WinFuture-Forum.de: Worm/sober.i.base64a - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Worm/sober.i.base64a


#1 Mitglied ist offline   Boz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 293
  • Beigetreten: 01. Mai 04
  • Reputation: 0

  geschrieben 01. Januar 2005 - 20:32

Hallo,

seit einiger Zeit bekomme ich von AntiVir diese Meldung, wenn ich eMails abrufen will tue:

C:\DOKUME~1\BENUTZER\LOKALE~1\TEMP\BAT346.TMP

Enthält Signatur des Wurmes Worm/Sober.I.Base64A

Ich habe mich über Google jetzt schonmal schlau gemacht und habe nur herausfinden können, dass die AntiVirenhersteller "" irgendwelche Signaturen gemacht haben oder was weiß ich!!!

Was kann ich denn machen um den Wurm wieder abzuschütteln?
Ich glaube meinen TheBat! lass ich lieber mal aus!

Bitte Helft mir!!!!!

mfg
0

Anzeige



#2 Mitglied ist offline   newbasti 

  • Gruppe: aktive Mitglieder
  • Beiträge: 494
  • Beigetreten: 03. Oktober 04
  • Reputation: 0

geschrieben 01. Januar 2005 - 20:34

Lade dir mal die neusten Updates von MS runter, vieleicht gibt es schon einen patch der die sicherheitslücke entfernt.
0

#3 Mitglied ist offline   Boz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 293
  • Beigetreten: 01. Mai 04
  • Reputation: 0

geschrieben 01. Januar 2005 - 20:41

ich weiß ja nicht genau, aber ich bin ja schon infiziert!!! Ich kann ja nicht nen sicherheitspatch drüber machen wenn ich ihn schon hab!!!! Bringt es vielleicht etwas, wenn ich meinen Virenscanner im abgesichertem modus drüberlaufen lass?
0

#4 Mitglied ist offline   newbasti 

  • Gruppe: aktive Mitglieder
  • Beiträge: 494
  • Beigetreten: 03. Oktober 04
  • Reputation: 0

geschrieben 01. Januar 2005 - 20:44

Ja bringen wierd es aufjedenfall was, aber wenn es von MS einen patch gibt der die sicherheitslücke behept, dann löscht der patch den virus natürlich gleich mit.

Dieser Beitrag wurde von newbasti bearbeitet: 01. Januar 2005 - 20:44

0

#5 Mitglied ist offline   Boz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 293
  • Beigetreten: 01. Mai 04
  • Reputation: 0

geschrieben 01. Januar 2005 - 20:46

echt!?
0

#6 Mitglied ist offline   newbasti 

  • Gruppe: aktive Mitglieder
  • Beiträge: 494
  • Beigetreten: 03. Oktober 04
  • Reputation: 0

geschrieben 01. Januar 2005 - 20:48

Ja ich denk schon, aber ich hab was besseres gefunden was dir möglicherweise weiter Hilft.

http://www.chip.de/f...threadid=763388
0

#7 Mitglied ist offline   Boz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 293
  • Beigetreten: 01. Mai 04
  • Reputation: 0

geschrieben 01. Januar 2005 - 20:53

W32.Sober.I@mm ? bei Symantec?
0

#8 Mitglied ist offline   Großer 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.930
  • Beigetreten: 15. Juni 04
  • Reputation: 0

geschrieben 01. Januar 2005 - 21:05

Hier kannst Du dir den aktuellen "Stinger" herunterladen um deinen Wurm zu entfernen.
Außerdem solltest Du Windows-Update besuchen und dir allen fehlenden Patches installieren um die Lücke zu schließen.

Gruß
0

#9 Mitglied ist offline   ph030 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.130
  • Beigetreten: 14. Juli 04
  • Reputation: 36
  • Geschlecht:unbekannt

geschrieben 01. Januar 2005 - 21:05

***ph030***

Dieser Beitrag wurde von ph030 bearbeitet: 29. Januar 2005 - 22:40

0

#10 Mitglied ist offline   Boz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 293
  • Beigetreten: 01. Mai 04
  • Reputation: 0

geschrieben 01. Januar 2005 - 21:06

Microsoft weiß noch gar nichts davon. Stinger hab ich schon, im abgesichertem Modus oder im normalen Windows? (drüberlaufen lassen)
0

#11 Mitglied ist offline   Großer 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.930
  • Beigetreten: 15. Juni 04
  • Reputation: 0

geschrieben 01. Januar 2005 - 21:13

Besser im abgesicherten Modus.
Aber schaue dir vorher die Einstellungen vom Stinger genau an.
0

#12 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 01. Januar 2005 - 22:10

So wie ich das sehen empfängst du mit TheBat! eMails, die u.a. auch den Sober-Wurm beinhalten. TheBat! packt entweder die aktuell empfangende Mail oder die Dateinanhänge ins Temp-Verzeichnis, dort meldet sich dann der Virenscanner und will die Datei löschen.

Also, was ist alles schiefgelaufen:
1. Die Tatsache, daß du Wurmmails empfängst, ist absolut kein Grund zur Panik. Eher ein Grund für serverseitige Filter.
2. Daß TheBat! sowas ins Temp-Verzeichnis packt ist in Kombination mit Virenscannern lästig. Entweder tauschst du das Mailprogramm aus oder definierst das Temp-Verzeichnis als Ausnahme, handelst dir damit eine nicht unerheblich Lücke in der Virenprüfung ein.
3. Das Ding kommt als Base64 an, dabei können Bytes teilweise vermischt werden und sonst gültige Signaturen zu stark greifen.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

#13 Mitglied ist offline   Boz 

  • Gruppe: aktive Mitglieder
  • Beiträge: 293
  • Beigetreten: 01. Mai 04
  • Reputation: 0

geschrieben 02. Januar 2005 - 22:40

ähm.....(vielen dank für deine "endlich" Informative antwort) *gg*....und was soll ich deiner meinung nach jetzt tun? Also ich bin bei GMX und ich weiß schon welche eMail das war. Hab sie sofort gelöscht. Ich bin kein Anfänger oder so ich bin schon ein Pro-User, also d.h. dass ich nen "Anhangswurm" schnell finde und denn lösche, aber ich glubeder hat sich automatisch dann vom Temp-Verzeichniss installiert, weil GMX ihn durchgelassen hat.

BITTE HELF MIR RIKA!!!
0

#14 Mitglied ist offline   Memphis_1 

  • Gruppe: aktive Mitglieder
  • Beiträge: 540
  • Beigetreten: 08. Februar 04
  • Reputation: 0
  • Geschlecht:Männlich
  • Interessen:Motorradfahren

geschrieben 02. Januar 2005 - 22:51

Zitat (Boz: 02.01.2005, 22:40)

Ich bin kein Anfänger oder so ich bin schon ein Pro-User....
<{POST_SNAPBACK}>



1. seit wann kann man sich selber pro-user nennen?! :blush:
2. wenn du pro wärst hättest du erst gar keinen wurm bekommen oder nicht?
3. weil du erkennst "ui da ist ein wurm" hat das noch nix zu sagen, das kann mein kleiner bruder auch

aba naja........ ;D
0

#15 Mitglied ist offline   Rika 

  • Gruppe: aktive Mitglieder
  • Beiträge: 11.533
  • Beigetreten: 11. Juni 03
  • Reputation: 2
  • Geschlecht:Männlich

geschrieben 02. Januar 2005 - 23:21

@Boz:

Ja was woll... 'n anderes Mailprogramm nehmen oder so konfigurieren, daß die temporär dekodierten Anhänge in einem anderen Ordner landen, so dies denn möglich ist. Und mal die Filterrgeln beim GMX nutzen, insbesonderen RegExps sind doch fein.

@Memphis_1:

1. ich bin ein pro user !!!!!!111elf :blush:
2. Doch. Er hat sich den Wurm ja nicht eingefangen, sondern nur eine Mail mit dem Wurm bekommen. Ist ziemlich schlecht vermeidbar, da die Freemailer (außer Hotmail, aber Hotmail ist doof) das Virenscannen nur den Bezahlkunden vorbehalten (und sich damit selbst ins Knie shcißene, sie könnten doch so viel Traffic sparen) und die Filtermerkmale keine False Positives produzieren sollten (deshalb kommt alles mit dem Betreff "Ihre neuen Accountdaten" auch gefälligst durch).
3. ... und klickt ihn an, um dich zu ärgern. ;D
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Eingefügtes Bild
Ja, mata ne!

(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0