Mail van mijzelf naar mijzelf met virus?

email is inherent onveilig. Het is geen enkel probleem om jou een mailtje te sturen wat afkomstig lijkt van president@whitehouse.gov...

Het is heel eenvoudig om uit iemands naam te emailen. Het emailprotocol laat dit gewoon toe. Kortom: gewoon spam!

Kennelijk een grote mailing geweest dan vanmiddag want ik had precies hetzelfde. Ook op een mail adres met een domein naam die aan Ziggo toe behoort. Zat ook een zip bestand bijgevoegd genaamd document2.zip geen idee wat er voor virus in zat want natuurlijk meteen verwijderd. Heb nog wel even gekeken waar het vandaan kwam en het leek er op dat het vanaf een ip adres in India verstuurd is.

r.marijnissen schreef op woensdag 16 maart 2016 @ 20:53:
Hoe kan dit nu weer?

Vandaag om 16.41uur mail gekregen.
Deze heb ik geopend op mijn iphone.

Afzender: ben ik zelf.

Dus zeg mijn mail adres is: 123@ziggo.nl.
Ik open dit bovenstaand mail adres en er is een nieuw bericht afkomstig van 123@ziggo.nl.

Ps Het is echt afkomstig vanaf mijn eigenmailadres dus niet 1 andere letter ofzo het is exact mijn mailadres.

[ Voor 20% gewijzigd door ADDG op 16-03-2016 21:11 ]

r.marijnissen schreef op woensdag 16 maart 2016 @ 21:01:
Maar hoe werkt dat dan?

Stel mijn buurman staat in zijn mailadres te boek als:

KL.Visser
555@ziggo.nl

Kan ik dan mailen onder die naam en met die naam?

In principe wel ja. Het emailadres hoeft niet eens te bestaan, je kunt alles in je From-header invullen wat je wil.

Er zijn wel manieren om dit soort spoofing tegen te gaan, zoals SPF en DKIM, maar die worden (nog) niet door alle mailservers voor 100% gebruikt waardoor ontvangende mailservers vaak relatief mild met SPF-fails en DKIM-fails omgaan. In de meeste gevallen zal een SPF-fail of een DKIM-fail alleen voor een verhoogde spamscore zorgen, meer niet.

Overigens lijkt het me geen slim idee om bijlagen van emails die overduidelijk spam/scam zijn te gaan openen.

[ Voor 22% gewijzigd door Compizfox op 16-03-2016 21:22 ]

Inhoudelijk:

r.marijnissen schreef op woensdag 16 maart 2016 @ 20:53:
Oke, er staat geen tekst in het mailtjes alleen een zip bestand.
Iphone opent dit niet dus net op pc gecheckt.
Ik vond het zo raar gezien het an mijzelf was....
anti virus knalt bestand meteen in kluis gezien het dus malware/virus etc is.

Nooit bijlagen openen uit mails die je niet verwacht. Ook niet op de iPhone. Als je het niet meteen als spam of malware herkent: downloaden via opslaan-als, uitpakken via rechtermuisknop, scannen, liefst ook scannen via iets als Virustotal (of de site van mijn oude Tweakers-admin Jotti). Dan pas openen. Op een machine waar zowel het OS als alle applicaties alle updates hebben doorgevoerd.

[ Voor 69% gewijzigd door F_J_K op 18-03-2016 12:25 . Reden: dis -> dit ]

Aha! Ik ben dus niet de enige. Mijn pa eergisteren: "kun je even komen? Ik krijg een mailtje van mezelf in 2 e-mailboxen". Ik dus kijken, zijn er in beide mailboxen, inderdaad 1 mailtje binnengekomen van m'n ouders hun e-mail adressen (overigens beide @casema (het oude Ziggo) adressen). En ook met het bestand document2.zip. Uiteraard niet geopend en meteen weg geknikkerd . Ook in prullenbak. Achteraf werd ik nieuwsgierig, had het bestand enkel willen downloaden om daarna door Virustotal heen te halen. Of gewoon een kort onderzoekje te verrichten. Uiteindelijk toch maar niet gedaan, want had ten 1e het bestand al verwijdert, en ten 2e wilde ik het risico niet lopen dat ons netwerk misschien besmet zou kunnen raken als ik het bestand alleen al download, of nog erger, dat de bestanden geëncrypt worden. Alhoewel we gewoon een back-up hebben . Maar ja, dat zegt natuurlijk ook niet veel. Het virus zou zich weken lang kunnen verschuilen. Dan voer je na een week een back-up uit, en dan slaat het virus toe om zowel je externe HDD met de back-up, als je pc zelf te encrypten.

[ Voor 11% gewijzigd door Anonymoussaurus op 18-03-2016 13:53 ]

Anonymoussaurus schreef op vrijdag 18 maart 2016 @ 13:52:Het virus zou zich weken lang kunnen verschuilen. Dan voer je na een week een back-up uit, en dan slaat het virus toe om zowel je externe HDD met de back-up, als je pc zelf te encrypten.

Kan is groot dat dit door de actie van de TS nu ook het geval is..
Hou je bestanden goed in de gaten zou ik zeggen.

Opgepleurd schreef op zaterdag 19 maart 2016 @ 17:09:
[...]


Kan is groot dat dit door de actie van de TS nu ook het geval is..
Hou je bestanden goed in de gaten zou ik zeggen.

Er niks aan het handje hoor . Ik heb het bestandje niet eens gedownload. Meteen weg gegooid, het mailtje.

Anonymoussaurus schreef op zaterdag 19 maart 2016 @ 17:11:
[...]Er niks aan het handje hoor . Ik heb het bestandje niet eens gedownload. Meteen weg gegooid, het mailtje.

Bij jou niet nee
Bij de TS zou ik er nog niet zo zeker van zijn.

Misschien een beetje dom en onvoorzichtig, maar ik heb dit winrar bestand geopend op mijn iphone. Na een halve minuut laden heb ik dit weggeklikt. Vervolgens heb ik op mijn computer het bestand geopend en mijn virusscanner gaf meteen aan dat het foute boel was en heeft het zo verwijderd. Is er kans dat ik nu geskimmed/scanned of weet ik veel wat ben? Graag geen reacties op mijn onvoorzichtigheid, alleen hulp alsjeblieft . Ik zal nu sowieso een herstelpunt pakken van vorige week, zodat eventuele verborgen malware van dat bestand wordt verwijderd.

[ Voor 12% gewijzigd door Verwijderd op 24-03-2016 15:30 ]

Vorige week kwam hier op het werk hetzelfde soort mailtje binnen. Mcafee herkende het niet als virus maar bij Virustotal gingen er wel een paar alarmbellen af (ook niet veel).

[ Voor 4% gewijzigd door GWBoes op 24-03-2016 15:35 ]

Enige kans op scam indien geopend met iphone en/of geopend op windows, maar dan dat mijn virusscanner hem eruit heeft gepleurd?

Dit overkomt mijn collega momenteel ook veel. Invoice.zip of iets dergelijks? Niet openen. Is een ransomware virus. Al je files zullen worden geëncrypt, endan mag je grof betalen om dat te fixen.

Dit is al enkele weken bezig en heb hier een soortgelijk topic over geopend.

Het gekke is dat het echt op de meeste willekeurige e-mailadres binnenkomt van me. Het lijkt me alsof er ergens een mailserver is afgeluisterd en wekenlang al die e-mailadressen zijn opgeslagen. Ik heb catchall voor mijn eigen domein aanstaan en ontvang mailtjes van "mezelf" op spamadresbedrijf1@mijndomeinnaam.tld.

Erg vreemd inderdaad.

Verwijderd schreef op donderdag 24 maart 2016 @ 15:28:
Misschien een beetje dom en onvoorzichtig, maar ik heb dit winrar bestand geopend op mijn iphone. Na een halve minuut laden heb ik dit weggeklikt. Vervolgens heb ik op mijn computer het bestand geopend en mijn virusscanner gaf meteen aan dat het foute boel was en heeft het zo verwijderd. Is er kans dat ik nu geskimmed/scanned of weet ik veel wat ben? Graag geen reacties op mijn onvoorzichtigheid, alleen hulp alsjeblieft . Ik zal nu sowieso een herstelpunt pakken van vorige week, zodat eventuele verborgen malware van dat bestand wordt verwijderd.

Heb je een exectuable uitgevoerd, of alleen de RAR geopend? Slechts openen van een archief moet geen kwaad kunnen.

Lijkt op het probleem in deze post.

In de meeste gevallen een zip bestand, al heb ik ze ook al gezien als rtf bestand met "Image[nummer].pdf" als titel. Niet openen, direct weggooien. Anders een flinke som betalen in bitcoins om weer bij je bestanden te kunnen.

laviolette schreef op donderdag 24 maart 2016 @ 16:45:
Lijkt op het probleem in deze post.

In de meeste gevallen een zip bestand, al heb ik ze ook al gezien als rtf bestand met "Image[nummer].pdf" als titel. Niet openen, direct weggooien. Anders een flinke som betalen in bitcoins om weer bij je bestanden te kunnen.

Ik heb een zip bestand gehad met een .js file er in. Het was een cryptolocker in mijn geval..

Ik zie ze bij mij ook vaak voorbij komen. Cryptolocker is ergens wel beetje tricky omdat het ook in een pdf kan zitten oid. Zijn er tools die kunnen checken of je al geïnfecteerd bent? Ik heb al gezocht op bijzondere extensies, maar ik heb ooit begrepen dat het meestal een poosje duurt voordat hij in werking komt.

Hier ook de laatste tijd op diverse mailaccounts veel spam met .zip en andere attachments die virussen bevatten. Ook inderdaad is regelmatig het e-mailadres hetzelfde als de ontvanger. Vanuit de header is op te maken dat deze via India worden verstuurd

Standeman schreef op donderdag 24 maart 2016 @ 16:50:
[...]

Ik heb een zip bestand gehad met een .js file er in. Het was een cryptolocker in mijn geval..

Jep, die kreeg ik laatst ook. Ik vond het vooral opvallend dat het script erg kort was:

(knip, besmettende code)

Het lijkt ook obfuscated te zijn.

[ Voor 90% gewijzigd door F_J_K op 29-03-2016 23:38 ]

Ook op via mijn vodafoneaccounts stuur ik klaarblijkelijk mails aan mijzelf met bijlage, die overigens gelijk door Esset NOD32 wordt verwijderd. Begrijp dat hier niets aan te doen is.

Mijn vader heeft het per ongeluk wel geopend en het was het locky ransomware. Pc om zeep geholpen...

Een collega heeft deze gehad, uitgevoerd, maar er is niets gebeurd bij nader onderzoek.
Geen idee hoe het komt, want de malware bescherming heeft het niet tegengehouden. Er stonden zelfs nog Java 7 installs op het toestel en de gebruiker is lokale admin. Ik ben benieuwd waardoor het niet is afgegaan...

marcop82 schreef op vrijdag 25 maart 2016 @ 10:43:
Een collega heeft deze gehad, uitgevoerd, maar er is niets gebeurd bij nader onderzoek.
Geen idee hoe het komt, want de malware bescherming heeft het niet tegengehouden. Er stonden zelfs nog Java 7 installs op het toestel en de gebruiker is lokale admin. Ik ben benieuwd waardoor het niet is afgegaan...

Het kan zijn dat het virus zich eerst schuil houdt, en later pas actief wordt.

Compizfox schreef op donderdag 24 maart 2016 @ 16:34:
[...]

Heb je een exectuable uitgevoerd, of alleen de RAR geopend? Slechts openen van een archief moet geen kwaad kunnen.

Ik heb alleen de RAR geopend, mijn virusscanner heeft meteen alarm geslagen en toen heb ik direct op verwijderen geklikt. Ik ondervind geen problemen met mijn computer tot nu toe, dus het zal wel in orde zijn. Dank voor de reactie.

SMTP HELO command via Telnet.

Jaren terug een standaard oefening bij informatica in Nijmegen: stuur een studiegenoot een mail namens zichzelf.

Of mensen met een illegale XP (fckgw) mailtjes sturen namens b.gates@msn.com.
Wel even zoeken naar een open mailserver...

Anonymoussaurus schreef op vrijdag 25 maart 2016 @ 16:13:
[...]


Het kan zijn dat het virus zich eerst schuil houdt, en later pas actief wordt.

Bij een virus lijkt me dat logisch maar niet voor ransomware die zo snel mogelijk alles wil vergrendelen om in te cashen voordat men een oplossing vind. De boel binnenkort toch eens kritischer bekijken.

marcop82 schreef op dinsdag 29 maart 2016 @ 09:31:
[...]

Bij een virus lijkt me dat logisch maar niet voor ransomware die zo snel mogelijk alles wil vergrendelen om in te cashen voordat men een oplossing vind. De boel binnenkort toch eens kritischer bekijken.

Het is juist een eigenschap van ransomware dat het eerst nestelt in je systeem zodat alles eerst volledig encrypted is en ook eventuele backups worden beschadigd. Pas daarna wordt het actief en kom je erachter dat je backups waardeloos zijn (tenzij je t goed gedaan hebt) en moet je dus wel betalen.

pffff dit soort internet ruis gaat gewoon >NUL niet over denken. weer een invoice,prijs, aanklacht. whatever in een pdf.zip oid .... right .. toedeliedokie

Cartman! schreef op dinsdag 29 maart 2016 @ 20:18:
[...]

Het is juist een eigenschap van ransomware dat het eerst nestelt in je systeem zodat alles eerst volledig encrypted is en ook eventuele backups worden beschadigd. Pas daarna wordt het actief en kom je erachter dat je backups waardeloos zijn (tenzij je t goed gedaan hebt) en moet je dus wel betalen.

Wanneer triggered dan volgens jou een malware of virus scanner als deze tijdens installatie, wissen van shadowcopies en encryptie niet kan gedetecteerd worden ?

marcop82 schreef op woensdag 30 maart 2016 @ 15:12:
[...]

Wanneer triggered dan volgens jou een malware of virus scanner als deze tijdens installatie, wissen van shadowcopies en encryptie niet kan gedetecteerd worden ?

Ik zou erop rekenen dat die meteen gaan miepen maar nieuwe varianten worden natuurlijk niet altijd direct herkend.