000
20.06.2002, 16:32 Uhr
~Teasy
|
Mal wieder Viren. Diesmal worm/Klez.E in einer email und W32/Elkern.C3 in der nächsten. Sonst noch jemand? habe mit diesmal die Header gecutted und paste sie hier:
Return-Path: <bakkerijheijnen@planet.nl>
X-Flags: 0000
Delivered-To: GMX delivery to stefankroll@gmx.de
Received: (qmail 31126 invoked by uid 0); 20 Jun 2002 13:06:07 -0000
Received: from smtp02.wxs.nl (195.121.6.54)
by mx0.gmx.net (mx003-rz3) with SMTP; 20 Jun 2002 13:06:07 -0000
Received: from Zercfxsrc ([195.121.71.96]) by smtp02.wxs.nl
(Netscape Messaging Server 4.15) with SMTP id GY09PL00.Z2Y for
<stefankroll@gmx.de>; Thu, 20 Jun 2002 15:05:45 +0200
From: info <info@info.nl>
To: stefankroll@gmx.de
Subject: How are you
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=FB07Ne0u5103b5
Date: Thu, 20 Jun 2002 15:06:07 +0200
Message-ID: 20020620130607.31283gmx1@mx003-rz3.gmx.net
Return-Path: <bakkerijheijnen@planet.nl>
X-Flags: 0000
Delivered-To: GMX delivery to stefankroll@gmx.de
Received: (qmail 7485 invoked by uid 0); 20 Jun 2002 13:08:19 -0000
Received: from smtp04.wxs.nl (195.121.6.59)
by mx0.gmx.net (mx012-rz3) with SMTP; 20 Jun 2002 13:08:19 -0000
Received: from Muujktd ([195.121.71.96]) by smtp04.wxs.nl
(Netscape Messaging Server 4.15) with SMTP id GY09TA00.TAI for
<stefankroll@gmx.de>; Thu, 20 Jun 2002 15:07:58 +0200
From: bestelling <bestelling@renz.nl>
To: stefankroll@gmx.de
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=C55x42YOaak23S94850EPZZ
Date: Thu, 20 Jun 2002 15:08:20 +0200
Message-ID: <20020620130820.7497gmx1@mx012-rz3.gmx.net>
Wie man sieht, wurden sie beide von der IP 195.121.71.96 über den Mailserver von wxs.nl (Planet Internet) eingeliefert. Einmal war es der smtp02 und bei der nächsten Mail der smtp04. Hat wohl 2 Minuten später einen anderen Server erwischt, ein Provider hat schliesslich mehrere Mailserver. Ob der Einlieferer seine Maschine nun "Muujktd" oder " Zercfxsrc" nennt spielt auch keine Geige, ausschlaggebend ist nur die IP und die ist gleich. WXS hat die Mails gleich weitergereicht an GMX und somit waren die Viren bei mir. Eine WHOIS-Abfrage der IP bei http://www.iks-jena.de/cgi-bin/whois ergab, dass sie tatsächlich zu einem Block planet.nl gehört.
In meinen Augen sieht da am Header nix gefaked aus. Aber warum liefert der gute Mensch unter verschiedenen email-Namen ein, lässt aber den Return-Path unverändert? Oder versagt da einfach der Mechanismus des Virus? Habe noch nicht weiter über Klez/Elkern nachgelesen. Hat der eine eigene SMTP-Routine? Jemand eine Meinung dazu oder sonst noch jemand heute einen Virus bekommen?
Bye
Stefan
Dieser Post wurde am 20.06.2002 um 16:33 Uhr von Teasy editiert. |
