Maik Holtkamp am Samstag, 23. August 2003 10:46:
Hi,
0n 03/08/22@20:22 Andreas Winkelmann told me:
Joerg Rossdeutscher wrote:
Sobig.F installiert eine exe, die bestimmte Dateien Deiner Platte nach e-mail-adressen durchforstet und über einen mitgebrachten mta Mails verschickt. Zerstört wird imho nix, es kann aber wohl sein, dass persönliche Daten verschickt werden.
Weiss da jemand naeheres?
Mein Sohn hat hier noch W98 auf der Platte. Er geht ueber squid ins Netz und nutzt ansonsten die auf dem Server/Router vorhandenen Dienste. Maskiert wird der host nicht.
Wenn er sich jetzt diesen Virus einfaengt und der mit seinem internen MTA versucht direkt an Hosts in der weiten Welt auszuliefern, wird das IMHO nicht gehen.
Holt er sich jedoch aus irgendeiner MS-MUA config den smarthost und verwendet als Absender meine intere Domain (holtkamp.priv) wird exim ihm wohl vertrauen.
Ist mein Sohn vor dem sobig.f gefeit?
Jain ;-) Vor dem Empfang kann ihn nur ein entsprechend "belehrter" Virenscanner schützen. Der sollte auf jeden Fall auf dem Proxy/Mail-Relay laufen. So ein Wurm kann allerdings (aus bisheriger Sicht) keinen Schaden anrichten, wenn: 1. Auf deinem Router kein Masquerading/NAT ins Internet läuft (und somit eine _direkte_ Verbindung der Windows-Kisten im lokalen Netz mit der "Weiten Wilden Welt" verhindert wird). Damit kann der Wurm keine eigene Verbindung zu einem freien oder voreingestellten Mailserver/-relay im Internet aufbauen. 2. Der MTA auf deinem Router _kein_ "offenes" Relay darstellt. Er sollte also für das Versenden von Mails eine Authentifizierung verlangen. Die bisherigen Würmer nutzen zur Weiterverbreitung entweder die Einstellungen im MUA (z.B. Outlook) oder bringen neuerdings einen eigenen MTA mit, der IMHO an einen oder mehrere freie Relays/Server im Internet sendet (damit sind sie unabhängig vom verwendeten MUA/MTA). Wenn dein sendmail/postfix/... (was auch immer) eine Authentifizierung verlangt, leitet es Mails von unauthorisierten Sendern nicht weiter. Dann hat der Wurm also keine Chance. Natürlich sollte die Authentifizierung nicht auf dem Windows-Rechner gespeichert sein (Häckchen bei "Kennwort merken" raus!) *g*. -- Gruß MaxX 8-)