PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Virus] w32.mytob.k@mm



Gool
26.03.2005, 03:12
Ich habe eine Mail von grusskarten [at] web.de erhalten. Im Anhang eine sehr suspekte Datei namens document.scr. Die Datei habe ich natürlich sofort von meinem Virenscanner prüfen lassen - ohne Erfolg. Da sie mir aber weiterhin sehr suspekt erschien, habe ich sie sofort an Symantec gesendet, die mir folgende Antwort schickten:


Nachfolgend finden Sie den aktuellen Status Ihrer Virussendung:
Date: 25 März 2005
Arne Koch
...

Dear Arne Koch,
Wir haben ihre Sendung analysiert. Nachfolgend finden Sie einen Bericht
über jede Datei, die Sie an uns übermittelt haben:
filename: C:Dokumente und EinstellungenlueslayahEigene DateienAnhängedocument.scr
machine: SLAYAH
result: This file is infected with W32.Mytob.K [at] mm
Developer notes:
C:Dokumente und EinstellungenlueslayahEigene DateienAnhängedocument.scr is non-repairable threat. Please delete this file and replace it if necessary. Please follow the instruction at the end of this email message to install the latest rapidrelease definitions.
Symantec Security Response hat festgestellt, dass die eingesandte Virenprobe mit einem Virus, Wurm oder Trojanischen Pferd infiziert ist.Wir haben Beta-Definitionen entwickelt, die diese Bedrohung erkennen.Folgen Sie den Anweisungen am Ende dieser E-Mail-Nachricht, und installieren Sie die neuesten Beta-Definitionen.
Anweisungen zum Herunterladen und zur Installation der Beta-Definitionen:
1. Öffnen Sie Ihren Web-Browser. Wenn Sie mit einer Wählverbindung arbeiten, stellen Sie eine Verbindung zu einer beliebigen Website her, beispielsweise: http://securityresponse.symantec.com/
2. Klicken Sie auf diesen Link zur FTP-Site: ftp://ftp.symantec.com/public/english_us...asedefsi32.exe. (ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe.) Falls die Site nicht aufgerufen wird (bei einer langsamen Internet-Verbindung kann dies einige Minuten dauern), kopieren Sie die Adresse, und fügen Sie sie in die Adressleiste Ihres Web-Browsers ein. Drücken Sie anschließend die Eingabetaste.
3. Wenn ein Download-Dialogfeld angezeigt wird, speichern Sie die Datei auf dem Windows-Desktop.
4. Doppelklicken Sie auf die heruntergeladene Datei, und folgen Sie den eingeblendeten Anweisungen.

Weitere Infos zu diesem neuen Wurm:
http://www.symantec.com/avcenter/venc/da...mytob.k [at] mm.html (http://www.symantec.com/avcenter/venc/data/w32.mytob.k [at] mm.html)
Offensichtlich verfügen nur wenige aktuelle AV-Produzenten bereits über Definitionen von diesem Wurm. Auch im aktuellen Stinger (habe ich gerade nachgesehen) ist er noch nicht drin. Die Mail mit dem Virus im Anhang kam von der IP 84.160.196.246 (T-Online), die ich gleich noch darüber informieren werde.
Hier noch der Header:


Return-Path: <grusskarten [at] web.de>
Delivered-To: #
Received: (qmail 14679 invoked from network); 25 Mar 2005 xx:xx:xx -0000
Received: from unknown ([80.67.18.6])
by xaroco.ispgateway.de (qmail-ldap-1.03) with QMQP; 25 Mar 2005 xx:xx:xx -0000
Delivered-To: CLUSTERHOST mx06.ispgateway.de #
Received: (qmail 9820 invoked from network); 25 Mar 2005 xx:xx:xx -0000
Received: from unknown (HELO web.de) ([84.160.196.246])
(envelope-sender <poor [at] spamvictim.tld>)
by mx06.ispgateway.de (qmail-ldap-1.03) with SMTP
for <#>; 25 Mar 2005 xx:xx:xx -0000
From: grusskarten [at] web.de
To: #
Subject: hello
Date: Fri, 25 Mar 2005 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0001_859A1822.BA4342FE"
X-Priority: 3
X-MSMail-Priority: Normal
X-Spam-Checker-Version: SpamAssassin 3.0.1 (2004-10-22) on
spamfilter03.ispgateway.de
X-Spam-Level: ****
X-Spam-Status: No, hits=4.4 required=9999.0 tests=FORGED_RCVD_HELO,
MISSING_MIMEOLE,NO_REAL_NAME,PRIORITY_NO_NAME,RCVD_IN_NJABL_DUL,
SUB_HELLO autolearn=disabled version=3.0.1
X-List-Match: Subject:hello:595284

Gruß,

Sven Udo
29.05.2005, 20:53
Date: 25 März 2005
Arne Koch
http://managor.de/index.php?rub=impressum
Verantwortlich für die Inhalte dieser Seite nach den entsprechenden bundesdeutschen Gesetzen (TDG, MDStV, BDSG) ist:
Arne Koch
Wxxxxxxxxr 24
xxx41 Mxxxxxg
axxxo [at] maxxxor.xx
Weitere Möglichkeiten zur schnellen Kontaktaufnahme sind
ICQ: 1xxxx382
Handy: +49 (0) 175 xxx 091 5
******************************************************************************** ******************************
Hallo Arne, ich wäre im Forum hier (übrigens das gilt ganz allgemein, denke ich) etwas vorsichtiger - mit Links -
(zur eigenen Webseite) hinzuweisen. Somit also auf die "wahre" Indentität aufmerksam zu machen. Ich konnte das ohne Probleme, dann können das auch Spammer und andere übelwollende Menschen auch! Dann haben sie alles: Deine Anschrift, eMail, Handy usw.! Eventuell klingelt es dann mal im Morgengrauen....! Oder habe ich zuviel Phantasie?
Beste Grüsse,
Sven Udo
----
I never saID: [ID filtered]

Gool
30.05.2005, 02:22
hmmm... und was hat das ganze mit dem Virus zu tun?
--
Fuck the Spammer: spam.managor.de (//spam.managor.de/) - managor.de/abmahnung (//managor.de/abmahnung/)

Sven Udo
30.05.2005, 18:52
hmmm... und was hat das ganze mit dem Virus zu tun?
...ja, mit dem Virus hat`s nichts zu tun - aber vieleicht etwas mit persönlicher Sicherheit.
Soweit ich informiert bin, operieren z.B. einige Kriminelle (Spammer) und auch die "Nigeria Connection"
von Europa aus. Holland, Spanien, England - um nur einige zu nennen.
Die lesen/verfolgen ganz genau die antispammer/antinigeria Szene, und analysieren die Webseiten/Homepages.
Als - eher noch harmloses - Beispiel folgendes: http://www.scamorama.com/unkindly_mariam.html
Ich habe schon schlimmeres gehört.
Ich mein`s einfach gut...http://img.homepagemodules.de/smile.gif
Sven Udo
----
I never saID: [ID filtered]