Tipps & Tricks
26.12.2006, 16:45 Uhr
Wie finde ich den Viren-Absender?
Auf meinem PC mit Windows ME läuft Outlook 2000. Seit einigen Tagen bekomme ich täglich ein knappes Dutzend Mails desselben Absenders. Alle enthalten einen Virus mit dem Dateinamen flatland.zip.pif. Ich wollte auf diese Mail antworten, bekam aber eine Returnmeldung «unzustellbar» zurück. Nun zu meiner Frage: Ist es möglich, diese Mails des immergleichen Absenders von Outlook fernzuhalten? Sicherheitseinstellung oder ähnliches? Oder ist es evtl. erforderlich, beim Provider einen neuen E-Mailaccount einzurichten?
Hier könnte eines der folgenden Dinge passiert sein: Entweder hat der Benutzer des infizierten PCs nicht nur den Virus eingefangen, sondern sich bei der Konfiguration des eigenen Mailkontos im Feld "Reply-To" (Antwortadresse) vertippt. Oder die Variante des Virus fälscht diese Antwortadresse. Am besten informieren Sie den Provider des Benutzers. Welcher Provider das ist, finden Sie anhand der in jeder Mail gespeicherten Kopfzeilen heraus.
In Outlook klicken Sie mit der rechten Maustaste auf eine der betreffenden Mails und wählen im Kontextmenü den Punkt "Optionen". Setzen Sie den Mauscursor irgendwo ins grosse graue Feld namens "Internetkopfzeilen", die den Mail-Header darstellen. Drücken Sie nun die Tastenkombination "CTRL-A" damit der gesamte Header markiert ist und "CTRL-C" um den Header in den Zwischenspeicher zu kopieren. Schliessen Sie das Optionen-Fenster wieder.
Nun erstellen Sie eine neue Mail und lassen vorerst den Empfänger weg. Per Tastenkombination "CTRL-V" fügen Sie den vorhin kopierten Header in die Mail ein. Dort betrachten Sie insbesondere die Zeilen, die mit "Received" beginnen. Die unterste dieser Received-Zeilen stammt normalerweise vom Zugangsprovider des Absenders. Meist enthält diese nicht nur die (vorübergehende) IP-Adresse des Absenders sondern auch den Namen des Providers resp. den Namen der Internet-Domäne des Providers.
So könnte eine solche Received-Zeile aussehen:
-------------------
Received: from desktop (dialup-59-227.providername.ch [212.35.xx.xx])
by duba03h03-0.providername.ch (8.9.3/8.9.3/1.01providername-smtp) with SMTP id MAA19608;
-------------------
Weil es bei manchen Providern die selben Leute sind, die sich sowohl um Netzmissbrauch (engl. "abuse") wie unerwünschte Massenmails als auch um "Virenschleudern" kümmern, schreiben Sie als Empfänger der Mail: abuse@providername.ch, wobei Sie natürlich "providername.ch" durch den richtigen im Header angegebenen Provider ersetzen.
Erklären Sie dem Provider in ein paar Sätzen oberhalb des Mail-Headers, weshalb Sie ihm schreiben (Virus) und bitten Sie ihn freundlich, seinen Kunden entsprechend zu informieren. Verändern Sie den Mail-Header nicht, den Sie dem Provider zustellen. Nur wenn der Provider den kompletten Header sieht, kann er den Kunden ausfindig machen und geeignete Schritte einleiten.
Mehr zum Thema Header-Analyse erfahren Sie in der "Header-FAQ" [1].
Kommentare
Es sind keine Kommentare vorhanden.
