Warnung vor Mail von "admin@t-online.de"

Antworten
lutz schenk

Warnung vor Mail von "admin@t-online.de"

Beitrag von lutz schenk » 27. Aug 2003, 17:14

Habe gerade eine mail mit einem Anhang von eben jenem Absender bekommen.

Habe mir ohne zu öffnen den Quelltext angesehen...

"...your e-mail adress expires...., please read attachment..."

Jaja, das werde ich ganz bestimmt nicht tun !

Hoffe das sich nicht zu viele unerfahrene t-online-User da etwas einfngen.

BTW: weis jemand wie ich ungeöffnete mails einem Virencheck unterziehen kann ?

Gruß Lutz

Sven Lüke

z.B. mit Norton Antivirus - der klingt sich dazwischen *o.T.

Beitrag von Sven Lüke » 27. Aug 2003, 17:26

z.B. mit Norton Antivirus - der klingt sich dazwischen *o.T.*

lutz schenk

Hmmm, aber erst wenn ich das mail öffne...

Beitrag von lutz schenk » 27. Aug 2003, 17:28

und dieses Risiko wil ich nicht unbedingt eingehen.

Ich suche etwas, womit ich ungeöffnete mails checken kann.

Gruß Lutz

Sven Lüke

Nein, nicht ganz richtig....

Beitrag von Sven Lüke » 27. Aug 2003, 17:31

Norton Antivirus holt bei dem Befehl "eMails runterladen" die eMails vom Server runter, prüft sie und gibt sie dann an Outlook Express (oder anderes Mailprogramm) weiter.

cu, Sven

Heiko

Re: Warnung vor Mail von "admin@t-online.de"

Beitrag von Heiko » 27. Aug 2003, 19:44

Hallo Lutz,

Du kannst Dich gluecklich schaetzen, dass Du nur 1 solche Mail bekommen hast. Bei uns fing es am Donnerstag in der Firma bei unserer "info" Adresse an - ca. 120 Mails innert kurzer Zeit. Alle mit dem selben Text aber mit z.T. vertrauten Adressen. (Adress-Faelschungen). Heute war wohl die Buchstaben "R und H" an der Reihe.
Bis zum Abend mehr als 200 Mails !!! Alle nach dem selben Muster.
Das ist der Sorbig-F Wurm. Einfach nur laestig - bin mal gespannt, wie viel von den Dingern morgen im Postfach liegen.
Es waren heute auch sehr serioese Absender darunter wie z.B. info@br-online.de und einige staatliche Stellen aus D.

Gruss Heiko

carhu (Darmstadt)

Re: Warnung vor Mail von "admin@t-online.de"

Beitrag von carhu (Darmstadt) » 28. Aug 2003, 10:52

> Das ist der Sorbig-F Wurm. Einfach nur laestig - bin mal
> gespannt, wie viel von den Dingern morgen im Postfach liegen.
> Es waren heute auch sehr serioese Absender darunter wie z.B.
> info@br-online.de und einige staatliche Stellen aus D.

Hallo Heiko, Lutz und Sven

nach der Schilderung von Lutz scheint mir das eher der als W32.Mimail.A bekannte Wurm zu sein.
Wenn er aktiv ist, ist er wirklich ekelig, da er Dateien anlegt in denen er Passwörter, Kreditkarten Nummern und das ganze vertrauliche Zeugs sammelt, das so auf einem PC rummliegt. Von Zeit zu Zeit schickt er die Dateien dann an sein "Herrchen".
Die Absenderadresse ist immer nach dem Muster admin@DOMAIN aufgebaut, wobei die DOMAIN des befallenen Rechners verwendet wird. Könnte also auch z.B. admin@meteoros.de sein!
Man kann die Mails übrigens lesen, ohne das was passiert. Sollte es aber tunlichst vermeiden die angehängte Datei Message.zip zu öffen, solange man das über den Micro$oft-IE bzw. Outlook macht, da der Wurm einen Bug dieser Programme nutzt.
Durch Einspielen eines Patches von Micro$oft kann man die Lücke aber schließen oder vielleicht mal überlegen ob man nicht auf Netscape sprich Mozilla als Browser / EMail-Client umsattelt.
Im Falle von Heiko scheint es wirklich W32.Sobig.F zu sein. Der hat nicht nur eine Spionage-Funktion sondern installiert auch noch eine sog. Backdoor über die sein "Herrchen" den befallenen Rechner fernsteuern und z.B. zum Versenden von Spam-Mails verwenden kann. Der ist auch etwas einfallsreicher beim Erstellen der Absenderadresse für die Mails die er losschickt. Hierfür verwendet er Adressen, die er auf dem befallenen Rechner findet, was mitunter zu interessanten Effekten führen kann.

Info zum Mimail gibt's z.B. unter:
http://securityresponse.symantec.com/av ... .a@mm.html
Den Patch von M$ unter:
http://support.microsoft.com/default.as ... -us;330994

Info zum Sobig unter:
http://securityresponse.symantec.com/av ... .f@mm.html

Info zu Mozilla mit deutschem Sprachpaket unter:
http://www.mozilla-anleitung.de/Mozilla ... ation.html

Oder soll es vielleicht doch Netscape sein:
http://www.netscape.de/netscapeprodukte ... nload.html


Viel Glück...

Carsten

lutz schenk

Jo, es war MiMail.

Beitrag von lutz schenk » 28. Aug 2003, 16:01

Ich hab die Datei separat gespeichert, und dann checken lassen.
Es wurde dann "MiMail" gemeldet.

Danke für die Info-Links.

Gruß Lutz

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast