Wie identifiziere ich eine infizierte Dose?

Dieses Thema im Forum "Software" wurde erstellt von Florian, 5. November 2003.

  1. Florian

    Florian New Member

    Jemand, in dessen Adressverzeichnis ich stehe, hat sich den "PE_DUMARU.A"-Virus eingefangen.
    http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_DUMARU.A
    Ich merke das an den angeblichen Microsoft-Mails, die ich mehrmals täglich kriege.

    Wie kriege ich raus, von welchem Rechner diese mails kommen?
    Der Header sieht folgendermaßen aus:
    Von: "Microsoft" <security@microsoft.com>
    An: <Florian***@t-online.de>
    Betreff: Use this patch immediately !
    Return-Path: <admin@duma.gov.ru>
    Received: from localhost ([213.7.60.135]) by mailin04.sul.t-online.de with smtp id 1AHQvh-2FEnOi0; Wed, 5 Nov 2003 17:54:49 +0100
    Mime-Version: 1.0
    Content-Type: multipart/mixed;boundary="xxxx"
    X-Seen: false
    Attachments: Es gibt 1 Anhang

    Langsam genervt,
    Florian
     
  2. macbob

    macbob New Member

    Ganz einfach:

    90% der Dosen sind infiziert, der Benutzer auch!

    Macbob:D
     
  3. Florian

    Florian New Member

    Ich kann die IP anpingen (die letzte dieser mails kam erst vor 2 Stunden), der infizierte Rechner ist offensichtlich noch mit dieser IP online.

    Gibt's einen Weg, die zugehörige mail-Adresse zu ermitteln?

    Eine Regel habe ich schon erstellt, ich würde halt gern dem Absender sagen können, daß er einen Virus in seinem System hat.

    Danke für die Antwort,
    Florian
     
  4. QNX

    QNX New Member

    Stimmt genau, das bekommst du nicht raus. Die IP kann auch falsch sein.

    Sie liegt im Bereich 213.7.0.0 - 213.7.255.255
    und dieser Bereich "gehört" freenet Cityline GmbH


    Zur Zeit benutzt jemand aus Berlin (Bereich bln2-d6) diese IP(213.7.60.135), aber ob das der Absender der Mail ist weiß man trotzdem nicht.

    QNX
     
  5. Florian

    Florian New Member

    Schade! Trotzdem danke für die Hilfe Euch beiden.

    Aus reiner Neugier, QNX: wie hast Du die oben geposteten Informationen ermittelt?

    Gruß,
    Florian
     
  6. QNX

    QNX New Member

    Das ist einfach mit LINUX und mit MacOSX geht das auch da es ja auf UNIX aufbaut.

    :wink: QNX
     
  7. Florian

    Florian New Member

    Das Netzwerk-Dienstprogramm ist das einzige Tool in dieser Richtung, das ich kenne - und damit komme ich nicht halb so weit wie Du. . .
     
  8. QNX

    QNX New Member

    OHHH genau jetzt ist er raus aus dem Netz!

    ne ne da gibt es Befehle für die Console.

    QNX
     
  9. kawi

    kawi Revolution 666

    Doch, Netzwerkdienstprogramm reicht.
    Netzwerkdienstprogramm:
    whois (whois.ripe.net) => 213.7.60.135
    inetnum: 213.7.0.0 - 213.7.255.255
    netname: MOBILCOM-CITYLINE-NET
    descr: freenet Cityline GmbH
    Willstaetterstrasse 13
    40549 Duesseldorf
    Germany

    trace =>213.7.60.135

    *
    *
    *
    12 bln2-d6-1.mcbone.net (62.104.208.42)
    13 b3c87.b.pppool.de (213.7.60.135)

    Bietet doch alles an, man muss nur wissen unter welchen Optionen :)
     
  10. QNX

    QNX New Member

    genauso ist es!

    :cool: QNX
     
  11. Florian

    Florian New Member

    AAAh, danke kawi!

    Bei Trace zeigt es mir allerdings nur eine Reihe von Nummern und setzt jeweils drei * dahinter.

    Gruß,
    Florian
     
  12. WoSoft

    WoSoft Debugger

    du kannst die Mail auch ablehnen (in Mail im Menü E-Mail). Dann geht die Mail an den Absender so zurück als ob es deine Emai-Adresse nicht gäbe.
    Wahrscheinlich wirst du dann aber eine Admin-Mail krigen, dass diese Mail nicht zugestellt werden konnte (weil die Adresse gefälscht wurde).
    cu
    Peter
     
  13. QNX

    QNX New Member

    :D wo haste das her?

    :wink: QNX
     
  14. Philipp_BK

    Philipp_BK New Member

    Das ist der Server vom Provider. Wäre ja noch schöner, wenn man anhand der IP einfach die Koordinaten ermitteln könnte. Ja, die Telekom kann das. Ansonsten aber niemand.
     
  15. frisco68

    frisco68 New Member

    eigentlich dachte ich immer, daß bei den WinDOSen die Rechner infiziert sind, und bei uns (Macianern) die User...
    :rolleyes:
     
  16. Philipp_BK

    Philipp_BK New Member

    Jahaaa!!! Aber die Koordinate die du bekommst ist die Koordinate vom Server. Wenn Du meine IP zurückverfolgst, zeigt dir das Ding sicher was mit 50. Breitengrad an.
    Das ist Mainz. Da sitz ich aber momentan nicht.
    Achja, und rechne mal aus, wie viel 0.1Grad Abweichung sind, wenn 360° 44 000 km sind. Also damit kannste seeeehr viel anfangen.
     
  17. robdus

    robdus warum gibt es Köln?

    kann es sein, dass die Mail hierher kommt:

    http://www.duma.gov.ru/

    In dem Return-Path stand eine Adresse mit dieser URL.
     
  18. kawi

    kawi Revolution 666

    Ich glaube nicht das wird wohl gefakt sein. url ist aus Russland. Die DUMA ist in Russland sowas wie das abgeordnetenhaus und sitzt quasi im "weißen Haus" zu Russland.
    http://gov.ru/ sind die WebSeiten der russischen regierung. duma.gov.ru ist demzufolge eine subdomain und unmittelbar Teil der webpräsenz der russichen Regierung wo sich das Abgeordnetenhaus präsentiert.

    Ich glaube nicht das russiche Abgeordnetenhaus Versender dieser mail ist ... das auftauchen dieser url im quelltext der mail ist wohl eher ein joke
     
  19. stocky2605

    stocky2605 New Member

    Wie infiziere ich eine identifizierte Dose?

    Sorry, konnte jetzt nicht anders ;-)
     
  20. stocky2605

    stocky2605 New Member

    Wie infiziere ich eine identifizierte Dose?

    Sorry, konnte jetzt nicht anders ;-)
     

Diese Seite empfehlen