Worm/sober.i.base64a
#1
geschrieben 01. Januar 2005 - 20:32
Hallo,
seit einiger Zeit bekomme ich von AntiVir diese Meldung, wenn ich eMails abrufen will tue:
C:\DOKUME~1\BENUTZER\LOKALE~1\TEMP\BAT346.TMP
Enthält Signatur des Wurmes Worm/Sober.I.Base64A
Ich habe mich über Google jetzt schonmal schlau gemacht und habe nur herausfinden können, dass die AntiVirenhersteller "" irgendwelche Signaturen gemacht haben oder was weiß ich!!!
Was kann ich denn machen um den Wurm wieder abzuschütteln?
Ich glaube meinen TheBat! lass ich lieber mal aus!
Bitte Helft mir!!!!!
mfg
seit einiger Zeit bekomme ich von AntiVir diese Meldung, wenn ich eMails abrufen will tue:
C:\DOKUME~1\BENUTZER\LOKALE~1\TEMP\BAT346.TMP
Enthält Signatur des Wurmes Worm/Sober.I.Base64A
Ich habe mich über Google jetzt schonmal schlau gemacht und habe nur herausfinden können, dass die AntiVirenhersteller "" irgendwelche Signaturen gemacht haben oder was weiß ich!!!
Was kann ich denn machen um den Wurm wieder abzuschütteln?
Ich glaube meinen TheBat! lass ich lieber mal aus!
Bitte Helft mir!!!!!
mfg
Anzeige
#2
geschrieben 01. Januar 2005 - 20:34
Lade dir mal die neusten Updates von MS runter, vieleicht gibt es schon einen patch der die sicherheitslücke entfernt.
#3
geschrieben 01. Januar 2005 - 20:41
ich weiß ja nicht genau, aber ich bin ja schon infiziert!!! Ich kann ja nicht nen sicherheitspatch drüber machen wenn ich ihn schon hab!!!! Bringt es vielleicht etwas, wenn ich meinen Virenscanner im abgesichertem modus drüberlaufen lass?
#4
geschrieben 01. Januar 2005 - 20:44
Ja bringen wierd es aufjedenfall was, aber wenn es von MS einen patch gibt der die sicherheitslücke behept, dann löscht der patch den virus natürlich gleich mit.
Dieser Beitrag wurde von newbasti bearbeitet: 01. Januar 2005 - 20:44
#6
geschrieben 01. Januar 2005 - 20:48
Ja ich denk schon, aber ich hab was besseres gefunden was dir möglicherweise weiter Hilft.
http://www.chip.de/f...threadid=763388
http://www.chip.de/f...threadid=763388
#8
geschrieben 01. Januar 2005 - 21:05
Hier kannst Du dir den aktuellen "Stinger" herunterladen um deinen Wurm zu entfernen.
Außerdem solltest Du Windows-Update besuchen und dir allen fehlenden Patches installieren um die Lücke zu schließen.
Gruß
Außerdem solltest Du Windows-Update besuchen und dir allen fehlenden Patches installieren um die Lücke zu schließen.
Gruß
#9
geschrieben 01. Januar 2005 - 21:05
***ph030***
Dieser Beitrag wurde von ph030 bearbeitet: 29. Januar 2005 - 22:40
/fuck you - really, I mean it!
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
#10
geschrieben 01. Januar 2005 - 21:06
Microsoft weiß noch gar nichts davon. Stinger hab ich schon, im abgesichertem Modus oder im normalen Windows? (drüberlaufen lassen)
#11
geschrieben 01. Januar 2005 - 21:13
Besser im abgesicherten Modus.
Aber schaue dir vorher die Einstellungen vom Stinger genau an.
Aber schaue dir vorher die Einstellungen vom Stinger genau an.
#12
geschrieben 01. Januar 2005 - 22:10
So wie ich das sehen empfängst du mit TheBat! eMails, die u.a. auch den Sober-Wurm beinhalten. TheBat! packt entweder die aktuell empfangende Mail oder die Dateinanhänge ins Temp-Verzeichnis, dort meldet sich dann der Virenscanner und will die Datei löschen.
Also, was ist alles schiefgelaufen:
1. Die Tatsache, daß du Wurmmails empfängst, ist absolut kein Grund zur Panik. Eher ein Grund für serverseitige Filter.
2. Daß TheBat! sowas ins Temp-Verzeichnis packt ist in Kombination mit Virenscannern lästig. Entweder tauschst du das Mailprogramm aus oder definierst das Temp-Verzeichnis als Ausnahme, handelst dir damit eine nicht unerheblich Lücke in der Virenprüfung ein.
3. Das Ding kommt als Base64 an, dabei können Bytes teilweise vermischt werden und sonst gültige Signaturen zu stark greifen.
Also, was ist alles schiefgelaufen:
1. Die Tatsache, daß du Wurmmails empfängst, ist absolut kein Grund zur Panik. Eher ein Grund für serverseitige Filter.
2. Daß TheBat! sowas ins Temp-Verzeichnis packt ist in Kombination mit Virenscannern lästig. Entweder tauschst du das Mailprogramm aus oder definierst das Temp-Verzeichnis als Ausnahme, handelst dir damit eine nicht unerheblich Lücke in der Virenprüfung ein.
3. Das Ding kommt als Base64 an, dabei können Bytes teilweise vermischt werden und sonst gültige Signaturen zu stark greifen.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#13
geschrieben 02. Januar 2005 - 22:40
ähm.....(vielen dank für deine "endlich" Informative antwort) *gg*....und was soll ich deiner meinung nach jetzt tun? Also ich bin bei GMX und ich weiß schon welche eMail das war. Hab sie sofort gelöscht. Ich bin kein Anfänger oder so ich bin schon ein Pro-User, also d.h. dass ich nen "Anhangswurm" schnell finde und denn lösche, aber ich glubeder hat sich automatisch dann vom Temp-Verzeichniss installiert, weil GMX ihn durchgelassen hat.
BITTE HELF MIR RIKA!!!
BITTE HELF MIR RIKA!!!
#14
geschrieben 02. Januar 2005 - 22:51
Zitat (Boz: 02.01.2005, 22:40)
Ich bin kein Anfänger oder so ich bin schon ein Pro-User....
<{POST_SNAPBACK}>
<{POST_SNAPBACK}>
1. seit wann kann man sich selber pro-user nennen?!
2. wenn du pro wärst hättest du erst gar keinen wurm bekommen oder nicht?
3. weil du erkennst "ui da ist ein wurm" hat das noch nix zu sagen, das kann mein kleiner bruder auch
aba naja........
#15
geschrieben 02. Januar 2005 - 23:21
@Boz:
Ja was woll... 'n anderes Mailprogramm nehmen oder so konfigurieren, daß die temporär dekodierten Anhänge in einem anderen Ordner landen, so dies denn möglich ist. Und mal die Filterrgeln beim GMX nutzen, insbesonderen RegExps sind doch fein.
@Memphis_1:
1. ich bin ein pro user !!!!!!111elf
2. Doch. Er hat sich den Wurm ja nicht eingefangen, sondern nur eine Mail mit dem Wurm bekommen. Ist ziemlich schlecht vermeidbar, da die Freemailer (außer Hotmail, aber Hotmail ist doof) das Virenscannen nur den Bezahlkunden vorbehalten (und sich damit selbst ins Knie shcißene, sie könnten doch so viel Traffic sparen) und die Filtermerkmale keine False Positives produzieren sollten (deshalb kommt alles mit dem Betreff "Ihre neuen Accountdaten" auch gefälligst durch).
3. ... und klickt ihn an, um dich zu ärgern.
Ja was woll... 'n anderes Mailprogramm nehmen oder so konfigurieren, daß die temporär dekodierten Anhänge in einem anderen Ordner landen, so dies denn möglich ist. Und mal die Filterrgeln beim GMX nutzen, insbesonderen RegExps sind doch fein.
@Memphis_1:
1. ich bin ein pro user !!!!!!111elf
2. Doch. Er hat sich den Wurm ja nicht eingefangen, sondern nur eine Mail mit dem Wurm bekommen. Ist ziemlich schlecht vermeidbar, da die Freemailer (außer Hotmail, aber Hotmail ist doof) das Virenscannen nur den Bezahlkunden vorbehalten (und sich damit selbst ins Knie shcißene, sie könnten doch so viel Traffic sparen) und die Filtermerkmale keine False Positives produzieren sollten (deshalb kommt alles mit dem Betreff "Ihre neuen Accountdaten" auch gefälligst durch).
3. ... und klickt ihn an, um dich zu ärgern.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)