PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [UCE] Info von COOLDEV



sis
28.11.2004, 18:22
Eben ganz frisch reingekommen:
- - - - - - - - - - - - - - - -
Return-Path: <Webmaster [at] cooldev.com>
Received: from 82.212.36.43 (helo=arpkuplr.com)
by mxeu0.kundenserver.de with ESMTP (Nemesis),
ID: [ID filtered]
From: Webmaster [at] cooldev.com
To:
Date: Mon, 29 Nov 2004 xx:xx:xx GMT
Subject: Info von COOLDEV
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: [ID filtered]
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="====0c8ef403a7a3cdb.df"
Content-Transfer-Encoding: 7bit
X-TOI-SPAM: u;0;2004-11-29Txx:xx:xxZ
X-TOI-MSGID: [ID filtered]
X-Seen: false
This is a multi-part message in MIME format.
------=_NextPart_000_0063_01C4D647.74A0BDD0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV=3D"Content-Type" CONTENT=3D"text/html; =
charset=3Diso-8859-1">
<META NAME=3D"Generator" CONTENT=3D"MS Exchange Server version =
6.5.7036.0">
<TITLE>Info von COOLDEV</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/plain format -->
<P><FONT SIZE=3D2>Diese Information ist gesch=FCtzt durch ein =
Passwort!<BR>
Da Sie uns Ihre Pers=F6nlichen Daten zugesandt haben, ist das Passwort =
Ihr Geburts- Datum.<BR>
<BR>
Viel Vergn=FCgen mit unserem Angebot!<BR>
<BR>
<BR>
****<BR>
Im I-Net unter: <A =
HREF=3D"http://www.cooldev.com">http://www.cooldev.com</A></FONT&gt;
</P>
</BODY>
</HTML>
------=_NextPart_000_0063_01C4D647.74A0BDD0
Content-Type: application/octet-stream;
name="KDE_Info.com"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="KDE_Info.com"
[..] Hier kommen 60kByte Daten (Entweder Dialer oder Virus). [..]
------=_NextPart_000_0063_01C4D647.74A0BDD0--

sis
28.11.2004, 18:43
Schon beim manuellen Herauspfrickeln der Base64-Sourcedaten ist der Virenscanner angesprungen: "W32.Sober.I [at] mm!enc" (lt. Symantec entdeckt am 19.11.2004).
Sorry, das war kein Spam, sondern ein einfacher Wurm, der wohl von einem armen Menschen aus meinem Bekanntenkreis verbreitet wird. Werde mal einen kleinen privaten Rundbrief rausschicken.

Goofy
28.11.2004, 19:05
Die Mail ist über IP 82.212.36.43 verteilt worden. Das ist:
netname: DE-KABELBW-20031015
descr: Kabel Baden-Wuerttemberg GmbH & Co. KG
-> abuse.kbw[bei]byteaction.de sollte eine message kriegen. Kann sein, dass unter der IP ein infizierter Rechner läuft.
Der Link auf die Seite cooldev.com könnte auch ein Joe-Job sein. Cooldev.com scheint eine Entwicklerseite für Borland/Java-Zeugs
zu sein. Obwohl die fehlenden "About" Angaben und die ukrainische "whois" stutzig machen.
Goofy

sis
28.11.2004, 19:13
Ich habe mir die Infos zu diesem Wurm bei Symantec durchgelesen.
Es handelt sich mit hoher Wahrscheinlichkeit um eine unwissentlich versandte eMail, da diese auf einem Account eingetroffen ist, den wir ausschließlich als Absender unserer Vereins-Newsletter einsetzen. Eine entsprechende Vereinsinfo habe ich eben verschickt.