WinFuture-Forum.de: Sober.z: Keine Mailschwemme Wie Angekündigt - WinFuture-Forum.de

Zum Inhalt wechseln

Beiträge in diesem Forum erhöhen euren Beitragszähler nicht.
Seite 1 von 1

Sober.z: Keine Mailschwemme Wie Angekündigt ... nicht ganz überraschend


#1 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 21. November 2005 - 20:41

WARNUNG: Neue Sober-Virus-Varianten unterwegs!

Seit heute Abend ist schon wieder neue Sober-Virus-Welle unterwegs. Sie können deutschen oder auch englischen Text enthalten. Hier vier Beispiele von deutschsprachigen Versionen:

Zitat

Betreff: Sie besitzen Raubkopien oder Ermittlungsverfahren_wurde_eingeleitet
Text:
Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 149.245.74.83 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#6444 (siehe Anhang)

Hochachtungsvoll
i.A. Juergen Stock

Anhang: Akte6444.zip (enthält die Datei File-packed_dataInfo.exe)


Zitat

Betreff: Sehr geehrter Ebay-Kunde
Text:
Bei uns wurde ein neues Benutzerkonto mit dem Namen "Pippi1976" beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.

Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.


Vielen Dank,

Ihr Ebay-Team

Anhang: Ebay-User18903_RegC.zip (enthält die Datei File-packed_dataInfo.exe)


Zitat

Betreff: RTL: Wer wird Millionaer
Text:
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.


+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99

Anhang: RTL-Admin.zip (enthält die Datei File-packed_dataInfo.exe)


Zitat

Betreff: Ihr Passwort oder Account Information
Text:
Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.


*** http://www.jesus.ch
*** E-Mail: [email protected]

Anhang: jesus-TextInfo.zip (enthält die Datei File-packed_dataInfo.exe)


Quelle: McAfee / (mein E-Mail Posteingang)


UPDATE:
Es gibt inzwischen auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,23143.html

Dieser Beitrag wurde von swissboy bearbeitet: 06. Januar 2006 - 06:14

0

Anzeige



#2 Mitglied ist offline   vodafone 

  • Gruppe: aktive Mitglieder
  • Beiträge: 99
  • Beigetreten: 03. Juli 03
  • Reputation: 0

geschrieben 22. November 2005 - 16:10

Seit einiger Zeit ist der Computerwurm Sober schon im Internet unterwegs und verteilt sich über E-Mail-Anhänge. Beim Öffnen des Anhangs verschickt er sich automatisch an alle Personen weiter, die im Adressbuch des Rechners stehen und die er in Dateien auf der Festplatte aufgespürt hat.

Das Bundeskriminalamt (BKA) warnt jetzt vor einer wahrscheinlich neuen Variante des Wurms, und zwar W32.Sober.X. Die Mails, die der Wurm zurzeit verschickt, haben Betreffzeilen wie "Sie besitzen Raubkopien" oder "Ermittlungsverfahren wurde eingeleitet". In der E-Mail steht, dass angeblich "der Inhalt des Rechners als Beweismittel sichergestellt" wurde. Natürlich ist das BKA nicht der Absender, und auch hier verbreitet sich der Wurm weiter, wenn man den Anhang öffnet. Das BKA rät, die E-Mails zu löschen und einen Virenscanner über den Rechner laufen zu lassen.

Das FBI hat in den USA ähnliche Probleme: Ein E-Mail-Wurm verteilt hier die Nachricht, das FBI überwache den Internetzugang des Empfängers und habe den Besuch illegaler Homepages festgestellt. Wer die Mail bekommt, solle den Anhang öffnen und Fragen beantworten. Auch diese E-Mails stammen nicht vom angeblichen Absender.
0

#3 Mitglied ist offline   W@yne 

  • Gruppe: aktive Mitglieder
  • Beiträge: 889
  • Beigetreten: 20. Juli 05
  • Reputation: 0

geschrieben 22. November 2005 - 16:16

Wer so doof ist, solche eMails überhaupt zu lesen, gehört ausm Netz weggesperrt...
0

#4 _misteranwa_

  • Gruppe: Gäste

geschrieben 22. November 2005 - 16:26

Hallo

@ W@yne

Das würde ich so nicht sagen, was ist z.B. mit den I-Net Anfänger die noch keine Ahnung von solchen Dingen haben. Du wusstest ja am Anfang auch nicht alles, oder?
0

#5 Mitglied ist offline   W@yne 

  • Gruppe: aktive Mitglieder
  • Beiträge: 889
  • Beigetreten: 20. Juli 05
  • Reputation: 0

geschrieben 22. November 2005 - 17:25

Beitrag anzeigenZitat (misteranwa: 22.11.2005, 16:26)

Das würde ich so nicht sagen, was ist z.B. mit den I-Net Anfänger die noch keine Ahnung von solchen Dingen haben. Du wusstest ja am Anfang auch nicht alles, oder?

Hab ich auch nicht behauptet, aber letzten Endes sind doch Leute, die über solche Mails nicht Bescheid wissen, für solche Wurmepidemien erst verantwortlich...
0

#6 Mitglied ist offline   Elren Luthien 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.981
  • Beigetreten: 20. September 04
  • Reputation: 6
  • Geschlecht:Männlich
  • Wohnort:Zürich/Schweiz

geschrieben 22. November 2005 - 17:46

*Themen verbunden*

und wehe hier geht die Flamerei wieder los. :blink:

So much for dreams we see but never care to know
Your heart makes me feel
Your heart makes me moan
For always and ever, I'll never let go..."

Elrens Blog Elren auf Last.fm Elren bei SysProfile
0

#7 _Gast_

  • Gruppe: Gäste

geschrieben 22. November 2005 - 18:18

mann ich hab heute vormittag 40 dieser Mails innerhalb 3 Stunden bekommen! Auf meine Privatadresse, die sonst sehr selten sowas bekommt....
0

#8 _Gast_

  • Gruppe: Gäste

geschrieben 22. November 2005 - 20:00

das liegt wohl daran, dass dich ein bekannter im adressbuch hat...
0

#9 Mitglied ist offline   Win-Fan 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.218
  • Beigetreten: 09. Februar 05
  • Reputation: 0

geschrieben 23. November 2005 - 03:36

Beitrag anzeigenZitat (W@yne: 22.11.2005, 17:25)

aber letzten Endes sind doch Leute, die über solche Mails nicht Bescheid wissen, für solche Wurmepidemien erst verantwortlich...
Was auch verständlicherweise die meisten sind, wenn man sich mal überlegt das einerseits nur sehr selten in den Medien wie z.B. TV drüber Informationen bekanntgegeben werden, und zum anderen z.B. ständig der Betreff geändert wird und auch in vielen Fällen immer glaubwürdiger erscheint, (und es ebend nichtmehr nur Mails in englisch sind).

Betreff: Ihr Passwort oder Account Information
Text:
Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anha
ng.

Hierfür wird es sehr viel leichtgläubige und nicht informierte Anwender geben, da sich fast jeder schon irgentwo in irgenteiner Form registriert haben wird und es immer genügend gibt die dann erstmal im guten Glauben den Anhang öffnen um zu schauen um was es denn eigentlich genau geht usw.
-----------------------------------------------------------------------------------------
Betreff: RTL: Wer wird Millionaer
Text:
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.


Hier dürfte es normalerweise nur die treffen die sich wirklich dort beworben haben, und selbst davon werden wohl einige wissen was sie davon zuhalten haben. Also eher wenige.
Aber wie gesagt gibts ja auch immernoch genug "neugierige", "unerfahrene" und "nicht informierte" die drauf reinfallen + die die sich nichtmal dort beworben haben aber vor neugier Anklicken "müssen".
-----------------------------------------------------------------------------------------
Betreff: Sehr geehrter Ebay-Kunde
Text:
Bei uns wurde ein neues Benutzerkonto mit dem Namen "Pippi1976" beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.


eBay User gibt es bekanntermaßen wie Sand am Meer, daher auch hier eine warscheinlich sehr große Zahl neugieriger, unerfahrener, nicht informierter und drauf reingefallener Opfer.
-----------------------------------------------------------------------------------------
Betreff: Sie besitzen Raubkopien oder Ermittlungsverfahren_wurde_eingeleitet
Text:
Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 149.245.74.83 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.


Mein persönlicher Favorit aus der Auswahl. :wink: Das dürften wohl auch die meisten sein, die veilleicht über solche typischen eMails bescheit wissen, aber wohl doch der eine oder andere mal sehr neugierig reinschauen wird da die "Pupe" ein bisschen geht. :wink: Dazu kommen ja dann noch die ganzen nichts ahnenden unerfahrenen User die sich keiner Schuld bewusst sind und natürlich vor neugier platzen.
Kann ich mir jedenfalls so vorstellen.
-----------------------------------------------------------------------------------------

Und im endeffekt wird ja nicht umsonst mit solch immer realistischer klingenden Betreffzeilen ahnungslose gelockt, und die Welt ist voll neugieriger Menschen.
Also bei der imernoch schlechten Aufklärung um solche Mails, ist es daher nicht wirklich ein Wunder das sowas immerwieder zieht und Opfer findet. Und da kann man nicht sagen das alle weggesperrt gehören die sowas öffnen.
Und wie gesagt rede ich hier natürlich nicht von denen die wissen das man sowas nicht öffnet was ebend imernoch die wenigsten sind.
Erst letztens kam fast Zeitgleich zu der News hier, in den Nachrichten ein kurzer Beitrag dazu, das war es dann aber auch schon gewesen, mir ist auch nicht bewusst das ich das zu einem späteren Zeitpunkt in einer anderen Sendung nochmals gesehen hätte. Wie soll also auch der letzte User erreicht werden wenn solche Meldungen nur alle Jubejahre mal am Rande erwähnt werden?

Dieser Beitrag wurde von Win-Fan bearbeitet: 23. November 2005 - 04:01

Eingefügtes Bild

Nimm das Leben nicht so ernst, du kommst eh nicht lebend raus.
0

#10 _Gast_

  • Gruppe: Gäste

geschrieben 23. November 2005 - 08:16

Zitat

Am 21. November 2005 um 14:20 Uhr (Pazifik Standardzeit, GMT - 8:00) wurde von TrendLabs ein Alarm mittlerer Risikostufe zur Eindämmung dieser neuen SOBER-Variante, die sich in den USA, Kanada, Brasilien, Neuseeland, Belgien und Deutschland verbreitet, ausgegeben.

Von: {Durch den Wurm erzeugte E-Mail-Adresse}

Betreff: (eine der folgenden Möglichkeiten)
• hi,_ive_a_new_mail_address
• Mail delivery failed
• Registration Confirmation
• smtp mail failed
• Spam: Registration Confirmation
• Your Password
• Your IP was logged
• Paris_Hilton_&Nicole_Richie
• You visit illegal websites


Quelle: http://de.trendmicro-europe.com/enterprise...e=WORM_SOBER.AG
0

#11 Mitglied ist offline   Ferrum 

  • Gruppe: aktive Mitglieder
  • Beiträge: 177
  • Beigetreten: 10. Oktober 03
  • Reputation: 0

geschrieben 23. November 2005 - 12:00

Heute fischfrisch eingetroffen:

Zitat

Betreff: Ermittlungsverfahren wurde eingeleitet

Text:
Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 92.205.98.230 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#7101 (siehe Anhang)

Hochachtungsvoll
i.A. Juergen Stock



--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0

Anhang: Akte7101.zip

Dieser Beitrag wurde von Ferrum bearbeitet: 23. November 2005 - 12:01

0

#12 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

geschrieben 23. November 2005 - 12:20

Beitrag anzeigenZitat (Ferrum: 23.11.2005, 12:00)

Heute fischfrisch eingetroffen:

Daran ist nichts Neues, siehe Beitrag #1.
0

#13 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 08. Dezember 2005 - 22:50

"BKA-Wurm" Sober.Z lädt im Januar nach

Nach Angaben einiger Hersteller von Antivirensoftware könnte der immer noch sehr aktive "BKA-Wurm" Sober.Z am 5. Januar 2006 weitere Funktionen nachladen, um neue Aufgaben zu erledigen. Auf die gleiche Weise mutierte auch der "WM-Ticket-Wurm" Sober.O im Mai vor der Landtagswahl in Nordrhein-Westfalen zum Spam-Roboter, um Mails mit rechtsgerichteten Inhalten zu versenden. Sober.G versuchte Mitte 2004 ebenfalls vor einer Landtagswahl mit Nazi-Spam Stimmung zu machen.

Den kompletten heise online Artikel gibt es hier.


UPDATE:
Es gibt inzwischen auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,23368.html

Dieser Beitrag wurde von swissboy bearbeitet: 12. Dezember 2005 - 20:31

0

#14 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 06. Januar 2006 - 06:52

Sober.Z: Die angekündigte Mailschwemme scheint auszubleiben

Heute Nacht ab 1:00 MEZ (Mitternacht nach UTC) hätte Sober.Z versuchen sollen weiteren Schadcode aus dem Netz nachzuladen. WinFuture berichtete bereits darüber hier und hier. Es wurde vermutet das dadurch eine neue Mailschwemme ausgelöst werden könnte, wie schon bei Sober.O der im Mai 2005 ein wahre Flut von rechtsradikalen Mails verursachte. Diese scheint aber für Experten nicht ganz überraschend ausgeblieben zu sein. Die Liste der URLs von denen der Schadcode nachgeladen werden sollte war ja schon seit längerem bekannt und so hatten die betroffenen Provider in Deutschland und Österreich genug Zeit diese zu sperren, was sicher auch in deren Interesse lag. Grund für eine totale "Entwarnung" ist dies aber nicht. Es könnte auch heissen das der Sober.Z-Autor aufgrund der hohen Publizität die er verursacht hat erst einmal in Deckung gegangen ist und zu einem späteren Zeitpunkt zuzuschlagen versucht. Gemäss einem Microsoft Security Advisory (und anderen Quellen) wird Sober.Z versuchen im Abstand von zwei Wochen weiteren Schadcode von anderen URLs innerhalb derselben Domänen herunterzuladen. Ich bin mir (fast) sicher das meine Einschätzung im Verlaufe des Tages von anderen Quellen bestätigt werden wird.

Quelle: Selbst zusammengefrickelt


UPDATE:
Es gibt inzwischen auch eine WinFuture-News zu diesem Thema:
http://www.winfuture...news,23666.html

Dieser Beitrag wurde von swissboy bearbeitet: 10. Januar 2006 - 12:27

0

#15 Mitglied ist offline   swissboy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.299
  • Beigetreten: 29. Dezember 04
  • Reputation: 2
  • Wohnort:127.0.0.1

  geschrieben 06. Januar 2006 - 13:54

Angriff von Computer-Wurm Sober bisher ausgeblieben

Der von Experten befürchtete Angriff des Computer-Wurms Sober ist bislang ausgeblieben. "Bisher gibt es noch keine Aktivitäten, allerdings ist weiter Vorsicht geboten", sagte Günther Ennen vom deutschen Bundesamt für Sicherheit in der Informationstechnik am Freitag in Bonn.

Quelle BSI / DPA / baz
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0