Archiv verlassen und diese Seite im Standarddesign anzeigen : [UBE][möglicherweise auch Virus] Basic, Montag 02.06.
Habe folgende eigenartige E-Mail erhalten. Im Anhang befand sich die 2kb große Datei "plot_Aus.pdf.exe"
Möglicherweise enthält sie einen Virus oder E-Mai-Wurm. Kann damit jemand was anfangen?
Return-Path: <vokabelmaster [at] europages.com>
Received: from InterJet.orgname.com ([193.158.225.106]) by mailin05.sul.t-online.com
with esmtp ID: [ID filtered]
Received: from suhnt20 ([10.10.20.120])
by InterJet.orgname.com (8.9.1a/8.9.1) with SMTP ID: [ID filtered]
Tue, 10 Jun 2003 xx:xx:xx +0200 (CEST)
Date: Tue, 10 Jun 2003 xx:xx:xx +0200 (CEST)
Message-ID: [ID filtered]
From: "Vokabelmail Basic" <vokabelmaster [at] europages.com>
Subject: Basic, Montag 02.06.
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------U19EM6SZQXZ283"
--------------------------------------------------------------------------------
--__Next_1054537533_Part1__--
BHAAIAhAAJyIEABIADgEAABIAAAEdAAgCEAAoIgQAEgAOAQAAAAAAAR0A
CAIQACkiBAASAA4BAAA4AAABHQAIAhAAKiIEABIADgEAAAAAAAEdAAgCEAArIgQAEgAOAQAAAAAA
AR0ACAIQACwiBAASAA4BAAAAAAABHQAIAhAALSIEABIADgEAADUDAAEAAAgCEAAuIgQA
--------------------------------------------------------------------------------
Nebelwolf †
10.06.2003, 21:43
Hi!
Es ist mit Sicherheit ein Wurm. Sieht man schon an der Endung *.???.exe Aber als Nichtoutlookbenutzer interessieren sie mich nicht wirklich. Ich lösche halt ab und an das Attach-Verzeichnis. Ich würde mal einen aktuellen Virenscanner darüber laufen lassen.
Schöne Grüße
Nebelwolf
Hallo Nebelwolf,
der aktuelle Virenscanner (mit Liveupdate) von Norton kann in der angehängten Datei keinen Virus finden. Kann auch ein Hoax sein.
Nebelwolf †
10.06.2003, 22:25
Nein,
ein Hoax ist unwahrscheinlich, er lebt von einer Geschichte, die zum Weitersenden verleitet. Die Endung *.pdf.exe zeigt ganz deutlich, daß hier unerfahrene Anwender klicken sollen. Es muß ein Trojaner oder ein Wurm sein. Es kann sein, daß Symantec die Signatur noch nicht hat, der Wurm schon aktiv ist und den Scanner blockt oder oder oder. Zwei Aktionen empfehle ich: Virenscanner von CD/Diskette booten und ein wenig googeln. Es gibt diverse HeftCDs mit startfähigen, aktualisierbaren Virenscannern auf Linuxbasis. Wenn Du ein paar markante Worte aus der eMail eingibst verrät Dir meisens Google um was es sich handelt.
Nebelwolf
Nebelwolf †
10.06.2003, 23:29
Hier gibt es einen Linux Virenscanner zum auf CD brennen:
Programm: http://www.centralcommand.com/ts/rescue/rescuedisk.iso
Definitionen: ftp://ftp.centralcommand.com/antivirus/w...ates/vexira.vdf (ftp://ftp.centralcommand.com/antivirus/weekly_updates/vexira.vdf)
Vermeide auf der Seite Anmeldungen, da die Newsletter nerven.
Nebelwolf
Das Ding sieht aus wie ein Bugbear. Wenn NAV es nicht erkennen sollte, dann in die Quarantäne stecken und an Symantec senden.
Bugbear hat die schlechte Angewohnheit, Virenscanner auszuhebeln... also möglicherweise ist Dein PC schon verseucht. Probier es mal mit den hier angebotenen Vorschlägen.
PS: http://www.e-lisa.at/viren/index.asp#bugbear
--
Fuck the Spammer
Also geöffnet hab ich den Anhang nicht. Ich bin doch nicht blöd. Ich bleib aber an der Sache dran. möchte jemand die Original-E-Mail zur Analyse weitergeleitet bekommen? Wer Linux hat dürfte da eigentlich keine Probleme bekommen.
Danke für Eure Tipps und Eure Hilfe.
Habe mir bei Symantec ein entsprechendes Tool zum entfernen von Bugbear heruntergeladen. Gehe heute Abend mal an die Sache ran und sende den Anhang auch an Symantec zur weiteren Analyse.
So sieht der Inhalt der angehangenen Datei (mit Texteditor) aus:
¨Ö†"íåûï ï‚h‚,ùûëíí‚Xóãçå冂¨ÖõëɨֆPïåû ëë ûíï‚ÿíï‚$ãç ã û¨ÖÖ¨Ö†"íåûï ï‚h‚,ùûëíí‚Xóãçå冂¨ÖõëɨֆPïåû ëë ûíï‚ÿíï‚$ãç ã û¨ÖÖ¨Ö†"íåûï ï‚h‚,ùûëíí‚Xóãçå冂¨Öõëɨֆ"íåûï ï‚h‚,ùûëíí‚Xóãçå冂¨ÖõëÉõëɨֆ†‚¨ÖõëÉõëɨֆ"íåûï ï‚h‚,ùûëíí‚Xóãçå冂¨ÖõëÉl¨Ö††‚¨ÖýýýnýnÖçnëï éùå Ö¨Ö††‚¨Öÿùûï‚éíçïR ëëí‚$Ê
jÖÖï ‚ ëëå‚ë çL‚<‚ý ç‚ å‚<íïïL‚R@û‚õåÉõåÉõåÉõåÉ û‚ç‚éï‚Tû÷ï‚ùû‚ÿçåíçûL‚ÖÖ8ï‚åíïåû‚ ù‚ ëëå‚ë çL‚R û‚å‚$ûõåÉõåÉõåÉýõåÉ‚ý å‚éû‚$ûï‚õåÉõåÉõåÉõåÉï‚û ïL‚< å‚û‚å‚ ‚ïùåLÖÖ: ùåï‚ÿíï‚^ç ïj‚‚‚ ëë‚çï‚ ïûýíçûû‚ûû‚vh?ÖÖFùååÖÖXëï ¨Ö†.ù‚. çû†‚¨ÖõåÉå õåÉõåÉõåÉõåÉå çï néçïBÿçhýnùûï‚éíçõåÉõåÉõåÉõåÉõåÉéõåÉ(íçï‚:åûé ëR ëëí‚$Ê
jÖÖí‚ù‚ç åû‚ï‚( ëå‚ùû‚éíçï‚ n‚8ï‚ ëëå‚ë çLÖÖ< çùé‚ åû‚ù‚åûçï‚éõåÉõåÉïû‚éç‚ýõåÉ ïûýíçûûLLLLLÖÖ<ç‚ û‚ïï‚ïùï‚>íëëñ ëë‚åãëûL‚<ç‚‚F hFíñå‚éû‚çï‚íõåÉíëï‚$íïïïçëëïL€L€L€LÖÖ8ï‚û‚å‚åíïåû‚ý å‚ïùåL‚@ëëå‚ë ç‚‚çL‚T ïïåû‚é‚ ‚é ë‚ ïçùïj‚ýïï‚ù‚ý ‚åûn‚ÿëëû‚ ‚‚ ‚ï‚
ï‚6û‚÷ùé‚áù ûåïn‚ÖÖ(ï‚<íïï‚ý ç‚é ë‚ýç‚ûíû ë‚åþïn‚$õåÉ–õåÉåùå–‚8õåÉõåÉõåÉõåÉ÷–‚8ï‚õåÉù‚ýçåû‚å‚ïû‚ë ùï‚õåÉj‚ é‚õåÉõåÉõåÉÊõåÉõåÉõåÉïåû‚<í‚(ûûýí‚íééû‚õåÉçõåÉç‚åí ç‚é ë‚ï ‚ZíççíõåÉõåÉõåÉãçí÷ëûïj‚íïõåÉï
Der Anhang war ein Fake. Nur zu welchem Zweck versendet jemand solche E-Mails. Habe ein Cleenup für den E-Mail-Wurm laufen lassen... nichts gefunden. Zusätzlich auch an Symantec gesendet. Hier die Antwort:
Dear ##############,
Wir haben ihre Sendung analysiert. Nachfolgend finden Sie einen Bericht
über jede Datei, die Sie an uns übermittelt haben:
filename: plot_Aus.pdf.exe
machine: ############
result: This file is clean
Developer notes:
A:plot_Aus.pdf.exe is clean and non-malicious.
The file is not an executable file. It by itself is not a threat. You can delete it safely.
Wir haben festgestellt, daß die gelieferten Dateien nicht von Viren
befallen sind.
Ihre aufspürenzahl der Unterordnung ist im Thema dieser Meldung.
Wenn Sie irgendwelche Fragen über Ihre Unterordnung haben,
umfassen Sie bitte Ihre aufspürenzahl der Unterordnung in der Anfrage.
Symantec gibt frei Onlineunterstützung an:
http://www.symantec.com/techsupp/
Virusinformationen und -definitionen sind an vorhanden:
http://securityresponse.symantec.com/
Nebelwolf †
11.06.2003, 18:40
Schlimm!
Jetzt produzieren auch die Virenprogrammierer unreife Betaware.
Tip: Um festzustellen, ob eine Datei ausführbar ist schaue sie einfach im Editor an. Sind die ersten zwei Zeichen die Initialien "MZ" (Programmierer aus der EDV-Steinzeit) dann ist es eine ausführbare Datei. Besser als Texteditoren sind Hexeditoren zum Betrachten von Programmen geeignet. Das "Hex" kommt übrigens nicht von den Besebreiterinnen sondern von hexadezimal.
Nebelwolf
Martin S.
11.06.2003, 22:08
It by itself is not a threat. You can delete it safely.
Heißt das, gefährliche Dateien kann man nicht sicher löschen? http://img.homepagemodules.de/grin.gif
Gruß,
Martin
--
One nation under one groove - Funkadelic 1978
Heute habe ich eine E-Mail von Info [at] produkt-idee.com (Absender ist mir unbekannt) erhalten. NAV hatte sofort angesprochen, denn es befand sich der Anhang "plot_Aus.pdf.exe" darin mit dem E-Mailwurm "W32.Bugbear.B [at] mm". Konnte das mit dem Removetool von Symantec sofort richten, möchte aber alle User warnen. Bugbear scheint wieder zu kommen. Da bastelt jemand herum. Erst der Plazebo-Wurm und jetzt der echte Wurm.
Hat es da etwa einen Spammer erwischt? Info [at] produkt-idee.com kenne ich nicht, aber die müssen offensichtlich meine E-Mail-Adresse haben. Ist Euch darüber etwas bekannt?
Die E-Mail wurde am 16.Juni 2003 um 10:29 Uhr über info [at] produkt-idee.com versendet mit RE: 45443-343556.
Bugbear versendet sich selbst über ne eigene SMTP-Routine. Die Mailadresse ist gefälscht - die Mail kann also auch von einem Bekannten von Dir kommen. Möglicherweise hat ein Bekannter von Dir mal Post von info [at] produkt-idee.com bekommen, Bugbear hat diese Mail gefunden und als Absenderadresse für sich selbst gewählt...
Bugbear kommt nicht nur wieder, sondern auch in einer neuen Version, die etwas gemeiner ist, als die erste.
--
Fuck the Spammer
Powered by vBulletin® Version 4.2.3 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.