Hallo, kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste? Habe Heute abend für jede Mail aus der Liste eine Mail von Antivirus erhalten weil dieser kein Verschieben der eingehenden Nachrichten auf Basis der Filter in Thunderbird aktzeptiere wollte. Das Ganze hat micht einige Mails gekostet, da Reparaturversuche nicht möglich waren. Beispielmeldung: 2004-11-22 19:09:35 Rechnername antivir[7536]: AVGU: AntiVir ALERT: [TR/Pish.Telekom.A virus] /home/Rechnername/.mozilla/Mein Name/hlvbrvbq.slt/Mail/Local Folders/Inbox_Lokal.sbd/SuSe.sbd/Mailing <<< The Trojan horse TR/Pish.Telekom.A Dies mal zur Vorsicht. Gruß Michael
Am Montag, 22. November 2004 20:34 schrieb Michael Grummel:
Hallo,
kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste?
Habe Heute abend für jede Mail aus der Liste eine Mail von Antivirus erhalten weil dieser kein Verschieben der eingehenden Nachrichten auf Basis der Filter in Thunderbird aktzeptiere wollte.
Das Ganze hat micht einige Mails gekostet, da Reparaturversuche nicht möglich waren.
Beispielmeldung: 2004-11-22 19:09:35 Rechnername antivir[7536]: AVGU: AntiVir ALERT: [TR/Pish.Telekom.A virus] /home/Rechnername/.mozilla/Mein Name/hlvbrvbq.slt/Mail/Local Folders/Inbox_Lokal.sbd/SuSe.sbd/Mailing <<< The Trojan horse TR/Pish.Telekom.A
Dies mal zur Vorsicht.
Gruß
Michael
Ich habe auch schon von diversen Mailinglisten Viren erhalten, soweit ich mich erinnern kann auch von suse-linux. Ist aber kein Problem für mein Linux system... Aber es zeigt, dass jemand unter Windows mitliest *gg* Patrick
Am Montag, 22. November 2004 20:34 schrieb Michael Grummel:
2004-11-22 19:09:35 Rechnername antivir[7536]: AVGU: AntiVir ALERT: [TR/Pish.Telekom.A virus] /home/Rechnername/.mozilla/Mein Name/hlvbrvbq.slt/Mail/Local Folders/Inbox_Lokal.sbd/SuSe.sbd/Mailing <<< The Trojan horse TR/Pish.Telekom.A
den hab ich auch gehabt. auch "aus der liste"... da bekanntermassen die aktuellen viren/mailwürmer nicht nur die empfänger sondern auch die absenderadressen fälschen, ist das weniger glaubhaft. ich denk mal da hat sich einer infiziert der die suse-liste in seinem adressbuch hat... bye, MH
Hallo, Am Mon, 22 Nov 2004, Michael Grummel schrieb:
kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste?
Normal nicht ;) Die Ursache war eine lange Mail hier von mir: Message-ID: <20041122021333.GA5966@feersum.endjinn.de> in der ich in der Fussnote eine Phishing Mail zu Warnungszwecken zitierte (nur Text und URLs), offenbar reichte das um die Virenscanner zu alarmieren. Ich wusste gar nicht, dass die solche Mails erkennen :) Also sorry an alle.
Beispielmeldung: 2004-11-22 19:09:35 Rechnername antivir[7536]: AVGU: AntiVir ALERT: [TR/Pish.Telekom.A virus] /home/Rechnername/.mozilla/Mein Name/hlvbrvbq.slt/Mail/Local Folders/Inbox_Lokal.sbd/SuSe.sbd/Mailing <<< The Trojan horse TR/Pish.Telekom.A
Die Klassifizierung als Trojaner ist IMHO fragwuerdig (da nur Plaintext). Ich habe auch Nicht-Zustellungsmeldungen von 2 Virenscanner bekommen, die die Mail als "Virus" klassifizieren. -dnh -- 158: Geisterfahrer Gegenrichtungsfahrbahnbenutzer (Burkhardt Schröder)
Am Mo, den 22.11.2004 schrieb David Haller um 21:00:
Am Mon, 22 Nov 2004, Michael Grummel schrieb:
kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste?
Normal nicht ;)
Die Ursache war eine lange Mail hier von mir: Message-ID: <20041122021333.GA5966@feersum.endjinn.de>
in der ich in der Fussnote eine Phishing Mail zu Warnungszwecken zitierte (nur Text und URLs), offenbar reichte das um die Virenscanner zu alarmieren. Ich wusste gar nicht, dass die solche Mails erkennen :)
Also sorry an alle.
Beispielmeldung: 2004-11-22 19:09:35 Rechnername antivir[7536]: AVGU: AntiVir ALERT: [TR/Pish.Telekom.A virus] /home/Rechnername/.mozilla/Mein Name/hlvbrvbq.slt/Mail/Local Folders/Inbox_Lokal.sbd/SuSe.sbd/Mailing <<< The Trojan horse TR/Pish.Telekom.A
Die Klassifizierung als Trojaner ist IMHO fragwuerdig (da nur Plaintext). Ich habe auch Nicht-Zustellungsmeldungen von 2 Virenscanner bekommen, die die Mail als "Virus" klassifizieren.
Scheint so ein BEGIN END verhalten zu sein, wo Ausspuck auch drauf anspringt. Mein Virenscanner - clamav 0.70 - ist nicht drauf angesprungen. Bye Michael -- New screensaver released: Curtains for Windows. ________________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://dattuxi.de/
Am Montag, 22. November 2004 21:00 schrieb David Haller:
Hallo,
Am Mon, 22 Nov 2004, Michael Grummel schrieb:
kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste?
Normal nicht ;)
Die Ursache war eine lange Mail hier von mir: Message-ID: <20041122021333.GA5966@feersum.endjinn.de>
in der ich in der Fussnote eine Phishing Mail zu Warnungszwecken zitierte (nur Text und URLs), offenbar reichte das um die Virenscanner zu alarmieren. Ich wusste gar nicht, dass die solche Mails erkennen :)
Also sorry an alle.
tja, das hat mich meinem Mülleimer gekostet! danke für die stressfreie Entsorgung :-)) da habe ich immer etwas Mühe auch meinen Mülleimer entgültig zu leeren. Es könnte ja mal etwas unersetzliches sein, das ich versehentlich weggeworfen habe. Aber jetzt mal im Ernst: bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder? Grüße GG
* Georg Golombek
bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder?
warum verwendest du eigentlich kein mdir-Format, da wäre bloß eine Datei (also die eine Mail) betroffen? Ich persönlich verwende fetchmail, procmail, etc., da läuft der Virenscanner schon vorher drüber. Infizierte Mails bekomme ich nie zu Gesicht (und will ich auch nicht). Gruß, Bernhard -- "Was wir wissen, ist ein Tropfen; was wir nicht wissen, ein Ozean." -- Isaac Newton
Hallo, meine Inbox ist weg! Gruß Michael Bernhard Walle schrieb:
* Georg Golombek
[2004-11-22 21:33]: bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder?
warum verwendest du eigentlich kein mdir-Format, da wäre bloß eine Datei (also die eine Mail) betroffen?
Ich persönlich verwende fetchmail, procmail, etc., da läuft der Virenscanner schon vorher drüber. Infizierte Mails bekomme ich nie zu Gesicht (und will ich auch nicht).
Gruß, Bernhard
Hallo, Am Mon, 22 Nov 2004, Michael Grummel schrieb:
meine Inbox ist weg!
Tut mir leid. Meine Mail war als Warnung vor der Phishing-Mail gedacht. Aber DU hast aber Antivir installiert und konfiguriert. Wenn antivir die nur verschoben hat, dann schieb sie halt wieder zurueck. Und wenn du dazuko verwendest, dann loesche halt die eine Mail daraus. Oder den Teil der Mail, den Antivir erkennt. Aber eigentlich sollte man die Mails gleich auf Viren scannen und nicht erst die Inbox in der die dann landen. Ich bekomme hier staendig Viren und Spam. Soll ich dir ein paar abgeben? -dnh -- 125: Backup Niemand will Backup. Alle wollen Restore. (Kristian Köhntopp zitiert einen Vertriebler)
Richtig! Installiert und konfiguriert. Zu melden! Ein unbedarfter Klick auf TKANTIVIR beförderte wohl die Inbox ins Jenseits. Man ist nun mal genervt, wenn man neben jedem Tofu-Mail, dann auch noch an die 250 Mails bekommt wegen so einem kleinen Trojaner. Ansonsten kann ich mich über die Komb. aus Dazuko und Antivir nicht beschweren. Jedenfalls zum jetzigem Zeitpunkt nicht. Gruß Michael David Haller schrieb:
Aber DU hast aber Antivir installiert und konfiguriert. Wenn antivir die nur verschoben hat, dann schieb sie halt wieder zurueck. Und wenn du dazuko verwendest, dann loesche halt die eine Mail daraus. Oder den Teil der Mail, den Antivir erkennt.
Am Montag, 22. November 2004 21:43 schrieb Bernhard Walle:
* Georg Golombek
[2004-11-22 21:33]: bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder?
warum verwendest du eigentlich kein mdir-Format, da wäre bloß eine Datei (also die eine Mail) betroffen?
ganz einfach: habe mich noch überhaupt nicht mit diesem Thema befasst! mit solchen Komplikationen rechnet ein Normalsterblicher wie ich gar nicht! Aber muß mich wohl mal damit auseinandersetzen. Ohne jetzt viel zu suchen: Ich verwende Kmail und lese etwas von postfix das für die Mails zuständig ist? dann steht da als Standard maildir - Format für die Ordner in der Konfiguration. Möglich wäre noch mbox? ist mdir was anderes? funktioniert kmail mit Deiner Lösung fetchmail, procmail? Grüße GG
* Georg Golombek
Am Montag, 22. November 2004 21:43 schrieb Bernhard Walle:
* Georg Golombek
[2004-11-22 21:33]: bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder?
warum verwendest du eigentlich kein mdir-Format, da wäre bloß eine Datei (also die eine Mail) betroffen?
ganz einfach:
habe mich noch überhaupt nicht mit diesem Thema befasst! mit solchen Komplikationen rechnet ein Normalsterblicher wie ich gar nicht! Aber muß mich wohl mal damit auseinandersetzen.
Ohne jetzt viel zu suchen:
Ich verwende Kmail und lese etwas von postfix das für die Mails zuständig ist? dann steht da als Standard maildir - Format für die Ordner in der Konfiguration. Möglich wäre noch mbox? ist mdir was anderes?
Das sind zwei verschiedene paar Schuhe. procmail/fetchmail usw. hat mir mdir nichts zu tun. Also: Es gibt verschiedene Arten, die Mails auf der Festplatte abzulegen. Die zwei gebräuchlichsten sind mbox und maildir. Bei mbox ist ein Mailordner (also "Inbox", "Trash", usw.) eine Datei. Die Mails werden einfach der Reihe nach abgespeichert. Größter Nachteil: Wenn verschiedene Programme darauf zugreifen, müssen die Dateien gesperrt werden, damit keine Komplikationen auftreten. Bei maildir ist jede Mailbox ein Verzeichnis ("Ordner"), jede Mail eine Datei darin (tatsächlich ist es etwas anders, aber das soll hier egal sein). Wenn der Virenscanner eine infizierte Mail findet, findet er eine Datei und löscht diese, fertig. Die anderen Dateien (= die anderen Mails) bleiben unberührt. Das ganze wurde so entworfen, dass Dateien niemals gesperrt werden müssen. Soweit ich weiß verwendet KMail eigentlich maildir als Default. Wenn du aber schon länger KMail verwendest, kann es sein, dass du die Mails immer übernommen hast und du noch mbox verwendest. Wie man das konvertiert weiß ich jetzt aber leider nicht. fetchmail/procmail ist eine andere Baustelle, KMail kann zwar damit umgehen aber das ganze ist deutlich komplizierter als einfach von mbox auf maildir umzustellen. Gruß, Bernhard -- Wenn einer im Wahlkampf zu schimpfen hat, dann sind das die Wähler und nicht die Politiker. -- Rainer Barzel
Am Montag, 22. November 2004 22:09 schrieb Bernhard Walle:
* Georg Golombek
[2004-11-22 21:55]: Am Montag, 22. November 2004 21:43 schrieb Bernhard Walle:
* Georg Golombek
[2004-11-22 21:33]: bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder?
warum verwendest du eigentlich kein mdir-Format, da wäre bloß eine Datei (also die eine Mail) betroffen?
ganz einfach:
habe mich noch überhaupt nicht mit diesem Thema befasst! mit solchen Komplikationen rechnet ein Normalsterblicher wie ich gar nicht! Aber muß mich wohl mal damit auseinandersetzen.
Ohne jetzt viel zu suchen:
Ich verwende Kmail und lese etwas von postfix das für die Mails zuständig ist? dann steht da als Standard maildir - Format für die Ordner in der Konfiguration. Möglich wäre noch mbox? ist mdir was anderes?
Das sind zwei verschiedene paar Schuhe. procmail/fetchmail usw. hat mir mdir nichts zu tun.
Also: Es gibt verschiedene Arten, die Mails auf der Festplatte abzulegen. Die zwei gebräuchlichsten sind mbox und maildir. Bei mbox ist ein Mailordner (also "Inbox", "Trash", usw.) eine Datei. Die Mails werden einfach der Reihe nach abgespeichert. Größter Nachteil: Wenn verschiedene Programme darauf zugreifen, müssen die Dateien gesperrt werden, damit keine Komplikationen auftreten.
Bei maildir ist jede Mailbox ein Verzeichnis ("Ordner"), jede Mail eine Datei darin (tatsächlich ist es etwas anders, aber das soll hier egal sein). Wenn der Virenscanner eine infizierte Mail findet, findet er eine Datei und löscht diese, fertig. Die anderen Dateien (= die anderen Mails) bleiben unberührt. Das ganze wurde so entworfen, dass Dateien niemals gesperrt werden müssen.
Soweit ich weiß verwendet KMail eigentlich maildir als Default. Wenn du aber schon länger KMail verwendest, kann es sein, dass du die Mails immer übernommen hast und du noch mbox verwendest. Wie man das konvertiert weiß ich jetzt aber leider nicht.
da hast Du recht, habe das schon "ewig" es steht zwar als Einstellung maildir drin, aber er hat für inbox etc. tatsächlich nur eine datei und für trash, den mir David dankenswerter Weise weggehauen hat macht er jetzt tatsächlich maildir, da sind einzelne Dateien drin! Das führt mich auch zu einer möglichen Lösung: Alle sent-mails an gg@localhost schicken, alle sent-mails löschen , sent-mail datei samt .index etc ... löschen. kmail wieder öffnen, mails von local abholen, und in sent-mail verschieben. Dann inbox ähnlich behandeln. kann das so gehen? Grüße GG
Am Montag, 22. November 2004 22:29 schrieb Georg Golombek:
Am Montag, 22. November 2004 22:09 schrieb Bernhard Walle:
* Georg Golombek
[2004-11-22 21:55]: Am Montag, 22. November 2004 21:43 schrieb Bernhard Walle:
* Georg Golombek
[2004-11-22 21:33]:
Also: Es gibt verschiedene Arten, die Mails auf der Festplatte abzulegen. ... Soweit ich weiß verwendet KMail eigentlich maildir als Default. Wenn du aber schon länger KMail verwendest, kann es sein, dass du die Mails immer übernommen hast und du noch mbox verwendest. Wie man das konvertiert weiß ich jetzt aber leider nicht.
da hast Du recht, habe das schon "ewig" es steht zwar als Einstellung maildir drin, aber er hat für inbox etc. tatsächlich nur eine datei und für trash, den mir David dankenswerter Weise weggehauen hat macht er jetzt tatsächlich maildir, da sind einzelne Dateien drin!
Ob das mit Inbox (als Standard-Box) funktioniert, weiß ich nicht, aber in anderen Fällen habe ich einfach den Ordner umbenannt (z.B. Mailbox-alt), einen neuen Ordner mit dem Namen angelegt (Auf Maildir achten!) und die Mails umkopiert. Gruß, Michael -- ____ / / / / /__/ Michael Höhne / / / / / / mih-hoehne@t-online.de / _____________________________________/
Hallo, Am Mon, 22 Nov 2004, Georg Golombek schrieb:
Am Montag, 22. November 2004 22:09 schrieb Bernhard Walle:
* Georg Golombek
[2004-11-22 21:55]: [..] da hast Du recht, habe das schon "ewig" es steht zwar als Einstellung maildir drin, aber er hat für inbox etc. tatsächlich nur eine datei und für trash, den mir David dankenswerter Weise weggehauen hat
Hab ich nicht. Sondern dein uebereifriger Virenscanner.
Das führt mich auch zu einer möglichen Lösung: Alle sent-mails an gg@localhost schicken, alle sent-mails löschen , sent-mail datei samt .index etc ... löschen. kmail wieder öffnen, mails von local abholen, und in sent-mail verschieben. Dann inbox ähnlich behandeln.
Einfacher: Bennene sent-mail um (z.B. in sent-mail-mbox), erstelle einen neuen Ordner 'sent-mail' (im maildir Format), kopiere oder verschiebe alle Mails aus sent-mail-mbox nach sent-mail und loesche abschliessend sent-mail-mbox wenn du willst. -dnh -- Die Zeit wurde nur erfunden, damit nicht alles auf einmal passiert. -- Dieter Bruegmann
Am Montag, 22. November 2004 23:54 schrieb David Haller:
Hallo,
Am Mon, 22 Nov 2004, Georg Golombek schrieb:
Am Montag, 22. November 2004 22:09 schrieb Bernhard Walle:
* Georg Golombek
[2004-11-22 21:55]: [..]
da hast Du recht, habe das schon "ewig" es steht zwar als Einstellung maildir drin, aber er hat für inbox etc. tatsächlich nur eine datei und für trash, den mir David dankenswerter Weise weggehauen hat
Hab ich nicht. Sondern dein uebereifriger Virenscanner.
im Prizip richtig :-)) ich habe ihn scharf gemacht, Du durftest unwissentlich abdrücken! Normalerweise muß man für solche Lustbarkeiten gut bezahlen, aber das lassen wir mal, Den Spass war es wert. So habe ich mitbekommen, dass meine Mails nicht maildir sind wie in der Konfigration zu sehen. Muß gestehen darum habe ich mich gar nicht groß gekümmert, sonder nur immer die Mailbox mitgenommen auf meiner Flucht vor den alten Releases. danke für den Tipp mit umbenennen und kopieren an beide. Grüße GG
-----BEGIN PGP SIGNED MESSAGE----- Hallo Georg, Am Montag, 22. November 2004 21:55 schrieb Georg Golombek:
Ich verwende Kmail und lese etwas von postfix das für die Mails zuständig ist?
Warum nicht. Anstatt kmail direkt die Mails beim Provider abzuholen, verwendest Du dann - - fetchmail zum Abholen per Pop - - postfix (oder procmail) zur lokalen Verteilung der Mails nach /mail/spool/<user> In postfix wird dann antivir eingebaut (nach Aneleitung im avmailgate-Paket). Dann wird jede Mail beim Eintrudeln geprüft und gegebenenfalls aussortiert. KMail holt sich dann die Mail aus Deinem lokalen Postfach unter /var/spool/<user>. - -- Gruss Marcus Marcus Roeckrath -- Vikarsbusch 8 -- D-48308 Senden -- Germany Phone : +49-2536-9944 -- Fax : +49-2536-9943 E-Mail : marcus.roeckrath@gmx.de WWW : http://home.foni.net/~marcusroeckrath/ -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) iQEVAwUBQaJXWAp4kFlTVf6VAQEtgwf9GHhq1SEtURD0nt1pTonsQN0G7+iAd2z6 /L28QtWejXMJXqTuVIwXk3FRTXyO9QwgUiQ0zgY6RNmPvfwAEo94VrjuqeFn0POa bZUMOvnQaVhML9GZ+pgP5me8xhR0f9vVNFtd0LcfEFj79V5uS6vjYc0monXxguEK iuboQeGHurAZHmGGupOLqrrf0OOFuj5Eudv/m8TgYShOyd2r3JSqMk4UVDhrfHAs aEzkI5n3t8s9tAXNvMmFtybPvBZRbIXqC0d9j9g8pPFEM2m21fWmi1D3Fldi/Yy4 v+Tta/OMln44HHRzoMeIf2ji2bhMJLFAr1u3ASvG91tTjckS9u+HRg== =qzdx -----END PGP SIGNATURE-----
Am Montag, 22. November 2004 21:33 schrieb Georg Golombek:
Am Montag, 22. November 2004 21:00 schrieb David Haller:
Hallo,
Am Mon, 22 Nov 2004, Michael Grummel schrieb:
kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste?
Normal nicht ;)
Die Ursache war eine lange Mail hier von mir: Message-ID: <20041122021333.GA5966@feersum.endjinn.de>
in der ich in der Fussnote eine Phishing Mail zu Warnungszwecken zitierte (nur Text und URLs), offenbar reichte das um die Virenscanner zu alarmieren. Ich wusste gar nicht, dass die solche Mails erkennen :)
Also sorry an alle.
tja, das hat mich meinem Mülleimer gekostet!
danke für die stressfreie Entsorgung :-))
da habe ich immer etwas Mühe auch meinen Mülleimer entgültig zu leeren. Es könnte ja mal etwas unersetzliches sein, das ich versehentlich weggeworfen habe.
Aber jetzt mal im Ernst:
bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder?
Grüße GG
glaube ich weiß jetzt warum er mir inbox nicht weggehauen hat: um 20:17 - ca 20:19 hat er sein tägliches Update der viren-Datenbasis gemacht. In der Zeit habe ich auch meine Mails runtergeladen und die betreffende gelöscht! Das heißt der avguard hat hier eine Sicherheitslücke ? In der Zeit in der er sich aktualisiert findet kein Scan statt? da werde ich mal bei HBEDV nachfragen ob das nicht anders gelöst werden kann. Grüße GG
Hallo, Am Mon, 22 Nov 2004, Georg Golombek schrieb: [..]
glaube ich weiß jetzt warum er mir inbox nicht weggehauen hat:
um 20:17 - ca 20:19 hat er sein tägliches Update der viren-Datenbasis gemacht. In der Zeit habe ich auch meine Mails runtergeladen und die betreffende gelöscht!
Meine? Schade eigentlich ;) Jedenfalls: ich scanne auch mit antivir (und aktualisiere taeglich) und ich hatte die fragliche Phishing-Mail am 'Nov 14 15:53:43 2004' empfangen. Damals hat Antivir die Mail _NICHT_ erkannt, inzwischen aber schon. Wie gesagt: die Mail ist *technisch* ungefaehrlich solange man nicht die angegebene URL ansurft. Die Mail war auch plain-text und kein HTML. Da ist kein Anhang oder sonstwas. Einfach nur Text. Der vorgibt von der Telekom zu sein. Und eine URL nennt. Und als Virenscanner ist Brain immer noch ungeschlagen. Wie man mit sowas umgeht schrieb ich in der Mail die den Trubel hier ausgeloest hat (Msg-ID upthread). Wie gesagt: mir war bisher unbekannt, dass Virenscanner auch nach Phishing Mails suchen. -dnh -- Some things are utterly, utterly clue-resistant. The only answer is to kill them, repeatedly if necessary. -- Tanuki
On Monday 22 November 2004 21:00, David Haller wrote:
Hallo,
Am Mon, 22 Nov 2004, Michael Grummel schrieb:
kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste?
Normal nicht ;)
Die Ursache war eine lange Mail hier von mir: Message-ID: <20041122021333.GA5966@feersum.endjinn.de>
in der ich in der Fussnote eine Phishing Mail zu Warnungszwecken zitierte (nur Text und URLs), offenbar reichte das um die Virenscanner zu alarmieren. Ich wusste gar nicht, dass die solche Mails erkennen :)
Also sorry an alle.
Diesmal noch vergeben. Sowas kommt eben dabei heraus, wenn man in einer Linux-Liste den MS-Milprogrammusern belehrend und auf ungeeignete Weise klarmachen will, daß sie das 'falsche' Betriebssystem und den falschen Mailclient benutzen. Solche Anhänge sind absoluter Unsinn, erst recht, wenn sie absichtlich erstellt wurden. Mein Maileingangsfilter hat diese Mail einfach gelöscht, mich darüber benachrichtigt und wird es sinn- vollerweise auch weiterhin tun. Mir ist es völlig wurscht, wie dieser Anhang entstanden ist und wer ihn hinzugefügt hat. Ich habe keine Lust, mein Virenfilter so zu trainieren, daß er gefakede Viren/Trojaner durchläßt. Wozu auch? Sowas hat nirgendwo irgendeine Berechtigung und in einer Linuxliste schon gar nicht.
Beispielmeldung: 2004-11-22 19:09:35 Rechnername antivir[7536]: AVGU: AntiVir ALERT: [TR/Pish.Telekom.A virus] /home/Rechnername/.mozilla/Mein Name/hlvbrvbq.slt/Mail/Local Folders/Inbox_Lokal.sbd/SuSe.sbd/Mailing <<< The Trojan horse TR/Pish.Telekom.A
Die Klassifizierung als Trojaner ist IMHO fragwuerdig
Nein, fragwürdig ist nur Dein Verhalten den Listenteilnehmern gegenüber. Einige sind hier nun einmal mehr oder weniger freiwillig mit MS-Pro- grammen unterwegs und Du wirst es damit nicht ändern.
(da nur Plaintext).
Na und? Mir ist es recht, wenn mein Virenscanner beim Auftreten des ersten Verdachtsmoments den Kram komplett löscht. Ich kenne außer Dir sonst niemanden, der mir (absichtlich) einen (Fake-)Trojaner/Virus sendet. Also lasse ich den Scanner so eingestellt, wie er ist. Er hatte ja recht. Die Mail enthielt einen (vermeintlichen) Schadcode und somit konnte die Mail komplett gelöscht werden, so gern ich den übrigen Inhalt Deiner Mails auch wirklich gern lese, weil sie mir als begriffsstutzigen Linuxer viel bringen. Allgemeinerweise werden solche Mails ja auch nur ungewollt und mit der Absicht, Schaden zuzufügen versendet.
Ich habe auch Nicht-Zustellungsmeldungen von 2 Virenscanner bekommen, die die Mail als "Virus" klassifizieren.
Und, was lehrt Dich das? Hänge nie wieder solchen Fake-Code an irgendwelche Mails dran. Es ist und bleibt absoluter Unsinn. Gruß Martin Falley -- Mach' mal Urlaub http://www.ungarnurlaub.de
Hallo, Am Tue, 23 Nov 2004, Martin Falley schrieb:
On Monday 22 November 2004 21:00, David Haller wrote:
Am Mon, 22 Nov 2004, Michael Grummel schrieb:
kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste?
Normal nicht ;)
Die Ursache war eine lange Mail hier von mir: Message-ID: <20041122021333.GA5966@feersum.endjinn.de>
in der ich in der Fussnote eine Phishing Mail zu Warnungszwecken zitierte (nur Text und URLs), offenbar reichte das um die Virenscanner zu alarmieren. Ich wusste gar nicht, dass die solche Mails erkennen :)
Also sorry an alle.
Diesmal noch vergeben. Sowas kommt eben dabei heraus, wenn man in einer Linux-Liste den MS-Milprogrammusern belehrend und auf ungeeignete Weise klarmachen will, daß sie das 'falsche' Betriebssystem und den falschen Mailclient benutzen. Solche Anhänge sind absoluter Unsinn, erst recht, wenn sie absichtlich erstellt wurden.
Lies http://lists.suse.com/archive/suse-linux/2004-Nov/3207.html Es war eine Fussnote, kein Anhang, in der ich auf die Phishing Mail hinwies und dabei wohl zuviel aus dem Body zitierte! Ehrlich gesagt, ich bin ueber deine Reaktion ziemlich stinkig.
Anhang entstanden ist und wer ihn hinzugefügt hat. Ich habe keine Lust, mein Virenfilter so zu trainieren, daß er gefakede Viren/Trojaner durchläßt.
Nix "fake".
Wozu auch? Sowas hat nirgendwo irgendeine Berechtigung und in einer Linuxliste schon gar nicht.
Doch. Ich warnte dort vor einer Phishing Mail, die ausschliesslich darauf setzt, dass die User die URL im Browser _EINGEBEN_ [1]. Siehe o.g. URL.
Beispielmeldung: 2004-11-22 19:09:35 Rechnername antivir[7536]: AVGU: AntiVir ALERT: [TR/Pish.Telekom.A virus] /home/Rechnername/.mozilla/Mein Name/hlvbrvbq.slt/Mail/Local Folders/Inbox_Lokal.sbd/SuSe.sbd/Mailing <<< The Trojan horse TR/Pish.Telekom.A
Die Klassifizierung als Trojaner ist IMHO fragwuerdig
Nein, fragwürdig ist nur Dein Verhalten den Listenteilnehmern gegenüber. Einige sind hier nun einmal mehr oder weniger freiwillig mit MS-Pro- grammen unterwegs und Du wirst es damit nicht ändern.
Siehe oben. Das betriff Linux genauso wie Windows!
(da nur Plaintext).
Na und? Mir ist es recht, wenn mein Virenscanner beim Auftreten des ersten Verdachtsmoments den Kram komplett löscht. Ich kenne außer Dir sonst niemanden, der mir (absichtlich) einen (Fake-)Trojaner/Virus sendet. Also lasse ich den Scanner so eingestellt, wie er ist. Er hatte ja recht. Die Mail enthielt einen (vermeintlichen) Schadcode und somit konnte die Mail komplett gelöscht werden, so gern ich den übrigen Inhalt Deiner Mails auch wirklich gern lese, weil sie mir als begriffsstutzigen Linuxer viel bringen. Allgemeinerweise werden solche Mails ja auch nur ungewollt und mit der Absicht, Schaden zuzufügen versendet. _ ___ ___ _ _ _/\_/_\ | _ \/ __| || |/\_ < _ \| / (_ | __ > < \/_/ \_\_|_\\___|_||_|\/
Fuer wie bloed haelst du mich eigentlich? Bitte informiere dich, finde in o.g. URL den "Schadcode". Ja, der Body der Mail ist _komplett und vollstaendig_ im Archiv zu lesen. Inklusive Sig und allem. Es gab und gibt keinen Anhang!
Ich habe auch Nicht-Zustellungsmeldungen von 2 Virenscanner bekommen, die die Mail als "Virus" klassifizieren.
Und, was lehrt Dich das? Hänge nie wieder solchen Fake-Code an irgendwelche Mails dran. Es ist und bleibt absoluter Unsinn.
___ ___ ___ ___ ___ ___ _/\_/ __| _ \ _ \ _ \ _ \ _ \_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ __/\_
< (_ | / / / / / '_| '_| '_| '_| '_| '_| '_| '_| '_| '_| '_> < \/ \___|_|_\_|_\_|_\_|_\_|_\_| |_| |_| |_| |_| |_| |_| |_| |_| |_| |_| \/
Das naechste mal informiere dich auf den Infomationsseiten der Virenscanner-Hersteller darueber, um was es geht! -dnh, sich mit grosser Muehe ein Plonk verkneifend / aufschiebend [1] ausser copy & paste oder wenn der MUA alle URLs anklickbar macht und den Browser aufruft. -- Ja, ich habe mich auch schon auf zweispuriger Strecke (rechts 100 und LKWs, links 130 und PKWs dicht an dicht) zurückfallen lassen, um einen LKW ein Überholmanöver zu gestatten, auf dessen Dringlichkeit mich mein Nachfahrer in meiner Spur durch Lichtsignale aufmerksam machte. -- Lutz Donnerhacke in dasr
Hi David, On Tue, Nov 23, 2004 at 12:58:51AM +0100, David Haller wrote:
Am Tue, 23 Nov 2004, Martin Falley schrieb:
Na und? Mir ist es recht, wenn mein Virenscanner beim Auftreten des ersten Verdachtsmoments den Kram komplett löscht.
[ ] du möchtest Nachdenken bevor du schreibst. ... und bevor dein Virenscanner $MALWARETEXTSTRING auf /dev/hda entdeckt und dieses zur Sicherheit löscht und natürlich vorher überschreibt. Sicher ist sicher.
Ich kenne außer Dir sonst niemanden, der mir (absichtlich) einen (Fake-)Trojaner/Virus sendet. Also lasse ich den Scanner so eingestellt, wie er ist. Er hatte ja recht. Die Mail enthielt einen (vermeintlichen) Schadcode und somit konnte die Mail komplett gelöscht werden, so gern ich den übrigen Inhalt Deiner Mails auch wirklich gern lese, weil sie mir als begriffsstutzigen Linuxer viel bringen. Allgemeinerweise werden solche Mails ja auch nur ungewollt und mit der Absicht, Schaden zuzufügen versendet. _ ___ ___ _ _ _/\_/_\ | _ \/ __| || |/\_ < _ \| / (_ | __ > < \/_/ \_\_|_\\___|_||_|\/
Fuer wie bloed haelst du mich eigentlich?
nicht aufregen... Ist es nicht wert. Die Telekom Mail hatte ich auch bekommen und fand die auch wirklich "gut" gemacht.
Bitte informiere dich, finde in o.g. URL den "Schadcode". Ja, der Body der Mail ist _komplett und vollstaendig_ im Archiv zu lesen. Inklusive Sig und allem. Es gab und gibt keinen Anhang!
Und ein Virenscanner sollte sich doch bitte auf Viren beschränken und nicht auch noch SPAM/SCAM/Fische und was weiß ich was finden. JMMV. Aber selbst wenn er diesen Krempel trotzdem meint finden zu müssen, dann sollte der KlickyBuntiUser evtl. noch einen Blick auf seine Daten werfen bevor er sie entsorgt *rofl*. Ganze Inbox wegschmeißen wegen _einer_ Mail das gefällt. So muss das sein. Danke David, das amüsiert mich dann heute noch den restlichen Tag. Für alle ohne schwarzen Humor ... Ihr müsst das nicht verstehen.
Und, was lehrt Dich das? Hänge nie wieder solchen Fake-Code an irgendwelche Mails dran. Es ist und bleibt absoluter Unsinn.
Amen. Pater Falley hat gesprochen. Greetings Daniel, der es sich jetzt mal verkneift auszuprobieren wer auch bei der zweiten Mail wieder seine Inbox wegschmeißt *roflmao* -- ..::"Das Licht am Ende eines Tunnels könnte auch ein Zug sein"::..
On Tuesday 23 November 2004 00:58, David Haller wrote:
Hallo,
Am Tue, 23 Nov 2004, Martin Falley schrieb:
[...]
Lies http://lists.suse.com/archive/suse-linux/2004-Nov/3207.html
Habe ich jetzt nachträglich gelesen ...
Es war eine Fussnote, kein Anhang, in der ich auf die Phishing Mail hinwies und dabei wohl zuviel aus dem Body zitierte!
Ehrlich gesagt, ich bin ueber deine Reaktion ziemlich stinkig.
... und kann das natürlich jetzt verstehen. Deshalb ein dickes *ENTSCHULDIGUNG* [...]
Fuer wie bloed haelst du mich eigentlich?
gar nicht, im Gegenteil. Ich dachte, das war klar. [...]
Das naechste mal informiere dich auf den Infomationsseiten der Virenscanner-Hersteller darueber, um was es geht!
-dnh, sich mit grosser Muehe ein Plonk verkneifend / aufschiebend
will ich doch nicht hoffen [...] Mit freundlichstem Gruß Martin Falley -- Mach' mal Urlaub http://www.ungarnurlaub.de
Hallo, [F'up gesetzt] Am Tue, 23 Nov 2004, Martin Falley schrieb:
On Tuesday 23 November 2004 00:58, David Haller wrote:
Am Tue, 23 Nov 2004, Martin Falley schrieb: [...] Lies http://lists.suse.com/archive/suse-linux/2004-Nov/3207.html
Habe ich jetzt nachträglich gelesen ...
Gut. Und? Wie ist deine Meinung dazu? V.a. auch wie ich das Zitat eingeleitet habe? War das fahrlaessig? War das Zitat fahrlaessig (in Anbetracht dessen, dass ich noch nicht wusste, dass Antivir o.ae. auf solche plain/text phishing-mails anspringt)? Obwohl die diese Mails bei mir in der inbox gelandet sind obwohl ich (s.u.) einen taeglich automatisch aktualisierten Antivir ueber meine Mails laufen lasse? -> Antwort hierzu wohl eher als PM bitte.
Es war eine Fussnote, kein Anhang, in der ich auf die Phishing Mail hinwies und dabei wohl zuviel aus dem Body zitierte!
Ehrlich gesagt, ich bin ueber deine Reaktion ziemlich stinkig.
... und kann das natürlich jetzt verstehen.
Deshalb ein dickes *ENTSCHULDIGUNG*
Akzeptiert.
-dnh, sich mit grosser Muehe ein Plonk verkneifend / aufschiebend
will ich doch nicht hoffen
Ich hatte gemerkt, dass nicht _nur_ deine Mail meinen Aerger verursachte. Ich habe dich schon oefter hier gelesen. Andere und "unbekannte" haette ich wohl noch groeber geflamed und gleichzeitig final geplonkt. BTW: "geplonkte" werden von mir auf der Liste einfach nur ungelesen direkt archiviert, auf PMs hat das keinen Einfluss. Entschuldigungen (aber auch Flames) per PM kommen also an. *** An alle: In Reaktionen einiger, die wie Martin offenbar weder meine urspruengliche (siehe oben zitierte URL [1]), noch meine erklaerende Mail nicht wirklich gelesen haben, wurde die Art des Inhalts der "Phishing Mail", ganz zu schweigen vom Inhalt meiner Mail falsch dargestellt. So wurde eine plain/text Phishing Mail "mal eben" gleich zum boesen binaeren Trojaner uminterpretiert und das Zitat in der Fussnote zum Anhang des boesen bineaeren Trojaners. OBWOHL ich das in meiner erklaerenden Mail ausdruecklich schrieb. Und ja, ich bin immer noch sauer, wie blind/dumm/[bitte ergaenzen] einige hier reagiert haben, nur weil der Virenscanner Alarm geschlagen hat. Ja, _auch_ speziell auf Martin. *** Einschub: Martin: falls ich in, ich sach ma, den naechsten 2-3 Monaten mal auf deine Mails antworten kann (wg. Thema), denk dir jeweils ein (anfangs ein grosses, spaeter ein kleinerwerdendes) "*grummel*" drunter. Du hast dich entschuldigt, und damit ist's auch gut, ich darf aber noch grummeln. ;) *** Es gab z.B. auch die Episode, dass irgendeine wichtige lib in /lib/ von Virenscannern als Virus erkannt wurde. Oder war das sogar irgendeine Kombination im ELF-Header der normalen Linux-binaries? Das ganze zeigt mal wieder, dass Virenscanner, wie jede andere Software, kraeftig saugen, und dass man wissen sollte, wie, wann und warum man sie verwendet und was die SW ueberhaupt kann. Man MUSS einfach damit rechnen, dass man Spam, Viren oder Phishing Mails bekommt. Dass Virenscanner letztere auch erkennen war mir, wie geschrieben, eben neu. Und man muss auch damit rechnen, dass manchmal so viel zitiert wird, dass ein Virenscanner darauf anspringt. Genauso, wie damit, dass "neue" Schaedlinge und Phishing Sachen eben NICHT erkannt werden. Insofern habe ich ehrlich gesagt _keine_ Schuldgefuehle, falls wegen meiner Mail ne Mbox verschoben wurde o.ae. Da kann ich wirklich nur sagen "selber schuld". Wie war das nochmal? *siggrep anwerf* Ah ja: ,---- | > PS.: Don't drink as root! | Das kann man gar nicht oft genug sagen: "uups, rm -rf * statt rm -rf *~ in | /etc", das war eine Meisterleistung nachts um 3 mit 2.6 auf dem Turm ;-)) | [Volker Müller und Thomas Bendler in suse-linux] `---- Fuer mich gehoert das mit der unpassenden Mailfilterung usw. in genau die gleiche "Kategorie". Gewehr, Fuss, Treffer. Selber schuld. Wir arbeiten hier schliesslich mit Linux. Und nein, Yast und sonstige GUI-Configtools sind keine Entschuldigung. Und ja, ich hab mir auch schon mit rm oder sonstwas Dateien geloescht. Und daraus gelernt. Willkommen im Klub. *** BTW meine ~/.procmailrc sieht grob so aus: 1. Filter auf base64-kodierte M$-Executables && Virencheck dieser 2. Killfile und regulaere Sortierung der "guten" Quellen, u.a. suse-linux und andere Mailinglisten in die diversen mboxen 3. Virencheck 4. SpamAssassin und Aussortierung von Spam 6. Restsortierung / Filter (z.B. fuer's ct-register, die Daten werden direkt eingepflegt :) 5. Rest in inbox Laeuft. *hehe* Ich hab grad mal das aktuelle Antivir auf meine "Haupt" viren-mbox losgelassen: scanned files: 6638 alerts: 2018 Die Diskrepanz zwischen "scanned files" und "alerts" liegt wohl daran, dass jeder "part" einer mail als eigene Datei gezaehlt wird. Ein $ grep -c '^From ' ~/mail/virii-exe2 1818 bestaetigt diese Theorie: 1818 Mails (seit Ende Sept. '03) mit 6638 Teilen (evtl. davon auch entpackte Archive) wovon in 2018 Teilen Virenmuster (i.w.S.) erkannt wurden. Hm. Das sind laengst nicht alle (ich hab noch ne Mbox in der Groesse, ueber den gleichen Zeitraum), aber das sind ueber's ca. Jahr (ich rechne mal mit 400 Tagen) allein fuer diese mbox ca. 4.5 pro Tag die hier eingtrudelt sind. Allerdings halt schubweise (je nach Infektionsrate der Windosen). Das nur mal so als Beispiel, dass man mit Viren usw. in Mails einfach rechnen MUSS. Noch Fragen? *** So, jetzt geht's mir besser. -dnh, keine Zufallssig ;) [1] wie gesagt: meine Mail ist vollstaendig im Archiv, keine Anhaenge o.ae. nur meine normalen Header (vgl. die Header dieser Mail) fehlen. Bei Bedarf such ich auch die "Message-Number", so dass man sich die komplette Mail inklusive Headern vom List-Server "get <number>" zumailen lassen kann. -- Treffen sich zwei Viren im Outlook. Meint der eine "eigentlich bin ich ja Künstler..."
participants (12)
-
Bernhard Walle
-
Daniel Lord
-
David Haller
-
Florian Tham
-
Georg Golombek
-
Marcus Roeckrath
-
Martin Falley
-
Mathias Homann
-
Michael Grummel
-
Michael Hoehne
-
Michael Raab
-
Patrick Trettenbrein