Hallo, der Mail-Account meiner Freundli verschickt automatisch in Ihrem Namen Mails mit links wie

hxxp://www.quintocolor.com.ar/index-rhto5.php

Versendet 14.04.2011, 14:00 Uhr

Kann mal jemand den Link auf schädlichkeit überprüfen?

Eilig! Danke !

Das ist SPAM! Sowas klickt man nicht an.
Deine Freundin sollte ihren Rechner auf Viren checken.

Hi, danke. Dass das Spam ist hatte ich mir schon gedacht. Das fatale bei der Sache ist: sie hatte ihren Yahoo-Mail-Account nur von einem Computer der Universität aus benutzt, also nicht vom eigenen Rechner. Das würde aber bedeuten, dass die Uni-Rechner infiziert sind.

Und ich wüsste gerne, ob sich derjenige, der den Link anklickt, automatisch eine Schad-Software oder ähnliches herunterläd. Weil diese Links wurden an sehr viele Adressen aus Ihrem Adressbuch verschickt, darunter viele entfernte Bekannte, Freunde aber auch Professoren usw. Es wäre nicht toll, wenn die sich jetzt alle eine Schad-SW auf Ihren Rechner laden, wenn sie die Links anklicken.

Deshalb: wer kann untersuchen, was der über diesen Link aufrufbare php-Code genau macht??

Da muss nicht unbedingt ein Missbrauch ihres Mailaccs vorliegen. Es kann auch sein, dass die Spammer ihre Adresse einfach gefälscht haben. Weiß man nur, wenn man sich mal die Kopfzeilen so einer Mail mal genauer anschaut.

Zitat:

Deshalb: wer kann untersuchen, was der über diesen Link aufrufbare php-Code genau macht??

Was der genau macht hab ich nicht gesehen. Ich wurde jedenfalls beim Aufruf auf eine andere Spamseite weitergeleitet. ( h**p://***.dubezfuom.com/?cid=ter-4 )

Hier mal die Kopfzeilen:

Received: from [217.146.183.251] (helo=nm14-vm1.bullet.mail.ukl.yahoo.com)
by mx12.web.de with smtp (WEB.DE 4.110 #2)
id 1QALDh-0001yr-00
for xxx@web.de; Thu, 14 Apr 2011 14:00:21 +0200
Received: from [217.146.183.182] by nm14.bullet.mail.ukl.yahoo.com with NNFMP; 14 Apr 2011 12:00:21 -0000
Received: from [217.146.183.167] by tm13.bullet.mail.ukl.yahoo.com with NNFMP; 14 Apr 2011 12:00:21 -0000
Received: from [127.0.0.1] by omp1008.mail.ukl.yahoo.com with NNFMP; 14 Apr 2011 12:00:21 -0000
X-Yahoo-Newman-Property: ymail-5
X-Yahoo-Newman-Id: 357842.4094.bm@omp1008.mail.ukl.yahoo.com
Received: (qmail 34399 invoked by uid 60001); 14 Apr 2011 12:00:21 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.fr; s=s1024; t=1302782421; bh=NqFFcs8ta2WbhVLDFd2TfgSgRsx6pEWBIGnh4p9Pvuc=; h=Message-ID:X-YMail-OSG:Received:X-Mailerate:From:To:MIME-Version:Content-Type; b=aMmFZI2jx8/Hjs/BeagTe9c2tSLuxVAyoggYOyUQOFZWoFhvO+Sl8pJRRZrU1gANovD7bJ/XNZM+bCQgAwwc1WQMRV8oIyQGBtGHhRndtbbaqfgTW9mHdGembSs7jssOOENeIxpqBhCl0MK2ZGjv8toJMgGGGeoQZomQyv+NkFo=
DomainKey-Signature:a=rsa-sha1; q=dns; c=nofws;
s=s1024; d=yahoo.fr;
h=Message-ID:X-YMail-OSG:Received:X-Mailerate:From:To:MIME-Version:Content-Type;
b=msuNne966xXBLCK6U7sPvdnSyqINqBICGQQInjNQy2hYA5+n9K6WF38K1ds4ngu4/q0OW9NpcFjkRvObsE1Xx8Pr9xJNHAAmv5x9A5sSHIWxWchPtHysUE5l/U0hEeuuh9IArh6pj9MkrGkNrByF8e2YTFzyIoyaSuvssIOQHlo=;
Message-ID: <87106.27485.qm@web28203.mail.ukl.yahoo.com>
X-YMail-OSG: 6e6oDKYVM1nkk2feX_YbKUa8FW0JxOyWPe5DXbmFKkyoHS7
Q7j2Y9rRBQmvEdMLVU4G0PLMxBhZjvDqqH6Gg.58l2Bwe6d5y1a5drVKkReR
Sz9sHTayfnjrIYl8jkzjSsO3qBxjqO6RPrchMD9XkY1zNa1kTOrBtyo92r9o
hZwooW.lM2JlIKn2X5LbDo9PxbuEiDHjXwVRDOqp9gdN4BezSKtBmvdQT1K7
shtCu08RjoPSpagCUZlGukkbiuS1RCkyoSDafgi5JYdfNtXCZiQFIuyzpCth
OYwGcBYpqVQm.ZOYBaWJ0K4imjMEj06jyC.H3z0bujpes
Received: from [188.36.193.198] by web28203.mail.ukl.yahoo.com via HTTP; Thu, 14 Apr 2011 13:00:20 BST
X-Mailer: YahooMailWebService/0.8.109.295617
Date: Thu, 14 Apr 2011 13:00:20 +0100 (BST)
From: xxx
To: xxx, xxx, xxx,
xxx, xxx, xxx,
xxx, xxx, xxx
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="0-1788045928-1302782420=:27485"
Return-Path: xxx

Zitat:

Received: from [188.36.193.198]

Scheint eine ungarische IP zu sein.
Wie einfach ist das Passwort gestrickt? Wurde das schon geändert?