Hossa! Post von Bill...

[Mad Marc]

Mahlzeit!

Hab grad auf meine Forums-E-Mail-Adresse eine Mail von Microsoft bekommen. Sieht relativ echt aus. Woher hat denn Billyboy meine Adresse? Hat sonst noch einer was auf die Forumsadresse bekommen?

Screenshot:

[Lacknase]

1.) Ist ein Fake. Wer bezahlt M$, Dir exklusiv zu schreiben? Ebend. Niemand.

2.) Die Domain von M$ heißt microsoft.com

3.) ms.com gehört

Registrant:

Morgan Stanley (MS2-DOM)

1585 Broadway

1585 Broadway

New York, NY 10036

US

Domain Name: MS.COM

Administrative Contact:

      Morgan Stanley Dean Witter & Co.  (ARNPQMKZOO)            internetadmin@MSDW.COM

      1585 BROADWAY

      NEW YORK, NY 10036-8200

      US

      +1 212 762 8467 fax: +1 212 762 8897

Technical Contact:

      Morgan Stanley Dean Witter & Co.  (TWEVRNQQVO)            internettech@MSDW.COM

      1585 BROADWAY

      NEW YORK, NY 10036-8200

      US

      +1 212 761 6012

Record expires on 30-Aug-2004.

Record created on 20-Aug-2002.

Database last updated on 8-Oct-2003 10:46:03 EDT.

Domain servers in listed order:

HQINBH1.MS.COM            205.228.12.71

PIINBH1.MS.COM            199.89.64.71

HQINBH2.MS.COM            205.228.12.72

PIINBH2.MS.COM            199.89.64.72

4.) Surft man zu http://www.ms.com, landet man per redir auf http://www.morganstanley.com/ und liest dann da:

Morgan Stanley has earned a worldwide reputation for excellence in financial advice and market execution. The 58,000 members of Morgan Stanley in 28 countries connect people, ideas and capital to help our clients achieve their financial aspirations.

Nix Compi, nix M$, nix Support.

5.) Man betrachtet keine eMails im HTML-View-Mode. Auch nicht unter Netscape/Mozilla.

6.) Wenn Du den ganzen Header schickst, kann man Dir sagen, woher die Mail wirklich kam.

[nop]

...wer c't liest:

Vorsicht - Angebliche Mails von Microsoft!

Heute waren wieder mehrere Emails im Posteingang, die den Eindruck erwecken, dass sie von Microsoft stammen. Sie enthalten die Aufforderung, eine beigefügte .exe-Datei auszuführen. Sehr wahrscheinlich installiert die Datei aber einen VIRUS oder einen WURM auf Ihrem PC! Also die Emails am besten gleich löschen! Microsoft versendet NIE Emails an Endnutzer.

Ergänzung: Tatsächlich wurde jetzt in der Mail mit Absender "MS Corporation Internet Security Center", Absender-Adresse "iljanpjqxycovl-xxxtic@confidence.ms.com" und Betreff "Latest Internet Security Pack" ein WURM als Anhang beigelegt, und zwar WORM.AUTOMATE.AHB. Nortons heutige Virendefinitionen haben ihn erkannt. Mehr dazu ist noch nicht zu erfahren, eventuell ist es eine neue Variante eines älteren Wurms. Symantec hat die Virendefinitionen erst gestern 18. September 2003 mit diesem Virus aktualisiert. Also unbedingt die Virudefinitionen aktualisieren!

[Mad Marc]

Ok, Andi - jetzt ganz langsam für DAU's zum Mitschreiben

Wie bekomm ich den Header aus der Nachricht raus? Markieren geht nicht, soll ich dir nen Screenshoot machen? Und wo stellt man den blöden Mozilla auf nur Text? Find ich irgendwie nicht...

Edit: Screenshot

Bearbeitet 11. Januar 2009 von Mad Marc

[Mad Marc]

Grad nochwas Aufgefallen... Ich glaub ich betätige mich grad als Virenschleuder - auch wenn ich niemanden bei "bigfoot.net" kenne...

[Lacknase]

Irgendwo im Hauptmenü unter (so in etwa) -> EDIT -> Preferences -> Mail & Newsgroups -> Message Display. Da kann man dann entsprechend umstellen. Analog unter Compose: SendFormat.

Zum Header:

Wie Du siehst, erzählt Dir Dein Mailserver (mrvdomng.kundenserver.de), woher er die Mail bekam. Von 217.184.48.168. Fragt man die IP ab, erhält man:

inetnum:      217.184.0.0 - 217.185.255.255

netname:      MWAYS-BIGDIAL

descr:        various Online Services

country:      DE

admin-c:      ABU1-RIPE

tech-c:    ABU1-RIPE

status:    ASSIGNED PA

remarks:      send hack and spam complaints to:

remarks:      abuse@mediaways.net

mnt-by:    MDA-Z

changed:      hostmaster@mediaways.net 20020415

source:    RIPE

route:        217.184.0.0/13

descr:        mediaWays GmbH

origin:    AS6805

remarks:      netname: DE-MEDIAWAYS

mnt-by:    MDA-Z

changed:      ip@mediaways.net 20010315

source:    RIPE

person:    mediaWays abuse

address:      Telefonica Deutschland GmbH

address:      Huelshorstweg 30

address:      D-33415 Verl

address:      Germany

phone:        +49 05241 80 1701

e-mail:    abuse@telefonica.de

nic-hdl:      ABU1-RIPE

remarks:      +------------------------------------+

remarks:      | Send hack and spam complaints to:  |

remarks:      |    abuse@telefonica.de          |

remarks:      +------------------------------------+

changed:      hostmaster@telefonica.de 20030324

source:    RIPE

Wenn Du nicht irgendwo unterwegs auf Forward-Konten header-rewrites definiert hast, dann ist das die ursprüngliche Quelle. Und wenn Du nun aktiv werden magst, dann kannst Du an obige abuse-Adresse einfach eine Kopie der Mail schicken.

Zur Virenschleuder: ich würde eher meinen, daß Du auf denselben Trick nochmal reingefallen bist, oder Deine Adresse als Absender herhielt. (Bzw. ein Alias.) Der Absender ist wieder nicht bigfoot.com sondern 217.184.57.213. Rate mal, wer das ist ...

inetnum:      217.184.0.0 - 217.185.255.255

netname:      MWAYS-BIGDIAL

descr:        various Online Services

country:      DE

admin-c:      ABU1-RIPE

tech-c:    ABU1-RIPE

status:    ASSIGNED PA

remarks:      send hack and spam complaints to:

remarks:      abuse@mediaways.net

mnt-by:    MDA-Z

changed:      hostmaster@mediaways.net 20020415

source:    RIPE

route:        217.184.0.0/13

descr:        mediaWays GmbH

origin:    AS6805

remarks:      netname: DE-MEDIAWAYS

mnt-by:    MDA-Z

changed:      ip@mediaways.net 20010315

source:    RIPE

person:    mediaWays abuse

address:      Telefonica Deutschland GmbH

address:      Huelshorstweg 30

address:      D-33415 Verl

address:      Germany

phone:        +49 05241 80 1701

e-mail:    abuse@telefonica.de

nic-hdl:      ABU1-RIPE

remarks:      +------------------------------------+

remarks:      | Send hack and spam complaints to:  |

remarks:      |    abuse@telefonica.de          |

remarks:      +------------------------------------+

changed:      hostmaster@telefonica.de 20030324

source:    RIPE

[Mad Marc]

Danke Andi!

Wieder mal was gelernt.

[t4.]

Zwar nich vom Bill, aber massig virulente Mails seit Sonntag Abend ... oder nur Warnungen mit "Virencheckern" als Anhang ... alles in Allem knapp 20 Mails (einige doppelt; will wer tauschen? ).

Hat das gerade noch jemand?

______________________________________________________

Received: from [213.165.64.20] (helo=mail.gmx.net)

by mx02.web.de with smtp (WEB.DE 4.99 #492)

id 1AEFc9-0007vs-00

for xxxxxxx@web.de; Mon, 27 Oct 2003 23:13:29 +0100

Received: (qmail 27648 invoked by uid 65534); 27 Oct 2003 21:45:44 -0000

Received: from pD9E4B2B7.dip.t-dialin.net (EHLO OEMCOMPUTER) (217.228.178.183)

by mail.gmx.net (mp023) with SMTP; 27 Oct 2003 22:45:44 +0100

X-Authenticated: #20399393

From: fs45ve@gmx.de

To: You@web.de

Subject: Sie versenden Spam Mails (Virus?)

X-MailScanner: Checked

Importance: Normal

X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)

X-MSMail-Priority: Normal

Message-ID: <35608288645744.96622.X-MailerV0.69@gmx.de>

MIME-Version: 1.0

Content-Type: multipart/mixed; boundary="=OEMCOMPUTER_FE3847754D0AED2D1E"

X-WEBDE-TAG: W

Date: Mon, 27 Oct 2003 23:13:29 +0100

Sender: fs45ve@gmx.de

Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.

Sie sollten diesen Entfernen!!

Wie es aussieht, ist bei Ihnen der ODIN Wurm aktiv!

Sie sollten mit dem Patch-Programm testen,

ob der Wurm bei Ihnen auf der Platte ist um Ihn dann automatisch

löschen zu lassen!

Niks wie ungut!

___________________________________________________

:grr:

[Lacknase]

http://www.tu-berlin.de/www/software/hoax.shtml

P.S.: Die Kurzfassung lautet "ignorieren". Leute die

X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)

verwenden, sind eher "Viren-Schleudern" als "Viren-Retter".