Hallo Leute,

wie ich eben von einem Bekannten erfahren habe, versendet sich ein Mailwurm mit meiner Mailadresse.

Betreffzeile: unknown, Text: "do you?" Dazu gibt es einen Anhang. Ich habe darum gebeten, dass diese Mail zur Dateianalyse an die Rokop-Gruppe weitergeleitet wird.

Ich versende zur Zeit keine Mails und schon garkeine Mailanhänge ... ich habe zu nichts mehr Zeit, bin im Dauerstress.

Machts gut, Leute und lasst Euch bitte nicht veralbern. Der Text kommt auch in mein Forum, ich hoffe damit, einigen Schaden verhindern zu können.

Lieben Gruss

Könnte der Netsky sein, der fälscht die Absender.

http://www3.ca.com/threatinfo/virusi....aspx?id=38455

Björn

Hallo Lucky,

also ich hab jetzt in allen Foren in denen ich jemals geschrieben habe und dann auch noch per Rundmail eine diesbezügliche Information und Warnung rausgegeben.

Ausserdem habe ich die Zusicherung, dass die betreffende Mail im Original mit Anhang an meine Adresse und an virus@rokop-security.de weitergeleitet wird.

Und jetzt wende ich mich dann dem zu, was ich eigentlich heute tun wollte

Danke @ Lucky.

Lieben Gruss,

Leute,

alle modernen Würmer fälschen den Absender. Dazu reicht im übrigen der IE-Cache....man muß also nicht mal im Adressbuch stehen.

Mittlerweile bekomme ich übrigens mehr Mail durch enrüstete (und ahnungslose) Anwender sowie von ignoranten Admins wegen meiner angeblichen Virenmails als von der Penis/Viagra-Fraktion.

Deswegen könnte ShadowDance' Post durchaus sinnvoll sein. Sinnvoller noch wäre es, wenn endlich mal kapiert wird, das auf Worm-Mails kein Bounce und keine Antwort zu erfolgen hat. Die Dinger gehören gelöscht und nichts anderes.

Cobra

</font><blockquote>Zitat:</font><hr />Original erstellt von Cobra:
Mittlerweile bekomme ich übrigens mehr Mail durch enrüstete (und ahnungslose) Anwender sowie von ignoranten Admins wegen meiner angeblichen Virenmails als von der Penis/Viagra-Fraktion.</font>[/QUOTE]Ja, habe dieses Wochenende circa 1.500 Replies bekommen, auf Virus/Spammails mit einem gefälschten Absender von mir
</font><blockquote>Zitat:</font><hr />Original erstellt von Cobra:
Sinnvoller noch wäre es, wenn endlich mal kapiert wird, das auf Worm-Mails kein Bounce und keine Antwort zu erfolgen hat. Die Dinger gehören gelöscht und nichts anderes.</font>[/QUOTE]FullACK

Hallo Ihrs,

in dieses Forum wollte ich garnicht, schon garnicht mit einem Bericht dieser Art, aber dies Mal bin ich unschuldig

Ich stelle mir das seit ein paar Stunden vor, wieviele Leute sich möglicherweise freuen, endlich mal wieder eine Mail von mir zu bekommen, wenn auch mit einem erstaunlichen Wortlaut und dann klicken sie und was kommt dann? Ich weiss es immer noch nicht.

Ich dachte, ich warne die Leute mal vorsichtshalber, bedauerlicherweise begreift von den Usern, die sich nicht gerade an Security-Foren tummeln, kaum jemand, dass Würmer Mail-adressen kopieren ... es wird wahrscheinlich Protest hageln.

Mir hat dieser Wurm gezeigt, dass ich immer noch sehr gerne im Netz bin und dass ich eine grössere Menge Hobbies habe. Es wird Zeit, dass ich lerne, mich auf allen Gebieten so zu verteilen, dass alles zum Zuge kommt ... also auch Würmer haben etwas Positives *g*.

</font><blockquote>Zitat:</font><hr />Original erstellt von Cobra:
das auf Worm-Mails kein Bounce und keine Antwort zu erfolgen hat. Die Dinger gehören gelöscht und nichts anderes.</font>[/QUOTE]Du meinst hier das MailServer-Verhalten ?

Denn der geneigte User kann bei einigen Würmern schon rausfinden, wo sie herkommen:
u.a. hatte ich mal wochenlang Dutzende Klez-Würmer pro Tag in der Inbox, mit natürlich gefälschten Senderadressen, aber immer ein und demselben Return-Path.
Und siehe da, der Betreffende war tatsächlich verseucht (..und froh über Links zum RemovalTool)

Hallo,

ich habe keine Würmer, auch nicht in der Mailbox. Als Reaktion in einem Forum stand die Empfehlung einer Wurmkur.

Die Antworten, die ich bis jetzt bekomme, sind ausschliesslich von Leuten, deren Mailadressen ich nicht kenne, das Attachment in der angeblich von mir verbreiteten Mail soll den W32/Netsky.p@MM enthalten.

Wann jener User, der mich vom Umlauf einer Mail unter meiner Mailadresse benachrichtigt hat, jene Mail weiterleitet, ist mir nicht bekannt.

Es grüßt

Heute waren es bisher erst 200 Bounces

//Edit jetzt sind es schon wieder über 350
//Edit2 bin schon wieder bei 450 Bounces auf reinen SPAM mit gefälschtem Absender, ich Frage mich warum ich für die Domain im Jahr 350.- € zahle, wenn es nicht mal einen serverseitigen einstellbaren Spamfilter gibt *grummel*)

@Who Cares: du liest und analysierst denn Müll? *staun*

[ 24. M&auml;rz 2004, 21:05: Beitrag editiert von: Shadow ]

"&gt;Hallo
&gt;Dann prüf mal deinen Rechner mit einem aktuellen Virenscanner. Denn wenn sich ein Wurm deiner E-Mail-Adresse befdient, so hast du ihn dir eingefangen und der Wurm sendet von deinem Rechner aus vor allem an alle deine Bekannten und Anschriften die in deinem E-Mail-Verzeichnis stehen.
&gt;Albi

Albi kann es ja nicht ahnen, aber SD, die man ja auch Santa Anthelmintica nennt, die Schutzheilige aller virtuellen Wurmkuren, sollte eigentlich wissen, was zu tun ist. Schließlich hat die selbsernannte Internet-Sicherheitspäpstin uns hier und anderswo lange genug mit ihren Wurmsicherheits-Vorschriften und -Belehrungen genervt. Deshalb kann ich auch überhaupt nicht verstehen, dass ausgerechnet SIE wurminfiziert sein soll!?! Die wird doch nicht einen Anlass suchen, die selbtgewählte Eremitage vorzeitig abzubrechen?

Na, dann gibt es wenigstens wieder Stoff für die Klatsche"

Reaktionen aus dem Publikum derer, die behaupten sich gut auszukennen und keine Informationen bezgl. Virenschutz zu benötigen.

Hallo Ihrs,

Würmer habe ich immer noch nicht, auch sonst keine Malware, aber dafür - seit vorgestern - einen zweiten Computer. Und damit komme ich endlich Deiner Aufforderung, lieber n_dot_force, das System meines eigentlichen Arbeitscomputers platt zu machen und neu aufzusetzen, nach.

Und hier nun das Logfile des HijackThis des zweiten Computers, den ich seit gestern ununterbrochen bearbeite, um ihn sicher und netztauglich zu machen:

Logfile of HijackThis v1.97.7
Scan saved at 4:31:18 AM, on 3/26/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SM56HLPR.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\TROJANCHECK 6\TCGUARD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\SOFTWARE\SECURITY PROGRAMMA\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http:///
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.nl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Taakcontrole] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SM56ACL] sm56hlpr.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAM FILES\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAM FILES\YAW 3.5\yawguard.exe"
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...070.5568981481

Kann ich
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
löschen? Welche Einträge erübrigen sich noch?
Wozu dient O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX ?

Ich habe ausserdem gestern die Festplatte mit Spybot - Search & Destroy gescannt und 185 + 5 verseuchte Dateieinträge entfernt ... Computerfachleute *fg* ... ich hab' diesen Computer aus der Hand eines (selbsternannten) Fachmanns relativ günstig erstanden.

Ich habe mir auch hier den Mozilla Firefox runtergeladen und verwende den IE auf diesem Computer garnicht mehr.

- noch eine nachgereichte Information zu der Wurmsache: bei der gefälschten Mailadresse handelt es sich um meine allgemein bekannte Hotmail-Adresse. -

[ 26. M&auml;rz 2004, 05:56: Beitrag editiert von: Shadowdance ]