gezielt Virenmails in deutsch an einen Account

[Anonymous]

Hi, ich erhalte seit etwa 3 Tagen gezielt Mails in deutscher Sprache an ein
e-mail Konto (gmx) welches nur für Firmenkontakte od. ähnliches genutzt wird.

Auch sonst erhalte ich keinerlei Spam-Mails über dieses Konto.

Das besondere ist, es ist immer der gleiche Wurm Win32/Sober.F welcher
als *.pif getarnt ist. Der inhalt der Mails lautet z.B. :
-------------------------------------------------------------------------------
Alles klaro bei dir?
Schau mal was Ich gefunden habe!

*** Mail Scanner: Kein Virus gefunden
*** GMX Virenschutz
*** http://www.gmx.de
-------------------------------------------------------------------------------

In den RFC-288 Kopfzeilen steht immer die Absender-IP :
Received: from dsl-213-023-128-xxx.arcor-ip.net (EHLO
"Absender Mailadresse") (213.23.128.xxx)

oder eine ganz ähnliche.

Welche Möglichkeiten habe ich dagegen vorzugehen ??

Wie schauts aus mit Strafanzeige gegen unbekannt o.ä.


Dat wars erstmal MfG John

 

[Genesis]

Hi, ich erhalte seit etwa 3 Tagen gezielt Mails in deutscher Sprache an ein
e-mail Konto (gmx) welches nur für Firmenkontakte od. ähnliches genutzt wird.

"Gezielt" ist hier nichts... Es gibt nur ein infiziertes System, auf dem auch Deine Mail-Adresse vorhanden ist.

Das besondere ist, es ist immer der gleiche Wurm Win32/Sober.F welcher
als *.pif getarnt ist.

Das befallene (sendende) System ist offensichtlich mit dem Wurm Sober.F infiziert.

Welche Möglichkeiten habe ich dagegen vorzugehen ??

Die Mails einfach löschen. Du könntest auch eine Mail an die entsprechende "abuse"-Adresse schicken und dort den Sachverhalt schildern. Arcor wird dann eventuell den Wurm-Infizierten benachrichtigen.

Wie schauts aus mit Strafanzeige gegen unbekannt o.ä.

Für was? Der "Betroffene" weiss höchstwahrscheinlich nichts von seiner "Infektion".

 

[Counselor]

Bei GMX gibt es für € 2,99 monatlich Virenschutz für dein Postfach. Ansonsten kann ich dem Vor-Posting nur zustimmen.

 

[john9002]

hi, danke erstmal für die schnellen Antworten,

Das mit dem Infizierten Anwender hieße aber, das der Absender jedesmal
gleichbliebe und in den Mails nicht jedesmal solche Texte wie :
---------------------------------------------------------------------
--Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwörter
rauszubekommen!!!
---Ihre Benutzernamen und Passwörter befinden sich im Anhang dieser E-Mail
---Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text
beschrieben ist!
---Passwort und Benutzername wurde erfolgreich geändert
---Alles klaro bei dir? Schau mal was Ich gefunden habe!
Meinst Du das wirklich?
---------------------------------------------------------------------

ebenso die gefakten Absender, welche z.B.
[email protected]
[email protected]
[email protected] (anonymisiert !)
oder meine eigene Adresse sind

Soweit ich weis, schreibt ein Wurm einfach nur an alle Adressaten des Befallenen Outlook-Benutzers und fertig.
Will sagen: für mich schaut das nicht einfach nur nach Wurmbefall aus ??
..Ich bin zum Glück TheBat! und Nod32 user

Oder gibt es Würmer die sich in solcher Art und Weise Tarnen ??
müsste dann nicht auch outlook als Mailprogramm in den RFC-822-Kopfzeilen stehen ??

Soweit erstmal

 

[dotshead]

Leider verwenden Würmer häufiger gefälschte Absendeadressen. So schlagen bei mir wieder viele
nicht zustellbare Mails auf diversen E-Mail-Adressen auf. Ich bin aber garantiert nicht verseucht.

 

[virenscanner]

@John0002

Einfach mal hier nachlesen, was "Sober.F" so macht...

 

[Devilfrank]

korrekt:

Emails itself to the email addresses collected above, using its own SMTP Engine.

or created by using the user name of the collected email addresses with the following:
@abuse.de
@yahoo.com
@yahoo.de
@gmx.de
@gmx.net
@web.de
@freenet.de
@lycos.de


followed by:
Message-ID: <%Random_String%.qmail

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

 

[dotshead]

Was mich wirklich interessiert, wer sich den Wurm eingefangen hat, weil alle mails bouncen auf

Die E-Mail von [email protected] an [email protected] (lass ich bewusst stehen)

enthielt einen Computer Virus. Eine Zustellung erfolgt nicht. Bitte lassen Sie umgehend ihr Computer-System pruefen! Mehr Informationen ueber den Virus:
http://www.f-secure.com/virus-info

ds-expires weisst eindeutig auf eine bei Dialerschutz verwendete Adresse hin. Ich lasse die Mails absichtlich länger laufen um Spam-Assassin lernen zu lassen.

 

[Counselor]

Passend zu diesem Thema:
http://www.franken.de/de/veranstaltungen/kongress/2003/03-3-4-mail-spam.pdf

 

[virenscanner]

@dotshead
Irgend jemand, der auch bei "Dialerschutz" im Forum gelesen hat, ist/war infiziert.

 

[technofreak]

Neue Variante des Sober-Wurms aktiv
http://www.heise.de/newsticker/meldung/47383

Eine neue Version des Mail-Wurms Sober verbreitet sich mittlerweile recht zügig im Internet.
Während die Mass-Mailing-Würmer Netsky (vermutlich ein weiteres Produkt des Sasser-Urhebers)
und Bagle mittlerweile mit zweistelligen Varianten gezählt werden, bescheiden sich
die Urheber bei Sober momentan noch mit Variante G. Die neue Sober-Version ist
eine weitere Variante von Sober.F, der seit Anfang April sein Unwesen treibt und die Anwender
mit an englisch- oder deutschsprachige Länderdomains angepasste Texte verwirrt.

 

[Anonymous]

hmhm

sag mir doch ma lieber jmd. den link zur passenden antivirus freeware ich denke, dass ich auch irgendeine der varianten hab, aber irgendwie findet kein prog, das was finden sollte den ollen würmerich...

 

[Der Jurist]

http://www.free-av.de/