Hallo!
Gerade bekam ich folgende Mail von mir selbst:
Return-Path:
Jürgen Fahnenschreiber wrote:
Hallo!
Gerade bekam ich folgende Mail von mir selbst:
Return-Path:
X-Original-To: fahnenju@localhost.linux1.local Delivered-To: fahnenju@localhost.linux1.local Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id 996FB1F74E5 for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from linux1.local ([127.0.0.1]) by localhost (linux1 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 31467-09 for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id E57F71F74B4 for ; Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from pop.tiscali.de [62.26.116.130] by localhost with IMAP (fetchmail-6.2.3) for fahnenju@localhost (single-drop); Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from REINHARD.de (213.170.164.91) by webmail.tiscali.de (6.7.019) id 3F9D28A802118C5E; Wed, 14 Jan 2004 18:39:15 +0100 Date: Wed, 14 Jan 2004 18:39:15 +0100 (added by postmaster@webmail.tiscali.de) From: fahnenju@tiscali.de To: qmail5631x@tiscali.de Subject: Hi, Ich bin's Importance: Normal X-Mailer: Fax Mail V6.71 Message-ID: <96472846865653.85195xsmail@tiscali.de> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="=====REINHARD_c897ff9e9b4a9b9546899e" X-Virus-Scanned: by amavisd-new at local X-Spam-Status: No, hits=1.1 required=5.0 tests=NO_REAL_NAME version=2.55 X-Spam-Level: * X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp) Status: R X-Status: N X-KMail-EncryptionState: X-KMail-SignatureState: Die Mail ist ohne Inhalt! Hab ich einen Virus auf meinem reinen SuSE 9.0 -Rechner? Ich werd aus dem Vorspann nicht ganz schlau....
Jürgen
hallo jürgen, also nach dem betreff zu urteilen müßte das n virus sein habe den gestern entfernen müssen bei meinen mitbewohnern; die haben auch einen mail bekommen mit dem oben genannten betreff und beim öffnen , na ja halt zu spät. ich glaube auf der http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.c@mm.html seite ist alles dazu aufgelistet, unter anderem auch der subject. mfg sebastian
Am Mittwoch, 14. Januar 2004 19:15 schrieb Sebastian Gödecke:
Jürgen Fahnenschreiber wrote:
Hallo!
Gerade bekam ich folgende Mail von mir selbst:
Return-Path:
X-Original-To: fahnenju@localhost.linux1.local Delivered-To: fahnenju@localhost.linux1.local Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id 996FB1F74E5 for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from linux1.local ([127.0.0.1]) by localhost (linux1 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 31467-09 for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id E57F71F74B4 for ; Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from pop.tiscali.de [62.26.116.130] by localhost with IMAP (fetchmail-6.2.3) for fahnenju@localhost (single-drop); Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from REINHARD.de (213.170.164.91) by webmail.tiscali.de (6.7.019) id 3F9D28A802118C5E; Wed, 14 Jan 2004 18:39:15 +0100 Date: Wed, 14 Jan 2004 18:39:15 +0100 (added by postmaster@webmail.tiscali.de) From: fahnenju@tiscali.de
To: qmail5631x@tiscali.de Subject: Hi, Ich bin's Importance: Normal X-Mailer: Fax Mail V6.71 Message-ID: <96472846865653.85195xsmail@tiscali.de> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="=====REINHARD_c897ff9e9b4a9b9546899e" X-Virus-Scanned: by amavisd-new at local X-Spam-Status: No, hits=1.1 required=5.0 tests=NO_REAL_NAME version=2.55 X-Spam-Level: * X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp) Status: R X-Status: N X-KMail-EncryptionState: X-KMail-SignatureState:
Die Mail ist ohne Inhalt! Hab ich einen Virus auf meinem reinen SuSE 9.0 -Rechner? Ich werd aus dem Vorspann nicht ganz schlau....
Jürgen
hallo jürgen, also nach dem betreff zu urteilen müßte das n virus sein habe den gestern entfernen müssen bei meinen mitbewohnern; die haben auch einen mail bekommen mit dem oben genannten betreff und beim öffnen , na ja halt zu spät. ich glaube auf der http://securityresponse.symantec.com/avcenter/venc/data/w32.sober .c@mm.html seite ist alles dazu aufgelistet, unter anderem auch der subject. mfg sebastian OK. Das es ein Virus ist ist mir mittlerweile klar. Laut dem Vorspann, wurde die Mail aber von meinem Rechner verschickt! Wie soll das gehen? Ich hab nur für das normale wine Windows98 -Dateien 'drauf. Ausserdem hab ich noch Wine Rack installiert! Unter Linux dürfte der Virus doch garnicht aktiv sein, oder?
Jürgen
Hallo Jürgen,
OK. Das es ein Virus ist ist mir mittlerweile klar. Laut dem Vorspann, wurde die Mail aber von meinem Rechner verschickt!
Nein. Jedenfalls nicht unbedingt. Schon mal daran gedacht, dass dieser Vorspann nicht unbedingt 100% glaubhaft sein muss? Fax Mail V6.71 Das ist als X-Mailer eingetragen. Gibt es den bei Dir überhaupt?! Ich bezweifle das mal. Der Header kann ein fake sein, vielleicht eine Kopie, zusammengebaut aus bestehenden Emails auf dem infizierten Rechner.
Wie soll das gehen?
Gar nicht. Ein binäres Windows Programm, also auch dieser Virus, werden in einer Linuxumgebung nicht ausführbar sein.
Ich hab nur für das normale wine Windows98 -Dateien 'drauf. Ausserdem hab ich noch Wine Rack installiert! Unter Linux dürfte der Virus doch garnicht aktiv sein, oder?
Nein. Ganz sicher nicht. Und Deine WINE/Crossover Office Umgebung kann er nur nutzen, solange diese im Speicher ist und ausgeführt wird. Sobald der WINE Mutterprozess (wineserver) beendet ist, stirbt jeder win32 Code in Ausführung. Du kannst Dir ja mal spaßeshalber den f-prot für Linux holen, mit check-updates.sh die neuesten Signaturen holen und ihn über Deine WINE Rack Installation laufen lassen. Dann weisst Du, ob man sich mit der WINE Rack neben MS Office auch Windows Viren holen kann ;-) DAS wäre mal ein echter Lacher *g* Das RICHTIGE Windows Feeling mit SuSE WINE Rack. "Sie wissen, warum Sie gewechselt haben!" wäre dann der passende Werbeslogan dazu :-) Über Ergebnisse eines solchen Scans wäre ich sehr dankbar :-) Grüße, Tobias
Am 14.01.2004 um 19:25 Uhr schrieb Jürgen Fahnenschreiber:
Am Mittwoch, 14. Januar 2004 19:15 schrieb Sebastian Gödecke:
Jürgen Fahnenschreiber wrote:
Hallo!
[...]
Return-Path:
X-Original-To: fahnenju@localhost.linux1.local Delivered-To: fahnenju@localhost.linux1.local Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id 996FB1F74E5 for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from linux1.local ([127.0.0.1]) by localhost (linux1 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 31467-09 for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id E57F71F74B4 for ; Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from pop.tiscali.de [62.26.116.130] by localhost with IMAP (fetchmail-6.2.3) for fahnenju@localhost (single-drop); Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from REINHARD.de (213.170.164.91) by webmail.tiscali.de (6.7.019) id 3F9D28A802118C5E; Wed, 14 Jan 2004 18:39:15 +0100 [...] OK. Das es ein Virus ist ist mir mittlerweile klar. Laut dem Vorspann, wurde die Mail aber von meinem Rechner verschickt! Wie soll das gehen? Ich hab nur für das normale wine Windows98 -Dateien 'drauf. Ausserdem hab ich noch Wine Rack installiert! Unter Linux dürfte der Virus doch garnicht aktiv sein, oder?
Du musst die 'Received'-Zeilen von unten nach oben lesen: die unterste ist der erste Eintrag, die oberste der letzte. Also der erste Eintrag heißt: Received: from REINHARD.de (213.170.164.91) by webmail.tiscali.de (6.7.019) Auf deutsch: Empfangen von REINHARD.de durch webmail.tiscali.de. Wenn du nicht REINHARD.de bist, stammte auch die Mail nicht von dir! cu PeeGee PS: domain: reinhard.de descr: Reinhard Schulz descr: Schuerstr. 16 descr: D-13597 Berlin descr: Germany nsentry: reinhard.de IN A 192.67.198.4 nsentry: www.reinhard.de IN A 192.67.198.4 nsentry: reinhard.de IN MX 10 mailin.webmailer.de nsentry: *.reinhard.de IN MX 10 mailin.webmailer.de status: connect changed: 20020909 084534 source: DENIC Die IP 213.170.164.91 gehört aber: netname: EWETEL-DIALINNET19 descr: EWE-TEL country: DE admin-c: ETH1-RIPE tech-c: ETH1-RIPE status: ASSIGNED PA remarks: *********** Beschwerde Kontakt *********** remarks: * --> abuse@ewetel.de <-- * remarks: * in Faellen von unerwuenschten Zugriffs- * remarks: * versuchen, Attacken, illegaler Aktivitaet, * remarks: * Gewalt, Scans, unerwuenschten Mails, etc. * remarks: **********************************************
Jürgen Fahnenschreiber am Mittwoch, 14. Januar 2004 18:57:
Hallo!
Gerade bekam ich folgende Mail von mir selbst:
Return-Path:
X-Original-To: fahnenju@localhost.linux1.local Delivered-To: fahnenju@localhost.linux1.local Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id 996FB1F74E5 for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from linux1.local ([127.0.0.1]) by localhost (linux1 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 31467-09 for ; Wed, 14 Jan 2004 18:45:31 +0100 (CET) Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id E57F71F74B4 for ; Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from pop.tiscali.de [62.26.116.130] by localhost with IMAP (fetchmail-6.2.3) for fahnenju@localhost (single-drop); Wed, 14 Jan 2004 18:45:30 +0100 (CET) Received: from REINHARD.de (213.170.164.91) by webmail.tiscali.de ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Wer ist das? Kennst du den/die?
linux:~# whois reinhard.de domain: reinhard.de descr: Reinhard Schulz descr: Schuerstr. 16 descr: D-13597 Berlin descr: Germany nsentry: reinhard.de IN A 192.67.198.4 nsentry: www.reinhard.de IN A 192.67.198.4 linux:~# whois 213.170.164.91 % This is the RIPE Whois server. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/ripencc/pub-services/db/copyright.html inetnum: 213.170.160.0 - 213.170.183.255 [...] role: EWE TEL Hostmaster address: EWE TEL GmbH address: Cloppenburger Str. 310 address: 26133 Oldenburg address: Germany phone: +49 441 8000 1519 fax-no: +49 441 8000 1599 Dahinter steckt irgendwie Tiscali, IIRC. Irgendwie passen beide nicht zusammen, oder? Mindestens eins von beiden scheint gefaked.
Die Mail ist ohne Inhalt! Hab ich einen Virus auf meinem reinen SuSE 9.0 -Rechner? Ich werd aus dem Vorspann nicht ganz schlau....
Hm. -- Gruß MaxX 8-)
Hallöle,
On Wed, 14 Jan 2004 18:57:26 +0100
Jürgen Fahnenschreiber
Gerade bekam ich folgende Mail von mir selbst:
Return-Path:
[...] Received: from REINHARD.de (213.170.164.91) by webmail.tiscali.de (6.7.019) id 3F9D28A802118C5E; Wed, 14 Jan 2004 18:39:15 +0100 [...] Die Mail ist ohne Inhalt! Hab ich einen Virus auf meinem reinen SuSE 9.0 -Rechner? Ich werd aus dem Vorspann nicht ganz schlau....
Da ist im Moment mal wieder ein Sober (oder immernoch) unterwegs. Hier kommen so im 10 Minuten Takt: Received: from THOMASXP.com (p3EE3959B.dip.t-dialin.net[62.227.149.155]) Received: from ANDREAS.com (pD9FF41A5.dip.t-dialin.net [217.255.65.165]) Received: from THOMASXP.de (p3EE3962A.dip.t-dialin.net [62.227.150.42]) Received: from TGHSRV.de (dialin-145-254-195-218.arcor-ip.net [145.254.195.218]) wo unsere freundlicher AMaViS warnt: Contains signature of the worm Worm/Sober.C1 Ich habe es mittlerweile aufgegeben die Jungs bei T-Online und Arcor anzuschreiben, da reagiert eh keiner. Die sollten eigentlich rausfinden können wer wann unter der IP drinnen war und die mal vorwarnen das sich da was auf deren Rechnern eingenistet hat ... Ciao, Michael -- ================================================ Michael Polenske System Analyst NEC High Performance Computing Europe GmbH Prinzenallee 11 D-40549 Duesseldorf, Germany Tel: +49 211 5369 145 mpolenske@hpce.nec.com Fax: +49 211 5369 199 http://www.hpce.nec.com ================================================
participants (7)
-
Jürgen Fahnenschreiber
-
Matthias Houdek
-
Michael Meyer
-
Michael Polenske
-
Peter Geerds
-
Sebastian Gödecke
-
Tobias Weisserth