Moin!

Seit einer Woche wird mein privates(!) Mailaccount mit Bazillen der Sorte Beagle.as beworfen. Da meine private Mailadresse fast ausschließlich bei Leuten in der 1000Steine-Community bekannt ist (Die anderen habe ich bereits abgeklappert), vermute ich den Befall unter den AFOLs.

Der befallene Rechner ist wahrscheinlich über DSL an T-Online oder 1&1 angebunden. Ich hatte auch mal 'ne Seite, wo man aus der IP-Adresse zumindest grob auf die Örtlichkeiten schließen konnte, aber die ist leider weg... (für sachdienliche Hinweise bin ich dankbar!)

Wenn also jemand a) Windows benutzt, b) per T-Online (oder 1&1) und DSL ins Netz geht, c) meine private Mailadresse in seinem Adressbuch hat und d) sich ggf. in der Liste unten "wiedererkennt", möge dieser jenige doch bitte mal seinen Rechner in die Heilanstalt bringen ;D

mfg, Christian

Thu, 07 Oct 2004 17:26:08 +0100 p50922B6B.dip.t-dialin.net [80.146.43.107]
Fri, 08 Oct 2004 18:28:35 +0100 p509236A4.dip.t-dialin.net [80.146.54.164]
Mon, 11 Oct 2004 06:21:36 +0100 p509224DD.dip.t-dialin.net [80.146.36.221]
Mon, 11 Oct 2004 18:38:03 +0100 p50921ACA.dip.t-dialin.net [80.146.26.202]
Tue, 12 Oct 2004 06:21:01 +0100 p50921ACA.dip.t-dialin.net [80.146.26.202]
Tue, 12 Oct 2004 13:11:32 +0100 p509220DB.dip.t-dialin.net [80.146.32.219]
Thu, 14 Oct 2004 20:10:03 +0100 p509221A9.dip.t-dialin.net [80.146.33.169]
Fri, 15 Oct 2004 07:13:33 +0100 p509228F4.dip.t-dialin.net [80.146.40.244]
Fri, 15 Oct 2004 19:36:21 +0100 p509228F4.dip.t-dialin.net [80.146.40.244]

Re: [B]Leicht OT: Wer ist die Bazillenschleuder?[/link] von treczoks am 16. Oktober 2004 09:37:02:


Moin,

aus den IP´s die Du uns so zahlreich anpreist, erkenne ich, und das ist Tatsache, diese IP´s stammen von T-Online-User. Das Problem dabei ist, und da werden einige mir zustimmen, die IP´s sind nicht fest vergeben (Auf wunsch macht das T-Online, aber nr auf Wunsch und mit mehr Kosten verbunden).
Ich für mein Teil, benutze T-Online, kenne deine Mail-Adresse aber nicht. Damit fall ich schon mal aus dem Rennen
Das andere ist, niemand der Viren und Bazillen per Mail verschickt, wird sich eine feste IP zulegen (viel Spaß beim ausfindig machen).
T-Online ist zum Beispiel seit neustem Verpflichtet (ich habe seperat Post dazubekommen), die benutzte IP und die damit verbundenen Daten nur noch für 24 Stunden speichern zu lassen. Alles andere scheint wohl gegen Datenschutzrichtlinien zu verstoßen (das denke ich nicht, wie soll sonst das BKA o.Ä. auf eine Fährte kommen).

Vieleicht liegt das Problem ganz wo anders. Wenn jemand einen Windowsrechner benutzt (ich schätze mindestens 87% hier) werden wohl einen Virenscanner haben (wer nicht ist selber schuld). Wenn es aber doch mal nicht geupdated wird, so wird dann der Rechner sehr angriffsfreundlich. Aber daran liegt es wohl nicht. Was ich denke ist, das es sich um einen schönen WORM handelt. Diese haben die Angelegenheit sich selbst zu verschicken. Meist mit Accounts anderer. Viele benutzen auch ein Programm, daß sich Phase 5 nennt. Es wurde eigentlich entwickelt um damit, Accountlos Mails zu verschicken. Findige Hacker/Cracker etc, nehmen sich dieses Programm und verschicken damit auf fiktiven accounts Mails mit o.a. Inhalt.

Diese fiktiven Accounts (auch IP´s) gibt es nun so ja nicht. Also bevollmächtigt sich das Programm eines einfachen Tricks:

- es sucht den nächsten Knotenpunkt (hier T-Online) von dem Rechner mit dem die Mail cerschickt wird; dabei sucht sich das Programm einfach eine IP aus, die auf den Knotenpunkt (Server) liegt.

- es erfindet eine IP, die bereits vor 2 oder 3 Minuten offline gegangen ist, und benutzt diese.

- wenn es einen Worm beinhaltet, wird dieser an eine bekannte E-Mail-Adresse verschickt und verteilt sich vo dort aus selber, an alle im Adressbuch befindliche Accounts

Tja, so dreist geht es manchmal zu. Aber jemanden deswegen in den engsten Kreisen zu suchen, hilft nicht oft, da die Leute selbst nicht wissen, daß sie sowas verschickt haben.

Woher ich sowas weiß? Nun vier Jahre Bundeswehr und das im Bereich des IT-Sicherheitsbeauftragten, hilft manchmal auch privat. Nichts destotrotz ist es nervend und anstrengend sowas zu löschen, da es meist nur mit einem Tool geht. Also mein Appell an alle:

- haltet eure Viren-Scanner und -Vernichter aktuell (meist jeden Tage gegen 1400 Uhr)
- speichert keine Adresse in euerem Outlook-, GMX.de-, Freenet.de- etc. Adressbuch (hier ist die Notiz auf einem Stück Papier wertvoller)
- oder benutzt erst garnicht Outlook oder Outlook Express mit den Accounts von GMX, Freenet, Web.de etc. (pop und imap sind nicht mehr sehr standhaft gegen sowas)
- und denkt bitte daran: Auch automatisierter SPAM kann Würmer verschicken.

Ich hoffe ich konnte mal einen anregenden Eintrag dazu steuern.

Gruß,
Thorsten

P.S: Wer Rächtschraipfäla findet kann sie gerne für sich behalten

Re: [B]Leicht OT: Wer ist die Bazillenschleuder?[/link] von treczoks am 16. Oktober 2004 09:37:02:


Meine Mails kommen hauptsächlich von "r.beneke", "nkoerper" und "loeloethek", wobei ich sicher bin, daß diese mir bekannten Leute nicht die Verursacher sind.
In meinem Namen muß auch schon etwas versendet worden sein.

Da alle Adressen aber aus dem 1000steine-Umfeld stammen, kann es sehr wohl sein, daß jemand aus unserer Gemeinschaft einen Schnupfen im Rechner hat.

Also: Wer nicht sicher ist, ob Er/Sie einen aktuellen Virenscanner hat, bitte mal nachschauen. Es wird nämlich langsam lästig.

Gruß
Frank

Re: [B]Leicht OT: Wer ist die Bazillenschleuder?[/link] von treczoks am 16. Oktober 2004 09:37:02:


Auch ich würde mich freuen, wenn ich von solchen Mails verschont bleibe (in Zukunft)!

Gruß
Andreas

Re: [B]Leicht OT: Wer ist die Bazillenschleuder?[/link] von Uni am 16. Oktober 2004 10:27:55:


> aus den IP´s die Du uns so zahlreich anpreist, erkenne ich, und das
> ist Tatsache, diese IP´s stammen von T-Online-User. Das Problem
> dabei ist, und da werden einige mir zustimmen, die IP´s sind nicht
> fest vergeben (Auf wunsch macht das T-Online, aber nr auf Wunsch
> und mit mehr Kosten verbunden).
Klar. Deswegen ja IP+Datum/Uhrzeit. Es soll ja Leute geben, die sowas wie ein Logbuch haben.

> Ich für mein Teil, benutze T-Online, kenne deine Mail-Adresse aber
> nicht. Damit fall ich schon mal aus dem Rennen
Na gut, lassen wir das mal durchgehen... ;D

> T-Online ist zum Beispiel seit neustem Verpflichtet (ich habe
> seperat Post dazubekommen), die benutzte IP und die damit
> verbundenen Daten nur noch für 24 Stunden speichern zu lassen.
Ah, sind sie jetzt auf 24 Stunden Vorhaltung. Gut zu wissen.

> Alles andere scheint wohl gegen Datenschutzrichtlinien zu verstoßen
> (das denke ich nicht, wie soll sonst das BKA o.Ä. auf eine Fährte
> kommen).
Tut es auch. Bei einer Flatrate gibt es keine Abrechnungsrelevanten Daten zu speichern, daher wären theoretisch auch schon die 24 Stunden nicht legal.

>[Tricks der Bazillen beim Versenden]
Lass das mal meine Sorge sein. Ich kann Mailheader ganz gut lesen, und habe hier die Daten des tatsächlich absendenden Rechners angegeben. Die Absendeadresse ist nicht die Elektronen wert, die sie bewegt.
Der Vollständigkeit halber lautet sie "H " - wertlos. Die IP-Adressen und das Datum kommen aus der Received-Zeile, und dem generierenden Mailhost vertraue ich, daher halte ih die Daten für genuin.

mfg, Christian

Re: [B]Leicht OT: Wer ist die Bazillenschleuder?[/link] von treczoks am 16. Oktober 2004 09:37:02:

Re: [B]Ich dachte, das Thema wäre vor einer Woche geklärt worden :-( (ohne Text)[/link] von Navigation am 17. Oktober 2004 14:50:58:

Re: [B]Leicht OT: Wer ist die Bazillenschleuder?[/link] von treczoks am 16. Oktober 2004 09:37:02:


> Seit einer Woche wird mein privates(!) Mailaccount mit Bazillen der
> Sorte Beagle.as beworfen.
Beagle.AS nach Kaperski-Nummerierung, Beagle.AR für die Leute von H+B EDV. Eagl wie das Teil jetzt heißt, von mir aus kann man mit den Schreibern solcher Bazillen etwas anstellen, was weder Jugend- noch Forumskompatibel ist .

So. Die Leute bei T-Online sind auch aufgewacht und wollen den Bazillenwerfer verständigt haben. Mal sehen. Zumindest kam heute nix neues.

mfg, Christian

PS: Leute, wenn ihr unbedingt Windoze benutzen müsst, haltet Eure Bazillenschläger wenigstens aktuell...

Re: [B]Update[/link] von treczoks am 18. Oktober 2004 19:39:41:


>PS: Leute, wenn ihr unbedingt Windoze benutzen müsst, haltet Eure Bazillenschläger wenigstens aktuell...

Immer diese mitschwingende Arroganz in den Sätzen von Windows-Gegnern.

1) "wenn ihr unbedingt Windoze benutzen müsst". Wieso "müssen"? Ich gehe mal davon aus, dass die meisten es "wollen". Warum auch auch nicht?

2) "Eure Bazillenschläger". Der einzige, der hier was schlägt bist im Moment Du, und zwar Schaum. Viren und Würmer werden "für" jene Systeme geschrieben, die am meisten verbreitet sind, schliesslich wollen die Programmierer dieser kleinen Gemeinheiten auch größtmöglichen Schaden anrichten = größtmöglichen Erfolg haben. Es wird immer superviel über alle möglichen Sicherheitslücken bei Microsoft-Produkten gezetert - ich verwette meinen A... darauf, würden andere Produkte ebenso erfolgreich und zahlreich eingesetzt, würden alle möglichen Viren auch über diese Systeme angesetzt. Im Moment lohnt es sich doch gar nicht, Schädlinge für andere Systeme zu entwickeln, es gibt ja kaum jemanden, den man damit schaden könnte

Gruß, René