| "Autor" |
Neuer Wurm,schnell verbereitend!!! |
|
|
|
geschrieben am: 23.12.2003 um 09:45 Uhr
|
|
habe das glück gehabt und hatte keine vorwarnung und habe den anhang geöffnet,mein rechner schmeisst mich jetzt alle 8 min. aus dem netz und ich muss die kiste neu hochfahren.
der wurm kommt per mail in verschiedenen varrianten
siehe beispiele unten :
hier ein paa hilfen und tips
Deutschsprachige Wurm-Variante Sober.c verbreitet sich schnell
Eine dritte Sober-Variante verbreitet sich derzeit schnell im Internet. Wie seine Vorgänger Sober und Sober.b verschickt sich der Wurm Sober.c von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Wesentliche technische Neuerungen bringt er nicht mit, dafür sind die Nachrichtentexte umso geschickter formuliert. Beispielsweise gibt eine Nachricht vor, von der Kripo Düsseldorf zu sein. Darin wird behauptet, dass gegen den Empfänger der Mail ein Ermittlungsverfahren eingeleitet werde, da er illegal Filme und MP3-Dateien aus dem Internet herunterlade. Als Attachment ist eine Datei mit dem Namen Akte.zip beigefügt, die natürlich den Wurm enthält. Andere Varianten warnen vor einem neuen Dialer und einem Trojaner, der sich dem Rechner des Empfängers befände.
Öffnet man die Dateianhänge *.bat, *.pif und *.exe infiziert der Wurm den Rechner. Diesmal kopiert er sich sogar dreimal auf das System, zwei der Dateinamen erzeugt Sober.c pseudo-zufällig. Auf befallenen System startet sich der Wurm in zwei Instanzen, die sich gegenseitig versuchen zu schützen, in dem sie unter anderem den Datei-Zugriff blockieren.
Die Betreffzeilen und Texte von Sober.c variieren sehr stark, allerdings ist auch er wieder bilingual: Er verschickt sich sowohl mit deutschen, als auch englischen Texten. Welche Sprache Sober.c verwendet, hängt von Domain-Suffix, also .de, at, ch, des Adressaten ab. Eine vollständige Liste der möglichen englischen und deutschen Betreffzeilen, sowie der Namen der Datenanhänge ist bei Bitdefender zu finden.
Einige Hersteller von Antivirensoftware haben schon reagiert und neue Signaturen zum Erkennen des Wurms, sowie Tools zu seiner Entfernung bereit gestellt. Dazu gehören insbesondere Kaspersky, Bitdefender und F-Prot. NAI und Symantec bieten bisher noch keine Beschreibung und Signaturen auf ihren Seiten an. Bereits die Signaturen zum Erkennen von Sober.b lassen bei beiden derzeit auf sich warten. Erst ab Weihnachten sollen diese zur Verfügung stehen.
Quelle: Link
weitere Beispiele
Zitat:
Sehr geehrter Herr Salmanz,
Wir möchten uns noch einmal für unsere falsche
E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies
einige Fehler beim versenden auf.
Ihre Pass- und Geheimwörter wurden selbstverständlich kostenlos geändert.
Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.
In falschen Händen , hätte jede andere Person freie Einsicht
bzw. Verfügung über Ihr Konto!
Mit freundlichen Grüssen:
i.a: Regina Rüthers
+++ Bamberger Bank eG Raiffeisen-Volksbank
+++ Luitpoldstr. 19, 96052 Bamberg
+++ Telefon: 0951/8620 Kunden- Fax: 0951/862120
Zitat:
Hier die zweite mail:
Wenn Sie meinen mir DROHEN zu können, haben sie sich in den Finger geschnitten!!!
Erstens mal, weiß ich gar nicht wer Sie sind.
Zweitens, kenne ich Ihre Frau oder Freundin nicht.
Und Drittens, Ich habe kein Tächtel-Mächtel mit Ihrem Partner!!!
Ihre Drohgebärden können sie woanders loswerden,
aber nicht bei mir!
Ihre Droh Mails habe ich gerade an die Behörden weitergeleitet.
Sie hören noch von mir!
Dritte E-Mail :
Zitat:
Sehr geehrte Damen und Herren,
das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 67.193.145.184 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #26766
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.
Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.
Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868
Ich wünsche allen eine besinnliche und frohe Weihnachtszeit.
Canceled501
(es gibt noch mehr versionen,sind ziemlich viele im umlauf)
|
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 23.12.2003 um 09:55 Uhr
|
|
habe hier ein remove tool was sich sehr nach deinem virus/wurm anhört
Link
da findet man des zum direkten download.
(zitat)
Sober.C will mit bösen Betreffzeilen und Renten-Umfragen punkten / Removal-Tool zum Gratis-Download
Weihnachtliches Wohlgefühl machte sich am vierten Adventswochenende nicht auf deutschen PCs breit: Am Samstag und Sonntag sorgte eine neue Viren-Attacke für Aufsehen: Sober.C war in Mails mit festlich-fröhlichen Betreffzeilen wie "Ermittlungsverfahren wurde eingeleitet", "Ihre IP wurde geloggt", "Ich hasse dich" und "Ich zeige sie an" versteckt.
Kaspersky hat bis jetzt nur episodische Fälle von Infizierungen durch Sober.c festgestellt. "Doch, wie die Praxis seiner Vorgänger gezeigt hat, entfaltet er am Wochenbeginn seine höchste Aktivität, wenn die Anwender die eMails abarbeiten, die sich übers Wochenende angesammelt haben", so Firmengründer Eugene Kaspersky.
Besonders perfide: Die Viren-Mail will nicht nur durch angebliche Anzeigen wegen angeblich illegalen Filesharings verunsichern, sondern auch durch eine "Renten-Umfrage": Hier lautet die Betreffzeile "Umfrage: Rente erst mit 80" - der Empfänger wird aufgefordert, eine Voting-Site mit der Endung ".com" zu besuchen. Natürlich handelt es sich nicht um eine URL, sondern um einen Virus, der in der angehängten COM-Datei versteckt wurde.
Antivir hat inzwischen ein kostenloses Removal-Tool gegen den Wurm veröffentlicht. Alle führenden Hersteller von Antiviren-Software haben außerdem Updates für Ihre Programme zur Verfügung gestellt.(/zitat)
Quelle ZDNET.DE
Geändert am 23.12.2003 um 10:02 Uhr von timon |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 23.12.2003 um 10:39 Uhr
|
|
| ich hatte den auch schon... Öffene momentan keinen anhang mehr... Hatte auch noch n anderen... ich hatte 1,5 minuten im Internet... Is das nicht geil... |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 23.12.2003 um 11:09 Uhr
|
|
Danke an Timon,werde es mir mal saugen,werde es wohl schaffen in 8 min. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 23.12.2003 um 23:33 Uhr
|
|
..mhh ich hatte zwei von den dussligen mails vorallem die Betrefffelder sin so geschickt formuliert das man sie natürlich aufmacht weil man wissen will was kommt *aber froi..mein virenproggi hat das schon angezeigt un den virus entfernt *stolz is
Frohe Weihnachten euch und lasst euch fein beschenken und ncih vom Wurm ägern lassen ;) |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 23.12.2003 um 23:46 Uhr
|
|
Sehr geehrte Damen und Herren,
das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 219.254.36.38 [anm.: IP-Adresse ändert sich!] erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt. Die von uns gesammelten Daten unter dem Aktenzeichen #43466 sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.
Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.
Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf, Europa Sonderkommission "Internet Downloads" Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868 Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868
Hochachtungsvoll
i.A. PK Mollbach
hab ich vorhin auf ner i-netseite gelesen und erstmal geschluckt, bis ich dann das
"Lasst euch von solch einer Mail nicht verunsichern! Es ist ein Fake!"
auch noch gelesen hab.
dachte schon in meiner panik, die hätten sich auf der seite niedergelassen und erfassen nu jede ip :o/
Geändert am 23.12.2003 um 23:48 Uhr von dana |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 24.12.2003 um 08:00 Uhr
|
|
Hier auch noch eine Version. Habe den Anhang nicht geöffnet, obwohl ich ersteinmal sehr geschockt war. Absender scheint seriös @citroen.de.
Sehr geehrter Kunde,
Vielen Dank für Ihre Anmeldung auf unserem Server.
Der Betrag von Euro 279,- wurde erfolgreich von Ihrem Konto abgebucht.
Ihnen stehen nun 1 Jahr lang mehr als 2300 sehr sehr heiße
Internet Seiten zur Verfügung.
Wir bedauern, das es im Vorfeld so lange gedauert hat,
unser Mail Dienst hatte diese Daten auf einen anderen E-Mail Empfänger geschickt.
Da nun dieser Fehler behoben zu sein scheint, wünschen wir Ihnen
viel Spass mit unserem Angebot!
Die Seiten die Sie nun aufrufen können und die Zugangsdaten
befinden sich gesichert im Anhang.
Gruß |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 24.12.2003 um 09:23 Uhr
|
|
Hi,
die Mail über mir hatte ich auch schon, es gibt noch eine mit dem Betreff : ich hasse dich !!!
Wünsche Euch auch ein frohes Fest
|
|
|
|
|
|
|
Top
|
