Hallo,
ich habe mal eine ganz dumme Frage, da ich bisher mit dem Wurmproblem nicht konfrontiert wurde. Seit einiger Zeit bekomme ich ständig (3-5 pro Tag) E-Mails von einem ominösen Absender (nur eine Kennnummer, 5900..... etc .). Die erste Mail mit dem Betreff "Password" habe ich noch geöffnet, sie war englischsprachig und ich habe die Anlage erst gar nicht mehr geöffnet, weil mir das komisch vorkam. Trotzdem hatte ich danach einen Wurm ("Klez") auf meinem Rechner, den ich mühsamst wieder losgeworden bin.

Trotzdem bekomme ich eben ständig diese blödsinnigen Mails (auch ziemlich umfanreich, immer so 110 - 130 kb). Im Grunde ist es halb so wild, weil ich nicht Outlook Express, sondern den T-Online Browser benutze. Da kann ich vorher sehen, was an Mails gekommen ist und kann schon vorher direkt vom Server löschen. Lästig ist es aber trotzdem - neulich war ich 14 Tag nicht da und hatte über 50 von diesen bescheuerten Mails in meinem Postfach. Allein das Löschen hat mehrere MInuten gedauert!

Ich vermute mal, daß irgend jemand unwissentlich einen Wurm auf seinem Rechner hat, der sich selbst versendet. Meine Frage ist: Kann ich das irgendwie unterbinden, daß ich diese blödsinnigen Mails überhaupt bekomme oder gibt es eine Möglichkeit nachzuvollziehen, von welchem Rechner die Mails kommen? Langsam bin ich nämlich echt genervt...

Danke,
Anja

Hi Anja,

anhand der Analyse des vollständigen MailHeaders (=Mail-Briefkopf) kann man MANCHMAL den wahren Absender herausfinden (z.b. erscheint der bei einigen KLEZ-Varianten im reply-to_Feld).
Wenn du also von verschiedenen Absendern VirenMails bekommst, die aber alle denselben Reply-To_Namen tragen, dann kommt der KLEZ wohl daher..)


Dann kann man höflich den vermuteten Verursacher anmailen, am besten mit Links zu VirenInfos/Entfernungstools für den entsprechenden Virus/Wurm

Weiterhin kannst du verschiedene Filter (Betreff, Größe etc etc) im Mailprogramm oder Serverseitig setzen

Ansonsten durchstöber mal das Forum, da gab's in letzter Zeit einige Beiträge zu ähnlichen Problemen; u.a. Forensuche (s.o.) -> Stichwort
"Swen"

Tja, dazu will ich gleich mal ergänzen. Inzwischen hat sich bei mir die Anzahl meiner Mails von Swen auf ca. 150 pro Tag erhöht. Ein Chat-Bekannter meinte er kriege 17000 pro Tag, obwohl ich nicht so recht daran glaube. Ich habe mir jedenfalls mal die Mühe gemacht und einige der vermeintlichen Absender die im Mail-Header auftraten anzumailen. Von allen die ich verschickt hab, kam die Antwort zurück, daß das Postfach übervoll ist, daß der User nicht existiert oder ähnliches.
Stattdessen bekam ich neulich die Mail von einem User aus Russland, der mich darauf hinwies, daß mir ein User den Wurm Swen zugemailt hat. Was soll ich davon halten?

</font><blockquote>Zitat:</font><hr />Original erstellt von someboy:
Stattdessen bekam ich neulich die Mail von einem User aus Russland, der mich darauf hinwies, daß mir ein User den Wurm Swen zugemailt hat. Was soll ich davon halten? </font>[/QUOTE]War das wirklich "handgeschrieben" oder eine Meldung von einem Virenscanner auf dem Mailserver?
War evtl. ein Header (von "Deiner" Mail) dabei?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Wie wärs Leute, wenn ihr endlich mal GMX benutzt und dort vernünftige Filter erstellt?

</font><blockquote>Zitat:</font><hr />Original erstellt von IRON:
Wie wärs Leute, wenn ihr endlich mal GMX benutzt und dort vernünftige Filter erstellt? </font>[/QUOTE]Hab ich gemacht, lasse mir nur noch Benachrichtigungen für die Statistik schicken. Vom 21.09. bis jetzt hab ich genau 499 bekommen. Für Swen ist das eine geringe Zahl. Mittlerweile bekomme ich auch wieder mehr UCE als Swen, das war am Anfang der Swen-Epidemie anders.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

</font><blockquote>Zitat:</font><hr />Original erstellt von someboy:
Stattdessen bekam ich neulich die Mail von einem User aus Russland, der mich darauf hinwies, daß mir ein User den Wurm Swen zugemailt hat. </font>[/QUOTE]etwa von dem: &lt;admin@duma.gov.ru&gt;

Könnte sein, daß die Mail von dem stammt...
Inzwischen hab ich angefangen Filter bei GMX zu setzen. Das Problem ist nur, daß die Filterlänge anscheinend begrenzt ist, so daß man nicht besonders viele Betreffszeilen filtern kann, Mail-Groessen kann man nur ab einer Größe Filtern und nach Dateianhang kann man nur in der bezahlten GMX-Version filtern... Und seitdem ich angefangen hab Filter zu setzen, scheinen sich die Mails zu häufen...

</font><blockquote>Zitat:</font><hr />&lt;admin@duma.gov.ru&gt; </font>[/QUOTE]Das ist Dumaru, der hat mit Swen nichts zu tun.

Zu den Filterrregeln:
Mails deren Betreff "Patch" enthält oder "Announcement" enthält oder "Returned" enthält oder "Security" enthält oder "Upgrade" enthält oder "Newest" enthält oder "Mail" enthält oder "Message" enthält oder "Pack" enthält
UND deren Absender "Corporation" enthält oder "Customer" enthält oder "Services" enthält oder "Microsoft" enthält oder "Inet" enthält oder "Net System" enthält oder "Public" enthält oder "Assistance" enthält oder "Storage" enthält oder "Division" enthält
UND größer als 135 KByte ...
... per e-mail an "meine Adresse" benachrichtigen UND in Ordner "Gelöscht" verschieben. Filterbearbeitung für diese Mails beenden.
erschlägt bei mir unter GMX ziemlich viel vom blöden Swen.


Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Wer ist Dumaru?

</font><blockquote>Zitat:</font><hr />Original erstellt von someboy:
Wer ist Dumaru? </font>[/QUOTE]http://www.trojaner-info.de/virenwar...arnungen.shtml
[img]smile.gif[/img]

Auch wenns blöd wirkt, vielleicht nochmal die wichtigsten Grundlagen:

- IMMER einen aktuellen Virenscanner laufen lassen. Von mir bekommen McAfee, Kaspersky und Trend eine Empfehlung.

- IMMER aktuelle Patches installieren und den e-mail Reader sicher konfigurieren. Das heisst: Aktuelle Patches innerhalb einer Woche (besser ein Tag) aufspielen. Dann sind Exploits zum automatischen Ausführen von e-mail Anhängen schnell beseitigt. In Outlook/Outlook Express bei Sicherheitseinstellungen wählen, dass e-mails in der 'Zone für eingeschränkte Seiten' geöffnet werden.

- Über den Header lassen sich die wahren Versender von Viren bei aktuellen Viren nicht mehr ausfindig machen. Die Absenderadresse wird 'gespooft'.

- Hat man einen Virenverdacht, kostenlose Scantools zusätzlich zum eigenen Virenscanner verwenden: Trend Housecall, Panda OnlineScan, Stinger von NAI