Ergebnis 1 bis 3 von 3

Thema: HTML.Phishing.Bank-277 angeblich von atservices.org

  1. #1
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    304

    Frage HTML.Phishing.Bank-277 angeblich von atservices.org

    Hallo, habe gerade folgende Mail bekommen:

    header:
    01: Return-Path: <virusalert [at] mail.atservices.org>
    02: Received: (qmail invoked by alias); 10 Mar 2008 xx:xx:xx -0000
    03: Received: from mail.atservices.org (EHLO mail.atservices.org) [24.230.129.51]
    04: by ... with SMTP; 10 Mar 2008 xx:xx:xx +0100
    05: Received: from localhost (localhost [127.0.0.1])
    06: by mail.atservices.org (Postfix) with ESMTP ID: [ID filtered]
    07: Sun, 9 Mar 2008 xx:xx:xx -0600 (MDT)
    08: Content-Type: text/plain; charset="iso-8859-1"
    09: Content-Disposition: inline
    10: Content-Transfer-Encoding: 7bit
    11: MIME-Version: 1.0
    12: Date: Sun, 9 Mar 2008 xx:xx:xx -0600 (MDT)
    13: From: "Content-filter at www.atservices.org" <virusalert@>
    14: Subject: VIRUS (HTML.Phishing.Bank-277) IN MAIL TO YOU (from
    15: <?@70-13-54-149.area2.spcsdns.net>)
    16: To: undisclosed-recipients: ;
    17: Message-ID: [ID filtered]
    VIRUS ALERT

    Our content checker found
    virus: HTML.Phishing.Bank-277

    in an email to you from unknown sender:
    ?@70-13-54-149.area2.spcsdns.net
    claiming to be: < [Link nur für registrierte Mitglieder sichtbar. ]>

    First upstream SMTP client IP address: [70.13.54.149] 70-13-54-149.area2.spcsdns.net

    According to the 'Received:' trace, the message originated at:
    [70.13.54.149]
    User (70-13-54-149.area2.spcsdns.net [70.13.54.149])

    Our internal reference code for this message is 09970-03.
    The message has been quarantined as:
    virus-20080309-234300-09970-03

    Please contact your system administrator for details.
    Die einzige im Header angegebene IP Adresse 24.230.129.51 gehörttatsächlich zu mail.atservices.org, welches sich mit den anderen Angaben vom Header und dem Body deckt.

    Trotzdem stinkt das ganze denn:
    * Die wahre IP versteckt sich wohl hinter 0A7AEB83FB6
    * Keine Referenz auf die angeblich befallene Mail
    * Keine Nennung meiner Mailadresse
    * Die Quelladresse scheint keiner IT Sicherheitsfirma zu gehören, sondern einer IT-Firma mit religiösen Verbindungen. Nennt sich "Adventist Technology Solutions"
    * <virusalert@> als From:
    * HTML.Phishing.Bank-277 ist ein wirklicher Wurm
    * typo im Body: paypall.com
    * Kein Anhang in der Mail, vielleicht ist es ein Testballon?

    Was habe ich davon zu halten?

    Wie kann 0A7AEB83FB6 eine IP Adresse sein? Das müßte dann doch IPv6 sein, oder?
    Wie ist es zu lesen? Als 00.A7.AE.B8.3F.B6
    Oder als 0A.7A.EB.83.FB "ignore the 6"

    Scheinbar will jemand der Seite atservices.org schaden. Aber wie hat er/sie das gemacht?
    Oder will man die Leute auf atservices.org als Kunden locken?

    Forumsuche nach "HTML.Phishing.Bank-277" oder "atservices.org" erbrachte nichts. Googlen auch nicht wirklich etwas zum Thema. Einiges zu "HTML.Phishing.Bank-277" und viel zu "Adventist Technology Solutions".

    Aber nichts in Bezug auf diese E-Mail.
    Geändert von Rava (10.03.2008 um 18:53 Uhr) Grund: Ergänzung
    Gruß, Rava

    Malware auf Wind-Systemen besser nicht lokal speichern!
    Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!

  2. #2
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.822

    Standard

    Die ESMTP-id im Header beschreibt keine IP-Adresse, sondern ist nur ein Hinweis auf de "extended protocol"-Variante des SMTP-Protokolls.
    [Link nur für registrierte Mitglieder sichtbar. ]

    Die Mail kommt tatsächlich von 24.230.129.51.

    Die Zeile mit dem "Received: from localhost (localhost [127.0.0.1])" beschreibt nur eine Weiterleitungsschleife im internen Netzwerk von atservices.org.
    Daher hast Du hier auch eine localhost-IP.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  3. #3
    Mitglied Avatar von Rava
    Registriert seit
    13.02.2007
    Ort
    near 127.0.0.1
    Beiträge
    304

    Standard

    Zitat Zitat von Goofy Beitrag anzeigen
    Die ESMTP-id im Header beschreibt keine IP-Adresse, Die Mail kommt tatsächlich von 24.230.129.51.
    Danke. Dann wollen die einen wohl wirklich damit auf ihre christliche IT-Seite locken. Und das mit einem angeblichen boesen Wurm, der dann wohl das IT-Equivalent zum Teufel darstellt.
    Gruß, Rava

    Malware auf Wind-Systemen besser nicht lokal speichern!
    Ebenso Links zu Phishing-Sites nur betreten, wenn Ihr wisst was Ihr da macht!

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen