Hallo,
habe eben zwei E-Mails über den Mailer-Daemon zurückbekommen, beide mit sehr ähnlichen Headern (und irgendwelchen Anhängen als reinen Code):
Hi. This is the qmail-send program at
Laut Sophos\' Erkennungsmerkmale ist das System nicht befallen, obwohl dieser Header es sagt. Auch die dort angegebenen Dateien und Registryeinträge habe ich nicht gefunden. Auch Ad-Aware 6.0 mit aktuellen Signaturen und NAV haben nichts gefunden.
Habe ich nun den Wurm oder mein Gegenüber??
cu,
GTFreak
[Diese Nachricht wurde nachträglich bearbeitet.]
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Dessen mailbox ist schlicht voll, daher keine Zustellung.
Hi,
einige Anwender haben sich heute bei mir gemeldet und mir mitgeteilt, dass Sie Mailer-Daemon Meldungen von Emails zurückerhalten, die Sie nie gesendet haben. In diesen Mitteilungen wird angegeben, dass die gesandte Mail mit dem Wurm infiziert war. Da unser System aber definitiv nicht befallen ist, handelt es sich dabei wohl um gefälschte Header in verseuchten Emails, sog. Bounces ( wenn mich nicht alles täuscht ).
Wir haben zwar keine Probleme mit dem Wurm, allerdings wird unser Netzwerk durch die unzähligen eintreffenden Mails stark belastet. Es sind heute bis zu 190 (!) Emails bei einem Anwender eingegangen. Entweder Mailer-Daemons oder Emails von Leuten die uns darauf hinweisen wollten, dass unser System infiziert wäre.
mfg
Andi
Diese Mails habe ich NIE geschrieben, nur so zur Info...
cu,
GTFreak
Ja, das war Sorbig.F und er hat deine Adresse als Absender eingetragen, was aber wie oft erwähnt wurde, eine Fälschung ist. Man kann erkennen, daß es der Sorbig war, weil im Header folgender Eintrag zu finden ist:
X-MailScanner: Found to be clean
und ein Anhang mit der Endung .pif anbei war. Im normalfall sollte auch die MailId im Header fehlen.
Der Eintrag "X-MailScanner: Found to be clean" wird vom Wurm erzeugt und soll den Anschein erwecken, die Mail sei schon vom Ursprungsserver als sauber erkannt worden, dies ist aber auch eine Fälschung.
Hi Basil,
soweit auch klar, das sagt Sophos auch, aber ist mein System nun infiziert?
Danke für eine Antwort,
GTFreak
Das kann man so nicht sagen. Da Sorbig die Absendeadresse fälscht kommen natürlich alle Meldungen von den Empfangsservern an den gefälschten Adressaten, der nicht zwingend infiziert sein muß. Diese Meldungen deuten also überhaupt nicht auf eine Infektion deines Rechners hin. Wobei ich nicht ausschließen will, daß dein Rechner trotzdem infiziert sein könnte.
Das kann man so nicht sagen. Da Sorbig die Absendeadresse fälscht kommen natürlich alle Meldungen von den Empfangsservern an den gefälschten Adressaten, der nicht zwingend infiziert sein muß. Diese Meldungen deuten also überhaupt nicht auf eine Infektion deines Rechners hin. Wobei ich nicht ausschließen will, daß dein Rechner trotzdem infiziert sein könnte.
Wie gesagt, Norton AV, Ad-Aware, Fixblast (v. Symantec; für W32 Blaster) finden nichts, auch die Merkmale, die Sophos angegeben hat, sind nicht vorhanden. Ich gehe von einer Nichtinfektion aus!
Danke,
GTFreak
Kannst Du dann wohl auch. Mit der Aussage, daß es grundsätzlich Möglich ist, daß Du infiziert bist meinte ich auch nur, daß grundsätzlich bei jedem die Möglichkeit besteht, der Windows nutzt. Wanrmails sind durch das Fälschen der Absenderadresse überhaupt kein Hinweis, eventuell habe ich das etwas undeutlich formuliert.
Da gibt es noch etwas:
Antisobig.exe(A-F) - http://de.bitdefender.com/html/free_tools.php
http://jotwe.net.tc
die meisten viren sind schon an folgendem zu erkennen:
Content-Disposition: attachment;
filename="thank_you.pif"
pif wird von windows ausgeführt, das weiss nur kaum einer ;-)
alternativen sind
.exe .com (selten, zu bekannt)
.scr (auch bildschirmschoner sind executables)
und dann gibt's sicher noch ein paar mehr ;-)
doppelte endung ist natürlich auch immer nett:
.pdf.scr
.jpg.exe
Antwort: Er ist´s, Removal tool hier herunterladen.
Danke Bimex,
mein System ist clean. Ich hoffe, es bleibt auch so;-)
cu,
Von dieser Art Mails habe ich heute auch ein paar Dutzend auf meinem Server gehabt. Die auffallenden Sachen waren immer folgende (ich lese diese Teile als Voransicht im reinen Textmodus auf meinem Server, bevor ich sie mit meinem Mailprogramm herunterlade):
Subject: your application
filename: your_document.pif
Die letzte Absenderadresse war: support@medialoads.com
Auch irgendeine Schuldnerberatungsadresse war mal dabei, etwa "Schuldnerberatung_AWO_irgendeinestadt@blabla.de (Kann mich an den Namen der Stadt nicht mehr genau erinnern, ich glaube aber, es war Iserlohn oder sowas...)
Die Mails wurden von mir direkt auf dem Server gelöscht, sind also gar nicht erst auf meinem Rechner gelandet.
Zur Zeit kann man gar nicht vorsichtig genug mit dem Sch..ß sein.
Gruß
K.-H.
Ich kriege seit gestern auch diese Unzustellbar Meldungen. *nerv*
Verschickt sich der Virus nun unter meiner Mailadresse als Absender?!
Die angeblichen unzugestellten Mails habe ich niemals gesendet. Viren hab ich keine auf meinem System. Scanne ihn täglich und update den Scanner auch täglich.
Innerhalb von 3 Tagen wurden von Norton AV 25 mails festgestellt, die das Virus beinhalteten. Sämtliche Anlagen wurden gelöscht.
Anliegend z. Kts. und Vorsicht:
Von Betreff Erhalten
Mail Delivery System Mail delivery failed: returning message to sender Fr 22.08.2003 15:32
S.Gamper@t-online.de Thank you! Fr 22.08.2003 14:18
customerservice@sonicfoundry.com Re: Thank you! Fr 22.08.2003 12:42
someone@microsoft.com Re: That movie Fr 22.08.2003 11:15
sofakinder@hotmail.com Re: Wicked screensaver Fr 22.08.2003 09:31
carmenzita@bluewin.ch Your details Fr 22.08.2003 08:04
claustres@jeuxvideo.com Re: That movie Fr 22.08.2003 06:38
unlimited.pm@skynet.be Re: That movie Fr 22.08.2003 02:22
Bienchen1810@aol.com Re: Details Do 21.08.2003 18:44
chesteinhausen@netcologne.de Your details Do 21.08.2003 10:59
BunteWehr1@aol.com Re: Re: My details Do 21.08.2003 09:19
shelmli@t-online.de Re: Wicked screensaver Do 21.08.2003 07:46
OPELMAUS66@AOL.COM Re: Wicked screensaver Do 21.08.2003 06:13
ulrich.lohrengel@wintershall.ru Re: Thank you! Do 21.08.2003 04:41
dminonne@kindt.ch Re: Thank you! Do 21.08.2003 03:18
claude70ze@aol.com Your details Do 21.08.2003 01:47
fdonde@aol.com Re: That movie Mi 20.08.2003 23:06
gerrit.niehaus@web.de Re: Details Mi 20.08.2003 21:26
guillaume@dreamnex.com Re: Thank you! Mi 20.08.2003 19:48
guillaume@dreamnex.com Re: Thank you! Mi 20.08.2003 19:48
oly6@caramail.com Re: Your application Mi 20.08.2003 18:28
f_ardant99@hotmail.com Re: Wicked screensaver Mi 20.08.2003 17:19
wang_fen2002@yahoo.fr Re: Details Mi 20.08.2003 14:18
OGruendler@aol.com Thank you! Mi 20.08.2003 13:03
dixi.2000@gmx.net Your details Di 19.08.2003 20:21
Scheint sich inzwischen wieder etwas beruhigt zu haben, die grosse Angriffswelle scheint vorüber zu sein. Habe heute im Laufe des Tages nur eine einzige derartige Mail auf meinem Mailserver gehabt. Wenn ich da an gestern denke.........
Gruß
K.-H.
hallo zusammen, der angriff ist nicht vorbei!!! habe gestern nacht 67mails bekommen,alle infiziert.
Gibt's denn da nirgends eine Einstellung, dass man diese Mail nicht haben will?
@Carmen
Natürlich, ein guter Spamfilter kann auch Spam über deren Anhänge identifizieren und läßt die Mail erst gar nicht durch bzw. löscht den Anhang vorher. Habe Spamihilator im Einsatz, läuft prima und kann in allen Belangen angepaßt werden (sehr einfach sogar).
Damit lassen sich eben auch alle anderen Anhänge wie pif-Dateien oder ähnliches expliziet aussperren.
Wer noch Mails mit Anhängen aller Art durchläßt, ist selber schuld ;-)
Gruß
Holger
Naja, ich habe mal im Email Server geguckt, da kann man zwar .exe,.com,.bat sowie .pif und .vbs Anhänge ablehnen, aber zumindest die erste Option ist ja eher ungünstig, weil ja die selbstextrahierenden Dateien auch meist .exe Dateien sind und irgendwie muß ich ja Daten hin und herschieben können! Interessanter fände ich da die dritte Option, die da heißt Nutzung der Anti-Spam-Liste des Mailservers, nur weiß ich da wieder nicht, was ich da reinschreiben soll, da Sobig ja ständig andere Absender verwendet. Was hast Du in Deinem Spamfilter eingetragen?