| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: wurmWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.06.2004, 06:57
| #1 |
 |  wurm Hallo, guten Morgen heute morgen habe ich schon eine Mail bekommen die einen Anhang hatte. Kasperski findet in der Mail/dem Anhang den I-Worm.Sober.g ! Als Mailabsender war angegeben: <webmaster@fuet.uni-hildesheim.de> als Subjekt war angegeben: FwD: Mail_Fehler(Fehler:4325) Der Dateianhang hieß: EM.fuet.scr (49,7kb) Nachfolgend der Quellcode der Mail (den Mailanhang habe ich weggelassen): ================================================= Return-Path: <Webmaster@fuet.uni-hildesheim.de> Received: from webmaster.de ([195.185.195.35]) by mailin01.sul.t-online.de with smtp id 1BW3MQ-28Olyy0; Fri, 4 Jun 2004 03:19:06 +0200 From: Webmaster@fuet.uni-hildesheim.de To: arehm@t-online.de Date: Fri, 04 Jun 2004 01:07:18 UTC Subject: FwD: Mail_Fehler (Fehler: 4325) Importance: Normal X-Priority: 3 (Normal) X-MSMail-Priority: Normal Message-ID: <6fa9b8b047412d.5e660.qmail@fuet.uni-hildesheim.de> MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="=====338d31dbcf76.7d53aebb5" Content-Transfer-Encoding: 7bit X-Seen: false X-TOI-SPAM: n;0;2004-06-04T01:19:13Z This is a multi-part message in MIME format. --=====338d31dbcf76.7d53aebb5 Diese E-Mail wurde automatisch erzeugt. Weitere Informationen erhalten Sie unter http://www.fuet.uni-hildesheim.de ----- Folgende Fehler sind aufgetreten: 142.119.52.130_does_not_like_sender. % 317: mailbox_unavailable Ende der Mitteilung ----- Das diese E-Mail automatisch generiert wurde, darf aus Datenschutzrechtlichen Gründen die vollständige E-Mail nur angehängt werden. Wir bitten dies zu berücksichtigen. Auto-ReMail.System#: [fuet] --=====338d31dbcf76.7d53aebb5 Content-Type: application/octet-stream; name=EM.fuet.scr Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="EM.fuet.scr" =============================================== Kann jemand anhand dieses Textes sagen, wer der tatsächliche Absender der Mail ist? Vielen dank für die Mühe woodle
__________________ Sch.... Technik, früher war alles aus Holz |
|
04.06.2004, 07:26
| #2 |
  |  wurm W32/Sober-G ist ein Massmailing-Wurm, der sich an E-Mail-Adressen sendet, die er auf dem infizierten Computer aufgespürt hat. Wenn er gestartet wird, kopiert er sich in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, so dass er bei der Benutzeranmeldung automatisch gestartet wird:
__________________ohne das weiteranzusehen...wirst du scheinbar den ursprünglichen absender nicht finden...diese dinger verbreiten sich durch das adressbuch, auch wenn man selbst garnicht infiziert ist. (das heist im postfach hast du ihn schon, aber nicht am rechner aktiv) am besten sofort die mail löschen. ich selbst erhalte am tag bis zu 15 viren ins postfach, und erhalte auch infos ich habe einen verschickt. NEIN, nicht ich...sondern das macht der worm selber...  du kannst prüfen ob diese mailadresse existiert: Webmaster@fuet.uni-hildesheim.de wenn ja, kannst du eventuell dem webmaster informieren über dein erlebnis. das ist der trick: Das diese E-Mail automatisch generiert wurde, darf aus Datenschutzrechtlichen Gründen die vollständige E-Mail nur angehängt werden. Wir bitten dies zu berücksichtigen. wenn du den anhang EM.fuet.scr anklickst, bist du's! [ 04. Juni 2004, 08:31: Beitrag editiert von: rock' ] |
|
04.06.2004, 09:02
| #3 |
| /// Mr. Schatten   | wurm Einfach ungesehen löschen und NICHT ANTWORTEN!
__________________NICHT an die Mail-Adresse schreiben. Dem Webmaster interessiert dies überhaupt nicht, weil dies hunderttausendmal pro Tag passiert. Sollte die Mailadresse nicht existieren, bekommst Du nur wieder einen Bounce wegen Unzustellbarkeit. Bitte belaste das Mailsystem nicht noch weiter mit unsinnigen Mails, sofort und endgültig löschen.
__________________ |
|
04.06.2004, 13:19
| #4 |
| Moderator, a.D.  | wurm </font><blockquote>Zitat:</font><hr />Received: from webmaster.de ([195.185.195.35]) by mailin01.sul.t-online.de with smtp id 1BW3MQ-28Olyy0; Fri, 4 Jun 2004 03:19:06 +0200 </font>[/QUOTE]195.185.195.35 = Nacamar / Tiscali Die Wurm-Mail wurde also über einen Tiscali-Zugang versandt. Mehr kann man da nicht herausfinden. Wenn Du die Mails wiederholt und in großer Zahl von einer IP erhältst, kannst Du an abuse(at)b2b.tiscali.com schreiben, damit die ihren Kunden benachrichtigen. Manchmal hilft das. In dem Fall aber unbedingt den Header mitschicken. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
|
05.06.2004, 11:02
| #5 |
| | wurm Also ich habe die Mail gelöscht, natürlich ohne den Anhang zu öffnen (das Mailprogramm ist so eingestellt, daß ich den Anhang gar nicht öffnen kann) Ich dachte halt, weil diese Email in deutsch geschrieben war, eine Adressangabe irgendwas mit UNI-soundso hatte und sie durch meinen Spamfilter gerutscht war, daß sie vielleicht von jemandem stammen würde, der sie mir absichtlich geschickt hätte. Die Mail war ja nicht mal an meine Mailadresse geschickt. In dem Header habe ich nirgends meine Adresse gefunden (<To: arehm@t-online.de> kenne ich nicht). Eigentlich müßte ich mich beim Provider beschweren, daß die Mail überhaupt bei mir gelandet ist. Gruß woodle
__________________ Sch.... Technik, früher war alles aus Holz |
|
| Themen zu wurm |
| angegeben, angehängt, anhang, automatisch, dateianhang, e-mail, email, erhalte, erhalten, fehler, file, filename, generiert, gründe, gründen, guten, informationen, kasperski, mail, mailanhang, not, quellcode, smtp, unter, vollständige, webmaster |
Linear-Darstellung
