Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Trojaner erwischt oder was ist los? - BITTE UM HILFE

Trojaner erwischt oder was ist los? - BITTE UM HILFE

elcaradura10.11.0914:49
Hallo,

ich hoffe ihr könnt mir helfen. Anscheinend hat jemand meinen T-Online-Account gekapert und über diesen diverse Mails mit demselben Inhalt an die Adressen meines Adressbuches gesendet.
Nun ist es so, dass ich hier in der Wohnung (Hauptanschluss Arcor) nur über das Webinterface https://email.t-online.de Mails abrufen und versenden kann. Die Mail soll gestern um 10:56 Uhr versendet worden sein, aber ich habe meinen Mac um 10:25 heruntergefahren (Konsole) und war auch um kurz vor 11 schon im Büro, wo mich schon eine Kollegin auf den Versand der eMail hinwies.
Diese Mailings tauchen aber nicht einmal im Ordner "Gesendete" des eMail Centers auf.

Der Inhalt dieser Mailings ist identisch und lautet:
HI, here is can let you excited place!

Same you buy in the Ebay,Is safe and convenient!

Please visit our website : www.chinabestseller.com

We are big wholesale dealers and retail ,

My company mostly deal in Consumer Electronics,louis vuitton,UGG,Nike,Gucci,Puma,Adidas,Chanel,shoes,clothes,Sunglasses,Watches, a lot of products at our sell the scope!

You can orders in the website directly, then use the on-line payment of PayPal!

Have any need&Problem please Contact us!!

Ich kann mir diesen Hijack nicht erklären und bin am verzweifeln wo diese(r) Trojaner angesetzt hat - bei mir oder bei T-Online. Es gab auch schon am Mac einen ähnlichen Fall, allerdings über GMX.

Ich habe natürlich nichts Unbekanntes oder Auffälliges installiert oder bestätigt. Außerdem schirme ich meinen Rechner so gut es geht ab und überprüfe diesen ab und an mit ClamXav und MacScan (die gestern nach einem ausführlichen Test) trotzdem keine Meldung gebracht haben. Weiterhin ist bei mir der sichere virtuelle Speicher aktiviert, so dass doch keine Keylogger eine Möglichkeit haben sollten.

Mittlerweile habe ich den Quelltext inkl. Header einer dieser Mailings erhalten. Wer kann mir sagen, was da genau drin steht?

Kennt jemand solch einen Fall, kann mir jemand sagen was ich noch bei meinem Mac prüfen kann ob dieser tatsächlich sauber ist und mir in jedem Fall einen Rat geben? Passwörter wurden natürlich umgehend geändert und zwar vom Notebook meiner Freundin, der zuvor nochmals gescannt wurde.

Besten Dank schon einmal im Voraus
Christian


0

Kommentare

Olly
Olly10.11.0914:59
Bist Du sicher, dass das Mail überhaupt über Deinen Account ging? Normalerweise wird die Absenderadressen bei Spam gefälscht (das geht sehr einfach). Wenn Du den Header hier reinstellst kann man sehen, über welche Mailserver und/oder welche IP-Adressen das Mail ging.

Olly
0
Marcel Bresink10.11.0915:08
Absenderadressen sind völlig frei wählbar. Das heißt, jeder beliebige Internet-Benutzer kann unter Deinem Namen und Deiner E-Mail-Adresse Mails versenden. Es ist beim SPAM-Versand üblich, sich irgendeine existierende Adresse als Absender auszuwählen. Das kann Jeden treffen. Mit Deinem Account und Deinem Mac muss das nichts zu tun haben.

Über die komplette Angabe aller Zeilen im Header, die mit "Received:" beginnen, kann man sehen, woher die Mail wirklich stammt.
0
elcaradura10.11.0915:14
Hier ist der Header. Anstelle der E-Mail-Adressen habe ich Platzhalter (-) verwendet.
From - Tue Nov 10 11:23:19 2009
X-Account-Key: account3
X-UIDL: UID1812-1184241357
X-Mozilla-Status: 1001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <Name@t-online.de>
X-Original-To: (-)
Received: from mail-in-01.arcor-online.net (mail-in-01.arcor-online.net [151.189.21.41])
by mail-in-18-z2.arcor-online.net (Postfix) with ESMTP id 7A2A551075F
for <(-)>; Mon, 9 Nov 2009 11:42:33 +0100 (CET)
Received: from mailout09.t-online.de (mailout09.t-online.de [194.25.134.84])
by mx.arcor.de (Postfix) with ESMTP id 406C8332744
for <(-)>; Mon, 9 Nov 2009 11:42:33 +0100 (CET)
X-DKIM: Sendmail DKIM Filter v2.8.2 mx.arcor.de 406C8332744
Received: from fwd09.aul.t-online.de
by mailout09.t-online.de with smtp
id 1N7Rh9-00043j-00; Mon, 09 Nov 2009 11:41:59 +0100
Received: from localhost (T5qSNEZbYhi1tDPv4hwRXDt3PrRZIdUAG10KYdfI078CKwQSbYRmoVjtabS7F01Qg7@[172.20.101.250]) by fwd09.aul.t-online.de
with esmtp id 1N7Qy2-1DCbGy0; Mon, 9 Nov 2009 10:55:22 +0100
MIME-Version: 1.0
Received: from 115.49.89.138:37598 by cmpweb29.aul.t-online.de with HTTP/1.1
(NGCS V1-1-3-8 on API V3-5-4-11)
Date: Mon, 09 Nov 2009 10:55:22 +0100
Reply-To: "Name@t-online.de"
<Name@t-online.de>
To: (Adressen aus meinem Online-Adressbuch)
X-Priority: 3
X-UMS: email
X-Mailer: TOI NGCS V1-1-3-8
Subject: HI, here is can let you excited place!
From: "Namer@t-online.de" <Name@t-online.de>
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: quoted-printable
Message-ID: <1N7Qy2-1DCbGy0@fwd09.aul.t-online.de>
X-ID: T5qSNEZbYhi1tDPv4hwRXDt3PrRZIdUAG10KYdfI078CKwQSbYRmoVjtabS7F01Qg7@t-dialin.net
X-TOI-MSGID: c7c5622b-affe-4264-aa56-804e527e1285
0
elcaradura10.11.0915:15
Sieht aber nach T-Online aus, oder sehe ich das falsch?
0
Marcel Bresink10.11.0915:36
Die E-Mail wurde offenbar über das Web-Interface von T-Online von einem Rechner in Peking verschickt. Der chinesische Internet-Zugang hat die Kennung "hn.kd.ny.adsl".
0
elcaradura10.11.0915:39
172.20.101.250 führt zu IANA
OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 172.16.0.0 - 172.31.255.255
CIDR: 172.16.0.0/12
NetName: IANA-BBLK-RESERVED
NetHandle: NET-172-16-0-0-1
Parent: NET-172-0-0-0-0
NetType: IANA Special Use
NameServer: BLACKHOLE-1.IANA.ORG
NameServer: BLACKHOLE-2.IANA.ORG
Comment: This block is reserved for special purposes.
Comment: Please see RFC 1918 for additional information.
Comment: http://www.arin.net/reference/rfc/rfc1918.txt
RegDate: 1994-03-15
Updated: 2007-11-27


194.25.134.84 führt letztlich zu T-Online
inetnum: 194.25.134.0 - 194.25.134.255
netname: DTOS-ULM-001
descr: www.t-online.de
descr: mail.t-online.de
descr: php.t-online.de
country: DE
admin-c: HD1710-RIPE

Und ich bin so schlau wie als zuvor...
0
elcaradura10.11.0915:41
Marcel Bresink
Die E-Mail wurde offenbar über das Web-Interface von T-Online von einem Rechner in Peking verschickt. Der chinesische Internet-Zugang hat die Kennung "hn.kd.ny.adsl".

Danke Marcel. Aber wie schließe ich aus, dass die Geschichte über meinen Rechner lief? Wie sind diese in meinen Account gelangt? Brute Force bei T-Online oder über mich?
0
Olly
Olly10.11.0915:44
Bruteforce oder aber du bist mal auf eine Phishing Seite reingefallen. Ich würde auf jedenfall mal Dein Passwort bei T-Online ändern. Steht das aktuelle Passwort in einem Duden? Das macht es einfacher zum erraten...

0
Marcel Bresink10.11.0915:50
Aber wie schließe ich aus, dass die Geschichte über meinen Rechner lief?

Falls Du nicht gerade in Peking bist, hat das nichts mit Deinem Rechner zu tun.
Wie sind diese in meinen Account gelangt?

Wie schon gesagt muss das auch nichts mit Deinem Account zu tun haben.
0
elcaradura10.11.0915:59
@Olly Nein, es handelte sich dabei aber um eine Kombination, die mittels Brute-Force im Rahmen des Möglichen gelegen hätte.

Erkennt man anhand der laufenden Prozesse ob etwas nach draußen funkt?

Ich habe meinen Rechner gestern komplett mit ClamXAV und MacScan gescannt, aber nichts gefunden.


Es gibt aber noch etwas, was mich eben beunruhigt. Mein Rechner hat meinen Account gestern umbenannt in Christian Höchemers MacBook (2). Was soll das? Kann mir das jemand erklären?

0
elcaradura10.11.0916:04
Marcel Bresink
Wie sind diese in meinen Account gelangt?

Wie schon gesagt muss das auch nichts mit Deinem Account zu tun haben.


Kann ich das anhand etwaiger Prozesse ausschließen?
Ich möchte so sicher wie möglich gehen, da ich ja schließlich auch auf mein Bankkonto von meinem Rechner zugreife.

@Marcel, Olly

Danke schon einmal für eure Hilfe!
0
Marcel Bresink10.11.0916:14
Mein Rechner hat meinen Account gestern umbenannt in Christian Höchemers MacBook (2). Was soll das? Kann mir das jemand erklären?

Das hat auch nichts mit Deinem Account zu tun.

Dein Rechner hat sich selbst umbenannt, weil Bonjour ihm mitgeteilt hat, dass es im Moment zwei Computer mit diesem Namen im lokalen Netz sieht. Da jeder Computer einen eindeutigen Namen haben muss, wurde einer der beiden Computer umbenannt. Mac OS X fügt dann automatisch laufende Nummern hintendran.

Das müssen aber nicht wirklich zwei Computer sein. Es gibt Netzwerkkonfigurationsfehler und auch Software-Fehler in Bonjour, die dazu führen können, dass ein Computer sich selbst "gespiegelt" sieht. Solche Effekte treten häufig bei Rechnern auf, die mehrere Netzschnittstellen (also z.B. Airport und Ethernet) gleichzeitig verwenden.

Noch was anderes: Falls Du AppleTalk nicht zur Steuerung von irgendwelchen Uraltgeräten brauchst, würde ich das abschalten.
0
jogoto10.11.0916:15
172.20.101.250 ist eine "private" IP, nur so nebenbei.

10.0.0.0 bis 10.255.255.255

172.16.0.0 bis 172.31.255.255

192.168.0.0 bis 192.168.255.255

Irgendwie wird in Europa ja traditionell der 192er Bereich genutzt, während in den USA der 10er Block beliebter ist. Mit 172 sind mir bisher nur Switches untergekommen ...

Ich hatte auch schon solche Fälle. Absender waren aber immer Server in Indien oder Russland und nie mein eigener.
0
Oooli10.11.0916:27
Wenn das nichts mit seinem Account zu tun hat und die Absenderadresse nur gefälscht wurde, wie konnten die Mails dann aber an seine Adressaten aus seinem Adressbuch gesendet werden?
Das finde ich am beunruhigendsten...
0
elcaradura10.11.0916:38
Marcel Bresink
Mein Rechner hat meinen Account gestern umbenannt in Christian Höchemers MacBook (2). Was soll das? Kann mir das jemand erklären?

...
Solche Effekte treten häufig bei Rechnern auf, die mehrere Netzschnittstellen (also z.B. Airport und Ethernet) gleichzeitig verwenden.

Das kann in diesem Fall sein, da ich gestern Abend tatsächlich auch das Ethernet aktiviert hatte.
Marcel Bresink
...
Noch was anderes: Falls Du AppleTalk nicht zur Steuerung von irgendwelchen Uraltgeräten brauchst, würde ich das abschalten.

Danke für den Hinweis, aber ich komme nicht hinter dessen Sinn...


Oooli
Wenn das nichts mit seinem Account zu tun hat und die Absenderadresse nur gefälscht wurde, wie konnten die Mails dann aber an seine Adressaten aus seinem Adressbuch gesendet werden?
Das finde ich am beunruhigendsten...

Vorsicht Oooli, es handelt sich hierbei um die Adressaten aus dem T-Online-(Web-)Adressbuch. Werden E-Mails aus dem Web-Interface versandt und kennt T-Online die Adresse noch nicht, dann wird man um deren Übernahme in das eigene Adressbuch gefragt. Adressen, welche ich häufiger benutzt habe, habe ich in dieses aufgenommen. Hat also jemand Zugriff auf meinen Onlineaccount, dann kann er die Adressen simpel auslesen.
Nur mich plagt die Frage wie jemand in meinen Webzugang kommt...


0
Oooli10.11.0916:39
115.49.89.138 führt zu China Unicom
inetnum: 115.48.0.0 - 115.63.255.255
netname: UNICOM-HA
descr: China Unicom Henan province network
descr: China Unicom
country: CN
admin-c: CH1302-AP
tech-c: WW444-AP
remarks: service provider
mnt-by: APNIC-HM
mnt-lower: MAINT-CNCGROUP-HA
mnt-routes: MAINT-CNCGROUP-RR
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed: hm-changed@apnic.net 20080707
changed: hm-changed@apnic.net 20090507
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20090508
source: APNIC

route: 115.48.0.0/12
descr: CNC Group CHINA169 Henan Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR
changed: abuse@cnc-noc.net 20080707
source: APNIC

person: ChinaUnicom Hostmaster
nic-hdl: CH1302-AP
e-mail: abuse@chinaunicom.cn
address: No.21,Jin-Rong Street
address: Beijing,100140
address: P.R.China
phone: +86-10-66259940
fax-no: +86-10-66259764
country: CN
changed: abuse@chinaunicom.cn 20090408
mnt-by: MAINT-CNCGROUP
source: APNIC

person: Wei Wang
nic-hdl: WW444-AP
e-mail: abuse@public.zz.ha.cn
address: #37 Wei Wu Road, Zhengzhou, Henan Provice
phone: +86-371-65952358
fax-no: +86-371-65968952
country: CN
changed: wangw@data.zz.ha.cn 20060205
mnt-by: MAINT-CNCGROUP-HA
source: APNIC
0
jogoto10.11.0916:47
Oooli
Das finde ich am beunruhigendsten...

Schon, die Frage ist, für wen. Seine Adresse (vermeintlicher Absender) kann aus dem gleichen Adressbuch stammen, wie die übrigen, vermutlich eines Windows-Kollegen.
0
Marcel Bresink10.11.0916:49
Oooli
Wenn das nichts mit seinem Account zu tun hat und die Absenderadresse nur gefälscht wurde, wie konnten die Mails dann aber an seine Adressaten aus seinem Adressbuch gesendet werden?

Dafür könnte es zahlreiche Ursachen geben:

1) Das Adressbuch wurde in der Vergangenheit irgendwo auf einem öffentlichen Server gespiegelt.
2) T-Online hat vielleicht eine Sicherheitslücke, mit der WebMail-Adressbücher durch Fremde ausgelesen werden können. (Ist reine Spekulation.)
3) Jemand anders aus dem Bekanntenkreis hat tatsächlich ein Sicherheitsproblem und dessen Adressbuch ist ausgelesen worden. Da sich Gruppen von Leuten immer gegenseitig in Adressbüchern enthalten, ist es oft schwer zu sehen, von wem das Adressbuch wirklich stammt.
4) Möglicherweise wurde die Mail hunderttausendfach verschickt. Natürlich melden sich aber dann nur die Leute beim gefälschten Absender, die den Absender zufällig kennen. Alle anderen Leute werfen die Mail weg. Dadurch kann der falsche Eindruck entstehen, nur Bekannte (also Leute aus dem Adressbuch des Absenders) hätten die E-Mail bekommen.
0
elcaradura10.11.0917:09
Zum Adressbuch:

Meine Adressbücher sind nicht synchronisiert und das Online-Adressbuch weist lediglich knapp 50 Einträge auf. Meine eigene E-Mail-Adresse ist darin nicht enthalten. Daraus schließe ich, dass jemand über den gesamten Account verfügt haben muss oder noch verfügt.

Die Spekulationen möchte ich wie folgt eingrenzen:

1. Ich versende keine Kettenmails oder Mails an alle Adressaten. Dies erfolgt bei mir grundsätzlich nicht. Ferner handelt es sich in diesem Adressbuch teilweise um sensible Adressdaten, die ich ebenso wenig weiter gebe. Es kann also ausgeschlossen werden, dass die Adressatenlisten eine Zusammenstellung aus anderen Accounts darstellen.

2. Wenn das Adressbuch auf einem öffentlichen Server gespiegelt worden ist, dann frage ich mich wie? Der Webinterface-Zugang ist grundsätzlich gesichert, so dass ich mich dann in einem öffentlichen Netz aufgehalten haben muss.
Dann kann es auch sein, dass mein WLAN-Zugang (WPA2) geknackt worden und während des Besuchs das Adressbuch gespiegelt worden ist. Naja, theoretisch schon möglich, aber wo führt dann der Gedanke überhaupt noch hin.

3. Das mit der T-Online Sicherheitslücke halte ich nicht für ausgeschlossen. Die T-Com, bzw. T-Online, ist sicherlich ein lohnenderes Ziel als mein Rechner. Allerdings kam diese Mails auch schon bei GMX und WEB.DE Accounts vor - also vielleicht eine erheblich größere Sicherheitslücke in FireFox oder Mac OS X!? Wie aus dem obigen Link zu ersehen ist, hat es anscheinend bisher Macs getroffen.
I)
...Systembeschreibung:
HomePC MAC mit dem entsprechenden Apple-Mail
...
Es wurde vorhin untenstehende Mail an sämtliche Personen im GMXinternen Adressbuch vorhandenen Personen versendet. Die Mailliste ist nicht identisch mit den lokal auf dem Mac liegenden Adressbuch.
...
II)
...ich, bzw. meine Frau hatte gestern abend genau das selbe Problem mit ihrem web.de-Account.
Auch dort gingen die Mails an ihr komplettes Adressbuch (selber Inhalt, www.chinabestseller.com)... OK, nicht offensichtlich ein Mac!

4. Punkt 3 von Marcel schließe ich aus obigen Gründen aus - es gibt niemanden, der über genau dieser Adressen verfügt (im Personenkreis)

5. Punkt 4 von Marcel: Dabei wären aber Adressatenleichen oder Verstümmelungen solcher Adressen mit im Header - dies ist hier nicht der Fall. Hierbei handelt es sich wirklich um meinen Personenkreis. Diese Aktion hat mir bisher schon einiges an Peinlichkeit eingebracht, wobei es den Personen schon klar ist, dass ich nicht solche Mails sende.


Ein Wein behebt dieses Problem jetzt auch nicht, oder?
0
LordLasch10.11.0918:27
Ich würde zunächst auch das PW ändern, das Adressbuch im Webinterface löschen und hoffen das es nicht wieder vorkommt. Theoretisch reicht es, wenn du dich z.B. im Urlaub einmal auf nem Rechner mit nem Trojaner eingeloggt hast. Wenn ich es richtig verstehe hast du auch einen PC im Haus (von dem du Mails übers Webinterface checkst)?
Nutzt du bei deinen Mailprogrammen SSL zur Verschlüsselung? Lagen Mails mit sensiblen Informationen (Passworterinnerungen von Onlineshops...etc) im Postfach? In dem Fall solltest du diese auch ändern. Und falls du das PW vom Webmailer auch anderswo benutzt, dort auch ändern! (sollte sich ja von selbst verstehen).

Ein Wein auf den Schreck ist sicherlich nicht verkehrt...
0
elcaradura10.11.0918:57
Ich habe heute alle meiner bekannten Passwörter überprüft und sensible PW geändert. Einen absoluten Schutz gibt es ja leider nicht, daher ist alles nur eine Frage der Zeit bzw. der Möglichkeiten. Es bleibt einem nichts anderes übrig, als das Web-Adressbuch zu entfernen - ein zweites Mal wäre nicht mehr zu vertreten.

Ja, der Account wurde auch schon von anderen Rechnern gelesen. Zwar achte ich schon immer auf die Sicherheitsvorkehrungen, insbesondere bei WLANs, aber natürlich scanne ich nicht jedes Mal den Rechner zuvor - so wichtig bin ich ja nun bei weitem nicht.

Ich verwende Entourage beim Herunterladen meiner Mails aus diesem Account und des VDI-Kontos. Allerdings werden diese nur in 3 Netzen geladen.

Nein, die Mails von diesem Account werden bei der Übermittlung nicht verschlüsselt. Es wird lediglich ein Thawte-Freemail-Zertifikat für die digitale Signatur verwendet.
Danke für den Hinweis mit den Mails, aber daran habe ich auch schon gedacht und geprüft. Diese lagen nicht im Netz.

Zu meiner Schande und Faulheit muss ich gestehen, dass es sich hierbei zwar um kein Lexikon-Passwort handelte, aber aufgrund der einfachen Kombination und der begrenzten Länge von 8 Zeichen dennoch mittels Brute-Force knackbar gewesen ist. Dieses habe ich auch an anderen Stellen verwendet, da die Liste der zu verwaltenden Passwörter bereits zu umfangreich zum Merken geworden ist.
Ich habe nun dennoch alle Passwörter abgeändert und in der Komplexität verschärft, so dass es nun noch um einiges umständlicher werden wird diese zu knacken. Dadurch geht natürlich einiges an Bedienerfreundlichkeit flöten, aber anscheinend ist es anders tatsächlich nicht mehr möglich.
Alles andere wäre nun zu nachlässig, da es mich ja bereits erwischt hat.

Das feine Glas gönne ich mir!
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.