Hallo Gemeinde,
Vor einigen Tagen wurde meine E-mail missbraucht zum Senden von SPAM. Ich bemerkte das, weil in meiner McAfee Anti SPAM Inbox in Outlook ploetzlich 3000 zurueckgewiesene E-Mail Benachrichtigungen auftauchten. Ich bin dann sofort zur Internet Inbox meines e-mail Accounts gegangen und dort fand ich noch 800 weitere, noch nicht downgeloadete e-mail Sende-rejections.
Mittlerweile hatte mein Hoster mich auf seine SPAM Blacklist gesetzt, deshalb wurden alle Sendeversuche neuer e-mails zurueckgewiesen.
Ich untersuchte den erweiterten Header der SPAM mails, die mein Hoster bereitstellt und fand als Originator die IP 117.219.68.176, die lt. einem Who Is Service einem Provider in Bangladore / Indien gehoert. Ich setzte mich ueber ein anderes e-mail Account mit ihm in Verbindung und meldete den Missbrauch meines e-mail Accounts. Daraufhin kamem keine weiteren SPAM mails mehr. (Man machte Reklame fuer Cialis / Viagra in den SPAMs fuer eine russische Online Apotheke).
Der Verursacher hatte mein McAfee Realtime Scanning ausgeschaltet (keine grosse Tat, da gibt es eine Enable/Disable Datei auf der Harddisk).
Meine Fragen nun, um mich besser zu schuetzen:
1. Wie funktioniert der Zugriff auf meine e-mail vom Ablauf her?
Ich habe vorher keine unbekannten Mails geoeffnet. Die landen bei mir immer! ungelesen im Deleted Item Folder. Auch habe ich meines Wissens keine indische Internetseite geoeffnet. Mein McAfee aktualisiert sich immer automatisch auf den neuesten Stand. Auch oeffne ich nur Internetseiten, die McAfee mit gruenem Logo als unbedenklich bezeichnet.
2. Ist der Verursacher ein Trojaner oder ein Virus?
Weiss jemand Antworten auf meine Fragen?
Uebrigens, mein Hoster hat mich wieder von der SPAM Blacklist heruntergenommen.
Gruesse aus Wang Nam Kiaw - Thailand
Sigi Saudi
Internet-Software, Browser, FTP, SSH 4.707 Themen, 38.979 Beiträge
1. Wie funktioniert der Zugriff auf meine e-mail vom Ablauf her?Es ist müsig darüber zu diskutieren, wie Spammer an Deine Daten kommen, eventuell durch Bekannte von Dir deren PC ausspioniert wurde, oder es wurden von Deinem Provider Datenbanken gehackt etc.
Ergo: Ändere Dein Passwort monatlich gegen eines welches nicht so leicht durch Spamroboter "erraten" werden kann z.B. 123456, oder Passwort.
2. Ist der Verursacher ein Trojaner oder ein Virus?Kann man per Ferndiagnose nicht sagen oder feststellen, wie sieht es mit Deinem Verhältnis zu PC aus ?
Führst Du regelmäßige Updates durch Adobe, Net Framework etc.
Meine Fragen nun, um mich besser zu schuetzen:Du kannst nu folgendes machen, Deinen PC aktuell halten, Dich nicht auf Plazebo Software verlassen, so nach der Art "Ich installiere eine Security Suite und richtet es dann schon", richtig ist, diese kann Dich unterstützen, mehr aber auch nicht, und eines vorab, wenn dann installiere eine Antivirensoftware und keine wo noch eine Firewall drin ist, denn die Windowseigene ist meist besser.
Und klicke nicht auf einen Link, wo Du einen dubiosen Newsletter etc,. abmelden kannst außer Du weißt dass Du diesen bestellt hast, denn dies ist ein Zeichen für den Spammer, dass es Deine Emailadresse wirklich gibt.
Wenn es ganz schlimm wird die alte Emailadresse killen und eine neue verwenden, oder besser zwei, eine für Softwareaktivierungen bzw. Newsletter und eine ausschließlich für private Korrespondenz.
2. Ist der Verursacher ein Trojaner oder ein Virus?Wie schon Conqueror erwähnte, können durch Malware deine Login-Daten ausgespäht worden sein. Dann wäre der PC kompromittiert und komplett neu aufzusetzen. Allerdings müssten dann die Spam-Mails auch über das Webinterface in deinem Gesendet-Ordner deines Providers einsehbar sein.
Es versteht sich von selbst, dass der Passwort-Wechsel über einen anderen PC aus erfolgen muss, damit spionierende Software das nicht nachvollziehen kann.
Es kann aber auch durchaus sein, dass der Spammer einfach nur deine Adresse als Absendeadresse eingesetzt hat, OHNE Zugriff auf dein Konto zu haben. Adressfälschung ist trivial und Standard.
In dem Fall kannst du gar nichts tun. Deine Mailadresse ist dann "verbrannt" und du brauchst eine neue.
Ich habe vorher keine unbekannten Mails geoeffnet.Über 60% aller Malware gelangt nicht durch das Öffnen dubioser Mails und Mailanhänge auf den PC, sondern durch eine Drive-by-Infektion beim Surfen auf scheinbar harmlosen, unverdächtigen Seiten, sofern wenigstens ein Browser-Plugin veraltet und damit angreifbar ist.
Es kann aber auch durchaus sein, dass der Spammer einfach nur deine Adresse als Absendeadresse eingesetzt hat, OHNE Zugriff auf dein Konto zu haben. Adressfälschung ist trivial und Standard.
Ist das nicht sogar der häufigste und wahrscheinlichste Fall?
Nicht dass ich dem Sigi schon jetzt Entwarnung geben möchte, aber dass tatsächlich über seinen Account Mails verschickt wurden, halte ich eher für abwegig.
CU
Olaf
Hallo Conqueror, hallo Iron67, hallo Olaf19,
Vielen Dank fuer eure hilfreichen Beitraege. Ich klicke niemals auf Links, die anbieten, dass man einen Newsletter abbestellen kann. Den Trick kenne ich. Updates der installierten Software fuehre ich, einschliesslich Windows 7, immer aus, wenn sie angeboten werden.
Die SPAM E-Mails sind nicht im "Gesendet" Ordner meines Hosters sichtbar, aber er setzte mich auf die Blacklist, weil ueber meine Mail und den Hoster (es ist Appserv) tatsaechlich die e-mails verschickt wurden. In meiner Web-Inbox fand ich auch noch 800 zurueckgewiesene SPAM mails (Ich habe Sendebestaetigung senden aktiviert). Ich habe diese Bestaetigungen dann gleich auf Web Account Ebene geloescht.
Was nun den Adressmissbrauch betrifft, die zurueckgewiesenen Mais enthielten alle den erweiterten Header wie folgt:
Zitat:
Viewing Full Header – View message
Received: from CHAITANY-ED9190 (unknown [117.219.68.176]) by ns18.appservhosting.com (Postfix) with ESMTPA id 5AA6910089C
for <wjvlgcs@yvcmv.com>; Tue, 31 Jul 2012 19:52:11 +0700 (ICT)
From: Rebecka Nesbitt <sieg@moon-and-sun.com>
To: wjvlgcs@yvcmv.com <wjvlgcs@yvcmv.com>
Subject: Buy Ciails and Viarga online!
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 15.4.3538.513
X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3538.513
Content-Type: text/plain;
charset="UTF-8"
Content-Transfer-Encoding: base64
Message-Id: <20120731125211.5AA6910089C@ns18.appservhosting.com>
Date: Tue, 31 Jul 2012 19:52:11 +0700 (ICT)
Zitatende
Diesem Header konnte ich unter anderem entnehmen, dass der Mist von der IP 117.219.68.176 kam. Ich habe den ISP provider nach einem Who Is sofort verstaendigt und danach hoerte der Missbrauch meines e-mail Accounts auf. Die Zeile des Headers "Date: Tue, 31 Jul 2012 19:52:11 +0700 (ICT)" zeigt mit dem letzten Kuerzel (ICT) an, das Indian Central Time verwendet wurde. Der Who Is, der nach Bangalore / Indien verwies, war also richtig.
Aus dem Header kann man auch entnehmen, dass vor meine e-mail Adresse staendig wechselnde Namen wie z. B. "Rebecka Nesbitt" gesetzt wurden, was einfach zu machen ist.
Ich habe dieses e-mail account vorsichtshalber geloescht.
Die Sache war zwar aergerlich, aber interessant.
MfG
Sigi Saudi
Ich habe dieses e-mail account vorsichtshalber geloescht.
Denke auch, dass das besser ist. Die Adresse ist jetzt einfach "verbrannt", von der will niemand mehr Mails empfangen.
Dass in deinem Gesendet-Ordner keine gesendeten Spams lagen, deutet lediglich darauf hin, dass für den Spamversand kein Webmailer benutzt worden ist, sondern eine "externe" Software - was aber, ehrlich gesagt, keine große Überraschung ist.
CU
Olaf
Ist der Verursacher ein Trojaner oder ein Virus?
Wofür soll diese Information dienen?
In der Fachwelt werden diese Begriffe sehr unterschiedlich definiert. Meiner Meinung nach ist jeder Virus auch ein Trojaner (bzw.: Jede durch einen Virus infizierte Datei ist ein Trojaner.).
Aber im Prinzip ist das doch völlig unwichtig: All diese Schädlinge gehören ganz allgemein zur Kategorie "Malware" oder eben "Schadsoftware". Wenn Dein Rechner damit befallen sein sollte, muss das System zwangsläufig neu eingerichtet werden (bzw. ein sauberes Image eingespielt werden). Es ist also völlig unerheblich, ob man genau weiß, ob es ein Virus oder ein Trojaner ist. Du kannst Dir nie sicher sein, welche Funktionen tatsächlich von dem Schädling ausgeführt werden, Du kannst letztendlich also auch nie sicher sein, ob der Schädling die eine oder die andere Definition erfüllt.
Gruß, mawe2