Der im Juni entdeckte Mail-Wurm "Yaha" verbreitet sich in einer neuen Variante.
Win32/Yaha.K zeichnet sich durch die gleichen Schadroutinen aus, er versucht
Antiviren-Software auszuhebeln und hängt sich so in das Windows-System, dass er vor dem
Start einer jeden .exe-Datei ausgeführt wird. Antiviren-Hersteller raten Anwender, ihre
Virensignaturen zu aktualisieren, da die neue Variante nicht unbedingt von alten
Signaturdateien erkannt wird.

Ein möglicher Grund für die erneute Verbreitung ist die Tatsache, dass Yaha.K so genannte
"malformed Attachments" verwendet: Manche Schutzsoftware sieht diese nicht
RFC-konformen Dateianhänge einfach nicht, während Outlook oder Outlook Express sie
problemlos öffnen oder ausführen. So scheitert die Unternehmenslösung MIMESweeper bei
der Erkennung dieser Attachments, wie im MIMESweeper-Forum beschrieben ist. Es gibt
zwar Workarounds wie die Erkennung über den Mail-Text oder Teile des encodierten Virus,
die aber zu Lasten der Scangeschwindigkeit gehen. Das Einspielen von neuen
Virensignaturen hilft hier erst einmal nichts. Vielmehr muss man auf einen baldigen Fix vom
Hersteller hoffen, der einen Mail-Anhang auch als solchen erkennt.

Hi,

jetzt frage ich mich, wie es möglich ist, daß ich exakt den obigen Text als Spam-Mail bekomme (Absender: "Service", Betreff: "Kundeninformation", einschließlich des Anhangs:

"Nähere Informationen zum Schutz vor Viren und Würmern, Links zu Herstellern von Antiviren-Software und zu kostenlosen Schutzprogrammen finden sich auf unserem Download Server.
Laden Sie sich jetzt die aktuelle Schutzsoftware runter"

Die angegebene URL, die auf den Downloadserver zielt, beginnt mit der IP 213.76.131.85. Ich konnte ermitteln, daß diese IP in Polen (Szczecin) ansässig ist und der Provider "pl.tpsa" ist.

Natürlich werde ich mich hüten, diese URL anzusurfen, es wäre schließlich nicht das erste Mal, daß man sich auf diese Art und Weise den Virus überhaupt erst auf die Festplatte holt.
Was mich wundert, ist jedoch die wortwörtliche Übereinstimmung des Textes.

Kann mir jemand etwas dazu erzählen??

Vielen Dank
fancy2

also ich hab diese meldung heute von einem freund bekommen, er hat mir keinen anhang da mitgeschickt, angeblich ist die meldung von TRIPOD(!!)an seine Benutzer rausgegangen,
ich hab ihm ne mail geschickt, ob in originalmail irgendwelchen anhang dran waren, so bald ich mehr weiss, schreibe ich hier rein!!!!!

solange oeffne keinen anhang und folge keine links die in dem email vorhanden sind!

Die Mail von fancy ist eine Spammail. Die Mail einfach löschen. Der Link wird wahrscheinlich nur mal wieder auf einen Dialer zeigen.

[ 12. Januar 2003, 20:53: Beitrag editiert von: [TB]Lucky ]

ja diese meldung bzw mail ist eindeutig ein spamm,
ich hab nicht die original mail bekommen, sonst hätte ich den inhalt der mail hier nicht gepostet

sorry

Hi cemosde,

sollte ja auch nicht heißen, daß du hier Spam postest! Entschuldigen brauchst du dich auf keinen Fall, deine Warnung hat ja völlig zurecht stattgefunden! Hab mich über diesen Virus etwas schlau gemacht, er scheint wirklich auf dem Vormarsch befindlich, obwohl ich bisher nur immer Klez-H bekomme, diesen dafür teilweise mehrmals täglich. Die Firma Sophos hat am 3. Januar sogar über die emergency-Liste eine Warnung vor Yaha-K herausgegeben.

Und mit Spam werde ich auch täglich zugeschüttet, so daß mich das auch schon fast nicht mehr stört. [img]graemlins/headbang.gif[/img]

Mich hätte nur interessiert, ob vielleicht noch jemand anderer diese merkwürdige Kombination aus realer Virenwarnung und frechem Download-Angebot erhalten hat.
Da ich auf solche URLs grundsätzlich nicht klicke, werde ich es wohl auch so schnell nicht erfahren, was man auf der angegebenen Seite findet ...........

Viele Grüße
fancy2

Von der gleichen IP bekomme ich auch Spam Mail's mit dem Betreff:
Es möchte dich jemand kennenlernen etc.

Ich habe die gleiche Spam-Mail erhalten, ebenfalls als Virenwarnung und mit Link auf einen polnischen Server.
Es handelt sich nicht um einen Einzelfall, es kommen täglich Mails dieser Art mit abweichendem Betreff. Vielleicht sollte man den Server mal mit Mails zumüllen (ja ich weiß, 1. tut man so was nicht und 2. wird dadurch nur die EMail-Adresse für Adresssammler bestätigt, also Gold wert). Aber manchmal nerven mich diese Kiddies mit ihren Viren und Dailern halt so, dass ich kurz vorm Ausrasten stehe.

Oberon

Der Text wurde von Heise.de geklaut, wie hier sehr gut zu sehen ist.
Ich hab gestern schon den Webmaster die Mail mit Header zugeschickt.