Gool
26.03.2005, 03:12
Ich habe eine Mail von grusskarten [at] web.de erhalten. Im Anhang eine sehr suspekte Datei namens document.scr. Die Datei habe ich natürlich sofort von meinem Virenscanner prüfen lassen - ohne Erfolg. Da sie mir aber weiterhin sehr suspekt erschien, habe ich sie sofort an Symantec gesendet, die mir folgende Antwort schickten:
Nachfolgend finden Sie den aktuellen Status Ihrer Virussendung:
Date: 25 März 2005
Arne Koch
...
Dear Arne Koch,
Wir haben ihre Sendung analysiert. Nachfolgend finden Sie einen Bericht
über jede Datei, die Sie an uns übermittelt haben:
filename: C:Dokumente und EinstellungenlueslayahEigene DateienAnhängedocument.scr
machine: SLAYAH
result: This file is infected with W32.Mytob.K [at] mm
Developer notes:
C:Dokumente und EinstellungenlueslayahEigene DateienAnhängedocument.scr is non-repairable threat. Please delete this file and replace it if necessary. Please follow the instruction at the end of this email message to install the latest rapidrelease definitions.
Symantec Security Response hat festgestellt, dass die eingesandte Virenprobe mit einem Virus, Wurm oder Trojanischen Pferd infiziert ist.Wir haben Beta-Definitionen entwickelt, die diese Bedrohung erkennen.Folgen Sie den Anweisungen am Ende dieser E-Mail-Nachricht, und installieren Sie die neuesten Beta-Definitionen.
Anweisungen zum Herunterladen und zur Installation der Beta-Definitionen:
1. Öffnen Sie Ihren Web-Browser. Wenn Sie mit einer Wählverbindung arbeiten, stellen Sie eine Verbindung zu einer beliebigen Website her, beispielsweise: http://securityresponse.symantec.com/
2. Klicken Sie auf diesen Link zur FTP-Site: ftp://ftp.symantec.com/public/english_us...asedefsi32.exe. (ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe.) Falls die Site nicht aufgerufen wird (bei einer langsamen Internet-Verbindung kann dies einige Minuten dauern), kopieren Sie die Adresse, und fügen Sie sie in die Adressleiste Ihres Web-Browsers ein. Drücken Sie anschließend die Eingabetaste.
3. Wenn ein Download-Dialogfeld angezeigt wird, speichern Sie die Datei auf dem Windows-Desktop.
4. Doppelklicken Sie auf die heruntergeladene Datei, und folgen Sie den eingeblendeten Anweisungen.
Weitere Infos zu diesem neuen Wurm:
http://www.symantec.com/avcenter/venc/da...mytob.k [at] mm.html (http://www.symantec.com/avcenter/venc/data/w32.mytob.k [at] mm.html)
Offensichtlich verfügen nur wenige aktuelle AV-Produzenten bereits über Definitionen von diesem Wurm. Auch im aktuellen Stinger (habe ich gerade nachgesehen) ist er noch nicht drin. Die Mail mit dem Virus im Anhang kam von der IP 84.160.196.246 (T-Online), die ich gleich noch darüber informieren werde.
Hier noch der Header:
Return-Path: <grusskarten [at] web.de>
Delivered-To: #
Received: (qmail 14679 invoked from network); 25 Mar 2005 xx:xx:xx -0000
Received: from unknown ([80.67.18.6])
by xaroco.ispgateway.de (qmail-ldap-1.03) with QMQP; 25 Mar 2005 xx:xx:xx -0000
Delivered-To: CLUSTERHOST mx06.ispgateway.de #
Received: (qmail 9820 invoked from network); 25 Mar 2005 xx:xx:xx -0000
Received: from unknown (HELO web.de) ([84.160.196.246])
(envelope-sender <poor [at] spamvictim.tld>)
by mx06.ispgateway.de (qmail-ldap-1.03) with SMTP
for <#>; 25 Mar 2005 xx:xx:xx -0000
From: grusskarten [at] web.de
To: #
Subject: hello
Date: Fri, 25 Mar 2005 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0001_859A1822.BA4342FE"
X-Priority: 3
X-MSMail-Priority: Normal
X-Spam-Checker-Version: SpamAssassin 3.0.1 (2004-10-22) on
spamfilter03.ispgateway.de
X-Spam-Level: ****
X-Spam-Status: No, hits=4.4 required=9999.0 tests=FORGED_RCVD_HELO,
MISSING_MIMEOLE,NO_REAL_NAME,PRIORITY_NO_NAME,RCVD_IN_NJABL_DUL,
SUB_HELLO autolearn=disabled version=3.0.1
X-List-Match: Subject:hello:595284
Gruß,
Nachfolgend finden Sie den aktuellen Status Ihrer Virussendung:
Date: 25 März 2005
Arne Koch
...
Dear Arne Koch,
Wir haben ihre Sendung analysiert. Nachfolgend finden Sie einen Bericht
über jede Datei, die Sie an uns übermittelt haben:
filename: C:Dokumente und EinstellungenlueslayahEigene DateienAnhängedocument.scr
machine: SLAYAH
result: This file is infected with W32.Mytob.K [at] mm
Developer notes:
C:Dokumente und EinstellungenlueslayahEigene DateienAnhängedocument.scr is non-repairable threat. Please delete this file and replace it if necessary. Please follow the instruction at the end of this email message to install the latest rapidrelease definitions.
Symantec Security Response hat festgestellt, dass die eingesandte Virenprobe mit einem Virus, Wurm oder Trojanischen Pferd infiziert ist.Wir haben Beta-Definitionen entwickelt, die diese Bedrohung erkennen.Folgen Sie den Anweisungen am Ende dieser E-Mail-Nachricht, und installieren Sie die neuesten Beta-Definitionen.
Anweisungen zum Herunterladen und zur Installation der Beta-Definitionen:
1. Öffnen Sie Ihren Web-Browser. Wenn Sie mit einer Wählverbindung arbeiten, stellen Sie eine Verbindung zu einer beliebigen Website her, beispielsweise: http://securityresponse.symantec.com/
2. Klicken Sie auf diesen Link zur FTP-Site: ftp://ftp.symantec.com/public/english_us...asedefsi32.exe. (ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe.) Falls die Site nicht aufgerufen wird (bei einer langsamen Internet-Verbindung kann dies einige Minuten dauern), kopieren Sie die Adresse, und fügen Sie sie in die Adressleiste Ihres Web-Browsers ein. Drücken Sie anschließend die Eingabetaste.
3. Wenn ein Download-Dialogfeld angezeigt wird, speichern Sie die Datei auf dem Windows-Desktop.
4. Doppelklicken Sie auf die heruntergeladene Datei, und folgen Sie den eingeblendeten Anweisungen.
Weitere Infos zu diesem neuen Wurm:
http://www.symantec.com/avcenter/venc/da...mytob.k [at] mm.html (http://www.symantec.com/avcenter/venc/data/w32.mytob.k [at] mm.html)
Offensichtlich verfügen nur wenige aktuelle AV-Produzenten bereits über Definitionen von diesem Wurm. Auch im aktuellen Stinger (habe ich gerade nachgesehen) ist er noch nicht drin. Die Mail mit dem Virus im Anhang kam von der IP 84.160.196.246 (T-Online), die ich gleich noch darüber informieren werde.
Hier noch der Header:
Return-Path: <grusskarten [at] web.de>
Delivered-To: #
Received: (qmail 14679 invoked from network); 25 Mar 2005 xx:xx:xx -0000
Received: from unknown ([80.67.18.6])
by xaroco.ispgateway.de (qmail-ldap-1.03) with QMQP; 25 Mar 2005 xx:xx:xx -0000
Delivered-To: CLUSTERHOST mx06.ispgateway.de #
Received: (qmail 9820 invoked from network); 25 Mar 2005 xx:xx:xx -0000
Received: from unknown (HELO web.de) ([84.160.196.246])
(envelope-sender <poor [at] spamvictim.tld>)
by mx06.ispgateway.de (qmail-ldap-1.03) with SMTP
for <#>; 25 Mar 2005 xx:xx:xx -0000
From: grusskarten [at] web.de
To: #
Subject: hello
Date: Fri, 25 Mar 2005 xx:xx:xx +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0001_859A1822.BA4342FE"
X-Priority: 3
X-MSMail-Priority: Normal
X-Spam-Checker-Version: SpamAssassin 3.0.1 (2004-10-22) on
spamfilter03.ispgateway.de
X-Spam-Level: ****
X-Spam-Status: No, hits=4.4 required=9999.0 tests=FORGED_RCVD_HELO,
MISSING_MIMEOLE,NO_REAL_NAME,PRIORITY_NO_NAME,RCVD_IN_NJABL_DUL,
SUB_HELLO autolearn=disabled version=3.0.1
X-List-Match: Subject:hello:595284
Gruß,