Warnung - Mailwurm in meinem Mailadressverzeichnis

ich hab auch ein Mail von DieterM und Rotti bekommen


PS: ich würd vorschlagen, ihr formatiert eure Pcs und setzt neu auf, das ist immer noch die sicherste Methode, allen Spezialisten zum Trotz

[Lutti069]

Ich habe auch gerade eine Wurm-Mail von Rotti bekommen und sie sofort gelöscht......... weil ich kann kein spanisch!!!!

[Riblothar]

Hallo Rotti !





Ich Auch

[Rotti]

Hallo Jungs!

Da seht ihr mal wie ich an euch denke, sorry aber ich habe vergessen dazuzuschreiben - Gruß Rotti

Saublöde Sache.

Also zu eurer INfo:

Ich hatte vor einigen Tagen mein System extra mit dem Virusscan von Avast geprüft. Weiters bin ich mit Spybot und mit Ad Adware im abgesicherten Modus drübergefahren. Einige kritische Objekte wurden dann von beiden Programmen angezeigt und auch von mir gelöscht. Virus konnte ich keinen finden.
Nach dem ich vorhin hier geschrieben habe dass mein System ( vermeintlich) clean ist, hat es mir doch keine Ruhe gelassen und ich lies noch mal den Virusscan drüberfahren. Und sieh da was kam zum Vorschein:

Win32:Agent-gen [Troj] und ein Win32:Small-CAK [Troj] sowie ein Win32:Banker-BSL [Trj] Virus kamen zum Vorschein und wurden von mir gelöscht. Nun meine Frage was machen diese Trojaner und woher hab ich die. INteressant ist, warum schlägt der Virusscan nicht gleich an dass ein Virus am PC ist? Erst nach dem man den PC scannt meldet der Virusscan diesen.

LG
Mathias

[Mutti]

Ich auch!
aber nicht geöffnet.

[brando]

Habe heute Post von Rotti + Dieter bekommen

ich habe heute wieder 3 "brasilianische mails" bekommen (angeblich von Dieter)
und einer hat sich scheinbar nun auch bei mir eingenistet, bitte um Nachricht, falls jemand eine Mail von mir bekommt, die merkwürdig ist

Danke

[Holger K.]

Zitat:

Zitat von DieterM

Tut mir Leid Udo, habe heute über 2 Stunden ein Großreinemachen in meinem Notebook durchgeführt. Nachdem ich gestern schon den Skype vorsorglich desinstalliert hatte, wurde heute die von Symantec (NORTON) unter gesichertem Modus extra empfohlenen Arbeiten durchgeführt (extra Anfrage mit Muster des infizierten Textes). Zusätzlich habe ich den Rechner entschlackt und defragmentiert. Zusätzlich habe ich den Spybot nochmal drüber laufen lassen der nichts mehr gefunden hat, natürlich alles in gesichertem Modus.

Aber anscheinend sitz der Trojaner aus Brasilien immer noch drin, das Mistvieh! ...

Wenn das weiter anhält, werde ich wohl oder übel meinen Rechner komplett neu aufbooten müssen. Leider geht die Ad-aware nicht drauf, das System sperrt sich, hatte mir Rotti (danke!) auch schon empfohlen. Auch Snoopy und Berny hier vielen Dank für die Empfehlungen.

Hast du den Stinger aus meinem Link versucht ?
Wichtig:
Schalte auch die Systemwiederherstellung ab , sonst hast du das Teil nach jedem booten wieder ,
Ansonsten die Kiste plattmachen
Lasst mich raten ,verwendet ihr Outlook ?

[N8falke]

Mich hat der Rotti heute auch erwischt!

mathias, hab auch post von dir bekommen.
blöde frage von einem, der sich mit der technik nicht auskennt:

wenn ich das mail aufgemacht habe, aber nicht den anhang, kann dann auch schon was passiert sein?
hab übrigens keinen outlook, mach das alles über webmail.

lg martin

[Berny]

Langsam Leute, keine Panik !

1) Wenn die Mails von Rotti oder Dieter kommen, heißt das noch lange nicht, dass die beiden diese auch verschickt haben !!!
Hat jemand die Header schon mal angesehen (Quellentext der Mail ansehen, darin steht, woher die Mail wirklich kommt!)

2) Wenn man Trojaner auf seinem System findet, heißt das noch lange nicht, dass diese auch aktiv sind! Es kann schon sein, dass zB Trojaner gefunden werden, die eine Vorversion eines Virenscanners in Quarantäne geschickt hat, oder auch andere Möglichkeiten.
Ist ungefähr so, wenn ein Auto in der Garage gefunden wird, heißt das noch lange nicht, dass dieses gerade läuft.

3) Avast verfügt in den Optionen über eine sogenannte "Boot-Time Steuerung" klingt irgendwie blöd, ist aber nichts anderes, dass ein Totalscan vor dem Booten von Windows durchgeführt wird. Auch das kann helfen, versteckte Viren aufzuspüren.

4) Auch mails ohne Anhang können schädlich sein, wenn sich zB ein Script im Quellentext befindet, welches eine Schadstelle von Outlook oder einem anderen Programm ausnützt. Dann reicht das reine Betrachten der Mail aus, dass etwas installiert ist.

Wie gesagt, ein Header wäre mal interessant:
Outlook: Rechte Maustaste auf die Mail -> Optionen -> Internetkopfzeilen -> markieren -> kopieren -> mir per PN schicken (bitte nicht hier posten !)

Ich erhalte keine derartigen mails, vermutlich wehrt sie mein Spamfilter am Mailserver ab. (eine habe ich erhalten, per Webmail angesehen, aber damals gelöscht, seither keine Mail mehr.)

Hallo Berny,
kannst du damit etwas anfangen?


Received: from [82.165.40.141] (helo=p15158747.pureserver.info)
by mx02.web.de with esmtp (WEB.DE 4.107 #114)
id 1HqvXY-0008UB-00
for [email]u.........[/emai Wed, 23 May 2007 20:26:28 +0200
Received: by p15158747.pureserver.info (Postfix, from userid 30)
id D5D1D1406A72; Wed, 23 May 2007 20:26:28 +0200 (CEST)
To: [email]u..........[/emai
Subject: Muito Boa Essa Vale a Pena
MIME-Version: 1.0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
Content-Disposition: inline
From: "M.Rottensteiner" <m.r................@sbg.at>
Message-Id: <20070523182628.D5D1D1406A72@p15158747.pureserver. info>
Date: Wed, 23 May 2007 20:26:28 +0200 (CEST)
Sender: wwwrun@p15158747.pureserver.info

Gruß Udo

[elmarG.]

Zitat:

Zitat von Udo

Hallo Mathias,
so habe ich es bekommen
Geht dann noch weiter , sind die gleichen Mails wie die von Dieter.
Gruß Udo
Ps. habe deine eMail unkenntlich gemacht

Olá udo......... ,

Seu Amigo (a) M.rottensteiner - ( m.rot..............@sbg.at )
Enviou uma WebCharges do UOLCharges no dia 23/05/2007!.

Para a visualização da Animação Utilize:

:::so ein ähnliches hab ich gestern vom Dieter bekommen... auf italiänisch...

[Berny]

Also, hier mal ein Anfang:
Die Mails wurden über den Pureserver ausgesendet.
(interessant die Bezeichnugn "UserID 30" !!!
p15158747.pureserver.info (Postfix, from userid 30)
Ebenso interessant, bei Um Links zu sehen, bitte registrieren kommt man zu confixx, einem Server-Configurations-Programm)

a) Mailversand
1) Sollte eine direkte Aussendung per Wurm geschehen sein, müsste Rotti mit seinem PC direkt am Serversystem Pureserver hängen, tut er aber nicht, er hängt am Kabelnetz von sbg.at (denke ich mal).
2) Sollte die mail über Rottis Mailprogramm ausgesendet worden sein, müsste sbg.at am Pureserver liegen, tuts aber nicht (liegt bei UTA).

Ergo: Rotti hat diese Mail nicht versendet.

Rein von den Headern lässt sich vermuten, dass ein Script am Pureserver (Schund&Partner, 1und1, usw) diese Mails verschickt.
Der Verdacht liegt nahe, dass eine Webseite, die am Pureserver gehostet wurde, gehackt wurde, und darüber die Mails versendet werden.

Ich gehe auch davon aus, dass in nächster Zeit E-Mails von best-data und anderen Absender-Adressen folgen werden, Dieter und Rotti waren vermutlich nur der Anfang.

b) Direkter Hackangriff:
Aufgrund der Tatsache, dass in der Mail ein .gif vorhanden ist, welches auf einem anderem Server liegt ( ttp://www.....com.au/files/***/070.gif, adresse wg Verlinkung geändert!), kann davon ausgegangen werden, dass nach lesen der Mails ein Hackangriff auf den PC des Users stattfindet (Aufgrund des gifs ist es für den Hacker nachvollziebar, welche IP gerade online ist, welches Mailprogramm (indirekt damit verbunden die IE-Version) verwendet wird, welche Windowsverision usw usw).
Es gibt ebenso die Möglichkeit, dass in diesem Gif ein Schadecode implementiert ist, ich denke aber nicht.

Auf jedenfall sollte man darauf achten, dass fremde Grafiken nicht angezeigt werden. (Diese Einstellung gibt es bei Thunderbird und bei neuesten Outlook-Versionen)

c) E-mail Adressen:

Naja, die Adressen stammen von einem Adressbuch eines Forumsusers, das scheint ziemlich sicher. Irgendwann wurde über einen Trojaner dieses ausspioniert und die Adressen in einer Datenbank gespeichert, die jetzt für die Aussendung der Mails verantwortlich ist.

thats it.

Also Dieter und Mathias, derzeit scheint kein Bedarf zu sein, den Rechner platt zu machen, sehr wohl würde ich aber die Firewall-Einstellungen überprüfen !

Ein paar Scherzchen zum Schluss:
@Ferdi: Pech gehabt, kannst die beiden nicht sekkieren
@Landratte: Da das Forum auf dem Pureserversystem liegt, könnte es auch sein, dass du verantwortlich bist, du hast die UserID 30

[Holger K.]

Zitat:

Zitat von bootsboerse.at

Also, hier mal ein Anfang:
Die Mails wurden über den Pureserver ausgesendet.
(interessant die Bezeichnugn "UserID 30" !!!
p15158747.pureserver.info (Postfix, from userid 30)
Ebenso interessant, bei Um Links zu sehen, bitte registrieren kommt man zu confixx, einem Server-Configurations-Programm)

Der Verdacht liegt nahe, dass eine Webseite, die am Pureserver gehostet wurde, gehackt wurde, und darüber die Mails versendet werden.

Ja , da scheint einer einen gehackten Mailer (auch Zombie genannt)
bei 1&1 zu haben ,evtl wurde das noch nicht mal bemerkt.
Unbedingt den Hoster informieren , verantwortlich für pureserver.info ist:
Andreas Gauger , hostmaster@einsundeins.com oder
abuse@schlund.com wo der Server pyhsikalisch steht.
Ebenso den Abuse der australischen Domain wo das gif abgelegt wurde informieren.
Am besten eine Aktuelle Mail incl. Header weiterleiten.
Dann hört das erstmal auf ,oder sie weichen auf nen anderen Server aus.

evtl würde ich das gif auch bei Um Links zu sehen, bitte registrieren (bis 1MB) einreichen.
Dort wird es auf bekannten Schadcode untersucht.