gestern abend ging mir ein liebevoll gestalteter
Beitrag irgendwoll im All verloren....ploetzlich
befand ich mich in einem time-warp und was ich
sah waren Foren Themen von vor fast 2 Jahren.....

Naja, wie das halt so ist mit der Technik..
..der Mensch
bildet sich ein die Sache erfunden und im Griff zu
haben...aber die Technik hat gelegentlich so eine
Art und Weise zu tun was ihr passt - ohne gross
erlaubnis einzuholen vorher.

so habe ich mich ueber die verschwendete Zeit
geaergert - die nun resultatslos war - und das war's
fuer mich!
No big Deal!= Kein Ding!

Aber heute abend, nach einem langen arbeitstag
endlich der Welt entronnen, freute ich mich auf
e-mails von familie, freunden, bekannten, den gelegentlichen wirklich guten witz....ihr kennt das alle!

Was ich bekam waren nicht wenigers als 30 oder so
e-mails von Gott=Weiss=Wem!!!

Alle hatten als Ueberschrift entweder:
Thank You
Approved
My Details
..oder
That Movie

zumindest einer davon kam von einem ST Mitglied -
ALLE kamen aus Deutschland.

beim Oeffnen (ha - ha - ha ich habe einen Mac und
brauche mir wegen Viren keinen Kopp zu machen)
stand in ALLEN der gleiche Text:

Please see attached File for Details.......
Bitte Anhang oeffnen fuer Einzelheiten!

Alle Anhaenge waren gleich:
thank_you.pif

Neugiershalber...konnte ich den .pif nicht oeffnen.

Ich habe absolut Null Ahnung was hier vor sich geht!!

Zwischenzeitlich ist die Zahl dieser e-mails auf 70 oder
so gestiegen.

und was mir besonders unangenehm auffaellt, ist
dass unter den 70 e-mails heute NICHT EINE EINZIGE
PRIVATE war von Leuten von denen ich normal
taeglich mail bekomme.

Und es nimmt kein Ende...waehrend ich obiges
geschrieben habe sind bereits noch 7 solche
Mails eingegangen....

Ich moechte wirklich glauben dass es sich um einen
technischen glitsch handelt bei dieser Sache.....
und moechte absolut NICHT glauben dass irgend
ein feiger Scherzkeks, dem/der meine Einstellungen
nicht passen den Protest derart formuliert, anstatt
mir ins Gesicht zu sagen dass er/sie denkt ich spinne!

SOLLTE sich jemand dieses Scherzchen erlaubt
haben, so kann ich nur sagen: DAS IST SOOOOOOO
KINDERGARTEN!

Wenn es sich dabei um einen Techno-glitsch
handelt...hat wer sowas schon erlebt?
Was ist los hier???

zwischenzeitlich nochmals 3 solche mails
eingegangen......Seufz......:((

HEEEEEEELLLLPPPPPPPP

juttam,

vielleicht erst einmal informieren, bevor Du voreilige Schlüsse ziehst.

https://heise.de/newsticker/data/pab-19.08.03-000/

Es geht darin um Wurmattacken....

Das gleiche möchte ich Dir vorschlagen, wenn Du Dich über die Aussage des Stückes "Biedermann und die Brandstifter" von Max Frisch äußerst. Karl hatte gebeten, vorher in den Anhang zu schauen, damit man überhaupt weiß, worum es geht, wenn wir diskutieren.

https://www.zum.de/Faecher/D/Saar/real/Biederma.htm

Da Du in jedem Deiner Schreiben Biedermann mit "Biedermeyer" bezeichnest, kann ich mir nicht vorstellen, dass Du Karls Bitte gefolgt bist.

@ juttam

mittlerweile habe ich 100 emails erhalten absender immer der gleiche "uni freiburg" irgendein "neurolab" auch ein mitduskant aus dem ST berichtete mir gestern abend davon. e-mails tragen einige bekannte namen....

Ich habe heute morgen 350 gefilterte Virus-Mails erhalten. Da ist ein neur Wurm geboren.


Aus der von Barbara angegebenen Quelle:
"Die nächste Wurm-Welle rollt: Neue Sobig-Variante verbreitet sich rasant [Update]

Während noch immer verschiedene RPC-Würmer wüten und sogar versuchen, Patches gegen sich selbst einzuspielen, ist schon ein neuer Wurm unterwegs: Sobig.F, eine Variante der bekannten Sobig-Würmer, kursiert seit wenigen Stunden im Internet und verbreitet sich extrem schnell.

Laut MessageLabs hat Sobig.F bereits nach wenigen Stunden mehrere tausend Rechner infiziert; man geht davon aus, dass die Verbreitungsgeschwindigkeit noch zunehmen wird. Im Heise-Verlag sind bereits mehrere tausend Exemplare des Schädlings in der normalen E-Mail eingetroffen.

Sobig.F verbreitet sich wie seine Vorgänger über E-Mail (mit eigener SMTP-Engine) und Netzwerkfreigaben unter Windows."

mag sein...meine erhaltenen e-mails tragen "alle" die anschrift der uni-freiburg

z.bsp "[email protected] freiburg "Wicked Screensaver"

das hatte mich stutzig gemacht.

Tja Pilli,


das scheint eine perfide Strategie dieses Wurms zu sein. Absenderadressen sind garantiert unschuldig.

Mit freundlichen Grüßen

Karl

Man beachte vor allem: Absender gefälscht!

Desinfektion mit einem der folgenden Links einleiten:

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.zip

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.txt

ftp://ftp.f-secure.com/anti-virus/tools/f-sobig.exe


---

Für diejenigen, die es interessiert, wie der Wurm funktioniert:

Der Wurm started, wenn Windows startet.

Verbreitung der Mails

Der Wurm kommt bei Euch meist in folgender Form an:

Das "Von"-Feld wird mit einer Adresse ausgefüllt, die auf dem infizierten System gefunden wird.

Adressat ist ebenso eine E-mail aus dem infizierten System.

Als "Betreff" wird eine der folgenden Möglichkeiten ausgewählt:

Re: Thank you!
Thank you!
Your details
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

Im Text steht eine der folgenden Zeilen:

See the attached file for details
Please see the attached file for details.

Die Namen der Anhänge sind wie folgt:

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

---

Das perfide also ist, dass über E-mail bekannte Menschen beginnen (ohne ihr Wissen) sich gegenseitig infizierte Mails zu schicken. Dadurch wird Misstrauen und Konfusion geschürt.

Mit freundlichen Grüßen

Karl

Dazu eine Frage: Kann der Wurm sich nur einnisten resp. sich weiterverbreiten vom eigenen PC aus, wenn das File resp. der Anhang geöffnet wird?

Hallo Schorsch,


ja, der eigentliche Wurm steckt im Anhang (70 KB). Ich bin als Macianer eh immun, aber ich denke schon, der Anhang muss für die Infektion geöffnet werden. Gemein wäre es, wenn er das selber macht. Vielleicht weiß da einer mehr.

Wichtig ist zu wissen, dass der eingesetzte Absender nicht diejenige des infizierten Computers ist.

Mit freundlichen Grüßen

Karl

hallo Schorsch,

ich lese gerade:


Infection

It will install itself into:



%windir%\winppr32.exe


Proceeding then to add the following keys to the Windows Registry:



[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrayX" = %windir%\winppr32.exe /sinc

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrayX" = %windir%\winppr32.exe /sinc


So it's started when Windows does.
---

Diese Installation funktioniert aber wohl nur, wenn der Anhang geöffnet wird.

Mit freundlichen Grüßen

Karl

Der Wurm holt sich die Absender aus den Adressbuechern der von ihm befallenen Rechner... Die angegebenen Absender gibt es tatsaechlich, sie sind also in dem Sinne nicht gefaelscht, sondern entsprechen nur nicht den wirklichen Absendern.

Dass (auch bei mir) gehaeuft 'Absender' auftauchen a la [email protected], [email protected], [email protected], @uni-muenster.de usw. deutet darauf hin, dass Rechner von Menschen befallen sind, die in ihren Adressbuechern die genannten Absender haben.

Vor allem die sollten pruefen, ob ihre Rechner mittlerweile wirklich wieder virenfrei sind.

Es kommt darauf an, muss man sagen... Nicht jeder Virus kommt als Anhang einer E-Mail (die waeren leicht abzuwehren). Besonders tueckisch sind die Tierchen, die sich gerade per Port oder per anderen Windows-Sicherheitsluecken direkt einnisten. Einfach nur online sein reicht dann schon fuers Infizieren.

vielen dank für die weiterführenden infos,Karl und Wolfgang

da ich gestern nacht nur mails mit uni-freiburg und uni-münster hatte, die nicht in meinem adressbuch sind, wollte ich darauf aufmerksam machen. die ersten z.b. @ Margit Fischbach und Mart..noch irgendwas uni freiburg habe ich darum auch mit "irrtümlich versandt?" zunächst retour geschickt. erst die menge hat mich dann später aufmerksam gemacht.

ansonsten ist nix passiert :-)

Webtipp...

SPIEGEL ONLINE - 20.08.2003
SOBIG-F-EPIDEMIE
Unaufhaltsame E-Mail-Flut
Die neueste Variante des Sobig-Virus verstopft weltweit die Mail-Accounts. Sobig ist ein Rufschaediger: Er versendet sich unter falschen Absenderadressen - und sorgt für Irritationen und Missverstaendnisse. Was man gegen ihn tun kann, erklaert im Interview Dirk Kollberg von Network Associates.
Von FRANK PATALONG
https://www.spiegel.de/netzwelt/technologie/0,1518,261982,00.html

Vielen Dank fuer die Information.
Eine der Letzten mails, die ich bekam war dann auch eine
warnung vor einem Virus.

Da ich wie gesagt auch auf Mac bin, wird wohl bei mir
nicht mit grossen Kosequenzen zu rechnen sein, aber wie
ist das mit Freunden, etc...

Schickt sich dieses Ding nun von alleine weiter, oder
erst dann wenn ich eine mail schicke?
Soll ich Leute telefonisch warnen, oder hoffen dass jeder
gut bestueckt mit Norton ist?
Kann ich ueberhaupt etwas tum um ein weiterschicken
zu verhindern?

Danke nochmals fuer die Information :))

Barbara, gehoert das wirklich hierher, oder kannst du
bloss nicht anders?

Jede zusaetzliche persoenliche Mail, um vor dem Wurm zu warnen, ist m. E. nach ueberfluessig, denn die NutzerInnen wurden gut informiert durch die Medien.

Folgendes sollte allerdings immer beherzigt werden:

1.) Keine Mail mit Anhang oeffnen - auch dann nicht, wenn es sich um bekannte Absender handelt (es sei denn, die Mail wurde VORHER - am besten mit einem abgesprochenen unzweifelhaften Erkennungszeichen - angekuendigt).

2.) Auf den Versand von Mails im Rich Text/HTML-Format verzichten... Mails also im Nur-Text-Format versenden.

3.) Aufpassen, dass folgende Einstellung vorgenommen wurde (gilt nur fuer Outlook-Express-NutzerInnen): Im Menue Ansicht - Layout... - Vorschaufenster das Haekchen vor 'Vorschaufenster anzeigen' entfernen

Ich habe auch unzählige Mails mit Anhang bekommen. Habe weder Mails noch Anhang geöffnet, sondern alles ungelesen beim Server gelöscht. Muss ich davon ausgehen, dass mein PC infiziert ist?

Dein PC, Ursula, ist vermutlich nicht infiziert... Sobig.F infiziert mittels E-Mail-Anhang, der geoeffnet werden muss, um sein unheilvolles Werk zu beginnen.

Der Virus verbreitet sich also als Dateianlage von Mails, die zum Beispiel folgende Betreffzeilen haben koennen:

"Re: Thank you!", "Re: Your Application", "Re: Approved", "Your details", "Thank you!", "Re: Your application", "Re: Wicked screensaver", "Re: That movie".

Anhaenge mit verdaechtigen Endungen wie *.pif oder *.scr o. ae. duerfen auf gar keinen Fall geoeffnet werden, etwa mit Doppelklick. Dies gilt auch, wenn der Absender bekannt ist, da Sobig.F die Absenderadressen faelscht.

Eine virenfreie Zeit wuenscht... Wolfgang

Hallo Wolfgang,

die genannten "Betreffs" hatte ich.
Mir ist es unverständlich, woher die meine Adresse haben. Seit mindestens einem Jahr gebe ich sie hier im ST nicht mehr an und woanders auch nicht und privat habe ich eine andere.
Gruß von Ursula J.

Liebe Ursula,


es genügt ja, wenn diese Adresse in dem Adressbuch eines einzigen infizierten Computers gespeichert ist. Bei mir ist heute morgen übrigens die Mailflut überraschend klein ausgefallen, offensichtlich funktionieren die Abwehrmassnahmen beim Provider inzwischen.

Mit freundlichen Grüßen

Karl

Hallo Karl,
hallo in die Runde,

gestern Morgen waren es bei mir über 250 (!!) dieser Mails, heute Morgen waren es "nur" noch 62 ;-(( ...
Hoffentlich ist diese Tendenz Zeichen dafür, dass der Spuk bald wieder vorüber ist!!?

Sämtliche oben aufgeführten Betreffs fanden sich auch bei mir, und die (gefälschten!) Absender waren mir teils, bekannt, teils unbekannt (Universitäten Freiburg und Münster, Namen aus dem ST). Absendernamen aus meinem privaten Umfeld waren jedoch (merkwürdigerweise) nicht dabei!

Ist es eigentlich sicher, dass nur die Anhänge (habe keine geöffnet) Schaden anrichten können?

Viele Grüße
Ursula

... von wegen abnehmende Tendenz: Soeben waren es wieder auf einen Schlag 53 verseuchte Mails ... ;-(((

Ich traue mich kaum noch, meine E-Mails abzurufen ;-(!

Ursula

@UrsulaJ... Adressen werden von Webseiten 'geerntet' oder aus Adressbuechern entwendet. Wenn also jemand Deine Adresse in seinem Adressbuch hat, wird der Virus fuendig.

@UrsulaB... Sobig.F verbreitet sich per Mails mit Anhang. Wird der Anhang nicht geoeffnet, kann auch nichts passieren. Trotzdem: Immer mal das Anti-Viren-Programm (regelmaessiges Update nicht vergessen) laufen lassen. :-)

Danke, Wolfgang!

Gruß, Ursula

Da habe ich ja mit meinen zirka 30 Mails noch Glück gehabt.
Vielen Dank für die Auskünfte, besonders für die "Betreffs".