Hi,
hab gerade den Sober-Wurm bekommen und bin etwas verwirrt. Der Wurm ist ja sofort als solcher zu erkennen (Batch als Anhang, haha) aber was mich irritiert ist die Absenderadresse. Das ist nämlich eine von meinen eigenen eMail-Adressen, allerdings eine, die ich seit langem nicht mehr benutze. Wie funktioniert so etwas?
Gruß
Bert
-IRON-
btrapp
„Falsche Absenderadresse bei eMails - Sober-Wurm“
Mailwürmer fälschen Absender, indem sie dazu Adressbestandteile auf infizierten Rechnern aus Adressbuch, Browsercache usw. extrahieren. Ist doch nicht neu.
btrapp
Nachtrag zu: „Falsche Absenderadresse bei eMails - Sober-Wurm“
Ja, ist nicht neu,
nur daß dies MEINE EIGENE eMail-Adresse ist, und mein Rechner ist nicht infiziert. Dieses eMail-Konto ist in meinem Outlook nicht mal mehr existent.
Bert
xafford
btrapp
„Ja, ist nicht neu, nur daß dies MEINE EIGENE eMail-Adresse ist, und mein...“
Ja, IN DEINEM. Aber wohl im Adressbuch der Person, die infiziert ist und diese Mail an dich geschickt hat. Ist zwar wirklich ein drolliger Zufall, aber kann passieren.
-IRON-
btrapp
„Ja, ist nicht neu, nur daß dies MEINE EIGENE eMail-Adresse ist, und mein...“
Ich schrieb von infizierten Rechnern. Hätte ich deinen REchner gemeint, hätte ich von DEINEM infizierten Rechner geschrieben.
Ich schrieb von Adressbestandteilen.
Wenn deine (nicht mehr existente) Adresse schwupp@diwupp.tld lautet und auf dem infizierten Rechner findet der Wurm
schwupp@schwapp.tld, diwupp@plopp.tld und boing@diwupp.tld, dann gibts eben auch eine Kombination schwupp@diwupp.tld, die der Wurm zusammenwürfeln kann. Und dabei hab ich noch nicht mal berücksichtigt, dass auch die diversen TLDs gewürfelt werden und der User des infizierten Rechners auf einer Webseite gewesen sein könnte, wo z.B. in einem Forum oder Gästebuch deine Adresse im Quelltext oder Klartext auftaucht.
Gurus
btrapp
„Falsche Absenderadresse bei eMails - Sober-Wurm“
nee, aber vielleicht warst du mal mitteilsam und hast Jemand ein eMail geschickt, und wie es der Zufall so wollte........... Weiterleitung etc. ..
MfG
Gurus
btrapp
Nachtrag zu: „Falsche Absenderadresse bei eMails - Sober-Wurm“
Ich glaub, ich muß noch mal deutlicher machen, was ich nicht verstehe.
Ich habe schon oft eMails mit Viren von Freunden bekommen. Wenn deren Rechner infiziert ist, verschickt sich halt der Virus über deren eMail-Konten an alle im Adressbuch. Sowas könnte ich vielleicht auch noch selbst programieren. Aber dabei wird ja auch der Absender angezeigt, den der Virus benutzt hat.
Wenn aber jemand z.B. eine eMAil abc@yahoo.de hat, wie kann er dann über diesen Acount eine Mail schicken, so daß als Absender eine völlig andere angezeigt wird? Die Daten die im eMail Quelltext als Internetkopfzeilen angezeigt werden, werden doch vom jeweiligen Mailserver generiert und sollten nicht von Inhalt der Mail abhängen.
Bert
T-Rex
btrapp
„Ich glaub, ich muß noch mal deutlicher machen, was ich nicht verstehe. Ich habe...“
Hi,
einen Mailserver interessiert es einen Dreck, was im Email-Quelltext im From-Abschnitt steht, da könnte auch A....@loch.de stehen.
Ein Mailserver interessiert sich nur für Adressen, die im Umschlag stehen. Den Umschlag bekommst Du meist nicht zu sehen.
Hier ein einfaches Beispiel (Visual Basic):
Tipp 0051: Emails via Winsock versenden
Die wichtigen Adressen stehen in OutFr und OutTo.
Der Rest ist dem Mailserver völlig schnuppe.
Der Virus kann also bei "From:" Deinen Namen und Deine Adresse eintragen, die Du schon lange nicht mehr benutzt.
Die meisten aktuellen Würmer haben eine eigene SMTP-Engine, mit dem sie Mails ohne zusätzlichen Mailserver verschicken können. Sie brauchen sich also nirgends als authentifizieren.
Tyrfing
btrapp
„Ich glaub, ich muß noch mal deutlicher machen, was ich nicht verstehe. Ich habe...“
>>Ich habe schon oft eMails mit Viren von Freunden bekommen. Wenn deren Rechner infiziert ist, verschickt sich halt der Virus über deren eMail-Konten an alle im Adressbuch. In den meisten Fällen läuft es eben nicht so, sondern der Wurm bringt einen eigenen kleinen Mailserver mit und verschickt sich darüber.
Und mit dem Adressbuch allein geben sich aktuelle Würmer schon längst nicht mehr zufrieden, sie durchsuchen alle Arten von Dokumenten nach Adressen, die sie dann als Ziel aber auch als angeblichen Absender verwenden
xafford
btrapp
„Ich glaub, ich muß noch mal deutlicher machen, was ich nicht verstehe. Ich habe...“
Neben den Möglichkeiten, die T-Rex und Tyrifing erwähnt haben (eigene SMTP-Engine) ist es auch kein Problem eine Absenderadresse zu spoofen. Das SMTP-Protokoll war nie wirklich auf Sicherheit ausgelegt und ist ein Dinosaurier des Internets, ein Mailheader lässt sich fast beliebig fälschen.
thomas woelfer
btrapp
„Falsche Absenderadresse bei eMails - Sober-Wurm“
btrapp
Nachtrag zu: „Falsche Absenderadresse bei eMails - Sober-Wurm“
Danke für die Infos,
ist schon interessant, wie leicht es Hackern z.T. gemacht wird.
Bert
xafford
btrapp
„Danke für die Infos, ist schon interessant, wie leicht es Hackern z.T. gemacht...“
Kann man so nicht sagen. Man muß sich nur anschauen, mit welchem Hintergrund und in welcher Umgebung die grundlegenden Protokolle des Internet entwickelt wurden, und was sie leisten sollten.
Gerade SMTP stammt aus einer Zeit, als sich fast ausschließlich Wissenschaftler vernetzten um wissenschaftliche Daten auszutauschen, die meisten Rechner hatten feste IP-Adressen und standen an Unis oder in Forschungseinrichtungen. Es bestand schlicht und einfach kein Bedarf für erhöhte Sicherheitsvorkehrungen. Das Internet war nie gedacht als 24 Stunden geöffnetes Kaufhaus mit angeschlossenem Freudenhaus.
Andylol
btrapp
„Falsche Absenderadresse bei eMails - Sober-Wurm“
Moin,
@xafford
"Das Internet war nie gedacht als 24 Stunden geöffnetes Kaufhaus mit angeschlossenem Freudenhaus."
--> Die Definition merke ich mir, die ist wirklich gut ;-)
@btrapp
Jetzt, da Du weißt wie unsicher SMTP ist (Open Relays etc.) traue nicht dem Header der Mail, sondern nur Deinem gesunden Menschenverstand :-)
Sollte Dein Posting vom 06.01.03, 19:43 ironisch gemeint gewesen sein:
Dieser Background steht auch in jedem besser oder schlechter gemachtem "Hacking-Guide" im Internet. Und "Idioten" die so etwas veröffentlichen, gibt es leider mehr als genug :-(
Gruß
Andylol
