[UBE][möglicherweise auch Virus] Basic, Montag 02.06.

[hami]

Habe folgende eigenartige E-Mail erhalten. Im Anhang befand sich die 2kb große Datei "plot_Aus.pdf.exe"
Möglicherweise enthält sie einen Virus oder E-Mai-Wurm. Kann damit jemand was anfangen?
Return-Path: < [Link nur für registrierte Mitglieder sichtbar. ]>
Received: from InterJet.orgname.com ([193.158.225.106]) by mailin05.sul.t-online.com
with esmtp id 19Pfm7-1l5jySx; Tue, 10 Jun 2003 11:50:43 +0200
Received: from suhnt20 ([10.10.20.120])
by InterJet.orgname.com (8.9.1a/8.9.1) with SMTP id JAA72654;
Tue, 10 Jun 2003 09:16:30 +0200 (CEST)
Date: Tue, 10 Jun 2003 09:16:30 +0200 (CEST)
Message-Id: < [Link nur für registrierte Mitglieder sichtbar. ]>
From: "Vokabelmail Basic" < [Link nur für registrierte Mitglieder sichtbar. ]>
Subject: Basic, Montag 02.06.
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------U19EM6SZQXZ283"

--------------------------------------------------------------------------------


--__Next_1054537533_Part1__--
BHAAIAhAAJyIEABIADgEAABIAAAEdAAgCEAAoIgQAEgAOAQAAAAAAAR0A
CAIQACkiBAASAA4BAAA4AAABHQAIAhAAKiIEABIADgEAAAAAAAEdAAgCEAArIgQAEgAOAQAAAAAA
AR0ACAIQACwiBAASAA4BAAAAAAABHQAIAhAALSIEABIADgEAADUDAAEAAAgCEAAuIgQA
--------------------------------------------------------------------------------

[Nebelwolf †]

Hi!
Es ist mit Sicherheit ein Wurm. Sieht man schon an der Endung *.???.exe Aber als Nichtoutlookbenutzer interessieren sie mich nicht wirklich. Ich lösche halt ab und an das Attach-Verzeichnis. Ich würde mal einen aktuellen Virenscanner darüber laufen lassen.
Schöne Grüße
Nebelwolf

[hami]

Hallo Nebelwolf,
der aktuelle Virenscanner (mit Liveupdate) von Norton kann in der angehängten Datei keinen Virus finden. Kann auch ein Hoax sein.

[Nebelwolf †]

Nein,
ein Hoax ist unwahrscheinlich, er lebt von einer Geschichte, die zum Weitersenden verleitet. Die Endung *.pdf.exe zeigt ganz deutlich, daß hier unerfahrene Anwender klicken sollen. Es muß ein Trojaner oder ein Wurm sein. Es kann sein, daß Symantec die Signatur noch nicht hat, der Wurm schon aktiv ist und den Scanner blockt oder oder oder. Zwei Aktionen empfehle ich: Virenscanner von CD/Diskette booten und ein wenig googeln. Es gibt diverse HeftCDs mit startfähigen, aktualisierbaren Virenscannern auf Linuxbasis. Wenn Du ein paar markante Worte aus der eMail eingibst verrät Dir meisens Google um was es sich handelt.
Nebelwolf

[Nebelwolf †]

Hier gibt es einen Linux Virenscanner zum auf CD brennen:
Programm: [Link nur für registrierte Mitglieder sichtbar. ]
Definitionen: ftp://ftp.centralcommand.com/antivirus/w...ates/vexira.vdf
Vermeide auf der Seite Anmeldungen, da die Newsletter nerven.
Nebelwolf

[Gool]

Das Ding sieht aus wie ein Bugbear. Wenn NAV es nicht erkennen sollte, dann in die Quarantäne stecken und an Symantec senden.
Bugbear hat die schlechte Angewohnheit, Virenscanner auszuhebeln... also möglicherweise ist Dein PC schon verseucht. Probier es mal mit den hier angebotenen Vorschlägen.
PS: [Link nur für registrierte Mitglieder sichtbar. ]
--
Fuck the Spammer

[hami]

Also geöffnet hab ich den Anhang nicht. Ich bin doch nicht blöd. Ich bleib aber an der Sache dran. möchte jemand die Original-E-Mail zur Analyse weitergeleitet bekommen? Wer Linux hat dürfte da eigentlich keine Probleme bekommen.

[hami]

Danke für Eure Tipps und Eure Hilfe.
Habe mir bei Symantec ein entsprechendes Tool zum entfernen von Bugbear heruntergeladen. Gehe heute Abend mal an die Sache ran und sende den Anhang auch an Symantec zur weiteren Analyse.

[hami]

So sieht der Inhalt der angehangenen Datei (mit Texteditor) aus:
&uml;Ö†"&iacute;&aring;&ucirc;&iuml; &iuml;‚h‚,&ugrave;&ucirc;&euml;&iacute;&iacute;‚X&oacute;&atilde;&ccedil;&ari ng;&aring;†‚&uml;Ö&otilde;&euml;&Eacute;&uml;Ö†P&iuml;&aring;&ucirc; &euml;&euml; &ucirc;&iacute;&iuml;‚&yuml;&iacute;&iuml;‚$&atilde;&ccedil; &atilde; &ucirc;&iuml;†‚&uml;ÖÖ&uml;Ö†"&iacute;&aring;&ucirc;&iuml; &iuml;‚h‚,&ugrave;&ucirc;&euml;&iacute;&iacute;‚X&oacute;&atilde;&ccedil;&ari ng;&aring;†‚&uml;Ö&otilde;&euml;&Eacute;&uml;Ö†P&iuml;&aring;&ucirc; &euml;&euml; &ucirc;&iacute;&iuml;‚&yuml;&iacute;&iuml;‚$&atilde;&ccedil; &atilde; &ucirc;&iuml;†‚&uml;ÖÖ&uml;Ö†"&iacute;&aring;&ucirc;&iuml; &iuml;‚h‚,&ugrave;&ucirc;&euml;&iacute;&iacute;‚X&oacute;&atilde;&ccedil;&ari ng;&aring;†‚&uml;Ö&otilde;&euml;&Eacute;&uml;Ö†"&iacute;&aring;&ucirc;&iuml;  &iuml;‚h‚,&ugrave;&ucirc;&euml;&iacute;&iacute;‚X&oacute;&atilde;&ccedil;&ari ng;&aring;†‚&uml;Ö&otilde;&euml;&Eacute;&otilde;&euml;&Eacute;&uml;Ö††‚&uml; Ö&otilde;&euml;&Eacute;&otilde;&euml;&Eacute;&uml;Ö†"&iacute;&aring;&ucirc; &iuml; &iuml;‚h‚,&ugrave;&ucirc;&euml;&iacute;&iacute;‚X&oacute;&atilde;&ccedil;&ari ng;&aring;†‚&uml;Ö&otilde;&euml;&Eacute;l&uml;Ö††‚&uml;Ö&yacute;&yacute;&yacut e;n&yacute;nÖ&ccedil;n&euml;&iuml; &eacute;&ugrave;&aring; Ö&uml;Ö††‚&uml;Ö&yuml;&ugrave;&ucirc;&iuml;‚&eacute;&iacute;&ccedil;&iuml; R &euml;&euml;&iacute;‚$&Ecirc;
jÖÖ&iuml; ‚ &euml;&euml;&aring;‚&euml; &ccedil;L‚<‚&yacute; &ccedil;‚ &aring;‚<&iacute;&iuml;&iuml;L‚R@&ucirc;‚&otilde;&aring;&Eacute;&otilde; &aring;&Eacute;&otilde;&aring;&Eacute;&otilde;&aring;&Eacute; &ucirc;‚&ccedil;‚&eacute;&iuml;‚T&ucirc;&divide;&iuml;‚&ugrave;&ucirc ;‚&yuml;&ccedil;&aring;&iacute;&ccedil;&ucirc;L‚ÖÖ8&iuml;‚&aring;&iacute;&ium l;&aring;&ucirc;‚ &ugrave;‚ &euml;&euml;&aring;‚&euml; &ccedil;L‚R &ucirc;‚&aring;‚$&ucirc;&otilde;&aring;&Eacute;&otilde;&aring;&Eacute;&otil de;&aring;&Eacute;&yacute;&otilde;&aring;&Eacute;‚&yacute; &aring;‚&eacute;&ucirc;‚$&ucirc;&iuml;‚&otilde;&aring;&Eacute;&otilde;&ar ing;&Eacute;&otilde;&aring;&Eacute;&otilde;&aring;&Eacute;&iuml;‚&ucirc; &iuml;L‚< &aring;‚&ucirc;‚&aring;‚ ‚&iuml;&ugrave;&aring;LÖÖ: &ugrave;&aring;&iuml;‚&yuml;&iacute;&iuml;‚^&ccedil; &iuml;j‚‚‚ &euml;&euml;‚&ccedil;&iuml;‚ &iuml;&ucirc;&yacute;&iacute;&ccedil;&ucirc;&ucirc;‚&ucirc;&ucirc;‚vh?ÖÖF&ug rave;&aring;&aring;ÖÖX&euml;&iuml; &uml;Ö†.&ugrave;‚. &ccedil;&ucirc;†‚&uml;Ö&otilde;&aring;&Eacute;&aring; &otilde;&aring;&Eacute;&otilde;&aring;&Eacute;&otilde;&aring;&Eacute;&otilde ;&aring;&Eacute;&aring; &ccedil;&iuml; n&eacute;&ccedil;&iuml;B&yuml;&ccedil;h&yacute;n&ugrave;&ucirc;&iuml;‚&e acute;&iacute;&ccedil;&otilde;&aring;&Eacute;&otilde;&aring;&Eacute;&otilde; &aring;&Eacute;&otilde;&aring;&Eacute;&otilde;&aring;&Eacute;&eacute;&otilde; &aring;&Eacute;(&iacute;&ccedil;&iuml;‚:&aring;&ucirc;&eacute; &euml;R &euml;&euml;&iacute;‚$&Ecirc;
jÖÖ&iacute;‚&ugrave;‚&ccedil; &aring;&ucirc;‚&iuml;‚( &euml;&aring;‚&ugrave;&ucirc;‚&eacute;&iacute;&ccedil;&iuml;‚ n‚8&iuml;‚ &euml;&euml;&aring;‚&euml; &ccedil;LÖÖ< &ccedil;&ugrave;&eacute;‚ &aring;&ucirc;‚&ugrave;‚&aring;&ucirc;&ccedil;&iuml;‚&eacute;&otilde;&arin g;&Eacute;&otilde;&aring;&Eacute;&iuml;&ucirc;‚&eacute;&ccedil;‚&yacute; &otilde;&aring;&Eacute; &iuml;&ucirc;&yacute;&iacute;&ccedil;&ucirc;&ucirc;LLLLLÖÖ<&ccedil;‚ &ucirc;‚&iuml;&iuml;‚&iuml;&ugrave;&iuml;‚>&iacute;&euml;&euml;&ntilde; &euml;&euml;‚&aring;&atilde;&euml;&ucirc;L‚<&ccedil;‚‚F hF&iacute;&ntilde;&aring;‚&eacute;&ucirc;‚&ccedil;&iuml;‚&iacute;&otilde ;&aring;&Eacute;&iacute;&euml;&iuml;‚$&iacute;&iuml;&iuml;&iuml;&ccedil;&eu ml;&euml;&iuml;L€L€L€LÖÖ8&iuml;‚&ucirc;‚&aring;‚&aring;&iacute;&iuml;&arin g;&ucirc;‚&yacute; &aring;‚&iuml;&ugrave;&aring;L‚@&euml;&euml;&aring;‚&euml; &ccedil;‚‚&ccedil;L‚T &iuml;&iuml;&aring;&ucirc;‚&eacute;‚ ‚&eacute; &euml;‚ &iuml;&ccedil;&ugrave;&iuml;j‚&yacute;&iuml;&iuml;‚&ugrave;‚&yacute; ‚&aring;&ucirc;n‚&yuml;&euml;&euml;&ucirc;‚ ‚‚ ‚&iuml;‚
&iuml;‚6&ucirc;‚&divide;&ugrave;&eacute;‚&aacute;&ugrave; &ucirc;&aring;&iuml;n‚ÖÖ(&iuml;‚<&iacute;&iuml;&iuml;‚&yacute; &ccedil;‚&eacute; &euml;‚&yacute;&ccedil;‚&ucirc;&iacute;&ucirc; &euml;‚&aring;&thorn;&iuml;n‚$&otilde;&aring;&Eacute;–&otilde;&aring;&Eacut e;&aring;&ugrave;&aring;–‚8&otilde;&aring;&Eacute;&otilde;&aring;&Eacute;&oti lde;&aring;&Eacute;&otilde;&aring;&Eacute;&divide;–‚8&iuml;‚&otilde;&arin g;&Eacute;&ugrave;‚&yacute;&ccedil;&aring;&ucirc;‚&aring;‚&iuml;&ucirc;‚&e uml; &ugrave;&iuml;‚&otilde;&aring;&Eacute;j‚ &eacute;‚&otilde;&aring;&Eacute;&otilde;&aring;&Eacute;&otilde;&aring;&Eacute ;&Ecirc;&otilde;&aring;&Eacute;&otilde;&aring;&Eacute;&otilde;&aring;&Eacut e;&iuml;&aring;&ucirc;‚<&iacute;‚(&ucirc;&ucirc;&yacute;&iacute;‚&iac ute;&eacute;&eacute;&ucirc;‚&otilde;&aring;&Eacute;&ccedil;&otilde;&aring;&Ea cute;&ccedil;‚&aring;&iacute; &ccedil;‚&eacute; &euml;‚&iuml; ‚Z&iacute;&ccedil;&ccedil;&iacute;&otilde;&aring;&Eacute;&otilde;&aring;&E acute;&otilde;&aring;&Eacute;&atilde;&ccedil;&iacute;&divide;&euml;&ucirc;&iu ml;j‚&iacute;&iuml;&otilde;&aring;&Eacute;&iuml;

[hami]

Der Anhang war ein Fake. Nur zu welchem Zweck versendet jemand solche E-Mails. Habe ein Cleenup für den E-Mail-Wurm laufen lassen... nichts gefunden. Zusätzlich auch an Symantec gesendet. Hier die Antwort:
Dear ##############,
Wir haben ihre Sendung analysiert. Nachfolgend finden Sie einen Bericht
über jede Datei, die Sie an uns übermittelt haben:
filename: plot_Aus.pdf.exe
machine: ############
result: This file is clean
Developer notes:
A:plot_Aus.pdf.exe is clean and non-malicious.
The file is not an executable file. It by itself is not a threat. You can delete it safely.

Wir haben festgestellt, daß die gelieferten Dateien nicht von Viren
befallen sind.
Ihre aufspürenzahl der Unterordnung ist im Thema dieser Meldung.

Wenn Sie irgendwelche Fragen über Ihre Unterordnung haben,
umfassen Sie bitte Ihre aufspürenzahl der Unterordnung in der Anfrage.
Symantec gibt frei Onlineunterstützung an:
[Link nur für registrierte Mitglieder sichtbar. ]

Virusinformationen und -definitionen sind an vorhanden:
[Link nur für registrierte Mitglieder sichtbar. ]