[Fugo]

Vorsicht vor "Klassentreffen": Neue Variante des Sober-Wurms unterwegs

Seit heute Nacht ist eine neue Variante des Sober-Wurms unterwegs und füllt die elekronischen Postfächer. Die Mails tarnen sich als Benachrichtigung einer ehemaligen Schulkameradin, die auf der Suche nach Mitschülern für ein Klassentreffen ist:



hi, ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung

liebe grüße:

Unterzeichnet ist die Mail mit unterschiedlichen Frauenvornamen. Im Anhang der Mails (KlassenFoto.zip) steckt selbstverständlich kein Klassenfoto, sondern der Wurm. Je nach Länderdomain der Mailadresse des Empfängers kann der Schädling auch mit einem englischen Text ausgestattet sein, in dem der Anwender über einen Passwortwechsel informiert wird. Der Anhang heißt dann pword_change.zip.

Was der Wurm genau macht, muss noch weiter untersucht werden. Nach bisherigen Erkenntnissen öffnet er auf infizierten Windows-PCs aber eine Hintertür und versendet sich über eine eigene SMTP-Engine an andere PCs.

Einige Virenscanner erkennen ihn bereits als Sober.S, andere wiederum als Sober.R. Zwar wurden die Namenssuffixe .S und .R bereits für den WM-Wurm vom Mai dieses Jahres vergeben, einige Hersteller scheinen aber immer noch ihr eigenes Süppchen zu kochen und tragen damit zu Verwirrung bei. Es besteht allerdings die Hoffnung, dass sich dies zukünftig durch die Common-Malware-Enumeration, also einheitliche Namen für Viren, Würmer und Trojaner, ändern wird.

In unseren Tests fanden nicht alle Scanner beim Durchsuchen der Samples den Wurm, unter anderem auch der kostenlose Scanner AVG von Grisoft. Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und dafür, welche Einstellungen vorgenommen werden sollten. (dab/c't)

Quelle :
http://www.heise.de/newsticker/meldung/64627
siehe auch:
http://www.golem.de/0510/40845.html

Also VORSICHT

<font size=-1>[ Diese Nachricht wurde geändert von: Fugo am 2005-10-06 10:52 ]</font>

<font size=-1>[ Diese Nachricht wurde geändert von: Fugo am 2005-11-15 11:12 ]</font>

<font size=-1>[ Diese Nachricht wurde geändert von: Fugo am 2006-08-10 01:04 ]</font>

[Fugo]

Wenn der Rechner befallen ist....
findet ihr hier eine verständliche Anleitung zur Entfernung eines Schädlings:

http://www.tu-berlin.de/www/software/vi ... mode.shtml

Für XP-User unbeding das "rote Kästchen"
beachten !!

Ausdrucken kann nicht schaden !!!

[Fugo]

heute geht es aber ab !!!

Starke Verbreitung eines weiteren Wurms mit deutschem Text
Aktueller Wurm vermutlich ein weiterer Sober-Ableger

Vor wenigen Minuten erreichte die Redaktion von Golem.de eine Flut eines weiteren E-Mail-Wurms, der ähnliche Merkmale trägt wie der wenige Stunden zuvor bekannt gewordene Sober-Wurm und sich explosionsartig verbreitet. Somit liegt die Vermutung nahe, dass sich eine weitere Sober-Abart unter anderem im deutschsprachigen Teil des Internets stark verbreitet.

Der frisch entdeckte Wurm trägt den Schadcode in dem mit der E-Mail versendeten Anhang, der in den Golem.de vorliegenden Mustern PrivatFoto.zip heißt. Der deutsche Nachrichtentext gibt vor, der Dateianhang enthalte ein falsch zugestelltes Foto. In der ZIP-Datei steckt dann eine als Bild getarnte Exe-Datei, die den Wurm-Code enthält. Der Nachrichtentext soll das Opfer dazu bewegen, die Zip-Datei zu entpacken und die darin befindliche Datei "Screen_Photo.jpeg-graphic1.exe" zu starten, wodurch sich der Wurm auf dem System einnistet.

Die Wurm-E-Mail weist die Betreffzeile "Bcc: Ich habe Ihre Mail erhalten!" auf und wird so an alle deutschsprachigen Domains versendet. Sofern die Hinweise stimmen, dass es sich hierbei um einen weiteren Sober-Ableger handelt, verschickt sich der Wurm in einer weiteren Variante mit englischsprachigem Betreff. Derzeit liegen noch keine Informationen aus den Labors der Anbieter von Antivirenlösungen vor, so dass genauere Angaben nicht gemacht werden können.

Der deutsche Nachrichtentext lautet

Danke für Ihre Mail ....
Sie haben aber Ihre Mail wahrscheinlich falsch adressiert,,, nämlich an
mich. Ich kenne sie aber nicht!

Oder Ihr Provider hat die Mail falsch weiter geleitet!?

Um mich zu entlasten, schicke ich Ihnen das (...) Foto wieder zurück.

MfG
Sender
Höchstwahrscheinlich trägt sich der gerade entdeckte Wurm auf infizierten Systemen so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Unhold vermutlich eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Für den Versand werden zudem sicherlich die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.

Noch liegen keine Details zu dem neuen Wurm von den Herstellern von Antiviren-Applikationen vor, so dass sich die gemachten Beobachtungen bislang nicht bestätigen lassen. (ip)

Quelle :
http://www.golem.de/0510/40848.html
siehe auch:
http://www.heise.de/newsticker/meldung/64630

[Fugo]

und weiter gehts

Sober-Wurm-Welle reißt nicht ab
Dritter Sober-Wurm-Ableger innerhalb eines Tages

Nachdem am 6. Oktober 2005 bereits zwei verschiedene Sober-Würmer durch das Internet gegeistert sind, gesellt sich seit den Abendstunden des gleichen Tages ein weiterer Sober-Ableger dazu, der sich ebenfalls sehr rasch verbreitet hat. Auch dieser Wurm versucht durch entsprechende E-Mail-Texte, seine Opfer dazu zu bringen, den angehängten Schadcode zu aktivieren.

Der jüngst entdeckte Wurm trägt den Schadcode in dem mit der E-Mail versendeten Anhang, der in den Golem.de vorliegenden Mustern Brief.zip heißt. Der deutsche Nachrichtentext gibt vor, dass der Absender fragwürdige Inhalte erhalten habe und mit einer Anzeige drohe. Mit diesem Trick will der Schädling Opfer dazu bringen, die angehängte Datei zu öffnen. In der ZIP-Datei steckt dann eine als Word-Datei getarnte Exe-Datei mit dem Namen "packedX_Word_Text-Document.exe", die den Wurm-Code enthält.

Die Wurm-E-Mail weist die Betreffzeile "Haben Sie diese Mail verschickt?" auf und wird so an alle deutschsprachigen Domains versendet. Sofern es stimmt, dass es sich hierbei um einen weiteren Sober-Ableger handelt, verschickt sich der Wurm in einer weiteren Variante mit englischsprachigem Betreff. Derzeit liegen aber noch keine Informationen aus den Labors der Anbieter von Antivirenlösungen vor, so dass genauere Angaben nicht gemacht werden können.

Der deutsche Nachrichtentext lautet

Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen Sie zu
erstatten!

Sie spinnen ja wohl! Die Mail hat meine Tochter gelesen !!!!!!!!!!!!!!

Ich habe Ihnen "diese" Word-Text Datei zu meiner Entlastung
zurückgeschickt.

Es wäre von Vorteil, wenn Sie sich dazu äußern würden!!

Höchstwahrscheinlich trägt sich der Wurm auf infizierten Systemen so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Unhold vermutlich eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Für den Versand werden zudem sicherlich die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.

Noch liegen keine Details zu dem neuen Wurm von den Herstellern von Antiviren-Applikationen vor, so dass sich die gemachten Beobachtungen bislang nicht bestätigen lassen. (ip)
Quelle:
golem.de

bin mal gespannt wie lange das geht

Grüße
Mork

<font size=-1>[ Diese Nachricht wurde geändert von: Fugo am 2005-10-07 11:37 ]</font>

[Dalli]

Hallo Mork!

Ich habe heute auch eine tolle Spam-Mail erhalten. Der Absender war angeblich die Dresdener Bank.... Das ist Müll, erkennbar an den Rechtschreibfehlern darin, z.B. schon in der Betreffzeile: "Liebe Kunden und Kundinnenu.

Ab in den Papierkorb damit!


Gruß & schönes Wochenende!

Dalli

[Fugo]

<font size=-1>[ Diese Nachricht wurde geändert von: Fugo am 2005-11-15 11:04 ]</font>

<font size=-1>[ Diese Nachricht wurde geändert von: Fugo am 2005-11-15 11:08 ]</font>

[Fugo]

Neue Sober-Varianten im Anmarsch :

http://www.heise.de/security/news/meldung/66166

[fritzi]

Jürgen Danke für Deinen Tipp, solche Mails nehmen überhand. Werde zum Beispiel fast stündlich mit Mails von verschiedenen Banken bombadiert. Da ich diese immer lösche ohne sie abzurufen kommen die dauernd immer wieder.

LG Amanda

[Fugo]

Hallo Amanda
Probier doch mal den Absender zu blockieren !!! Dann kommt zumindest von diesem Absender nix mehr, vielleicht hilft das schon ein bißchen !!

[fritzi]

Und schwubs schon bekam ich eben die erste Mail von der neuen Wurmvariante.
Das mit dem blockieren werde ich machen sind ja immer einige "Banken" die sich bei mir melden, mit denen hab ich gar nichts zu tun.

LG Amanda

[hermine]

Danke für die Aufklärung,

das Bankenproblem habe ich auch andauernd.
Auf die Idee mit dem blockieren bin ich noch nicht gekommen.

Danke

[Fugo]

Für alle Messanger-User!!!!

http://www.netzeitung.de/internet/373972.html

Also...Vorsicht !!!

[hermine]

habe ich gerade bei Heise entdeckt.

Neuer Sober-Wurm verbreitet sich schnell [3.Update]
Seit heute morgen ist eine neue Variante des Mass-Mailing-Wurms Sober unterwegs, die sich mit hoher Geschwindigkeit verbreitet. Bislang erkennen ihn nur die wenigsten Virenscanner. Sober.I kommt als .com-, .bat, .scr- oder pif-Anhang in Mails, deren deutsche Betreffzeilen und Inhaltstexte stark variieren. Zudem tarnt er sich als unverdächtigte .doc-, xls- und txt-Datei, der man auf den ersten Blick nicht ansieht, dass dahinter eine ausführbare Datei steckt. Zusätzlich verschickt er sich von infizierten Windows-PCs als ZIP-Archiv. Weitere Einzelheiten zu dem Sober-Wurm sind bislang kaum verfügbar, H+BEDV hat eine rudimentäre Beschreibung auf seinen Seiten veröffentlicht. Anzeige

[fritzi]

Mit dem Zeug wirds ja immer schlimmer, stöhn, man kann ja keinem mehr trauen, muss ich gleich meine updates machen.

LG Amanda

[Fugo]

Sorry aber so ist es nun mal...

Bitte l:esen :

http://www.heise.de/newsticker/meldung/67676