Hi - ich bekam heute eine Mail, deren Anhang "sample.pif" der NAV sofort isolierte. Schaute nach - es war der W32.Sobig.A@mm Virus.
In den Eigenschaften der Mail konnte man, die IP-Adresse des Absenders big@boss.com sehen 145.253.176.2. - siehe auch unten.
Diese habe ich mit geeigneter Software zurückverfolgt und kam zur Firma icido Gmbh Stuttgart - ist diese nun der Verursacher? Steht diese Firma hinter big@boss? Habe leider keine Erfahrung in solchen Dingen, aber langsam stinkts mir.
Gruß Aelita
_______
X-Envelope-From: <big@boss.com>
X-Envelope-To: <mail@a-elita.de>
X-Delivery-Time: 1043136045
Received: from BLUBIDO (anubis.icido.de [145.253.176.2])
by mailin.webmailer.de (8.9.3/8.8.7) with ESMTP id JAA19171
for <mail@a-elita.de>; Tue, 21 Jan 2003 09:00:45 +0100 (MET)
From: big@boss.com
Message-Id: <200301210800.JAA19171@mailin.webmailer.de>
To: <mail@a-elita.de>
Subject: Re: Movies
Date: Tue, 21 Jan 2003 9:04:27 +0100
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="CSmtpMsgPart123X456_000_000E9863"

_________________

[ 21. Januar 2003, 10:28: Beitrag editiert von: Aelita ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Aelita:
....und kam zur Firma icido Gmbh Stuttgart - ist diese nun der Verursacher? Steht diese Firma hinter big@boss?
.</font>[/QUOTE]...........wohl kaum. Entweder wird nur deren Adresse benutzt oder ihr System ist mit dem Virus infiziert.
Wenn Du weiß wer es ist hast Du ja wohl auch die Kontaktadresse von deren Admin. Schreib ihm doch mal ein freundliche Mail oder ruf ihn an und mache ihn auf diese Sache aufmerksam. Wahrscheinlich weiß er noch nicht mal dass sein System mißbraucht wird.

Cu.

[ 21. Januar 2003, 10:37: Beitrag editiert von: LonesomWolf ]

Hi Aelita..

hier findest Du eine Beschreibung von W32/Sobig.A

und hier bei Rokop-Security kannst Du das Removal-Tool von Bitdefender herunterladen.

(Editas Prob ist der Wurm liest sich die E-mail-Adressen aus einem infizierten PC aus und versendet sich automatisch aber auch willkürlich weiter, der Absender dieser Firma ist wie Lonesome Wolf schon sagt eher selbst infiziert .. Edit-ende

greetz fish

[ 21. Januar 2003, 10:45: Beitrag editiert von: fish ]

Danke - ich schrieb schon nach Stuttgart - mal sehen. Und ein revomaltool brauch ich sicher nicht - er ist isoliert. Die Datei Winmgm32.exe an der man eine Infizierung erkennen soll gibts auch nicht auf meiner Platte. Glück gehabt.
Aber wie soll meine email-addi in die Adressdateien einer solchen firma kommen? hm - sehr mysteriös. Gruß Aelita

[ 21. Januar 2003, 10:47: Beitrag editiert von: Aelita ]

hier ist eine detailierte info über sobig (in englisch):
http://www.viruslist.com/eng/viruslist.html?id=58906

[edit]
ok... a little 2 late... (ich sollte doch nicht gleichzeitig kernel-kompilieren und posten *g*)
[/edit]

[img]graemlins/teufel3.gif[/img]

[ 21. Januar 2003, 10:50: Beitrag editiert von: n_dot_force ]

Hmm ich denke, das einer deine Mail auf dem System hat, der auch infiziert ist. Da der Virus die Adressen "sammelt" sag ich mal, kombiniert der einfach. Manchmal ist es auch so, das man einfach per Zufall eine Mail erhält.

Hi Aelita,

an e-mail-Adressen zu kommen ist heute leider nicht mehr sooo schwierig.. z.B. Versandhäuser, Newsletter, E-bay ... oder einfach auch bei irgendwelchen Bekannten.
Sobald Du in dem Adressbuch von jemandem oder einer Firma landest und dieser PC dann infiziert wird, ist es oft ein Merkmal der Würmer diese Daten auszulesen und zu verwenden, zum einen als Adresse .. aber leider auch wie bei Klez passiert, dann genauso willkürlich als gefälschte Absenderadresse.

fish

(edit- sorry... die Grammatik und ich [img]graemlins/crazy.gif[/img] edit-ende)

[ 21. Januar 2003, 11:01: Beitrag editiert von: fish ]

</font><blockquote>Zitat:</font><hr />Original erstellt von Aelita:
...
X-Envelope-To: &lt;mail@a-elita.de&gt;...
</font>[/QUOTE]Hallo Aelita,

ist aelita.de deine Webseite und hast Du dort irgendwo die mail-adresse mail@a-elita.de hinterlegt??
Dann braucht also "nur" jemand infiziertes mal deine Seite besucht haben, oder dich sogar im mail-adress-buch gespeichert haben und schon ist's passiert.
Die Fa. Icido ist wohl wirklich eher Opfer denn Täter. Wobei man durchaus der Meinung sain kann, das ungeschütztes surfen&mailen auch eine gewisse Mitverantwortlichkeit mit sich bringt. Aber die Adresse big@boss.com ist definitiv ein Fake und uns im Betrieb schon von diversesten Mailclients untergekommen. Am besten alles was von big@boss.com kommt gleich auf dem Server löschen...

tschööö, DerBilk

Hab letztens auch den Sobig bekommen, Absende-IP war das Rechenzentrum meiner Uni. Die haben sich nett bedankt für meine Nachricht und den Wurm aus ihrem Netz verbannt.

</font><blockquote>Zitat:</font><hr />Original erstellt von DerBilk:
Hallo Aelita,

ist aelita.de deine Webseite ... ?</font>[/QUOTE]Klick mal auf das Häuschen bei ihrem Posting. [img]tongue.gif[/img]

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie:
Hab letztens auch den Sobig bekommen, Absende-IP war das Rechenzentrum meiner Uni. Die haben sich nett bedankt für meine Nachricht und den Wurm aus ihrem Netz verbannt.
</font>[/QUOTE]Hi Yopie.. [img]smile.gif[/img]

das mit dem Rechenzentrum der Uni find ich interessant.. - als ich nämlich das erste Mal nach diesem Wurm geguckt hab, bzw. wo der wohl auftaucht fand ich ohne Ende Meldungen verschiedener Camp.. -usse (?).. -i (?) (wie heißt bloß der Plural ) in den USA verteilt, Australien und NewZealand.. - als wenn er sie sich da durch die Adressbücher aller Studenten gelesen hätte

fish

</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie:
Klick mal auf das Häuschen bei ihrem Posting. [img]tongue.gif[/img] </font>[/QUOTE]@Yopie:
OK - sagen wir, meine Frage war eher rethorischer Natur...

tschööö,
DerBilk [img]graemlins/daumenhoch.gif[/img]

Vielen Dank für Eure Postings. [img]graemlins/heulen.gif[/img] Ja - ihr habts gesehen - hab gestern meine Seite vollkommen vom Server gelöscht. Nun arbeite ich mit Hochdruck - soweit es Mr. Parkinson zulässt - am neuen Layout. Wär nett wenn Ihr dann mal vorbeischauen würdet. Gibt auch Spiele dort, nicht so clevere wie dieses hier, aber auch nicht zu verachten. Einsteinrätsel ist ebenfalls nicht schlecht.
Nun diese Firma, die mir den Virus schickte, hat noch nicht geantwortet - das wiederum find ich nicht so nett.
Gruß AELITA

[ 22. Januar 2003, 17:25: Beitrag editiert von: Aelita ]

Tja ich habe mir diesem Wurm auch so meine Probleme. Zuerst einmal das, was mein Virenscanner, Norton Antivirus 2003 etwa jede 30 Sekunden findet und löscht und was immer wieder da ist und auch nach einer kompletten Durchsuchung der Festplatte nicht aufspürbar ist:

Quelle: C:\DOKUME~1\Holger\LOKALE~1\Temp\CC148.tmp
Klicken Sie hier, um weitere Informationen über diesen Virus zu erhalten: W32.Sobig.A@mm.enc

Wobei es scheint als wenn die tmp datei immer zunimmt, also als nächstes müsste er den wurm in cc149 finden.

Ich habe schon alles versucht dieses ding los zu werden weil alleine die Warnmeldungen lassen einen ja schon nicht mehr arbeiten, da frage ich mich was schlimmer ist.

Mit besten Grüßen
Holger

Vielleicht solltest Du dann "Herrn Norton" mal auf die Sprüge helfen.
Such doch einfach mal selber nach folgenden Registry Einträgen:

Es werden die Kopien WINMGM32.EXE und SNTMLS.DAT im Windowsordner generiert und
folgende Schlüssel in der Registrierung erstellt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = C:\WINDOWS\winmgm32.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WindowsMGM" = C:\WINDOWS\winmgm32.exe

[ 28. Januar 2003, 11:36: Beitrag editiert von: LonesomWolf ]

na ich bin ja mal gespannt ob das helfen könnte.
Nur wenn das nen wurm ist wieso wird der dann nicht erkennt, und zwar weder von norton noch von dem angeblichen suchprogramm hier weiter oben im treat