Virenmails Von Egosoft!!!

[Hellhound.]

ich erhalte von egosoft virenemails
ich erhalte immer eine mail von michael@egosoft.com und immer meldet sich mein virenscanner das die mail einen virus enthält
die anhänge sind auch merkwürdig... Re: Text Message, Yahoo! usw.

was ist hier los???

[Meiki]

*schwitz*, hab schon gedacht ich lese hier michael@jmg-board.de
ne, aber das ist echt merkwürdig, hast du da mal zurück geschrieben???

[Hellhound.]

ja hab ich, aber ich hab erfahren das es gefälschte mails gibt, das heißt der absender ist ein anderer als er sich zu erkennen gibt...

[Meiki]

das würde ich auch sagen... ein mitarbeiter von egsoft würde das doch nie tun.. und schon gar nicht, wenn er seine egosoft mailaddy verwendet

[ArcaJeth]

'ne Menge Leute haben hier schon Virenmails von einer "@egosoft" Adresse bekommen, einfach löschen .... Mailadressen kann man fälschen undhier hatte sich sogar schonmal ein Offizieller dazu geäußert (will heißen [url=http://forum.egosoft.com/search.php][b]Su[/b]ch[b]Fu[/b]nktion[/url])

[ammi]

ich krieg immer ca. 3 wormvieren pro tag von irgendwelchen adressen dies garnicht gibt
seit ich norton 2k5 hab hamse aufgehört

[|Revan|]

ich erhalte von egosoft virenemails
ich erhalte immer eine mail von michael@egosoft.com und immer meldet sich mein virenscanner das die mail einen virus enthält
die anhänge sind auch merkwürdig... Re: Text Message, Yahoo! usw.

was ist hier los???

woher weis dieser michael, dass du bei egosoft registriert bist?

[Deleted User]

weil michael zu Ego gehört? *g*

Aber wie oben geschrieben, FÄlschbar.

Habe schon Virenmails von TradecenterX , XtensionX und Xfans.de bekommen, alles sehr toll..

Teilweise bis zu 16 Stück davon, hab jetzt schon nen Teil meiner emailadressen deaktiviert deswegen....

[Planets-destroyer]

Drauflos schicken und hoffen das man einen erwicht hatt der was damit zu tun hatt

Wems spass macht

[Alibabac]

weil michael zu Ego gehört? *g*

Aber wie oben geschrieben, FÄlschbar.

Habe schon Virenmails von TradecenterX , XtensionX und Xfans.de bekommen, alles sehr toll..

Teilweise bis zu 16 Stück davon, hab jetzt schon nen Teil meiner emailadressen deaktiviert deswegen....

Klingt lustig, scanne mal dein System nach Trojanern bzw. Spyware, das sieht so aus, als ob einer nachvollziehen kann, wo du surfst.

[Hellhound.]

mein virenprogram (norton antivirus) löscht immer alle viren, juhu

[Ramiel]

mein virenprogram (norton antivirus) löscht immer alle viren, juhu

Norton[ external image ]... (kein Kommentar)

Nun, ich glaube nicht, dass ein Virenprogramm immer einen Virus löschen kann.
Es gibt Viren, die ein Virenscanner nicht erkennt. Aber dafür gibt es ja bekannterweise Updates zu diesen Vierendienstprogramme.
Nu, ich habe da ebenfalls einen Java Virus... erkennt zwar mein Virenscanner, kann es aber nicht löschen...
Mal Abwarten was passiert.

[Deleted User]

Alibaba

Das lustige ist ja eigentlich, dass ich auf allen erwähnten Seiten genau ein oder keinmal war (xfans kannte ich gar nicht *g*).

Ansonsten scanne ich täglich nach allem was es gibt und bin nur recht selten betroffen. Hinzu kommt, dass ich ja nicht so blöd bin udn die Anhäge der mails öffne. Die Dinger werden immediately gelöscht...

[Marco H.]

Klingt lustig, scanne mal dein System nach Trojanern bzw. Spyware, das sieht so aus, als ob einer nachvollziehen kann, wo du surfst.

Lustig wirds, wenn man eMails von sich selbst erhält, vielleicht kann jemand nachvollziehen, dass ich meinen Rechner benutze *g*

Solche eMails mit bekannten Namen erhält man aber auch nur deswegen, weil viele Würmer/Viren den Rechner nach allen möglichen eMail-Adressen durchsuchen und sich selbstständig and die gefunden Adressen mit anderen gefunden Absendern schickt. Wenn der Kumpel also einen Wurm auf dem Rechner hat, kann man schonmal seinen Spamfilter scharf machen

[BurnIt!]

Also um hier nochmal Klarheit zu schaffen:

michael@egosoft.com ist meine eMail-Adresse und ich hab weiß Gott Besseres zu tun, als irgendwelche Viren, Würmer oder Trojaner rumzuschicken
Abgesehn davon sind meine Rechner sauber. (zumindest wenn man 3 aktuellen Anti-Virenprogrammen sowie Ad-Aware und SpyBot vertrauen kann)

Wie ja bereits erwähnt wurde, kann man sich auf die Absender-Adresse nicht verlassen, da diese einfach gefälscht sein kann.
Auch ist nicht gesagt, dass der für das Versenden verantwortliche Virus/Wurm/Trojaner (ich sag der Einfachheit weiter nur Virus) weiß, auf welchen Webseiten man sich rumtreibt.

Die primäre Verbreitungsmethode ist, dass sich der Virus auf dem infizierten Rechner erstmal sämtliche auffindbaren Adressbücher zu Gemüte führt, einige Exemplare sind sogar besonders neugierig und durchsuchen jede auf der Festplatte vorhandene Datei nach Text, der wie eine eMail-Adresse aussieht - auch der Cache vom Browser ist da interessant, schließlich sind da viele HTML Dateien drin, in denen eMails stehen.

Nun nutzt der Virus sein eigenes internes "Mail-Versende-Programm" (eingebauter SMTP Teil) und verschickt sich an möglichst viele der Adressen, die er gefunden hat und gibt dabei einen Absender vor, der auch in dieser Liste steht.
Andere Varianten benutzen einfach "Wörterbücher" mit häufigen Namen und basteln sich aus ner Domain, die sie z.B. im Browsercache gefunden haben, dann einen Absender zusammen.
Jim, John, Michael, Peter, William etc. etc. etc.
oder es wird einfach die Domain, an die geschickt wird, genommen.
z.B. mit Administrator oder Management...
(ihr glaubt nicht, wie oft ich schon Mails von management@egosoft.com erhalten habe, in der mir mitgeteilt wurde, dass ich gefeuert bin *g* - zu dumm, dass ich weiß, dass es diese eMail-Adresse gar nicht gibt)

Wenn also jemand eMails von michael@egosoft.com bekommt, dann heißt das lediglich, dass irgendjemand einen infizierten Rechner hat und mit diesem Rechner z.B. mal auf egosoft.com unterwegs war oder mich einfach im Adressbuch hat.
Und glaubt mir, davon gibt es ziemlich viele...
Selbiges gilt für all die anderen Absender.

Mittlerweile ist es sogar so, dass man fast schon sicher sein kann, dass der offensichtliche Absender nicht der echte Absender ist, da praktisch alle aktuellen Viren ihren wahren Absender verschleiern.

Die einzige Methode um den tatsächlichen Absender herauszufinden, ist es den Quelltext der eMail zu untersuchen und die IP-Adresse samt dem exakten Zeitpunkt des Verschickens zu notieren.
Damit kann dann der Internetprovider herausfinden, wer zum entsprechenden Zeitpunkt online war und weitere Schritte einleiten.

Wenn jemand wiederholt Mails von "meiner" eMail-Adresse bekommt, wäre es vielleicht wirklich mal nicht verkehrt die IPs zu notieren, wenn dann vielleicht 3 oder 4 Einträge da sind, das ganze mal an mich schicken und ich versuche etwas mehr herauszufinden.


So, hoffe alle Klarheiten wurden beseitigt.

[falconeyes]

...Wie ja bereits erwähnt wurde, kann man sich auf die Absender-Adresse nicht verlassen, da diese einfach gefälscht sein kann. ...

Full Ack

... Die einzige Methode um den tatsächlichen Absender herauszufinden, ist es den Quelltext der eMail zu untersuchen und die IP-Adresse samt dem exakten Zeitpunkt des Verschickens zu notieren.
Damit kann dann der Internetprovider herausfinden, wer zum entsprechenden Zeitpunkt online war und weitere Schritte einleiten. ...

Mordsarbeit. Wird lustig, wenn die Provider Zugangsdaten geklaut waren, wie es leider häufig bei infizierten Rechnern vorkommt.
Bei Werbung ist der Return-Path auch sehr interessant, der ist nämlich tatsächlich existent.

Bouncen sollte man solche Mails übrigens nicht, da die Mails meist nicht zum Absender zurück geschickt werden, sondern an eine (gefakte) Adresse bei einem großen Provider (In Deutschland häufig @web.de oder @gmx.de). Man erhöht damit nur den allgemeinen Traffic.

Auch diese netten kleinen automatischen Mails mit "Du hast mir einen Virus geschickt" sind völlig überflüssig und unsinnig, weil Absender gefakt. Ich könnte die Admins jedesmal erschlagen, die so etwas einrichten.

... Wenn jemand wiederholt Mails von "meiner" eMail-Adresse bekommt, wäre es vielleicht wirklich mal nicht verkehrt die IPs zu notieren, wenn dann vielleicht 3 oder 4 Einträge da sind, das ganze mal an mich schicken und ich versuche etwas mehr herauszufinden. ...

Nicht ganz ausgelastet? Viel Spaß dabei.

[Hellhound.]

ihr glaubt nicht, wie oft ich schon Mails von management@egosoft.com erhalten habe, in der mir mitgeteilt wurde, dass ich gefeuert bin *g* - zu dumm, dass ich weiß, dass es diese eMail-Adresse gar nicht gibt

ich frag mich echt wie das geht???

So, hoffe alle Klarheiten wurden beseitigt.

ja, das wurden sie, danke für die info

[falconeyes]

ihr glaubt nicht, wie oft ich schon Mails von management@egosoft.com erhalten habe, in der mir mitgeteilt wurde, dass ich gefeuert bin *g* - zu dumm, dass ich weiß, dass es diese eMail-Adresse gar nicht gibt

ich frag mich echt wie das geht???

Ist relativ einfach. Ich habe mich in letzter Zeit intensiv damit beschäftigt, was beim E-Mailen so abgeht (Interessierter Laie, habe keine Informatik oder ähnliches studiert). Da ist wirklich nichts geheimnisvolles dran, mein Neffe hatte das vor Weihnachten in der Schule in seiner IT-AG.

Zu Demozwecken kann man sich unter Benutzung von telnet (ist bei Windows dabei) mal mit einem Mailserver unterhalten.

Zuerst finden wir mal heraus welcher Server für Mail an die Domäne (Beispiel: web.de) zuständig ist.

gate.msitc.de:~# dig web.de mx
[...]
web.de. 24569 IN MX 100 mx-ha01.web.de.

Aha, Server mx-ha01.web.de fühlt sich also unter anderem für Mail für web.de zuständig, also sprechen wir mal mit dem Server:

gate.msitc.de:~# telnet mx-ha01.web.de 25
Trying 217.72.192.149...
Connected to mx-ha01.web.de.
Escape character is '^]'.
220 mx07.web.de ESMTP WEB.DE V4.103#184 Thu, 16 Dec 2004 20:44:02 +0100

So, der Server meldet sich mit der Bezeichnung mx07.web.de. Man sollte jetzt ein ehlo senden, ist aber nicht unbedingt nötig.
Der Server will jetzt von mir wissen, wer ich bin. Er möchte also einen Return-Path für die einzuliefernde E-Mail haben:

mail from: "George W. Busch" <president@whitehouse.gov>
250 <president@whitehouse.gov> is syntactically correct

Ob diese Adresse nun mir gehört oder nicht, kann der Server von
web.de nicht herausfinden, wie auch? Wie man sehen kann, überprüft der Server lediglich,
dass die E-Mail-Adresse in der Syntax korrekt ist. Sprich, ob sie der Form blahblah@blahblah.murks entspricht.

Jetzt möchte der Server wissen, an welche Adresse die Mail gehen soll. Hier muss man die korrekte E-Mail-Adresse des Empfängers eingeben (MisterX ist hier ein Platzhalter):

rcpt to: MisterX <misterx@web.de>
250 <misterx@web.de> verified

Der Server antwortete, dass er Mail für diese Adresse annimmt.
Alles, was jetzt hinterher kommt, ist eigentlich egal. Nach der einleitenden Zeile 'data' kann man reinsetzen, was man will. An dieser Stelle wird auch jetzt erst übergeben, was in 'From:', 'To:', 'Subject:' usw. stehen wird:

data
354 Enter message, ending with "." on a line by itself
From: "George W. Busch" <president@whitehouse.gov>
To: "Bill Gates" <billi@microsoft.com>
Subject: Beispiel


Nun kommt die eigentliche Mail.
.
250 OK id=1Cf1YE-0004e5-00

Wichtig ist, dass die Headerzeilen und der Body durch eine Leerzeile voneinander
getrennt sind.

Den Dialog beendet man mit einem einzelnen Punkt in einer Zeile. Dann gibt es eine OK-Rückmeldung vom Server und eine Message-ID, die ich aber auch selber erzeugen kann... Fertig!



Diese von uns generierte Mail hat nie ein Mailserver von web.de gesehen, wie man dann auch an den
Headern erkennen kann. Wenn man dann noch einen anderen Mailserver als Relay benutzt, oder selber irgendwo einen aufgesetzt hat...

Man kann zwar nicht in's 'From:' schreiben, was man will, wenn man eine Mail über die SMTP-Server von web.de verschickst, und diese als Relay benutzt, weil die Server von web.de das nicht zulassen. Mit einem eigenen Mailserver - oder mit offenen Relays oder mit telnet oder ... - kann man aber einliefern was und bei wem ich will.

Wäre es ausgehend davon nicht möglich, die DNS der Domain zu überprüfen?

Ja, das kann man machen und viele machen das so. Anständigerweise gibt sich der einliefernde seriöse Server mit der einleitenden Zeile 'ehlo beispiel.com' zu erkennen, aber müssen muss der Einlieferer das nicht unbedingt.
Der empfangende Server kann nun hingehen, und ein „reverse DNS lookup“ machen. Er überprüft dabei, ob es einen DNS Eintrag für die entsprechende IP-Adresse gibt, die der einliefernde Rechner trägt und ob der Eintrag identisch ist mit dem 'ehlo', das derjenige gesendet hat.

Könnte man nicht die IP des einliefernden Servers, die ja im Header steht mit einem „ping smtp.web.de vergleichen?


Im Header steht die IP des Rechners, der die Mail eingeliefert hat. Das hat aber überhaupt nichts mit den Mailadressen in 'From:' oder 'mail from:' zu tun.
Der einliefernde Server kann auch Mailserver für andere Domains sein - und ist es öfters tatsächlich auch.


PS: Wenn jemand das mit dem SMTP-Dialog mit telnet selbst nachvollziehen möchte, eignet sich evtl. kein Empfänger bei einem großen Hoster. In der Regel werden die SMTP-Dialoge mit IP-Adressen, die aus dem Pool von dyn. Adressen von Dial-Up-Providern stammen, ablehnen, z.B. mx.web.de erkennt, daß Deine IP von T-Offline ist und lehnt jegliches Gespräch mit Dir ab. Für den Fall gibt es wieder andere Tricks.

[proggy3456]

Ich hab schon solche Virenmails bekommen, bei denen die Absenderadresse ein Teil meiner richtigen email-Adresse enthielt.

[falconeyes]

Ich hab schon solche Virenmails bekommen, bei denen die Absenderadresse ein Teil meiner richtigen email-Adresse enthielt.

Das passiert öfters, wenn Viren aus einer gefundenen Adresse neue Adressen erzeugen. Beliebt sind die mails an abuse@, postmaster@, Admin@, usw. Auch Variationen des Namens einer gefundenen Adresse sind sehr beliebt, weil viele einen oder mehrere entsprechende Alias gesetzt haben, z.B. Tom@, Thomas@, Tomasio@, usw. Ebenfalls beliebt, das austauschen von Vornamen, z.B. Peter.Mustermann@, Claudia.Mustermann@, usw.
Die meisten Firmen, die mit ihren Kunden per E-Mail kommunizieren haben ihre Mailserver so eingestellt, das diese alle Mails annehmen die irgendwie den eigenen Adressen ähneln. Das machen sie, damit sie bei Schreibfehlern in der Adresse, diese Mails trotzdem bekommen. Man nennt das auch "Catch-All". Das erleichtert natürlich die Verbreitung von Virenmails, da man dann keine korrekte Adresse braucht.