Hallo Community,

ich hoffe das mein Anliegen nicht bereits behandelt wurde, leider habe ich diesbezüglich nichts gefunden was meine Fragen beantwortet.

Es geht um den Sober.Q, also den der immer diese scheiss Propagandamails verschickt.

Heute morgen hatte ich auf der Arbeit in meinen 3 Accounts (info@ kundendienst@ und webmaster@ für den Bereich Beleuchtung) plötzlich ca. 200 Propagandamails. Kurz ma bei Google recherchiert und festgestellt, dass ich den Sober.Q mir eingefangen habe.

Irgendwann hatte ich dann auch 70x den Mailerdemon in den Info@-Postfach. Ich denke also, das mein PC halt an alle möglichen Leute die Mails verschickt hat und einige nicht zustellbar waren.

Wie macht das denn dieser Wurm ? Woher nimmt er die ganzen Adressen ? Ich benutze ein Mailprogramm namens Docuframe, was alle in der Firma (ca. 80 Mitarbeiter) nutzen um mit Kunden in Kontakt zu treten. Ich starte das Programm, logge mich ein (Login und Pass) und habe dann Zugriff auf alle Postfächer, nicht nur auf meinen Bereich Beleuchtung. Ich kann zwar nicht in den anderen Postfächern Mails löschen oder verschieben, aber ich kann alle mails lesen. Dies müsste der Wurm doch dann auch können, bzw. die Absenderadressen auslesen, oder ? Seltsamerweise kommt der ganze Mist aber nur auf meinem Account an. Bei Outlook, was wir meistens nur zur internen Kommunikation benutzen, ist auch nichts angekommen. Aber müsste Sober dort nicht auch aktiv werden ?

Ist eigentlich der Virus in jeder dieser Mails enthalten ? Zuhause auf meiner Adresse hab ich an und an mal irgendwas mit Viagra kaufen und so, aber ich hatte nicht einmal diesen Propagandascheiss. Auch nicht die Sache mit den WM-Tickets. Ich schicke mir an und an mal ein paar Sachen von der Arbeit nach Hause, meine Adresse ist also auf der Arbeit gespeichert.

Also wenn mir jemand erklären könnte wie der Sober das macht wäre ich sehr dankbar. Ihr braucht es auch nicht bis ins Detail zu erklären, falls Ihr denkt ich möchte Eure Informationen für eigene Würmer benutzen. Dies ist nicht der Fall. Ich wundere mich halt nur wieso nicht alle Accounts überflutet werden.

|ExTaSy|

Hallo |ExTaSy|,

nicht dein Rechner ist infiziert, sondern deine eMail Addy ist auf einem infizierten Rechner gespeichert und dieser 'Zombie' bombadiert dich nun mit dem Sober.Q.
Lösche die eMails kommentarlos ohne den Anhang zu öffen und hoffe darauf, daß der oder die infizierten Rechner baldmöglichst bereinigt werden.

btw:
Die Absender sind gefälscht.

Hallo |ExTaSy|,

im Grunde hat Cidre schon das Wichtigste erklärt.
Vielleicht hilft Dir zum besseren Verständnis folgender Link weiter:
http://www.bsi.de/presse/kurzmeldung/170505soberp.htm

Lass Dich aber durch die unterschiedlichen Bezeichnungen Sober.P oder Q oder U nicht verwirren. Es handelt sich jedes Mal um den gleichen Wurm.

Was da im Moment 'abgeht' passiert alles auf den Rechnern, die innerhalb der letzten 14 Tage nicht vom WM-Ticket-Wurm (Sober.O) bereinigt wurden.

Das einzig 'Gute' hieran ist, dass keine schädlichen Anhänge verschickt werden.

Wenn du zuviel Zeit hast, dann kannst du auch noch die ISPs der Wurmversender informieren. Das bringt manchmal was, aber beileibe nicht immer.
Am besten sprichst du darüber mit deinem Admin, denn dazu sollte man den Header der Mails richtig interpretieren können.

Gruß
Yopie

Ich hänge mal einen -wie ich finde- interessanten zusätzlichen Link an... http://www.heise.de/tp/r4/artikel/20/20105/1.html

Zitat:

Die rechtsradikale Wurm- und Virenschreiberszene ist wieder aktiv und lässt mit Hilfe der beiden Wurmprogramme Sober.P und Sober.Q eine rechtsradikale Spammailwelle durchs deutschsprachige Internet schwappen

Das ist einmal, wie ich finde, ein großer bullshit! Man kann doch nicht Menschen, die einige Strings in einem komplexen Code verändern, als Virenschreiber bezeichnen. Das sind nichts weiter als Trittbrettfahrer/Lamer/DAUs oder was auch immer...

"Die rechtsradikale Wurm- und Virenschreiberszene" <-- oh verdammt, wer etwas davon versteht, weiß wo das Oxymoron versteckt ist!

grüsse von einem Über heise sehr enttäuschtem Leser!

Super, vielen Dank für Eure Antworten.

Also gehe ich davon aus, das unsere Computer, auf dem das Mailprogramm installiert ist, mit dem Sober.WM-Ticket.Wurm infiziert ist/war, und dieser dann den Sober.Propaganda "nachgeladen" hat.

Die Idee den Admin zu kontaktieren ist gut, nur leider ist unser Admin mehr so der Typ der alles alleine kann und macht und auf Rätschläge etc. keinen Wert legt.

Sieht man unter anderem daran, dass der PC der als Mail-"Server" fungiert komplett über das Windowsnetzwerk freigegeben (c:\ d:\ cdrom etc) ist. Hab da heute mal geguckt und gesehen das die Herren Admins bereits von Symantec das Removal-Programm und Stinger drauf hatten.

Leider weiß ich nicht, welche Windowsversion dort läuft. Ich gehe davon aus das es NT sein wird, oder aber auch Win2k. Jedenfalls habe ich die smss.exe, csrss.exe und services.exe gefunden, welche ja laut www.Kaspersky.com den Wurmselbst enthalten.

Auf der Arbeit habe ich Win98 und zuhause XP, dort gibt es diese Dateien nicht. Werden die tatsächlich erst durch den Wurm erstellt oder gibt es eine Windowsversion welche diese selber beinhaltet ?

Für erneute Antworten wäre ich sehr dankbar,

|ExTaSy|

Zitat:

Zitat von |ExTaSy|

Also gehe ich davon aus, das unsere Computer, auf dem das Mailprogramm installiert ist, mit dem Sober.WM-Ticket.Wurm infiziert ist/war, und dieser dann den Sober.Propaganda "nachgeladen" hat.

Warum? Was genau hast du an "nicht dein Rechner ist infiziert, sondern deine eMail Addy ist auf einem infizierten Rechner gespeichert und dieser 'Zombie' bombadiert dich nun mit dem Sober.Q." nicht verstanden?

Dein Rechner empfängt doch Mails. Dafür, das er auch Spammails versendet, gibt es keine Anhaltspunkte.

Zitat:

Jedenfalls habe ich die smss.exe, csrss.exe und services.exe gefunden,

Unter %WINDIR%\Help\Help?

Gruß
Yopie

Hoppla, hab was vergessen.

Also das mit smss.exe etc. hat sich gerade geklärt, hätte vor dem posten mal google nutzen sollen, sorry. Nein, und im Help-Directory waren die auch nicht.

Aber trotzdem gehe ich davon aus das der Wurm da ist, weil ich habe alle Spammails gelöscht und normal weitergearbeitet. Irgendwann waren plötzlich wieder 70 neue mails da, aber diesesmal waren es nur 5 Propagandamails und 65x der Mailerdemon. Ich glaube dies kommt so das der Wurm halt X Mails verschickt hat und 65 davon halt nicht zustellbar waren und daher zurück kamen. Die Adressen wird er wahrscheinlich beim Scan von dem MailPC haben, denn dort sind locker über 10.000 Adressen drin.
Vorher hatte ich ja auch keinen Mailer-Demon. Ist aber ja auch klar, denn übers Wochenende und den Feiertag kann der PC ja nichts versenden da er gar nicht an war.

Sehe ich doch richtig, oder ?

|ExTaSy|

Hi,

auch ich sehe keinen Anhaltspunkt, dass ein PC bei Euch infiziert sein sollte!

Zitat:

...5 Propagandamails und 65x der Mailerdemon

Alles bisherige deutet daraufhin, dass Deine Mailadresse(n) auch als scheinbare Absender missbraucht werden. Das macht der Wurm nämlich. Du kannst in etwa davon ausgehen, dass jede Empfängeradresse auch irgendwo als scheinbare Absenderadresse auftaucht.

Diese '65 x Mailerdemon' deute ich mal als Unzustellbarkeitsmeldungen. Da ja die Mails scheinbar von Dir kommen, bekommst Du 'natürlich' auch die Rückmeldungen...

Ich hab dieses Problem auch. Wie bekommt man die IP heraus um den Absender Bescheid zu geben? Und wo kann ich die IP nachverfolgen?

Weil es ist doch sehr lästig mit den Mails.

Poste mal die Header einer E-Mail.

http://www.th-h.de/faq/headerfaq.php

Gruß
Yopie

das?

Return-path: <xxx>
Delivery-date: Wed, 18 May 2005 20:40:18 +0200
Received: from [xxxxxxxx] (xxxxxxxxx)
by xxxxxxxxxxx with esmtpa (ID exim) (Exim 4.51 #12)
id 1DYTSs-0003CF-LQ
for xxx; Wed, 18 May 2005 20:40:18 +0200
Received: from xxxxxxxxx ([xxxxxxxxxxxxxxxx)
by xxxxxxxxxxwith smtp (Exim 4.51 #1)
id 1DYTSr-0003QT-8h; Wed, 18 May 2005 20:40:17 +0200
From: xxx
To: xxx
Date: Wed, 18 May 2005 18:35:30 GMT
Subject: Multi-Kulturell = Multi-Kriminell
Importance: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Message-ID: <xxx>
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset="us-ascii"
X-Warning: netscape.com is listed at abuse.rfc-ignorant.org
Delivered-To: xxx
Envelope-to: xxx
X-Warning: Message contains Spam signature (149285::050518204018-3006-6D64B0D1)

Bitte editiere das Posting und entferne dort die Mail-Adressen!

Zitat:

Received: from xdsl-213-196-212-167.netcologne.de ([213.196.212.167] helo=yqojsojqv.com)

213.196.212.167 unter http://www.iks-jena.de/cgi-bin/whois nachgeschaut:

Zitat:

inetnum: 213.196.212.0 - 213.196.212.255
netname: NC-DIAL-IN-POOL
descr: dynamic xDSL IP Pool
descr: Netcologne GmbH
descr: Maarweg 163
descr: D-50825 Koeln
country: DE
admin-c: NC1424-RIPE
tech-c: NC1424-RIPE
status: ASSIGNED PA
mnt-by: NETCOLOGNE-MNT
remarks: INFRA-AW
remarks: + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
remarks: + abuse[at]netcologne.de is contact for criminal use, spam, etc. +
remarks: + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
source: RIPE # Filtered

Gruß
Yopie

Danke, und was kann ich jetzt damit machen?