de [212.34.160.70]) | by mailserv.egu.schule.ulm.de (8.12.8/8.12.8) with ESMTP id h5ECq4qQ012845 | for <moser at egu.schule.ulm.de>; Sat, 14 Jun 2003 14:52:04 +0200 | Received: from wmserver (dial10178.odn.de [212.34.161.178]) | by mail2.odn.de (8.12.6/8.12.6) with SMTP id h5ECoeuT025475; | Sat, 14 Jun 2003 14:50:40 +0200 (MET DST) | Date: Sat, 14 Jun 2003 14:50:40 +0200 (MET DST) | Message-Id: <200306141250.h5ECoeuT025475@mail2.odn.de> | From: Steffen Moser <moser at egu.schule.ulm.de> | Subject: Re: Routing-Problem | MIME-Version: 1.0 | Content-Type: multipart/mixed; boundary="----------BHSFMID6HRDWRQ" | To: undisclosed-recipients: ; | X-UIDL: ?P!m_h"!;5Q!!K#!#! | Status: RO | Content-Length: 98127 | Lines: 1290 Grüße, Steffen
Steffen Moser wrote:
Hallo,
am Nachmittag des vergangenen Samstags (14.06., ca. 14:20 Uhr) wurden etliche eMails, die den Windows-/Outlook-Wurm "Bugbear.B"-Wurm enthal- ten, versendet. Diese eMails tragen als Absender-Adresse eine Adresse, mit der ich bis vor zwei Jahren u.a. an der SuSE-Linux-Mailingliste subscribed war ("moser at egu.schule.ulm.de") sowie meinen Namen.
Diese Nachricht poste ich hier aus zweierlei Gründen:
(i) Es liegt keine Wurm-Infektion meines Rechners (nutze hier ja sowieso praktisch ausschließlich Linux) oder eine Infektion von Rechnern, die mit mir zu tun haben, vor.
(ii) Ich bekam natürlich nach dem Versand der Wurm-Mails massenhaft Fehlermeldungen (teilweise einfach Unzustellbarkeitsmeldungen, aber natürlich auch Virenwarnungen von Mailservern, auf denen Virenscanner laufen) und natürlich auch Beschwerden ("Du Depp!"), aber auch freundliche und gutgemeinte Hinweise darauf, dass ich Viren versenden würde.
Insgesamt trafen im Laufe des Samstags mehr als 40 Mails bei mir ein. Die Adressen, die ich in den ganzen Fehlermeldungen las, deuten darauf hin, dass derjenige, der sich den Wurm eingefangen und damit die ganzen Bugbear-Mails versandt hat, mit dieser Liste zu tun hat (sprich Mitglied ist oder es zumindest mal war). Daher diese eMail an die SuSE-Linux-Liste.
Was genau passiert ist: Am vergangenen Samstag wird auf einem Rechner, der eMails und eMail-Adressen von Leuten, die in dieser Liste posten oder früher gepostet haben, gespeicher hat, dieser Wurm aktiv. Er fin- det unter anderem auch eine alte Mail, die ich mal an diese Mailingliste gesendet hatte, krallt sich meine alte eMail-Adresse (die ich zwar noch abrufe, aber nicht mehr aktiv nutze) und versendet sich dann an alle möglichen Leute, deren Adressen er auf dem befallenen Rechner (in Mails und Adressbüchern) eben so findet:
http://www.bsi.bund.de/av/vb/bugbearb.htm http://www.symantec.com/avcenter/venc/data/w32.bugbear.b@mm.html
Für diese Leute sieht es natürlich so aus, als würden die eMails von mir stammen. In Wirklichkeit wurden sie aber nicht von einer "T-Online-via- T-DSL-Dialup-IP-Adresse" aus Ulm versendet (wie es der Fall gewesen wäre, wenn ich der Verursacher wäre), sondern von einer mir nicht bekannten Person, die einen (mir bisher auch nicht näher bekannten und in Nürnberg ansässigen) ISP ("odn.de") nutzt. Das geht aus den Header-Zeilen hervor.
Ich habe natürlich sofort am Samstag den Provider "odn.de" informiert und darum gebeten, dass sie doch den Kunden über den Wurmbefall seines Rechners informieren bzw. ihn notfalls temporär "abklemmen" mögen. Aus der Antwort des Providers entnehme ich, dass sie entsprechende Schritte eingeleitet haben.
Hier noch abschließend die Headerzeilen der Wurm-Nachricht (ich habe die Wurm-Mail übrigens auch bekommen):
| Return-Path: moser at egu.schule.ulm.de | Received: from mail2.odn.de (mail2.odn.de [212.34.160.70]) | by mailserv.egu.schule.ulm.de (8.12.8/8.12.8) with ESMTP id h5ECq4qQ012845 | for <moser at egu.schule.ulm.de>; Sat, 14 Jun 2003 14:52:04 +0200 | Received: from wmserver (dial10178.odn.de [212.34.161.178]) | by mail2.odn.de (8.12.6/8.12.6) with SMTP id h5ECoeuT025475; | Sat, 14 Jun 2003 14:50:40 +0200 (MET DST) | Date: Sat, 14 Jun 2003 14:50:40 +0200 (MET DST) | Message-Id: <200306141250.h5ECoeuT025475@mail2.odn.de> | From: Steffen Moser <moser at egu.schule.ulm.de> | Subject: Re: Routing-Problem | MIME-Version: 1.0 | Content-Type: multipart/mixed; boundary="----------BHSFMID6HRDWRQ" | To: undisclosed-recipients: ; | X-UIDL: ?P!m_h"!;5Q!!K#!#! | Status: RO | Content-Length: 98127 | Lines: 1290
Grüße, Steffen
Hallo Liste, hallo Steffen Moser, nicht gerade die feine Art, sich als langjaehriger stiller Mitleser und Nutzniesser der Liste zu outen, indem man naiv Ungeziefer verteilt ;-) Die parasitenbefallenen Mails kamen von mir. Der Schaden duerfte sich in Grenzen halten, da der Wurm sich erst am Samstag, 14.06., eingenistet hat und ich daraufhin nur einmal (ca. 14:50 Uhr) Mails ueber meine Win-98-Installation bezogen habe. Nu isser tot, der Wurm, dank der Maedels/Jungs bei BitDefender. Leider kann ich die Infektionsquelle nicht rueckverfolgen, da ich die Mail nach Durchsicht geloescht habe. Vage Erinnerung: Subject enthielt irgendwas Unverbindliches ueber "Terminabstimmung" oder so (drum hab ich auch geguckt, man will ja nix verpassen). Sender-Alias war ein deutscher Vor- und Zuname, angehaengt war eine Datei mit Doppelsuffix (xxxxx.zip.scr ???). Im Listenarchiv habe ich nichts passendes im in Frage kommenden Zeitfenster 05.-14.06.03 gefunden, also ging die Mail wohl direkt an mich. Ist jetzt zwar akademisch, aber interessieren wuerde mich der Infektor schon ... - moeglicherweise hat jemand von der Liste eine aehnliche Mail erhalten ? Aber genug geschwaetzt. Ich moechte mich bei allen, die in irgendeiner Form betroffen sind/waren, entschuldigen. Besonders leid tut es mir fuer Steffen Moser, der auch noch ungerechterweise Schelte bezogen hat. Seltsam ist allerdings, dass in meinem Outlook-Adressbuch oder -Mailarchiv mit Sicherheit keine Listenmails liegen, die aelter als 1 Woche sind; die Fake-Adresse moser-at-egu.schule.ulm.de muss der Wanzenbaer also mitgebracht haben. Auf die Linuxpartitionen (wo Listenmails der letzten 3 Jahre lagern) kann Win-98 bei mir nicht zugreifen. Oder gibt es da eine andere Erklaerung ? Gruss W.Meier -- Wolfgang Meier Tel. privat 09187-904006 Zum Kanzelschlag 2 Tel. mobil 0160-7329824 90518 Altdorf EMail: wolfgang-meier@odn.de
* Wolfgang Meier textete am 17.06.03:
Steffen Moser wrote:
[Bugbear.B wurde unter uralter Adresse von Steffen Moser versendet]
Die parasitenbefallenen Mails kamen von mir. Der Schaden duerfte sich in Grenzen halten, da der Wurm sich erst am Samstag, 14.06., eingenistet hat und ich daraufhin nur einmal (ca. 14:50 Uhr) Mails ueber meine Win-98-Installation bezogen habe.
OE? Outlook? Ah, unten steht's ja. [...]
Vage Erinnerung: Subject enthielt irgendwas Unverbindliches ueber "Terminabstimmung" oder so (drum hab ich auch geguckt, man will ja nix verpassen). Sender-Alias war ein deutscher Vor- und Zuname, angehaengt war eine Datei mit Doppelsuffix (xxxxx.zip.scr ???).
Man läßt _keine_ Dateianhänge automatisch öffnen! [...]
Seltsam ist allerdings, dass in meinem Outlook-Adressbuch oder -Mailarchiv mit Sicherheit keine Listenmails liegen, die aelter als 1 Woche sind;
Im _Adress_buch hast du mails abgelegt? Ich traue Outlook ja einiges zu, aber sowas denn doch wieder nicht. ;-)
die Fake-Adresse moser-at-egu.schule.ulm.de muss der Wanzenbaer also mitgebracht haben. Auf die Linuxpartitionen (wo Listenmails der letzten 3 Jahre lagern) kann Win-98 bei mir nicht zugreifen. Oder gibt es da eine andere Erklaerung ?
Sind alte mails vielleicht nur als gelöscht markiert, aber noch im Mailordner enthalten? Hast du dir vielleicht mal eine Mail von Steffen abgespeichert? OK, ich kenne jetzt den Bugbear nicht, aber sowas könnte IMO durchaus sein, daß überall e-mail- Adressen gesucht werden. cu flo --
Könnte *bitte* noch jemand kandidieren, zum Nutzen des de-Usenets. Mach doch. wie, allgemeine Erheiterung ist kein Nutzen? [Michael Enezian und Frank Weinberg in danm]
Florian Gross wrote:
* Wolfgang Meier textete am 17.06.03:
Steffen Moser wrote:
[Bugbear.B wurde unter uralter Adresse von Steffen Moser versendet]
Die parasitenbefallenen Mails kamen von mir. Der Schaden duerfte sich in Grenzen halten, da der Wurm sich erst am Samstag, 14.06., eingenistet hat und ich daraufhin nur einmal (ca. 14:50 Uhr) Mails ueber meine Win-98-Installation bezogen habe.
OE? Outlook? Ah, unten steht's ja.
Outlook 2000
[...]
angehaengt war eine Datei mit Doppelsuffix (xxxxx.zip.scr ???).
Man läßt _keine_ Dateianhänge automatisch öffnen!
nein, tut man nicht, ich auch nicht; aber wenn der Zeigefingerbeugemuskel der rechten Hand einem eindeutigen Befehl der Grosshirnrinde nachkommt, gibt's bei ungestoerter neuromuskulaerer Erregungsuebertragung einen Klick: ich "dachte", die Mail haette einen beruflichen Hintergrund, und ich war der irrigen Meinung, das Attachment enthielte die Visitenkarte des Absenders. Ein Fluechtigkeitsfehler, der natuerlich auch DAUistisch interpretiert werden koennte ;-)
[...]
Seltsam ist allerdings, dass in meinem Outlook-Adressbuch oder -Mailarchiv mit Sicherheit keine Listenmails liegen, die aelter als 1 Woche sind;
Im _Adress_buch hast du mails abgelegt? Ich traue Outlook ja einiges zu, aber sowas denn doch wieder nicht. ;-)
o.k., Formulierung linguopuristisch inkorrekt (aber kuerzer ;-)) Adressbuch: keine Mailadresse von Steffen Moser gespeichert Mailarchive incl. Inbox: keine Mail von Steffen gespeichert Andere fuer den Wurm in Frage kommenden Dateien (.ods, .mmf, .nch, .mbx, .eml, .dbx, .ini), die potentiell Mailadressen enthalten koennten: kein Steffen Moser enthalten.
die Fake-Adresse moser-at-egu.schule.ulm.de muss der Wanzenbaer also mitgebracht haben. Auf die Linuxpartitionen (wo Listenmails der letzten 3 Jahre lagern) kann Win-98 bei mir nicht zugreifen. Oder gibt es da eine andere Erklaerung ?
Sind alte mails vielleicht nur als gelöscht markiert, aber noch im Mailordner enthalten?
nein, bei jeder Beendigung von Outlook2000 wird automatisch der Papierkorb geleert.
Hast du dir vielleicht mal eine Mail von Steffen abgespeichert? OK, ich kenne jetzt den Bugbear nicht, aber sowas könnte IMO durchaus sein, daß überall e-mail- Adressen gesucht werden.
daran habe ich auch gedacht, s.o.
cu flo
Danke fuer die Hinweise, das ganze bleibt mystisch; vielleicht finde ich im Mailsalat von Steffen, den er mir noch zukommen laesst, Hinweise auf meinen Infektor. Viele Gruesse Wolfgang Meier
* Wolfgang Meier textete am 18.06.03:
Florian Gross wrote:
* Wolfgang Meier textete am 17.06.03:
Steffen Moser wrote:
[Bugbear.B wurde unter uralter Adresse von Steffen Moser versendet]
angehaengt war eine Datei mit Doppelsuffix (xxxxx.zip.scr ???).
Man läßt _keine_ Dateianhänge automatisch öffnen!
nein, tut man nicht, ich auch nicht; aber wenn der Zeigefingerbeugemuskel der rechten Hand einem eindeutigen Befehl der Grosshirnrinde nachkommt, gibt's bei ungestoerter neuromuskulaerer Erregungsuebertragung einen Klick: ich "dachte", die Mail haette einen beruflichen Hintergrund, und ich war der irrigen Meinung, das Attachment enthielte die Visitenkarte des Absenders. Ein Fluechtigkeitsfehler, der natuerlich auch DAUistisch interpretiert werden koennte ;-)
*LOL*
Seltsam ist allerdings, dass in meinem Outlook-Adressbuch oder -Mailarchiv mit Sicherheit keine Listenmails liegen, die aelter als 1 Woche sind;
Im _Adress_buch hast du mails abgelegt? Ich traue Outlook ja einiges zu, aber sowas denn doch wieder nicht. ;-)
o.k., Formulierung linguopuristisch inkorrekt (aber kuerzer ;-)) Adressbuch: keine Mailadresse von Steffen Moser gespeichert Mailarchive incl. Inbox: keine Mail von Steffen gespeichert Andere fuer den Wurm in Frage kommenden Dateien (.ods, .mmf, .nch, .mbx, .eml, .dbx, .ini), die potentiell Mailadressen enthalten koennten: kein Steffen Moser enthalten.
Ah, ok.
die Fake-Adresse moser-at-egu.schule.ulm.de muss der Wanzenbaer also mitgebracht haben. Auf die Linuxpartitionen (wo Listenmails der letzten 3 Jahre lagern) kann Win-98 bei mir nicht zugreifen. Oder gibt es da eine andere Erklaerung ?
Sind alte mails vielleicht nur als gelöscht markiert, aber noch im Mailordner enthalten?
nein, bei jeder Beendigung von Outlook2000 wird automatisch der Papierkorb geleert.
Also _das_ meinte ich nicht. Viele MUA markieren die Mails als gelöscht, blenden aber nur deren Anzeige aus. Die mail wird erst entgültig gelöscht, wenn der Ordner "komprimiert"[1] wird, entweder von Hand oder automatisch. [1] Sche*ß Begriff! Heißt aber bei allen ziemlich gleich... cu flo -- Alle reden vom weltuntergang. dabei ist die Gegenwart doch schon schlimm genug. [WoKo in dag°]
participants (3)
-
Florian Gross
-
Steffen Moser
-
Wolfgang Meier