Hallo Ich habe gerade ziemlich viele RPM-Pakete geladen. Gibt es eine möglichkeit alle RPMDateien in einem rutsch wie beim SuSE Setup zu installieren? In Yast kann man sel Dateien importieren, ich schätze das man sie irgendwie dazu verwenden kann... Tips wären sehr hilfreich. -- Gruss Nils Hebisch www.web-base.org <<>> www.deep-inside-your-mind.de www.dev-null.info <<>> ???
Am Freitag, 12. März 2004 23:09 schrieb Nils Hebisch:
Hallo Ich habe gerade ziemlich viele RPM-Pakete geladen. Gibt es eine möglichkeit alle RPMDateien in einem rutsch wie beim SuSE Setup zu installieren? In Yast kann man sel Dateien importieren, ich schätze das man sie irgendwie dazu verwenden kann... Tips wären sehr hilfreich.
Als "Mausschubser" empfehle ich Kpackage. Leider besteht ab einer gewissen anzahl von RPMs eine gewisse zahlenmässige Beschränkung, soweit ich weiss. hat mit der konsole zu tun, die nur eine bestimmte Anzahl von Argumenten zulässt. auf der konsole nur rpm. Wie es gesteuert wird, da darf ich auf die Liste und deren vielen Threads verweisen. mfg Boris
Am Freitag, 12. März 2004 23:09 schrieb Nils Hebisch:
Hallo Ich habe gerade ziemlich viele RPM-Pakete geladen. Gibt es eine möglichkeit alle RPMDateien in einem rutsch wie beim SuSE Setup zu installieren? In Yast kann man sel Dateien importieren, ich schätze das man sie irgendwie dazu verwenden kann... Tips wären sehr hilfreich.
Moin Nils, einen neuen Thread zu diesem Thema zu eröffnen, wäre der erste Schritt. Wenn Du in einem "fremden" Thread postest, sinkt die Wahrscheinlichkeit, das jemand darauf antwortet. Gruß Achim
Am Freitag, 12. März 2004 23:39 schrieb Achim Lehmkuhl:
Am Freitag, 12. März 2004 23:09 schrieb Nils Hebisch:
Hallo Ich habe gerade ziemlich viele RPM-Pakete geladen. Gibt es eine möglichkeit alle RPMDateien in einem rutsch wie beim SuSE Setup zu installieren? In Yast kann man sel Dateien importieren, ich schätze das man sie irgendwie dazu verwenden kann... Tips wären sehr hilfreich.
Moin Nils,
einen neuen Thread zu diesem Thema zu eröffnen, wäre der erste Schritt. Wenn Du in einem "fremden" Thread postest, sinkt die Wahrscheinlichkeit, das jemand darauf antwortet.
Gruß Achim
Fremder Post ? -- Gruss Nils Hebisch www.web-base.org <<>> www.deep-inside-your-mind.de www.dev-null.info <<>> ???
Am Freitag, 12. März 2004 23:49 schrieb Achim Lehmkuhl:
Am Freitag, 12. März 2004 23:43 schrieb Nils Hebisch:
Fremder Post ?
Jepp! Du erscheinst bei mir in einem Thread, der von einem MS-Wurm mit dem Subject "hello" eröffnet wurde.
Gruß Achim
Das ist komisch bei mir ist es ein eigener Post... naja egal. -- Gruss Nils Hebisch www.web-base.org <<>> www.deep-inside-your-mind.de www.dev-null.info <<>> ???
Am Freitag, 12. März 2004 23:54 schrieb Nils Hebisch:
Am Freitag, 12. März 2004 23:49 schrieb Achim Lehmkuhl:
Am Freitag, 12. März 2004 23:43 schrieb Nils Hebisch:
Fremder Post ?
Jepp! Du erscheinst bei mir in einem Thread, der von einem MS-Wurm mit dem Subject "hello" eröffnet wurde.
Gruß Achim
Das ist komisch bei mir ist es ein eigener Post... naja egal.
Hallo Nils,
das Folgende ist ein Ausschnitt aus dem Header Deiner ersten Mail:
From: Nils Hebisch
* Jens Nixdorf postete am 12. Mär. 2004 folgendes:
Am Freitag, 12. März 2004 22:45 schrieb Achim Lehmkuhl:
Am Freitag, 12. März 2004 22:08 schrieb jens.nixdorf.liste@embesso.com:
is that from you?
Ach! Wie niedlich!
Das ist nicht von mir. Weiß nicht, welcher blöde Wurm das wieder ist.
Also mein System hat diese Mail auch entsorgt gehabt. *** Qmail-Scanner Quarantine Envelope Details Begin *** X-Qmail-Scanner-Mail-From: "suse-linux-return-297827-ml-lists=macbyte.info@suse.com" via independent.macbyte-cX-Qmail-Scanner-Rcpt-To: "ml-lists@macbyte.info" X-Qmail-Scanner: 1.20 (clamscan: 0.60. spamassassin: 2.55. virus Found. Processed in 2.944561 secs) Quarantine-Description: Worm.SomeFool.Gen-2 *** Qmail-Scanner Envelope Details End *** Bye Michael -- God said: tar xfvz universe.tar.gz - and the Universe was! _______________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://autohbci.macbyte.info/
Am Freitag, 12. März 2004 23:25 kritzelte Jens Nixdorf:
Am Freitag, 12. März 2004 22:45 schrieb Achim Lehmkuhl:
Am Freitag, 12. März 2004 22:08 schrieb jens.nixdorf.liste@embesso.com:
is that from you?
Ach! Wie niedlich!
Das ist nicht von mir. Weiß nicht, welcher blöde Wurm das wieder ist.
Hallo Jens Mein Virenscanner sagt: Auf Grund eines Virusinfekts wurde der Anhang aus dieser E-Mail entfernt. Name: found.zip Virus: Worm/NetSky.B.1 Du scheinst Dir aber diesen Wurm auf einem Win-Rechner eingefangen und aktiviert zu haben. Das kann ja jedem mal passieren. Gruß Martin
Am Freitag, 12. März 2004 23:48 schrieb Martin Falley:
Am Freitag, 12. März 2004 23:25 kritzelte Jens Nixdorf:
Am Freitag, 12. März 2004 22:45 schrieb Achim Lehmkuhl:
Am Freitag, 12. März 2004 22:08 schrieb
jens.nixdorf.liste@embesso.com:
is that from you?
Ach! Wie niedlich!
Das ist nicht von mir. Weiß nicht, welcher blöde Wurm das wieder ist.
Hallo Jens
Mein Virenscanner sagt: Auf Grund eines Virusinfekts wurde der Anhang aus dieser E-Mail entfernt. Name: found.zip Virus: Worm/NetSky.B.1
Du scheinst Dir aber diesen Wurm auf einem Win-Rechner eingefangen und aktiviert zu haben. Das kann ja jedem mal passieren.
Wie wurde denn ermittelt dass der Wurm gerade auf Seinem Rechner werkelt? MfG TB -- http://www.gasthof-linde.de http://www.chef-de-cuisine.de
Am Freitag, 12. März 2004 23:48 schrieb Martin Falley:
Mein Virenscanner sagt: Auf Grund eines Virusinfekts wurde der Anhang aus dieser E-Mail entfernt. Name: found.zip Virus: Worm/NetSky.B.1
Hmm, habe ich inzwischen auch schon mitbekommen.
Du scheinst Dir aber diesen Wurm auf einem Win-Rechner eingefangen und aktiviert zu haben. Das kann ja jedem mal passieren.
Bin mir ziemlich sicher, dass das nicht so ist. Lasse aber trotzdem grad 'nen Scan auf meinem Win-Rechner laufen, obwohl da die Listenadresse gar nicht drauf ist. mfG, Jens
Mensch Leute, bevor Ihr wild spekuliert und andere beschuldigt, informiert Euch: Martin Falley schrieb am 03/12/2004 11:48 PM:
Mein Virenscanner sagt: Auf Grund eines Virusinfekts wurde der Anhang aus dieser E-Mail entfernt. Name: found.zip Virus: Worm/NetSky.B.1
Du scheinst Dir aber diesen Wurm auf einem Win-Rechner eingefangen und aktiviert zu haben. Das kann ja jedem mal passieren.
http://www.sophos.de/virusinfo/analyses/w32netskyb.html: "W32/Netsky-B durchsucht alle verknüpften Laufwerke nach Dateien mit folgenden Erweiterungen, um darin nach E-Mail-Adressen zu suchen: MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT und EML." [...] "Die E-Mail-Adresse des Senders wird gefälscht." Diese Information herauszusuchen hat nicht mal eine Minute gedauert. MfG, Michael.
Am Samstag, 13. März 2004 09:49 kritzelte Michael Schachtebeck: [...]
http://www.sophos.de/virusinfo/analyses/w32netskyb.html:
"W32/Netsky-B durchsucht alle verknüpften Laufwerke nach Dateien mit folgenden Erweiterungen, um darin nach E-Mail-Adressen zu suchen: MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT und EML."
[...]
"Die E-Mail-Adresse des Senders wird gefälscht."
Diese Information herauszusuchen hat nicht mal eine Minute gedauert.
Stimmt. Was mich wundertt, wieso kommen überhaupt Anhänge (und HTML) über die Liste. Wird denn nichtmehr gefiltert und abgetrennt? Oder ging das irgendwie an SUSE vorbei an die Liste? Martin
Am Samstag, 13. März 2004 21:43 schrieb Martin Falley:
Am Samstag, 13. März 2004 09:49 kritzelte Michael Schachtebeck: [...]
http://www.sophos.de/virusinfo/analyses/w32netskyb.html:
"W32/Netsky-B durchsucht alle verknüpften Laufwerke nach Dateien mit folgenden Erweiterungen, um darin nach E-Mail-Adressen zu suchen: MSG, OFT, SHT, DBX, TBB, ADB, DOC, WAB, ASP, UIN, RTF, VBS, HTML, HTM, PL, PHP, TXT und EML."
[...]
"Die E-Mail-Adresse des Senders wird gefälscht."
Diese Information herauszusuchen hat nicht mal eine Minute gedauert.
Stimmt.
Was mich wundertt, wieso kommen überhaupt Anhänge (und HTML) über die Liste. Wird denn nichtmehr gefiltert und abgetrennt? Oder ging das irgendwie an SUSE vorbei an die Liste?
Wer sagt, das die Mails über die Liste bei Suse laufen? Warum soll der Virus sich nicht als suse ( Liste ) ausgeben und die verseuchten Mails direkt !! an die verfügbaren email-Adressen versenden? Auf Basis der Mails kann man kaum zurückverfolgen wo das teil wirklich her kam ... Ist mir auch schon passiert. Nach ein paar Tagen war der Spuk vorbei.
Martin
-- MfG Rolf Masfelder EMail: rolf.masfelder@nector.de
Am Sonntag, 14. März 2004 17:34 kritzelte Rolf Masfelder: [...]
Wer sagt, das die Mails über die Liste bei Suse laufen? Warum soll der Virus sich nicht als suse ( Liste ) ausgeben und die verseuchten Mails direkt !! an die verfügbaren email-Adressen versenden?
Dann müßte er nach meinem Verständnis an alle Mitgieder der Liste eine Mail gesendet und sich die entsprechenden Adressen aus dem Archiv besorgt haben. Das würde aber bedeuten, daß jemand, der noch nie eine Mail an die Liste geschrieben hat (also auch nicht im Archiv auftaucht) keine solche Virusmail bekommen haben dürfte.
Auf Basis der Mails kann man kaum zurückverfolgen wo das teil wirklich her kam ...
Das steht im Header der Mail, die bei mir ankam: Received: from [195.135.221.131] (helo=lists.suse.com) by mxng11.kundenserver.de with smtp (Exim 3.35 #1) id 1B1tty-0004YA-00 for mailingliste@ebf.biz; Fri, 12 Mar 2004 22:09:06 +0100
Ist mir auch schon passiert. Nach ein paar Tagen war der Spuk vorbei.
Was ich noch nicht beantwortet bekommen habe: Wieso läßt SUSE (wieder) Nicht-Text-Anhänge und HTML zu? Gruß Martin
Martin Falley schrieb:
Am Sonntag, 14. März 2004 17:34 kritzelte Rolf Masfelder: [...]
Wer sagt, das die Mails über die Liste bei Suse laufen? Warum soll der Virus sich nicht als suse ( Liste ) ausgeben und die verseuchten Mails direkt !! an die verfügbaren email-Adressen versenden?
Könnte er so machen. Dann dürfte die Mail aber nicht bei allen Listenmitgliedern ankommen. Man sollte es dann auch leicht an den Received-Headern feststellen können. Der SuSE-Listserver dürfte dann nicht darin auftauchen.
Dann müßte er nach meinem Verständnis an alle Mitgieder der Liste eine Mail gesendet und sich die entsprechenden Adressen aus dem Archiv besorgt haben. Das würde aber bedeuten, daß jemand, der noch nie eine Mail an die Liste geschrieben hat (also auch nicht im Archiv auftaucht) keine solche Virusmail bekommen haben dürfte.
Die Mail sollte nur dann an alle Listenmitglieder gehen, wenn der (gefälschte) Absender Listenmitglied ist und die Empfängeradresse die Listenadresse ist.
Auf Basis der Mails kann man kaum zurückverfolgen wo das teil wirklich her kam ...
Das steht im Header der Mail, die bei mir ankam:
Received: from [195.135.221.131] (helo=lists.suse.com) by mxng11.kundenserver.de with smtp (Exim 3.35 #1) id 1B1tty-0004YA-00 for mailingliste@ebf.biz; Fri, 12 Mar 2004 22:09:06 +0100
Die kam wohl eindeutig vom Listserver (195.135.221.131 = lists.suse.com). Habe sie auch erhalten.
[...] Was ich noch nicht beantwortet bekommen habe: Wieso läßt SUSE (wieder) Nicht-Text-Anhänge und HTML zu?
Wird vielleicht etwas aufwendig, bei den ganzen Multipart-MIME-Bodies zu entscheiden welche durchgelassen werden sollen und welche nicht. Hier geistert so einiges an Signaturen herum. Könnte sein daß man das unterstützen möchte. Ob das Sinn machte, sei mal dahingestellt. -- Viele Grüße, Alex
Alexander Veit, Sonntag 14 März 2004 22:43:
Martin Falley schrieb:
Am Sonntag, 14. März 2004 17:34 kritzelte Rolf Masfelder:
[...] Auf Basis der Mails kann man kaum zurückverfolgen wo das teil wirklich her kam ...
Das steht im Header der Mail, die bei mir ankam:
Received: from [195.135.221.131] (helo=lists.suse.com) by mxng11.kundenserver.de with smtp (Exim 3.35 #1) id 1B1tty-0004YA-00 for mailingliste@ebf.biz; Fri, 12 Mar 2004 22:09:06 +0100
Die kam wohl eindeutig vom Listserver (195.135.221.131 = lists.suse.com). Habe sie auch erhalten.
Ja, aber das ist nur der sekundäre Sender. Es lässt sich leider wirklich so nicht mehr feststellen, auf welchem Weg die Mail auf den Listen-Server gekommen ist (Dass der Listen-Server selbst infiziert ist kann wohl ausgeschlossen werden. SuSE wird doch dort keinen Windows-Server zu stehen haben? *eg*) -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
* Jens Nixdorf postete am 12. Mär. 2004 folgendes:
Am Freitag, 12. März 2004 22:45 schrieb Achim Lehmkuhl:
Am Freitag, 12. März 2004 22:08 schrieb jens.nixdorf.liste@embesso.com:
is that from you?
Ach! Wie niedlich!
Das ist nicht von mir. Weiß nicht, welcher blöde Wurm das wieder ist.
Nicht? Bei mir ist die Mail um 22:08 heute Abend eingegangen und sie kamm von der Liste, die von Deinem System an die Liste geschickt wurde. ----8<----- Received: from lists.suse.com (195.135.221.131) by independent.macbyte-computing.de with SMTP; 12 Mar 2004 21:08:53 -0000 Received: (qmail 10319 invoked by alias); 12 Mar 2004 21:08:48 -0000 Mailing-List: contact suse-linux-help@suse.com; run by ezmlm Precedence: bulk List-Post: mailto:suse-linux@suse.com List-Help: mailto:suse-linux-help@suse.com List-Unsubscribe: mailto:suse-linux-unsubscribe-ml-lists=macbyte.info@suse.com X-MIME-Notice: attachments may have been removed from this message X-Mailinglist: suse-linux X-Message-Number-for-archive: 297827 Delivered-To: mailing list suse-linux@suse.com Received: (qmail 10302 invoked from network); 12 Mar 2004 21:08:47 -0000 From: jens.nixdorf.liste@embesso.com To: suse-linux@suse.com Subject: hello Date: Fri, 12 Mar 2004 22:08:47 +0100 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="60721782" Message-Id: <20040312210845.4DD5E2E2F12@Cantor.suse.de> ---->8---- Wenn Du ihn nicht versandt hast, wie zum Geier kommt er dann an Deine eMailadresse? Nutzt Du diese Adresse auch für den privaten Mailverkehr? Zumal, woher soll der Wurm die Adresse von der Liste kennen? Bye Michael -- Garantieleistungen werden durch Zahlung der Rechnung ungültig. -- Murphy's Law _______________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://autohbci.macbyte.info/
Am Freitag, 12. März 2004 23:52 schrieb Michael Raab:
* Jens Nixdorf postete am 12. Mär. 2004 folgendes:
Am Freitag, 12. März 2004 22:45 schrieb Achim Lehmkuhl:
Am Freitag, 12. März 2004 22:08 schrieb jens.nixdorf.liste@embesso.com:
is that from you?
Ach! Wie niedlich!
Das ist nicht von mir. Weiß nicht, welcher blöde Wurm das wieder ist.
Nicht? Bei mir ist die Mail um 22:08 heute Abend eingegangen und sie kamm von der Liste, die von Deinem System an die Liste geschickt wurde.
----8<----- Received: from lists.suse.com (195.135.221.131) by independent.macbyte-computing.de with SMTP; 12 Mar 2004 21:08:53 -0000 Received: (qmail 10319 invoked by alias); 12 Mar 2004 21:08:48 -0000 Mailing-List: contact suse-linux-help@suse.com; run by ezmlm Precedence: bulk List-Post: mailto:suse-linux@suse.com List-Help: mailto:suse-linux-help@suse.com List-Unsubscribe: mailto:suse-linux-unsubscribe-ml-lists=macbyte.info@suse.com X-MIME-Notice: attachments may have been removed from this message X-Mailinglist: suse-linux X-Message-Number-for-archive: 297827 Delivered-To: mailing list suse-linux@suse.com Received: (qmail 10302 invoked from network); 12 Mar 2004 21:08:47 -0000 From: jens.nixdorf.liste@embesso.com To: suse-linux@suse.com Subject: hello Date: Fri, 12 Mar 2004 22:08:47 +0100 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="60721782" Message-Id: <20040312210845.4DD5E2E2F12@Cantor.suse.de> ---->8----
Wenn Du ihn nicht versandt hast, wie zum Geier kommt er dann an Deine eMailadresse?
Nutzt Du diese Adresse auch für den privaten Mailverkehr? Zumal, woher soll der Wurm die Adresse von der Liste kennen?
BTW ich hatte auch schon "Mail von mir Selber bekommen" evtl steht Seine Mailadresse in einem Unsicheren Adressbuch... MfG TB -- http://www.gasthof-linde.de http://www.chef-de-cuisine.de
Am Freitag, 12. März 2004 23:52 schrieb Michael Raab:
Das ist nicht von mir. Weiß nicht, welcher blöde Wurm das wieder ist.
Nicht? Bei mir ist die Mail um 22:08 heute Abend eingegangen und sie kamm von der Liste, die von Deinem System an die Liste geschickt wurde.
Nein, die wurde nicht von mir verschickt. Inzwischen weiß ich (von vielen lieben Mailserver-Bounces) dass das ein Netsky-Wurm ist.
Wenn Du ihn nicht versandt hast, wie zum Geier kommt er dann an Deine eMailadresse?
Schonmal informiert, wie neuerdings Würmer arbeiten? Auf irgendeinem Windows-Rechner eines Users, der diese, oder eine andere Mailingliste auf der ich eingeschrieben bin, liest, ist der Wurm aktiv. Dieser Wurm scannt die komplette Platte nach verwertbaren Mailadressen, nicht nur in den Adressbüchern. Eine davon nutzt er als Absender (hier halt meine Listenadresse), die anderen als Empfänger.
Nutzt Du diese Adresse auch für den privaten Mailverkehr? Zumal, woher soll der Wurm die Adresse von der Liste kennen?
Nein, die Adresse wird nur für Mailinglisten genutzt. Ansonsten siehe oben. mfG, Jens
Jens Nixdorf, Samstag 13 März 2004 00:33:
Am Freitag, 12. März 2004 23:52 schrieb Michael Raab:
Das ist nicht von mir. Weiß nicht, welcher blöde Wurm das wieder ist.
Nicht? Bei mir ist die Mail um 22:08 heute Abend eingegangen und sie kamm von der Liste, die von Deinem System an die Liste geschickt wurde.
Nein, die wurde nicht von mir verschickt. Inzwischen weiß ich (von vielen lieben Mailserver-Bounces) dass das ein Netsky-Wurm ist.
Wenn Du ihn nicht versandt hast, wie zum Geier kommt er dann an Deine eMailadresse?
Schonmal informiert, wie neuerdings Würmer arbeiten? Auf irgendeinem Windows-Rechner eines Users, der diese, oder eine andere Mailingliste auf der ich eingeschrieben bin, liest, ist der Wurm aktiv. Dieser Wurm scannt die komplette Platte nach verwertbaren Mailadressen, nicht nur in den Adressbüchern. Eine davon nutzt er als Absender (hier halt meine Listenadresse), die anderen als Empfänger.
Und das ist auch der Zufall, der uns diese seltene Mail beschert hat. (Man sollte sie gut verwahren, das wird so häufig nicht passieren *g*) Wir haben hier eine subscribers-only-Liste. Nur wenn genau die von Jens oben beschrieben Konstellation der Absender- und Empfängeradresse zutrifft, landet so eine Mail hier. Also, betrachtet es einfach als einen seltenen Glü^H^H^HZufall. ;-) -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
On Saturday 13 March 2004 10:24, Matthias Houdek wrote:
Jens Nixdorf, Samstag 13 März 2004 00:33:
Wir haben hier eine subscribers-only-Liste. Nur wenn genau die von Jens oben beschrieben Konstellation der Absender- und Empfängeradresse zutrifft, landet so eine Mail hier.
Also, betrachtet es einfach als einen seltenen Glü^H^H^HZufall. ;-)
Habe ich bereits gestern meiner Gallerie hinzugefügt. (Ich sammle nur authentisches Ungeziefer.) Sollte ich die Exponate vielleicht mit einem Stempel für Datum und Herkunft versehen? Gruß, Steffen
Matthias Houdek schrieb:
[...] Und das ist auch der Zufall, der uns diese seltene Mail beschert hat. (Man sollte sie gut verwahren, das wird so häufig nicht passieren *g*)
Wir haben hier eine subscribers-only-Liste. Nur wenn genau die von Jens oben beschrieben Konstellation der Absender- und Empfängeradresse zutrifft, landet so eine Mail hier.
Also, betrachtet es einfach als einen seltenen Glü^H^H^HZufall. ;-)
Sollte man da Ironie heraushören? Der betreffende Wurm versucht das, was man neudeutsch Social Engineering nennt. Hier den Benutzer dazu zu bringen, das Archiv zu öffnen und irgend welchen Blödsinn auszuführen. Was also liegt für ihn näher als auf dem infizierten Rechner nach Mails zu suchen, From- und To-Header herauszuparsen und mit diesen Informationen seine Angriffe zu starten. Als tatsächlicher Absender kommt also jeder infizierte Computer in Frage, auf dem eine Mail von Jens an diese Liste gespeichert ist. -- Viele Grüße, Alex
Am Samstag, 13. März 2004 22:31 schrieb Alexander Veit:
Der betreffende Wurm versucht das, was man neudeutsch Social Engineering nennt. Hier den Benutzer dazu zu bringen, das Archiv zu öffnen und irgend welchen Blödsinn auszuführen.
Früher wurde das ganz einfach "übertölpeln" genannt. "Social Engenieering" sollte schleunigst ins Buzzword Bingo (http://isd.usc.edu/~karl/Bingo/bbbingo.html) aufgenommen werden, falls das noch nicht geschehen ist :-) Viele Grüße
Achim Lehmkuhl schrieb:
Früher wurde das ganz einfach "übertölpeln" genannt. "Social Engenieering" sollte schleunigst ins Buzzword Bingo (http://isd.usc.edu/~karl/Bingo/bbbingo.html) aufgenommen werden, falls das noch nicht geschehen ist :-)
Schon klar, daß das Wort gehyped wird. Der ungeneigte Leser möge es als Stichwort für's weitergoogeln heranziehen. -Alex P.S.: Ist das eigentlich noch deutsch? :-)
Am Samstag, 13. März 2004 22:59 schrieb Alexander Veit:
Schon klar, daß das Wort gehyped wird. Der ungeneigte Leser möge es als Stichwort für's weitergoogeln heranziehen.
-Alex
P.S.: Ist das eigentlich noch deutsch? :-)
"Googeln" ist IMHO ebensowenig deutsch wie "gedownloadet" (kürzlich bei der Installation eines MS-Updates gesehen). Oops! Da war es wieder, das englische Wort... :-) Gruß Achim
Alexander Veit, Samstag 13 März 2004 22:31:
Matthias Houdek schrieb:
[...] Und das ist auch der Zufall, der uns diese seltene Mail beschert hat. (Man sollte sie gut verwahren, das wird so häufig nicht passieren *g*)
Wir haben hier eine subscribers-only-Liste. Nur wenn genau die von Jens oben beschrieben Konstellation der Absender- und Empfängeradresse zutrifft, landet so eine Mail hier.
Also, betrachtet es einfach als einen seltenen Glü^H^H^HZufall. ;-)
Sollte man da Ironie heraushören?
Nicht unbedingt. Es gehört doch schon eine Menge Zufall dazu, weil sich dieser Virus vom Rechner eines hier eingeschriebenen Users sehr wahrscheinlich _nicht_ mit der wirklichen Absenderadresse des entsprechenden Users versendet. Und das gleichzeitige Zusammentreffen der Zieladresse "suse-linux@suse.com" mit einer genauso wahllos gegriffenen Absenderadresse, die hier eingeschrieben ist, ist schon nicht unbedingt sehr wahrscheinlich (wo doch obendrein zumindest die meisten auf dieser Liste nicht von einem Windows aus schreiben).
Der betreffende Wurm versucht das, was man neudeutsch Social Engineering nennt. Hier den Benutzer dazu zu bringen, das Archiv zu öffnen und irgend welchen Blödsinn auszuführen.
Machen die meisten Würmer, und andere noch viel geschickter (täuschend echtes Firmenlayout für ein mitgeschicktes wichtiges Sicherheitsupdate - kommt immer wieder gut an *grrrr*)
Was also liegt für ihn näher als auf dem infizierten Rechner nach Mails zu suchen, From- und To-Header herauszuparsen und mit diesen Informationen seine Angriffe zu starten. Als tatsächlicher Absender kommt also jeder infizierte Computer in Frage, auf dem eine Mail von Jens an diese Liste gespeichert ist.
Sicherlich, aber es muss ein Windows-Rechner sein, der erfolgreich infiziert wurde _und_ die Adressenpaarung muss auch noch passen (s.o.) -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Am Freitag, 12. März 2004 23:52 schrieb Michael Raab:
Wenn Du ihn nicht versandt hast, wie zum Geier kommt er dann an Deine eMailadresse?
Schau mal ins Internet, die Liste ist öffentlich zugänglich.
Nutzt Du diese Adresse auch für den privaten Mailverkehr? Zumal, woher soll der Wurm die Adresse von der Liste kennen?
Die Liste ist im Internet gespiegelt, da steht im Archiv bei jeder Mail alles was benötigt wird. Schon mal in google nach "Michael Raab suse-linux" gesucht? -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de
Am Freitag, 12. März 2004 23:52 schrieb Michael Raab: Moin,
Wenn Du ihn nicht versandt hast, wie zum Geier kommt er dann an Deine eMailadresse?
naja, an die eMail-Adresse zu kommen ist im Zeitalter von Webarchiven nun wirklich kein problem mehr.
Nutzt Du diese Adresse auch für den privaten Mailverkehr? Zumal, woher soll der Wurm die Adresse von der Liste kennen?
von jemandem der die Liste unter Windows liest oder gelesen hat und infiziert ist oder war. Diese Würmer nehmen häufig einfach das Adreßbuch auf dem infizierten Rechner und suchen sich als Absender und Empfänger Adressen raus. bis denn ... /Frank/
* Frank Röske postete am 13. Mär. 2004 folgendes:
Am Freitag, 12. März 2004 23:52 schrieb Michael Raab:
Nutzt Du diese Adresse auch für den privaten Mailverkehr? Zumal, woher soll der Wurm die Adresse von der Liste kennen?
von jemandem der die Liste unter Windows liest oder gelesen hat und infiziert ist oder war. Diese Würmer nehmen häufig einfach das Adreßbuch auf dem infizierten Rechner und suchen sich als Absender und Empfänger Adressen raus.
Dies ist mal wieder ein Beweis, das es Grobfarlässig ist, mit Windows zu arbeiten. Leider lässt sich nicht ganz nachvollziehen welchen Ursprung die Mail hat. Bye Michael -- It's trivial to make fun of Microsoft products, but it takes a real man to make them work, and a god to make them do anything useful. _______________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://autohbci.macbyte.info/
participants (16)
-
Achim Lehmkuhl
-
Alexander Veit
-
Boris
-
Frank Röske
-
Jens Nixdorf
-
jens.nixdorf.liste@embesso.com
-
Julian Wiersbitzki
-
Manfred Tremmel
-
Martin Falley
-
Matthias Houdek
-
Michael Raab
-
Michael Schachtebeck
-
Nils Hebisch
-
Rolf Masfelder
-
Steffen Lauterkorn
-
Thilo Alfred Bätzig