Hallo,
Stephan, du hast dir Bugbear eingefangen! DU DEPP!!!
On Thu, 10 Jul 2003, Konrad Neitzel schrieb:
Andreas Kyek schrieb:
Plädiere daher auf "nicht schuldig".
Aber ja. Hier sind 2 mit M. Hoppe und einmal mit MaxX als angeblichen
Absender aufgeschlagen, die Header sowie der verstuemmelte Text im
Body waren aber verdaechtig, der Anhang wurde dann von AntiVir (VDF:
6.20.0.34 vom 9.7.03) als Worm/Bugbear.B identifiziert.
====
Received: from koeflach-tv.at ([62.218.237.20])
by mailin.webmailer.de (8.12.8/8.8.7) with ESMTP id h69JiiAl018473
for ; Wed, 9 Jul 2003 21:44:44 +0200 (MEST)
Received: from q1s2t4 [62.218.210.21] by koeflach-tv.at
(SMTPD32-5.05) id A24D162F007C; Wed, 09 Jul 2003 21:51:41 +0200
====
Received: from koeflach-tv.at ([62.218.237.20])
by mailin.webmailer.de (8.12.9/8.12.9) with ESMTP id h69Jjm6A026457
for ; Wed, 9 Jul 2003 21:45:49 +0200 (MEST)
Received: from q1s2t4 [62.218.210.21] by koeflach-tv.at
(SMTPD32-5.05) id A2FE1634007C; Wed, 09 Jul 2003 21:54:38 +0200
====
Received: from koeflach-tv.at ([62.218.237.20])
by mailin.webmailer.de (8.12.8/8.8.7) with ESMTP id h69JlLPm025305
for <20030406210056.GB9136@feersum.endjinn.de>; Wed, 9 Jul 2003 21:47:22 +0200
+(MEST)
Received: from q1s2t4 [62.218.210.21] by koeflach-tv.at
(SMTPD32-5.05) id A2FE1634007C; Wed, 09 Jul 2003 21:54:38 +0200
====
Interessant das. Zwei meiner Mailadressen und eine Msg-Id, die wg.
"catchall" auch ankommt... Und letztere beiden sind identisch und
gingen offenbar (man beachte die identischen IDs!) via Bcc an dh@ und
die Msg-Id gleichzeitig. Angeblicher Absender und Text-Fragment waren
gleich. Die Message-Id stammt uebrigens aus dieser Liste und dem
Thread 'Re: k3b erkennt keine Laufwerke' vom 6.4.03 in dem weder der
angebliche Absender M. Hoppe, noch Stephan mitgeschrieben haben. Und
"dh@" habe ich in der Mail nicht verwendet, die muss also aus noch
einer anderen Mail oder aus dem Adressbuch stammen...
Da bei den Würmern Standard ist, dass sich der Wurm immer zwei Adressen
heraussucht, ist das alles ehh nicht zu diskutieren. Sprich:
Absender und Empfänger kommen aus dem infizierten Adressbuch.
Nein. Die kommen offenbar aus dem Mail-Archiv. Anders laesst sich die
Msg-Id als Adresse nicht erklaeren.
Ich werde hier uebrigens nebenbei auch praktisch taeglich (teils
mehrfach am Tag!) mit Worm/Sorbig.A "beglueckt". Leider variieren die
(nichtssagenden) Hostnamen und die IPs stammen aus dip.t-dialin.net,
die zu kontakten ist also fast aussichtslos. Und dann bekomme ich auch
noch bounces von defekt konfigurierten Hosts:
====
From MAILER-DAEMON@server Mon Jun 30 18:27:37 2003
Return-Path:
Received: from localhost (localhost [127.0.0.1])
by feersum.endjinn.de, with ESMTP id SAA00796
for ; Mon, 30 Jun 2003 18:24:06 +0200
From: MAILER-DAEMON@server
^^^^^^ sic(!)
[..]
Received: from server9.client.org ([66.246.38.250])
Message-Id: <200306300548.h5U5mv6w028465@mailin.webmailer.de>
^^^^^^^^^^^^^^^^^^^sic(!)
[..]
Hi. This is the qmail-send program at server.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
:
ezmlm-reject: fatal: Sorry, I don't accept messages larger than 100000 bytes (#5.2.3)
--- Below this line is a copy of the message.
Return-Path:
Received: (qmail 7780 invoked from network); 30 Jun 2003 05:47:55 -0000
Received: by incoming mail bandwidth measurement device
Received: from unknown (216.180.242.130)
by 66.246.41.31 with QMTP; 30 Jun 2003 05:47:55 -0000
Received: (qmail 4153 invoked from network); 30 Jun 2003 05:49:22 -0000
Received: by incoming mail bandwidth measurement device
Received: from unknown (HELO MFWONG) (211.24.143.52)
by server12.client.org with SMTP; 30 Jun 2003 05:49:22 -0000
From:
^^^^^^^^^^^^^^^^faked. Ich verschicke nicht als "MFWONG"
To:
[..]
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^sic(k)(!)
====
Ja und was haengt unten an?? Genau, die _KOMPLETTE_ zu grosse Mail in
all ihrer Pracht, enthaltend den Worm/Sobig.E....
====
This is a multipart message in MIME format
--CSmtpMsgPart123X456_000_00DFDB3F
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Please see the attached zip file for details.
--CSmtpMsgPart123X456_000_00DFDB3F
Content-Type: application/octet-stream;
name="your_details.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="your_details.zip
[..]
AA==
--CSmtpMsgPart123X456_000_00DFDB3F--
=====
*AAAAAAAAAAAAAAAAARRRRRRRRRRRRGGGGGGGGGGGGGGGGGGHHHHHHHHHHHHHHH*
Als waere ich nicht schon gestraft genug mit den normalen Virenmails,
aber dann noch solche pseudo-"bounces" von defekt konfigurierten
Mailservern...
-dnh, was mich das ohne DSL-Flat kosten wuerde *schauder*...
--
16. When your language is nowhere near Turing-complete, syntactic
sugar can be your friend.
--- Eric S. Raymond, "The Cathedral and the Bazaar"