Tipps & Tricks 24.09.2001, 10:00 Uhr

Wer schickt mir dauernd den Hybris-Wurm?

Ich bekomme regelmässig jede Woche eine leere E-Mail mit infiziertem Anhang. Wie kann ich den Absender ausfindig machen und oder was kann ich gegen solche Virenattacken tun? Der Mail-Header sieht so aus: (Den Header haben wir aus der Anfrage gelöscht). Der Anhang heisst: CFDPPICF.zl9, Norton Antivirus erkennt den Virus als W95.Hybris.worm und Antivir Personal erkennt Virus als Hybris.Gen. Vielleicht wird der Virus ohne Wissen des Absender verschickt?
Bei der Analyse eines Mail-Headers spielen die Informationen der ersten Received-Zeile eine Rolle; also die erste Zeile von UNTEN (!), die mit "Received" beginnt. Diese wird aber wegen der vielen Informationen (Datum, Zeit, Zeitzone etc.) in mehrere Zeilen umgebrochen. Die IP-Adresse, die Sie in jener untersten Received-Zeile finden, geben Sie nun bei einem guten Whois-Server ein, z.B. bei jenem von IKS GmbH Jena [1]. Dann werden Sie herausfinden, bei welchem Provider sich die Person einwählt, deren PC (höchst wahrscheinlich unwissentlich) solche Virenexemplare verschickt.
Versuchen Sie von diesem Provider die Mail-Adresse ausfindig zu machen, die sich mit Netzmissbrauch (Spam, Virenversand, Hacking etc.) befasst - im Normalfall lautet diese Adresse etwa "abuse@providername.ch" (abuse: engl. für Missbrauch). Schreiben Sie an diese Adresse, liefern Sie den vollständigen Mailheader mit und bitten Sie den Provider, den Kunden ausfindig zu machen, von welchem Sie die Viren erhalten. Ein guter Provider wird Ihre Mail ernst nehmen und anhand der eigenen Logfiles herausfinden, um wen es sich handelt. Das Ziel dieser Übung ist, dass der Provider seinen Kunden über dessen Virenproblem informiert und - im Idealfall - ihm auch bei der Beseitigung des Virus etwas unter die Arme greift (siehe auch diesen Kummerkasten-Artikel [2]).
Den Header in Ihrer Anfrage haben wir weggelassen. Aber die darin enthaltene relevante IP-Adresse gehörte einem der vielen Einwahlkunden von Sunrise, deren Anlaufstelle für solche Probleme "abuse@sunrise.ch" lautet.



Kommentare
Es sind keine Kommentare vorhanden.