| |
 |
| Win32 Virus DOSt Mailserver |
|
|
Veröffentlicht durch Ventilator am Dienstag 14. Januar, 15:53
Aus der Anfang-vom-Ende Abteilung
|
|
|
|
|
bit schreibt "Ein neuer Virus für Windows-Systeme ist unterwegs. Eigentlich nichts neues... McAfee bezeichnet ihn als W32/Sobig@MM. Er hat die unangenehme Eigenschaft, als Absender seiner Mails <big@boss.com> zu setzen - die Firma Boss Game Studios ist derzeit komplett offline..."
|
|
|
|
|
|
|
"Wie kann es zu so etwas kommen? Der Virus ist reichlich simpel. Er sucht sich auf der lokalen Disk alle interessanten Files mit Mailadressen und schickt sich direkt an diese. Dabei verwendet er nicht die übliche MAPI Schnittstelle, sondern einen eingebauten SMTP-Sender.
Trifft nun eine solche Mail auf einen Mailserver, welcher nach Viren filtert, so wird der Käfer entdekt. Die meisten Filterprogramme - z.B. AMaViS schicken eine Warnung an den Absender zurück - welcher in diesem Fall die vermutlich völlig unbeteiligte Firma Boss ist.
Mit dem Wissen, dass heute Viren noch nach Monaten aktiv sein können, gehe ich davon aus, dass die Domäne boss.com nun faktisch wertlos ist und am besten gleich aufgegeben wird. Alternativen sind bestenfalls eine besonders dicke Leitung und viele $$$ um die typische Volumengebühr zu verkraften.
Spinnt man das ganze weiter und überlegt sich, wie viele typische Windows-User bedenkenlos Attachments ausführen, so wird einem schnell klar, dass über diesen Weg ein enormes DDOS-Potential besteht. Ein solcher Angriff auf Symlink würde glatt das Aus dieses Newstickers bedeuten :-(
Vielleicht noch ein Hint für alle AMAViS User unter Euch: Im amavis Script die Zeile
my $warnsender = "yes";
nach
my $warnsender = "no";
ändern, um wenigstens eine minime Schadensbegrenzung durchzuführen. Das dumme ist bloss, dass Leute, die irgendeinen "normalen" Käfer haben, dies fortan über Monate nicht mehr merken werden."
|
|
|
|
< Viele Cybercrime-Meldungen | Druckausgabe | Palms Pläne für Graffiti 2 > | |
|
|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
|
|
|
|
|
|
|
|
|
MX Record der Domain rauswerfen, ein eventueller Hostnameneintrag ohne Host ("boss.com" auf WWW) entfernen und eine Subdomain für Mails aufmachen. So kommen wenigstens die Warnungsmails nicht mehr weit, weil sie keinen Empfängerhost finden (DNS lookup schlägt schon fehl).
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
|
|
|
|
... sind einfach nur totaler Bullshit (Gründe sind ja klar nach Klez und Co). Die HSR (Hochschule Rappi) hat die auch aktiv - mal schauen wie lange noch nach meinem eMail an den pöstlermeischter.
--
There are only 10 types of people in the world: those who understand binary, and those who don't.
|
|
|
|
|
|
|
|
|
|
|
|
|
Eigentlich sollten MXen die Mails ja direkt beim Empfang bouncen.
Aber ich weiss, Exchange macht das nicht und wenn so ne Mail auf einen Backup MX landet ist es das auch schon gewesen.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Sollen sie das?
Waehre froh ueber ein RFC und Abschnitt.
(Ich habe 2821 und 821 gelesen, und habe nie eine Stelle gefunden, in der das so beschrieben steht).
|
|
|
|
|
|
|
|
|
|
|
|
|
Ähm, was meist Du mit MX und bouncen? Wenn sie empfangen wurde, warum bouncen? Und wen meist Du? Den Server bei boss? Dann ist die Mail ja schon da und hat Traffic erzeugt.
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
|
|
|
|
Er meint wahrscheinlich die boss.com MX's.
Und, das diese die Mails nach einem RCPT TO: mit einem 550 beantworten sollen.
|
|
|
|
|
|
|
|
|
|
|
|
|
Aha, ok. Aber alleine das verursacht schon einiges an Traffic und Last. Wenn der Virus da ständig neue Mails rausschickt, die dann vom Scannern gefunden werden und damit boss benachrichtigen wollen, bleibt trotzdem viel Traffic. Mag das gar nicht erst hochrechnen.
--
$ cd /dos/c/MICROSO~1
$ rm -rf *
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 14. January, 18:22 MEW (#9)
|
|
|
|
|
wär es nicht sinnvoller am Mailserver nur
Mails vom entsprechenden MX Eintrag anzunehmen?
Das quasi Mails die von foo@bar.com stammen nur
entgegengenommen werden, wenn ein MX-Record von bar.com diese anliefert? Damit sollten doch die meisten Wurm-Mails direkt scheitern.
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 14. January, 22:33 MEW (#11)
|
|
|
|
|
hmmm..
hat mich nicht ganz überzeugt ( vielleicht steh ich auch auffem Schlauch :)
zu1) Da man ja mehrere MX Einträge haben kann, könnte man diesen Server auch noch eintragen lassen
zu2) Naja, pop before smtp oÄ sind immer sinnvoll und würden das unterbinden, hast du ja schon angemerkt.
Ich bin mit SMTP nicht so firm, aber ich denke einiges würde sich sicherlich mit der richtigen Konfiguration verhindern lassen.
btw: gabs da nicht mal nen Vorschlag fuer nen Alternatives Protokoll?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Mail senden und Mail empfangen sind eigentlich zwei total unterschiedliche Anforderungen.
Es ist nicht immer machbar / erwuenscht, auf einen sendenden eMail-Server ein MX zeigen zulassen.
Hier nochmals zwei Beispiele:
Du betreibst Deinen eigenen smtp-relay um eMails zu senden via einen ADSL- oder Dial-up-Account mit dynamischer IP. Darauf moechte ich eigentlich lieber keinen MX zeigen haben. Klar wuerde sich das z.B. mit dnydns machen lassen (ich selber wuerde sowas nie machen), aber damit riskierst Du, dass eMails fuer Dich unter Umstaenden auf einem anderen als auf Deinem eigenen Server eingehen, ob das in Deinem Interesse ist?
Weiter moechte man z.B. fuer eingehende eMails einen Spam-Filter / Virenscanner am laufen haben, dies koennte aber z.B. fuer ausgehende eMails unerwuenscht sein (z.B. aus Performance Gruenden, da z.B. sehr grosse Mailinglists darueber versandt werden, Empfang ueber den Host mit Spam-Filter und Virenscanner), also darf auf den sendenden Server kein MX zeigen.
Wie Du siehst, gibt es einige Gruende, um getrennte Empfangs- und Sende-eMail-Server zu betreiben, und daher ein solcher Loesungsansatz nicht sinnvoll ist. Fuer Dich selber kannst Du diese Regeln beim Empfang von eMails machen (sendmail kann man das sicher irgendwie beibringen), aber Du riskierst, dass Du ev. eMails welche Du gerne haettest ev. nicht mehr bekommst.
bye
Fabian
|
|
|
|
|
|
