|
Moin, im Moment wahnen alle Bigplayer im AV-Geschäft vor einem neuen Wurm namens W32.Swen.A@mm Alias: Gibe.C, I-Worm.Swen, Swen, W32/Gibe-F, W32/Gibe.C.worm, W32/Gibe.e@MM , W32/Gibe@MM.e, W32/Swen.A@mm, Win32.Swen.A, WORM_SWEN.A Kaspersky schrieb heute nachmittag schon von 30.000 infizierten Rechnern. Wenn das stimmen sollte, gibts es in den nächsten Tagen wieder 'Spaß'.... Zum Wurm selbst: </font><blockquote>Zitat:</font><hr />W32.Swen.A@mm is a mass-mailing worm that sends itself to all addresses in a user's Microsoft Outlook address book. Its messages may appear to be a security patch from Microsoft or a qmail delivery failure notice. Some of the messages may attempt to exploit an Internet Explorer vulnerability. It may also propagate through file-sharing networks, network shares, and IRC.</font>[/QUOTE]Hier noch ein paar Links: Computer Associates Win32.Swen.A http://www3.ca.com/virusinfo/virus.aspx?ID=36939 F-Secure Swen http://www.europe.f-secure.com/v-descs/swen.shtml McAfee W32/Swen@MM http://vil.nai.com/vil/content/v_100662.htm Symantec W32.Swen.A@mm http://www.symantec.com/avcenter/ven...swen.a@mm.html Trend Micro WORM_SWEN.A http://www.trendmicro.com/vinfo/viru...me=WORM_SWEN.A Panda Software Gibe.C http://www.pandasoftware.com/virus_i...s=40743&sind=0 Norman W32/Swen.A@mm http://www.norman.com/virus_info/w32_swen_a_mm.shtml tschööö, DerBilk |
Jawohl, gleich 5x hab ich ihn erhalten, normalerweise werde ich verschont... Ich muss zugeben beim gefälschten Microsoftmail haben sie sich Mühe gegeben! Robi |
...ja da machen die AV Hersteller wieder ein Großes Geschäft damit, wenn sie das alles richtig einarbeiten in ihre VIRENdef´s, so das dann das betroffene System auch wirklich sicher, und die Dateinen die wo der Virus/Wurm befallen hat auch wirklich wieder zu gebrauchen sind [img]graemlins/aplaus.gif[/img] Hoffentlich gibt es ein GUTES AV Programm das daß Malware richtig von einem System etfernen kann, so das daß System ansich wieder laufen tut, und auch die Applikation, usw wieder hergestellt ist. [img]graemlins/teufel3.gif[/img] TrojanerHunterNEW |
....und ich wieder nix.... [img]graemlins/heulen.gif[/img] Irgendwie frage ich mich, warum Newsletter eigentlich nicht PGP-unterschrieben verschickt werden. Beim Kaspersky-VirenNews die "Sicherheitsregeln" sind ja nachgerade albern... Da war doch seinerzeit mal der spezielle "Trojaner-Info-Wurm"... das war ja auch so ein Ding. Ein kleines "-----BEGIN PGP MESSAGE-----" über dem Text kann doch nichts schaden? und obendrein bringt das Autentifizierung/Verschlüsselung vielleicht einem größeren Personenkreis näher. ;) Gruß Hendrik *immer-weiter-warte-auf-Glück-per-eMail* [img]graemlins/lach.gif[/img] |
Hab auch nur einen verunglückten bekommen. Das Attachement war leer. Aber früher oder später werden bei mir sicher auch "gesunde" aufschlagen. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Ich will auch mal wieder !!! in meinen Spamfiltern hab ich soviel geblockt, u.a. TLDs so dass da wohl wieder nix bei mir ankommt.. [img]graemlins/crazy.gif[/img] :rolleyes: [img]graemlins/headbang.gif[/img] |
Trotz Namensähnlichkeit, ich habe nix damit zu tun... ;) |
Tipp: In diversen Newsgroups posten. Dann klappt's auch mit dem Wurm! ;) |
</font><blockquote>Zitat:</font><hr />Original erstellt von mmk: Tipp: In diversen Newsgroups posten. Dann klappt's auch mit dem Wurm! ;) </font>[/QUOTE]Jau, jetzt merk ichs auch. Gleich 2 mal samt zugehörigem Bounce an meine Usenet-Adresse. Gibts schon irgendwas einzigartiges im Header, wonach man filtern kann? Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
</font><blockquote>Zitat:</font><hr />Da war doch seinerzeit mal der spezielle "Trojaner-Info-Wurm"... das war ja auch so ein Ding. Ein kleines "-----BEGIN PGP MESSAGE-----" über dem Text kann doch nichts schaden? und obendrein bringt das Autentifizierung/Verschlüsselung vielleicht einem größeren Personenkreis näher. </font>[/QUOTE]Schaden sicherlich nicht. Aber wieviele Empfaenger (bei einem Newsletter) werden die Signatur wohl ueberpruefen ? Ich tippe nicht mal ein Prozent. Also bringt das so gut wie nix, da man eine beliebige Signatur reinpacken koennte, die kaum jemand ueberpruefen wird. Sieht halt nur wichtiger aus. Ist meine Meinung dazu. Da finde ich meinen Text in der Signatur (die also unter jeder Mail steht) schon sinnvoller und effektiver. Wobei natuerlich immer noch Scherzkekse auch DAS faelschen (oder eben einfach dann weglassen) und trotzdem einen Wurm dranhaengen koennte, keine Frage. Hinweis steht sogar in unserem Impressum. ************************************************** HINWEIS: Wir von Trojaner-Info werden niemals unaufgefordert Personen Programme oder sonstige Dateien per E-Mail uebermitteln. Sollte jemand derartige E-Mails unter unserem Absender erhalten, bitte umgehend an uns weiterleiten und niemals den Dateianhang oeffnen. ************************************************** Gruss Eisi ;) P.S. Weitere Infos zum neuen Wurm auch H I E R |
</font><blockquote>Zitat:</font><hr />Original erstellt von Eisbaer: Weitere Infos zum neuen Wurm auch H I E R </font>[/QUOTE]Moin Eisi, ist zwar nicht übermäßig wichtig, aber der folgenden Aussage in Eurer 'Warnung' kann ich nicht ganz zustimmen: </font><blockquote>Zitat:</font><hr /> Dateianhang: Stets ist der Wortlaut "patch.exe" oder "install.exe" enthalten. Der Wurm generiert hinter den Begriff noch eine Zahl (z.B. "install897.exe) </font>[/QUOTE]In unserer Quarantäne steckte Swen in einer Datei namens fkrgkfc.exe. Solche kryptische Dateinamen sollte allerdings wohl erst Recht niemand öffen?!?.... ;) tschööö, DerBilk |
Ich hab eben in mein Postfach geschaut. Circa 30 dieser Mails erhalten. Die angehängten Dateinamen stimmen nicht ausschließlich mit den angegeben überein. Hab die Mails wieder gelöscht. Irgendwer in meiner "Umgebung" hat wohl ein Problem mit dem Ding... [img]graemlins/kloppen.gif[/img] |
|
Hi Leutz! Meine Swen-Mails hören nicht auf. Ich erhalte etwa 2 bis 3 Mails pro Stunde. Ich hab eben eine Warnung an einige meiner Mail-Fans geschrieben. Kann ich noch irgendwas tun, um die Mail-Masse zu beenden? Der gmx-Filter ordnet die Mails leider nicht als Spam ein... |
GMX bietet das Einrichten individueller Filterregeln. Lass doch einfach Mails, deren Betreff Microsoft, Critical usw. enthält, löschen. |
ich habe gmx promail und so eingestellt das infizierte mail autom. gelöscht werden . diesen monat nur 1 , letzten monat 2 - kann ich wohl zufrieden sein ... [img]graemlins/huepp.gif[/img] @someboy : </font><blockquote>Zitat:</font><hr /> Meine Swen-Mails hören nicht auf. Ich erhalte etwa 2 bis 3 Mails pro Stunde. Ich hab eben eine Warnung an einige meiner Mail-Fans geschrieben. Kann ich noch irgendwas tun, um die Mail-Masse zu beenden? Der gmx-Filter ordnet die Mails leider nicht als Spam ein... </font>[/QUOTE]nicht als `spam` einordnen sondern löschen lassen !!! </font><blockquote>Zitat:</font><hr />In dieser Einstellung ist Ihr Postfach geschützt! Sollte der GMX Virenschutz in einer eingehenden e-mail einen Virus finden, wird die Mail sofort gelöscht und Sie erhalten eine entsprechende Benachrichtigung. Wenn die verdächtige Mail nicht gelöscht werden soll, können Sie unter folgenden Optionen wählen.. </font>[/QUOTE] [ 19. September 2003, 15:07: Beitrag editiert von: Nangie ] |
Hallo IRON </font><blockquote>Zitat:</font><hr />...Lass doch einfach Mails, deren Betreff Microsoft, Critical usw. enthält, löschen...</font>[/QUOTE]...hmm, so einfach ist es auch nicht: aus den 6 in meines Postfach eingegangenen Mails mit Swen war es nur eine von "Micorosoft", noch eine angeblich "unzustellbare" - mit dem klar sichtbaren Attachment-Symbol, die alle anderen angeblich "unzustellbaren" - hatten gar nix, als Attachment (Nur-Text Ansicht bei Thunderbird). Kann sein, eine Modifikation ... |
Doch, es ist so einfach....deshalb steht ja in meinem Posting auch USW (und so weiter), was so viel bedeutet wie: Lies dir die Wurmbeschreibung durch, entnimm ihr relevante Betrff-Schlüsselwörter und bau die in den Filter ein. Wahlweise könnte man auch noch ab einer bestimmten Größe der Mail filtern, z.B. ab 30 KB. Hier noch mal im Überblick: Sender name (consists of several parts): 1. Microsoft MS 2. (may not be used) Corporation 3. (may not be used) Program Internet Network 4. (always included with part 3) Security 5. (may not be used) Division Section Department Center 6. (may not be used) Public Technical Customer 7. (may not be used) Bulletin Services Assistance Support For example: Microsoft Internet Security Section MS Technical Assistance Sender address (consists of 2 parts): * before "@": random sequence (example: tuevprkpevcg-gxwi@, dwffa@); * after "@": consists of 2 parts (though only one may be used): 1. news newsletter bulletin confidence advisor updates technet support 2. msdn microsoft ms msn For example: "newsletter.microsoft" or simply "support". If two parts are used, then they are separated by ".", or "_". After the "." the domain is either "com" or "net". Subject (consists of various parts): 1. Latest New Last Newest Current 2. Net Network Microsoft Internet 3. Security Critical 4. Upgrade Pack Update Patch Body: MS Client (Consumer,Partner,User - chosen at random) this is the latest version of security update, the "September 2003, Cumulative Patch" update which resolves all known security vulnerabilities affecting MS Internet Explorer, MS Outlook and MS Outlook Express. Install now to protect your computer from these vulnerabilities, the most serious of which could allow an attacker to run code on your system. This update includes the functionality = of all previously released patches. System requirements: Windows 95/98/Me/2000/NT/XP This update applies to: - MS Internet Explorer, version 4.01 and later - MS Outlook, version 8.00 and later - MS Outlook Express, version 4.01 and later Recommendation: Customers should install the patch = at the earliest opportunity. How to install: Run attached file. Choose Yes on displayed dialog box. How to use: You don't need to do anything after installing this item. Signature: Microsoft Product Support Services and Knowledge Base articles = can be found on the Microsoft Technical Support web site. http://support.microsoft.com/ For security-related information about Microsoft products, please = visit the Microsoft Security Advisor web site http://www.microsoft.com/security/ Thank you for using Microsoft products. Please do not reply to this message. It was sent from an unmonitored e-mail address and we are unable = to respond to any replies. ---------------------------------------------- The names of the actual companies and products mentioned = herein are the trademarks of their respective owners. Attachment name: patch[random number].exe install[random number].exe The actual content of the body may be less complicated, depending on various circumstances. * The Subject may contain: Letter Advise Message Announcement Report Notice Bug Error Abort Failed User Unknown * The body may contain: Hi! This is the qmail program Message from [random value] I'm sorry I'm sorry to have to inform that I'm afraid I'm afraid I wasn't able to deliver your message to the following addresses the message returned below could not be delivered I wasn't able to deliver your message to one or more destinations [ 19. September 2003, 17:44: Beitrag editiert von: IRON ] |
Hi Leutz! Ich will ehrlich gesagt kein Filter auf diese Mails setzen, sondern ich will, daß der Absender dafür sorgt, daß "sein" Wurm abgestellt wird. Kann ich irgendwie herausfinden, über welche Adresse die Mails wirklich kamen, anstatt der gefäkten MS-Adressen? |
@someboy: Ja das kannst du. Zum einen brauchst du ein Programm, mit dem du dir dn kompletten Mail-Heeader ansehen kannst, wie z.B. den Magic Mail Monitor. Danach liest du dir am Besten die FAQ in meiner Signatur durch. ciao |
Würde das Programm so gut sein, würdest du schon rausgefunden haben wer die Mails verschickt und ihn anzeigen. |
Tuvok ich nehme doch an, daß der Wurm von irgendjemand geschickt wird, der keine Ahnung hat, daß er den Wurm hat... Den will ich gar nicht anzeigen... |
</font><blockquote>Zitat:</font><hr /> Return-Path: <fandgwilson@charter.net> X-Flags: 0000 Delivered-To: GMX delivery to xxxxx@gmx.de Received: (qmail 22046 invoked by uid 65534); 21 Sep 2003 17:34:11 -0000 Received: from remt25.cluster1.charter.net (EHLO remt25.cluster1.charter.net) (209.225.8.35) by mx0.gmx.net (mx018) with SMTP; 21 Sep 2003 19:34:11 +0200 Received: from [68.119.222.53] (HELO wfylz) by remt25.cluster1.charter.net (CommuniGate Pro SMTP 4.0.6) with SMTP id 167229215; Sun, 21 Sep 2003 09:50:45 -0400 FROM: "MS Net Message Storage System" <mailerrobot@microsoft.com> TO: "Email Client" < > SUBJECT: failure report Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="aftpmacfuro" Date: Sun, 21 Sep 2003 09:50:45 -0400 Message-ID: <auto-000167229215@remt25.cluster1.charter.net> X-GMX-Antivirus: -1 (not scanned, may not use virus scanner) X-GMX-Antispam: 0 (Mail was not recognized as spam) </font>[/QUOTE]Was soll ich deiner Meinung nach mit so nem Header anfangen? |
whois ergibt: Suchbegriff: 209.225.8.35 Adresse: rwhois.exodus.net:4321 Suchergebnis: %rwhois V-1.5:001ab7:00 rwhois.exodus.net (Exodus Communications) network:Class-Name:network network:Auth-Area:0.0.0.0/0 network:Network-Name:209.225.8.0 network:IP-Network:209.225.8.0/24 network:Organization;I:Charter Communications Holding Company ,LLC network:Name;I:Abuse Department network:Email;I:abuse@charter.net network:Street;I:12405 Powerscourt Drive network:City;I:ST. LOUIS network:State;I:MO network:Postal-Code;I:63131 network:Country-Code;I:USA network:Class-Name:network network:Auth-Area:0.0.0.0/0 network:Network-Name:209.225.0.0 network:IP-Network:209.225.0.0/18 network:Organization;I:Exodus IDC - DC/DC2 network:Name;I:Exodus IP Address Administrator network:Email;I:ipaddressadmin@exodus.net network:Street;I:45901 Nokes Blvd network:City;I:Sterling network:State;I:VA network:Postal-Code;I:20164 network:Country-Code;I:USA %ok |
Imho ist der Return-Path nicht gefälscht. Man kann also den Virenversender anschreiben. Meistens misslingt dies aber, da die Mailboxen voll sind. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
@Someboy: Wichtig ist nur diese Zeile </font><blockquote>Zitat:</font><hr />Received: from [68.119.222.53] (HELO wfylz)</font>[/QUOTE]Der Server hat sich als "wfylz" vorgestellt, trägt aber die IP 68.119.222.53. Hier ist also der fake, das was danach kommt ist höchstwahrscheinlich integer. 'nslookup 68.119.222.53' ergab folgendes: Routenverfolgung zu cm-68-119-229-053.ashe.nc.charter.com 1 18 ms 14 ms 13 ms jetz-r02-J-lo0.jetz.iks-jena.de [217.17.198.172] 2 32 ms 14 ms 14 ms c7200-fe002.jetz.iks-jena.de [217.17.194.142] 3 15 ms 20 ms 14 ms jetz-bgp-fe00.jetz.iks-jena.de [217.17.194.140] 4 35 ms 36 ms 37 ms fe4-0v5.gw01-CHE.eastlink.de [213.187.72.166] 5 34 ms 32 ms 32 ms pos1-1-0-gw01-LPZ.eastlink.de [213.187.72.69] 6 37 ms 43 ms 32 ms pos2-0-gw01-FFM.eastlink.de [213.187.72.145] 7 50 ms 42 ms 50 ms 208.175.236.25 8 37 ms 45 ms 36 ms bcr2.Frankfurt.cw.net [166.63.194.62] 9 130 ms 128 ms 127 ms dcr1-loopback.NewYork.cw.net [206.24.194.99] 10 130 ms 126 ms 127 ms cw-gw.n54ny.ip.att.net [192.205.32.197] 11 137 ms 133 ms 127 ms tbr2-p011601.n54ny.ip.att.net [12.123.3.61] 12 130 ms 135 ms 129 ms tbr2-cl1.wswdc.ip.att.net [12.122.10.54] 13 147 ms 144 ms 146 ms tbr1-p013801.attga.ip.att.net [12.122.10.70] 14 146 ms 153 ms 149 ms gbr5-p20.attga.ip.att.net [12.122.12.22] 15 145 ms 146 ms 150 ms gar2-p360.attga.ip.att.net [12.123.21.73] 16 150 ms 146 ms 150 ms 12.124.58.106 17 * * * Zeitüberschreitung der Anforderung. Das Teil kommt also irgendwie aus den USA, aber mehr lässt sich dazu auch nicht sagen. ciao |
kurzgesagt Header auswertung bringt nichts... zumal ich keinen in USA kenne... |
Return-Path: <fandgwilson@charter.net> Diese Adresse ist möglicherweise der Versender. Bislang hab ich jedenfalls noch nicht gelesen, dass dieser Header gefälscht wird. Der Wurm besorgt sich E-Mail-Adressen u.a. aus dem Usenet; von dort werde ich "vollgeschissen". Die Absender kenne ich natürlich auch nicht. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
2 Mails die eben von 3 in meinem Postfach lagen, hatten den gleichen ReturnPath. Meinste damit ist deine Theorie bestätigt? Aber was tun? Man kann doch nicht alle 100-300 Mails pro Tag durchforsten und ne Warn-Mail vor Swen schreiben... |
Hallo Yopie, GMX bietet erweiterte Filtereinstellungen. Mein Vorschlag zum Filtern : Mails deren Header der RegExp "<IMG SRC=" entspricht oder der RegExp "X-RBL-Warning" entspricht oder der RegExp oder RegExp "iframe" entspricht oder "<$randomfroms>" enthält oder der RegExp "(.*?(@.*?)" entspricht oder#UNKNOWN_CONDITION# oder "Received: from unknown" enthält oder "oder der RegExp "(?i)[^aeiyou]{6,}.*@" entspricht ... ... in Ordner "Spamverdacht" verschieben. Filterbearbeitung für diese Mails beenden. ich verwende diese Filter mit guten Ergebnissen, den Spamfilter bei GMX habe ich auf hoch gestellt und mir bekannte Adressen sind in der Whitelist, es grüßt der OlleKater |
Yopie: Mal was zum return-path: </font><blockquote>Zitat:</font><hr />Diese Zeile sollte, wenn sie existiert, ganz am Anfang der E-Mail stehen. Sie enthält den Envelope-From (also die Absenderangabe aus dem SMTP-Umschlag), die - wir erinnern uns - beliebig angegeben werden kann. Bringt für eine Rückverfolgung also herzlich wenig.</font>[/QUOTE]Da aber die Mail auf @charter.net endet, und dein gmx-server die Mail vom Server remt25.cluster1.charter.net erhalten hat und sich dieser sogar als authentisch erwiesen hat, wird die im returnpath angegebene eMail-Adresse wohl stimmen. ciao |
Und was machen leute die bei www.chello.at sind und per webmail die ganzen Mails sehen und löschen können, und nicht wollen das sie überhaupt zu löschen sind sondern gar nicht ankommen ? |
Ja, kommt hin. Der Wurm kommt immer im Doppelpack. Zum einen der gefälschte Patch von MS, dann eine gefälschte Bounce-Nachricht, die den IFrame-Bug bei ungepatchten OEs ausnutzt. Aber Du hast Recht, man kann wirklich nicht alle anschreiben. Bei den meisten ist das Postfach mittlerweile eh abgesoffen. Aber vielleicht kann man das ja irgendwie automatisieren? Ansonsten versuchen zu filtern (z.B. direkt bei GMX, spart Traffic) und aussitzen. Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
Na endlich!!! [img]graemlins/huepp.gif[/img] ich hab' auch einen gekriegt... wenn der "Return-path:" stimmt ist der von mainem Ex-Anwalt [img]graemlins/pfui.gif[/img] Hendrik |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board