Eigenartige Emails erhalten

SiemensFreak³ · 28. Juni 2003

Hi Freax,
zuerst habe ich eine Mail bekommen mit dem Text

Zitat

Please see the attached zip file for details.

und einem Anhang "your_details.zip".

Hier der Mail Header:

Zitat

Return-Path: <sales@panda.co.jp>
Received: from ALBUS (albus.imtek.uni-freiburg.de [132.230.182.141])
by uranus.kasserver.com (8.11.6/8.11.6) with ESMTP id h5S7Vcg25704
for <...@m2k1.net>; Sat, 28 Jun 2003 09:31:38 +0200
Message-Id: <200306280731.h5S7Vcg25704@uranus.kasserver.com>
From: <sales@panda.co.jp>
To: ...@m2k1.net
Subject: Re: Movie
Date: Sat, 28 Jun 2003 9:31:35 +0200
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_000A4A19"
X-UIDL: nV,"!pm="!bX*!!8]J!!

--CSmtpMsgPart123X456_000_000A4A19
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Please see the attached zip file for details.
--CSmtpMsgPart123X456_000_000A4A19
Content-Type: application/x-zip-compressed;
name="your_details.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="your_details.zip

Alles anzeigen

Direkt darauffolgend erhielt ich eine Email mit folgendem Inhalt:

Zitat

WebShield SMTP on server imapav1 intercepted and deleted your mail with subject "Re:
Movie" because it detected virus "W32/Sobig.e@MM" in attachment "your_details.zip".

Header:

Zitat

Return-Path: <MAILER-DAEMON@uranus.kasserver.com>
Received: from siclopc2.epfl.ch (siclopc2.epfl.ch [128.178.50.221])
by uranus.kasserver.com (8.11.6/8.11.6) with ESMTP id h5S7TRg25387
for <...@m2k1.net>; Sat, 28 Jun 2003 09:29:27 +0200
Received: from imapav1.epfl.ch (imapav1.epfl.ch [128.178.50.106])
by siclopc2.epfl.ch (8.12.9/8.12.9) with SMTP id h5S7RiVj007355
for <...@m2k1.net>; Sat, 28 Jun 2003 09:27:44 +0200 (MEST)
Message-Id: <200306280727.h5S7RiVj007355@siclopc2.epfl.ch>
X-Mailer: Network Associates, Inc. Webshield SMTP, Version 4.5 MR1a
Date: Sat Jun 28 09:29:21 2003
To: ...@m2k1.net
Subject: Virus Detected by Network Associates, Inc. Webshield SMTP V4.5 MR1a
X-UIDL: ]Q;!!Qm;"!>R_!!);&#!

Alles anzeigen

Woher kommmt die zweite Mail?
Warum ist der Return-Path MAILER-DAEMON@... ?
Hat mein Provider einen Virenscanner auf dem Mailserver laufen o.ä.?

Mein Virenscanner "Sophos Anti-Virus" mit dem neuesten Update (vor dem Ausführen geupdated) hat den Virus übrigens nicht gefunden - werde aber nachher nochmal genauer scannen wenn ich mehr Zeit hab.

-SF³

root · 28. Juni 2003

Re: Eigenartige Emails erhalten

Zitat

Original geschrieben von SiemensFreak³
Hat mein Provider einen Virenscanner auf dem Mailserver laufen o.ä.?
[...]

Sieht so aus, und zwar sollte das ein Scanner von McAfee sein.
Kannst dir ja selbst mal eine Mail schicken. Eine passende Virensignatur zum testen gibt es z.B. auf http://www.eicar.org/anti_virus_test_file.htm

~~~ root ~~~

SiemensFreak³ · 28. Juni 2003

Komisch ist nur wie gesagt, dass weder der neueste Sophos noch der neueste F-Prot die Datei erkennen.
Wenn ich die Datei entpacke ist ein MS-DOS Link in dem Ordner. Beim Aufruf der Eigenschaften nippelt der Explorer ab :confused:

-SF³

root · 28. Juni 2003

Schick mal zu. Mal schaun ob mein Mailscanner das Teil identifiziert. Adresse kennst du ja

Edit:

Code

A virus was found in an email from:


**m2k1**


The message was addressed to: 


-> ***


The message has been quarantined as:


/var/virusmails/virus-20030628-132249-1582


Here is the output of the scanner:


/var/amavis/amavis-01152922/parts/msg-1582-1.txt: OK
/var/amavis/amavis-01152922/parts/part-00001: Worm.Sobig.E FOUND


----------- SCAN SUMMARY -----------
Known viruses: 8728
Scanned directories: 1
Scanned files: 2
Infected files: 1
Data scanned: 0.08 Mb
I/O buffer size: 131072 bytes
Time: 0.328 sec (0 m 0 s)




Here are the headers:


------------------------- BEGIN HEADERS -----------------------------
Return-Path: <***m2k1***>
Received: from uranus.kasserver.com (uranus.kasserver.com [62.141.48.129])
	by server.***.de  with ESMTP id h5SBMm109325
	for <***>; Sat, 28 Jun 2003 13:22:48 +0200
Received: from pD9E40D0F.dip.t-dialin.net (pD9E40D0F.dip.t-dialin.net [217.228.13.15])
	(authenticated)
	by uranus.kasserver.com (8.11.6/8.11.6) with ESMTP id h5SBMdt10130
	for <***>; Sat, 28 Jun 2003 13:22:39 +0200
Date: Sat, 28 Jun 2003 13:23:31 +0200
From: Webmaster <***m2k1***>
X-Mailer: The Bat! (v1.62i) Business
Reply-To: Webmaster <***m2k1***>
X-Priority: 3 (Normal)
Message-ID: <***628132331@m2k1***>
To: ***
Subject: Fwd: Re: Movie
In-Reply-To: <200306280731.h5S7Vcg25704@uranus.kasserver.com>
References: <200306280731.h5S7Vcg25704@uranus.kasserver.com>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------289C22208D6AF9"
-------------------------- END HEADERS ------------------------------

Alles anzeigen

Schon komisch das deine Virenscanner das Teil nicht erkennen, obwohl du die neusten Signaturen hast.

~~~ root ~~~

SiemensFreak³ · 29. Juni 2003

Ich hab mir mal selber diesen Test-Virus zugeschickt.
Da hat der nicht gemuckt :confused:

Aber solang ich die Datei nicht ausführe is ja noch alles in Butter.

-SF³

Eigenartige Emails erhalten

Jetzt mitmachen!

Teilen