| "Autor" |
Drohung |
|
|
|
geschrieben am: 02.09.2002 um 12:59 Uhr
|
|
Also, ich habe heute mal wieder eine meiner GMX-Adressen abgerufen um zu sehen ob ich neue Post erhalten habe. Tja, da sah ich, dass ich 2 ungelesene Nachrichten hatte und freute mich. Nun war leider die eine ein langweiliger Newsletter und die andere kam von einer Adresse die ich nicht kannte. Neugierig wie ich bin öffne ich die Mail und lese dann mit zunehmender Verwunderung den dort enthaltenen Text durch. Ich kenne weder die Person noch die Adresse von der diese Mail stammt und von daher würde ich gerne mal wissen was das sein soll. Ich werde nun, in der Hoffnung das man mir hier ein wenig helfen kann, diese eMail als Weiterleitungskopie hier posten.
Ich danke jetzt schonmal allen darfür, die mir bei diesem wirklich seltsamen Vorfall helfen können.
--- Weitergeleitete Nachricht / Forwarded Message ---
Date: Sun, 1 Sep 2002 19:44:29 +0200
From: "unbekannter Absender"
To: <Korogoth@gmx.de>
Subject: -no subject-
>
>
Wie kommst Du dazu mir zu schreiben ? Für wie bescheurt hältst Du mich eigentlich ?
Du sendest die ganze Zeit Deine Online Nummer von der Telekom mit,ich habe heute mit der Telekom Telefoniert,und ich bin nurnoch ein Fingerwink davon entfernt die online nummer hinzuschicken worauf Du dann einmal angeschrieben wirst von t-online...kannst Du Dich dann nicht umfassend dazu äussern wirst Du umgehend gekündigt und gesperrt...das sind die weiteren Schritte nur zur Erklärung...falls Du Dich jetzt fragst warum ich das noch nicht getan hab dann sag ich es Dir jetzt : also da ich nich dämlich bin und gerne was gegen mein Gegner in Händen halte warte ich jetzt auf Deinen nächsten Schritt,24 Stunden hast Du morgen schick ich die Mail ab und es ist mir auch egal ob Du das glaubst oder nicht so ist es und so bleibt es ...Holen Sie mehr aus dem Web. Unter Link gibt es einen KOSTENLOSEN Download von MSN Explorer.
Beitrag wurde von Obelix am 02.09.2002 um 22:05 Uhr aus dem Forum Support verschoben.
Geändert am 03.09.2002 um 01:42 Uhr von Elfenjäger |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 02.09.2002 um 13:10 Uhr
|
|
Frage: Besitzt du einen telekom zugang?
Wenn ja, verschickst du damit Mails?
Wenn Nein, löschen und die Absende Adress auf die SPAM Liste bei gmx setzen.
Wenn Ja und du damit keine Mails verschickst, dass gleiche wie bei Nein.
Ansonsten, was ich zum Teil an Schrott/SPAM an Mails erhalte von Leuten die ich nicht kenne ist unbeschreiblich. Meine SPAM Liste bei gmx reicht teilweise dafür nicht aus.
Das ist die einzige Erklärung, die ich dir dafür geben kann.
griez
Meno
|
| Wir sind der Stoff, aus dem die Träume gemacht sind. Shakespeare |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 02.09.2002 um 13:11 Uhr
|
|
Die Absenderadresse einer eMail zu fälschen, ist mit minimalem Aufwand möglich.
Tipp: Versuche _höflich_ und _freundlich_, eine Kopie der angeblich von Dir versandten eMail(s) zu bekommen - inklusive aller Header. Daraus lässt sich der tatsächliche Absender ableiten (allerdings auch nur bis hin zur IP-Adresse). Aber mit einer schlüssigen Argumentation anhand der Header kannst Du ihr evtl. klar machen, dass Du _nicht_ der Absender bist.
Bei der Argumentation und Aufdröselung der Header bin ich Dir gerne behilflich - lass mir mal Chatpost da.
Zweiter Tipp: Untersuche Deinen PC mit einem aktuellen Virenscanner. In letzter Zeit treten öfters eMail-Würmer auf, die selbstständig eMails verschicken _und_ dabei die Absenderadressen fälschen. Zwar ist es auch möglich, dass ein Dritter, den ihr beide kennt, einen solchen Wurm hat - aber sicher ist sicher.
Viel Erfolch! :o) |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 02.09.2002 um 13:27 Uhr
|
|
| Okay, ich danke euch beiden schonmal für die Hilfe. Werd mal sehen was ich machen kann. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 02.09.2002 um 15:35 Uhr
|
|
Theorie:
Jemand den du kennst und der dich in seinem Adressbuch hat wurde von dem Wurm Klez.H befallen.
Dieser sendet sich dann selbst an E-Mail-Adressen aus dem Adressbuch des befallenen.
In der ersten Header-Zeile ist oftmals/hin und wieder der richtige Absender erkennbar, also derjenige der vom Wurm befallen wurde.
Praxis:
Der Wurm nimmt als Absenderangabe ebenfalls Adressen aus dem Adressbuch, kann diese meinen Erfahrungen nach jedoch teilweise zusammenmischen. Selbst wenn du T-Online-Kunde bist, ist es relativ unwahrscheinlich das auch tatsächlich deine Nummer betroffen ist. (Immerhin kam die jetzige Mail an deiner GMX-Adresse, nicht an einer T-Online-Adresse, an)
Es ist nicht unwahrscheinlich das ein Absender in dieser Form vom Wurm gewählt wurde: "fremde-t-online-nummer" <deine@mail.adresse>
Die E-Mails die vom Empfänger erhalten werden sind meist zwischen 100 und 150 kB groß.
Im Sinne des Datenschutzes empfehle ich dir jedoch die E-Mail-Adresse des Absenders in der von dir geposteten Mail zu maskieren (Sternchen, Punkte, irgendwas).
Letztendlich ist die vorgeschlagene Verfahrensweise (Bitte um Zusendung der betreffenden Mail, Klärung des Vorfalls mit dem Opfer) vermutlich der beste Weg.
Klez.H |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 03.09.2002 um 01:47 Uhr
|
|
Okay, ich denke mal das es sich aufgeklärt hat. Ich habe dem Absender dieser Mail eine Nachricht geschrieben in der sie mir eine Kopie der Mail schicken soll, die sie angeblich von mir erhalten hat. Im Dateianhang befand sich der, so vermute ich, der Virus getarnt als "BGCOLOR.scr". Ich hab sie nun darauf hingewiesen, das alle Mails die mit einem solchen Dateianhang von diesen Würmern/Wurm befallen sind und sofort gelöscht werden sollten ohne sie zu lesen oder den Anhang zu öffnen.
Ich habe ihr auch gesagt, das sie gerne die T-Onlinenummer mal an T-Online senden kann, mit einer Frage zu wem diese Nummer gehören kann, nur wird es ihr wahrscheinlich auch nicht viel bringen.
Aber nun eine Frage: Wie kann ich diesen Wurm erfolgreich entfernen? Ich habe gelesen, das es bislang keinen sonderlich erfolgreichen Scanner gegen ihn gibt, da er über eine sehr gute Anti-Anti-Virus-Funktion verfügt um sich zu tarnen. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 03.09.2002 um 12:22 Uhr
|
|
Symantec's Datenbank findet rund 1600 Einträge für ".scr" - vermutlich wird es sich um einen der aktuelleren Würmer (wie zB W32.MyPower@mm) handeln.
Dieser (und viele andere) lassen sich offenbar auch von Hand (i.e. ohne einen Virenscanner) aus dem System entfernen. Informationen findest Du in obiger Datenbank.
W32.MyPower@mm (den ich nur mal beispielhaft rausgesucht habe) fehlt offenbar die Fähigkeit, die Absenderadresse zu maskieren. Verlassen würde ich mich trotzdem nicht drauf - es kann auch ein Rechner infiziert sein, auf dem Deine eMail-Adresse gespeichert ist.
Viel Erfolch :o) |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 03.09.2002 um 14:21 Uhr
|
|
Ich danke dir Brünette ;o)
Übrigens....schöne Haarfarbe grins
Naja, kleiner Gag am Rande halt.  |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 03.09.2002 um 17:21 Uhr
|
|
Die Wahrscheinlichkeit ist recht hoch das es sich um den Klez-Wurm in Verbindung mit dem ElKern-Trojaner handelt.
Als Symptome für das Vorhandensein des Übeltäters wird seitens der technischen Universität Berlin die Existenz der Dateien Wqk.exe und Wink????.exe im Ordner WindowsSystem[32] angegeben.
Das löschen dieser Dateien bringt vermutlich nichts.
Statt dessen sollte man die entsprechenden Gegenmittel anwenden. Diese finden sich über die deutschsprachige Suchmaschine Google unter Eingabe der Suchbegriffe "hoax info berlin".
Vom ersten Treffer ausgehend, auf "Aktuelle Viren" im oberen Seitenbereich klicken und nach dem Klez.H bzw. Klez.E-Wurm schauen. Dort gibts dann Links zu kostenloser Gegenmaßnahmesoftware.
Klez.H |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 03.09.2002 um 17:50 Uhr
|
|
(zitat)Das löschen dieser Dateien bringt vermutlich nichts.
Statt dessen sollte man die entsprechenden Gegenmittel anwenden.(/zitat)
Diese können imho bei Klez.gen aber auch aus "Hausmitteln" bestehen, oder? Bereinigen von HKLM//Run und die .inis, löschen der Dateien - ein echter Befall von ausführbaren Dateien fand doch nicht statt.
Oder irre ich mich da? :o) |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 03.09.2002 um 20:22 Uhr
|
|
Laut Symantec kann der Klez.H Kopien von ausführbaren Dateien erstellen, diese verschlüsseln, ihnen eine wahllose Endung verpassen und sich selbst anstelle der eigentlich Anwendung hinstellen.
Da sich der Wurm durch eine relative Komplexität auszeichnet und außerdem den ElKern-Trojaner mit im Gepäck hat - der sich nicht im Windows-Verzeichnis einnisten wenn ich das richtig sehe - sollte man, auch im Interesse einer Vereinfachung der Vorgehensweise ein entsprechendes Tool anwenden. Auch für eher unerfahrene Anwender (wieviele wissen schon was die Registry ist, wie sie daran können und in etwa was wo steht bzw. was bedeutet?) eignet sich ein Tool vermutlich besser. Dennoch sollte man regelmäßig mit aktuellen Virenscannern volle Systemchecks durchführen (evtl. reicht dies mittlerweile um dem Klez rauszuwerfen, kann es aber nicht sicher sagen; immerhin bemüht sich Klez Virenscanner auszuhebeln).
Daher würde ich - in erster Instanz - zum Tool tendieren.
Klez.H |
|
|
|
|
|
|
Top
|
