Hi at all! Habt ihr auch ein, angleblich von M$, Newsletter mit dem Anhang Upgrade.exe bekommen? Ist das nun Virus oder Spam? Hier ist Header von dieser Emai: Return-Path: <bcoldiron@direcway.com> X-Flags: 0000 Delivered-To: GMX delivery to suse-ml@gmx.net Received: (qmail 21808 invoked by uid 65534); 19 Sep 2003 04:47:08 -0000 Received: from a34-mta02.direcpc.com (EHLO a34-mta02.direcway.com) (66.82.4.91) by mx0.gmx.net (mx016) with SMTP; 19 Sep 2003 06:47:08 +0200 Received: from sigso (dpc6682214019.direcpc.com [66.82.214.19]) by a34-mta02.direcway.com (iPlanet Messaging Server 5.2 HotFix 1.12 (built Feb 13 2003)) with SMTP id <0HLG006JT2JZ41@a34-mta02.direcway.com>; Fri, 19 Sep 2003 00:45:46 -0400 (EDT) Date: Fri, 19 Sep 2003 00:45:43 -0400 (EDT) Date-warning: Date header was inserted by a34-mta02.direcway.com From: MS Network Security Section <mklpnal_iymzxjxa@advisor.ms.net> Subject: Current Internet Security Pack To: Commercial Customer <hysq.fdctxrcqbs@advisor.ms.net> Message-id: <0HLG006JW2K041@a34-mta02.direcway.com> MIME-version: 1.0 Content-type: multipart/mixed; boundary="Boundary_(ID_5eEO/huXmXMZG4iroDWwNA)" X-GMX-Antivirus: -1 (not scanned, may not use virus scanner) X-GMX-Antispam: 0 (Mail was not recognized as spam) Status: R X-Status: N X-KMail-EncryptionState: X-KMail-SignatureState: Gruß, Roman
Am Freitag, 19. September 2003 06:26 schrieb Roman Langolf:
Habt ihr auch ein, angleblich von M$, Newsletter mit dem Anhang Upgrade.exe bekommen? Ist das nun Virus oder Spam?
naja, beides ? :) Also es ist ein Virus. Bin mir nicht 100% sicher, aber das hier sollte der richtige sein: http://www.antivir.de/vireninfo/gibec.htm cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
* Am Fre, 19 Sep 2003 schrieb Stefan Onken:
Am Freitag, 19. September 2003 06:26 schrieb Roman Langolf:
Habt ihr auch ein, angleblich von M$, Newsletter mit dem Anhang Upgrade.exe bekommen? Ist das nun Virus oder Spam?
naja, beides ? :) Also es ist ein Virus. Bin mir nicht 100% sicher, aber das hier sollte der richtige sein: http://www.antivir.de/vireninfo/gibec.htm
Bzw. eine Mutation davon, namens Swen.A, habe einen ganzen Haufen davon im Postfach mittlerweile... Gruß Christoph -- Christoph Maurer - Tux#194235 - christoph-maurer at gmx.de
Hallo Christoph, * Christoph Maurer <christoph-maurer@gmx.de>:
Bzw. eine Mutation davon, namens Swen.A, habe einen ganzen Haufen davon im Postfach mittlerweile...
Eine Behandlung der EXE mit strings fördert seltsames zu Tage: ,---- | [...] | NEWSGROUPS: | [...] | GET http://XXXXXXX/link=bacillus&width=6&set=cnt006 | (Ein Webhit-Zähler, zur Sicherheit von mir maskiert!) | [...] | %s\nntpgroups.dat | %s\germs0.dbv | LIST | [%s:%c] | GMT | NEWNEWS %s %02u%02u%02u %02u%02u%02u | LISTGROUP %s | [...] | nntptmp.fl | \swen0.dat | NNTP Server | SMTP Display Name | SMTP Server | SMTP Email Address | [...] | Mirc Install Folder | n3=} | [script] | n0= on 1:JOIN:#:{ | n1= /if ( $nick == $me ) { halt } `---- Holt sich das Drecksding seine Adressen aus dem ICQ und Usenet? Dann mal viel Vergnügen. :-/ [andreas]~ > strings Update64.exe | grep using Thank you for using Microsoft products. *ROTFL* Gruss, Andreas -- who | grep -i blonde | talk; cd ~; wine; talk; touch; unzip; touch; strip; gasp; finger; gasp; mount; fsck; more; yes; gasp; umount; make clean; sleep -- Stefan Schumacher in d.c.o.u.bsd
* Am Fre, 19 Sep 2003 schrieb Andreas Kneib:
Hallo Christoph,
* Christoph Maurer <christoph-maurer@gmx.de>:
Bzw. eine Mutation davon, namens Swen.A, habe einen ganzen Haufen davon im Postfach mittlerweile...
Eine Behandlung der EXE mit strings fördert seltsames zu Tage:
,---- | [...] | NEWSGROUPS: | [...] | GET http://XXXXXXX/link=bacillus&width=6&set=cnt006 | (Ein Webhit-Zähler, zur Sicherheit von mir maskiert!) | [...] | %s\nntpgroups.dat | %s\germs0.dbv | LIST | [%s:%c] | GMT | NEWNEWS %s %02u%02u%02u %02u%02u%02u | LISTGROUP %s | [...] | nntptmp.fl | \swen0.dat | NNTP Server | SMTP Display Name | SMTP Server | SMTP Email Address | [...] | Mirc Install Folder | n3=} | [script] | n0= on 1:JOIN:#:{ | n1= /if ( $nick == $me ) { halt } `----
Holt sich das Drecksding seine Adressen aus dem ICQ und Usenet? Dann mal viel Vergnügen. :-/
Na, das wäre doch mal was neues, anstatt immer nur das Adressbuch zu verwenden... Gruß Christoph -- Christoph Maurer - Tux#194235 - christoph-maurer at gmx.de
Am Freitag, 19. September 2003 10:43 schrieb Christoph Maurer:
Na, das wäre doch mal was neues, anstatt immer nur das Adressbuch zu verwenden...
Bei mir ist die vermutlich noch ein paar Stunden verwendete SuSE-Mailinglisten-Adresse auch betroffen. Ich steige auf dynamische Subdomains um. Das erspart viel Traffic, ist effektiv und läßt den Müll beim Versender. Siehe http://www.docsnyder.de/nospam/subdomains.html Zuerst war ja der Hoster mydomain.com stundenlang lahm und als Mails wieder zugestellt wurden ging es rund. Als es immer ärgerlicher wurde, habe ich dann einfach die Subdomain gelöscht und dann war nach 2 Stunden Ruhe. In diesem Fall sind Linux-User auch betroffen, da die hohe Anzahl die Mailboxen verstopft. Bei mir kam das Ding auf meine Usenet-Adresse zeitweise im Sekundentakt rein. Es sind übrigens meist Pärchen. Antivir und F-Prot erkannten gestern mit aktuellen Pattern nur einen _Teil_. Ich bin schon neugierig worum es sich bei den unerkannten Attachments handelt. Vermutlich sind es Mutationen von Sven.A Al -- Infos zu Softwarepatenten: http://swpat.ffii.org/index.de.html http://petition.eurolinux.org/index.html?LANG=de
* Am Fre, 19 Sep 2003 schrieb Al Bogner:
Am Freitag, 19. September 2003 10:43 schrieb Christoph Maurer:
Na, das wäre doch mal was neues, anstatt immer nur das Adressbuch zu verwenden...
Bei mir ist die vermutlich noch ein paar Stunden verwendete SuSE-Mailinglisten-Adresse auch betroffen. Ich steige auf dynamische Subdomains um. Das erspart viel Traffic, ist effektiv und läßt den Müll beim Versender. Siehe http://www.docsnyder.de/nospam/subdomains.html
Zuerst war ja der Hoster mydomain.com stundenlang lahm und als Mails wieder zugestellt wurden ging es rund. Als es immer ärgerlicher wurde, habe ich dann einfach die Subdomain gelöscht und dann war nach 2 Stunden Ruhe.
In diesem Fall sind Linux-User auch betroffen, da die hohe Anzahl die Mailboxen verstopft. Bei mir kam das Ding auf meine Usenet-Adresse zeitweise im Sekundentakt rein. Es sind übrigens meist Pärchen. Antivir und F-Prot erkannten gestern mit aktuellen Pattern nur einen _Teil_. Ich bin schon neugierig worum es sich bei den unerkannten Attachments handelt. Vermutlich sind es Mutationen von Sven.A
Ich habe auch noch ein paar Mails mit ca. 0.1 k großem Attachment, das bisher von F-Prot nicht identifiziert wird? Absender ähnlich den Swen.A Dingern (MS irgendwas...)...Was das wohl ist? Gruß Christoph -- Christoph Maurer - Tux#194235 - christoph-maurer at gmx.de
Am Freitag, 19. September 2003 12:41 schrieb Christoph Maurer:
Ich habe auch noch ein paar Mails mit ca. 0.1 k großem Attachment, das bisher von F-Prot nicht identifiziert wird? Absender ähnlich den Swen.A Dingern (MS irgendwas...)...Was das wohl ist?
Lt. einem Usenet-Beitrag soll clamav die Dinger zwar nicht erkannt haben, aber sie zumindest in Quarantäne gegeben haben. Ich bin schon gespannt wie lange es dauert bis Antivir und F-Prot Updates hat, die auch den Rest erkennt. Heute habe ich noch kein Patternupdate gemacht. Der Cronjob läuft aber bald. Al -- Infos zu Softwarepatenten: http://swpat.ffii.org/index.de.html http://petition.eurolinux.org/index.html?LANG=de
Am Freitag, 19. September 2003 13:10 schrieb Al Bogner:
lange es dauert bis Antivir und F-Prot Updates hat, die auch den Rest erkennt. Heute habe ich noch kein Patternupdate gemacht. Der Cronjob läuft aber bald.
AntiVir / Linux Version 2.0.8-12 ... 06.21.00.47 <=> 06.21.00.47 [vdf database, loaded] 06.21.00.01 <=> 06.21.00.01 [scan engine, running] 02.00.08.12 <=> 02.00.08.12 [main program, running] AntiVir is up-to-date *************************************** * F-Prot Antivirus Updater * *************************************** Nothing to be done... Der Vormittag reichte also bei beiden nicht, um aktuell zu werden. Al -- Infos zu Softwarepatenten: http://swpat.ffii.org/index.de.html http://petition.eurolinux.org/index.html?LANG=de
Am Freitag September 19 2003 09:52 schrieb Andreas Kneib:
Holt sich das Drecksding seine Adressen aus dem ICQ und Usenet?
Ja.
Dann mal viel Vergnügen. :-/
Hält sich in Grenzen, wenn man morgens gleich mal 4 MB an Viren aus der Mailbox fischen darf :((. Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Offene Jobs -- http://www.eschkitai.de/openoffice/jobs.html
Hallo Roman, * Roman Langolf <suse-ml@gmx.net>:
Habt ihr auch ein,
_EINEN_? So um die fünfzig, inzwischen.
angleblich von M$, Newsletter mit dem Anhang Upgrade.exe bekommen? Ist das nun Virus oder Spam?
Virus. Und so, wie der sich verbreitet, nicht gerade von Pappe. Wenn Du Spamassassin benutzt, dann setze einfach in der Konfiguration den Wert von MICROSOFT_EXECUTABLE hoch, dann wird der Dreck ausgesondert: score MICROSOFT_EXECUTABLE 5.0 Gruss, Andreas -- Download best WAREZ: ftp://127.0.0.1
* Andreas Kneib schrieb am 19.Sep.2003:
Virus. Und so, wie der sich verbreitet, nicht gerade von Pappe. Wenn Du Spamassassin benutzt, dann setze einfach in der Konfiguration den Wert von MICROSOFT_EXECUTABLE hoch, dann wird der Dreck ausgesondert:
score MICROSOFT_EXECUTABLE 5.0
Schön, aber mein Problem ist, daß ich den Dreck erst ziehen muß. Ich habe Modem, und die Dinger sind ca. 150k pro Stück groß. Bernd
* Am Fre, 19 Sep 2003 schrieb Bernd Brodesser:
* Andreas Kneib schrieb am 19.Sep.2003:
Virus. Und so, wie der sich verbreitet, nicht gerade von Pappe. Wenn Du Spamassassin benutzt, dann setze einfach in der Konfiguration den Wert von MICROSOFT_EXECUTABLE hoch, dann wird der Dreck ausgesondert:
score MICROSOFT_EXECUTABLE 5.0
Schön, aber mein Problem ist, daß ich den Dreck erst ziehen muß. Ich habe Modem, und die Dinger sind ca. 150k pro Stück groß.
Hast Du mal über den Einsatz eines Tools wie mailfilter (http://mailfilter.sourceforge.net) nachgedacht? Gruß Christoph -- Christoph Maurer - Tux#194235 - christoph-maurer at gmx.de
* B.Brodesser@t-online.de (Bernd Brodesser):
* Andreas Kneib schrieb am 19.Sep.2003:
score MICROSOFT_EXECUTABLE 5.0
Schön, aber mein Problem ist, daß ich den Dreck erst ziehen muß. Ich habe Modem, und die Dinger sind ca. 150k pro Stück groß.
Mailfilter arbeitet recht gut: ,---- | [andreas]~ > apt-cache show mailfilter | grep -A100 Des | | Description: A program that filters your incoming e-mail to help remove | spam. Mailfilter is very flexible utility for UNIX (-like) operating | systems to get rid of unwanted e-mail messages, before having to go | through the trouble of downloading them to the local computer. It offers | support for one or many POP3 accounts and is especially useful for | dialup connections via modem, ISDN, etc. Install Mailfilter if you'd | like to remove spam from your POP3 mail accounts. | . | With Mailfilter you can define your own filters (rules) to determine | which e-mails should be delivered and which are considered waste. Rules | are Regular Expressions, so you can make use of familiar options from | other mail delivery programs such as e.g. procmail. | . | If you do not | get your mail from a POP3-Server you don't need Mailfilter. `---- Die Konfiguration schaut bei mir so aus: ,----[ /etc/mailfilterrc ] | LOGFILE=/var/log/mailfilter | VERBOSE=3 | SERVER=pop.gmx.net | USER=XXXXXXX | PASS=YYYYYYY | PROTOCOL=pop3 | PORT=110 | ############ | REG_TYPE=extended | REG_CASE=no | ############# | # Die SPAMs # | ############# | DENY=^Subject:.*(rankings|buisness|earn|consumer|cash|sex|free|adult|dollar|girls|only|pay|visit|webcam|money) | DENY=^From:.*@.*\.(com|ru|net) | DENY=^From:.*@.*\.(co|com|edu|gx|ne|net|usa|zzn|home)\.(cx|cn|es|gr|in|jp|kr|tw|mn|ru|mx|cc|com) | DENY=^From:.*@.*aol\.(de|com) | DENY=^From:.*(buisness|gratis|career|earn|consumer|cash|sex|free|adult|dollar|girls|only|pay|visit|webcam|money|werbung|cool) | DENY=^From:.*@.*hotmail\.(de|com) | DENY=^From:.*Microsoft | DENY=^From:.*security | DENY=^From:.*network | DENY=^From:.*delivery | DENY=^From:.*service | DENY=^From:.*message | DENY=^From:.*Corporation | DENY=^From:.*Storage | DENY=^From:.*public | DENY=^From:.*Department | ############# | # Die Guten # | ############# | ALLOW=^From:.*m\.kneib | ALLOW=^From:.*@.*\.de | ALLOW=^From:.*@.*\.at | ALLOW=^Subject:.*Re:.* | ALLOW=^From:.*ankman@.* | ALLOW=^From:.*\.org `---- Durch das Erlauben von "Subject:.*Re:.*" sowie den DE/AT-Domains kommen die Mails durch, die Mail-Replys auf meine Usenet-Artikel sind (dieser Account, den ich im Usenet nutze, ist auch hauptsächlich betroffen). Seit dem Hinzufügen der Zeilen "DENY=^From:.*Microsoft" bis "DENY=^From:.*Department" ist Ruhe im Karton. Zur Sicherheit schickt Cron mir jeden Abend das Lockfile. Gruss, Andreas -- Download best WAREZ: ftp://127.0.0.1
Moin, Am Fr, 2003-09-19 um 07.26 schrieb Roman Langolf:
Habt ihr auch ein, angleblich von M$, Newsletter mit dem Anhang
In Massen. Normalerweise habe ich am Tag so etwa 10 unerkannte Spammails, die durchflutschen. Von dem Teil habe ich allein heute Nacht 60 Stück bekommen. Und wieder ist es so, daß ich auch noch Bounces bekomme, weil jemand meine Domain als Absender eingetragen hat... Da auf deine Frage hin hier wieder einige Hände hochgingen habe ich wirklich langsam den Verdacht, jemand holt Adressen aus dieser Liste.
Upgrade.exe bekommen? Ist das nun Virus oder Spam?
Keine Ahnung, ist mir auch egal. Der Logik nach müsste es ein Wurm sein. Gruß, Ratti
Hallo! On Fri, 19 Sep 2003 10:22:28 +0200, Joerg Rossdeutscher wrote
Da auf deine Frage hin hier wieder einige Hände hochgingen habe ich wirklich langsam den Verdacht, jemand holt Adressen aus dieser Liste.
Nein. Das ist nicht so. Die Würmer haben derzeit ein Standardvorgehen: Man suche sich 2 Adressen und versende eine eMail. 1. Adresse ist der Empfänger und die 2. Adresse ist der Absender. So trivial ist es. (Daher bekommen auch offene Listen wie die FreeBSD Listen so viele scheiss Meldungen von wegen "Die von Ihnen gesendete eMail enthielt einen Virus!" - Sau blöde Admins, die sowas nicht wissen und dann die Allgemeinheit mit sowas nerven ... ) Der Wurm selbst ist dabei sogar eine alte Geschichte und nichts neues. Richtig interessant ist die HTML Mail, denn diese nutzt auch einen alten Bug bei IE5 / IE5.5 aus, die dem User, der die eMail anschaut, den Wurm verpasst, auch ohne dass der Anhang gestartet wird. Näheres ist ansonsten nun auch auf heise.de zu lesen. Und was den Wurm selbst angeht: Die meisten Virenhersteller halten zu den Würmen auch noch nähere Informationen parat. Mit den besten Grüßen, Konrad -- Konrad Neitzel Mobile: +49 (172) 689 31 45
Hallo, Am Fri, 19 Sep 2003, Konrad Neitzel schrieb:
On Fri, 19 Sep 2003 10:22:28 +0200, Joerg Rossdeutscher wrote
Da auf deine Frage hin hier wieder einige Hände hochgingen habe ich wirklich langsam den Verdacht, jemand holt Adressen aus dieser Liste.
Nein, von hier eher nicht. Denn:
Nein. Das ist nicht so. Die Würmer haben derzeit ein Standardvorgehen:
Man suche sich 2 Adressen und versende eine eMail. 1. Adresse ist der Empfänger und die 2. Adresse ist der Absender. So trivial ist es.
Allerdings habe ich heute 18 Mails an meine usenet Adresse bekommen, davon ein Teil bounces und so endlos sinnvolles wie: ==== FROM: "Net Message Storage System" <smtpservice@aol.com> [..] Undelivered to wmtmzzqtwn@aol.com Warning : fnbssoma.exe was infected with the malicious virus WORM_SWEN.A and has been passed. Note: The attachment that "HAS BEEN PASSED" was infected with non-cleanable virus. Open such an attachment is NOT recommended. ==== _Natuerlich_ MIT dem Virus noch als Anhang. AOL spottet wirklich jeder Beschreibung... Diese Viren gingen teilweise direkt an mich, teilweise sind es Bounces o.ae. wie obiges Beispiel. An meine Listen-Adresse kommen eigenlich nur Sobig-Varianten, weil mich vermutlich irgendwelche ... in ihren Adressbuechern haben und bekomme so viele direkt aber auch evtl. Bounces, je nach Variante... *seufz* -dnh PS: Antivir erkennt diesen "WORM_SWEN_A" als "Worm/Gibe.C.1". -- We have joy, we have fun, we have Linux on our SUN -- from a sig of Peter Lemken
Roman Langolf schrieb:
Hi at all!
Habt ihr auch ein, angleblich von M$, Newsletter mit dem Anhang Upgrade.exe bekommen? Ist das nun Virus oder Spam?
Hier ist Header von dieser Emai:
[...] bekomme in letzter zeit ständig diese mails, öfters als auch die liste !? verwende dieses prosting als testmail, also bitte kein feedback darauf geben! gruss,elmar. ======================= http://www.php-forum.at http://www.phpforum.at don't AsK mE wHY ;-) =======================
Hallo Roman! Am 19.09.2003 um 07:26 Uhr schrieb Roman Langolf:
Return-Path: <bcoldiron@direcway.com> X-Flags: 0000 Delivered-To: GMX delivery to suse-ml@gmx.net Received: (qmail 21808 invoked by uid 65534); 19 Sep 2003 04:47:08 -0000 Received: from a34-mta02.direcpc.com (EHLO a34-mta02.direcway.com) (66.82.4.91) by mx0.gmx.net (mx016) with SMTP; 19 Sep 2003 06:47:08 +0200 Received: from sigso (dpc6682214019.direcpc.com [66.82.214.19])
OrgName: Hughes Network Systems OrgID: HNS Address: 11717 Exploration Lane Address: DirecWAY Network Management Center Address: attn: Network Security Manager City: Germantown StateProv: MD PostalCode: 20876 Country: US = Postanschrift deiner Mail ping -c1 dpc6682214019.direcpc.com PING dpc6682214019.direcpc.com (66.82.214.19) 56(84) bytes of data. 64 bytes from dpc6682214019.direcpc.com (66.82.214.19): icmp_seq=1 ttl=117 time=2293 ms Also scheint der Header nicht gefälscht zu sein.
by a34-mta02.direcway.com (iPlanet Messaging Server 5.2 HotFix 1.12 (built Feb 13 2003)) with SMTP id <0HLG006JT2JZ41@a34-mta02.direcway.com>; Fri, 19 Sep 2003 00:45:46 -0400 (EDT) Date: Fri, 19 Sep 2003 00:45:43 -0400 (EDT) Date-warning: Date header was inserted by a34-mta02.direcway.com Und das ist aber sehr merkwürdig!!
From: MS Network Security Section <mklpnal_iymzxjxa@advisor.ms.net> Das gibt es AFAIK nicht. Mit Googlen müsstest du eigentlich herausfinden, dass das ein Virus ist! Alles klar?
cu PeeGee
participants (12)
-
Al Bogner -
Andreas Kneib -
B.Brodesser@t-online.de -
Christoph Maurer -
David Haller -
Elmar Blaschka -
Helga Fischer -
Joerg Rossdeutscher -
Konrad Neitzel -
Peter Geerds -
Roman Langolf -
Stefan Onken