Hallo zusammen,

bei einer Bekannten von mir habe ich heute folgendes Phänomen beobachtet. Sie bekam am Freitagabend innerhalb von zwei Minuten 13 E-Mails von Empfängern mit denen sie noch nie kommuniziert hat und es waren ausschließlich Meldungen der empfangenden Mailserver.

Entweder wird dort berichtet, dass die Nachricht einen virenverseuchten Anhang enthielt oder es den entsprechenden Empfänger gar nicht gibt. Die von ihr angeblich versendeten E-Mails sind wie folgt aufgebaut (mit kleinen Variationen):
Betreff: Re: Fax-22376611-882133864
Body: Fax models: hp-34fd Pages: 3
Anhang: ZIP-Archiv mit einer EXE-Datei

Sie war eine Woche (bis einschließlich gestern Samstag) im Urlaub und ihr PC war die ganze Zeit ausgeschaltet - ich habe es überprüft. Währenddessen las sie die E-Mails auf ihrem iPad. Bei 8 Nachrichten konnte ich die ursprünglichen Mailheader untersuchen und der unterste "Received" Eintrag weist darauf hin, dass die E-Mails von 7 unterschiedlichen IP-Adressen abgeschickt wurden, die nicht von ihr stammen können. Hier sind einige Beispiele (ihreDomäne habe ich eingefügt):

-------------------------------------------
Received: from [164.180.169.120] by tqhb.FnOYHoyO.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:56 -0500

Received: from [123.141.175.138] by g3i6.1aAXoyJ7.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:42 -0500

Received: from [104.175.156.128] by Jh81.Y6cdKuKo.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:47 -0500

Received: from [164.180.169.120] by tqhb.FnOYHoyO.ihreDomäne (via HTTP); Fri, 05 Jun 2015 16:41:56 -0500
-------------------------------------------

Für mich sieht es so aus, als ob ihre E-Mail Adresse für das Versenden von verseuchten Nachrichten missbraucht worden wäre. Und dies wurde innerhalb von zwei Minuten von mindesten 7 fremden Rechnern zugleich erledigt.

Ist dieses Vorgehen bekannt?

Wie bereits erwähnt wurde ihr PC erst heute eingeschaltet und E-Mail Konto ist auch nicht gehackt, denn der Provider Mailserver taucht in den Sendeketten nicht auf.

Danke im Voraus für euren Input.

hi,

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo schrauber,

danke für deine Antwort. Wie oben geschrieben, war ihr PC während die Nachrichten mir ihrer E-Mail Adresse als Absender verschickt wurden definitiv aus und zwar 6 Tage davor und 1,5 Tage danach. Ich kann ihn gerne scannen, bin aber erst am Dienstag bei ihr vor Ort. Aber es wäre die erste Schadsoftware, die bei ausgeschalteter Hardware aktiv wird.

Ist es bekannt, dass solche E-Mails aus einem Bot Netzwerk gleichzeitig von mehreren Rechnern aus mit der identischen gefakten Adresse verschickt werden?

Die IP Adressen aus den Mailheadern, vgl. oben, weisen eindeutig auf unterschiedliche Internet Provider hin.

Gruß,
Rainer

Sorry, nit richtig gelesen

Email Adressen werden meist eh gespooft. Du musst Dir ne Mail wie nen Brief vorstellen.

Draussen auf dem Umschlag steht deine Emailadresse als Absender, aber ob der Brief da drin auch wirklich von Dir ist ist damit nicht bewiesen. Da hat lediglich einer deine Adresse als Absender hin gebastelt.

Trotzdem bekommst Du aber die Mailer-Deamon Nachrichten. Hatte ich auch mal, auf einen Schlag 300 Mails, Boom .

Passwort ändern, gut is.

Spoofen ist mir soweit bekannt. Ich kenne dieses Phänomen bei einzelnen E-Mails, aber für mich waren hierbei einige Punkte neu:

- mehrere Nachrichten von unterschiedlichen IP-Adressen gleichzeitig
- es waren ausschließlich geschäftliche Empfänger ausgesucht (soweit ich es beurteilen kann)
- die E-Mail an sich als eine Antwort auf ein Fax, zielt auch auf den Geschäftsbereich ab

Mir war bis dato eher ein planloses Vorgehen bekannt, aber hier hat man sich richtig Gedanken und Mühe gemacht.

Passwort ändern ist immer gut, wobei hier im Mailheader weder ihre noch die IP-Adresse vom Mailprovider auftaucht, somit wurde hier nur die E-Mail Adresse missbraucht und auch nach einer Änderung kann dies weiterhin geschehen.

Schönen Tag,
Rainer

Zitat:

Mir war bis dato eher ein planloses Vorgehen bekannt, aber hier hat man sich richtig Gedanken und Mühe gemacht.

Dann könnte der Account gehackt und das Adressbuch kompromittiert sein. Könnte. Wobei das auch immer nur Theorie ist, nachvollziehbar ist das eh nie.

Nein, definitiv nicht, da es sich um keine ihr bekannten Empfänger handelt. Ich meinte die Kombination aus reinen Geschäftsadressen und einer eher geschäftlichen E-Mail anstatt "Rechnungen" o.ä. an alle gesammelten Adressen zu verschicken.