Hallo, ich erhalte neuerdings alle paar Tage mails in meist 10facher Ausfuehrung mit jeweils einem attached-file vom Typ *.doc.pif oder *.bat. Nun sollten die Dinger nicht auf meinem Linuxsystem (irgendwelche Viren/Prionen?) laufen.
Jedenfalls hat mir der zustaendige Admin des mailservers gesagt, er will versuchen, die mails herauszufiltern, was offensichtlich nicht funktioniert. Das "finetuning" soll ich jetzt selbst erledigen. Er hat folgendes in die .procmailrc geschrieben:
:0: * ^FROM_MAILERac14040003@freenet.de /dev/null
"ac14etc." ist diese gewisse Adresse. Aus den man-pages werde ich noch nicht so richtig schlau, ausser das man mails in bestimmte mailthreads umlenken kann usw. Und das null-device ist so eine Art Muelleimer? Koennt Ihr mir dazu kurz einige userfaehige Erlaeuterungen geben, vielleicht sogar Literatur? Meine beiden dicken Linuxschwarten tangieren das Thema nicht.
Danke, Torsten
Am Montag, 20. August 2001 11:44 schrieb Torsten Lange:
Hallo, ich erhalte neuerdings alle paar Tage mails in meist 10facher Ausfuehrung mit jeweils einem attached-file vom Typ *.doc.pif oder *.bat. Nun sollten die Dinger nicht auf meinem Linuxsystem (irgendwelche Viren/Prionen?) laufen.
Schicke mir das mal via mail zu - ich will meinen neuen virenscanner testen....brauche input
Mit freundlichen Grüßen
Jens Puruckherr
Am Montag, 20. August 2001 12:17 schrieb Jens Puruckherr:
Schicke mir das mal via mail zu - ich will meinen neuen virenscanner testen....brauche input
Ich habs. Danke. Das AVMailgate von H+BEDV macht langsam Spaß. Einfach zu installieren und konfigurieren und kost nix für privat. Und geht!
----- log file begin ----- info: extracting attachment 1 to /var/tmp/avCKT1yT/av-0 (encoding="8bit", name="(no name)", filename="(no name)") info: extracting attachment 2 to /var/tmp/avCKT1yT/av-1 (encoding="base64", name="Bearb__bung7.doc.bat", filename="Bearb__bung7.doc.bat") info: extracting attachment 3 to /var/tmp/avCKT1yT/av-2 (encoding="base64", name="Curriculum.doc.pif", filename="Curriculum.doc.pif") checking file "/var/tmp/avCKT1yT/av-1" VIRUS! the file "/var/tmp/avCKT1yT/av-1" contains code of "Worm/W32.Sircam" checking file "/var/tmp/avCKT1yT/av-0" checking file "/var/tmp/avCKT1yT/av-2" VIRUS! the file "/var/tmp/avCKT1yT/av-2" contains code of "Worm/W32.Sircam" ----- log file end -----
Mit freundlichen Grüßen
Jens Puruckherr
On Mon, Aug 20, 2001 at 11:44:19AM +0200, Torsten Lange wrote:
Jedenfalls hat mir der zustaendige Admin des mailservers gesagt, er will versuchen, die mails herauszufiltern, was offensichtlich nicht funktioniert. Das "finetuning" soll ich jetzt selbst erledigen. Er hat folgendes in die .procmailrc geschrieben:
:0:
- ^FROM_MAILERac14040003@freenet.de
/dev/null
Sieht gut aus. Um zu sehen, warum eine Regel trifft oder nicht müßtest du mal einen Header der zu filternden Mail schicken. Da der SPAM von einem deutschen Provider kommt sollte man sich an diesen wenden, damit er den Deppen abklemmt.
Außerdem: Bist du sicher, daß die einkommenden Mails wirklich durch procmail behandelt werden? Laß ein Logfile schreiben!
Reinhard
am Mon, dem 20.08.2001, um 11:44:19 +0200 mailte Torsten Lange folgendes:
Hallo, ich erhalte neuerdings alle paar Tage mails in meist 10facher Ausfuehrung mit jeweils einem attached-file vom Typ *.doc.pif oder
SirCam - Virus. Schau Dir mal die erste Zeile an, ist immer gleich.
Jedenfalls hat mir der zustaendige Admin des mailservers gesagt, er will versuchen, die mails herauszufiltern, was offensichtlich nicht funktioniert. Das "finetuning" soll ich jetzt selbst erledigen. Er hat folgendes in die .procmailrc geschrieben:
:0:
- ^FROM_MAILERac14040003@freenet.de
/dev/null
"ac14etc." ist diese gewisse Adresse. Aus den man-pages werde ich noch nicht so richtig schlau, ausser das man mails in bestimmte mailthreads umlenken kann usw. Und das null-device ist so eine Art Muelleimer?
/dev/null ist die Müllhalde.
man.pages zu procmail: procmail procmailrc procmailex procmailsc
procmail ist ein sehr leistungsfähiger Mailfilter, der zwischen dem Abholen der Mail (z.B. fetchmail) und dem Zustellen in das Postfach geschaltet wird.
Andreas
Torsten Lange wrote:
Hallo, ich erhalte neuerdings alle paar Tage mails in meist 10facher Ausfuehrung mit jeweils einem attached-file vom Typ *.doc.pif oder *.bat. Nun sollten die Dinger nicht auf meinem Linuxsystem (irgendwelche Viren/Prionen?) laufen.
Sieht nach OjE verseuchten Mails aus ....
Es gibt im Netz ein paar sehr schöne Dokumentationen (auch Deutsch) zu Procmail. Empfehlen kann ich dir auch http://junkfilter.sourceforge.net damit filter ich den ganzen Schmus raus
unter http://spam.abuse.net/spam/tools/mailblock.html#filters da finden sich auch einige Verweise zum Thema procmail.
ich selbst verfahre meist wie folgt: (hier Bsp. *.vbs) #---------------------- # VBS-belastete Mail landet im Aus :0: H * ^*filename="*.vbs" { :0: /var/log/scanmails } #---------------------
Gruss Mario Weidner
Torsten Lange wrote:
sorry..
http://junkfilter.sourceforge.net ist jetzt unter http://sourceforge.net/projects/junkfilter/ zu finden
Mario Weidner
Hi Thorsten,
das ist der SirCam Virus. Hatten wir auch in der Firma. Hier ein Artikel aus den pc-magazin News und eine Warnung von GMX. Bei Windows NT ist/war eine komplette Neuinstallation notwendig, bei Sinnlos 98 reichte eine "drüberinstallation". Seit dem ist er bei uns in der Firma nicht mehr aktiv geworden, so daß ich jetzt nicht weiß ob ein Antiviren Programm ihn entfernen kann.
<begin pc-magazin> Artenreichtum beim "SirCam"-Virus
Bereits jetzt taucht der erst kürzlich bekannt gewordene Virus "SirCam" in verschiedenen Variationen auf. Während die renommierten Virenhersteller "SirCam" als außergewöhnlich große Bedrohung ansehen, haben unsere Leser zum Teil nicht ganz so schlimme Erfahrungen gemacht. Offiziell soll das Virus den kompletten Ordner "Eigene Dateien" bei einer Infizierung per Email an alle Email-Adressen aus dem Outlook-Adressbuch versenden. Bei einigen Lesern wurde allerdings nur eine einzige Datei aus dem entsprechenden Ordner versandt. Der Dateiname wurde dabei zusätzlich mit der Endung .pif versehen. Es scheint somit kein Muster zu geben, nachdem das Virus die Datei auswählt. Trotzdem ist es möglich, dass vertrauliche Informationen an die Öffentlichkeit gelangen könnten. </begin pc-magazin>
<begin gmx> "SirCam", so der Name des e-mail-Wurms, mag zwar auf den ersten Blick wie die 1001. Variante des ILOVEYOU-Virus aussehen, entpuppt sich aber bei genauerem Hinsehen als weitaus perfiderer Vertreter seiner Gattung:
Gemeinheit Nr. 1: Unsere Standard-Warnung "Öffnen Sie niemals Attachments von Ihnen unbekannten Absendern!" bringt uns in diesem Fall nicht viel weiter. "SirCam" verbreitet sich von einem infizierten Rechner aus nämlich vorzugsweise an Adressen, mit denen das arme Wurm-Opfer aktuell in e-mail-Kontakt steht.
Gemeinheit 2: Der Wurm schnappt sich willkürlich Dokumente aus dem Windows-Verzeichnis "Eigene Dateien" und versendet diese. Wir möchten lieber nicht wissen, welche vertraulichen Informa- tionen auf diesem Wege bereits unerwünschter Weise ans Licht der Öffentlichkeit geraten sind.
Gemeinheit 3: Den Namen der auserwählten Datei behält "SirCam" bei (allerdings wird eine ausführbare Dateiendung wie .bat, .pif etc. angehängt. Das ist Gemeinheit Nr. 4, denn diese Dateiendungen werden von älteren Virenscannern als harmlos eingestuft.), fügt seinen eigenen Wurmcode am Anfang des Files hinzu und versendet sich dann über seinen eigenen, im Code integrierten SMTP-Server (Geheimheit 5) - an Adressen, die er sich aus fast allen gängigen Windows-e-mail-Programmen selbständig heraussuchen kann (Gemeinheit 6). Gemeinheit 7: Das Subject der versendeten e-mail richtet sich nach der als Anhang versendeten Datei - da hilft kein Filtern.
Gegen so viel geballte Gemeinheit hilft nur, was auch Mad-Eye Moody seinen "Verteidigung gegen die dunklen Künste"-Schülern im Harry Potter-Band 4 ans Herz legt: "IMMER WACHSAM!". Öffnen Sie kein Attachment, das Ihnen unaufgefordert zugeschickt wurde. Überprüfen Sie, ob Sie die aktuellste Version Ihres Virenscanners installiert haben.
Falls Sie der von einer geheimnisvollen Datei ausgehenden Versuchung nicht widerstehen konnten ("Ui, was mag da wohl drinstehen?" - KLICK.) und Ihren Rechner bereits infiziert haben, hilft Ihnen diese Seite weiter: http://www.trendmicro.de/virinfo/0109.html </begin gmx>
ciao Tilo
On 26.08.01 Tilo Wetzel (wetzel@dresden.nacamar.de) wrote:
Moin,
Gemeinheit Nr. 1: Unsere Standard-Warnung "Öffnen Sie niemals Attachments von Ihnen unbekannten Absendern!" bringt uns in diesem Fall nicht viel weiter. "SirCam" verbreitet sich von einem infizierten Rechner aus nämlich vorzugsweise an Adressen, mit denen das arme Wurm-Opfer aktuell in e-mail-Kontakt steht.
IIRC hat das ILOVEYOU auch gemacht. SirCam's hab ich auch schon von Leuten gekriegt, von denen ich noch nie was gehört hab. EOT, das hier ist die _L_UG-DD. Ein SirCam, den ich mit wine mal ausgeführt habe, hat bei mir keine dauerhaften Schäden hinterlassen, außer daß bei einigen Programmen am nächsten Tag das SUID-bit fehlte. Ich glaub aber nicht, daß das Eine mit dem Anderen was zu tun hatte.
H.
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Hilmar Preusse -
Jens Puruckherr -
Mario Weidner -
Reinhard Foerster -
Tilo Wetzel -
Torsten Lange