Valse afzender W32/Netsky.Z@mm?

De laatste tijd krijg ik geregeld in mijn mailbox een failed-delivery notice naar een emailadres waar ik niets aan heb toegestuurd. Sterker nog, ik ken dat hele emailadres niet.

Dit is het bericht:

This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

runner667@hotmail.com

Als bijlage zit er een mailattachment "hello.eml". (Virusscan: geen resultaat)
In "hello.eml" zit als bijlage "Textfile.zip" (Virusscan: geen resultaat)

Echter:
In "Textfile.zip" zit het bestand "Textfile.txt <veeeeel spaties> .exe"
Heel veel spaties dus tussen txt en exe. In de explorer ziet het er daarom uit als een onschuldig txt bestandje, maar het is een exe! "Onervaren" mensen zullen daarom sneller op deze exe dubbelklikken, omdat het er uit zet als een onschuldig textbestandje.

De virusscan geeft nu wél een resultaat:
W32/Netsky.Z@mm

http://virusalert.nl/?show=virus&id=673
W32.Netsky.z@mm is een internetworm die zich verspreidt via e-mail.
Het betreft een nieuwe variant uit de Netsky-familie W32.Netsky.fam

De grootste schade die het toebrengt is het organiseren van een dDOS aanval op een 3-tal verschillende websites, in de periode 2 t/m 5 mei 2004.

De verzending via e-mail geschiedt naar alle e-mailadressen die het vindt in lokaal opgeslagen bestanden met de extensies: [...] *hele lijst*

Eigenschappen van het e-mailbericht:

* Afzender: [spoofed, = nep. Het betreft niet het e-mailadres van de werkelijke afzender, maar van een willekeurig e-mailadres aanwezig in het adressenboek van het getroffen systeem.]

* Onderwerp: [wilekeurig, een van onderstaand]
Hello
Hi
Important
Important bill!
Important data!
Important details!
Important document!
Important informations!
Important notice!
Important textfile!
Important!
Information

* Naam bijlagebestand: [willekeurig]
Bill.zip
Data.zip
Details.zip
Important.zip
Informations.zip
Notice.zip
Part-2.zip
Textfile.zip
dokument.pif
document.pif

Ik denk dus niet dat mijn PC is besmet (ik scan erg regelmatig).
Waarschijnlijk is dus één van de volgende 2 dingen aan de hand:
1) PC van runner667@hotmail.com is besmet en heeft mijn email in zijn adressenboek (maar die van hem niet in de mijne), zodat er een valse delivery faillure notification naar mij wordt verstuurd door het virus. Lijkt me onwaarschijnlijk, omdat de kans dat ik de virus activeer minimaal is. Ik moet immers eerst van alles uitvoeren en uitpakken voordat ik de exe kan activeren.

2) PC van iemand anders is besmet. Diegene heeft mijn email wél in het adressenboek én dat van runner667. De virus op de besmette heeft vervolgens een virusmail (hello.eml) naar runner667 gestuurd met een valse afzender (= mijn email adres). Mailvirusscan van runner667 onderschept het maitje tijdig en stuurt een delivery faillure notification naar mij.

Ik zou erdus nogal van balen als die virus mijn goede naam besmeurt door vanaf een PC van iemand anders (die toevallig mijn email in zijn adressenboek heeft staan) virussen gaat verzenden onder mijn naam...In dit geval heeft runner667 geluk en is mijn naam besmeurt. Erger is nog dat anderen besmet gaan raken wanneer die zogenaamde mail van mij wél aankomt (met die virus erin).

Wie heeft dit verschijnsel ook gezien?
Wie weet wat er precies is gebeurd?

Ik erger me niet zozeer aan die delivery-faillures notices (tot nu heb ik ze altijd direct verwijderd zonder ze een blik waardig te gunnen).

Het gaat mij meer om het irritante (en meest gevaarlijke) dat zo'n besmet mailtje wél aankomt bij mensen die mij wél vertrouwen (en geen goede mail-virusscandienst hebben). Die mensen zien dan "hé een mailtje van The_Sukkel!...nou dat is atijd safe want die kerel zendt geen virusmailtjes en dat soort ongein"...

PS: de opmerking "Als je wat info over Netsky zou opzoeken" doet mij vermoeden dat de schrijver van deze opmerking niet de moeite heeft genomen mijn hele startpost tot zich te nemen.

[ Voor 24% gewijzigd door The_Sukkel op 15-05-2004 13:15 ]

Tsja... als dit schering en inslag is, dan zal ik me er maar niet druk om maken he...

Blijft vervelend dat mensen die mij vertrouwen nu door dit vertrouwen besmet zullen raken (niet iedereen heeft een provider die standaard mailtjes bounced). Er zitten mensen bij die normaal gsproken onbekende attachments noooooit zullen openen, maar misschien wel als het (zogenaamd) van mij vandaan komt...

Niets aan te doen...

Nu ik alle reacties nog eens herlees denk ik dat het niet goed is overgekomen wat mijn punt is.

Dit zijn kort de punten (bold de probleempunten):
1) PC van iemand (zeg PC A) anders is besmet met Netsky
--> kan me niet erg boeien
2) Mijn PC is niet besmet
--> gelukkig maar!
3) Netsky stuurt vanuit PC A virusmailtjes naar buiten
--> kan me ook niet erg boeien
4) Netsky gebruikt met MIJN emailaccount als afzender
--> dít is wel nogal irritant...
5) Sommige emailproviders laten dit soort mailtjes niet door en ik krijg failed delivery notice
--> nu ik weet hoe dit zit kan me dat ook niet erg boeien
6) Sommige mailtjes komen door omdat de provider/user geen afweer hebben tegen Netsky
--> kan me ook niet erg boeien
7) De ontvangers vertrouwen vervolgens het mailtje omdat ze mijn naam als afzender zien
--> foetsie "goede reputatie"
8 ) De ontvangers vertrouwen het mailtje niet, scannen het en zien de virus en denken dat ik zo "dom" ben om besmet te zijn geraakt met Netsky
--> ook foetsie "goede reputatie"

De meeste reacties gaan over het feit dat ik me niet moet storen aan het feit dat ik failed delivery notices krijg of dat de PC van de ander niet is beschermd. Ik stoor me daar ook niet aan. Ik hoop dat het nu wel duidelijk is waar ik me wél aan stoor...

Ik heb nogal wat mensen in mijn vriendenkring zitten die niet heel erg dom zijn (sommigen behoorlijk intelligent zelfs), maar die nu eenmaal geen super-deskundige zijn op het gebied van PC-virus-bescherming. Ik denk dat iedereen (ook wij dus) wel besmet kunnen raken door een virus, daar wil ik dus vanaf zijn. Het smerige van Netsky is dus dat het niet de naam van de besmette persoon gebruikt als afzender gebruikt, maar die van een willekeurige in het adressenboek van die persoon.

Maar goed... nu ik weet dat het schering en inslag is kan ik er al een stuk minder mee zitten (in de eerste instantie voelde ik me behoorlijk bij de kloten gegrepen, omdat Netsky "mijn naam aan het rondspreiden was als virusverspreider").