Hi all - bekam gerade 3 mails, deren Anhänge (Installer.exe) alle mit dem Virus Worm.Automat.AHB infiziert waren, und vom Norton AV erkannt wurden. Die Absender erscheinen als:

1. Internet Security Department [ahxtqmsolidtc_qtfpw@bulletin.microsoft.com]
2. Microsoft Corporation Program Security Division [zuhqtpgm_uixuf@news.msn.com]
3. Microsoft Net Message Delivery Service [vmailprogram@netmail.net]

Die Mail erscheint in der Vorschau als offizielle Microsoft Mail und beginnt mit folgendem Text:

Microsoft Customer
this is the latest version of security update, the "September 2003, Cumulative Patch" update which resolves all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express as well as three newly discovered vulnerabilities. Install now to help protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your computer. This update includes the functionality of all previously released patches.
Konnte leider im Internet auf die Schnelle nichts über diesen Wurm finden, falls es kalter Kaffee ist, vergesst mein Posting.

Schönen Tag noch
Aelita

Ich denke, das sieht doch stark nach dem neuen Swen.A-Wurm aus (siehe dieser Thread).

Wann hast Du das letzte NAV-Update durchgeführt? Möglicherweise wird nur der Exploit generisch erkannt, nicht aber der Wurm selbst, da die Definitionen zu alt sind.

Moin Aelita,

ich empfehle Dir auch dringend ein Update der Virendefinition.

</font><blockquote>Zitat:</font><hr />Zitat von der Symantec-Seite:
NOTE: This threat was previously detected as Worm.Automat.AHB by definitions automatically created by the Digital Immune System.</font>[/QUOTE]tschööö, DerBilk

yep - ist ein alias von swen/gibe.

http://www.bsi.bund.de/av/vb/swena.htm

gruß schlibo

Danke Jungs für eure Antworten.
Ha - zum Glück hatte ich grad vorm Postabholen meine Virendefinitionen aktualisiert. Wieso der NAV den Swen trotzdem nicht richtig erkannt hat? keine Ahnung.
Aber er hat die Dinger gleich isoliert, bzw. gelöscht. Und in der Registry steht nichts von dem, was da stehen würde, wenn meine Kiste infiziert wär.
Noch schnell ne Frage, will nachher TheBat installieren. Was meint ihr, gutes Progi?

Gruß Aelita

[ 19. September 2003, 21:41: Beitrag editiert von: Aelita ]

Hallo an alle,
Kann mir mal einer erklären, wieso bei mir seit dem 18.09.03 täglich mehr als 30! eMails ankommen, dessen Anhänge -meisst Execute- mit dem von Aelita beschriebenen Wurm verseucht sind. Ich habe bereits die aktuellste NAV Virendefinition, wobei Norton ausser den Worm.Automat.AHB auch teilweise in den Anhängen den Wurm W32.Gibe.B@mm identifiziert. Klar, mann kann immer mal Opfer einer verseuchten Mail werden, aber bei mehr als 30 stück drängt sich mir der Verdacht auf, dass irgend jemand mit einem Wurmbaukasten herumspielt und ich dummerweise das Testobjekt geworden bin.
Oder wie seht ihr das?

Nein, das scheint normal bei dem Wurm.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Moin Deja
und Willkommen im Board!


</font><blockquote>Zitat:</font><hr />Original erstellt von Deja:
Kann mir mal einer erklären, wieso bei mir seit dem 18.09.03 täglich mehr als 30! eMails ankommen, dessen Anhänge -meisst Execute- mit dem von Aelita beschriebenen Wurm verseucht sind....</font>[/QUOTE]Das liegt daran, dass dieser Wurm u.a. seine eigene SMTP-Engine verwendet (sprich: er sorgt selbst für seine Verbreitung, unabhängig von dem Mailprogramm auf dem betroffenen Rechner). Deine Mailadresse braucht 'nur' auf einem einzigen infizierten Rechner gespeichert sein (z. B. im Outlook-Adressbuch) und Du bekommst solange Swen-Mails, bis dieser Rechner von dem Wurm befreit wurde...

tschööö, DerBilk

Danke, DerBilk! [img]graemlins/aplaus.gif[/img]
"Es muss in jedem Raum einen geben, der der Dümmste ist - aber es muss sich niemand freiwillig melden..."
Ich melde mich Freiwillig!!! [img]graemlins/headbang.gif[/img]
Warum? Na weil ich Trottel (15 J PC-Erfahrung)mich mit meiner eMail-Adresse an einem News-Server angemeldet habe.(brauchte input über Details der TCP/IP und UDP - Protokolle). Wenn Swenilein so funktioniert wie Du es sagst, dann wundert mich natürlich gar nix mehr...
Das beste wird sein, meine Adresse "dejavu_at_t-online.de" wieder dem freien Markt zur Verfügung zu stellen"
Nochmals Danke, auch für das Willkommen!

</font><blockquote>Zitat:</font><hr />Original erstellt von Deja:
Das beste wird sein, meine Adresse "dejavu_at_t-online.de" wieder dem freien Markt zur Verfügung zu stellen" </font>[/QUOTE]Oder Du filterst, wenn das bei T-Online geht. (Geht imho nicht. [img]tongue.gif[/img] )
Der Wurm lädt sich die Adressen selbständig aus dem Usenet; wenn Du z.Zt. in Newsgroup postest, dann richte Dir dafür eine Adresse z.B. bei GMX ein, die das Wort "Spam" enthält - diese werden, warum auch immer, nicht vom Wurm angeschrieben. Schützt natürlich nicht vor kommenden Würmern.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

von 10 mails sind 8 infiziert. mir langts langsam. man hat ja mühe, seine normale Post zu sehen, in diesem wirrwarr.
Aelita