Darf Ghosty seinen Computer behalten?

[illuminatus]

A virus was found in an email from:

 

ghostrider@kabsi.at

 

The message was addressed to:

 

-> me

 

The message has been quarantined as:

 

/var/lib/amavis/virusmails/virus-20030804-135142-915

 

Here is the output of the scanner:

 

checking drive/path (list): /usr/../var/lib/amavis/amavis-XXLhS7BG/parts

/usr/../var/lib/amavis/amavis-XXLhS7BG/parts/msg-915-2.exe

Date: 4.08.2003 Time: 13:51:41 Size: 92160

ALERT: [Worm/Klez.E virus] /usr/../var/lib/amavis/amavis-XXLhS7BG/parts/msg-915-2.exe

 

Here are the headers:

 

------------------------- BEGIN HEADERS -----------------------------

Received: from localhost (martha [127.0.0.1])

by martha.ath.cx (Postfix) with ESMTP id 59C5511669

for ; Mon, 4 Aug 2003 13:51:40 +0200 (CEST)

X-Flags: 0000

Delivered-To: GMX delivery to me

Received: from pop.gmx.net [213.165.64.20]

by localhost with POP3 (fetchmail-5.9.11)

for me (single-drop); Mon, 04 Aug 2003 13:51:40 +0200 (CEST)

Received: (qmail 23955 invoked by uid 65534); 4 Aug 2003 11:51:11 -0000

Received: from top.kabsi.at (EHLO hal.kabsi.at) (195.202.128.73)

by mx0.gmx.net (mx008-rz3) with SMTP; 04 Aug 2003 13:51:11 +0200

Received: from Ujjaohtqp (h081217073083.dyn.cm.kabsi.at [81.217.73.83])

by hal.kabsi.at (8.11.1/) with SMTP id h74Bi4W0001111448

for ; Mon, 4 Aug 2003 13:44:04 +0200 (CEST)

Date: Mon, 4 Aug 2003 13:44:04 +0200 (CEST)

Message-Id:

From: hmeier

To: me

Subject: Japanese girl VS playboy

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary=YYc4HRu1497nk53aD1hig716wl52739wATS6C

X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)

X-GMX-Antispam: 0 (Mail was not recognized as spam)

-------------------------- END HEADERS ------------------------------

[deathhero]

hehe geil i glaub da ghosty weis noch nix von seinem glück

 

 

 

lg michi

[illuminatus]

Mittlerweile sinds schon 4 Stück ...

[illuminatus]

und vor allem:

 

Subject: Japanese girl VS playboy

[illuminatus]

... 7

 

 

Ghosty, bitte lösch mich aus deinem Adressbuch ...

[deathhero]

i find den virus genial!!!!!

 

 

i steh irgendwie auf viren

 

 

 

 

lg michi

[yellow]

Also ich bin für Notschlachtung

 

jemand in seiner Nähe?

[HAL9000]

also, ich glaube, dassder ghosty unschuldig ist...

 

der klez fälscht absender-adressen. und offensichtlich ist ende

voriger woche die 2rc-hp auf mail-adressen gescannt worden,

denn auch ich habe (angeblich) von einem anderen 2rc-mitglied

den klez geschickt bekommen...

 

(siehe dazu diesen thread)

 

CU,

HAL9000

[illuminatus]

81.217.73.83 momentan.

 

Leider hab ich grad keine Zeit seine Kiste runterzufahren.

[deathhero]

ma losst doch den netten virus in ruhe. der is grad so in fahrt

 

 

lg michi

[illuminatus]

Original geschrieben von HAL9000

also, ich glaube, dassder ghosty unschuldig ist...

 

der klez fälscht absender-adressen. und offensichtlich ist ende

voriger woche die 2rc-hp auf mail-adressen gescannt worden,

denn auch ich habe (angeblich) von einem anderen 2rc-mitglied

den klez geschickt bekommen...

 

(siehe dazu diesen thread)

 

CU,

HAL9000

 

Aha.

Und warum kommt die Mail dann von einer Kabsi Adresse?

Der Mail-Header erscheint mir auch schlüssig.

[SirDogder]

Von mir aus darf er seinen Compi behalten. Nur die Japaneeese Girls muss er hergeben..

 

[HAL9000]

Original geschrieben von illuminatus

... Und warum kommt die Mail dann von einer Kabsi Adresse? ...

weil das die adresse ist, die der ghostrider bei seinem record

angegeben hat. siehe hier

 

apropost mail-header:

"From: hmeier ": ist übrigens auch ein 2rc-mitglied...

 

CU,

HAL9000

[illuminatus]

naaaaa ... i maaan _de_ adress:

 

81.217.73.83

 

 

(Für wie blöd hältst du mich?)

[HAL9000]

Original geschrieben von illuminatus

... 81.217.73.83 ...

stimmt, das ist definitiv kabsi...

 

die frage ist nur die... - falls es wirklich vom ghosty käme: läuft

sein rechner zuhause rund um die uhr? hat er keine fire-wall/virenscanner

installiert (kann ich mir nicht vorstellen, er ist vom fach)? bzw. hat

er einen einen so alten browser installiert, dass er überhaupt

für den wurm anfällig ist...

 

fragen über fragen... - die wird er erst beantworten können, wenn

er online ist... - oder vielleicht hat er sich eh schon abgesetzt aus

angst vor der rache des bikeboards...

 

CU,

HAL9000

[HAL9000]

das habe ich vorhin überlesen...

Original geschrieben von illuminatus

(Für wie blöd hältst du mich?)

nana... - net gleich ausrasten... - ich weiß, dass du vom fach bist.

diesbezüglich sicher noch viel mehr als ich, und ich wollte dich

sicher nicht belehren, wie man einen mail-header zu lesen hat.

 

aber es ist schon auffällig, dass diese klez-welle ausschließlich mit 2rc-adressen über uns schwappt...

 

hattest du im mail-header auch einen "return-path"?

 

CU,

HAL9000

[illuminatus]

Port State Service

69/tcp filtered tftp

111/tcp filtered sunrpc

135/tcp open loc-srv

137/tcp filtered netbios-ns

138/tcp filtered netbios-dgm

139/tcp filtered netbios-ssn

161/tcp filtered snmp

162/tcp filtered snmptrap

201/tcp filtered at-rtmp

202/tcp filtered at-nbp

203/tcp filtered at-3

204/tcp filtered at-echo

205/tcp filtered at-5

206/tcp filtered at-zis

207/tcp filtered at-7

208/tcp filtered at-8

445/tcp filtered microsoft-ds

1025/tcp open NFS-or-IIS

5000/tcp filtered UPnP

Remote operating system guess: Windows Millennium Edition (Me), Win 2000, or WinXP

 

 

Mit dem Browser hat des nix zu tun:

 

Klez.E

 

The worm exploits a vulnerability in Microsoft Outlook and Outlook Express in an attempt to execute itself when you open or even preview the message in which it is contained. Information and a patch for the vulnerability are available at http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

 

The worm overwrites files and creates hidden copies of the originals. In addition, the worm drops the virus W32.Elkern.3587, which is similar to W32.ElKern.3326.

 

The worm attempts to disable some common antivirus products and has a payload which fills files with all zeroes.

[SirDogder]

Buaschn. Irgendwo bin i ausgstiegn. Gibts jetzt japanesierte Mädels oda ned???

 

 

[Nightrider]

Na zum Glück bin i net vom Fach, weil anscheinend derwischt der Virus nur solche...

 

Is wohl die Rache weils immer so a unverständliches Kauderwelsch daherbrabbeln.

[HAL9000]

Original geschrieben von illuminatus

... Mit dem Browser hat des nix zu tun ...

mit ie >= 5.5 sp2 ist dieses sicherheitsloch aber gestopft, das

habe ich gemeint mit "altem browser"...

 

ok, streit ma nimma... - warten wir ab, was der ghosty dazu zu

sagen hat...

 

CU,

HAL9000

[Bernd67]

Ich denke nicht, daß es seinen Compi erwischt hat.

 

Die IP-Adresse ist anscheinend auch nicht fix sondern "dynamisch".

 

Vielleicht ist es doch einer vom BB, der

- an ghosty gemailt hat

- die 2RC-Homepage (Mitgliederliste) aufgerufen hat

 

Grast der Wurm nicht alle lokalen Dateien nach div. "Verwertbarem" ab (Mailadressen)?

 

Die Ports macht er nur auf, daß jemand anderer rum.... kann (wenns wahr ist).

 

Zusatz: ich hab einen AON-Account .....

[jogul]

Original geschrieben von Nightrider

Is wohl die Rache weils immer so a unverständliches Kauderwelsch daherbrabbeln.

 

 

bahnhof

[ghost rider]

hehe.... der Geist überwacht alle eure Computer... :devil:

 

na ich bin es nicht..

 

Firewall

2fach Virenschutz

mach keine verdächtige Mails auf

 

ghostrider ist nur eine alias-adresse die auf meinem Rechner nicht exístiert. Liegt nur bei wenigen Stellen auf ua 2RC bzw bikeboard.

 

Der Wurm hat letzte Woche begonnen für mich Mails zu schreiben, zuerst Hinweise aus deutsch-und englischsprachigen Raum. Mittlerweile bekomme ich Virenwarnungen in spanisch, italienisch und japanisch (ohne Mädels)

 

also Obacht die nächsten Tage wenn ghostrider schreibt

[Isa]

Muß ich ab jetzt die mails von dir löschen?

[ghost rider]

Original geschrieben von Isa

Muß ich ab jetzt die mails von dir löschen?

 

nö sind ja von mir und nicht vom Geist