Vorsicht bei angeblich falsch zugestellten Mails

[Captain Picard]

http://www.heise.de/newsticker/meldung/57169

Seit einigen Stunden verbreitet sich eine neue Sober-Variante stark, die noch nicht alle Viren-Scanner erkennen. Auf dem Heise-Mail-Server treffen derzeit reihenweise Mails mit dem Betreff: "Ich habe Ihre E-Mail bekommen!" ein. Der Text lautet:

Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.

Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.

Wenn es doch kein Fehler vom Provider ist, sorge dafuer
das diese Dinger nicht mehr auf meinem Account landen,
es Nervt naemlich.

Im Anhang findet sich auch tatsächlich eine ZIP-Datei namens "MailTexte.zip", bei deren Entpacken

mail_text-data.txt [viele Leerzeichen] .pif

entsteht. Offenbar weckt der plausible Text die Neugier und die Anwender übersehen die mit vielen Leerzeichen abgetrennte Dateiendung .pif, die auf eine ausführbare Datei hinweist. Wer die vermeintliche Textdatei öffnet, infiziert sein System mit dem neuen Wurm. Es ist jedoch nicht auszuschließen, dass der Schädling auch andere Texte und Dateinamen verwendet. Anwender sollten deshalb bei allen unverlangt zugesandten Mails mit Dateianhängen größte Vorsicht walten lassen.

 

[Heiko]

Heute hier schon ein paar hundert Mal.
F-Secure kennt ihn übrigens auch.

 

[Counselor]

http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=WORM_SOBER.L

 

[Telekomunikacja]

Heute hier schon ein paar hundert Mal.

11x auf dem privaten account innerhalb einer Stunde reicht auch. :-?

 

[stieglitz]

Bei mir ist der auch schon aufgeschlagen. Ist eigentlich nicht erwähnenswert.

Aber da kommen noch mehr so nette Tierchen.
Protect your Bank Account
Mit der Aufforderung einen Spyware Scanner zu installieren.
Sieht verdammt echt aus, ich möchte nicht wissen wieviel User das anklicken. Ein PDF als Beispiel im Anhang.
Ist das nun ein Phishingversuch oder hat man nacher seinen PC voll Spyware? Wills jemand probieren?
Der Haeder der Mail, scheint ausnahmsweise mal aus Frankreich zu kommen:

Microsoft Mail Internet Headers Version 2.0
Received: from ANancy-151-1-20-165.w83-194.abo.wanadoo.fr ([83.194.202.165]) by xxxxxex01.xxxxxl.com with Microsoft SMTPSVC(6.0.3790.0);
Tue, 8 Mar 2005 09:15:43 +0100
Received: from TZRKG-JA22 (83.194.202.165) by 83.194.202.165; Tue, 08 Mar 2005 00:12:00 -0800
From: "Protect yourself" <[email protected]>
To: [email protected]
Subject: Protect your bank account
Date: Tue, 08 Mar 2005 00:12:00 -0800
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="%OLATTACH1"
X-Mailer: Microsoft Office Outlook, Build 11.0.6353
X-message-flag: Authentic Sender, Hash: BfGcEyEr
Return-Path: [email protected]
Message-ID: [email protected]>
X-OriginalArrivalTime: 08 Mar 2005 08:15:48.0503 (UTC) FILETIME=[08E35270:01C523B7]

--%OLATTACH1
Content-Type: multipart/alternative;
boundary="%OLATTACH2"

--%OLATTACH2
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit

--%OLATTACH2
Content-Type: text/html;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable


--%OLATTACH2--
--%OLATTACH1
Content-Type: image/gif;
name="image001.gif"
Content-Transfer-Encoding: base64
Content-ID: <[email protected]>


--%OLATTACH1--

 

[Captain Picard]

Dumm gelaufen
http://www.heise.de/newsticker/meldung/57217

Mailinglisten-Server des BSI verschickte Wurm

Durch eine Panne wurde über eine CERT-Mailingliste des Bundesamtes für Sicherheit in der Informationstechnik (BSI) am gestrigen Montagabend der Mass-Mailing-Wurm Sober.L verschickt.