Anzeige:
THEMA: Die Würmer kehren zurück....
THEMA: Die Würmer kehren zurück....
Verschiedene Newsletterversender im MoBa-Bereich haben sich einen Wurm eingefangen, der sich hemmungslos unter deren Namen verbreitet. (o.a. Schoedel Gmbh). Auch private mir "Bekannte" PC's senden schon.
Also passt auf !
###############################################
CERT-Bund -- Warn- und Informationsdienst
###############################################
Informationen zu Programmen mit Schadfunktionen
VIRINFO 03/012 vom 27.10.2003
Name: W32.Sober.A@mm
Alias: Sober [F-Secure]
W32/Sober@mm [McAfee]
Worm_Sober.A [TrendMicro]
Win32/Sober-A [Sophos]
Art: Wurm
Groesse des Anhangs: 63.488 (variiert) (upx-gepackt)
Betriebssystem / Software: Microsoft Windows 32bit
Art der Verbreitung: Massenmail
Verbreitungsgrad: mittel-hoch
Risiko bei Aktivierung: mittel
Schadensfunktion: Massenmail
Entfernung: aktuelle Definitionen (ab 24.10.2003)
Spezielle Entfernung: -
Bekannt seit: 24.10.2003
Beschreibung:
W32.Sober@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen
SMTP-Maschine an Adressen, die er auf dem Rechner findet versendet.
Achtung: Aufgrund der deutschen Betreffzeilen werden von vielen
Empfaengern die beigefuegten Dateien durch Doppelklick aktiviert,
was zu einer hoeheren Verbreitung in Deutschland fuehrt.
Eine infizierte E-Mail hat eine der folgenden Betreffzeilen:
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re:
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, its enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
Sorry, Ive become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
Ive become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (Im not a virus!)
und enthaelt einen der folgenden Anhaenge:
anti-Sob.bat
Anti-Sob.bat
anti-trojan.exe
anti_virusdoc.pif
AntiTrojan.exe
AntiVirusDoc.pif
Bild.scr
check-patch.bat
Check-Patch.bat
CM-recover.com
CM-Recover.com
funny.scr
Funny.scr
Hengst.pif
Liebe.com
little-scr.scr
love.com
Mausi.scr
nacked.com
NackiDei.com
NAV.pif
Odin_Worm.exe
perversion.scr
Perversionen.scr
pic.scr
playme.exe
potency.pif
Privat.exe
private.exe
removal-tool.exe
Removal-Tool.exe
robot_mail.scr
robot_mailer.pif
RobotMailer.com
schnitzel.exe
screen_doc.scr
Screen_Doku.scr
security.pif
Beim Ausfuehren des E-Mail-Anhangs wird der Wurm in das
Systemverzeichnis des Rechners (Standard-Einstellung:
Windows 95/98/Me/XP: C:WindowsSystem32;
Windows NT/2000: C:WinntSystem32)
unter einem der folgenden Namen abgelegt:
drv.exe
similare.exe
systemchk.exe
systemini.exe
winreg.exe
filexe.exe
sysrunll.exe
MacromedHelpMedia.dll (das Verzeichnis %SYSTEM%MacromedHelp wird
vom Wurm angelegt.)
und durch einen Eintrag in der Registrierung dafuer gesorgt, dass bei
jedem Neustart des Rechners der Wurm mitgestartet wird. Dann versendet
er sich selbst.
Weitere Informationen finden Sie unter:
http://www.bsi.bund.de/av/vb/sober.htm
Mit freundlichen Gruessen
Ihr Team CERT-Bund
- -----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Hehe, und mein Hamster frisst sie alle).png)
Also passt auf !
###############################################
CERT-Bund -- Warn- und Informationsdienst
###############################################
Informationen zu Programmen mit Schadfunktionen
VIRINFO 03/012 vom 27.10.2003
Name: W32.Sober.A@mm
Alias: Sober [F-Secure]
W32/Sober@mm [McAfee]
Worm_Sober.A [TrendMicro]
Win32/Sober-A [Sophos]
Art: Wurm
Groesse des Anhangs: 63.488 (variiert) (upx-gepackt)
Betriebssystem / Software: Microsoft Windows 32bit
Art der Verbreitung: Massenmail
Verbreitungsgrad: mittel-hoch
Risiko bei Aktivierung: mittel
Schadensfunktion: Massenmail
Entfernung: aktuelle Definitionen (ab 24.10.2003)
Spezielle Entfernung: -
Bekannt seit: 24.10.2003
Beschreibung:
W32.Sober@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen
SMTP-Maschine an Adressen, die er auf dem Rechner findet versendet.
Achtung: Aufgrund der deutschen Betreffzeilen werden von vielen
Empfaengern die beigefuegten Dateien durch Doppelklick aktiviert,
was zu einer hoeheren Verbreitung in Deutschland fuehrt.
Eine infizierte E-Mail hat eine der folgenden Betreffzeilen:
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re:
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, its enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
Sorry, Ive become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
Ive become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (Im not a virus!)
und enthaelt einen der folgenden Anhaenge:
anti-Sob.bat
Anti-Sob.bat
anti-trojan.exe
anti_virusdoc.pif
AntiTrojan.exe
AntiVirusDoc.pif
Bild.scr
check-patch.bat
Check-Patch.bat
CM-recover.com
CM-Recover.com
funny.scr
Funny.scr
Hengst.pif
Liebe.com
little-scr.scr
love.com
Mausi.scr
nacked.com
NackiDei.com
NAV.pif
Odin_Worm.exe
perversion.scr
Perversionen.scr
pic.scr
playme.exe
potency.pif
Privat.exe
private.exe
removal-tool.exe
Removal-Tool.exe
robot_mail.scr
robot_mailer.pif
RobotMailer.com
schnitzel.exe
screen_doc.scr
Screen_Doku.scr
security.pif
Beim Ausfuehren des E-Mail-Anhangs wird der Wurm in das
Systemverzeichnis des Rechners (Standard-Einstellung:
Windows 95/98/Me/XP: C:WindowsSystem32;
Windows NT/2000: C:WinntSystem32)
unter einem der folgenden Namen abgelegt:
drv.exe
similare.exe
systemchk.exe
systemini.exe
winreg.exe
filexe.exe
sysrunll.exe
MacromedHelpMedia.dll (das Verzeichnis %SYSTEM%MacromedHelp wird
vom Wurm angelegt.)
und durch einen Eintrag in der Registrierung dafuer gesorgt, dass bei
jedem Neustart des Rechners der Wurm mitgestartet wird. Dann versendet
er sich selbst.
Weitere Informationen finden Sie unter:
http://www.bsi.bund.de/av/vb/sober.htm
Mit freundlichen Gruessen
Ihr Team CERT-Bund
- -----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Hehe, und mein Hamster frisst sie alle
Björn [Gast] - 28.10.03 21:01
Jep, den hatte ich eben auch im Briefkasten
Mit der Betreffzeile
Rate mal wer ich bin?
Mit der Schnitzel.exe
Wurde gelöscht, und WEB hat das Ding auch als Virus erkannt.
Danke für die Warnung
Mit der Betreffzeile
Rate mal wer ich bin?
Mit der Schnitzel.exe
Wurde gelöscht, und WEB hat das Ding auch als Virus erkannt.
Danke für die Warnung
Kai Lahmann [Gast] - 28.10.03 21:06
wichtig: das drecksteil bezeichnet sich gerne auch mal als Patch gegen einen angeblichen Wurm namens "Odin" oder so ähnlich - das ist ein Fake!!!
Frank Höppner [Gast] - 28.10.03 21:06
Habe heute bereits vier Mail mit den Würmern bekommen. Betroffen war bisher nur eine Email-Adresse, die andren bisher zum Glück noch nicht.
Schöne Grüße
Frank Höppner
Schöne Grüße
Frank Höppner
Blacky [Gast] - 28.10.03 21:29
Bei unbekanten mail schaue ich unter EIgenschaften dan Detail nach, um näher Info über unbekante mails uns anhänge zu bekommen.
Ist Doch nett, von 3 verschieden Leuten 3x den wortwörtlichen selben Text. Soll man das glauben?
Wir können ja pokern: Ich habe schon 8 von diesen tollen Mails.
Blacky
Ist Doch nett, von 3 verschieden Leuten 3x den wortwörtlichen selben Text. Soll man das glauben?
Wir können ja pokern: Ich habe schon 8 von diesen tollen Mails.
Blacky
Blacky [Gast] - 28.10.03 21:40
Nachtrag zur List:
Neue Sobig Variante (Lesen!!)
und damit Nr. 9
Neue Sobig Variante (Lesen!!)
und damit Nr. 9
Tobi [Gast] - 28.10.03 23:26
Hallo,
ich hatte erst 5, aber Hotmail hatte die alle schön durch den Junk-Mail gejagt.
Langsam erinnert mich das an die AOL-Werbung mit Hans-Werner Olm (Freitags auf RTL mit eigener Sendung):
Seit Tagen schlummert eine ungeöffnete E-Mail von Tanja in meinem Posteingan mit dem netten Betreff: "Ich liebedich, du Tier". Sie schreibt, dass sie beim Nacktputzen immer an mich denkt und as sie mal gerne bei mir schrubben würde. Nur eines schreibt sie mir nicht: Warum beim öffnen ihrer Anhänge meine Festplatte abschmiert, und zwar sauber."
A propos AOL-Werbung. Dazu könnte man ja parallel die Zugansagen vom Band in Talenten, S-Bahnen etc. machen. Z.B:
Hallo erstmal, ich weiß ja nicht ob sie's schon wussten, aber der nächste Halt ist Köln Hbf.
Oder bei kaputter Türblockierung, es geht weder rein, noch raus:
Hier kummst du nisch raus, hier kummst du nisch raus bzw.
Hier kummst du nisch rein......
Na dann, noch frohe Wurmjagd.
Tobi
ich hatte erst 5, aber Hotmail hatte die alle schön durch den Junk-Mail gejagt.
Langsam erinnert mich das an die AOL-Werbung mit Hans-Werner Olm (Freitags auf RTL mit eigener Sendung):
Seit Tagen schlummert eine ungeöffnete E-Mail von Tanja in meinem Posteingan mit dem netten Betreff: "Ich liebedich, du Tier". Sie schreibt, dass sie beim Nacktputzen immer an mich denkt und as sie mal gerne bei mir schrubben würde. Nur eines schreibt sie mir nicht: Warum beim öffnen ihrer Anhänge meine Festplatte abschmiert, und zwar sauber."
A propos AOL-Werbung. Dazu könnte man ja parallel die Zugansagen vom Band in Talenten, S-Bahnen etc. machen. Z.B:
Hallo erstmal, ich weiß ja nicht ob sie's schon wussten, aber der nächste Halt ist Köln Hbf.
Oder bei kaputter Türblockierung, es geht weder rein, noch raus:
Hier kummst du nisch raus, hier kummst du nisch raus bzw.
Hier kummst du nisch rein......
Na dann, noch frohe Wurmjagd.
Tobi
eiche [Gast] - 28.10.03 23:44
@ahag Du hast es gut, aber ich habe keinen Hamster mehr ..... Gruß Bernd
Rainer [Gast] - 29.10.03 07:21
Guten Morgen,
da ich nur e-mails öffne, deren Absender ich kenne, ist das Risiko, einen Wurm einzufangen, schon stark reduziert. Sollte doch mal was passieren, müsste eigentlich mein Norton Antivirus Rrogramm anspringen und den Wurm vernichten.
Ich hoffe, dass es auch wirklich funkioniert.
Gruss
Rainer
da ich nur e-mails öffne, deren Absender ich kenne, ist das Risiko, einen Wurm einzufangen, schon stark reduziert. Sollte doch mal was passieren, müsste eigentlich mein Norton Antivirus Rrogramm anspringen und den Wurm vernichten.
Ich hoffe, dass es auch wirklich funkioniert.
Gruss
Rainer
mawo [Gast] - 29.10.03 07:24
Da werden sie geholfen...
unter der Adresse gibts Viruserkennung gegen den Wurm:
http://www.trojaner-info.de/programme.shtml
Gruss
Wolfgang
unter der Adresse gibts Viruserkennung gegen den Wurm:
http://www.trojaner-info.de/programme.shtml
Gruss
Wolfgang
ahag [Gast] - 29.10.03 08:20
@Rainer
Das mit dem Absender ist trügerisch. Ich habe von einem, hier schreibenden Teilnehmer eine mail bekommen. Was drinnen war, kannst du dir wohl denken.
NAV muss auch bei der Virendatei up to date sein. Die "normale" Sobig - Signaturerkennung erwischt die derzeitige Variante nicht.
ng
ahag
Das mit dem Absender ist trügerisch. Ich habe von einem, hier schreibenden Teilnehmer eine mail bekommen. Was drinnen war, kannst du dir wohl denken.
NAV muss auch bei der Virendatei up to date sein. Die "normale" Sobig - Signaturerkennung erwischt die derzeitige Variante nicht.
ng
ahag
ismael [Gast] - 29.10.03 09:13
Hallo!
Die gefakten Absender sind gemein. Habe gestern und heute bereits Emails unter meinen Namen und den Namen von 1zu160 (interessanterweise von der .info-Domain und nicht von der .net Domain, obwohl die .info eine reine Weiterleitungsdomain ist) bekommen. Mein Rechner ist aber nicht verseucht (gerade nochmals überprüft) und zudem habe ich einen guten Virenschutz und eine Firewall hier.
Zudem habe ich auch schon Emails mit Namen von Teilnehmern hier bekommen. Wie immer gilt der Rat: Virenschutz installieren (der löscht dann bei richtiger Einstellung schon mal den Virus von vornherein) und nur Attachements öffnen, bei denen man sich zu 100 % sicher sein kann, dass sie keine Viren enthalten.
lg
ismael
Die gefakten Absender sind gemein. Habe gestern und heute bereits Emails unter meinen Namen und den Namen von 1zu160 (interessanterweise von der .info-Domain und nicht von der .net Domain, obwohl die .info eine reine Weiterleitungsdomain ist) bekommen. Mein Rechner ist aber nicht verseucht (gerade nochmals überprüft) und zudem habe ich einen guten Virenschutz und eine Firewall hier.
Zudem habe ich auch schon Emails mit Namen von Teilnehmern hier bekommen. Wie immer gilt der Rat: Virenschutz installieren (der löscht dann bei richtiger Einstellung schon mal den Virus von vornherein) und nur Attachements öffnen, bei denen man sich zu 100 % sicher sein kann, dass sie keine Viren enthalten.
lg
ismael
Rainer [Gast] - 29.10.03 09:23
@ahag
Mein Norton Virenpacket von t-online wird doch regelmässig, automatisch upgedated. Dann dürfte doch nichts passieren. Ausserdem wird der Rechner laufend auf Viren und Würmer untersucht. So hat man's mir jedenfalls verkauft.
Stimmt das etwa nicht?
Gruss
Rainer
Mein Norton Virenpacket von t-online wird doch regelmässig, automatisch upgedated. Dann dürfte doch nichts passieren. Ausserdem wird der Rechner laufend auf Viren und Würmer untersucht. So hat man's mir jedenfalls verkauft.
Stimmt das etwa nicht?
Gruss
Rainer
ahag [Gast] - 29.10.03 09:26
@Rainer
Klar, dann ist es ok. Es gibt jedoch auch NAV's, der nicht regis... ähem... auf vielen PC's läuft und damit nicht automatisch aktualisiert wird.
ng
ahag
Klar, dann ist es ok. Es gibt jedoch auch NAV's, der nicht regis... ähem... auf vielen PC's läuft und damit nicht automatisch aktualisiert wird.
ng
ahag
ahag [Gast] - 29.10.03 09:47
Noch ein Tipp für die OjE - User:
Lest euch http://oe-faq.de.vu durch und stellt euer OjE nach
http://www.oe-faq.de/steps.htm ein. Damit sind schon einige Türen für Viren zugeschlagen. Dies wird allerdings damit erkauft, dass OjE Bildchen, Mailhintergrundbilder und ähnlichen Firlefanz nicht mehr darstellt, da im reinen Textmodus gearbeitet wird.
Haltet euer Windows up to date:
http://www.windowsupdate.com
http://patch-info.de/OE/
ng
ahag
Lest euch http://oe-faq.de.vu durch und stellt euer OjE nach
http://www.oe-faq.de/steps.htm ein. Damit sind schon einige Türen für Viren zugeschlagen. Dies wird allerdings damit erkauft, dass OjE Bildchen, Mailhintergrundbilder und ähnlichen Firlefanz nicht mehr darstellt, da im reinen Textmodus gearbeitet wird.
Haltet euer Windows up to date:
http://www.windowsupdate.com
http://patch-info.de/OE/
ng
ahag
Kai Lahmann [Gast] - 29.10.03 13:05
wenn er keine Bilder mehr anzeigt, fällt auch gleich eine Möglichkeit für Spammer weg, zu erkennen, dass diese Adresse existiert...
Ansonsten noch das wichtigste: _jeden_ Anhang, nach dem man nicht ausdrücklich gefragt hat nicht öffnen. Gleich weg damit.
Übrigens reicht zum Öffnen bei OjE oft schon die Vorschau, diese startet nämlich Videos, die eingebettet sind. Nun ist der Mediaplayer aber so schlau und startet ein Programm, wenn es ihm als Video angedreht wurde....
Ansonsten noch das wichtigste: _jeden_ Anhang, nach dem man nicht ausdrücklich gefragt hat nicht öffnen. Gleich weg damit.
Übrigens reicht zum Öffnen bei OjE oft schon die Vorschau, diese startet nämlich Videos, die eingebettet sind. Nun ist der Mediaplayer aber so schlau und startet ein Programm, wenn es ihm als Video angedreht wurde....
Helmut [Gast] - 29.10.03 16:52
@ahag Nr. 10
Das mit der "Mail vom hier schreibenden Teilnehmer" hat mich aufhorchen lassen.
War ich das etwa?? Dann müsste ich nämlich mal ein Wort mit meinem Virenschutzlieferanten reden.
fragt erschrocken
der lizenzgebührzahlende
Helmut
Das mit der "Mail vom hier schreibenden Teilnehmer" hat mich aufhorchen lassen.
War ich das etwa?? Dann müsste ich nämlich mal ein Wort mit meinem Virenschutzlieferanten reden.
fragt erschrocken
der lizenzgebührzahlende
Helmut
Kai Lahmann [Gast] - 29.10.03 17:06
Helmut: die Absender sind zu 99% falsch. Bestenfalls ist der angebliche Absender ein gemeinsamer Bekannter vom echten Absender und vom Empfänger...
Helmut [Gast] - 29.10.03 19:42
@Kai,
schon richtig. Nur habe ich eben just heute eine PM an ahag gesendet.
Und falls mein Viren-Deo versagt, dann weiss ich eben lieber Bescheid und reagiere.
mfg
Helmut
schon richtig. Nur habe ich eben just heute eine PM an ahag gesendet.
Und falls mein Viren-Deo versagt, dann weiss ich eben lieber Bescheid und reagiere.
mfg
Helmut
Fidelis [Gast] - 31.10.03 00:20
Danke Gunther für die Info, hat mich bestimmt vor reichlich Ärger geschützt !
Gruß Fidelis
Gruß Fidelis
Nur registrierte und eingeloggte User können Antworten schreiben.
Einloggen ->
Noch nicht registriert? Hier können Sie Ihren kostenlosen Account anlegen: Neuer N-Liste Account
Zum Seitenanfang
© by 1zu160.net;