Wurm-Well beeinträchtigt kath. Mailverkehr

[jouaux]

Hallo, bei mir sind seit etwa 24 Stunden ca. 200 Virenemails eingegangen, von denen viele einen "katholischen Absender" haben. Keine Angst, der Virus kommt nicht tatsächlich von diesen Institutionen und Personen. Er fälscht die Absenderadressen.

 

xxx@ordinariat-freiburg.de

xxx@pax-bank.de

xxx@radiohoreb.de

xxx@kathpress.at

oder sogar

xxx@kath.de

 

Hier die Meldung von Heise dazu:

 

----

 

 

Wurm-Welle durch Sobig.F beeinträchtigt Mailverkehr

 

Der am gestrigen Dienstag aufgetauchte Virus Sobig.F verbreitet sich bislang nahezu ungebremst im Internet. Die Virenscanner auf den Mail-Servern ächzen derzeit unter der Last der großen Zahl infizierter Mails. Allein im Heise-Verlag sind seit gestern Nachmittag 13.000 verseuchte Mails, die von außen auf dem Mail-Server eintrafen, in die Quarantäne verschoben worden. Zusätzlich werden die Anwender in vielen Firmen durch Mails belastet, die darauf hinweisen, dass die elektronische Post nicht zugestellt werden konnte, da sie infiziert oder der Empfänger nicht bekannt sei.

 

In der von Messagelabs bereitgestellten Grafik zur Anzeige der derzeit aktiven Viren wird das Skalenende über die infizierten Mails, die in den vergangenen 24 Stunden über die Virenscanner des Anbieters liefen, momentan ständig nach oben verschoben. Gestern lag es bei 40.000, heute morgen bei 300.000, mittlerweile geht der Virus an die Grenze zu 350.000. Berichte auf der Sicherheits-Mailingliste Full-Disclosure zufolge konnte sich Sobig.F im Vergleich zu seinen Vorganger diesmal so explosionsartig vermehren, da der eingebaute SMTP-Server zum Versenden von Mails Multi-Threading unterstützt. Der Virus kann also mehrere Verbindungen parallel öffnen.

 

Weitere Hinweise zu Viren und Würmern, zum Schutz vor den Schädlingen und Links zu den Herstellern von Antiviren-Software finden Sie auf den Antiviren-Seiten von heise Security. Auf den Seiten der Antivirenhersteller gibt es bereits Tools, wie Stinger von NAI zum Entfernen des Virus.

 

Der Virus verbreitet sich als Dateianlage in Mails, die zum Beispiel folgende Betreffzeilen haben können:

"Re: Thank you!", "Re: Your Application", "Re: Approved", "Your details", "Thank you!", "Re: Your application", "Re: Wicked screensaver", "Re: That movie" . Anhänge mit verdächtigen Endungen wie *.pif und *.scr, dürfen nicht geöffnet werden, etwa mit Doppelklick. Dies gilt auch wenn der Absender bekannt ist und das Attachment nicht explizit angefordert wurde, da Sobig.F die Absenderadressen fälscht. (dab/c't)

[Gast Juergen]

Na, toll!

 

Ich habe soeben fünf solcher Mails bekommen

[Eifellady]

Gilt aber nur für Mails mit Dateianlagen, oder?

[Gast Juergen]

Gilt aber nur für Mails mit Dateianlagen, oder?

Ja (wenn ich das richtig sehe ?)

[Volker]

Gilt aber nur für Mails mit Dateianlagen, oder?

Ja.

[Valeriana]

Hallo,

wir haben zu dem Wurm folgende Infos erhaltenErkennung:

==========

 

Die vom Wurm verwendeten E-Mails haben folgende Gestalt:

 

Von-Feld:

admin@internet.com oder eine auf dem infizierten Rechner gefundene Adresse.

 

Betreff-Feld:

Re: Details,

Re: Approved

Re: Re: My details

Re: Thank you!

Re: That movie

Re: Wicked screensaver

Re: Your application

Thank you!

Your details

Weitere Betreffs mit ähnlicher Gestalt sind möglich.

 

Text:

See the attached file for details

Please see the attached zip file for details.

 

Anhang:

application.zip

application.pif

details.zip

details.pif

document_9446.zip

document_9446.pif

document_all.zip

document_all.pif

movie0045.zip

movie0045.pif

thank_you.zip

thank_you.pif

your_details.zip

your_details.pif

your_document.zip

your_document.pif

wicked_scr.zip

wicked_scr.scr

 

Val

[Explorer]

Also, ich bin bisher verschont worden...

[Simone]

Na, toll! Ich habe soeben fünf solcher Mails bekommen

Ich überbiete: Seit gestern Abend 20 Stück. Und alle über den Uniserver. Daraus zu schließen, ist an meiner Uni schon das Chaos ausgebrochen! Echt nervig!

[Gast Juergen]

32/Sobig.f (19.08.)

Alias: W32.Sobig.F@mm, I-Worm.Sobig.f, WORM_SOBIG.F

Typ: EXE (Win32), Wurm (~73 KB)

Betroffen: Windows 95/98/ME/NT/2000/XP

Verbreitung: E-Mail, Freigaben

Absenderangabe: beliebig (gefälscht!)

Betreff/Subject: "Re: Approved" | "Re: Details" | "Re: Re: My details" | "Re: Thank you!" | "Re: That movie" | "Re: Wicked screensaver" | "Re: Your application"

Nachricht (E-Mail): "See the attached file for details " oder: "Please see the attached file for details"

Anhang: *.pif od. *.scr (~73 KB): application.pif | details.pif | document_9446.pif | document_all.pif | movie0045.pif | thank_you.pif | wicked_scr.scr | your_details.pif | your_document.pif

Symptome: Existenz der Datei WINPPR32.EXE im Windows-Verzeichnis, sowie des Registry-Eintrags "TrayX = %Windir%\winppr32.exe" im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bzw. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Schaden: E-Mail-Versand (Deaktivierung: 10.09.2003)

 

(Quelle)

[pedrino]

Na, toll! Ich habe soeben fünf solcher Mails bekommen

Ich überbiete: Seit gestern Abend 20 Stück. Und alle über den Uniserver. Daraus zu schließen, ist an meiner Uni schon das Chaos ausgebrochen! Echt nervig!

Bei mir (glücklicherweise) Fehlanzeige.

[Ute]

Ich hab auch keine bekommen.

 

Mein Outlook Express-Posteingang ist kaputt.

[Magdalene]

na, dann hab' ich auch einen ganzen Haufen von denen bekommen - aber alles mit englischem Betreff landet bei mir eh' ungelesen im Spam-Eimer.

[Edith]

ich weiß nicht wovon ihr redet. ist es möglich, daß man als win95 user völlig davon verschont bleibt???

 

Oh seelige Armut! (ich konnte mir einen update bislang nicht leisten - nun bin ich froh darüber! )

[Gast Juergen]

ich weiß nicht wovon ihr redet. ist es möglich, daß man als win95 user völlig davon verschont bleibt???

Nein !

 

Betroffen sind: Windows 95/98/ME/NT/2000/XP

 

(sagte ich doch schon)

bearbeitet 20. August 2003 von Juergen

[Monika]

Ich habe auch nichts *freu und händereib*

[Franciscus non papa]

Ich habe auch nichts *freu und händereib*

schön moni - ich nehme an, auch du verzichtest auf outlook - ich nutze es auch nicht....

[Monika]

schön moni - ich nehme an, auch du verzichtest auf outlook - ich nutze es auch nicht....

Achso,geht das nur über outlook?

 

Ich benutze eine ganz normale web.de Adresse.

 

Den outlook hat mein Telekom-Bekannter ( Pedrino,bitte aufhorchen) mir neulich deinstaliert,weil da immer soviel Mist draufgekommen ist.

[Bleze]

Regeln:

 

1. keine Attachements öffnen die man nicht kennt

2. Mails die man nicht angefprdert hat oder die suspekt erscheinen löschen

3. immer neuste Virenscanner Updates besorgen, speziel wenn man Kazaa, Esel etc. verwendet.

4. informieren

5. Firewall installieren

 

Wenn man kleine Dinge einfach beachtet sind Viren halb so schlimm...

 

Tip für Leute mit grösserer Festplatte:

 

Eine Partition zum surfen, eine zum arbeiten...schon hat sich das erledigt.

 

Bleze

[jouaux]

Netter Artikel zum SobigF Virus auf Spiegel Online (zum Glück hats auch die Hamburger Atheisten erwischt. Und ich dachte schon - da jede 2. Virenmail angeblich von einer kath. Institution kam, daß dieser Virus konfessionelle Unterschiede macht)

 

http://www.spiegel.de/netzwelt/technologie...-261982,00.html

[Monika]

Ein katholischer Virus,oder ein atheistischer Virus?

Das hat was

[Gast Juergen]

SPIEGEL ONLINE: Rund ein Drittel der Mails, die derzeit mein Postfach verstopfen, sind Benachrichtigungen darüber, dass ich angeblich Viren versende. Die scheinen von diversen Anti-Viren-Filtern zu kommen

Bekam ich auch schon.

[Gast Juergen]

Wurm-Alarm für Freitagnacht

 

E-Mail-Virus Sobig.F: Virenexperten warnen vor Internetattacke ab 21 Uhr

 

Antiviren-Experten haben vor einer massiven Internet-Attacke gewarnt, die der seit Tagen grassierende E-Mail-Wurm Sobig.F zwischen 21 und 24 Uhr MESZ am Freitagabend starten soll. Der Wurm werde bis Sonntag versuchen, neue Komponenten auf bereits infizierte Rechner zu laden, um weitere Schäden zu verursachen, hieß es am Freitag auf der Internetseite des Antiviren-Spezialisten F-Secure.

 

Sobig.F stelle eine passwortgeschützte Verbindung zu einem von 20 Servern her, um seine Schadensroutinen zu aktualisieren. Noch sei völlig unbekannt, welche Anweisungen in der neuen Schadroutine enthalten seien.

...

Hier mehr

[Bleze]

Da heissts die Firewall scharf machen...

 

Bleze

[Gast Juergen]

Da heissts die Firewall scharf machen...

 

Bleze

Der Wurm kommst als E-Mail Anhang.

[Bleze]

Noch besser, wird gleich der hauseigenen Virensammlung hinzugefügt.

 

Ernsthaft..., wenn der als Attachement kommt...dann ist er doch eigentlich recht ungefährlich...

 

Es sei denn man öffnet blauäugig alles was man in der Mailbox hat..., aber das man DAS nicht tun sollte, dürfte doch heutzutage jedem klar sein...(naja...fast jedem zumindest...)

 

Bleze