PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Virus] W32.HLLW.Cult.C@mm von Ellen@gmx.net



Houser
21.04.2003, 17:59
*Genervt sei*
Täglich kommt mindestens 3 Mal eine Mail von Ellen [at] gmx.net an einen Mitarbeiter.
Unser Virenscanner erkennt das auch brav - aber es nervt !
Ich habe GMX diesbezüglich eine Mail geschickt:
Sehr geehrtes Abuse Team,
Von diesem E-Mail Account Ellen [at] gmx.net wird täglich mehrmals versucht,
einem
Mitarbeiter den Virus W32.HLLW.Cult.C [at] mm zu
schicken.
Heute um 06:34, um 11:17 und um 16:42
Nähere Informationen über diesen Virus gibt es unter
http://www.symantec.com/avcenter/venc/da....cult.c [at] mm.html (http://www.symantec.com/avcenter/venc/data/w32.hllw.cult.c [at] mm.html)
Da das ein Massenmailingwurm mit eigener SMTP Routine ist, hat er wohl
diesen Account "übernommen", deshalb bitte ich Sie, diesen Account zu
deaktivieren, so dass sich der Virus nicht mehr weiterverbreiten kann.
---
Hi. This is the mail-send program at xxx
I tried to deliver a bounce message to this address, but the bounce bounced!
<Ellen [at] gmx.net>:
213.165.64.100 does not like recipient.
Remote host saID: [ID filtered]
Giving up on 213.165.64.100.
--- Below this line is the original bounce.
Return-Path: <>
Received: (mail 6157 invoked from network); 14 Apr 2003 xx:xx:xx -0000
Date: 14 Apr 2003 xx:xx:xx -0000
Message-ID: [ID filtered]
From: "System Anti-Virus Administrator"
To: poor [at] spamvictim.tld
Cc: admin [at] xxx
Subject: Illegal attachment type found in sent message "Hi, I sent you an
eCard from BlueMountain.com"
X-Tnz-Problem-Type: 40
MIME-Version: 1.0
Content-type: text/plain
Attention: Ellen<Ellen [at] Gmx.net>.

A Illegal attachment type was found in an Email message you sent.
This Email scanner intercepted it and stopped the entire message
reaching it`s destination.
The Illegal attachment type was reported to be:
PIF files not allowed

Please contact your I.T support personnel with any queries regarding this
policy.

Your message was sent with the following envelope:
MAIL FROM: Ellen [at] gmx.net
RCPT TO: xxx
... and with the following headers:
From: Ellen<Ellen [at] Gmx.net>
To: xxx
Subject: Hi, I sent you an eCard from BlueMountain.com
Message-ID: [ID filtered]
Date: Mon,14 Apr 2003 xx:xx:xx PM

The original message is kept in:
mail:/var/spool/scan/quarantine
where the System Anti-Virus Administrator can further diagnose it.
The Email scanner reported the following when it scanned that message:
---
---perlscanner results ---
Illegal attachment type `PIF files not allowed` found in file
/var/spool/scan/mail10503507606151/BlueMountaineCard.pif

---
Was zurückkam war:
Liebes GMX-Mitglied,
vielen Dank für die Übermittlung Ihrer unerwünschten e-mail (SPAM) an
abuse [at] gmx-gmbh.de.
Gerne wollen wir Ihnen dabei helfen, die unbestellten e-mails abzublocken
und den Absender auf die globale GMX-Anti-SPAM-Liste setzen.
Zu dieser e-mail trafen bereits zahlreiche Beschwerden bei uns ein, welche
darauf hinweisen, daß der Absender ständig wechselnde und mit Sicherheit
gefälschte Absender verwendet.
Die Problematik mit diesen gefälschten Absender-Adressen ist uns seit
längerer Zeit bekannt.
Es werden dazu Domains von namhaften Anbietern im Internet verwendet, was
uns als Provider den Schutz unserer Mitglieder erheblich erschwert. Da die
Adressen ständig wechseln, bliebe GMX lediglich die Sperre der kompletten
Domain. Dies wäre allerdings gegenüber den wirklichen Betreibern der
Mißbrauchten Domains in grobem Maße geschäftsschädigend.
So lange es im Internet offene Server gibt, welche die Versendung solcher
gefälschten Nachrichten zulassen, ist es nahezu unmöglich der Flut von
SPAM-e-mails Einhalt zu gebieten.
GMX arbeitet im Augenblick an einer Lösung, welche die Zusendung solcher
e-mails in Zukunft stark einschränkt. Jedoch können wir derzeit leider noch
keine Auskünfte geben, wann und wie dies genau online gehen wird.
Selbstverständlich
werden wir Sie auf dem Laufenden halten. Beachten Sie bitte die
entsprechenden Ankündigungen in der GMX Info beziehungsweise auf unseren
Webseiten.
Für eine Weiterverfolgung des wirklichen Absenders können Sie die Dienste
kontaktieren, über die diese Mail versandt wurde. Diese entnehmen Sie bitte
den Headerzeilen der empfangenen Mail.
Wir bitten um Ihr Verständnis, daß uns in diesem Fall die Hände gebunden sind.

Fidul
21.04.2003, 18:06
Ach ja, die gute Ellen. Bei mir habe ich den serverseitigen Filter auf "Ellen + Bluemountain" gesetzt, so daß diese Virenmails direkt im Nirvana landen. Hm, in die Header habe ich der Dame noch nie so genau geschaut. Beim nächsten Mal...
--
Wir kriegen euch alle!

DocSnyder
21.04.2003, 20:00
Ich bounce die Virenmails immer direkt, mit SMTP-Fehlermeldung in etwa "Mit Linux wäre dies nicht passiert". http://img.homepagemodules.de/grin.gif
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/