Ich bekomme in letzter Zeit öfter mails von mir völlig unbekannten Personen, die mich freundlich darauf hinweisen, meine an sie gesendeten mails litten unter Netsky-Befall. Natürlich Blödsinn. Offenbar sollen Leute dazu verlockt werden sich auf dubiosen pages irgendwelche Anti-Virus-Tools herunterzuladen, die dann selber Viren und Trojanern Tür und Tor öffnen.
Exakt. Im Anhang solcher E-Mails (schon mal nach Sober oder Netsky geschaut ? ) befionden sich oft Würmer oder Trojaner oder so.
Das ist im Grunde ganz einfach : Ein Virus oder Wurm nimmt sich eine E-Mail - Adresse aus einer Liste (Outlook Kontakte ?) , fügt den Text an, daß von dieser Adresse angeblich virenverseuchte E-Mails kommen, fügt ein angebliches Entfernungsprogramm an (natürlich ist das ein Virus) , das der Empänger möglichst öffnen sprich ausführen soll, im Glauben, damit etwas gegen den angeblich auf der *eigenen* Festplatte sitzenden Wurm zu tun - und fertig. Mehr braucht der Wurm nicht.
Was mich beunruhigt, ist, daß ich eine exakt so gestrickte E-Mail letztes Jahr von Eolus bekam ... <img src="/ubbthreads/images/graemlins/suspicion.gif" alt="" />
Schlimmer noch : Wenn die Sache so stimmt, wie von der C'T recherchiert, daß Virenschreiber nämlich IP-Nummern und Adressen an Spammer
verkaufen , dann kann es durchaus sein, daß Millionen Adressen nichtahnender Mitmenschen in irgendwelchen Spammer-Adreßdatenbanken sitzen - zu beiderlei (Spammer + Virenschreiber) Nutzen.
Das ist das Szenario, von dem ich ausgehe.
Und besonders perfide ist, daß E-Mails von "Guten Bekannten" - sprich Leuten, denen man vertraut <img src="/ubbthreads/images/graemlins/exclamation.gif" alt="" /> - "besonders gerne" öffnet - das heißt ohne Vorsichtsmaßnahmen - weshalb Spammer + Virenschreiber bevorzugt Verknüpfungen benutzen. Das heißt im Endeffekt, daß Virenschreiber + Spammer besonders gerne Adressen von Adreßbüchern benutzen, die lokal irgendwo gelagert werden - denn damit können sie am Besten "Freunde" oder Bekannte des infizierten PCs (sozusagen) anschreiben, ohne Aufsehen zu erregen ... Eine E-Mail des besten Freundes öffnet sich leichter als die eines Unbekannten, dessen Namen ich noch nie gehört habe.
Konsequenterweise habe ich für mich persönlich ein "Vertrauensmodell" aufgebaut : E-Mail von Absendern, die ich nicht kenne, werden sofort ignoriert. E-Mails mit bekannten Absendern werden unter die Lupe genommen; Anhänge werden rücksichtslos gelöscht, wenn ich nicht explizit welche angefordert habe.
Und ich benutze Pegasus Mail, das sich bisher als sehr resistent gegenüber Viren gezeigt hat - vermutlich ist die installierte Basis an Pegasus-Nutzern aus der Sicht der Virenschreiber zu klein. Ich kann mit Pegasus alles machen, was ich will : E-Mails in Rohansicht nsehen (und dabei im Header (KOpf) die Herkunft begutachten, selbst, wenn ich nicht viel davon verstehe), HTML-Ansicht glbal ausschalten, und Scripte führt Pegasus sowieso nicht aus. Ich kann Anhänge einzeln löschen oder speichern, zudem hat Pegasus einige Betrachter eingebaut. Oder ich verknüpfe alles mit IrfanView.
VBScript (VBS) und VBA habe ich ebenso wenig auf meinem Rechner wie den „Windows Scripting Host“, weil sie in meinen Augen potentielle Gefahrenquellen darstellen (Vertrauensmodell). Ich will nicht, daß mein SYstem Dinge macht, die ich nicht will, also will ich auch kein Scripting. Ich bin bisher gut damit gefahren.
Da ich kein MS Office habe, habe ich auch kein VBA; insofern ist die Abkehr von der MS-Office-Monokultur mit einem deutlichen Plus an Sicherheit verbunden.
Der letzte Schrei ist übrigens ein Bagle (oder Netsky ? ) - Wurm, der eine E-Mail generiert, die als HTML-Link ein eingebettetes VBA oder VBS - Script enthält ... bloßes Anschauen reicht also schon. Damit wird der eigentliche Virus oder Wurm aus dem Internet nachgeladen.
Ein solches Fake ist zum Beispiel folgende E-Mail, die mich neulich erreichte :
Dear user, the management of Gmx.de mailing system wants to let you know that,
Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.
For details see the attached file.
For security reasons attached file is password protected. The password is "23154".
Cheers,
The Gmx.de team
http://www.gmx.deDer Virus befindet sich in einer .ZIP - Datei, ist mit einem Online-Packer (bisher UPX, neuerdings ein anderer) verpackt [“online“ nicht im Sinne von „Internet“ sondern im Sinne von „während der (ab)Laugfzeit des Programms“], und die .ZIP - Datei ist verschlüsselt ... Benutzer sollen sie mittels dem Paßwort öffnen, in der Hoffnung, damit ein Gegenmittel zu haben. In Wirklichkeit setzen sie damit den Wurm frei.
Einmal abgesehen davon, daß GMX inzwischen von einigen Servern generell gebannt ist (GMX wird scheinbar von einigen Servern inzwischen ähnlich wie Hotmail und aol in einer Blacklist geführt) - was mit in der Tat mit
www.TheForce.Net passiert ist, einem großen Star Wars Portal - und ich daher den Verdacht habe, daß deswegen die transatlatische Kommunikation in unbekanntem Ausmaß gestört sein könnte ... ist meine Haupt- dressebei GMX nur noch als „Spam-Fänger“ da.
Ich habe zudem den dringenden Verdacht, daß meine "Spam-Fänger" - E-Mail - Adresse in irgendeiner Spammer-Adressenliste gelandet ist; da ich hin & wieder entsprechende Meldungen von Mail-Servern bekomme.
Bei mir läuft die Kommunikation fast nur noch über Foren, PMs oder PNs, und E-Mails nur bei Leuten, die einen hohen Status in meinem „Vertrauensmodell“ haben. Für Firmen-Korrespondenz (Bewerbungen, Leserbriefe usw.) benutze ich bereits eine andere Adresse.
Ein- bis zwei Mal im Monat mache ich mir die Mühe, und schiebe mir den ganzen Spam bei GMX vom „Spamverdacht“ - Ordner in meinen Posteingang, und lade mir alles mittels Pegasus herunter. Ziel ist, abzuchecken, ob sich im Spamfänger nicht vielleicht eine seriöse E-Mail verfangen hat (ist mir mit zwei Newslettern passiert). Würde ich nicht Pegasus benutzen, würde ich das nicht tun, denn nur so habe ich einigermaßen die Gewißheit, daß eine E-Mail nicht ungefragt Scripte abarbeitet oder „was“ installiert. Das ist ziemlich Mühselig, bringt mich aber des öfteren zu Lachen, wenn ich zum Beispiel eine Spam-Mail erhalte, die mich davon unterrichtet, daß meine Domain
www.gmx.de nicht in einer ominösen Liste (die sich den Schein einer Art „Gelben Seiten“ gibt) eingetragen sei und daß ich dies „jetzt“ nachholen könne. Oder wenn ich Spam bekomme, die mich dazu auffortdert, mein e Kreditkarteninformationen (Paßwort undsoweiter) zu „aktualisieren“, obwohl ich niemals Kreditkarten benutze. (Die „Aktualisierung“ ist selbstverständlich mit einem Link mit einer seriösen Adresse hinterlegt, der erst in der Rohansicht seine Maske fallen läßt und eine undefinierbare IP-Adresse anstelle der scheinbar seriösen zum Vorschein kommen läßt).
Ich finde, gerade dieses Beispiel illustriert sehr gut, wie Spam funktioniert.
So weit von mir. „Seid Wachsam !“
Alrik.
Anhang :
Zitat aus dem GMX-Newsletter :
GMX Virenreport
===========================================================
+++ Holzauge, sei wachsam: Bagle kann's jetzt auch ohne
Attachment! +++
Eine neue Folge der Bagle-Saga: Bei den vier neuen Varianten, Q
(W32/Bagle-Q), R (W32/Bagle-R), S (W32/Bagle-S) und T
(W32/Bagle-T) ist besondere Vorsicht geboten, denn sie enthalten
im Gegensatz zu den meisten e-mail-Viren kein Attachment und
sind damit schwieriger zu identifizieren. Wenn Anwender die
e-mail öffnen - und ihre Version von Microsoft Outlook nicht vor
der 5 Monate alten kritischen Sicherheitslücke geschützt ist -
wird automatisch schädlicher Code von dem PC heruntergeladen,
der die sogenannte "Carrier" (Träger)-e-mail versendet hat.
Sobald sie installiert sind, stoppen die Würmer zahlreiche
Sicherheitsanwendungen und machen damit Ihren Computer
potentiell anfällig für weitere Viren- oder Hackerangriffe. Die
Würmer versuchen außerdem, sich über Datei-Austausch-Netzwerke
zu verbreiten und andere ausführbare Dateien zu infizieren.
+++ Was bisher geschah: Bagle tarnt sich als Service-Mail +++
Aus gegebenem Anlass an dieser Stelle nochmals die Warnung vor
einer anderen Variante bösartiger e-mails aus der "Bagle"
Wurm-Familie, die sich als angebliche Service-Nachricht eines
e-mail-Providers tarnt. Der Wurm bedient sich dabei eines ebenso
einfachen wie wirkungsvollen Tricks und setzt in den e-mail-Text
beim Versenden an geeigneter Stelle die Domain des
e-mail-Dienstes der Empfängeradresse ein - ganz ähnlich wie bei
einem Serienbrief. Der fertig getarnte Wurm sieht dann zum
Beispiel so aus:
Hello user of Gmx.net e-mail server,
Your e-mail account will be disabled because of improper
using in next three days, if you are still wishing to use it,
please, resign your
account information. For further details see the attach.
Kind regards,
The Gmx.net team
http://www.gmx.netWenn Sie eine solche e-mail erhalten sollten: Den Dateianhang
bitte keinesfalls öffnen, anklicken oder ausführen! Oder noch
besser: Schützen Sie sich vor dieser und anderen Viren- und
Wurmattacken mit dem GMX Virenschutz, Deutschlands erstem
TÜV-zertifizierten Virenschutz mit 100% Erkennungsquote aller
aktuellen Viren (nach WildList, Stand Februar 2004)! Weitere
Infos zum GMX Virenschutz Sie hier:
