Empfange seit dem 12. Januar 2015 leere Mails von drei verschiedenen Windows-PCs

tag-icon tag-icon windows email outlook malware
Empfange seit dem 12. Januar 2015 leere Mails von drei verschiedenen Windows-PCs

Problem

Seit dem 12. Januar 2015 werden unerwartete leere E-Mails von einer unbekannten Quelle versendet.

Versuche, das Problem zu lösen

  • sie sind alle von der Firma, bei der ich Netzwerk-/Systemsupport mache
  • Sie stammen alle von Windows 7-Rechnern
  • auf allen Rechnern ist Outlook installiert
  • E-Mails haben immer einen leeren Text
  • es hat nichts mit der Interaktion des Benutzers zu tun. Ich habe sie mehrmals direkt nach dem Eintreffen der E-Mail angerufen und sie haben ganz normale Dinge wie Surfen usw. gemacht. Manchmal erhalte ich diese E-Mails, auch wenn niemand den PC verwendet.
  • alle drei PCs begannen am 12. Januar 2015 mit dem Versand dieser Mails
  • die Zeiten haben keinen Bezug (manchmal erhalte ich sogar nachts E-Mails)
  • Ich erhalte E-Mails nur, wenn die PCs eingeschaltet sind. RobertPC ist beispielsweise immer eingeschaltet und ich erhalte E-Mails nur am Wochenende (die anderen sind ausgeschaltet).
  • Es gibt ein gewisses Muster in den Betreffzeilen von E-Mails:

WITT - report Helios pocitac- kommt von WittPC

WITT Lenka report- kommt von Martina PC

WITT - Robert report- kommt von RobertPC

Beachten Sie jedoch, dass in „WITT Lenka report“ der Bindestrich fehlt. Beachten Sie auch, dass das Wort „report“ in „WITT - report Helios pocitac“ in der Mitte des Betreffs steht, während es in den anderen beiden Betreffs am Ende steht.

Hier poste ich den Quellcode von zwei E-Mails. Beachten Sie, dass ich meine E-Mail-Adresse [email protected]und die E-Mail-Adresse des Unternehmens geändert habe company_mail@their_domain.com. Das Unternehmen heißt WITT und der Name steht im Betreff.

Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5070519ldb;
        Mon, 2 Mar 2015 01:54:37 -0800 (PST)
X-Received: by 10.180.105.131 with SMTP id gm3mr34457493wib.11.1425290075184;
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.196])
        by mx.google.com with ESMTPS id f20si17829519wiw.11.2015.03.02.01.54.34
        for <[email protected]>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 01:54:35 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.196;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from Martina (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22C0niI025497
    for <[email protected]>; Mon, 2 Mar 2015 13:00:50 +0100
Thread-Topic: WITT Lenka report
thread-index: AdBUzuF6ZasY+IMSR/WHxYqBQw1VZw==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT Lenka report
Date: Mon, 2 Mar 2015 10:54:31 +0100
Message-ID: <CEF9D61743624438AFB64DAEE2A1F904@Martina>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

2. E-Mail:

Delivered-To: [email protected]
Received: by 10.114.12.67 with SMTP id w3csp5079020ldb;
        Mon, 2 Mar 2015 02:13:46 -0800 (PST)
X-Received: by 10.180.214.99 with SMTP id nz3mr34911628wic.82.1425291226321;
        Mon, 02 Mar 2015 02:13:46 -0800 (PST)
Return-Path: <company_mail@their_domain.com>
Received: from ub.wcontact.cz ([217.11.236.202])
        by mx.google.com with ESMTPS id lc1si21540226wjc.149.2015.03.02.02.13.44
        for <[email protected]>
        (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 02 Mar 2015 02:13:45 -0800 (PST)
Received-SPF: none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) client-ip=217.11.236.202;
Authentication-Results: mx.google.com;
       spf=none (google.com: company_mail@their_domain.com does not designate permitted sender hosts) smtp.mail=company_mail@their_domain.com
Received: from RobertPC (136.67.broadband2.iol.cz [83.208.67.136])
    by ub.wcontact.cz (8.14.4/8.14.4/Debian-4.1ubuntu1) with ESMTP id t22CK1a1025892
    for <[email protected]>; Mon, 2 Mar 2015 13:20:02 +0100
Thread-Topic: WITT - Robert report
thread-index: AdBU0ZFN59bSeq8gS72nD7K9MjemXQ==
From: <company_mail@their_domain.com>
To: <[email protected]>
Subject: WITT - Robert report
Date: Mon, 2 Mar 2015 11:13:47 +0100
Message-ID: <A28D9827680449BB964B51889EE50598@RobertPC>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
X-Mailer: Microsoft CDO for Windows 2000
Content-Class: urn:content-classes:message
Importance: normal
Priority: normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609

Frage

Welcher Dienst oder welche Anwendung sendet diese E-Mails und wie lässt sich die Quelle zurückverfolgen?

Antwort1

Haftungsausschluss 1: Natürlich verfügt Windows bereits über gute Prüftools, um mit so etwas umzugehen. Leider habe ich in der Windows-Umgebung keine Erfahrung als Systemadministrator, sondern nur als normaler Endbenutzer.

Haftungsausschluss 2: Wenn jemand auf ein ähnliches Problem wie dieses stößt (mysteriöse E-Mail oder ausgehendes Paket), wäre es eine gute Idee, die Verbindung zu diesem Computer für weitere Analysen zu trennen.

Das zufällig aufgetretene Problem kann mithilfe eines guten Protokollierungssystems verfolgt werden. In diesem Fall müssen Sie die Protokollierung auf Ihrem Mailserver und dem Endbenutzer-PC einrichten. Ein Windows-PC muss über einen Protokolleintrag mit Zeitstempel, PID und Ziel der ausgehenden Verbindung verfügen. Ein Debian-Server sollte über einen Protokolleintrag mit Zeitstempel beim Empfang der E-Mail sowie über Absender und Empfänger der E-Mail verfügen. Mit diesen beiden Informationen können Sie sehen, welcher Prozess Ihnen die E-Mail gesendet hat. DeshalbZeitsynchronisation ist wichtig.

In der VergangenheitSie haben TCPview verwendet, um sich ein Bild von der Windows-Aktivität zu machen. Die schlechte Nachricht ist, dass TCPView keine Protokollierung durchführen kann. Sie müssen also in TCPview-Fenster schauen, bis die E-Mail gesendet wurde. Die andere schlechte Nachricht ist, dass SMTP-Transaktionen sehr schnell sein können, sodass es kaum eine Chance gibt, dass Ihre Augen das SMTP-Ereignis erfassen.

Bezogen aufdiese Super User-Antwort, Du kannst es versuchenProzessmonitorum Ihnen beim Protokollieren der Netzwerkverbindung und ihrer PID zu helfen. Das Programm muss geöffnet und ausgeführt werden, damit es die Protokolle aufzeichnen kann. Wenn Sie es jedoch so einrichten, dass die Protokolle während der Aufzeichnung auf der Festplatte gespeichert werden, können Sie sie später immer noch überprüfen.

Prozessmonitor

Mit diesem Tool können Sie das Protokoll am Ende des Tages ausführen und überprüfen. Sie müssen den Bildschirm nicht mehr ständig im Auge behalten.

verwandte Informationen