|
ich habe gmx promail und so eingestellt das infizierte mail autom. gelöscht werden . diesen monat nur 1 , letzten monat 2 - kann ich wohl zufrieden sein ... [img]graemlins/huepp.gif[/img] @someboy : </font><blockquote>Zitat:</font><hr /> Meine Swen-Mails hören nicht auf. Ich erhalte etwa 2 bis 3 Mails pro Stunde. Ich hab eben eine Warnung an einige meiner Mail-Fans geschrieben. Kann ich noch irgendwas tun, um die Mail-Masse zu beenden? Der gmx-Filter ordnet die Mails leider nicht als Spam ein... </font>[/QUOTE]nicht als `spam` einordnen sondern löschen lassen !!! </font><blockquote>Zitat:</font><hr />In dieser Einstellung ist Ihr Postfach geschützt! Sollte der GMX Virenschutz in einer eingehenden e-mail einen Virus finden, wird die Mail sofort gelöscht und Sie erhalten eine entsprechende Benachrichtigung. Wenn die verdächtige Mail nicht gelöscht werden soll, können Sie unter folgenden Optionen wählen.. </font>[/QUOTE] [ 19. September 2003, 15:07: Beitrag editiert von: Nangie ] |
Hallo IRON </font><blockquote>Zitat:</font><hr />...Lass doch einfach Mails, deren Betreff Microsoft, Critical usw. enthält, löschen...</font>[/QUOTE]...hmm, so einfach ist es auch nicht: aus den 6 in meines Postfach eingegangenen Mails mit Swen war es nur eine von "Micorosoft", noch eine angeblich "unzustellbare" - mit dem klar sichtbaren Attachment-Symbol, die alle anderen angeblich "unzustellbaren" - hatten gar nix, als Attachment (Nur-Text Ansicht bei Thunderbird). Kann sein, eine Modifikation ... |
Doch, es ist so einfach....deshalb steht ja in meinem Posting auch USW (und so weiter), was so viel bedeutet wie: Lies dir die Wurmbeschreibung durch, entnimm ihr relevante Betrff-Schlüsselwörter und bau die in den Filter ein. Wahlweise könnte man auch noch ab einer bestimmten Größe der Mail filtern, z.B. ab 30 KB. Hier noch mal im Überblick: Sender name (consists of several parts): 1. Microsoft MS 2. (may not be used) Corporation 3. (may not be used) Program Internet Network 4. (always included with part 3) Security 5. (may not be used) Division Section Department Center 6. (may not be used) Public Technical Customer 7. (may not be used) Bulletin Services Assistance Support For example: Microsoft Internet Security Section MS Technical Assistance Sender address (consists of 2 parts): * before "@": random sequence (example: tuevprkpevcg-gxwi@, dwffa@); * after "@": consists of 2 parts (though only one may be used): 1. news newsletter bulletin confidence advisor updates technet support 2. msdn microsoft ms msn For example: "newsletter.microsoft" or simply "support". If two parts are used, then they are separated by ".", or "_". After the "." the domain is either "com" or "net". Subject (consists of various parts): 1. Latest New Last Newest Current 2. Net Network Microsoft Internet 3. Security Critical 4. Upgrade Pack Update Patch Body: MS Client (Consumer,Partner,User - chosen at random) this is the latest version of security update, the "September 2003, Cumulative Patch" update which resolves all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your system. This update includes the functionality = of all previously released patches. System requirements: Windows 95/98/Me/2000/NT/XP This update applies to: - MS Internet Explorer, version 4.01 and later - MS Outlook, version 8.00 and later - MS Outlook Express, version 4.01 and later Recommendation: Customers should install the patch = at the earliest opportunity. How to install: Run attached file. Choose Yes on displayed dialog box. How to use: You don't need to do anything after installing this item. Signature: Microsoft Product Support Services and Knowledge Base articles = can be found on the Microsoft Technical Support web site. http://support.microsoft.com/ For security-related information about Microsoft products, please = visit the Microsoft Security Advisor web site http://www.microsoft.com/security/ Thank you for using Microsoft products. Please do not reply to this message. It was sent from an unmonitored e-mail address and we are unable = to respond to any replies. ---------------------------------------------- The names of the actual companies and products mentioned = herein are the trademarks of their respective owners. Attachment name: patch[random number].exe install[random number].exe The actual content of the body may be less complicated, depending on various circumstances. * The Subject may contain: Letter Advise Message Announcement Report Notice Bug Error Abort Failed User Unknown * The body may contain: Hi! This is the qmail program Message from [random value] I'm sorry I'm sorry to have to inform that I'm afraid I'm afraid I wasn't able to deliver your message to the following addresses the message returned below could not be delivered I wasn't able to deliver your message to one or more destinations [ 19. September 2003, 17:44: Beitrag editiert von: IRON ] |
Hi Leutz! Ich will ehrlich gesagt kein Filter auf diese Mails setzen, sondern ich will, daß der Absender dafür sorgt, daß "sein" Wurm abgestellt wird. Kann ich irgendwie herausfinden, über welche Adresse die Mails wirklich kamen, anstatt der gefäkten MS-Adressen? |
@someboy: Ja das kannst du. Zum einen brauchst du ein Programm, mit dem du dir dn kompletten Mail-Heeader ansehen kannst, wie z.B. den Magic Mail Monitor. Danach liest du dir am Besten die FAQ in meiner Signatur durch. ciao |
Würde das Programm so gut sein, würdest du schon rausgefunden haben wer die Mails verschickt und ihn anzeigen. |
Tuvok ich nehme doch an, daß der Wurm von irgendjemand geschickt wird, der keine Ahnung hat, daß er den Wurm hat... Den will ich gar nicht anzeigen... |
</font><blockquote>Zitat:</font><hr /> Return-Path: <fandgwilson@charter.net> X-Flags: 0000 Delivered-To: GMX delivery to xxxxx@gmx.de Received: (qmail 22046 invoked by uid 65534); 21 Sep 2003 17:34:11 -0000 Received: from remt25.cluster1.charter.net (EHLO remt25.cluster1.charter.net) (209.225.8.35) by mx0.gmx.net (mx018) with SMTP; 21 Sep 2003 19:34:11 +0200 Received: from [68.119.222.53] (HELO wfylz) by remt25.cluster1.charter.net (CommuniGate Pro SMTP 4.0.6) with SMTP id 167229215; Sun, 21 Sep 2003 09:50:45 -0400 FROM: "MS Net Message Storage System" <mailerrobot@microsoft.com> TO: "Email Client" < > SUBJECT: failure report Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="aftpmacfuro" Date: Sun, 21 Sep 2003 09:50:45 -0400 Message-ID: <auto-000167229215@remt25.cluster1.charter.net> X-GMX-Antivirus: -1 (not scanned, may not use virus scanner) X-GMX-Antispam: 0 (Mail was not recognized as spam) </font>[/QUOTE]Was soll ich deiner Meinung nach mit so nem Header anfangen? |
whois ergibt: Suchbegriff: 209.225.8.35 Adresse: rwhois.exodus.net:4321 Suchergebnis: %rwhois V-1.5:001ab7:00 rwhois.exodus.net (Exodus Communications) network:Class-Name:network network:Auth-Area:0.0.0.0/0 network:Network-Name:209.225.8.0 network:IP-Network:209.225.8.0/24 network:Organization;I:Charter Communications Holding Company ,LLC network:Name;I:Abuse Department network:Email;I:abuse@charter.net network:Street;I:12405 Powerscourt Drive network:City;I:ST. LOUIS network:State;I:MO network:Postal-Code;I:63131 network:Country-Code;I:USA network:Class-Name:network network:Auth-Area:0.0.0.0/0 network:Network-Name:209.225.0.0 network:IP-Network:209.225.0.0/18 network:Organization;I:Exodus IDC - DC/DC2 network:Name;I:Exodus IP Address Administrator network:Email;I:ipaddressadmin@exodus.net network:Street;I:45901 Nokes Blvd network:City;I:Sterling network:State;I:VA network:Postal-Code;I:20164 network:Country-Code;I:USA %ok |
Imho ist der Return-Path nicht gefälscht. Man kann also den Virenversender anschreiben. Meistens misslingt dies aber, da die Mailboxen voll sind. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
@Someboy: Wichtig ist nur diese Zeile </font><blockquote>Zitat:</font><hr />Received: from [68.119.222.53] (HELO wfylz)</font>[/QUOTE]Der Server hat sich als "wfylz" vorgestellt, trägt aber die IP 68.119.222.53. Hier ist also der fake, das was danach kommt ist höchstwahrscheinlich integer. 'nslookup 68.119.222.53' ergab folgendes: Routenverfolgung zu cm-68-119-229-053.ashe.nc.charter.com 1 18 ms 14 ms 13 ms jetz-r02-J-lo0.jetz.iks-jena.de [217.17.198.172] 2 32 ms 14 ms 14 ms c7200-fe002.jetz.iks-jena.de [217.17.194.142] 3 15 ms 20 ms 14 ms jetz-bgp-fe00.jetz.iks-jena.de [217.17.194.140] 4 35 ms 36 ms 37 ms fe4-0v5.gw01-CHE.eastlink.de [213.187.72.166] 5 34 ms 32 ms 32 ms pos1-1-0-gw01-LPZ.eastlink.de [213.187.72.69] 6 37 ms 43 ms 32 ms pos2-0-gw01-FFM.eastlink.de [213.187.72.145] 7 50 ms 42 ms 50 ms 208.175.236.25 8 37 ms 45 ms 36 ms bcr2.Frankfurt.cw.net [166.63.194.62] 9 130 ms 128 ms 127 ms dcr1-loopback.NewYork.cw.net [206.24.194.99] 10 130 ms 126 ms 127 ms cw-gw.n54ny.ip.att.net [192.205.32.197] 11 137 ms 133 ms 127 ms tbr2-p011601.n54ny.ip.att.net [12.123.3.61] 12 130 ms 135 ms 129 ms tbr2-cl1.wswdc.ip.att.net [12.122.10.54] 13 147 ms 144 ms 146 ms tbr1-p013801.attga.ip.att.net [12.122.10.70] 14 146 ms 153 ms 149 ms gbr5-p20.attga.ip.att.net [12.122.12.22] 15 145 ms 146 ms 150 ms gar2-p360.attga.ip.att.net [12.123.21.73] 16 150 ms 146 ms 150 ms 12.124.58.106 17 * * * Zeitüberschreitung der Anforderung. Das Teil kommt also irgendwie aus den USA, aber mehr lässt sich dazu auch nicht sagen. ciao |
kurzgesagt Header auswertung bringt nichts... zumal ich keinen in USA kenne... |
Return-Path: <fandgwilson@charter.net> Diese Adresse ist möglicherweise der Versender. Bislang hab ich jedenfalls noch nicht gelesen, dass dieser Header gefälscht wird. Der Wurm besorgt sich E-Mail-Adressen u.a. aus dem Usenet; von dort werde ich "vollgeschissen". Die Absender kenne ich natürlich auch nicht. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
2 Mails die eben von 3 in meinem Postfach lagen, hatten den gleichen ReturnPath. Meinste damit ist deine Theorie bestätigt? Aber was tun? Man kann doch nicht alle 100-300 Mails pro Tag durchforsten und ne Warn-Mail vor Swen schreiben... |
Hallo Yopie, GMX bietet erweiterte Filtereinstellungen. Mein Vorschlag zum Filtern : Mails deren Header der RegExp "<IMG SRC=" entspricht oder der RegExp "X-RBL-Warning" entspricht oder der RegExp oder RegExp "iframe" entspricht oder "<$randomfroms>" enthält oder der RegExp "(.*?(@.*?)" entspricht oder#UNKNOWN_CONDITION# oder "Received: from unknown" enthält oder "oder der RegExp "(?i)[^aeiyou]{6,}.*@" entspricht ... ... in Ordner "Spamverdacht" verschieben. Filterbearbeitung für diese Mails beenden. ich verwende diese Filter mit guten Ergebnissen, den Spamfilter bei GMX habe ich auf hoch gestellt und mir bekannte Adressen sind in der Whitelist, es grüßt der OlleKater |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board