Reproduzierbarer Absturz durch Spam (Virus?)

  • Um Rückfragen vorzubeugen, bitten wir um folgende Angaben:
    * Thunderbird-Version: 31.6
    * Betriebssystem + Version: Ubuntu 14.04
    * Kontenart (POP / IMAP): beides
    * Postfachanbieter (z.B. GMX): 1&1, GMX,...
    * Eingesetzte Antivirensoftware: --
    * Firewall (Betriebssystem-intern/Externe Software): --


    Hallo zusammen,


    bisher dachte ich, vor bösartigen Mails halbwegs sicher zu sein, wenn ich den Anhang nicht öffne, HTML ausgeschaltet lasse und auch Anhänge nicht eingebunden anzeige. Nun habe ich eine Mail bekommen (angeblich von DHL, allerdings leicht als Fälschung zu erkennen), die TB zum "Stehen" bringt, sobald man nur die Mail markiert. TB friert ein und kann nur noch beendet werden.
    Die Mail hat einen PDF-Anhang, und der Text selbst ist auch base64-kodiert. "Manuell" base64-decodiert ist der Text aber immer noch sehr viel Zeichensalat zwischen HTML-Tags, beginnend mit

    Code
    1. <HTML><META content="text/html; charset=utf-8" http-equiv=Content-Type><BODY><font style="font-size:1px;color:white;">

    ... also als HTML "unsichtbar", und das PDF enthält einen "bösen" Link. Bösartig scheint mir aber auch der Mail-Body zu sein, der auch einen Texteditor überfordert, der friert nämlich ein wie TB, wenn auch nur vorübergehend. Nun frage ich mich, ob hier jetzt nicht doch irgendwas schlimmes passiert ist ?( ?
    Ja, man sollte solchen Müll unbesehen löschen, aber mit TB ging das gar nicht, weil schon das Markieren der Mail zum Einfrieren führte. Bei IMAP kann man über Webmail gehen, bei POP3 hilft nur, die Mailboxdatei zu editieren. Und dabei wurde mein Interesse geweckt, und ich hab die Mail auseinandergenommen, nur so richtig schlau bin ich immer noch nicht - ist das ein "Doppelpack", der einerseits (mit Text/HTML!) einen buffer overflow o.ä. erzeugen soll und andererseits, wenn das nicht klappt, noch einen Downloadlink anbietet?


    Gruß, muzel

  • Was es alles gibt. Vielleicht ist eine gute Idee, dafür einen bug aufzumachen und den Entwicklern den Code zur Verfügung zu stellen. Immerhin bringt er den TB zum Hängen.

    Nun frage ich mich, ob hier jetzt nicht doch irgendwas schlimmes passiert ist ?


    Für sehr wahrscheinlich halte ich das in Deinem Fall nicht. Selbst wenn die E-Mail Schadcode enthalten sollte, es müsste ja einer sein, der unter Linux ausführbar ist.
    Sofern Du es aktiviert* hast, könnte JS-Code direkt im TB ausgeführt werden. Aber auch der wäre ja mit großer Wahrscheinlichkeit auf Windows ausgelegt und liefe außerdem ja nur mit den Rechten Deines Users.
    Vielleicht ist der TB aber genau deshalb hängen geblieben. Dass er hängt, halte ich eher für ein gutes Zeichen. Jemand, der Schadcode zur Ausführung bringen will, möchte ja, dass dieser vollständig und möglichst unbemerkt ausgeführt wird.


    *Hab gerade gelesen, dass sich JS seit TB3 nur noch für Newsfeeds aber nicht mehr für Mails aktivieren lässt.

    Wan's olle einigangan, gangans ned eini. Wei's owa ned olle eini gengan, gengans eini.

    Dieser Beitrag wurde bereits 2 Mal editiert, zuletzt von SusiTux () aus folgendem Grund: ergänzt

  • Hi Susi,
    in meinem Hauptprofil ist HTML und JS ausgeschaltet, in meinem Testprofil habe ich allerdings die Standardwerte, also "ein". Da war überhaupt nichts zu bemerken, die Mailvorschau blieb (wie vermutlich beabsichtigt) leer. Javascript müßte allerdings für die Ausführung, so hoffe ich, zwischen entsprechenden Tags stehen, und die gibt es nicht.
    Ich glaube zwar nicht, daß sich jemand den Bug ansieht (es gibt viel zu tun, drehen wir mal die Versionsnummer hoch...), aber ich mach bei Gelegenheit einen auf.
    Danke+Grüße, muzel

  • Hallo muzel,


    hast Du noch eine Windows-Umgebung zur Verfügung? Falls ja, dann könntest Du den TB samt Profil in Sandboxie packen und dort die E-Mail öffnen. Auf diese Art könntest Du rasch sehen, ob und in welche Verzeichnisse beim Öffnen dieser E-Mail geschrieben werden soll.


    Gruß


    Susanne

    Wan's olle einigangan, gangans ned eini. Wei's owa ned olle eini gengan, gengans eini.

  • Hallo muzel,
    leider habe ich eben erst diesen Thread gefunden, aber vielleicht gibt es ja noch was Aktuelles dazu.
    Meine Frage: Bist Du sicher, das TB komplett und endgültig einfriert?
    Bei mir ist es so, dass bei manchen erkannten Spam-Mails TB für ca. 1 Minute nicht reagiert. Wenn ich das Programm in Ruhe lasse, funktioniert es dann wieder.


    Ich suche eben auch, woran das liegt.


    LG
    Chnutz

  • Hallo Chnutz,


    leider fehlen die techn. Daten.
    Das verhalten tritt im Regelfall auf, wenn das Profil und /oder Mails z.B. von Virenscannern gescannt werden.
    Das Profil sollte man deshalb komplett ausschliessen, Mails nur beim Abholen scannen und dabei in Extras>Einstellungen>Sicherheti den Haken bei Anti-Virus setzen.


    Siehe dazu im Wiki Antivirus-Software - Datenverlust droht!
    Und: ein- ausgehende Mails scannen? Hier ein interessanter Beitrag von Peter_Lehmann dazu

  • Hallo rum,


    die technischen Daten hatte ich hier nicht gesendet, weil ich muzel lediglich rückgefragt habe. Sie befanden und befinden sich hier: Einfrieren für 1 - 3 Minuten bei neuer Junkmail


    Ich habe aber damals sofort Deine Lösung ausprobiert (Danke dafür!), die jedoch leider nichts bewirkt hat. Ich habe sogar Kaspersky komplett ausgeschaltet, ohne dass es etwas nützte.

    Alles Weitere, inkl. technischer Daten, im genannten Thread ;-)


    LG
    Chnutz