Geschäftsschädigung durch falsche Virenschutz-emails

[Günter Cornett]

Hallo,

vor einer Woche hatte ich per Newsletter und im Beitrag http://www.spielbox.de/phorum4/read.php4?f=7&i=9827&t=9825 darauf hingewiesen, dass wir für unsere Kunden Virenschutz in Form kostenloser Weiterleitungsadressen anbieten.

Heute erhielt ich eine Fake-Email mit
[b]Delivery-date[/b]: Sun, 04 Apr 2004 12:25:32 +0200
[b]From:[/b] info@bambusspiele.de
[b]To:[/b] Free_mail@bambusspiele.de
[b]Subject:[/b] Hi, Ich bin's
[b]Attachment:[/b] Dokument.zip

und folgendem [b]Text[/b]:


Alles klaro bei dir?
Schau mal was Ich gefunden habe!
Meinst Du das wirklich?

*** Anti- Virus: Es wurde kein Virus erkannt
*** BAMBUSSPIELE Virenschutz
*** http://www.bambusspiele.de


Natürlich ist weder der Dateianhang noch die Mail von uns.

Dass eine Prüfung der mail durch den angeblichen *BAMBUSSPIELE Virenschutz* behauptet wird, legt den Schluß nahe, dass es sich hier um keine automatisch generierte mail handelt, sondern um bewußte Schädigung unseres Namens.

Daher ein paar Fragen an Euch:
1. wer hat die gleiche oder eine ähnliche email erhalten?
2. wer hat den Anhang geöffnet?
3. (an die, die den Anhang unvorsichtigerweise geöffent haben): Was war drin?
(mein Viren-Programm hat keinen Virus erkannt, aber das muss nicht notwendigerweise heissen, dass der Anhang ungefährlich ist)
4. Kennt jemand eine Stelle, an die man verdächtige Dateien zwecks Prüfung senden kann?

Danke und Tschüs, Günter

[Roland G. Hülsmann]

Hallo,

bei derartigen Anhängen handelt es sich gerne um passwortgeschützte ZIP-Dateien. Diese kann auch der beste Virenscanner nicht öffnen und daher kann er darin auch nichts verdächtigs finden.

Ich habe auch schon ähnliche Mails bekommen, allerdings mit einem anderen Virenschutz-Namen. Die landen bei mir immer gleich in der Tonne!

Und ich fürchte. mehr kann man da auch nicht machen.

Gruß
Roland

[Braz]

Hallo Günter,

ich habe die Datei zwar nicht bekommen, aber ein wenig komisch würde ich dies schon finden, wenn ich eine Mail von meiner eigenen Mailadresse geschickt bekommen hätte ?!

Daher dir Frage: In Pegasus-Mail kann man z.B. die Rohansicht der Mail sich anzeigen lassen.......darin kann man auch die dirkete Abstammunsadresse der Mail sehen.....das wäre doch schon mE interessant, denn so könntet ihr sehen von welcher Stelle die Mail an euch gesendet wurde und somit auf den Versender stoßen.....


...nur so als Tip !


Gruß
Braz

P.S. Wegen der Prüfung der Mail auf einen Virus durch externe Adressen würde mir nur evtl. eine zusätzliche Prüfung durch einen kostenlosen (!) Onlinevirenscanner z.B. von www.trendmicro.com , der immer auf dem aktuellsten stand sich befindet, einfallen ! Der Virenskanner ist echt nicht schlecht - ich hatte ihn neulich selber einmal ausprobiert, da wir in unserem Uni-Netz den Virus AGOBOT.DE drauf hatten...und dieser Skanner einer der wenigen war/ist die zu diesem Zeotpunkt den Virus erkannt hat.

[Roland G. Hülsmann]

Braz schrieb:

> ..., aber ein wenig
> komisch würde ich dies schon finden, wenn ich eine Mail von
> meiner eigenen Mailadresse geschickt bekommen hätte ?!

Das ist leider - in beiderlei Sinn - nicht komisch:
Eine Absenderadresse zu fälschen ist eine der leichtesten Übungen! Ich habe schon eine Menge Virenmails mit eigener Absenderadresse bekommen und automatische Antworten von anderen, die in einer Mail von mir einen Virus entdeckten. Natürlich hatte ich an diese nie eine Mail geschrieben. (Und da ich kein Outlook benutze, hat auch mein Rechner nicht ohne mein Zutun gehandelt.)
Derartige Viren funktionieren ja so, daß sie das Adressverzeichnis von Outlook benutzen und an diese Adressen sich selbst weiterschicken ohne daß der Besitzer des Rechners irgendetwas davon mitbekommt. Und die dort gefundenen Adressen können nun leicht als gefakete ... pardon: gefälschte Absenderadressen verwandt werden.

Und wie schon gesagt: Viren in Paßwortgeschützten ZIP-Dateien kann kein Virenscanner erkennen, da er diese Datei ja nicht zum überprüfen entpacken kann. In vielen Firmen sind daher Paßwortgeschützte ZIP-Dateien von außerhalb grundsätzlich nicht erlaubt und werden als möglicher Virus entsorgt!

(Wo bleibt da der Rechtsgrundsatz: "Im Zweifel für den Angeklgten!" ? ;-) )

Ein erster Schutz, um nicht selbst zur Virenschleuder zu werden ist der Verzicht auf Outlook. (Das hat weniger damit zu tun, daß Outlook unsicherer sei als andere als mehr damit, daß Outlook so weit verbreitet und daher für Virenautoren am "lukrativsten" ist!)

Gruß
Roland

[Braz]

Braz schrieb:
>
> Hallo Günter,
>
> ich habe die Datei zwar nicht bekommen, aber ein wenig
> komisch würde ich dies schon finden, wenn ich eine Mail von
> meiner eigenen Mailadresse geschickt bekommen hätte ?!


Ok - vergiß dies.... ;)
Ich hatte die Info über euren Mailservice nicht mitbekommen...von daher ist der Absender der Mail erklärbar ;)

Den kostenlosen Online-Virenskanner würde ich trotzdem einmal über mein bzw. dein Mailverzeichnis laufen lassen ........

[Braz]

ich denke eh, daß die Mailadresse von dem Bambus-Mail-Service herkommen könnte ?!Roland G. Hülsmann schrieb:


> Und wie schon gesagt: Viren in Paßwortgeschützten ZIP-Dateien
> kann kein Virenscanner erkennen, da er diese Datei ja nicht
> zum überprüfen entpacken kann. In vielen Firmen sind daher
> Paßwortgeschützte ZIP-Dateien von außerhalb grundsätzlich
> nicht erlaubt und werden als möglicher Virus entsorgt!

Das ist wohl wahr !


> Ein erster Schutz, um nicht selbst zur Virenschleuder zu
> werden ist der Verzicht auf Outlook. (Das hat weniger damit
> zu tun, daß Outlook unsicherer sei als andere als mehr damit,
> daß Outlook so weit verbreitet und daher für Virenautoren am
> "lukrativsten" ist!)

Wir an der Uni nehmen das Mailprogramm von Pegasus -> sehr fein UND erlaubt -wie gesagt- die Rohansicht der Mail.......weiß allerdings nicht ob das der OUtlook auch kann -> denn habe ich immer gemieden.......aus subjektiven Gründen ;)

[Günter Cornett]

Roland G. Hülsmann schrieb:
>
> Ich habe auch schon ähnliche Mails bekommen, allerdings mit
> einem anderen Virenschutz-Namen. Die landen bei mir immer
> gleich in der Tonne!

Beruhigend, dann ist es also nicht speziell gegen Bambus gerichtet.

Mit dem Rest muss man wohl leben.

Gruß, Günter

[Günter Cornett]

Roland G. Hülsmann schrieb:
>
> Braz schrieb:
>
> > ..., aber ein wenig
> > komisch würde ich dies schon finden, wenn ich eine Mail von
> > meiner eigenen Mailadresse geschickt bekommen hätte ?!

von und an. Die Sache ist die, dass die mail vermutlich gleichzeitig an mehrere BCC:-Empfänger ging.

> Das ist leider - in beiderlei Sinn - nicht komisch:
> Eine Absenderadresse zu fälschen ist eine der leichtesten
> Übungen! Ich habe schon eine Menge Virenmails mit eigener

Jo, ist mir klar. Der Hinweis auf den 'Bambus Virenschutz' erschien mir in diesem Fall verdächtig, weil wir erst kurz vorher die Weiterleitungsadresse mit Virenschutz angeboten hatten.

> Und wie schon gesagt: Viren in Paßwortgeschützten ZIP-Dateien
> kann kein Virenscanner erkennen, da er diese Datei ja nicht
> zum überprüfen entpacken kann. In vielen Firmen sind daher

Aber wie kann der Empfänger sie denn öffnen? Ist also ungefährlich, oder?

> Paßwortgeschützte ZIP-Dateien von außerhalb grundsätzlich
> nicht erlaubt und werden als möglicher Virus entsorgt!
>
> (Wo bleibt da der Rechtsgrundsatz: "Im Zweifel für den
> Angeklgten!" ? ;-) )

Der 'Angeklagte' hat gegen das Verbot passwortgeschützter ZIP-Dateien verstoßen und wurde folglich zurecht hingerichtet. ;-)

> Ein erster Schutz, um nicht selbst zur Virenschleuder zu
> werden ist der Verzicht auf Outlook. (Das hat weniger damit

Das habe ich schon gemacht, als ich so gut wie gar keine Ahnung hatte.

> zu tun, daß Outlook unsicherer sei als andere als mehr damit,
> daß Outlook so weit verbreitet und daher für Virenautoren am
> "lukrativsten" ist!)

Ich denke: sowohl als auch. Die Microsoft-Programme sind auch enger mit dem Betriebssystem verbunden und können daher mehr Unheil anrichten (z.B. active-X).

Gruß, Günter

[Günter Cornett]

Braz schrieb:
>
> Hallo Günter,
>
> ich habe die Datei zwar nicht bekommen, aber ein wenig
> komisch würde ich dies schon finden, wenn ich eine Mail von
> meiner eigenen Mailadresse geschickt bekommen hätte ?!
>
> Daher dir Frage: In Pegasus-Mail kann man z.B. die Rohansicht
> der Mail sich anzeigen lassen.......darin kann man auch die
> dirkete Abstammunsadresse der Mail sehen.....das wäre doch

Den Header kann ich mir auch anzeigen lassen: -> Telekom-account.

> P.S. Wegen der Prüfung der Mail auf einen Virus durch externe
> Adressen würde mir nur evtl. eine zusätzliche Prüfung durch
> einen kostenlosen (!) Onlinevirenscanner z.B. von
> www.trendmicro.com , der immer auf dem aktuellsten stand sich

Ich lass meinen Virenscanner mehrmals im Monat aktualisieren.
Das Problem scheint wohl das passwortgeschützte ZIP-Verzeichnis zu sein, in das der trendmicro-Scanner sicher auch nicht reinkommt.

Gruß, Günter

[Carsten Wesel]

Roland G. Hülsmann schrieb:
>

> Und wie schon gesagt: Viren in Paßwortgeschützten ZIP-Dateien
> kann kein Virenscanner erkennen,

Und wenn die per Passwort geschützt sind, wie sollen sie mir dann schaden?

Gruß Carsten (der etwas verwundert ist, ob des Passwortes)

[Braz]

Carsten Wesel schrieb:
> Und wenn die per Passwort geschützt sind, wie sollen sie mir
> dann schaden?

naja ... der Virenscanner müßte die Datei zum checken intern entpacken...dies geht nicht, wenn die gepackte Datei per Paßwort geschützt ist. Wenn man hingegen selber die Datei öffnet (sozusagen mit Paßwort, welches in der Mail mitenthalten ist...in der Art wie "Zum Öffnen des Attachments einfach XYZ eintippen"... o.s. ;) ) dann könnte sich doch der Virus ausbreiten -> allerdings wäre man dann auch extrem doof :)) !
Hingegen wenn natürlich das Paßwort nicht bekannt ist, dann stimme ich mit dir natürlich diesbezüglich überein...... ;)

Gruß
Braz

[KMW]

Hallo Günter,
die Rückmeldung kommt zwar spät, weil ich Dein Posting erst heute gelesen habe. Aber solche Mails habe ich auch vom "SPIELBOX Virenschutz" bekommen, übers Wochenende ca. 5, darunter auch angeblich ein Spieleverlag als Absender (nicht Ihr).
Gruß
Knut

[KMW]

guckst Du hier:
http://www.heise.de/newsticker/meldung/46276

[Günter Cornett]

Danke,

Gruß, Günter

[Roland G. Hülsmann]

... und außerdem könnte natürlich ein anderes Programm oder eine anderes Makro diese Zipfdatei öffnen, indem das Paßwort als Parameter übergeben wird ...

Der Möglichkeiten gibt es viele ... und kein Virencanner kann den wachen Geist des Users ersetzen!

Gruß
Roland

[Volker L.]

Nur zur Information:

Ich habe heute eine verseuchte Mail erhalten, die angeblich
von kmw@kmws.de stammt, allerdings mit englischem Betreff
"Re: Your Bill".
Genauer gesagt habe ich nicht die Mail erhalten, sondern eine
Mitteilung des automatischen Virenschutzes, dass besagte Mail
in Quarantäne gesteckt wurde, da sie verseucht sei:
[i]
AntiVir auf mail.aip.de hat folgenden Virus in einer Mail an Sie entdeckt:

Worm/Netsky.D.Dam worm

[/i]

Gruß, Volker

[KMW]

Moin Volker,
zur Zeit treffen auf meinen Mail-Konten im Schnitt 5 verseuchte Mails pro Stunde ein - meist stecken Netsky-Würmer drin, in verschiedenen Varianten, seltener auch Sober.
Zum Glück funktioniert der Virenschutz bei Puretec sehr gut.
Grüße
KMW

[Volker L.]

KMW schrieb:
>
> Moin Volker,
> zur Zeit treffen auf meinen Mail-Konten im Schnitt 5
> verseuchte Mails pro Stunde ein - meist stecken Netsky-Würmer
> drin, in verschiedenen Varianten, seltener auch Sober.
> Zum Glück funktioniert der Virenschutz bei Puretec sehr gut.
> Grüße
> KMW

Jau - ich wollte nur warnen wegen der [i]angeblichen[/i]
Absenderadresse von Euch - nicht dass irgendein Forumsbenutzer
nur darauf guckt und sofort öffnet.

Gruß, Volker (der täglich ungefähr soviele Mitteilungen über
verseuchte Mails erhält wie Ihr pro Stunde, seit er auf dem
zentralen Mailserver des Instituts verwaltet wird)