[Hoss]

irgentwer hat sich en "spaß" gemacht und von meinem e-mail konto trojanermails versand da muss irgentwer mein pw geknackt haben ich hab sogar mehrere beschwerde mails bekommen aber der inhalt der mails is auch echt dreist:

> Juten Tach,
> habe mal einen internet port scan gemacht. dabei konnte
> ich deinen rechner sehen und einsteigen.
> deine mail adresse hab ich auch auf deinem pc gefunden.
>
> bei dir ist der trojaner lsass.exe am wüten. deshalb kann
> jeder auf deinen rechner zugreifen!
> du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
> du wirst aber feststellen, das er sich nicht beenden lässt.
> solltest du windows98/me haben, siehst du ihn erst gar nicht im task!
>
> dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
> hat es gedauert, bis ich endlich ein programm zum entfernen
> gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
> meld dich einfach.


also ich geb euch en tipp benutzt sichere passwörter gebt sie niemandem und öfter der pw wechseln!!!

[tobiasndw]

Hä? Bei mir läuft dieser Dienst auch!

[Hoss]

das ist en windows dienst deswegen is es auch recht fies

[Torben]

ich denk ma das erklärt sich dadurch das das ein system dienst ist, der sich nicht beenden lässt damit die mailempfänger das mit dem trojaner glauben...

[Dimension]

lsass.exe ist n Subsystem von Windows, das ist eher ein Hoax-Mail

Aber Mails mit gefakter Adresse zu versenden, ist nicht sonderlich schwer, da braucht man das PW vom vermeintlichen Absender nich zu. Ich könnt auch ein Mail von [email protected] versenden, wenn ich was wollen würde.

Schau dir am besten mal den Header von dem Mail an, dann siehst du von wem bzw welchem Provider das kommt ...

[Hoss]

From [email protected] Fri Jan 16 23:39:28 2004
Return-Path: <[email protected]>
X-Flags: 1001
Delivered-To: GMX delivery to [email protected]
Received: (qmail 27002 invoked by uid 65534); 16 Jan 2004 23:38:57 -0000
Received: from ACB08B83.ipt.aol.com (EHLO ZTORMRIDER.de) (172.176.139.131)
by mx0.gmx.net (mx021-rz3) with SMTP; 17 Jan 2004 00:38:57 +0100
From: [email protected]
Subject: Ein Trojaner ist auf Ihrem Rechner!
X-MailScanner: result ok
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="====ZTORMRIDER_036f386edb06e9.bd96fa1"
To: [email protected]
Date: Sat, 17 Jan 2004 00:39:28 +0100
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 4 (From mass domain over foreign mail server)


wie kann man denn die infos da raus lesen?

[Meltdown]

Zitat (tobiasndw: 19.01.2004, 22:11)

Hä? Bei mir läuft dieser Dienst auch!

Tobias -
Das ist ein HOAX !!

Ein Systemdienst: Ihr macht diesen Quatsch doch wohl nicht etwa, der in
der Mail steht...

Diese Methode ist uralt - ungefahr genauso dämlich wie diese angeblichen Microsoft Patch-Mails...

[Hoss]

ja das is so ne richtig geile mail auf die viele leuts reinfallen weils einfach authentisch is für jemanden der sowat nich weiß das das ne systemfunktion is

[tobiasndw]

wußt ichs doch

[wiz]

Zitat (Hoss: 19.01.2004, 22:18)

wie kann man denn die infos da raus lesen?

die Mail soll angeblich von einem GMX-Account kommen - aber wenn du dir genau anschaust, steht da:

Zitat

Delivered-To: GMX delivery to [email protected]
Received: (qmail 27002 invoked by uid 65534); 16 Jan 2004 23:38:57 -0000
Received: from ACB08B83.ipt.aol.com (EHLO ZTORMRIDER.de) (172.176.139.131)
  by mx0.gmx.net (mx021-rz3) with SMTP; 17 Jan 2004 00:38:57 +0100
From: [email protected]
Subject: Ein Trojaner ist auf Ihrem Rechner!
...

das fette - daran siehst du, dass die Mail ursprünglich von einem AOL-Account kam.

Das Absender-fälschen nennt sich Spoofing und ist zB. auch bei Sober in Aktion getreten...

[Hoss]

thx für die info fals ich wieder ne mail bekomm kann ich denen einfgach sagen se sollen ma de header durschaun erstens benutz ich outlook 2003 un werd niemlas bei aol gehn auch wenns bei denen ne flat für 5€ gibt

[Meltdown]

Das seltsame daran: Man kann ja sehen, das das ein Systemdienst ist, Dienste
die erst mit User-Rechten gestartet wurden (und das wäre bei fremden Tasks wohl der Fall) - da sieht man den Usernamen dahinter.

Aber das verstehen die Leute nicht - selbst wenn Sie den Taskmanager vor sich haben,
und es lesen könnten...

Ich hab Leute schon selbst per Mail gewarnt vor Exploits (Blaster & Co. damals).
Aber diese Mails haben alle eine persönliche Note - das was diese Mails nie haben.
Daran kann man diesen Blödsinn eigentlich auch sofort aussortieren.

Das wäre so einfach, selbst wenn er von einer bekannten Adresse käme.

Ich versteh das nicht. Naja. Hauptsache ich halte mein System sauber, man kann
nicht auf alle aufpassen...

@Tobias: Du hinterfragst aber zumindest diese Mails. Das ist gut so. Das machen nicht viele. Immer mitdenken...

Dieser Beitrag wurde von Meltdown84 bearbeitet: 19. Januar 2004 - 23:03