A virus was found in an email from:

ghostrider@kabsi.at

The message was addressed to:

-> me

The message has been quarantined as:

/var/lib/amavis/virusmails/virus-20030804-135142-915

Here is the output of the scanner:

checking drive/path (list): /usr/../var/lib/amavis/amavis-XXLhS7BG/parts
/usr/../var/lib/amavis/amavis-XXLhS7BG/parts/msg-915-2.exe
Date: 4.08.2003 Time: 13:51:41 Size: 92160
ALERT: [Worm/Klez.E virus] /usr/../var/lib/amavis/amavis-XXLhS7BG/parts/msg-915-2.exe <<< Contains signature of the worm Worm/Klez.E

Here are the headers:

------------------------- BEGIN HEADERS -----------------------------
Received: from localhost (martha [127.0.0.1])
by martha.ath.cx (Postfix) with ESMTP id 59C5511669
for <me>; Mon, 4 Aug 2003 13:51:40 +0200 (CEST)
X-Flags: 0000
Delivered-To: GMX delivery to me
Received: from pop.gmx.net [213.165.64.20]
by localhost with POP3 (fetchmail-5.9.11)
for me (single-drop); Mon, 04 Aug 2003 13:51:40 +0200 (CEST)
Received: (qmail 23955 invoked by uid 65534); 4 Aug 2003 11:51:11 -0000
Received: from top.kabsi.at (EHLO hal.kabsi.at) (195.202.128.73)
by mx0.gmx.net (mx008-rz3) with SMTP; 04 Aug 2003 13:51:11 +0200
Received: from Ujjaohtqp (h081217073083.dyn.cm.kabsi.at [81.217.73.83])
by hal.kabsi.at (8.11.1/) with SMTP id h74Bi4W0001111448
for <me>; Mon, 4 Aug 2003 13:44:04 +0200 (CEST)
Date: Mon, 4 Aug 2003 13:44:04 +0200 (CEST)
Message-Id: <200308041144.h74Bi4W0001111448@hal.kabsi.at>
From: hmeier <hmeier@gmx.at>
To: me
Subject: Japanese girl VS playboy
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=YYc4HRu1497nk53aD1hig716wl52739wATS6C
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
-------------------------- END HEADERS ------------------------------

hehe geil i glaub da ghosty weis noch nix von seinem glück :D



lg michi

Mittlerweile sinds schon 4 Stück ...

und vor allem:

Subject: Japanese girl VS playboy

... 7


Ghosty, bitte lösch mich aus deinem Adressbuch ...

i find den virus genial!!!!!


i steh irgendwie auf viren :D :D :D




lg michi

Also ich bin für Notschlachtung

jemand in seiner Nähe?

also, ich glaube, dassder ghosty unschuldig ist...

der klez fälscht absender-adressen. und offensichtlich ist ende
voriger woche die 2rc-hp auf mail-adressen gescannt worden,
denn auch ich habe (angeblich) von einem anderen 2rc-mitglied
den klez geschickt bekommen...

(siehe dazu diesen thread (http://nyx.at/bikeboard/Board/showthread.php?s=&threadid=10711))

CU,
HAL9000

81.217.73.83 momentan.

Leider hab ich grad keine Zeit seine Kiste runterzufahren.

ma losst doch den netten virus in ruhe. der is grad so in fahrt :D


lg michi

Original geschrieben von HAL9000
also, ich glaube, dassder ghosty unschuldig ist...

der klez fälscht absender-adressen. und offensichtlich ist ende
voriger woche die 2rc-hp auf mail-adressen gescannt worden,
denn auch ich habe (angeblich) von einem anderen 2rc-mitglied
den klez geschickt bekommen...

(siehe dazu diesen thread (http://nyx.at/bikeboard/Board/showthread.php?s=&threadid=10711))

CU,
HAL9000

Aha.
Und warum kommt die Mail dann von einer Kabsi Adresse?
Der Mail-Header erscheint mir auch schlüssig.

Von mir aus darf er seinen Compi behalten. Nur die Japaneeese Girls muss er hergeben..

:D

Original geschrieben von illuminatus
... Und warum kommt die Mail dann von einer Kabsi Adresse? ...
weil das die adresse ist, die der ghostrider bei seinem record
angegeben hat. siehe hier (http://nyx.at/2radchaoten/members.php)

apropost mail-header:
"From: hmeier <hmeier@gmx.at>": ist übrigens auch ein 2rc-mitglied... ;)

CU,
HAL9000

naaaaa ... i maaan _de_ adress:

81.217.73.83


(Für wie blöd hältst du mich?)

Original geschrieben von illuminatus
... 81.217.73.83 ...
stimmt, das ist definitiv kabsi...

die frage ist nur die... - falls es wirklich vom ghosty käme: läuft
sein rechner zuhause rund um die uhr? hat er keine fire-wall/virenscanner
installiert (kann ich mir nicht vorstellen, er ist vom fach)? bzw. hat
er einen einen so alten browser installiert, dass er überhaupt
für den wurm anfällig ist...

fragen über fragen... - die wird er erst beantworten können, wenn
er online ist... - oder vielleicht hat er sich eh schon abgesetzt aus
angst vor der rache des bikeboards... ;):p

CU,
HAL9000

das habe ich vorhin überlesen...

Original geschrieben von illuminatus
(Für wie blöd hältst du mich?)
nana... - net gleich ausrasten... - ich weiß, dass du vom fach bist.
diesbezüglich sicher noch viel mehr als ich, und ich wollte dich
sicher nicht belehren, wie man einen mail-header zu lesen hat.

aber es ist schon auffällig, dass diese klez-welle ausschließlich mit 2rc-adressen über uns schwappt...

hattest du im mail-header auch einen "return-path"?

CU,
HAL9000

Port State Service
69/tcp filtered tftp
111/tcp filtered sunrpc
135/tcp open loc-srv
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
161/tcp filtered snmp
162/tcp filtered snmptrap
201/tcp filtered at-rtmp
202/tcp filtered at-nbp
203/tcp filtered at-3
204/tcp filtered at-echo
205/tcp filtered at-5
206/tcp filtered at-zis
207/tcp filtered at-7
208/tcp filtered at-8
445/tcp filtered microsoft-ds
1025/tcp open NFS-or-IIS
5000/tcp filtered UPnP
Remote operating system guess: Windows Millennium Edition (Me), Win 2000, or WinXP


Mit dem Browser hat des nix zu tun:

Klez.E

The worm exploits a vulnerability in Microsoft Outlook and Outlook Express in an attempt to execute itself when you open or even preview the message in which it is contained. Information and a patch for the vulnerability are available at http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

The worm overwrites files and creates hidden copies of the originals. In addition, the worm drops the virus W32.Elkern.3587, which is similar to W32.ElKern.3326.

The worm attempts to disable some common antivirus products and has a payload which fills files with all zeroes.

Buaschn. Irgendwo bin i ausgstiegn. Gibts jetzt japanesierte Mädels oda ned???


:D

Na zum Glück bin i net vom Fach, weil anscheinend derwischt der Virus nur solche...

Is wohl die Rache weils immer so a unverständliches Kauderwelsch daherbrabbeln. :D :D :D

Original geschrieben von illuminatus
... Mit dem Browser hat des nix zu tun ...
mit ie >= 5.5 sp2 ist dieses sicherheitsloch aber gestopft, das
habe ich gemeint mit "altem browser"... ;)

ok, streit ma nimma... - warten wir ab, was der ghosty dazu zu
sagen hat...

CU,
HAL9000

Ich denke nicht, daß es seinen Compi erwischt hat.

Die IP-Adresse ist anscheinend auch nicht fix sondern "dynamisch".

Vielleicht ist es doch einer vom BB, der
- an ghosty gemailt hat
- die 2RC-Homepage (Mitgliederliste) aufgerufen hat

Grast der Wurm nicht alle lokalen Dateien nach div. "Verwertbarem" ab (Mailadressen)?

Die Ports macht er nur auf, daß jemand anderer rum.... kann (wenns wahr ist).

Zusatz: ich hab einen AON-Account .....

Original geschrieben von Nightrider
Is wohl die Rache weils immer so a unverständliches Kauderwelsch daherbrabbeln. :D :D :D


bahnhof :o

hehe.... der Geist überwacht alle eure Computer... :devil:

na ich bin es nicht..

Firewall
2fach Virenschutz
mach keine verdächtige Mails auf

ghostrider ist nur eine alias-adresse die auf meinem Rechner nicht exístiert. Liegt nur bei wenigen Stellen auf ua 2RC bzw bikeboard.

Der Wurm hat letzte Woche begonnen für mich Mails zu schreiben, zuerst Hinweise aus deutsch-und englischsprachigen Raum. Mittlerweile bekomme ich Virenwarnungen in spanisch, italienisch und japanisch (ohne Mädels)

also Obacht die nächsten Tage wenn ghostrider schreibt ;)

Muß ich ab jetzt die mails von dir löschen? :( :p

Original geschrieben von Isa
Muß ich ab jetzt die mails von dir löschen? :( :p

nö sind ja von mir und nicht vom Geist :rolleyes:

aso :D

.......die Geister die ich rief,
werde ich nun nicht los?......

so ein Ghostwriter ist sicher recht praktisch, der ist scheinbar ein bißl übereifrig - gut zureden und kalte Umschläge hilft sicher....... :D

na mein gott na!

nur weil er a virus is? gegen die bosnier, türken und afrikaner hamma ja aa nix! oder seids jetzt a bissl rassistisch?
solang er a gültige aufenthaltsbewilligung und a arbeitserlaubnis hat.....
:D :s: :f: ;) ;) ;)

Original geschrieben von Roox
doch, das zum beispiel:... :k:
de meldung hättst uns wirklich ersparn können

Original geschrieben von Roox
doch, das zum beispiel:

Noch tiefer gehts wohl kaum.... :mad:

Ich bin ja auch gerne lustig, aber DAS ist definitiv nicht lustig!

:mad:

Roox. Das ist ja wirklich letztklassig und nicht lustig.


:mad:

Und hiermit geht der brunzeraward für den Monat August wieder einmal an:

roox

Original geschrieben von TomCool
Und hiermit geht der brunzeraward für den Monat August wieder einmal an:

roox bitte net, der is no stolz drauf :mad:

Original geschrieben von aflicht
bitte net, der is no stolz drauf :mad:
koenntest recht haben :o
besser ignorieren :s:

roox, wie er leibt und lebt... - darf ich diese meldung mit deiner
adresse eh ins afrikanerdorf schicken, oder... :mad:

ein fassungsloser
HAL9000

ngut,

Ghosty, i glaub i muss mi entschuldigen.

s' war halt schon seeehr verdächtig:
der Alias _und_ eine mögliche IP ...

sorri *knirsch*

Original geschrieben von illuminatus
ngut,

Ghosty, i glaub i muss mi entschuldigen.

s' war halt schon seeehr verdächtig:
der Alias _und_ eine mögliche IP ...

sorri *knirsch*

wofür? im ersten Moment hab ich auch gedacht ich bin verseucht :D

Bin nicht grad ein Insider, hab ein bisschen gebraucht bis ich herausgefunden hab, wer Roox in diesen Thread ist.

Auf die Gefahr hin, dass ich jezz auch den Brunzeraward bekommen könnt, geb ich ihm teilweise recht.
Ich war gestern Abend mit meiner Frau auf der Copa Cagrana (das erste Mal wieder seit Jahren) und hab meinen Augen nicht getraut: Soviel Schwarze auf einen Haufen die noch dazu ungeniert mit allen möglichen Suchtgiften dealen, des geht auf ka Kuahaut tät ich sagen!!!
Polizei war aber eh zeitweise präsent.....
Aber wie's so ist, kaum dreh'st dich um, tan's scho wieder weiter!

Ich hoffe, ich trete damit keine Lawine damit los....

Das mitn Virus is natürle auch so eine Sache - is da etwa die Mailinglist vom Chaotenserver irgendwie mit drinnen???

Original geschrieben von Ferrum
Bin nicht grad ein Insider, hab ein bisschen gebraucht bis ich herausgefunden hab, wer Roox in diesen Thread ist.

nicht getraut: Soviel Schwarze auf einen Haufen die noch dazu ungeniert mit allen möglichen Suchtgiften dealen, des geht auf ka Kuahaut tät ich sagen!!!
Polizei war aber eh zeitweise präsent.....
Aber wie's so ist, kaum dreh'st dich um, tan's scho wieder weiter!


's gibt genügend Europäer, die auch dealen.......halt tlw. woanders (u. tlw. mit den Afrikanern, nur bei denen schaust automatisch hin, warum auch immer, dann fällt dir auch alles auf was sie machen).

ist traurig genug, wenn sich jemand zu sowas motivieren läßt, um damit Geld zu verdienen.

Hast recht Bernd, einer der optisch aus der Reihe fällt, ist natürlich oft ein Hingucker, und genau in Kombination mit deren Beschäftigung (natürlich nicht alle) kommen dann solche Meinungen dabei heraus!

Es wäre ja interssant, welcher Prozentsatz der sogenannten Ausländer gesellschaftlich nicht tragbar wäre (ist natürlich nicht nachvollziehbar) und das Selbe mit den Inländern.....(auch nicht nachvollziehbar)


Doch zum Virus: Was oder wie könnte man diese Geschichte aus der Welt schaffen???
Da wär doch mal die Quelle zu suchen, oder nicht???