Spamversand aus dem GMX-Webinterface
 

Guten Abend werte Gemeinde,

folgenden Sachverhalt verstehe ich noch nicht ganz und bitte darum um Eure Hilfe.


Systembeschreibung:
HomePC-> MAC mit dem entsprechenden Apple-Mail
zusätzliche Logins per Webinterface von einem XP-Rechner und einem Arbeitsrechner XP

XP-Rechner hier ist auf dem neuestne Stand mit allen Updates. RUBotted, Hijackthis, AVAntivir & Spybot SD überwacht. Fuer die schlimmen Seiten im Internet ist der Firefox mit NoScript-Addon im Gebrauch.
Der Arbeitsrechner steht bei einem der größten Internetprovider in der Zentrale.


Es wurde vorhin untenstehende Mail an sämtliche Personen im GMXinternen Adressbuch vorhandenen Personen versendet. Die Mailliste ist nicht identisch mit den lokal auf dem Mac liegenden Adressbuch.


Erster Ansatz waere ja ein Zombie auf einem der drei oben genannten PCs. Aber der MAC fällt da raus bzw. der MassMailer haette doch wenn überhaupt das MACMailAdressbuch genommen oder ?

Zum anderen waeren da noch die beiden XP-Rechner. Aber gibt es wirklich Zombies die den GMX-Webmail-Server kennen, PW sniffen und dann prüfen ob da ein GMX-Addressbuch vorhandne ist ?

Grüße und danke

RC















HI, here is can let you excited place!
Similar to shopping of ebay,Is safe!Use the Paypal online payment.
We are big wholesale dealers and retail ,My company mostly deal in
UGG,LV,A&F,Handbag,nike,Gucci,Puma,Adidas,Chanel,shoe,clothes,
Sunglasses,Watches ,a lot of products at our sell the scope!
Introduces it to you： www.chinabestseller.com
Have any need Please contact : chinabestsellers@hotmail.com
wish you have a nice day!

ich, bzw. meine Frau hatte gestern abend genau das selbe Problem mit ihrem web.de-Account.
Auch dort gingen die Mails an ihr komplettes Adressbuch (selber Inhalt, www.chinabestseller.com) und auch dieser Rechner ist allem Anschein nach völlig frei von Schädlingen.
Ich bin ziemlich ratlos, was da und wie das passiert sein könnte. Zudem war der Spuk nach dieser einen Massenmail auch wieder vorbei.

Hallo und :hallo:

Das Passwort ändern könnte helfen. :)

ciao, andreas

selbstverständlich längst geschehen.

ABER:
web.de protokolliert Anmeldeversuche mit. Es wäre uns mittelfristig aufgefallen, wenn jemand den Account (per brute force) geöffnet hätte.
Keylogger fällt auch aus, da der Account nur per Outlook abgerufen wird (gesicherte Authentifizierung).

Wenn es also über das Webinterface versendet worden ist, hätte der Angreifer das Passwort beim ersten Versuch erraten müssen. Das halte ich (bei diesem Passwort) für sehr unwahrscheinlich.
Die Frage bleibt: Was ist da passiert?

P.S. Danke für die Begrüßung und hallo ;)

Tja, ohne genauere Info (klicke auf "Für alle Neuen" in meiner Signatur) wird dir das niemand beantworten können. Versprochen. :)

Üblicherweise eröffnet hier eigentlich jeder seinen eigenen Thread. ;)

ciao, andreas

es ist die selbe Spammail und das selbe Problem - zudem konnte ich anhand einer einzelnen Adresse mittlerweile eingrenzen, dass es tatsächlich das Adressbuch beim Hoster war, das für die Zusammenstellung verwendet wurde.

loggen sich da tatsächlich irgendwelche Chinesen über das Webinterface ein, tippseln eine Mail zusammen und versenden diese dann an das integrierte Adressbuch? Ach ja, und löschen die Mail dann aus den gesendeten Objekten UND dem Papierkorb? :eek:

Es bleibt die Frage, wie die an das Passwort gekommen sind... Ich weiß zwar, dass SMTP nicht gerade für seine Sicherheit bekannt ist, aber ein Hoster sollte doch so schlau sein, alle seine Zugänge mit HIPS/HIDS zu sichern, oder?
Der PC wurde letzten Monat wegen Mainboardtausch leider komplett neu aufgesetzt (XP->Vista), so dass eine eventuelle Infektion, die weiter zurückliegt nicht mehr festgestellt werden kann. Hier bleibt die Frage: Wie?
Das Passwort war gespeichert und wurde seit Ewigkeiten nicht eingegeben.
Ich traue zwar MS so einiges zu, aber ich gehe mal stark davon aus, dass der Passwortspeicher hinreichend gut abgesichert ist, dass man die Passes nicht so einfach auslesen kann...

:schmoll: