Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

Ist das hier Sobig.F??

GTFreak am 21.08.2003, 00:00 / 21 Antworten / Flachansicht

Hallo,

habe eben zwei E-Mails über den Mailer-Daemon zurückbekommen, beide mit sehr ähnlichen Headern (und irgendwelchen Anhängen als reinen Code):

Hi. This is the qmail-send program at

Laut Sophos\' Erkennungsmerkmale ist das System nicht befallen, obwohl dieser Header es sagt. Auch die dort angegebenen Dateien und Registryeinträge habe ich nicht gefunden. Auch Ad-Aware 6.0 mit aktuellen Signaturen und NAV haben nichts gefunden.

Habe ich nun den Wurm oder mein Gegenüber??

cu,

GTFreak

[Diese Nachricht wurde nachträglich bearbeitet.]

      mailbox voll -- Re: Ist das hier Sobig.F?? FreddyK. 21.08.2003, 00:00
    
      Hi, einige Anwender haben sich heute bei mir gemeldet und mir mitgeteilt, ... ZakMcCracken 21.08.2003, 00:00
    
      ooh, das hatte ich vergessen... GTFreak 21.08.2003, 00:00
    
        basil GTFreak „Ist das hier Sobig.F??“
      
        21.08.2003, 00:00 Optionen
      
          Ja, das war Sorbig.F und er hat deine Adresse als Absender eingetragen, was aber wie oft erwähnt wurde, eine Fälschung ist. Man kann erkennen, daß es der Sorbig war, weil im Header folgender Eintrag zu finden ist:

          X-MailScanner: Found to be clean

          und ein Anhang mit der Endung .pif anbei war. Im normalfall sollte auch die MailId im Header fehlen.

          Der Eintrag "X-MailScanner: Found to be clean" wird vom Wurm erzeugt und soll den Anschein erwecken, die Mail sei schon vom Ursprungsserver als sauber erkannt worden, dies ist aber auch eine Fälschung.
        
             bei Antwort benachrichtigen
        
      Hi Basil, soweit auch klar, das sagt Sophos auch, aber ist mein System nun ... GTFreak 21.08.2003, 00:00
    
      Das kann man so nicht sagen. Da Sorbig die Absendeadresse fälscht kommen ... basil 21.08.2003, 00:00
    
      Das kann man so nicht sagen. Da Sorbig die Absendeadresse fälscht kommen ... basil 21.08.2003, 00:00
    
      Wie gesagt, Norton AV, Ad-Aware, Fixblast v. Symantec für W32 Blaster ... GTFreak 21.08.2003, 00:00
    
      Kannst Du dann wohl auch. Mit der Aussage, daß es grundsätzlich Möglich ... basil 21.08.2003, 00:00
    
      Da gibt es noch etwas: Antisobig.exe A-F - ... derJanko 21.08.2003, 00:00
    
      die meisten viren sind schon an folgendem zu erkennen: Content-Disposition: ... the_mic 21.08.2003, 00:00
    
      Antwort: Er ist s, Removal tool hier herunterladen. BIMEX 21.08.2003, 00:00
    
      danke GTFreak 22.08.2003, 00:00
    
      Von dieser Art Mails habe ich heute auch ein paar Dutzend auf meinem Server ... gelöscht_84526 22.08.2003, 00:00
    
      Ich kriege seit gestern auch diese Unzustellbar Meldungen. nerv Verschickt ... supporterli 22.08.2003, 00:00
    
      Innerhalb von 3 Tagen wurden von Norton AV 25 mails festgestellt, die das ... hhw 22.08.2003, 00:00
    
      Scheint sich inzwischen wieder etwas beruhigt zu haben, die grosse ... gelöscht_84526 22.08.2003, 00:00
    
      hallo zusammen, der angriff ist nicht vorbei!!! habe gestern nacht 67mails ... Meyerle1 24.08.2003, 00:00
    
      Gibt s denn da nirgends eine Einstellung, dass man diese Mail nicht haben ... CarmenThomas 27.08.2003, 00:00
    
      @Carmen Natürlich, ein guter Spamfilter kann auch Spam über deren Anhänge ... Holger 27.08.2003, 00:00
    
      Naja, ich habe mal im Email Server geguckt, da kann man zwar .exe,.com,.bat ... CarmenThomas 28.08.2003, 00:00