4
SMTP versendet automatisch Mails - Virus wird nicht gefunden
Unser Exchange Server 2003 SP2 verschickt automatisch generierte Mails. Einen Virus haben wir mit diversen Virenscannern nicht gefunden. Auch auf Rootkits wurde geprüft.
Hallo zusammen!
Unser Exchange Server 2003 SP2 verschickt automatisch generierte Mails. Folgende Angaben sehen wir im GFI MailEssentials Monitor:
Sender: "???" <irgendwas@pmail.com>
Recipient To: irgendwas@yahoo.com.tw
Processing new item.
Subject: ?????????
Und das etwa im halbsekunden Takt.
Wir haben schon mit diversen AntiViren Programmen geprüft, von Norton über AntiVir bis zu Trendmicro und Ad-Aware haben wir schon einiges laufen gelassen. Auch im abgesicherten Modus, dort jedoch nur mit Trendmicro.
Auf Rootkits wurde mit F-Secure Blacklight Rootkit Eliminator getestet.
Der Virus wird auch nicht von einem Client-PC aus verschickt (Server haben wir testweise separat laufen lassen). Nun mussten wir den SMTP-Dienst abschalten, da wir nicht auf eine Blackliste mit unserem Server wollen.
Weiss jemand, wie man noch prüfen könnte? Wie man diesen Schädling ausfindig machen und eliminieren könnte? Wir haben ja noch nicht mal eine Ahnung, welcher Virus es ist... wir tippten mal auf eine Abwandlung von Sober.X, jedoch halfen diese Entfernungstools nicht.
Wir wären echt froh um schnelle Hilfe, da unser Server nun schon mehr als 2 Tage nicht mehr voll einsatzbereit ist!
MfG inflexible
Unser Exchange Server 2003 SP2 verschickt automatisch generierte Mails. Folgende Angaben sehen wir im GFI MailEssentials Monitor:
Sender: "???" <irgendwas@pmail.com>
Recipient To: irgendwas@yahoo.com.tw
Processing new item.
Subject: ?????????
Und das etwa im halbsekunden Takt.
Wir haben schon mit diversen AntiViren Programmen geprüft, von Norton über AntiVir bis zu Trendmicro und Ad-Aware haben wir schon einiges laufen gelassen. Auch im abgesicherten Modus, dort jedoch nur mit Trendmicro.
Auf Rootkits wurde mit F-Secure Blacklight Rootkit Eliminator getestet.
Der Virus wird auch nicht von einem Client-PC aus verschickt (Server haben wir testweise separat laufen lassen). Nun mussten wir den SMTP-Dienst abschalten, da wir nicht auf eine Blackliste mit unserem Server wollen.
Weiss jemand, wie man noch prüfen könnte? Wie man diesen Schädling ausfindig machen und eliminieren könnte? Wir haben ja noch nicht mal eine Ahnung, welcher Virus es ist... wir tippten mal auf eine Abwandlung von Sober.X, jedoch halfen diese Entfernungstools nicht.
Wir wären echt froh um schnelle Hilfe, da unser Server nun schon mehr als 2 Tage nicht mehr voll einsatzbereit ist!
MfG inflexible
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 29699
Url: https://administrator.de/contentid/29699
Printed on: April 19, 2024 at 08:04 o'clock
4 Comments
Latest comment
wenn du mit netstat -a in der cmd schaust, solltest du eine Verbindung zu deinem
SMTP oder POP3 Server (vom Provider) finden ?
Stimmt das ?
SMTP oder POP3 Server (vom Provider) finden ?
Stimmt das ?
Bist Du Dir sicher, daß Euer Server die Mails generiert und nicht einfach nur als offenes Mail-Relay misbraucht wird (was aber auch ein Konfigurationsfehler ist), d.h. einfach die Mails bekommt und dann zustellt, weil Sie nicht für ihn sind?
Wir haben den SMTP Port nur gegen aussen geöffnet. Hinein kommt man da nicht. Auch die anti-Relay-Einstellungen im Exchange wurden gemacht. Wir haben jetzt trotzdem mal ein Tool (relaytest) laufen gelassen, der meldet jedoch, dass alles zu ist.
Was wir nun noch gefunden haben sind die Mails im SMTP Queue. Nun verschickt er nämlich garnichts mehr.
Dateiname: NTFS_1287068401c65949000042f3.EML
Inhalt:
Von: postmaster@kaelin.ch <postmaster@kaelin.ch>
Datum: Donnerstag, 6. April 2006 09:09
An: mv@zwbz.ldyzwbzgmv.com <mv@zwbz.ldyzwbzgmv.com>
Betreff: Benachrichtigung zum Übermittlungsstatus (Verzögerung)
Anlagen: Á¤Ç° ºñ¾Æ±×¶ó_½Ã¾Ë¸®½ºÀÔ´Ï´Ù.eml (2.63 KB) ATT00006.dat (662 Byte)
Text:
Dies ist eine automatisch erstellte Benachrichtigung über den Zustellstatus.
DIES IST NUR EINE WARNUNG.
SIE MÜSSEN DIE NACHRICHT NICHT ERNEUT SENDEN.
Übermittlung an folgende Empfänger wurde verzögert.
yoonjm56@daum.net
loveletter366@daum.net
s2993@daum.net
britney010@daum.net
agentlee@daum.net
nurom@daum.net
Inhalt von der Datei: Á¤Ç° ºñ¾Æ±×¶ó_½Ã¾Ë¸®½ºÀÔ´Ï´Ù.eml
Empfänger sind oben genannte @daum.net Adressen.
Als Text sind einige geblockte Bilder und folgender Link:
<EmBed src="http://jsheun.cafe24.com/via/via.swf"civdekunplxrntkbvzhqqffyacet el ihhokdagsdw vsumfrqiaw ubzcy
Unserer Meinung nach ist es immernoch ein Virus und zwar einer der ziemlich tief sitzt. Aber gefunden haben wir noch nichts...
Was wir nun noch gefunden haben sind die Mails im SMTP Queue. Nun verschickt er nämlich garnichts mehr.
Dateiname: NTFS_1287068401c65949000042f3.EML
Inhalt:
Von: postmaster@kaelin.ch <postmaster@kaelin.ch>
Datum: Donnerstag, 6. April 2006 09:09
An: mv@zwbz.ldyzwbzgmv.com <mv@zwbz.ldyzwbzgmv.com>
Betreff: Benachrichtigung zum Übermittlungsstatus (Verzögerung)
Anlagen: Á¤Ç° ºñ¾Æ±×¶ó_½Ã¾Ë¸®½ºÀÔ´Ï´Ù.eml (2.63 KB) ATT00006.dat (662 Byte)
Text:
Dies ist eine automatisch erstellte Benachrichtigung über den Zustellstatus.
DIES IST NUR EINE WARNUNG.
SIE MÜSSEN DIE NACHRICHT NICHT ERNEUT SENDEN.
Übermittlung an folgende Empfänger wurde verzögert.
yoonjm56@daum.net
loveletter366@daum.net
s2993@daum.net
britney010@daum.net
agentlee@daum.net
nurom@daum.net
Inhalt von der Datei: Á¤Ç° ºñ¾Æ±×¶ó_½Ã¾Ë¸®½ºÀÔ´Ï´Ù.eml
Empfänger sind oben genannte @daum.net Adressen.
Als Text sind einige geblockte Bilder und folgender Link:
<EmBed src="http://jsheun.cafe24.com/via/via.swf"civdekunplxrntkbvzhqqffyacet el ihhokdagsdw vsumfrqiaw ubzcy
Unserer Meinung nach ist es immernoch ein Virus und zwar einer der ziemlich tief sitzt. Aber gefunden haben wir noch nichts...
So, wir haben das Problem gefunden! 
Der Server wurde als Relayserver benutzt. Trotzdem, dass das Relaytesttool keine offene Lücke anzeigte, konnten diese Spampiraten unseren Server entern...
Jetzt haben wir im Exchange die Einstellung gemacht, dass nur die IP-Adressen aus unserem LAN für den Versand von Mails zugelassen sind. Und nun hat die Spamerei aufgehört
Danke allen, die sich bei der Problemlösung beteiligt haben!
MfG inflexible
Der Server wurde als Relayserver benutzt. Trotzdem, dass das Relaytesttool keine offene Lücke anzeigte, konnten diese Spampiraten unseren Server entern...
Jetzt haben wir im Exchange die Einstellung gemacht, dass nur die IP-Adressen aus unserem LAN für den Versand von Mails zugelassen sind. Und nun hat die Spamerei aufgehört
Danke allen, die sich bei der Problemlösung beteiligt haben!
MfG inflexible
