Mailbomben unterwegs?

 
Gerhard Kreutzer
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: 36110 Schlitz
Beiträge: 192
Dabei seit: 05 / 2003
Betreff:

Re: Mailbomben unterwegs?

 ·  Gepostet: 19.09.2003 - 14:30 Uhr  ·  #1
Als ich heute morgen meine Mails mit Outlook abgerufen habe, traute ich meinen Augen kaum. Über 50 Mails und Norton Antivirus schlägt bei fast jeder Mail Alarm. Gefunden wurden Worm.Automat.AHB und W32.Swen.A@mm. Alle Mails waren getarnt als Microsoft-Mails (zugegeben sehr gut aufgemacht) und hatten irgendwelche update*.exe oder patch*.exe als Anhang.
Zum Glück habe ich mein XP auf dem neuesten Stand. Ich habe mich dann heute mittag mal direkt per Web auf meinen Mailserver eingewählt und dort nochmals ca. 30 solcher Mails direkt gelöscht.

Generell kann man aber immer wieder betonen, dass Microsoft niemals Updates bzw. Patches als Dateianhang versendet. Es werden immer Download-Links angegeben.

Ein weiteres Phänomen sind seit heute Mails, die als Absender irgendein Delivery-System haben. So als hätte ich Mails versandt, die nicht angekommen sind. Natürlich auch mit Dateianhang.

Also Vorsicht.

Gruss

Gerhard
Captain FRAG
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Westfalen
Beiträge: 5096
Dabei seit: 05 / 2003
Betreff:

Re: Mailbomben unterwegs?

 ·  Gepostet: 19.09.2003 - 15:24 Uhr  ·  #2
Hier steht was dazu:

<a href='http://www.heise.de/newsticker/data/dab-19.09.03-000/' target='_blank'>http://www.heise.de/newsticker/data/dab-19.09.03-000/</a>
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002
Betreff:

Re: Mailbomben unterwegs?

 ·  Gepostet: 21.09.2003 - 18:29 Uhr  ·  #3
tja, mal wieder ganz schön was los.

Ein kleiner Tipp für Leute, die wie ich, einen kostenlosen gmx-Account haben, (bei mir haben die netten Viren-E-Mails innerhalb von 1 Tag das gesamte Postfach verstopft):

Denkt daran, dass auch gelöschte E-Mails beim verbrauchten Postfach-Speicher mitzählen, da auch diese für 1 Tag zwischengespeichert werden.



<!--EDIT|Raimund Sichmann|21.09.2003-->
Holger Fischer
Benutzer
Avatar
Geschlecht:
Herkunft: Korschenbroich
Alter: 53
Beiträge: 6202
Dabei seit: 02 / 2003
Betreff:

Re: Mailbomben unterwegs?

 ·  Gepostet: 22.09.2003 - 09:28 Uhr  ·  #4
Hallo Zusammen,
unser „Freund" Swen (Der Mail Wurm) hat meinen Virenscanner am Wochenende gut auf Trab gehalten! Ich meine alleine am Sonntag kamen rund 150!!! mit Swen verseuchte Mails an! Das erste Mal, dass mich ein Wurm echt beschäftigt! Die anderen Würmer, die von außen nach offenen Ports spähen, haben bisher nur die Log-File auf meinem kleinen Linuxrouter beschäftigt. Aber der Wurm....... Ich überlege mir echt, den Profi Account von GMX mit Virenfilter zu nehmen!
Das Beste: Der Rechner meiner Frau hat nicht eine einzige „Wurm" Mail bekommen!?!?
Wie hier schon geschrieben : Finger weg von angeblichen Microsoft Mails! MS verschickt grundsätzlich keine Patches per Mail!
Gruß

Holger
hochexplosiv
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 1221
Dabei seit: 02 / 2003
Betreff:

Re: Mailbomben unterwegs?

 ·  Gepostet: 22.09.2003 - 10:20 Uhr  ·  #5
Hallo Holger,

Zitat
Das Beste: Der Rechner meiner Frau hat nicht eine einzige „Wurm" Mail bekommen!?!?


Eine Erklärung hierfür dürfe folgender Zusammenhang darstellen:

Der Virus durchsucht auf der Festplatte Dateien mit den Erweiterungen .html, .asp, .eml, .dbx, .wab und .mbx nach E-Mail-Adressen. Er erstellt die Datei %Windir%\Germs0.dbv, in der er die gefundenen E-Mail-Adressen speichert. Er erstellt die Datei %Windir%\Swen1.dat, in der er eine Liste mit Remote-News-Servern und Remote-Mail-Servern speichert. Er legt eine Datei %ComputerName%.bat ab, durch die der Wurm und eine willkürlich benannte Konfigurationsdatei ausgeführt werden, um die lokalen, computerspezifischen Daten zu speichern......
Der Wurm verbreitet sich über E-Mail, KaZaA, IRC, offene Netzwerkfreigaben und Newsgroups.

Wenn nun deine E-Mail Adresse in einer Newsgroup oder anderem Forum steht, befindete sich diese zwangsläufig auf der Festplatte des infizierten Rechners (wenn dieser Nutzer auch dieses Forum besuchte), so dass du recht viele Virenmails bekommst, da der Virus die Festplatte des infizierten Rechners nach E-Mailadressen scannt.

siehe auch: <a href='http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.swen.a@mm.htm' target='_blank'>http://securityresponse1.symantec.com/sarc...2.swen.a@mm.htm</a>

Gruß
Daniel



<!--EDIT|hochexplosiv|22.09.2003-->
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002
Betreff:

Re: Mailbomben unterwegs?

 ·  Gepostet: 22.09.2003 - 12:15 Uhr  ·  #6
Noch etwas:
Wie ich gerade hier feststellen musste, sollte man unbedingt kontrollieren, ob die Datenbank des Norton Antivirus auf dem neuesten Stand ist. Trotz automatischer Updates war mein Scanner nicht aktuell.

Und:
In der neuen ct´findet sich die aktuelle bootfähige Knoppix-Version mit F-Prot-Virenscanner.
Ist der Rechner per Router ins Internet eingebunden und ein dhcp-Server aktiv, dann aktualisiert die Maschine sogar online die Viren-Signaturdateien.

Also: Imo sehr zu empfehlen!
Raimund Sichmann
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8230
Dabei seit: 08 / 2002
Betreff:

Re: Mailbomben unterwegs?

 ·  Gepostet: 22.09.2003 - 20:53 Uhr  ·  #7
apropos c´t´: wie ich gerade gelesen habe, hat die imo äußerst renomierte Zeitung eine eigene Fernsehsendung (Erstausstrahlung war Samstag), die heute, Montag auf HR3 um 22:30 wiederholt wird.

Da erst einen Tag vor Ausstrahlung augezeichnet wird, darf man aktuelle Bezüge zur Virenplage erwarten.

Aktueller Stand bei mir: 70:10 (Anzahl Virenmails : normaler Mail - und ich rechne normalen Spam inzwischen als erwünscht dazu :eek5: , das ganze innerhalb von ca. 10h)
Gewählte Zitate für Mehrfachzitierung:   0