Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

Verfolgung starten Optionen

Ist das hier Sobig.F??

GTFreak / 21 Antworten / Baumansicht Nickles

Hallo,




habe eben zwei E-Mails über den Mailer-Daemon zurückbekommen, beide mit sehr ähnlichen Headern (und irgendwelchen Anhängen als reinen Code):




Hi. This is the qmail-send program at


Laut Sophos\' Erkennungsmerkmale ist das System nicht befallen, obwohl dieser Header es sagt. Auch die dort angegebenen Dateien und Registryeinträge habe ich nicht gefunden. Auch Ad-Aware 6.0 mit aktuellen Signaturen und NAV haben nichts gefunden.


Habe ich nun den Wurm oder mein Gegenüber??




cu,


GTFreak

[Diese Nachricht wurde nachträglich bearbeitet.]

bei Antwort benachrichtigen
FreddyK. GTFreak „Ist das hier Sobig.F??“
Optionen

Dessen mailbox ist schlicht voll, daher keine Zustellung.

Dieser Beitrag wurde unter Debian GNU/Linux 7.1 Wheezy verbrochen. https://de.wikipedia.org/wiki/Vorratsdatenspeicherung
bei Antwort benachrichtigen
ZakMcCracken GTFreak „Ist das hier Sobig.F??“
Optionen

Hi,

einige Anwender haben sich heute bei mir gemeldet und mir mitgeteilt, dass Sie Mailer-Daemon Meldungen von Emails zurückerhalten, die Sie nie gesendet haben. In diesen Mitteilungen wird angegeben, dass die gesandte Mail mit dem Wurm infiziert war. Da unser System aber definitiv nicht befallen ist, handelt es sich dabei wohl um gefälschte Header in verseuchten Emails, sog. Bounces ( wenn mich nicht alles täuscht ).

Wir haben zwar keine Probleme mit dem Wurm, allerdings wird unser Netzwerk durch die unzähligen eintreffenden Mails stark belastet. Es sind heute bis zu 190 (!) Emails bei einem Anwender eingegangen. Entweder Mailer-Daemons oder Emails von Leuten die uns darauf hinweisen wollten, dass unser System infiziert wäre.

mfg

Andi

bei Antwort benachrichtigen
GTFreak Nachtrag zu: „Ist das hier Sobig.F??“
Optionen

Diese Mails habe ich NIE geschrieben, nur so zur Info...

cu,
GTFreak

bei Antwort benachrichtigen
basil GTFreak „Ist das hier Sobig.F??“
Optionen

Ja, das war Sorbig.F und er hat deine Adresse als Absender eingetragen, was aber wie oft erwähnt wurde, eine Fälschung ist. Man kann erkennen, daß es der Sorbig war, weil im Header folgender Eintrag zu finden ist:
X-MailScanner: Found to be clean
und ein Anhang mit der Endung .pif anbei war. Im normalfall sollte auch die MailId im Header fehlen.
Der Eintrag "X-MailScanner: Found to be clean" wird vom Wurm erzeugt und soll den Anschein erwecken, die Mail sei schon vom Ursprungsserver als sauber erkannt worden, dies ist aber auch eine Fälschung.

bei Antwort benachrichtigen
GTFreak basil „Ja, das war Sorbig.F und er hat deine Adresse als Absender eingetragen, was aber...“
Optionen

Hi Basil,

soweit auch klar, das sagt Sophos auch, aber ist mein System nun infiziert?

Danke für eine Antwort,
GTFreak

bei Antwort benachrichtigen
basil GTFreak „Hi Basil, soweit auch klar, das sagt Sophos auch, aber ist mein System nun...“
Optionen

Das kann man so nicht sagen. Da Sorbig die Absendeadresse fälscht kommen natürlich alle Meldungen von den Empfangsservern an den gefälschten Adressaten, der nicht zwingend infiziert sein muß. Diese Meldungen deuten also überhaupt nicht auf eine Infektion deines Rechners hin. Wobei ich nicht ausschließen will, daß dein Rechner trotzdem infiziert sein könnte.

bei Antwort benachrichtigen
basil GTFreak „Hi Basil, soweit auch klar, das sagt Sophos auch, aber ist mein System nun...“
Optionen

Das kann man so nicht sagen. Da Sorbig die Absendeadresse fälscht kommen natürlich alle Meldungen von den Empfangsservern an den gefälschten Adressaten, der nicht zwingend infiziert sein muß. Diese Meldungen deuten also überhaupt nicht auf eine Infektion deines Rechners hin. Wobei ich nicht ausschließen will, daß dein Rechner trotzdem infiziert sein könnte.

bei Antwort benachrichtigen
GTFreak basil „Das kann man so nicht sagen. Da Sorbig die Absendeadresse fälscht kommen...“
Optionen

Wie gesagt, Norton AV, Ad-Aware, Fixblast (v. Symantec; für W32 Blaster) finden nichts, auch die Merkmale, die Sophos angegeben hat, sind nicht vorhanden. Ich gehe von einer Nichtinfektion aus!

Danke,
GTFreak

bei Antwort benachrichtigen
basil GTFreak „Wie gesagt, Norton AV, Ad-Aware, Fixblast v. Symantec für W32 Blaster finden...“
Optionen

Kannst Du dann wohl auch. Mit der Aussage, daß es grundsätzlich Möglich ist, daß Du infiziert bist meinte ich auch nur, daß grundsätzlich bei jedem die Möglichkeit besteht, der Windows nutzt. Wanrmails sind durch das Fälschen der Absenderadresse überhaupt kein Hinweis, eventuell habe ich das etwas undeutlich formuliert.

bei Antwort benachrichtigen
derJanko GTFreak „Wie gesagt, Norton AV, Ad-Aware, Fixblast v. Symantec für W32 Blaster finden...“
Optionen

Da gibt es noch etwas:
Antisobig.exe(A-F) - http://de.bitdefender.com/html/free_tools.php
http://jotwe.net.tc

bei Antwort benachrichtigen
the_mic GTFreak „Ist das hier Sobig.F??“
Optionen

die meisten viren sind schon an folgendem zu erkennen:

Content-Disposition: attachment;
filename="thank_you.pif"

pif wird von windows ausgeführt, das weiss nur kaum einer ;-)
alternativen sind
.exe .com (selten, zu bekannt)
.scr (auch bildschirmschoner sind executables)
und dann gibt's sicher noch ein paar mehr ;-)

doppelte endung ist natürlich auch immer nett:
.pdf.scr
.jpg.exe

cat /dev/brain > /dev/null
bei Antwort benachrichtigen
BIMEX GTFreak „Ist das hier Sobig.F??“
Optionen

Antwort: Er ist´s, Removal tool hier herunterladen.

bei Antwort benachrichtigen
GTFreak BIMEX „Antwort: Er ist s, Removal tool hier herunterladen. “
Optionen

Danke Bimex,

mein System ist clean. Ich hoffe, es bleibt auch so;-)

cu,


bei Antwort benachrichtigen
gelöscht_84526 GTFreak „Ist das hier Sobig.F??“
Optionen

Von dieser Art Mails habe ich heute auch ein paar Dutzend auf meinem Server gehabt. Die auffallenden Sachen waren immer folgende (ich lese diese Teile als Voransicht im reinen Textmodus auf meinem Server, bevor ich sie mit meinem Mailprogramm herunterlade):

Subject: your application
filename: your_document.pif

Die letzte Absenderadresse war: support@medialoads.com
Auch irgendeine Schuldnerberatungsadresse war mal dabei, etwa "Schuldnerberatung_AWO_irgendeinestadt@blabla.de (Kann mich an den Namen der Stadt nicht mehr genau erinnern, ich glaube aber, es war Iserlohn oder sowas...)

Die Mails wurden von mir direkt auf dem Server gelöscht, sind also gar nicht erst auf meinem Rechner gelandet.

Zur Zeit kann man gar nicht vorsichtig genug mit dem Sch..ß sein.

Gruß
K.-H.

bei Antwort benachrichtigen
supporterli GTFreak „Ist das hier Sobig.F??“
Optionen

Ich kriege seit gestern auch diese Unzustellbar Meldungen. *nerv*
Verschickt sich der Virus nun unter meiner Mailadresse als Absender?!
Die angeblichen unzugestellten Mails habe ich niemals gesendet. Viren hab ich keine auf meinem System. Scanne ihn täglich und update den Scanner auch täglich.

Top Tools Ever - Die besten Tools aller Zeiten http://www.hakke.ch
bei Antwort benachrichtigen
hhw GTFreak „Ist das hier Sobig.F??“
Optionen

Innerhalb von 3 Tagen wurden von Norton AV 25 mails festgestellt, die das Virus beinhalteten. Sämtliche Anlagen wurden gelöscht.

Anliegend z. Kts. und Vorsicht:
Von Betreff Erhalten
Mail Delivery System Mail delivery failed: returning message to sender Fr 22.08.2003 15:32
S.Gamper@t-online.de Thank you! Fr 22.08.2003 14:18
customerservice@sonicfoundry.com Re: Thank you! Fr 22.08.2003 12:42
someone@microsoft.com Re: That movie Fr 22.08.2003 11:15
sofakinder@hotmail.com Re: Wicked screensaver Fr 22.08.2003 09:31
carmenzita@bluewin.ch Your details Fr 22.08.2003 08:04
claustres@jeuxvideo.com Re: That movie Fr 22.08.2003 06:38
unlimited.pm@skynet.be Re: That movie Fr 22.08.2003 02:22
Bienchen1810@aol.com Re: Details Do 21.08.2003 18:44
chesteinhausen@netcologne.de Your details Do 21.08.2003 10:59
BunteWehr1@aol.com Re: Re: My details Do 21.08.2003 09:19
shelmli@t-online.de Re: Wicked screensaver Do 21.08.2003 07:46
OPELMAUS66@AOL.COM Re: Wicked screensaver Do 21.08.2003 06:13
ulrich.lohrengel@wintershall.ru Re: Thank you! Do 21.08.2003 04:41
dminonne@kindt.ch Re: Thank you! Do 21.08.2003 03:18
claude70ze@aol.com Your details Do 21.08.2003 01:47
fdonde@aol.com Re: That movie Mi 20.08.2003 23:06
gerrit.niehaus@web.de Re: Details Mi 20.08.2003 21:26
guillaume@dreamnex.com Re: Thank you! Mi 20.08.2003 19:48
guillaume@dreamnex.com Re: Thank you! Mi 20.08.2003 19:48
oly6@caramail.com Re: Your application Mi 20.08.2003 18:28
f_ardant99@hotmail.com Re: Wicked screensaver Mi 20.08.2003 17:19
wang_fen2002@yahoo.fr Re: Details Mi 20.08.2003 14:18
OGruendler@aol.com Thank you! Mi 20.08.2003 13:03
dixi.2000@gmx.net Your details Di 19.08.2003 20:21

bei Antwort benachrichtigen
gelöscht_84526 GTFreak „Ist das hier Sobig.F??“
Optionen

Scheint sich inzwischen wieder etwas beruhigt zu haben, die grosse Angriffswelle scheint vorüber zu sein. Habe heute im Laufe des Tages nur eine einzige derartige Mail auf meinem Mailserver gehabt. Wenn ich da an gestern denke.........

Gruß
K.-H.

bei Antwort benachrichtigen
Meyerle1 GTFreak „Ist das hier Sobig.F??“
Optionen

hallo zusammen, der angriff ist nicht vorbei!!! habe gestern nacht 67mails bekommen,alle infiziert.

bei Antwort benachrichtigen
CarmenThomas GTFreak „Ist das hier Sobig.F??“
Optionen

Gibt's denn da nirgends eine Einstellung, dass man diese Mail nicht haben will?

bei Antwort benachrichtigen
Holger GTFreak „Ist das hier Sobig.F??“
Optionen

@Carmen

Natürlich, ein guter Spamfilter kann auch Spam über deren Anhänge identifizieren und läßt die Mail erst gar nicht durch bzw. löscht den Anhang vorher. Habe Spamihilator im Einsatz, läuft prima und kann in allen Belangen angepaßt werden (sehr einfach sogar).
Damit lassen sich eben auch alle anderen Anhänge wie pif-Dateien oder ähnliches expliziet aussperren.

Wer noch Mails mit Anhängen aller Art durchläßt, ist selber schuld ;-)

Gruß
Holger

bei Antwort benachrichtigen
CarmenThomas GTFreak „Ist das hier Sobig.F??“
Optionen

Naja, ich habe mal im Email Server geguckt, da kann man zwar .exe,.com,.bat sowie .pif und .vbs Anhänge ablehnen, aber zumindest die erste Option ist ja eher ungünstig, weil ja die selbstextrahierenden Dateien auch meist .exe Dateien sind und irgendwie muß ich ja Daten hin und herschieben können! Interessanter fände ich da die dritte Option, die da heißt Nutzung der Anti-Spam-Liste des Mailservers, nur weiß ich da wieder nicht, was ich da reinschreiben soll, da Sobig ja ständig andere Absender verwendet. Was hast Du in Deinem Spamfilter eingetragen?

bei Antwort benachrichtigen