ich habe gmx promail und so eingestellt das infizierte mail autom. gelöscht werden .
diesen monat nur 1 , letzten monat 2 - kann ich wohl zufrieden sein ... [img]graemlins/huepp.gif[/img]

@someboy :
</font><blockquote>Zitat:</font><hr /> Meine Swen-Mails hören nicht auf. Ich erhalte etwa 2 bis 3 Mails pro Stunde. Ich hab eben eine Warnung an einige meiner Mail-Fans geschrieben.
Kann ich noch irgendwas tun, um die Mail-Masse zu beenden? Der gmx-Filter ordnet die Mails leider nicht als Spam ein... </font>[/QUOTE]nicht als `spam` einordnen sondern löschen lassen !!!

</font><blockquote>Zitat:</font><hr />In dieser Einstellung ist Ihr Postfach geschützt! Sollte der GMX Virenschutz in einer eingehenden e-mail einen Virus finden, wird die Mail sofort gelöscht und Sie erhalten eine entsprechende Benachrichtigung. Wenn die verdächtige Mail nicht gelöscht werden soll, können Sie unter folgenden Optionen wählen.. </font>[/QUOTE]

[ 19. September 2003, 15:07: Beitrag editiert von: Nangie ]

Hallo IRON
</font><blockquote>Zitat:</font><hr />...Lass doch einfach Mails, deren Betreff Microsoft, Critical usw. enthält, löschen...</font>[/QUOTE]...hmm, so einfach ist es auch nicht: aus den 6 in meines Postfach eingegangenen Mails mit Swen war es nur eine von "Micorosoft", noch eine angeblich "unzustellbare" - mit dem klar sichtbaren Attachment-Symbol, die alle anderen angeblich "unzustellbaren" - hatten gar nix, als Attachment (Nur-Text Ansicht bei Thunderbird). Kann sein, eine Modifikation ...

Doch, es ist so einfach....deshalb steht ja in meinem Posting auch USW (und so weiter), was so viel bedeutet wie: Lies dir die Wurmbeschreibung durch, entnimm ihr relevante Betrff-Schlüsselwörter und bau die in den Filter ein.
Wahlweise könnte man auch noch ab einer bestimmten Größe der Mail filtern, z.B. ab 30 KB.
Hier noch mal im Überblick:
Sender name (consists of several parts):

1. Microsoft
MS

2. (may not be used)
Corporation

3. (may not be used)
Program
Internet
Network

4. (always included with part 3)
Security

5. (may not be used)
Division
Section
Department
Center

6. (may not be used)
Public
Technical
Customer

7. (may not be used)
Bulletin
Services
Assistance
Support

For example:

Microsoft Internet Security Section
MS Technical Assistance

Sender address (consists of 2 parts):

* before "@": random sequence (example: tuevprkpevcg-gxwi@, dwffa@);
* after "@": consists of 2 parts (though only one may be used):

1. news
newsletter
bulletin
confidence
advisor
updates
technet
support

2. msdn
microsoft
ms
msn

For example: "newsletter.microsoft" or simply "support". If two parts are used, then they are separated by ".", or "_".

After the "." the domain is either "com" or "net".

Subject (consists of various parts):

1. Latest
New
Last
Newest
Current

2. Net
Network
Microsoft
Internet

3. Security
Critical

4. Upgrade
Pack
Update
Patch

Body:

MS Client (Consumer,Partner,User - chosen at random)
this is the latest version of security update, the
"September 2003, Cumulative Patch" update which resolves
all known security vulnerabilities affecting
MS Internet Explorer, MS Outlook and MS Outlook Express.
Install now to protect your computer
from these vulnerabilities, the most serious of which could
allow an attacker to run code on your system.
This update includes the functionality =
of all previously released patches.

System requirements: Windows 95/98/Me/2000/NT/XP
This update applies to:
- MS Internet Explorer, version 4.01 and later
- MS Outlook, version 8.00 and later
- MS Outlook Express, version 4.01 and later

Recommendation: Customers should install the patch =
at the earliest opportunity.
How to install: Run attached file. Choose Yes on displayed dialog box.
How to use: You don't need to do anything after installing this item.

Signature:

Microsoft Product Support Services and Knowledge Base articles =
can be found on the Microsoft Technical Support web site.
http://support.microsoft.com/

For security-related information about Microsoft products, please =
visit the Microsoft Security Advisor web site
http://www.microsoft.com/security/

Thank you for using Microsoft products.

Please do not reply to this message.
It was sent from an unmonitored e-mail address and we are unable =
to respond to any replies.

----------------------------------------------
The names of the actual companies and products mentioned =
herein are the trademarks of their respective owners.

Attachment name:

patch[random number].exe
install[random number].exe

The actual content of the body may be less complicated, depending on various circumstances.

* The Subject may contain:

Letter
Advise
Message
Announcement
Report
Notice
Bug
Error
Abort
Failed
User Unknown

* The body may contain:

Hi!
This is the qmail program
Message from [random value]
I'm sorry
I'm sorry to have to inform that
I'm afraid
I'm afraid I wasn't able to deliver your message to the following addresses
the message returned below could not be delivered
I wasn't able to deliver your message
to one or more destinations

[ 19. September 2003, 17:44: Beitrag editiert von: IRON ]

Hi Leutz!

Ich will ehrlich gesagt kein Filter auf diese Mails setzen, sondern ich will, daß der Absender dafür sorgt, daß "sein" Wurm abgestellt wird. Kann ich irgendwie herausfinden, über welche Adresse die Mails wirklich kamen, anstatt der gefäkten MS-Adressen?

@someboy: Ja das kannst du.
Zum einen brauchst du ein Programm, mit dem du dir dn kompletten Mail-Heeader ansehen kannst, wie z.B. den Magic Mail Monitor. Danach liest du dir am Besten die FAQ in meiner Signatur durch.

ciao

Würde das Programm so gut sein, würdest du schon rausgefunden haben wer die Mails verschickt und ihn anzeigen.

Tuvok ich nehme doch an, daß der Wurm von irgendjemand geschickt wird, der keine Ahnung hat, daß er den Wurm hat... Den will ich gar nicht anzeigen...

</font><blockquote>Zitat:</font><hr /> Return-Path: &lt;fandgwilson@charter.net&gt;
X-Flags: 0000
Delivered-To: GMX delivery to xxxxx@gmx.de
Received: (qmail 22046 invoked by uid 65534); 21 Sep 2003 17:34:11 -0000
Received: from remt25.cluster1.charter.net (EHLO remt25.cluster1.charter.net) (209.225.8.35)
by mx0.gmx.net (mx018) with SMTP; 21 Sep 2003 19:34:11 +0200
Received: from [68.119.222.53] (HELO wfylz)
by remt25.cluster1.charter.net (CommuniGate Pro SMTP 4.0.6)
with SMTP id 167229215; Sun, 21 Sep 2003 09:50:45 -0400
FROM: "MS Net Message Storage System" &lt;mailerrobot@microsoft.com&gt;
TO: "Email Client" &lt; &gt;
SUBJECT: failure report
Mime-Version: 1.0
Content-Type: multipart/alternative;
boundary="aftpmacfuro"
Date: Sun, 21 Sep 2003 09:50:45 -0400
Message-ID: &lt;auto-000167229215@remt25.cluster1.charter.net&gt;
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam) </font>[/QUOTE]Was soll ich deiner Meinung nach mit so nem Header anfangen?

whois ergibt:

Suchbegriff: 209.225.8.35
Adresse: rwhois.exodus.net:4321
Suchergebnis:

%rwhois V-1.5:001ab7:00 rwhois.exodus.net (Exodus Communications)
network:Class-Name:network
network:Auth-Area:0.0.0.0/0
network:Network-Name:209.225.8.0
network:IP-Network:209.225.8.0/24
network:Organization;I:Charter Communications Holding Company ,LLC
network:Name;I:Abuse Department
network:Email;I:abuse@charter.net
network:Street;I:12405 Powerscourt Drive
network:City;I:ST. LOUIS
network:State;I:MO
network:Postal-Code;I:63131
network:Country-Code;I:USA

network:Class-Name:network
network:Auth-Area:0.0.0.0/0
network:Network-Name:209.225.0.0
network:IP-Network:209.225.0.0/18
network:Organization;I:Exodus IDC - DC/DC2
network:Name;I:Exodus IP Address Administrator
network:Email;I:ipaddressadmin@exodus.net
network:Street;I:45901 Nokes Blvd
network:City;I:Sterling
network:State;I:VA
network:Postal-Code;I:20164
network:Country-Code;I:USA

%ok

Imho ist der Return-Path nicht gefälscht. Man kann also den Virenversender anschreiben. Meistens misslingt dies aber, da die Mailboxen voll sind.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

@Someboy:
Wichtig ist nur diese Zeile </font><blockquote>Zitat:</font><hr />Received: from [68.119.222.53] (HELO wfylz)</font>[/QUOTE]Der Server hat sich als "wfylz" vorgestellt, trägt aber die IP 68.119.222.53. Hier ist also der fake, das was danach kommt ist höchstwahrscheinlich integer.
'nslookup 68.119.222.53' ergab folgendes:

Routenverfolgung zu cm-68-119-229-053.ashe.nc.charter.com
1 18 ms 14 ms 13 ms jetz-r02-J-lo0.jetz.iks-jena.de [217.17.198.172]

2 32 ms 14 ms 14 ms c7200-fe002.jetz.iks-jena.de [217.17.194.142]

3 15 ms 20 ms 14 ms jetz-bgp-fe00.jetz.iks-jena.de [217.17.194.140]

4 35 ms 36 ms 37 ms fe4-0v5.gw01-CHE.eastlink.de [213.187.72.166]

5 34 ms 32 ms 32 ms pos1-1-0-gw01-LPZ.eastlink.de [213.187.72.69]

6 37 ms 43 ms 32 ms pos2-0-gw01-FFM.eastlink.de [213.187.72.145]

7 50 ms 42 ms 50 ms 208.175.236.25

8 37 ms 45 ms 36 ms bcr2.Frankfurt.cw.net [166.63.194.62]

9 130 ms 128 ms 127 ms dcr1-loopback.NewYork.cw.net [206.24.194.99]

10 130 ms 126 ms 127 ms cw-gw.n54ny.ip.att.net [192.205.32.197]

11 137 ms 133 ms 127 ms tbr2-p011601.n54ny.ip.att.net [12.123.3.61]

12 130 ms 135 ms 129 ms tbr2-cl1.wswdc.ip.att.net [12.122.10.54]

13 147 ms 144 ms 146 ms tbr1-p013801.attga.ip.att.net [12.122.10.70]

14 146 ms 153 ms 149 ms gbr5-p20.attga.ip.att.net [12.122.12.22]

15 145 ms 146 ms 150 ms gar2-p360.attga.ip.att.net [12.123.21.73]

16 150 ms 146 ms 150 ms 12.124.58.106

17 * * * Zeitüberschreitung der Anforderung.


Das Teil kommt also irgendwie aus den USA, aber mehr lässt sich dazu auch nicht sagen.

ciao

kurzgesagt Header auswertung bringt nichts... zumal ich keinen in USA kenne...

Return-Path: &lt;fandgwilson@charter.net&gt;

Diese Adresse ist möglicherweise der Versender. Bislang hab ich jedenfalls noch nicht gelesen, dass dieser Header gefälscht wird.

Der Wurm besorgt sich E-Mail-Adressen u.a. aus dem Usenet; von dort werde ich "vollgeschissen". Die Absender kenne ich natürlich auch nicht.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

2 Mails die eben von 3 in meinem Postfach lagen, hatten den gleichen ReturnPath. Meinste damit ist deine Theorie bestätigt? Aber was tun? Man kann doch nicht alle 100-300 Mails pro Tag durchforsten und ne Warn-Mail vor Swen schreiben...

Hallo Yopie,

GMX bietet erweiterte Filtereinstellungen.

Mein Vorschlag zum Filtern :

Mails deren Header der RegExp "&lt;IMG SRC=" entspricht oder der RegExp "X-RBL-Warning" entspricht oder der RegExp oder RegExp "iframe" entspricht oder "&lt;$randomfroms&gt;" enthält oder der RegExp "(.*?(@.*?)" entspricht oder#UNKNOWN_CONDITION# oder "Received: from unknown" enthält oder "oder der RegExp "(?i)[^aeiyou]{6,}.*@" entspricht ...
... in Ordner "Spamverdacht" verschieben. Filterbearbeitung für diese Mails beenden.

ich verwende diese Filter mit guten Ergebnissen, den Spamfilter bei GMX habe ich auf hoch gestellt und mir bekannte Adressen sind in der Whitelist,

es grüßt der OlleKater