komische Email

P

PDTK

Frisch registriert
Hallo,

ich habe gerade folgende Email erhalten:

Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 195.210.56.146 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #13790
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.


Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868

Hochachtungsvoll

i.A. PK Mollbach

Im Quelltext der Nachricht habe ich folgendes gefunden:

Return-path: <[email protected]>
Envelope-to: [email protected]livery-date: Sun, 21 Dec 2003 16:11:07 +0100
Received: from [213.165.64.20] (helo=mail.gmx.net)
by mxng13.kundenserver.de with smtp (Exim 3.35 #1)
id 1AY5EZ-000402-00
for [email protected]; Sun, 21 Dec 2003 16:11:07 +0100
Received: (qmail 5934 invoked by uid 65534); 21 Dec 2003 15:11:01 -0000
Received: from p5081F803.dip.t-dialin.net (EHLO Sober-Mailer.de) (80.129.248.3)
by mail.gmx.net (mp007) with SMTP; 21 Dec 2003 16:11:01 +0100
X-Authenticated: #21265652
From: [email protected]o: [email protected]te: 21 Dec 2003 16:11:15
Subject: Sie sind ein Raubkopierer
Importance: Normal
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="Sober-Mailer.decd32eff0dd9fd6"

Jetzt hat mich die Sache neugierig gemacht und ich mal nach der IP (195.210.56.146) gesucht:

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html


3 records found for '195.210.56.146'


Was soll diese Email bewirken?
Ist es nur eine Aktion gegen die Kripo?

Bitte um hilfe, was soll ich machen?

mfg
Peter

Whois Daten gelöscht , siehe Nutzungsregeln tf/moderator
 
Na, da wird sich die Wohnakzente GmbH auf einigen Traffic bestehend aus recht unsachlichen Mails freuen dürfen. Ich kenne das! Ähnliche Virenbomben wurden auch schon mit einer Adresse aus meiner Domain ausgehend von einem Rechner in Süddeutschland durch ganz Europa gejagd. Echt klasse, was da den ahnungslosen Domain-Inhaber an Feedback von Empfängern mit gefährlichem Halbwissen erreicht. Dezente Hinweise, wüste Beschimpfungen...bis hin zu Drohungen, die durchaus den einen oder anderen Straftatbestand erfüllen.

Gruß
Dino
 
worm/sober.c1 unterwegs

Erhielt gerade folgende eMail:

Wenn Sie meinen mir DROHEN zu können, haben sie sich in den Finger geschnitten!!!
Erstens mal, weiß ich gar nicht wer Sie sind.
Zweitens, kenne ich Ihre Frau oder Freundin nicht.
Und Drittens, Ich habe kein Tächtel-Mächtel mit Ihrem Partner!!!

Ihre Drohgebärden können sie woanders loswerden,
aber nicht bei mir!

Ihre Droh Mails habe ich gerade an die Behörden weitergeleitet.
Sie hören noch von mir!

Anlage: "DrohMails.cmd", 74,1 kb, AntiVir meldet: worm/sober.c1

Ach ja, eMail-Header:

Return-Path: <[email protected]>
X-Flags: 0000
Delivered-To: GMX delivery to (meine)@gmx.de
Received: (qmail 16640 invoked by uid 65534); 21 Dec 2003 20:21:56 -0000
Received: from smtp02.web.de (EHLO smtp.web.de) (217.72.192.151)
by mx0.gmx.net (mx016) with SMTP; 21 Dec 2003 21:21:56 +0100
Received: from [80.136.56.236] (helo=DEFAULT)
by smtp.web.de with asmtp (WEB.DE 4.99 #566)
id 1AYA5B-0003h0-00; Sun, 21 Dec 2003 21:21:45 +0100
From: [email protected]
To: [email protected]
Subject: Ich zeige sie an!
X-MailScanner: Nothing was found
Importance: Normal
X-Mailer: Microsoft Outlook Express 4.72.3612.1700
X-MSMail-Priority: Normal
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="cdcb5a648413d68"
Message-Id: <[email protected]>
Date: Sun, 21 Dec 2003 21:21:45 +0100
Sender: [email protected]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)


Falls jemand Interesse hat, bitte melden.
 
Gehen wir mal anhand des Mail-Textes davon aus, dass irgendwelche deutschen Wichtigtuer auf den Sobig-Zug aufgesprungen sind. Im Ausland wurden einige Urheber von Viren nach aufwändiger Fahndung (nicht unerheblich) strafrechtlich belangt.
Mich würde einmal interessieren, was in unseren Landen ein Script-Kiddie zu erwarten hätte, wenn man es am A.... kriegen würde.

Gruß
Dino
 
Ich hab eine komische Mail bekommen:
Sehr geehrter Herr Salmanz,
Wir möchten uns noch einmal für unsere falsche
E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies
einige Fehler beim versenden auf.
Ihre Pass- und Geheimwörter wurden selbstverständlich kostenlos geändert.

Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.
In falschen Händen , hätte jede andere Person freie Einsicht
bzw. Verfügung über Ihr Konto!

Mit freundlichen Grüssen:
i.a: R. R.

+++ Bamberger Bank eG Raiffeisen-Volksbank
+++ Luitpoldstr. 19, 96052 Bamberg
+++ Telefon: 0951/8620 Kunden- Fax: 0951/862120

Im Attachment war: Kundendat4489BaB.exe
Ich lud die Datei runter, untersuchte sie auf Viren, fand aber nichts. Danach startete ich sie. Es kam eine Errormeldung.
Ich öffnete danach die Datei mit dem Editor. Da kamen ein Haufen komische Zeichen, doch irgendwo konnte ich entziffern:
KERNEL32.DLL MSVBVM60.DLL LoadLibraryA GetProcAddress ExitProcess
Danach suchte ich im system32 Ordner nach den beiden dll- Dateien und sah dass diese Dateien schon lange Zeit auf meinem Pc waren. Das seltsame Programm musste sie also gestartet haben.
Da sah ich eine Datei namens ksldiag.exe die genau zurselben zeit erstellt worden war, wie ich das komische Programm versuchte zu starten.
komischerweise war diese Datei auch gleich gross (etwa 75kb). Ich aktivierte den Task-Manager und sah, dass ksldiag.exe am laufen war.
Weiter kam ich nicht, und nun hoffe ich dass ihr mir helfen könnt.

mfg LP-Soldier (13)

Name gelöscht
 
...Sehr geehrter Herr Salmanz...
Zum Vergrößern anklicken....

Sicher nicht Dein Name, oder? Aber die vermeintlichen Kundendaten waren dann doch interessant...

Genau das ist der Grund, weshalb es jeder Schwachkopf schafft, "seinen" Virus, Dialer oder sonstigen Mist so schnell zu verbreiten...

Gruß
Dino
 
Nur zur Info:

ich habe die E-Mail heute Morgen auch erhalten, bezüglich der Kripo und Sicherstellung meiner Festplatte, weil ich MP3's, Filme und Software downgeloadet habe.

1. Lade ich derartige Dinge NICHT aus dem Internet (das machen andere ;) )
2. versendet keine Ermittlungsbehörde E-Mails mit Ankündigungen von Ermittlungstätigkeiten
3. stehen die plötzlich vor der Haustür um den Rechner zu Sicherungszwecken zu Beschlagnahmen, denn selbst wenn die den Rechnerinhalt via Internet gesichert haben, wie wollen die Beweisen, das es meiner war und nicht der Laptop des Freundes meiner Tochter, der grade hier war, als ich nicht da war?
4. gehe ich nie über ICSAT ins netz :D

siehe die mir angekündigte IP, die gesichert wurde:

Sie haben die IP-Adresse 62.186.150.170 zur Suche eingegeben.

Die Eingaben werden bearbeitet...

Anfragezeit: 22.12.2003 - 11:03:27 Uhr

Process query: '62.186.150.170'
Query recognized as IP.
Match found in /etc/gwhois/pattern line 310
Querying whois.ripe.net:43 with whois.

inetnum: 62.186.150.0 - 62.186.151.255
netname: BE-ICSAT-NET2
descr: Network of ICSAT
country: BE
admin-c: LD945-RIPE
tech-c: LD945-RIPE
status: ASSIGNED PA
remarks: MPN customer
remarks: Please send SPAM reports to ******@ibm.net
remarks: Please send ABUSE reports to abu***@ibm.net
mnt-by: EU-IBM-NIC-MNT
changed: minas@***.***.ibm.com 19991214
source: RIPE

Also lasst euch nicht verunsichern und keinsfalls die angehängte vermeintliche Akte öffnen!!
 
An welche E-Mail Adresse?

Aber wenn es der Sober.C ist, müsste mein McAffee den bemerkt haben. Was macht denn überhaupt dieser Virus?

Im Attachment ist das komische Kundendat, natürlich verzipt.

Anhang gelöscht, da grobe Gefährdung unerfahrener User tf/Moderator
 
Ja, das hab ich jetzt auch rausgefunden. Ich hab vorher mein Mcafee updated und dann hat es den Virus entdeckt. Ich frag mich einfach wieso es den Virus vorher nicht entdeckt hat.
 
Na, Leute, ob das so eine gute Idee ist, eine virenverseuchte Datei zum Download ztur Verfügung zu stellen? Das muss ja nun wirklich ncht sein.

Wozu gibt es das PN-System? Um das nutzen zu können, muss man sich allerdings anmelden. Aber das ist sicher nicht zuviel verlangt!

Gruß
Dino
 
LP-Soldier schrieb:
Aber es ist ja angeschrieben.
Ausserdem bekommt ja mittlerweile eh jeder Mensch den Sober.c geschickt.
Ich hab ihn heute grad etwa 4 mal bekommen.
Zum Vergrößern anklicken....

Das heißt noch lange nicht, daß hier so etwas weiterverbreitet werden muß, die Info wie, was, wo reicht völlig.
Andernfalls müßte angenommen werden, daß es hier um vorsätzliche Gefährdung unerfahrener User geht.
Dann kannst du davon ausgehen, daß solche Beiträge schneller gelöscht sind, als sie absendet werden können.
Ich hoffe wir verstehen uns!!!!

tf/moderator
 
Zurück
Oben