Liebe Freunde, Leidensgenossen und Gurus!
Nachdem ich alle Beitrage zu Sobig gelesen hatte, fand ich leider keine Antwort auf die wichtigste Frage, die mich seit ca. 5 wochen beschäftigt: Wer ist "der arme Hund" der mich in seinem Adressbuch eingetragen hat, und dessen Rechner seitdem infiziert ist.

Hat ein Boardteilnehmer irgendeine Idee, wie über den header oder notfalls mit Hilfe des Providers (der sich nicht äußert (web.de)) der infizierte Versender gewarnt werden kann??? Jede Eingrenzung (Provider, Kontinent, etc.) wäre hilfreich, um massenhafte Rückfragen zu vermeiden.

Danke im Voraus und viel Spaß auf diesem sympathischen Board!

Hmmm....dem Absender einfach selbst mal ne Mail schicken?
Vielleicht ist der Absender aber auch gefälscht, wer weiß....

@I_wanna_know:
Dem Absender (laut from: )zu schrieben ist hier keine wirklich gute Idee, wird nicht viel brigen. Die Absender-Mail-Adresse heißt immer big@boss.com, und ist - natürlich - gefälscht.

@PC_Dummy:
Schau Dir mal die Header-Daten der Mail an. Dort steht auch die IP des Versenders. Bei mir wars das Rechenzentrum meiner Uni, und der verursachende Rechner konnte so ausfindig gemacht werden, nachdem ich das Rechenzentrum angemailt hab. So einfach wird das aber in den wenigsten Fällen sein.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Danke für die schnelle response! Bin beeindruckt..!
Natürlich funktioniert das nicht, weil der Wurm den tatsächlichen Versender nicht angibt, sondern sich als "big@boss.com" einträgt.

Weitere Ideen sind willkommen.

@Yopie
Danke auch! Hab' gerade nochmals die sender IP geprüft und festgestellt, dass alle mails von 202.82.19.38 (helo= playground08) stammen.

Sitze im Moment noch im Büro an meiner Arbeit, und somit hinter einer firewall. D.h. habe keine Möglichkeit ein backtracing zu bemühen. Habe dies auch vorher (von zuhause) schon probiert, ohne Erfolg. Noch mehr Ideen?

ich habe gerade mal eine Whois abfrage gemacht:

202.82.19.38

inetnum: 202.82.0.0 - 202.82.127.255
netname: PCCW-BIA
descr: PCCW Business Internet Access
country: HK

Kommt aus HongKong. [img]smile.gif[/img]

Superbe!!!
Besten Dank!
Da ich in HK ca. 6 "close friends" kenne, davon aber nur 2-3 einen eigenen PC benutzen, schränkt Deine Antwort die Zahl der potentiell Geschädigten sehr stark ein.

Bitte verate mir (und allen Mitlesern) wie die Who-is Abfrage funktioniert, damit alle ihre Bekannten warnen können, wenn sie diesen destruktiven Müll erhalten.

@pc_dummy: bin zum board gekommen, weil ich selber diese big@boss.com geschichte am hals hatte und lese daruma alles was damit zu tun hat. seither habe ich auch ne menge kompetente partner kennen gelernt und viel wissen gewonnen. wie genau du das land heraus bekommst, hab ich auch noch nicht genau geschnallt, aber wenn du z.b. oe verwendest, hast du mit re. maustaste auf das betreffende mail und "eigenschaften" zumindest alle relevanten daten des absenders. isp haben im allgmeinen listen, und können das zuordnen.

erst nachher eingefallen: wenn du eine url hast, die du der ip-adresse zuordnen kannst, dann hast du auch das land bzw. den konkreten partner gefunden , vorausgesetzt er hat auch eine web-seite. bei free-mail adressen seh ich schwarz. icq z.b. hat meines wissens sein home in südafrika...

[ 17. Februar 2003, 23:42: Beitrag editiert von: leo.pold ]

@leo.pold
Danke für die Tipps, aber in meinem Fall bringt's mich leider nicht weiter.

Alle mails (sehr viele!) aus HK wurden entweder über netvigator.com oder über eine hotmail/yahoo Adresse verschickt, alle drei mit anderen Adressbereichen (das Näheste war noch 208.x.x.x)

Leider fehlt mir auch die Ahnung, wie ich den ISP kontaktieren könnte.

Auffällig ist die konstante ip-Adresse des Users, das sieht für mich aus, als sei es ein Firmen-PC, aber derlei Kontakte pflege ich nur wenige, und dabei hat keiner dieses 202.82. Netz.

Die einzige who-is Funktion, die ich kenne, stammt aus meiner häuslichen Firewall (sygate), aber diese hat noch nie ein brauchbares Ergebnis geliefert. Aber ich weiß auch, dass es universellere tools gibt. Leider ist mir deren Anwendung aber nicht vertraut.

Allen bisherigen und kommenden Postings gilt mein Dank, mit der Zuversicht, dass wir diesen Spuk gemeinsam bekämpfen können.

@Tiber
Sorry, hatte meine vorherige Antwort geschrieben, während Du gepostet hast. Besten Dank! Werde die links aber erst später probieren, melde mich danach aber sicher zurück (kommende Nacht)

einfach die IP-Adresse eingeben..

ARIN Whois
RIPE Whois
Schwarzl IP-Checker
SamSpade Tools , mein Favorit und dann habe ich noch
Domain Check

Gruß Tiber