Dedies-Board | Sicherheitsnews-Archiv | Weiterer Schädling im Internet unterwegs

Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Weiterer Schädling im Internet unterwegs

» Hallo Gast [Anmelden|Registrieren]

Letzter Beitrag | Erster ungelesener Beitrag

Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen

Weiterer Schädling im Internet unterwegs

Autor

Beitrag

« Vorheriges Thema | Nächstes Thema »

dedie dedie ist männlich

Administrator

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 21.761.563
Nächster Level: 22.308.442

Weiterer Schädling im Internet unterwegs

Zitatantwort auf diesen Beitrag erstellen

Nachdem nun eine neue neue Sober-Variante aufgetaucht ist, kursiert seit kurzem eine weitere Mail mit dem Betreff "Ich habe Ihre Mail erhalten" und der Nachricht:

Danke für Ihre Mail .... Sie haben aber Ihre Mail wahrscheinlich falsch adressiert,,, nämlich an mich. Ich kenne sie aber nicht!

Oder Ihr Provider hat die Mail falsch weiter geleitet!?

Um mich zu entlasten, schicke ich Ihnen das (...) Foto wieder zurück.

MfG Sender

Im gezippten Anhang findet sich eine ausführbare Datei. Bei unseren Tests erkannte kein einziger Scanner einen Schädling. Die bislang erhaltenen Samples werden noch untersucht. Ob es sich um eine weitere Variante des Sober-Wurms, eine Backdoor oder einen Trojaner handelt, der weitere Dateien nachlädt, ist noch nicht klar. Des Weiteren ist noch nichts über die Verbreitung bekannt -- in der c't-Redaktion schlugen allerdings in wenigen Minuten Dutzende Exemplare auf.

QUELLE

__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen

06.10.2005 11:34

Nehmen Sie dedie in Ihre Freundesliste auf

Jabber Screennamen von dedie: dedie@jabber.ccc.de

deoroller deoroller ist männlich

Routinier

Dabei seit: 30.03.2005
Beiträge: 487

Level: 43 [?]
Erfahrungspunkte: 3.577.446
Nächster Level: 3.609.430

Zitat:

Um mich zu entlasten, schicke ich Ihnen das (...) Foto wieder zurück.

Per Brief oder wie? muhaha

__________________
Therapeut: "Wo genau liegt denn jetzt Ihr Problem, Mr. Tentakel?"
Thaddäus: "Es fing alles an...als ich geboren wurde!"

06.10.2005 14:02

Nehmen Sie deoroller in Ihre Freundesliste auf

DerBilk DerBilk ist männlich

Lebende Legende

Dabei seit: 15.07.2005
Beiträge: 114

Level: 36 [?]
Erfahrungspunkte: 825.232
Nächster Level: 1.000.000

Wenn ich mir so anschaue, welche E-Mail-Mengen da so an unseren Türen kratzen, scheint es mal wieder ein typischer Sober-Erfolg zu werden... dumm

__________________
Gruß,
DerBilk

Nur weil ich paranoid bin, heisst das nicht, dass sie nicht hinter mir her sind... (Matthias Deutschmann)

06.10.2005 14:32

Nehmen Sie DerBilk in Ihre Freundesliste auf

DerBilk DerBilk ist männlich

Lebende Legende

Dabei seit: 15.07.2005
Beiträge: 114

Level: 36 [?]
Erfahrungspunkte: 825.232
Nächster Level: 1.000.000

... und weiter geht's...

Zitat:

Nachdem am 6. Oktober 2005 bereits zwei verschiedene Sober-Würmer durch das Internet gegeistert sind, gesellt sich seit den Abendstunden des gleichen Tages ein weiterer Sober-Ableger dazu, der sich ebenfalls sehr rasch verbreitet hat. Auch dieser Wurm versucht durch entsprechende E-Mail-Texte, seine Opfer dazu zu bringen, den angehängten Schadcode zu aktivieren.

Der jüngst entdeckte Wurm trägt den Schadcode in dem mit der E-Mail versendeten Anhang, der in den Golem.de vorliegenden Mustern Brief.zip heißt. Der deutsche Nachrichtentext gibt vor, dass der Absender fragwürdige Inhalte erhalten habe und mit einer Anzeige drohe. Mit diesem Trick will der Schädling Opfer dazu bringen, die angehängte Datei zu öffnen. In der ZIP-Datei steckt dann eine als Word-Datei getarnte Exe-Datei mit dem Namen "packedX_Word_Text-Document.exe", die den Wurm-Code enthält.

Die Wurm-E-Mail weist die Betreffzeile "Haben Sie diese Mail verschickt?" auf und wird so an alle deutschsprachigen Domains versendet. Sofern es stimmt, dass es sich hierbei um einen weiteren Sober-Ableger handelt, verschickt sich der Wurm in einer weiteren Variante mit englischsprachigem Betreff. Derzeit liegen aber noch keine Informationen aus den Labors der Anbieter von Antivirenlösungen vor, so dass genauere Angaben nicht gemacht werden können.

Der deutsche Nachrichtentext lautet

Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen Sie zu
erstatten!

Sie spinnen ja wohl! Die Mail hat meine Tochter gelesen !!!!!!!!!!!!!!

Ich habe Ihnen "diese" Word-Text Datei zu meiner Entlastung
zurückgeschickt.

Es wäre von Vorteil, wenn Sie sich dazu äußern würden!!

Höchstwahrscheinlich trägt sich der Wurm auf infizierten Systemen so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Unhold vermutlich eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Für den Versand werden zudem sicherlich die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.

Noch liegen keine Details zu dem neuen Wurm von den Herstellern von Antiviren-Applikationen vor, so dass sich die gemachten Beobachtungen bislang nicht bestätigen lassen.

Quelle

__________________
Gruß,
DerBilk

Nur weil ich paranoid bin, heisst das nicht, dass sie nicht hinter mir her sind... (Matthias Deutschmann)

07.10.2005 13:59

deoroller deoroller ist männlich

Routinier

Dabei seit: 30.03.2005
Beiträge: 487

Level: 43 [?]
Erfahrungspunkte: 3.577.446
Nächster Level: 3.609.430

Zitat:

Ich habe Ihnen "diese" Word-Text Datei zu meiner Entlastung

Schon wieder. Haben die Rohrpost, oder wie geht das.
Ich schicke gleich auch mal dem Hersteller meines Antivirenprogramms die Signaturen zu meiner Entlastung zurück. großes Grinsen

edit:
Leute, es gibt bald wieder Arbeit. NIS 2006 kommt diesen Monat raus.

__________________
Therapeut: "Wo genau liegt denn jetzt Ihr Problem, Mr. Tentakel?"
Thaddäus: "Es fing alles an...als ich geboren wurde!"

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von deoroller: 07.10.2005 15:51.

07.10.2005 15:51

Vimes

Super Moderator

Dabei seit: 27.03.2005
Beiträge: 1.316

Level: 49 [?]
Erfahrungspunkte: 9.671.185
Nächster Level: 10.000.000

Du wirst lachen, mir hat mal jemand auf eine E-Mail-Bewerbung hin neben einer rotzunfreundlichen Absage auch - zu seiner Entlastung [1] - meine Unterlagen (PDFs) zurückgeschickt... es gibt solche Idioten.

MfG
Vimes

[1] O-Ton.

__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303

07.10.2005 19:38

Nehmen Sie Vimes in Ihre Freundesliste auf

Hertener Hertener ist männlich

Unverbesserlicher Forenquäler

Dabei seit: 27.03.2005
Beiträge: 887

Level: 47 [?]
Erfahrungspunkte: 6.519.171
Nächster Level: 7.172.237

@ Vimes

BTW: Wäre doch nett, wenn er noch einen Screenshot beifügt der zeigt, dass die Originale im "Papierkorb" gelandet sind - an Mails werden bekanntlich nur Kopien der Originaldateien angehängt. großes Grinsen

__________________
Glück auf!

Dominik

07.10.2005 21:46

Nehmen Sie Hertener in Ihre Freundesliste auf

MobyDuck
Lebende Foren Legende

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 51 [?]
Erfahrungspunkte: 12.419.810
Nächster Level: 13.849.320

Übrigens: Falls mal jemand so eine Mail mit der neuen Sober-Variante bekommt, würde ich mich über eine PN freuen. Bei Heise schlagen die ja wohl im Minutentakt ein, nur ich kriege keine ab. motz

Möchte die mal über meinen VMWare-DAU schicken.

Danke.

07.10.2005 23:53

Nehmen Sie MobyDuck in Ihre Freundesliste auf

Hertener Hertener ist männlich

Unverbesserlicher Forenquäler

Dabei seit: 27.03.2005
Beiträge: 887

Level: 47 [?]
Erfahrungspunkte: 6.519.171
Nächster Level: 7.172.237

Zitat:

Möchte die mal über meinen VMWare-DAU schicken.

Was ist das? grübeln

EDIT: Habe die Mail auch noch nicht bekommen.

__________________
Glück auf!

Dominik

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Hertener: 07.10.2005 23:56.

07.10.2005 23:56

MobyDuck
Lebende Foren Legende

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 51 [?]
Erfahrungspunkte: 12.419.810
Nächster Level: 13.849.320

Ein virtuelles XP. Ungepatcht. Aber dafür mit Norton Antivirus (bisher besser als ich dachte, Respekt) und ZA. Beides Trial-Versionen, aber wenn sie abgelaufen sind reicht ein Klick auf "Snapshot" in VMware. großes Grinsen

07.10.2005 23:58

Hertener Hertener ist männlich

Unverbesserlicher Forenquäler

Dabei seit: 27.03.2005
Beiträge: 887

Level: 47 [?]
Erfahrungspunkte: 6.519.171
Nächster Level: 7.172.237

aso - und warum ist Dein XP virtuell? grübeln

__________________
Glück auf!

Dominik

08.10.2005 00:02

MobyDuck
Lebende Foren Legende

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 51 [?]
Erfahrungspunkte: 12.419.810
Nächster Level: 13.849.320

VMware. Gab's für lau auf der letzten c't-CD und ist jetzt mein Lieblingsspielzeug. Habe jetzt ein virtuelles Up-to-Date-XP. Da kann man testen. Ein, ähmm, ungepatchtes XP mit Norton und ZA. Da kann man lernen. Und ein Ubuntu 5.10. Da kann man staunen.

08.10.2005 00:06

dedie dedie ist männlich

Administrator

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 21.761.563
Nächster Level: 22.308.442

Themenstarter Thema begonnen von dedie

@ Hertener

Und jetzt bitte mal wieder Back to Topic

__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen

08.10.2005 00:21

Hertener Hertener ist männlich

Unverbesserlicher Forenquäler

Dabei seit: 27.03.2005
Beiträge: 887

Level: 47 [?]
Erfahrungspunkte: 6.519.171
Nächster Level: 7.172.237

Danke, dedie. Habe den Thread bereits gefunden und lese noch... Petzauge

EDIT: Nun ist mir klar, woher die Virenschleudern im Netz stammen - es sind Eure Testsysteme... großes Grinsen

__________________
Glück auf!

Dominik

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Hertener: 08.10.2005 02:33.

08.10.2005 02:33

DerBilk DerBilk ist männlich

Lebende Legende

Dabei seit: 15.07.2005
Beiträge: 114

Level: 36 [?]
Erfahrungspunkte: 825.232
Nächster Level: 1.000.000

Zitat:

Original von MobyDuck
Übrigens: Falls mal jemand so eine Mail mit der neuen Sober-Variante bekommt, würde ich mich über eine PN freuen.

Ich werde am Montag mal nachschauen... Petzauge

__________________
Gruß,
DerBilk

Nur weil ich paranoid bin, heisst das nicht, dass sie nicht hinter mir her sind... (Matthias Deutschmann)

08.10.2005 08:22

dedie dedie ist männlich

Administrator

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 21.761.563
Nächster Level: 22.308.442

Themenstarter Thema begonnen von dedie

@ MobyDuck

Die Schweizer haben mich nicht enttäuscht ich hätte da einmal Photos vom Klassentreffen und einmal ein nettes Worddokument für dich, schick mal ne PN an welche Addy ich sie weiterleiten soll großes Grinsen

__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen

08.10.2005 17:12

Baumstruktur | Brettstruktur

Gehe zu:

Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Weiterer Schädling im Internet unterwegs

Impressum|Boardregeln

Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2025 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz

Verstanden;

Nach oben