Virenmailheaderinterpretation -> Abuse

[Jan 'Red Bully' Seiffert]

HiHo!

Ralf wrote:
> Hi Jan,
> 
> danke für deine Anmerkungen, also aus Norwegen kommen diese Viren?
Nunja, der Mailserver, der sie bei GMX einschmeisst, steht da, und der
Rechner, der sie wiederum bei ihm eingeworfen hat, kommt aus einem
Norwegischen Dial-Up.

> Die 
> Mails sind fast immer 142 kB groß, enthalten eine EXE-Datei im Anhang 
> und sind entweder als "Mail Failure Report" oder als "MS Update" 
> getarnt.
Riecht nach Swen, aber sendet der wirklich ueber den in einem System
eingetragenen SMTP-Server? Bin bei Viren nicht mehr so auf dem laufenden...
"To many Sorts-Exception"....
Juckt mich auch nicht mehr so mit Linux, da ist man auf SSH- und
Kernel-Bugs fixiert...
Wichtig ist nur zu wissen das es bei Viren nix gibt, was es nicht gibt.
(Will sagen, alles was du da siehst kann gefaket sein, ausser der
letzten (ersten) recieved-Zeile, wenn nicht der letzte Mailserver in der
Kette, also der fuer dich zustaendige, Kaese baut).

> Hier habe ich noch einen Header mitgebracht, der auf das selbe 
> Netz als Urheber hinweist:
> 
> Return-Path: <bjorn.bunger at swipnet.se>
>  X-Flags: 0000
>  Delivered-To: GMX delivery to ... at gmx.de
>  Received: (qmail 30521 invoked by uid 65534); 17 May 2004 22:12:16 
> -0000
>  Received: from mailfe06.swip.net (EHLO mailfe06.swip.net) 
> (212.247.154.161)
Hier wieder unser Swipnet-Server

>   by mx0.gmx.net (mx050) with SMTP; 18 May 2004 00:12:16 +0200
>  Received: from [213.101.22.67] (HELO qliublrk)
Hier heist es zwar nichts von DailUp, aber auch bei Swipnet/Tele2

>   by mailfe06.swip.net (CommuniGate Pro SMTP 4.2b4a)
>   with SMTP id 39758256; Tue, 18 May 2004 00:11:19 +0200
>  FROM: "Delivery Service" <postroutine at bigfoot.com>
>  TO: "Email Receiver" <recipient at emailserver.com>
>  SUBJECT: Abort Report
>  Mime-Version: 1.0
>  Content-Type: multipart/alternative;
>   boundary="eblmqsl"
>  Date: Tue, 18 May 2004 00:11:19 +0200
>  Message-ID: <auto-000039758256 at mailfe06.swip.net>
>  X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
>  X-GMX-Antispam: 0 (Mail was not recognized as spam)
>  Status: RO
>  X-Status: U
>  X-KMail-EncryptionState: 
>  X-KMail-SignatureState: 
>  X-KMail-MDN-Sent: 
>  
> (HTML-Tags removed by RG)
> 
> iframe src="cid:camqziuqohzzxw" height=0 width=0
Wo kommt den das her?? Was soll das Darstellen?

> Hi.
> This is the qmail program
> I&apsm sorry the message returned below could not be delivered to one or 
> more destinations.
*ARGHL*
Das ist ein Bounce, gibt sich zumindest als einer aus..
Und dann mit diesem HTML-Muell vorne Weg? Sind die Norweger so Merbefreit?

Aerger...

Das kann jetzt ein Fake sein (neue Masche, Social Engeneering:"Ohhh,
meine Mail ist nicht angekommen, mal anklicken..."), oder es ist Echt.
Dann hat der Virus die Absenderadresse gefaelscht (und deine genommen),
so das du die Meldungen erhaelst, wenn er mal wieder beim
Mailadressen-raten daneben gelegen hat.
Wenn es kein Fake ist, kann man nur hoffen, das die Mailadmins in
Norwegen so intelligent waren, die Header der Orginalmessage
reinzupacken, und nicht nur den (relativ unwichtigen) Inhalt.

> Undelivered to kcsrur at bigfoot.com
Da sollte angeblich die Mail im Orginal hin...

> Message follows:
Tja und hier ist nun der ganze Schwachsinn, "gebouncet" (das wissen wir
ja noch nicht) mit "allem" drum und dran.

Waren da auch die Header dabei?
Oder enthaelt die Mail _sehr_ auffaellige Zeilen a la:

-* THIS MAIL WAS VIRUSSCANNED *-
-* FOUND TO BE CLEAN          *-

Wenns halt zu auffaellig ist, sind die auch gefaket (sober?).

Naja...
Jetzt weiss ich auch warum ich im leben nicht einen Mailserver aufsetzen
moechte.

Gruss
	Jan

-- 
en.gin.eer en-ji-nir n 1: a mechanism for converting caffeine into designs.