Zum Inhalt springen

Darf Ghosty seinen Computer behalten?


 Teilen

Darf Ghosty seinen Computer behalten?  

16 Benutzer abgestimmt

  1. 1. Darf Ghosty seinen Computer behalten?

    • Nein
      4
    • Ja
      8
    • Wieso?
      0
    • Kann jedem mal passieren, sowas.
      4


Empfohlene Beiträge

A virus was found in an email from:

 

ghostrider@kabsi.at

 

The message was addressed to:

 

-> me

 

The message has been quarantined as:

 

/var/lib/amavis/virusmails/virus-20030804-135142-915

 

Here is the output of the scanner:

 

checking drive/path (list): /usr/../var/lib/amavis/amavis-XXLhS7BG/parts

/usr/../var/lib/amavis/amavis-XXLhS7BG/parts/msg-915-2.exe

Date: 4.08.2003 Time: 13:51:41 Size: 92160

ALERT: [Worm/Klez.E virus] /usr/../var/lib/amavis/amavis-XXLhS7BG/parts/msg-915-2.exe

 

Here are the headers:

 

------------------------- BEGIN HEADERS -----------------------------

Received: from localhost (martha [127.0.0.1])

by martha.ath.cx (Postfix) with ESMTP id 59C5511669

for ; Mon, 4 Aug 2003 13:51:40 +0200 (CEST)

X-Flags: 0000

Delivered-To: GMX delivery to me

Received: from pop.gmx.net [213.165.64.20]

by localhost with POP3 (fetchmail-5.9.11)

for me (single-drop); Mon, 04 Aug 2003 13:51:40 +0200 (CEST)

Received: (qmail 23955 invoked by uid 65534); 4 Aug 2003 11:51:11 -0000

Received: from top.kabsi.at (EHLO hal.kabsi.at) (195.202.128.73)

by mx0.gmx.net (mx008-rz3) with SMTP; 04 Aug 2003 13:51:11 +0200

Received: from Ujjaohtqp (h081217073083.dyn.cm.kabsi.at [81.217.73.83])

by hal.kabsi.at (8.11.1/) with SMTP id h74Bi4W0001111448

for ; Mon, 4 Aug 2003 13:44:04 +0200 (CEST)

Date: Mon, 4 Aug 2003 13:44:04 +0200 (CEST)

Message-Id:

From: hmeier

To: me

Subject: Japanese girl VS playboy

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary=YYc4HRu1497nk53aD1hig716wl52739wATS6C

X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)

X-GMX-Antispam: 0 (Mail was not recognized as spam)

-------------------------- END HEADERS ------------------------------

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von HAL9000

also, ich glaube, dassder ghosty unschuldig ist...

 

der klez fälscht absender-adressen. und offensichtlich ist ende

voriger woche die 2rc-hp auf mail-adressen gescannt worden,

denn auch ich habe (angeblich) von einem anderen 2rc-mitglied

den klez geschickt bekommen...

 

(siehe dazu diesen thread)

 

CU,

HAL9000

 

Aha.

Und warum kommt die Mail dann von einer Kabsi Adresse?

Der Mail-Header erscheint mir auch schlüssig.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von illuminatus

... 81.217.73.83 ...

stimmt, das ist definitiv kabsi...

 

die frage ist nur die... - falls es wirklich vom ghosty käme: läuft

sein rechner zuhause rund um die uhr? hat er keine fire-wall/virenscanner

installiert (kann ich mir nicht vorstellen, er ist vom fach)? bzw. hat

er einen einen so alten browser installiert, dass er überhaupt

für den wurm anfällig ist...

 

fragen über fragen... - die wird er erst beantworten können, wenn

er online ist... - oder vielleicht hat er sich eh schon abgesetzt aus

angst vor der rache des bikeboards... ;):p

 

CU,

HAL9000

Link zu diesem Kommentar
Auf anderen Seiten teilen

das habe ich vorhin überlesen...

Original geschrieben von illuminatus

(Für wie blöd hältst du mich?)

nana... - net gleich ausrasten... - ich weiß, dass du vom fach bist.

diesbezüglich sicher noch viel mehr als ich, und ich wollte dich

sicher nicht belehren, wie man einen mail-header zu lesen hat.

 

aber es ist schon auffällig, dass diese klez-welle ausschließlich mit 2rc-adressen über uns schwappt...

 

hattest du im mail-header auch einen "return-path"?

 

CU,

HAL9000

Link zu diesem Kommentar
Auf anderen Seiten teilen

Port State Service

69/tcp filtered tftp

111/tcp filtered sunrpc

135/tcp open loc-srv

137/tcp filtered netbios-ns

138/tcp filtered netbios-dgm

139/tcp filtered netbios-ssn

161/tcp filtered snmp

162/tcp filtered snmptrap

201/tcp filtered at-rtmp

202/tcp filtered at-nbp

203/tcp filtered at-3

204/tcp filtered at-echo

205/tcp filtered at-5

206/tcp filtered at-zis

207/tcp filtered at-7

208/tcp filtered at-8

445/tcp filtered microsoft-ds

1025/tcp open NFS-or-IIS

5000/tcp filtered UPnP

Remote operating system guess: Windows Millennium Edition (Me), Win 2000, or WinXP

 

 

Mit dem Browser hat des nix zu tun:

 

Klez.E

 

The worm exploits a vulnerability in Microsoft Outlook and Outlook Express in an attempt to execute itself when you open or even preview the message in which it is contained. Information and a patch for the vulnerability are available at http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

 

The worm overwrites files and creates hidden copies of the originals. In addition, the worm drops the virus W32.Elkern.3587, which is similar to W32.ElKern.3326.

 

The worm attempts to disable some common antivirus products and has a payload which fills files with all zeroes.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich denke nicht, daß es seinen Compi erwischt hat.

 

Die IP-Adresse ist anscheinend auch nicht fix sondern "dynamisch".

 

Vielleicht ist es doch einer vom BB, der

- an ghosty gemailt hat

- die 2RC-Homepage (Mitgliederliste) aufgerufen hat

 

Grast der Wurm nicht alle lokalen Dateien nach div. "Verwertbarem" ab (Mailadressen)?

 

Die Ports macht er nur auf, daß jemand anderer rum.... kann (wenns wahr ist).

 

Zusatz: ich hab einen AON-Account .....

Link zu diesem Kommentar
Auf anderen Seiten teilen

hehe.... der Geist überwacht alle eure Computer... :devil:

 

na ich bin es nicht..

 

Firewall

2fach Virenschutz

mach keine verdächtige Mails auf

 

ghostrider ist nur eine alias-adresse die auf meinem Rechner nicht exístiert. Liegt nur bei wenigen Stellen auf ua 2RC bzw bikeboard.

 

Der Wurm hat letzte Woche begonnen für mich Mails zu schreiben, zuerst Hinweise aus deutsch-und englischsprachigen Raum. Mittlerweile bekomme ich Virenwarnungen in spanisch, italienisch und japanisch (ohne Mädels)

 

also Obacht die nächsten Tage wenn ghostrider schreibt ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

 Teilen

×
×
  • Neu erstellen...