Virus / Wurm.

[Kräuterhexe Mone]

Hi Alrik,

die Software ist gekauft. Aber da ist dieser Registrierungszwang, wie du schon sagtest. Und dann bekommt man erst die Nummer. Ein Jahr lang kann man Updates so ziehen, danach fallen monatliche Lizenzgebühren an für die Updates.

Mich ärgert das halt alles irgendwo. Die Software von denen ist teuer genug. Ich habe noch die Version 2002.

Gruß
Mone

[Ameise]

Nee, tut mir leid, da sehe ich keine Lösung.

Versuch es doch einfach mal mit offline-Scannern wie dem kostenlosen F-Prot oder mit Antivir Personal Edition ...

[Ameise]

Heute sah ich ins Postfach, und siehe da : Wieder hat ein Spamer "mich benutzt" :

Die Sache ist ärgerlich und Lächerlich zugleich :

Es gibt im Internet "Newsgroups" zum Autor Terry Pratchett (Scheibenwelt / Discworld). Einer derjenigen, die am "Annotated Pratchett File" (APF) mitarbeiten, ist Leo Breebart. Ich habe großen Respekt vor ihm wegen der Arbeit, die er sich damit macht.

Nun, wie sieht nun der Absender des Spams aus :

"Leo Breebaart" <a.kr.project@paypal.com>

Ich weiß nicht, ob ich Lachen oder Weinen soll ...

[Ameise]

Der *reale* Leo Breebaart hat mir geantwortet, und mir versichert, daß er das Problem kennt, und es allgemein bekannt ist.

Ich fürchte, wir müssen uns darauf einstellen ...

[Ameise]

- Ein Wurm oder was auch immer gibt vor, angeblich einen Patch von Microsoft zu verschicken. Microsoft hat in der Vergangenheit des öfteren verlauten lassen, daß sie das niemals tun.

Hier der E-Mail-Header der E-Mail :

Return-Path: <admin@duma.gov.ru>
X-Flags: 0000
Delivered-To: GMX delivery to _____________
Received: (qmail 14176 invoked by uid 65534); 30 Sep 2003 06:58:16 -0000
Received: from p5080F860.dip.t-dialin.net (HELO localhost) (80.128.248.96)
by mx0.gmx.net (mx028-rz3) with SMTP; 30 Sep 2003 08:58:16 +0200
From: "Microsoft" <security@microsoft.com>
To: <________>
Subject: Use this patch immediately !
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary="xxxx"
Date: Tue, 30 Sep 2003 08:58:17 +0200
Message-ID: <20030930065817.14229gmx1@mx028-rz3.gmx.net>
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-PMFLAGS: 570949760 0 1 PKYHKRUW.CNM

--xxxx
Content-Type: text/plain;
Content-Transfer-Encoding: 7bit

Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!

Interessant ist der Absender : "duma.gov.ru" suggeriert einen Absender im russischen Parlament ("duma), denn ru steht für Rußland.

EDIT : Habe meine E-Mail Adresse gelöscht.


- CGI-Scripte bringen Apache2 zum Stillstand.

[Ameise]

Der Wurm, der die oben berichtete E-Mail ausgelöst hat, hat einen Namen :


Dumaru-Wurm


Paßwort-Klau durch Lücke im Internet-Explorer

[wuschel]

Bescheidene Frage:

Was habt Ihr für eine Software?????
Ich nutze NAV seit vier Jahren, immer die neuste Version, eine Zwangsregistrierung gibt es nicht.
Auch keine "Nummer".
Selbst bei NAV 2004 gibt es das nicht.
Zumindest nicht bei der deutschen Version.

wuschi

[Ameise]

Hm, ich kenne den NAV nur von meinem Praktikumsbetrieb her, Anfang 2003, und da gab's sowas. Frag mich jetzt nicht, was das für eine Version war ...

Es ist denkbar, daß das eine "Corporate" Version oder so war, denn mein Praktikumsbetrieb war ein kleines Systemhaus, die haben diesen NAV auch verkauft.

[Ameise]

Mehrere Patches von Microsoft :

http://www.heise.de/newsticker/data/dab-16.10.03-000/

[Klee]

Ich kopiers jetzt einfach hier rein:

Alrik hat folgendes geschrieben:

<<<<"Sober Mails" ? Kenne ich nicht, meinst du vielleicht Sobig , den Wurm ?

Nein, ich glaube nicht, daß das bei mir daran liegt ...

Bei dir ... falls du Sobig mal hattest, könnten eventuell noch Reste vorhanden sein (ich las von so einem Fall).

Du kannst dir ja mein Thema "Virus/Wurm" anschauen, da steht was zum Thema "Sobig" drin.>>>>
_________________
Hallo Alrik
Nein es war der W32Sober@mm der da mit den Mails kam. Und anscheinend (hab ich dann noch nachgelesen) erscheinen doch daher solche Befehle auf dem Schirm. Somit müsste der Virus wohl eigentlich schon im System drin sein, Norton hat aber bei dem Scan nichts gefunden.
Grüessli,
Irene

[Ameise]

So, hier kommt Sober :

Sober verschickt Mails mit deutschen Betreffzeilen

Internet Explorer gefährdet Windows

[Kräuterhexe Mone]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

In diese beiden Registrierungsschlüssel schreibt sich der sober@mm

So wie ich es verstanden habe, muss rechts stehen "(Wert nicht gesetzt)", damit nicht diese Endlosschlaufe beginnt.

Allerdings und so habe ich das weiterhin verstanden, wird der erst aktiv, wenn man ihn über den Anhang aktiviert. Also den Wurm.

Habe heute auch so eine Mail bekommen mit dem Betreff:

Re: lol

Anhang: RobotMailer.com

Steht auch so in der Liste von Symantec drin.

[Ameise]

Ich weise aber extra nochmal darauf hin, daß es nicht ungefährlich ist, in / an der "Registrierung" zu arbeiten.

Wer die Erklärung, wer und was Sober eigentlich ist, in DEutsch haben möchte, kann hier schauen.

[Kräuterhexe Mone]

Äh ja, das stimmt.

In der Registry bitte nur rumfummeln, wenn man sich halbwegs auskennt oder aber genau nach Anleitung aber IMMER vorher - vor einer Registry Änderung - ein backup machen!

Falls die Änderung sozusagen in die Hose gegangen ist, kann man wenigstens dann den alten Stand wiederherstellen

[sonten]

Zu Franks Bericht über Virenangriffe gegen Reikiland:
ähnliches erlebte ich vor ca. einem Monat mit einer kommerziell genutzten Domain und ihren email-Adressen.
Lästig waren insbesondere die zahlreichen Rückläufe von nichtzustellbaren Emails an diese missbrauchten Adressen.

Zu meiner Beruhigung stellte sich schnell heraus, dass auch viele andere davon betroffen waren, so dass ein gezielter Spam- u. Virenangriff ausgeschlossen werden konnte.

cu
tengu

[LarsU]

Zu meiner Beruhigung stellte sich schnell heraus, dass auch viele andere davon betroffen waren, so dass ein gezielter Spam- u. Virenangriff ausgeschlossen werden konnte.

Und zu meiner Beunruhigung müssen wir ja in diesem Fall zur Kenntnis nehmen, dass jemand Emails mit gefältschtem Reikiland-Absender in Umlauf bringt. Das ist ein gezielter Angriff, so wie Frank das erzählt hat.

@Frank: das tut mir wirklich leid. Volle moralische Solidarität! Leider ist es unwahrscheinlich, dass jemand, der Email-Absender fälschen kann, sich über seine IP schnappen lassen wird.
Ich persönlich habe übrigens seit gestern Probleme, mich mit Opera einzuloggen. Gestern hat´s einmal (oder zweimal?) nicht geklappt; einmal kam eine Seite mit wirren Zahlen und Buchstaben, schwarz-weiß. Heute kann ich in der Login-Seite keine Buchstaben reintippen (kurz vorher ging´s noch). Jetzt bin ich wieder mit Netscape 4.7 hier, das hast geklappt. Ich hoffe, dass das nicht auch ein Angriff ist.

@all: irgendwie weht hier gerade ein ziemlich unguter Geist. Erst das mit dem unerbetenen Energie-"Geschenk"-Aufruf, dann das mit den Emails. Das hat noch mal eine neue Qualität im Vergleich zu dem, was vorher lief, und geht über normale Ego-Spiele weit hinaus. Ich weiß nicht was das ist, aber es fühlt sich beängstigend an. Hab ich nicht mal geschrieben, R.s und H.s Rausschmiß würden dem Forum keine Heilung bringen? Es tut mir leid, wie recht ich damit hatte. Mir ist sogar die Lust an meiner ohnehin fragwürdigen Neigung zur Besserweisserei vergangen.
Gott schütze Euch alle.

LarsU

[LarsU]

jetzt geht´s wieder - mit Opera!
L.

[Ameise]

Ich habe seit ein paar Tagen hin & wieder Probleme, hier reinzukommen, das kann aber auch durchaus am Provider liegen, ich mache mir da keine Panik.

[sonten]

Zu meiner Beruhigung stellte sich schnell heraus, dass auch viele andere davon betroffen waren, so dass ein gezielter Spam- u. Virenangriff ausgeschlossen werden konnte.

Und zu meiner Beunruhigung müssen wir ja in diesem Fall zur Kenntnis nehmen, dass jemand Emails mit gefältschtem Reikiland-Absender in Umlauf bringt. Das ist ein gezielter Angriff, so wie Frank das erzählt hat.

LarsU, bei der besagten Domain war es nicht anders und das war auch für mich in höchstem Maße beunruhigend, bis im Spiegel.de und bei heise.de über die neue Masche mit den geklauten Absenderadressen berichtet wurde.
Ein paar Tage lebte ich auch in dem Glauben, dass ein "Mitbewerber" sich diese unerträglichen Spässe erlaubt hatte.
Die grösste Sauerrei bestand in den über 90 bis mehr täglichen email-Meldungen irgendwelcher mail-provider, dass die Email des Spammers nicht zustellbar sei (der Spammer hatte wohl veraltete Adressbestände gekauft).
Durch den Klau der Absenderadresse füllten sich hierdurch bei uns die Postfächer und machten das Löschen von Mails neben dem üblichen Spam zur Daueraufgabe.
In englischsprachigen PC-newslettern war erst gestern die Problematik wieder aufgegriffen worden. Hoffentlich bedeutet das im Zusammenhang mit den Beobachtungen von Frank nicht auch, dass es jetzt auch hier in Deutschland wieder flächendeckend mit dem Mist losgeht!

cu
tengu

[LarsU]

Hallo tengu,
danke für den Hinweis. Das heißt dann, man kann mit Programmen "automatisch" so etwas machen, d.h. man gibt eine große Zahl von .de-Adressen ein und und das Programm macht dann den Rest? Heftig! Aber wie kommt so ein Programm auf´s Reikiland? Hoffen wir mal, das es so ist.
Herzliche Grüße!
LarsU

[sonten]

Hallo tengu,
danke für den Hinweis. Das heißt dann, man kann mit Programmen "automatisch" so etwas machen, d.h. man gibt eine große Zahl von .de-Adressen ein und und das Programm macht dann den Rest? Heftig! Aber wie kommt so ein Programm auf´s Reikiland? Hoffen wir mal, das es so ist.
Herzliche Grüße!
LarsU

Wenn ein Spammer Adressen kauft, kann er in einen geeigneten Bulk-mass-mailer z.b. eine der Adressen (oder viele von ihnen) als gefakte Absender angeben und über einen immer noch relay-fähigen mail-server im Ausland den ganzen Schrott in aller Welt verbreiten, ohne dass seine Identität verraten wird.
Würden alle mailserver gegen so einen Missbrauch softwaremässig geschützt, hätten diese Spammer ein Problem.

Nur leider gibt es in Südamerika und in Teilen Asiens sowie halt in sonstigen echt gottverlassenen Gegenden genügend ungeschütze Server, die missbraucht werden können.

Die Bulkmail-softwarevertreiber machen sogar nach wie vor dreiste Werbung mit ihren Produkten und bieten teilweise sogar den kostenlosen Download von demo-versionen an.

Bleibt es in den nächsten Tagen dabei, dass NUR reikiland-Adressen betroffen zu sein scheinen, dann könnte Franks Eindruck immer noch richtig sein.

Frank hat auch noch nicht mitgeteilt, ob es sich wie damals bei uns um Werbeemails gehandelt hat oder nur leere Emails mit Viren im Anhang reinkommen.
Was die Verseuchung von normalem Spam mit Viren angeht, meldet mein NAV fast täglich irgendwelche Virenanhänge.

Es gibt noch eine andere Möglichkeit: einer der PC von aktuellen oder früheren Forennutzern etc, die irgendwann einmal die reikiland-adressen im adressbuch gespeichert haben, wurden von einem Virus verseucht, der nicht nur Viren an alle im Adressbuch gespeicherten Accounts sendet, sondern dabei noch das gleiche leistet wie die Spammer mit ihrem Adressenklau.
So ein Ding hatte jemand einmal angeblich von meiner Emailadresse erhalten und teilte mir dannn bedauernd mit, dass er die "Anlage nicht habe öffnen können. Es dauerte eine halbe Std. bis ich die Telefonnr. des Absenders herausbekommen und ihn telefonisch warnen konnte, dass er mit dem Versuch den Anhang zu öffnen, sich einen Virus eingehandelt hat und zweitens die Email nicht von mir stammte.

PCs und Menschen mit PCs können echt nerven!

cu
tengu

[Ameise]

Es gibt durchaus Prügramme ("Würmer", die sich via E-Mail verbreiten, stellenweise als ausführbares Programm einisten, und Adreßbücher als quasi unerschöpfliche Quelle von Adressen verwenden. Und das gilt scheinbar jetzt nicht nur für Empfänger, sondern vermutklich sogar für Absender-Adressen.

So sieht das für mich aus.

Ach übrigens, meine Adresse wurde vor einiger Zeit auch mal als Absender mißbraucht. Wird Zeit, daß ich mir eine neue anlege ...

[Rica]

alrkik schreibt:
"Ach übrigens, meine Adresse wurde vor einiger Zeit auch mal als Absender mißbraucht. Wird Zeit, daß ich mir eine neue anlege ..."

rica fragt:
kann man die neue adresse denn dann schützen, dass nicht wieder dasselbe passiert?

... und dankt für antwort im voraus

[Master Jan]

leider nein, rica

solange es noch freie mail-server gibt die dumm mails einfach weiterreichen ohne zu fragen ob man selbst der absender ist, solange ist es möglich im namen anderer mails zu verschicken

nur fliegt das ganze meistens auf, wenn man die IP-adresse im mailheader nachschlägt

da gibts zwar auch mittel und wege um das zu verschleiern, wird aber dann schon aufwendiger

schützen kannst du dich leider vor solchem müll nicht

gruß
jan

[Ameise]

Nein, schützen lassen sich solche Adressen nicht, technisch gesehen.

Das Protokoll zum Versenden von E-Mails frägt nicht nach, ob das der "richtige" Absender ist, es versendet einfach. Es ist aber eine Erneuerung des Protokolls geplant, das einen Abgleich ermöglichen soll, was allerdings dazu führen kann, daß es eines Tages Otto Normalverbraucher keinen eigenen Mailserver mehr betreiben kann.

Das Einzige, was sich schützen läßt, sind die Adreßbücher, indem man sie ganz einfach nicht angreifbar macht; dazu gehört auch, keine E-Mail-Programme zu verwenden, die sich für Würmer mißbrauchen lassen, oder doch zumindest alle verfügbaren Sicherheitseinstellungen hoch zu setzen.

Unter Windows NT - Nachfolgern (Win 2000, Win xp) läßt sich auch im Rahmen der Rechteverteilung das Zugriffsrecht auf z.B. Adreßbücher einschränken.