Seite 1 von 1
Forum verschickt Viren-E-Mails
Verfasst: 29.08.2003 20:33
von Aprilia-RS-125
mein forum (glaub 2.0.2) hat letztens einigen benutzern ihrendwelche komischen viren-e-mail geschickt
siehe thread
http://forum.aprilia-rs-125.de/viewtopic.php?p=66677
kommen die e-mails überhaupt vom forum und was kann man degegen machen?
Verfasst: 29.08.2003 20:38
von Henne
Also ich kann mir schlecht vorstellen, dass das Board Viren E-Mails verschickt.
Wie soll das denn gehen?
Verfasst: 29.08.2003 20:39
von Aprilia-RS-125
frag ich mich ja auch gerade...
Verfasst: 29.08.2003 22:20
von Walter aus Wien
Wird der "I-Worm.Sobig.F" durch Doppelklick aktiviert, so schreibt er sich in das Windows-Verzeichnis mit dem Namen "WINPPR32.EXE" und legt eine Konfigurationsdatei mit dem Namen "WINSTT32.DAT" im gleichen Verzeichnis ab. Um beim nächsten Systemstart aktiv zu werden, legt er Einträge in der Registry ab.
Wie der "I-Worm.Sobig.A" durchsucht auch diese neue Variante den infizierten PC nach eMail-Adressen in den Dateien .DBX, .HLP, .MHT, .WAB, .HTML und versendet sich an diese mit seiner integrierten SMTP-Engine.
Die Absenderadresse wird ebenfalls aus den gefundenen eMail-Adressen entnommen - was eine Verfolgung des tatsächlichen Absenders erschwert.
also kann das Mail ja nur von einem Computer aus starten.
Verfasst: 29.08.2003 23:09
von PhilippK
Ich würde mir den Thread ja gerne mal anschauen - nur extra registrieren werde ich mich deshalb nicht...
Bitte richte doch deshalb einen Testzugang ein (die Zugangsdaten entweder hier posten oder per PN)
Um genauer sagen zu können, was passiert sein könnte, müsste man schon die genaue Schilderung lesen können. Dass das Board selbst der Verursacher war, ist nahezu ausgeschlossen.
Linke Hand zum Gruß,
Philipp
Verfasst: 30.08.2003 00:52
von Aprilia-RS-125
Benutzerneme: Test
Passwort: 1234
Verfasst: 30.08.2003 08:45
von PhilippK
Wie gesagt: das Forum ist da recht sicher nicht dran schuld.
Die entsprechenden E-Mail-Adressen stehen bei euch direkt (und ungeschützt) im Forum drin. Ein Virus braucht nur irgendwie auf die Seite zu gelangen (meist reicht der Cache des Internet-Browsers des infizierten Rechners) und kann dann die entsprechenden Mails rausschicken.
Was du machen kannst:
- Aktiviere die Option, dass E-Mails über das Board verschickt werden. Dann steht keine Adresse mehr im Board drin - und der Mechanismus des Virus ist machtlos
- Analysiert die Header der E-Mail (das was chri.spe schon gemacht hat). In dem Fall scheint die Mail aus dem ewetel.de-Netz zu kommen (Erste Received-Fron Zeile). An den Provider schickst du 'ne Mail (abuse@...), in der du eine kurze Problembeschreibung und die kompletten Header der Mail einfügst. Wichtig: die From und auch die bei Return-Path angegebene Adresse sagt i.d.R. nichts über den wahren Absender aus.
Gruß, Philipp