Virenmails kennen meine Adressen

Hallo
Ich bekomme in letzter Zeit ziemlich häufig emails mit angehängten exe Dateien, die alle einen virus enthalten.
Was mich dabei aber wundert ist, dass diese Mails eine mir bekannte Absenderadresse enthalten. (Aus meinem Adressbuch).
Im Header sehe ich aber dass die mails in Wirklichkeit von xy@mail.ru kommen. Wie ist denn der Absender an diese Adresse gekommen? Trojaner oder ähnliches kann ich denke ich ausschließen. (Unter anderem wegen Zugang über Router).
Die mir bekannten Absender haben auch nie (auch unwissentlich) solche Mails an mich geschickt.
Woher kennt also ein Absender (mail.ru) meine Kontakte?

 

Grundsätzlich gilt: ALLES an einer Mail kann gefälscht werden, allerdings ist dies bei Klez im Header wohl nicht der Fall. Dass du mit der dort gezeigten Adresse nichts anfangen kannst, ist doch völlig normal! Überlege doch bloß mal, welche Unmengen von Leuten bewusst oder unbewusst im Besitz deiner Mailadresse sind, weil du diese auf irgend einer Webseite, in Foren, Gästebüchern oder in Mails angegeben hast! Hinzu kommen Typen, die ebensolche öffentlichen Foren zum Sammeln von Adressen nutzen um diese mit Spam zu versorgen oder weiter zu verkaufen. So gelangt deine Adresse bis in die entlegensten Winkel der Erde. Nicht zu vergessen die Möglichkeit, dass deine Adresse auch eine Zufallskombination anderer Adressen durch Klez sein kann.
Stöhn...

 

Dass die Absenderadresse gefälscht wird hab ich ja auch verstanden. Die Frage ist ob man die Return Path Adresse die man nur im Quelltext sieht auch fälschen kann. Mit der Adresse die nämlich da steht kann ich nichts anfangen weil ich sie nicht kenne.

Mit VBS hab ich auch weniger Probleme. Hier kommen pif und exe Dateien an.

 

Wie ja nun bereits mehrfach erklärt wurde FÄLSCHT Klez die Absenderadresse mit Hilfe der im Adressbuch und im BROWSERCACHE gefundenen Mailadressen eines beliebigen infizierten Opfers. FAST NIE stimmt diese mit dem tatsächlichen Absender überein. Jetzt endlich geschnallt?
Nebenbei: Um mich vor VBS zu schützen, brauch ich kein extra Programm. Ich muss lediglich bei den Dateitypen festlegen, dass VBS-Dateien zukünftig standardmäßig mit einem Texteditor meiner Wahl gestartet werden(Rechtsklick+Shift, Öffnen mit...und Programm aussuchen, fertig) bzw. ich deinstalliere einfach den Windows Scripting Host.

 

Ich habe jetzt das Programm mal getestet:
eemp.exe das ist das was du meintest oder?
Also das is eigentlich nicht sehr wirkungsvoll. Wenn man auf Schutz aktivieren klickt ändert es nur etwas in der Registry und zwar werden *.vbs Dateien jetzt mit Notepad statt mit WScript.exe geöffnet. Wenn man den Schutz deaktiviert wird das wieder rückgängig gemacht.
Außderm fragt es noch ein paar Sachen in der Registry ab, wo ich aber nichts mit anfangen kann. ZB:

(Process)Eemp (Request)QueryValueEx (Path)HKCU\Control Panel\Microsoft Input Devices\Mouse\Exceptions\1000\Filename (Result)SUCCESS (Other)"OEM.zzz"
Das hab ich mit dem Programm Registry Monitor entdeckt.
Das eigentlich was es macht wird aber wahrscheinlich die vbs änderung sein.
[Diese Nachricht wurde von Keks am 10.07.2002 | 18:08 geändert.]

 

Danke für den Link so ein Programm hab ich schon seit längerem gesucht. Ich werds mal testen.
Die Emails kommen aber (dem Return path zufolge) von mail.ru. Und ich kenne keine Leute die da eine emailadresse haben. Oder ist dieser Absender auch gefälscht?
Hier ist mal so ein Mailheader:

From chebis@mail.ru Tue Jul 09 07:24:26 2002
Return-Path: <chebis@mail.ru>
X-Flags: 1001
Delivered-To: GMX delivery to MeineAdresse@gmx.de
Received: (qmail 17217 invoked by uid 0); 9 Jul 2002 07:24:25 -0000
Received: from mx1.mail.ru (194.67.57.11)
by mx0.gmx.net (mx032-rz3) with SMTP; 9 Jul 2002 07:24:25 -0000
Received: from [172.178.201.64] (helo=Jlrrw)
by mx1.mail.ru with smtp (Exim SMTP.1)
id 17RpLr-000EKh-00
for MeineAdresse@gmx.de; Tue, 09 Jul 2002 11:24:00 +0400
From: freund <bekannter@xy.de>
To: MeineAdresse@gmx.de
Subject: Fwerster Teil meiner Adresse),sos!
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=XZ76of2Km67Znx5050u8018q1T40845
Message-Id: <E17RpLr-000EKh-00@mx1.mail.ru>
Date: Tue, 09 Jul 2002 11:24:00 +0400

die namen vor @mail.ru sind immer andere.
Der Virus oder Wurm war bei der mail e Klez
bei den Mails steht immer der selbe Absender (den ich kenn) nur der Return path ändert sich.

 

Ja ich benutze Outlook Express.
Aber wie kommt denn eine Mailadresse aus Russland an einen virus von mir der meine Adressen geklaut hat.
Oder kann es sein, dass als der Virus bei mir war er sich die Adressen gemerkt hat und dann mit meinen Adressen im Gepäck den nächsten Infiziert hat usw? Dann müsste der Virus doch aber immer größer werden.
Also momentan ist der PC nicht verseucht, er wars aber einmal. Wenn er noch infiziert wäre könnte das ja sein, dass er mails an mich selber schickt. Ich denke aber er ist jetzt sauber.

 

Und um etwas mehr Klarheit in die letzte Aussage zu bringen:
Klez und Co. benutzen das Adressbuch aber auch sehr oft den Browsercache, um Mailadresse zu extrahieren. Klez z.B. bastelt aus den so gewonnenen Adressen sogar neue, indem er den Teil vor dem @ und den hinteren Teil munter zusammenwürfelt.
Es reicht also z.B. aus, das jemand mit Klez eine Webseite besucht, auf der DEINE Mailadresse steht, damit SEIN Klez Mails in DEINEM Namen verschickt, womöglich sogar an DICH.

 

Es sieht für mich aber stark danach aus, als hätte ein
eMail-Virus zugeschlagen. Du verwendest nicht zufälligerweise
Outlook Express von Microsoft ?

Das würde einiges erklären. Von den Plagegeistern gibts einige
dieser Kategorie, die nur darauf aus sind sich schnellstmöglich
zu verbreiten. Und die einfachste Möglichkeit an (höchstwahrscheinlich gültige) eMail-Adressen zu kommen ist
halt das Adressbuch des eMail-Clients vom User.
Ich erinnere mich mit keinem guten Gefühl an den Love-Letter und Kletz (momentan ist der letzte sehr am wüten). Dem erstgenannten nutzte gerade dieses Adressbuch von Outlook.
Er machte die gesamte Aktion authentischer. (und damit wirksamer)

Gruß
Robert
[Diese Nachricht wurde von tpf am 10.07.2002 | 03:13 geändert.]

 

Jepp, das ist genau das Programm bei dem Ich nicht wußte wie es arbeitet.
Das Teil das ich benutze (eSecurityFree) darf ja nichtmehr verteilt werden (keine Ahnung warum).
Hier hatte ich ne Erklärung zu dem Tool gepostet: http://forum.pcwelt.de/fastCGI/pcwforum/topic_show.fpl?tid=62087

Gruß .. dieschi

 

Es reicht schon wenn einer deiner Kumpels (der natürlich auch deine Mailsaddy hat) den Virus auf seinem PC hat!
Das Teil verschickt sich dann komplett selbsständig an dich ohne das es dein Kumpel weiß ...

Es gibt Tools um Mails vor dem Serverabruf nach solchen bösen Viren zu scannen.
Eins der Tools wurde kurz nach erscheinen vom Programmierer wieder gelöscht (warum weiß ich nicht es ist absolut zuverlässig, nutze es schon seit 2 Monaten) und beim anderen weiß ich nciht wie es funktioniert .. du kannst dich aber selbst mal schlau machen:
http://www.sven-hanl.de/apboard/thread.php?id=436&start=1#2

Gruß .. dieschi