SobigF Virus

[Spectre]

Hi,
habt ihr momentan auch das ganze Postfach zugeschrottet? Es ist wirklich erstaunlich, wie viele Leute den simplen Mailworm einfangen. Von der Informatik-Uni Bonn über support@Blizzard, support@Activision, diverse von Microsoft, Gamesweb bis Valvesoftware.

Also ich krieg momentan Post von ziemlich vielen illustren Adressen

[Darkhunter]

Ich bekomm immernoch nur die üblichen "sie hab gewonnen" und "letzte Nacht war klasse" Mails...und da ich vor ein paar Tagen wohl irgendwas rumgemurkst habe, sind eh gleich alle E-Mails in "Gelöscht". Macht aber nichts, bekomme sowieso nichts sinnvolles...und die Dinger geh'n schneller komplett zu entsorgen

[Andr]

Vor ein paar Tagen hab ich innerhalb einer Stunde 10 Emails gekriegt bei denen ich für nähere Details den Anhang öffnen soll. Na Klar!

Aber sonst wieder alles beim alten (2-3 Mails pro Tag mit "Super"-Angeboten oder ne Tussie die mich in ihren Live-Chat einläd) mich nervts langsam den Scheiß zu löschen. Absender blockieren geht auch nicht, weil Adresse und Namen jedesmal anders sind

Vor einigen Tagen hab ich eine SMS gekriegt daß mein Handy ein Guthaben von 500€ habe und ich solle ne Nummer anrufen damit mit das gutgeschriben wird. Bei 5€ könnt man vielleicht drauf reinfallen. Aber wieso sollte jemand einem 500€ schenken

[Spectre]

Ne Jungs, ich habe so zwischen 150 und 250 Spams pro Tag
Identischer Anhang, immer nur eine kurze Zeile Text, aber sonst...die kommen von Pontius und Pilatus.
Es will mir eigentlich scheinen, dass so ein simpler Virus nicht imstande ist, die Adresse zu faken, aber ich bekomme auch so 4-5 Meldungen am Tage, ich hätte ihnen ne Mail mit dem Wurm geschickt und soll mir von Simantec, oder MacAfee das Remove-Tool holen...aber da ist wirklich nix, hab sogar beide Scanner laufen lassen und Norton ist ja ständig on.

Nimmt mich wunder, wann das endlich wieder aufhört, das runterladen suckt. ICH hab 768er ADSL, aber GMX ist arg langsam...die leiden wohl gerade .
Der Wurm soll sich irgendwann im September selber abschalten (nur die Verbreitung).

[Der Patrizier]

Original geschrieben von Spectre
Ne Jungs, ich habe so zwischen 150 und 250 Spams pro Tag
Identischer Anhang, immer nur eine kurze Zeile Text, aber sonst...die kommen von Pontius und Pilatus.

Geht mir genauso... Vor ungefähr einer Woche hats angefangen und die Mails wurden mit jedem Tag mehr (bis zu 80). Danach hat es sich allerdings langsam auf 1-2/Tag reduziert. Kann sein, dass web.de das abblocken konnte (auch wenn es eigentlich keine vernünftigen Auswahlkriterien gibt).

[Spectre]

Original geschrieben von Der Patrizier
Geht mir genauso... Vor ungefähr einer Woche hats angefangen und die Mails wurden mit jedem Tag mehr (bis zu 80). Danach hat es sich allerdings langsam auf 1-2/Tag reduziert. Kann sein, dass web.de das abblocken konnte (auch wenn es eigentlich keine vernünftigen Auswahlkriterien gibt).

Vielleicht anhand des Anhangs. Und den muss man auch nur scannen, wenn er soundsoviele Bytes gross ist, um den Virus ziemlich eindeutig zu identifizieren.

[KyBorg]

Ich hab keinen einzigen SobigF bekommen, und das obwohl meine emailadresse im Internet steht. Dass über meinen Bezahl-account nix kam erwarte ich, aber bei GMX hats mich positiv überrascht.
Die Absenderadressen sind übrigens (meistens?) gefälscht. Übrigens gibt es kaum etwas leichteres als eine Absendeadresse zu faken, liegt am email-Protokoll, viele Mailserver haben die später entwickelten "Sicherheitspatches" fürs SMTP-Protokoll noch immer nicht installiert, bei solchen Servern kann man irgendwas als Absender reinschreiben.

[Spectre]

Ja klar, aber dann müssten die meisten der Server das Sicherheitsupdate schlicht verpennt haben, da ich praktisch nur illustre Spammails bekomme...schöne Profies. Hab 2-3 heini@freesurf und spacke@gmx, aber sonst...nur Firmennamen.
Wenn der Virus gezielt support@microsoft, oder admin@gamesweb verwendet, so ist das nachvollziebar. Aber wie erklährst Du dir beispielsweise Absender wie die Informatik-Uni Bonn? Wenn er es einfach aus dem Adressbuch ziehen würde, so würde ich doch nicht so viele bekannte Namen erhalten, sondern hauptsächlich von Privatadressen?!

Ich bin eigentlich auch bei GMX und bei mir hagelt's Spams.

[Lokadamus]

mmm...

Der SorbigF wird von den Spamfilter bei GMX sofort aussortiert, die sollten eigentlich gar nicht zugestellt werden ... GMX hat irgendwas bei 400.000 Emails gelöscht, weil dort SorbigF drinne war (gab da mal eine Meldung zu) ... Spam selber verändert sich dauernd, so das jetzt wieder mehr Spam durchkommt ...

[KyBorg]

AFAIK benutzt der Virus auch Emailadressen als Absender und Empfänger die er auf lokal temporär abgespeicherten Internetseiten findet. Das würde es erklären.
Wenn als Absender Support@Microsoft.com angegeben ist heisst das übrigens nicht das die Mail über microsoft.com gesendet wurde, in den Headerdateien steht irgendwo der wahre Absender drin.
Früher hab ich meine emails als über AOL.com geschickt, ohne AOL-Kunde zu sein und ohne AOL-Email-Adresse, aber der Server war gut verfügbar...irgendwann haben sies dann geblockt.

Es spricht nicht wirklich für die Intelligenz der Menschheit das der millionste Anhang-öffnen-Wurm innerhalb weniger Tage zum verbreitetsten Virus der Welt wurde.

[Core]

...aber da ist wirklich nix, hab sogar beide Scanner laufen lassen und Norton ist ja ständig on.

also, ich weiß net warum du dich über Norton Antivirus beschwerst. Der hat bei mir bis jetzt alle möglichen Virenvarianten blockiert und erfolgreich vom PC entfernt und das ganze ohne bleibenden Schäden. (Weil ja ein virenscaner nur dann reagiert, wenn er virusaktivitäten entdeckt)

letzten Mittwoch hab ich mir den Blaster.C.Worm , oder so ähnlich, zugezogen und Norton hat den entteckt noch bevor er die ganze svchost.exe manipulieren konnte.

[Spectre]

Weiss nicht was Du hast...ich beschwere mich ja gar nicht über NAV.
Ich bekomme nur ständig Warnmails, ich hätte nen SobigF, aber NAV, sowie 2 spezielle Tools finden nix. Dann wird wohl nichts da sein.
Dafür macht mir ein seltsames CSS in letzter Zeit zu schaffen. Das Scheissding kommt trotz aller Sicherheitstools immer wieder und installiert sich in den Explorer. Weiss beim besten Willen nicht, welche sicherheitslücke das verwendet um sich hier abzulegen.
Der eine PC hier ist inzwischen gesichert wie Fort Knox, aber das SCheissding kommt immer wieder...

[Core]

Sorry, dann hab ich dich wohl missverstanden;

wegen dem CSS kann ich dir aber auch net helfen. Könnte dir bloß empfehlen vom internet irgendwelchen Infos zu ziehn, die genau beschreiben wie das Teil funktioniert. Daraus könnte man evt. schließen wie das Teil in den PC kommt.

[Azrael]

Spectre schrieb:
Ich bekomme nur ständig Warnmails, ich hätte nen SobigF, aber NAV, sowie 2 spezielle Tools finden nix. Dann wird wohl nichts da sein.

Viele Virenscanner sind so eingestellt, dass sie an die Adresse im From eine Warnung schicken, falls ein Virus in der Mail gefunden wurde. Bei Viren wie Sobig ist diese Einstellung allerdings völliger Schwachsinn, da der Virus die Absender-Adresse fälscht und die Warnung den falschen trifft.

Lokadamus schrieb:
Der SorbigF wird von den Spamfilter bei GMX sofort aussortiert, die sollten eigentlich gar nicht zugestellt werden ...

Ich kann dir aus leidiger Erfahrung sagen, dass der Spamfilter die Teile nicht aussortiert. Der Virenscanner wird das wohl tun, den gibt's aber nur für Bezahlaccounts.

KyBorg schrieb:
Übrigens gibt es kaum etwas leichteres als eine Absendeadresse zu faken, liegt am email-Protokoll, viele Mailserver haben die später entwickelten "Sicherheitspatches" fürs SMTP-Protokoll noch immer nicht installiert, bei solchen Servern kann man irgendwas als Absender reinschreiben.

SMTP-after-POP und SMTP-auth (oder was meinst du mit Sicherheitspatches?) können lediglich verhindern, dass ein Mail-Server von Unbefugten zum Mailversand benutzt wird. Das würde den Virus aber nicht an seiner Verbreitung hindern, da Sobig die Mail direkt beim Mailserver des Empfängers abliefert.

[Ivan & Shadow]

ich hab den zum Glück noch nicht......

[Spectre]

Solltest Du jetzt eigentlich auch nicht mehr einfangen, denn nach dem 09.09.2003. deaktiviert er seine Verbreitung selbstständig. Kriegst dann vielleicht den nächsten Sobig , denn die Experten halten den Virus für eine reine Testreihe.

[Lokadamus]

mmm...

Wegen CSS-Klimbim, ich denke, du meinst damit einfach nur HTML-Code-Klimbim, besorg dir mal Ad-Aware (<-- funzt immer gut , Link in meiner Signatur ) oder Spyguide? (<-- weiss nicht, ob das jetzt das removeltool war oder ein Dialer ) ...

[Hun]

Wieso komm ich mir eigentlich so ausgegrenzt vor

alles worüber sich die anderen aufregen hatte ich nicht


ich hab keine einzige(!) SobigF-Mail bekommen (vielleicht liegts daran das ich in keinem Addressbuch, sondern nur in n paar grauen Zellen von meine Kumpels steh), war von keinem der verschiedenen W32.Blast-s befallen, ich komm mir wirklich verarscht vor, alle regen sich auf und ich werd einfach ÜBERSEHEN, ARGH

wobei...


dafür hab ich ein gut gesichertes System, das haben die anderen nicht und das freut mich :tux:

[Lokadamus]

mmm...

Was soll ich den sagen ??? Support für Win 98 wurde offiziel von MS eingestellt, das heist, ich werde nie erfahren, wie es ist, wenn der Blaster-Wurm den Rechner neu startet (schon alleine, weil der RPC-Dienst fehlt ) und GMX filtert schon von sich heraus alle Sobig-Dinger ... ich kann da nur noch auf Sobig.G und die Nachfolger hoffen ...

EDIT: Neuer Patch zum RPC-Bug verfügbar ...

[Spectre]

Vielleicht musst du nicht mehr lange warten...hab heute 2 Mails bekommen von nem Mailerdaemon - meine Mail sei nicht zustellbar und das Original liege als Anhang dabei
Könne der G sein

[Hoelli]

@Hun: Ich komme mir auch ausgegrenzt vor. Mir schickt auch keiner Viren!
Der Loveletter hat mich übersehen, MSBlaster, Sobig...

[Spectre]

Original geschrieben von Hoelli
@Hun: Ich komme mir auch ausgegrenzt vor. Mir schickt auch keiner Viren!
Der Loveletter hat mich übersehen, MSBlaster, Sobig...

Irgendwie verstehe ich das auch nicht...dabei ist die Kacke so richtig am damfen da draussen. Irgendwas um 28000 Blocks zeigt meine Firewall an, dabei habe ich das System erst vor ein paar Tagen neu installiert.