PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Monatelange Viren-Attacke



Sirius
20.01.2005, 14:16
Hi!
Ich habe 2 Mail-Accounts und seit etlichen Monaten bekomme ich täglich Viren-Mails. Die Mails stammen angeblich von dem einen Account und sind immer an den jeweils anderen Account von mir gerichtet.
Mitunter enthalten sie im Betreff/Textkörper Daten (wie meinen Wohnort), die nicht allgemein bekannt sind.
Obwohl sie immer wieder neue Viren/Würmer enthalten, vermute ich, dass sie vom selben Absender stammen, da als Netzwerk-Adresse immer eine T-COM-IP verwendet wird:
(pd9.....dip.t-dialin.net [217.xxx.xxx.xxxxxx])
Ich verwende Linux (virenfrei) und T-DSL (IP: [80.xxx.xxx.xxx]), daher kann ich nicht der Absender sein.
Jetzt meine Frage:
Habe ich es hier tatsächlich mit einer einzelnen Person zu tun oder ist das Zufall und auch durch *mehrere* Viren möglich? Die sprechen sich ja nicht untereinander ab!
Grüße
Michael
BTW: Anfrage bei abuse [at] t-ipnet.de läuft - bislang aber keine Antwort.

Goofy
20.01.2005, 17:27
Grundsätzlich kann das ein einzelner sein. Wahrscheinlich sind es aber eher mehrere. Und zwar aus einfachen Gründen:
Bei dem grossen Nutzerpool von t-online gibt es viele verseuchte Rechner. Diese Rechner, die sich gegenseitig infiziert haben, kriegen gleich bei Aktivwerden des Virus u.a. Deine Mailadresse mitgeliefert. Mit dem Virus verbreitet sich teilweise auch die Adressen- und Domainliste für die Daten, die das Virus in die Mailheader kombiniert.
Vermutlich hat das Virus Deinen Wohnort etc. von einer Webseite aus dem Browsercache des infizierten PC`s gezogen.
Übrigens hat TDSL nicht nur 80.xx.xx.xx.-IP-s, es kommen auch 217-er vor.
Man kann bei T-online anhand der IP-Adresse in etwa auf den Bereich in Deutschland schließen, wo die Virenschleuder haust. Das geht irgendwie mit Traceroute, habe ich hier ein paarmal gelesen, z.B. in DocSnyder-Beiträgen.
Da könntest Du ja feststellen, ob es immer der gleiche Bereich ist.
Ansonsten möglichst immer an die t-online-abuse mailen, die freuen sich, wenn sie solche Viren- und Spamschleudern trocken legen dürfen.
Goofy

Fidul
22.01.2005, 05:54
Goofy hat Recht - poste doch hier mal einige der IPs. Wir schauen dann nach, ob die alle auf die gleiche Gegend hindeuten.
Beschwerden sollten direkt an abuse{at}t-online.de gegen; t-ipnet.de ist nur ein unnötiger Umweg.
--
Wir kriegen euch alle!

Sirius
28.01.2005, 08:21
Erst mal Danke für die Antworten!
Ich habe mal unter http://www.ip2location.com/free.asp nachgesehen. Danach stammen alle Mails aus Hannover (T-Online).
Hier ein paar IPs und ein Header (@ gegen {at} getauscht):
from arya-04fwncj98j.net (pD9E359EE.dip.t-dialin.net [217.227.89.238])
from arya-04fwncj98j.com (pD95ECB50.dip.t-dialin.net [217.94.203.80])
from arya-04fwncj98j.org (pD95EC7AD.dip.t-dialin.net [217.94.199.173])
from arya-04fwncj98j.net (pD951313F.dip.t-dialin.net [217.81.49.63])
- - -
From CHAOS 0 message
MIME-Version: 1.0
Date: Mon, 24 Jan 2005 xx:xx:xx +0000
Return-path: <****{at}****>
Received: from arya-04fwncj98j.net (pD95EC787.dip.t-dialin.net
[217.94.199.135]) by powerbox.prohost.de (8.11.6/8.11.6) with SMTP id
j0OLohM16588 for <****{at}****>; Mon, 24 Jan 2005 xx:xx:xx +0100
From: **** <****{at}****>
To: **** <****{at}****>
cc:
Message-ID: [ID filtered]
In-Reply-To:
References:
Subject: RE: Text message
X-Priority: 3
X-CHAOS-Read: yes
X-CHAOS-Marked: no
X-CHAOS-Size: 29724
Content-Type: multipart/mixed; boundary="--------pusvcbjnevlhmpqxqjqo"
Content-Transfer-Encoding: binary
...
- - -
Ich habe inzwischen auch Antwort von T-COM:
- - -
...
wir haben Ihre E-Mail erhalten und ausgewertet.
Beim Verursacher handelt es sich um einen T-Online-Kunden.
Wir haben Ihr Anliegen daher an folgende Stelle weitergeleitet:
T-Online International AG
Waldstrasse 3
64331 Weiterstadt
mailto:poor [at] spamvictim.tld
abuse-Team
Bei weiteren Fragen in dieser Angelegenheit wenden Sie sich bitte direkt
an diesen Provider.
II. Beschleunigte Bearbeitung (Nur bei t-dialin.net!)
1. Wenn die IP-Adresse des Verursachers der Domain "t-dialin.net"
zugeordnet ist, koennen Sie die Bearbeitung beschleunigen - wie Sie die
Domain feststellen koennen steht unter 2. In diesen Faellen koennen
Sie sich direkt an o.g. Provider wenden.
2. Mit dem Befehl "nslookup `IP-Adresse`", z.B. nslookup 62.158.127.111,
koennen Sie unter vielen Betriebssystemen die dazugehoerige Domain
ermitteln.
Unter Win9x muesste dies mit "ping -a `IP-Adresse`",
z.B. ping -a 62.158.127.111 funktionieren.
Mit freundlichen Gruessen
Security Team
Deutsche Telekom AG
...
- - -

Grüße
Michael

Fidul
29.01.2005, 02:03
Ich habe mal unter http://www.ip2location.com/free.asp nachgesehen. Danach stammen alle Mails aus Hannover (T-Online).
Ja, das stimmt. Es könnte sich tatsächlich um einen einzelnen Verursacher handeln. Oder da ist ein Nest. http://img.homepagemodules.de/clown.gif
--
Wir kriegen euch alle!

Sirius
07.02.2005, 15:08
Hallo,
die Virenschleuder wurde inzwischen trockengelegt.
Ich habe eine kurze Meldung bekommen, dass sich da jemand ein paar Würmer eingefangen hatte. Genaue Informationen gibt T-Online nur an Ermittlungsbehörden, wenn ich einen Strafantrag stellen. Darauf habe ich verzichtet.
Grüße