„Sie sind infiziert“ – oder: die Freuden automatischer Benachrichtungen

Abt: Computer sind doof

Häufige Frage:

> Bin mir 100% sicher, dass ich Wurm XY nicht habe, trotzdem bekomme ich fast
> täglich von Virenscannern anderer User Nachrichten, die behaupten, ich hätte ihn.
> Kann ich irgend etwas dagegen tun, das scheinbar Würmer über meinen Mailaccount
> example@example.com versendet werden?

Beispiele:

Oft Käse: Die „Sie sind infiziert“-Meldung. Macht inzwischen einen Grossteil des täglichen Spams aus, weil die meisten Chefs, die mangels Durchblick ihr Unternehmen in die Pleite rangierten, zur Kostenoptimierung ihre Netzwerk-Verwalter entliessen (Netzwerk ist ja sooo einfach, das kann unser 5-Port-Hub auch alleine) und danach in den Menüs der Software einfach „sicherheitshalber“ alle Optionen aktivierten (na das war ja einfach!).

Was tun?

• Möglichkeit A: Sie haben _tatsächlich_ einen Wurm oder Virus, die Mails haben also recht.

  Lösung: Viren-Scan! Wurm-Entfernung! Abschließender Sicherheits-Scan! Das übliche, siehe Notfall-Plan.
  Findet sich kein Übeltäter, hilft nur, neue, andere, aktuellere, bessere Virenscanner auszuprobieren oder mit Process Explorer und/oder TCPview manuell nach Wurm-Prozessen Ausschau zu halten.

Hilft das nix, weil sich kein Wurm-Virus zeigt:

• Möglichkeit B (erheblich wahrscheinlicher): Die Würmer werden gar nicht wirklich über Sie versendet. SIE sind absolut unschuldig, ein Opfer idiotischer Hinweis-Mails.

  Denn Merke: Mail-Würmer stehlen Adressbücher.
  Ergo: Irgend jemand, in dessen Adressbuch sich Ihre E-Mail-Adresse befindet, hat sich infiziert. Der Wurm stahl dort die Adresse. Diese verwendet er als gefälschten Absender. Wer auf gefälschte Abwender antwortet, antwortet dem Falschen. Ihnen.

Grummel. Die Hinweisdienste, die „Sie sind infiziert“-Mails verschicken, sind einfach zu blöd zu kapieren, dass sie den Mailtraffic unnötig erhöhen, wenn ihre Autoresponder auf diese gefälschten E-Mails-Adresse antworten. Man könnte den Deppen, die sich vor allem in grossen namhaften Firmen befinden und die grosse, namhafte Schutzprogramme einsetzen, eine Mail schreiben und ihnen mitteilen, dass sie sich völlig lächerlich machen mit ihrer oberschlauen Tour, dem „Absender“ (eher dem, was sie dafür halten) mitzuteilen, diese oder jene Mail sei infiziert.
Ich kann aber aus Erfahrung sagen: Bringt nichts. Die lesen das 1. eh nicht, halten sich 2. für sooo viel schlauer und 3. finden sie die Option zum Abschalten nicht und 4. wollen sie es gar nicht abschalten, immerhin haben sie für diese tolle Funktion gezahlt.

Übrigens: Outlook sammelt ja jede Adresse automatisch ein, wenn man das nicht abstellt. So landet die fragliche E-Mail-Adresse (die vom Wurm verwendete) in noch mehr Adressbüchern, und hat so noch größere Chancen, von anderen Würmern geklaut und verwendet zu werden, so dass die Zahl weiterer „Sie sind infiziert“-„Antworten“ automatisch steigen wird.

Ist ja auch klar: Ein System, das darauf ausgelegt ist, das Adress-Einsammeln so einfach als möglich zu gestalten, wird einem Wurm, der darauf ausgelegt ist, Adressbücher und Adress-Sammlungen auszubeuten, optimalen Nährboden bereiten. Insofern nochmal besondern Dank an Microsoft Outlook in all seinen Variationen.

Auf gut Deutsch: Finden wir uns damit ab ;-)

Und verwenden Sie einen SPAM-Filter, besser eine Kombination aus Blacklist/Whitelist-System mit Bayesischem Filter, zum Beispiel Spampal plus K9.

Noch was:

> Kann ich irgend etwas dagegen tun, das
> scheinbar Würmer über meinen Mailaccount
> example@example.com versendet werden?

Sofern die Frage genau lautet: ‚Kann ich etwas dagegen tun, dass ein Wurm meine E-Mail-Adresse verwendet, um Mail-Absender zu fälschen: Nein. Wenn der Wurm erst mal unterwegs ist mit der Adresse, dann läßt sich dagegen auch nichts mehr unternehmen.

Wäre es nicht so nervtötend, könnte man es durchaus bewundern, wie Wurm-Schreiber und Wurm-Abwehrer Hand in Hand daran arbeiten, gemeinsam mit Spam-Versendern das Medium E-Mail unbrauchbar zu machen.