Neuer Wurm im anmarsch??

[phatliner]

Schon den ganzen Tag bekomme ich seltsame emails, von Leuten, die behaupten, sie bekämen ständig Mails von mir, von wegen ich würde sie zuspammen und wahrscheinlich einen Virus haben. Dann verweisen sie auf den anhang, eine .pif Datei, welche eine "Anti-Virus-Anleitung" sein soll. Ich habe die Mail heute schon von 20 verschiedenen Leuten bekommen, jedoch immer der selbe Text:

Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!!
Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen Mailbox sprengen!

Mit freundlichen Grüßen:
XXXXX

 

[Shiraffa]

Das dürfte der hier sein:

http://www.heise.de/newsticker/data/dab-27.10.03-001/

 

[GreatForrest]

Da verschickt bzw. spamt mglw. jemand über den Server wo Dein email account ist mails mit Fantasieadressen.
siehe hier (war das Selbe im September):

http://mamora.de/news/spam.html


Schau mal nach ob vor dem Domainnamen fremde Adressen sind, also vor dem @deinserver.de

 

[GreatForrest]

@Shiraffa

Danke, hatte ich nicht gesehen, hast gepostet als ich noch am Tippen war.

 

[phatliner]

Oh man ey, diese Scheiße geht mir echt auf die Nerven. Jetzt gibts diese miesen Mails auch noch auf deutsch. Muss man echt aufpassen, da man ja von "normal-klingenden" emails und email-adressen auch nicht von Spam Mails ausgehen muss. Ein Laie fällt da bestimmt drauf rein, zuma der virenscanner von web.de keinen virus anzeigt, wenn man diese mails checkt....arm...und sowas prollt ständig mit seinen auch-so-vielen guten testergebnissen von Stiftung Warentest & Co.

 

[Shiva2012]

hehe, habe wieder mal Lehrgeld bezahlt.
Am Freitag nicht abgewartet, ob meine mail an den Absender zurückkam,
runtergeladen, mit Norton AV geprüft, war nix - geklickt - 50 dateien verloren (umbenannt in *.exe)
Im System32 Ordner war eine nicht zu stoppende antivir.exe (62kb), die ich erst im abgesicherten Modus zu fassen bekam.
Glücklicherweise hatte wenigstens meine Firewall funktioniert.

 

[Franziskaner]

sowas kann einem den ganzen Tag versauen. Und dann noch der Ärger mit den gefakten Absenderadressen - wird Zeit, das die RMX Erweiterung kommt, um wenigstens das mal in den Griff zu kriegen...

Ich bin ja nun überwiegend ein friedlicher Mensch, aber bei 20 Viagra Mails pro Tag bin ich geneigt, das Abziehen der Haut und anschliessendes Sieden in heissem Öl für die ganzen Spammer und Wurmzusammenklicker zu fordern...

 

[GreatForrest]

Wenn das die Mails mit den Viagranamen waren, war das kein Wurm.

War bei mir Mitte September so, ca. eine Woche lang genau 235 Mails.
Absender wie: cheridavis_mt@deinedomain.de oder dylan_brittonoc@deinedomain.de

Also ein englischer Name und zwei Buchstaben hintendrangehängt.

Lest mal meinen Post bzw den Link von Oben durch, müsste das gewesen sein.

Was für email accounts habt ihr denn? Eigener Domainname?

 

[Franziskaner]

Wenn das die Mails mit den Viagranamen waren, war das kein Wurm.

Schon klar, war vielleicht etwas OT, aber das ist doch alles die gleiche Seuche...

Deswegen würde ich Spammer UND Wurmschreiber im gleichen Topf kochen...

(Achtung: Diese Aussage ist selbstverständlich IRONISCH gemeint und auf keinen Fall als Aufforderung zu Mord oder Folter zu verstehen. Nicht, dass einer auf falsche Ideen kommt...)

Aber das Problem mit den gefälschten Absenderadressen kommt bei beiden vor - das Blöde ist, dass man als InhaberIn der Domain dagegen keine Chance hat.

Da mittlerweile fast alle Mailserver durch eine DNS-Anfrage prüfen, ob die Absendedomain tatsächlich exisitiert, können viele Spammer und Virenautoren ihre Fracht nur noch unter realen Domains absetzen. Und schon hat man als Besitzer der Domain zig Beschwerdemails im Postkasten, obwohl man überhaupt nix mit der Verteilung zu tun hat. Arrrghhh, ich fang' schon wieder an, mich aufzuregen...

Naja, ich geh' jetzt ein bißchen in den Türrahmen beißen, um mich abzuregen.

 

[dkR]

Hab die mail auch grad bekommen.
Seltsamer Text und eine *.pif im Anhang.

 

[Macleod23]

Wer im Internet unterwegs ist, kommt um die englische Sprache eigentlich nicht herum. Ist eine Information nicht in deutscher Sprache erhältlich, gibt es sie bestimmt auf englisch. Computer-Schädlinge sprechen ebenfalls meistens die Sprache Nummer eins, nur manchmal nicht, und das ist schon etwas besonderes.

Der derzeit im Umlauf befindliche Windows-Email-Wurm Sober hat uns Deutsche lieb und spricht daher unsere Sprache. Doch leider hat diese Nettigkeit einen Haken: klickt man auf den in der Sober verseuchten e-Mail enthaltenen Anhang, installiert man sich einen Wurm auf dem Windows PC. Eine Sicherheitslücke nutzt er dabei nicht aus, sondern er "lebt" davon, das User ihn aktiv durch Klick auf den Anhang installiert.

Wird der Wurm gestartet, kopiert er folgende Dateien in den Windows Systemordner:
- similare.exe
- systemchk.exe
- systemini.exe

Zusätzlich erstellt er noch im Systemordner unter "MacromedHelp" die Datei Media.dll. Darin enthalten sind auf dem befallenen Rechner gefundene e-Mailadressen, an die sich der Wurm dann verschickt.

Damit der Wurm sich leichter verbreiten und der User ihn nicht gar so leicht erkennen kann, verändert er sehr häufig sowohl Betreff als auch Inhalt der e-Mail. Folgende Betreff-Zeilen kommen dabei vor:

- Neuer Virus im Umlauf!
- Sie versenden Spam Mails (Virus?)
- Ein Wurm ist auf Ihrem Computer!
- Langsam reicht es mir
- Sie haben mir einen Wurm geschickt!
- Hi Schnuckel was machst du so ?
- VORSICHT!!! Neuer Mail Wurm
- Re: Kontakt
- RE: Sex
- Sorry, Ich habe Ihre Mail bekommen
- Hi Olle, lange niks mehr geh
- Re: lol
- Viurs blockiert jeden PC (Vorsicht!)
- Überraschung
- Ich habe Ihre E-Mail bekommen !
- Jetzt rate mal, wer ich bin !?
- Neue Sobig Variante (Lesen!!)
- Back At The Funny Farm
- Ich Liebe Dich

Da Sober in seiner bereits längere Zeit bekannt ist, haben die Hersteller von Antiviren-Software bereagiert und ihre Signaturen für die Erkennung des Schädlings aktualisiert. Ein Update des installierten Virenschutzes ist daher zu empfehlen.

Quelle: www.giga.de

 

[goLd]

das ist übel was da abgeht mit den emails 8)

Ich hab zb gar kein outlook installiert weil was soll ich mit emails ???
wenn mich wer aus mein umfeld erreichen will kann man ja anrufen
oder das icq benutzen geht eh schneller und muss net auf antwort stunden warten

sonst keine chance ein LOOOOOL auf emails!!!!!!!!!!!

 

[SimoRRR]

Naja, Du musst bedenken, dass nicht alle Leute, die geschäftlich elektronisch mit anderen in Verbindung bleiben müssen, icq nutzen können. Wäre ja noch schöner, da kommt man morgens ins Büro, macht den PC an, und als erstes gehen 23tausend icq Fenster auf!
Emails sind die Briefe des 21. Jahrhunderts.... nicht mehr wegzudenken. Das Problem ist nur, dass das den Leuten, die Franziskaner gern kochen will, auch klar ist!

 

[Franziskaner]

Naja, Du musst bedenken, dass nicht alle Leute, die geschäftlich elektronisch mit anderen in Verbindung bleiben müssen, icq nutzen können.

Eben. Wenn alle Instant Messaging Programme nutzen würden, würde auch das von Spammern überflutet werden. Siehe auch die Probleme mit dem Windows-Nachrichtendienst, der ja fleissig genutzt wird.

Ausserdem reisst IM durch Funktionen wie Shared Desktops, Filecopy etc. auch gleich wieder ordentliche Löcher in die Sicherheitsstruktur und -Policy von Unternehmen.

Emails sind die Briefe des 21. Jahrhunderts.... nicht mehr wegzudenken. Das Problem ist nur, dass das den Leuten, die Franziskaner gern kochen will, auch klar ist!

MAN BRINGE MIR EINEN TOPF!!!

Ich hab' mir schon überlegt, ein Perlskript zu schreiben, dass alle Links in Mails aufruft, die von Spamassassin als Spam deklariert wurden. Natürlich ohne was zu kaufen. Dann das so ca. 1000x pro Mail. Wenn die Webseite ca. 20 KB hat und jeder der 1 Mio. Empfänger das macht, kommt da ganz schön was an Übertragungsvolumen für den Spammer zusammen. Es lebe die Volumenabrechnung...

 

[SimoRRR]

Eieiei, jetzt hat es mich auch fast erwischt.

Eben wollte ich meine Mails abholen (mit Mozilla Thunderbird). Sämtliche Accounts wurden problemlos gecheckt bis auf einen freenet Account. Für den gabs angeblich 7 Mails zum abholen, von denen aber nur eine abgeholt wurde, woraushin sich das Prog aufhängte. Das ließ sich mehrmals reproduzieren. Dann hab ich die Mails nochmal mit "the Bat" gecheckt, welches kein HTML anzeigt. Alle 7 Mails wurden abgeholt. Unter ihnen auch 4 mit .pif und .scr Anhängen. Als die gelöscht waren und die anderen Mails (erwartete und mit bekanntem Absender) nochmal an die gleiche freenet Adresse weitergeleitet wurden, war es auch kein Problem mehr, die Mails mit Thunderbird abzuholen.
Ich hab eben mein System mit den neusten Virus Definitionen durch Norton AntiVir checken lassen, es wurde aber nix gefunden. Sollte das reichen oder ist da schon irgendwas hinter meinem Rücken passiert, was nicht hätte sein sollen? Hat jemand ähnliche Erfahrungen gemacht?

 

[dkR]

Mein Virenscanner hat seit gestern auch schon 2 Mails mit dem Wurm erwischt 8)
Das Ding ist seine 25 Euro im Jahr wirklich wert.
Accounts checken ging Problemlos, nur beim mail anschauen kam halt die Meldung vom Scanner, dass er den infizierten Anhang gemeuchelt hat.

 

[Atlan]

der neue wurm heisst "Sober", er verschickt liebe nette emails (wie immer halt)...

durfte den gestern auch mal in aktion auf einem rechner im netzwerk begutachten...

so kleine infos zum inhalt, art und entfernung:

http://securityresponse.symantec.com/avcenter/venc/data/w32.sober@mm.html


ps: hoffe nix wiederholt zu haben...

 

[dkR]

Die Mail ist so spitze, die darf ich euch nicht vorenthalten

Kaspersky Lab Int. and Norton Anti Virus have found a new typ of worm.
He calls itself "ODIN" and he is very variable!
This mail was spread with this Worm, too. BUT, the attachement is a AntiVirus!!
Norton and Kaspersky Lab has create this bomb.

You should use the <RemovalTool> to check and kill this thing.

Message<ID>: #77831420



__________ NOD32 1.547 (20031030) Warnung__________

Warnung: NOD32 Antivirus System hat folgende Infektion(en) in der E-Mail entdeckt:
removal-tool.exe - Win32/Sober.A Wurm - Saubern nicht moglich. - geloscht

 

[GreatForrest]

Da ich gerade heute wieder mehrere Anfragen wegen des Wurmes hatte kopiere ich hier grade mal unseren Newsletter rein:

Newsletter 02.11.2003



Da sich in den letzten Tagen die Anfragen bezüglich Spam eMails mit undefinierbarem Anhang häuften, bekommen Sie hier eine etwas genauere Erklärung:

NEUER WURM

Seit einigen Tagen verbreitet sich in Deutschland massenhaft der Internet-Wurm W32.Sober@mm (AKA I-Worm.Sober, Win32/Sober.A, Win32.HLLM.Odin, zum Teil auch über die grossen Webportale wie Web.de (26.10.03). Letzte Nacht wurde der Wurm über Gmx.de verschickt.

Oft sind es Mails von verärgerten Nutzern die angeblich eine eMail mit Virenanhang von Ihnen bekommen haben in denen sie Ihnen zur Nutzung eines neuen Antiviren Tools oder Patches raten. Meist ist das vermeintlich rettende Programm gleich als Anhang dabei. ÖFFNEN SIE DIESE AUF KEINEN FALL!!!! Denn erst in diesem Anhang ist der tatsächliche Wurm enthalten.

Meist beinhalten die eMails wortgenau folgenden Text (Fehler im Original):



--------------------------------------------------------------------------------


# From: frdsat@gmx.de
Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt. Der Wurm nennt sich selbst "ODIN" und konnte sich bist jetzt,unbemerkt auf vielen Computern ausbreiten! Diese Mail wurde selbst mit dem Wurm verschickt, aber, als Anhang mit einem AntiVirus bestückt,den Norton in Zusammenarbeit mit Kaspersky Lab entwickelt hat! Sie sollten auf jeden Fall das benutzen um ggf. den Wurm zu entfernen! Nachrichten: #75344064



--------------------------------------------------------------------------------


# From: Charly67@gmx.de To: You@t-online.de
Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!! Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen Mailbox sprengen!
Mit freundlichen Grüßen:
webmaster@oldsameplace.com



--------------------------------------------------------------------------------


# From: BetinaMueller@gmx.de
Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!! Wie es aussieht, ist bei Ihnen der ODIN Wurm aktiv! Sie sollten mit dem Patch-Programm im Anhang testen, ob der Wurm bei Ihnen auf der Platte ist um Ihn dann automatisch
löschen zu lassen! Niks wie ungut!



--------------------------------------------------------------------------------


Löschen Sie diese eMail bitte unbedingt! Falls Sie noch keinen Virenscanner haben, installieren Sie umgehend einen. Wir empfehlen Antivir 6 - unter Usern auch liebevoll 'Der Regenschirm' genannt. Siefinden diesen auf den Seiten von H+BEDV Datentechnik GmbH auf Antivir.de unter downloads.

Unten anhängend finden Sie die gängigen Betreffzeilen und Dateien die den Spam eMails des Wurmes anhängen.


Betreffzeilen:

Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich

Die Anhänge können folgene Bezeichnungen tragen:

AntiVirusDoc.pif; Check-Patch.bat; Screen_Doku.scr; Removal-Tool.exe;
Perversionen.scr; Bild.scr; robot_mail.scr; RobotMailer.com; privat.exe; AntiTrojan.exe; Mausi.scr; NackiDei.com; Anti-Sob.bat; security.pif; Funny.scr; Liebe.com; Odin_Worm.exe; anti_virusdoc.pif;
check-patch.bat; removal-tool.exe; screen_doc.scr; potency.pif; perversion.scr; pic.scr; CM-Recover.com; playme.exe; robot_mailer.pif; little-scr.scr; love.com; nacked.com; Hengst.pif;
schnitzel.exe; anti-trojan.exe; NAV.pif