# Bundeskriminalamt warnt vor falschen Mails



## Der Jurist (22 November 2005)

http://www.spiegel.de/netzwelt/politik/0,1518,386240,00.html




			
				Spiegel online schrieb:
			
		

> COMPUTERVIREN
> 
> *BKA warnt vor gefälschten E-Mails*
> 
> ...


----------



## Adele (22 November 2005)

*Unerwünschte Werbung / Spam*

Guten Morgen Jurist.

Herzlichen Dank für die Warnung. Gerade eben hatte ich Deinen Beitrag gelesen und schwupps.... promt hatte ich genau diese Pseudo-BKA-Mail in meiner Mailbox. Hast Du eine Ahnung, wo die her kommt?

Gruss  Adele


----------



## Der Jurist (22 November 2005)

Nein, aber auch nicht selber untersuchen, sondern löschen, das sonst der Virus .....


----------



## Adele (22 November 2005)

*Unerwünschte Werbung / Spam*

So, nachdem ich jetzt knapp 100 Leuten diesen Spiegel-online-Text "BKA warnt vor gefälschten E-Mails" gemailt habe, kann ich das Wort Virenwarnung auswendig. Den bisherigen Rückmeldungen zu Folge ist das "BKA-Virus" schon fröhlich unterwegs.


----------



## stieglitz (22 November 2005)

Adele schrieb:
			
		

> Guten Morgen Jurist.
> 
> Herzlichen Dank für die Warnung. Gerade eben hatte ich Deinen Beitrag gelesen und schwupps.... promt
> 
> ...


hallo Adele,
die tatsächlichen Absender sind nur sehr schwer bzw. überhaupt nicht zu ermitteln.
Vermutungen richten sich auf osteuropäische Länder.
Poste mal den Header der Mail, irgendwelche Spezialisten können daraus evtl. etwas auslesen.
Oder Schau mal bei www.antispam-ev.de vorbei, dort wird das Thema auch schon behandelt.
Dort findest du auch viele weiteregehende Informationen zu diesen Themen.
Recht spannend.


----------



## Adele (22 November 2005)

*Unerwünschte Werbung / Spam*

Mein Hard-und-Software-Entwickler-Lebensgefährte wollte sich das Ding heute Abend mal ansehen. Mal sehen, ob er was raus findet.  :roll:


----------



## Adele (22 November 2005)

*Unerwünschte Werbung / Spam*

So sieht der Header aus:


Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 64.113.222.68 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#7639 (siehe Anhang)

Hochachtungsvoll
i.A. Juergen Stock



--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 ? 0


----------



## Anonymous (22 November 2005)

Und wo ist der Header?


----------



## stieglitz (22 November 2005)

@Adele
Das ist nicht der Header.
Der header ist die Absenderkennung.
Mit welchem Mailsystem arbeitest du?
Damit dir jemand sagen kann, wie du an den Header rankommst?
Bei Outlock kann ich dir helfe.


----------



## Adele (22 November 2005)

*Unerwünschte Werbung / Spam*

Tschuldigung, ich habe gepennt. Manche Sachen lasse ich doch besser lieber von meinem Freund machen....


----------



## SEP (22 November 2005)

So etwas gab's mit dem älteren Sober.C vor zwei Jahren schon mal - damals war's die Kripo Düsseldorf...


----------



## stieglitz (22 November 2005)

Ich hab jetzt so ein Ding von der CIA, nicht nur vom popeligen BKA.  
Beim Anhang handelt es sich um den Wurm sober.ag.
Virenschutz und Spam-Filter hatten gewirkt.  


> Dear Sir/Madam,
> 
> we have logged your IP-address on more than 30 illegal Websites.
> 
> ...


----------



## stieglitz (22 November 2005)

Hier ein ausführlicher Bericht:
http://de.internet.com/index.php?id=2039625&section=Security


> BKA warnt vor gefälschten E-Mails mit BKA-Absender
> "Tausende von besorgten Bürgern rufen an"
> 
> Wie dem Bundeskriminalamt heute bekannt wurde, ist derzeit eine E-Mail in Umlauf, die als Absender das BKA vorgibt. Der Betreff dieser E-Mail lautet, dass der Empfänger Raubkopien besitzt. 2Das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 67.64.230.105 erfasst wurde. Der Inhalt Ihres Rechners wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet", versucht die gefälschte Nachricht ihre Empfänger zu schocken. Nicht ohne Wirkung: "Tausende von besorgten Bürgern rufen bei uns an", so ein BKA-Sprecher heute in Wiesbaden. Das Amt warnt dringend davor, den Dateianhang der E-Mails zu öffnen.
> ...


So kann man eine ganze Bundesbehörde durch Anrufe von tausenden besorgten Bürgern still legen.


----------



## stieglitz (22 November 2005)

So, jetzt kommt der Mist auch noch aus Polen in polnischer Sprache.
Immer mit dem Anhang SOBER.AG. Hier vorhin eingefallen.
Da scheint eine weltweite Angriffswelle zu laufen.


----------



## KatzenHai (22 November 2005)

RTL ist auch betroffen. Und hier nun mal ein ganzer Header nebst Mail:
Received: from [217.127.148.171] (helo=gepbnj.de)
by mx32.web.de with smtp (WEB.DE 4.105 #323)
id 1EeZ1c-0001Rn-00; Tue, 22 Nov 2005 15:21:37 +0100
From: Kandidat[at]RTLWorld.de
To: engine[at]web.de
Date: Tue, 22 Nov 2005 12:28:48 UTC
Subject:[Virus entfernt] RTL: Wer wird Millionaer
Importance: Normal
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="======c7db959.7653e4d7aaa"
Content-Transfer-Encoding: 7bit
Sender: Kandidat[at]RTLWorld.de

Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: [Name entfernt]
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
Der Web.de-Filter identifizierte im Anhang ("Kandidat.zip") dieser Mail den Email-Worm Win32.Sober.y ...


----------



## Adele (22 November 2005)

*Unerwünschte Werbung / Spam*

Wenig witzig: Gerade habe ich schon die zweite "Sie besitzen Raupkopien"-Mail erhalten. Kam die erste vom Absender [email protected] de an meine private mailbox, hat die neue Mail mit dem gleichen Inhalt von der Adresse [email protected] und ist adressiert an [email protected]. Was habe ich denn davon zu halten. Ist das möglicherweise ungewollte Post vom infizierten Rechner eines meiner Bekannten oder ist möglicherweise gmx infiziert?


----------



## Aka-Aka (22 November 2005)

(off topic-rofl)
In den heute-nachrichten wurde gerade gemeldet, dass die BKA-mail gefälscht ist. Das Video beginnt sehr amüsant, wenn man genau hinschaut...
link zu "heute"-Video


----------



## Der Jurist (23 November 2005)

Aka-Aka schrieb:
			
		

> ....  Das Video beginnt sehr amüsant, wenn man genau hinschaut...
> link zu "heute"-Video


Die Aufnahmen waren aus dem Archiv. Wenn mich nicht alles täuscht, waren die Bilder in München auf der Schwanthaler Straße aufgenommen.

[Sepuklation] Ob da wohl ein Redakteur nach einer gerichtlichen Auseinandersetzung genau über die Frage, ob diese Sequenz gezeigt werden durfte, jetzt belegen wollte, dass er die Auseinandersetzung gewonnen hat und die Bilder zeigen kann?[/Sepuklation]


----------



## Adele (23 November 2005)

*Unerwünschte Werbung / Spam*

So, anbei die beiden Header, die sich nur geringfügig unterscheiden.

From [email protected] Tue Nov 22 09:06:19 2005
Return-Path: <[email protected]>
X-Flags: 0000
Delivered-To: GMX delivery to [email protected]
Received: (qmail invoked by alias); 22 Nov 2005 08:12:07 -0000
Received: from xdsl-87-78-22-65.netcologne.de (HELO sdrta.de) [87.78.22.65]
  by mx0.gmx.net (mx072) with SMTP; 22 Nov 2005 09:12:07 +0100
From: [email protected]
Date: Tue, 22 Nov 2005 08:06:19 GMT
Subject: Sie besitzen Raubkopien
Importance: Normal
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed;
  boundary="======55c8ce7fb5be"
Content-Transfer-Encoding: 7bit
To: [email protected]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: jbfwY5QSeSEkOvL+M3UhaXN1IGRvb8Bf
Status: R 
X-Status: N
X-KMail-EncryptionState:  
X-KMail-SignatureState:  

--======55c8ce7fb5be


From [email protected] Tue Nov 22 15:57:07 2005
Return-Path: <[email protected]>
X-Flags: 0000
Delivered-To: GMX delivery to [email protected]
Received: (qmail invoked by alias); 22 Nov 2005 15:04:37 -0000
Received: from xdsl-84-44-179-86.netcologne.de (HELO jwbhv.de) [84.44.179.86]
  by mx0.gmx.net (mx072) with SMTP; 22 Nov 2005 16:04:37 +0100
From: [email protected]
To: [email protected]
Date: Tue, 22 Nov 2005 14:57:07 UTC
Subject: Sie besitzen Raubkopien
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed;
  boundary="=====79ad51e02f02"
Content-Transfer-Encoding: 7bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: 3FbxY1UxeSEkOvL+M3UhaXN1IGRvb4Dk
Status: R 
X-Status: N
X-KMail-EncryptionState:  
X-KMail-SignatureState:  

--=====79ad51e02f02

Mit Grüßen vom Computernaivchen 
 :saint:


----------



## Adele (23 November 2005)

*Unerwünschte Werbung / Spam*

Sieht so aus, als funktionierte mein Spamschutz. Im Spamverdachtsordner waren vorhin die nette RTL-Mail ([email protected])--Schade, wo ich doch so gern Millionär wäre -- und was von [email protected] an den lieben Internet-Kunden (Bin ich nicht, ätsch!) Mal schauen, wie viel Fantasie die noch in der Absendergestaltung zeigen.


----------



## KatzenHai (23 November 2005)

Der Jurist schrieb:
			
		

> Aka-Aka schrieb:
> 
> 
> 
> ...


Du täuschst dich nicht, das sind jene Bilder.

Meine Vermutung: Das ist der Bezug zur Betreffszeile: *"Sie besitzen Raubkopien"*
:rotfl: :lol:


----------



## KatzenHai (23 November 2005)

Neue Variante (soeben im Spam-Bereich des Web.de-Accounts gefunden):
*Betreff:  	 SMTP Mail gescheitert*
Von: 	 Postman[at]awd.at  ins Adressbuch
An: 	 priv-mail[at]web.de
Datum: 	 23.11.05 08:23:30

Betreff: 	 SMTP Mail gescheitert
Von: 	 Postman[at]awd.at  

23.11.05 08:23 

_Received: from [81.10.200.211] (helo=givpolts.at)
by mx33.web.de with smtp (WEB.DE 4.105 #323)
id 1EeoyM-0007ud-00; Wed, 23 Nov 2005 08:23:18 +0100
From: Postman[at]awd.at
To: priv-mail[at]web.de
Date: Wed, 23 Nov 2005 07:00:44 GMT
Subject:[Virus entfernt] SMTP Mail gescheitert
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="fb1fbc.5a241fd5f"
Content-Transfer-Encoding: 7bit
Sender: Postman[at]awd.at_

This is an automatically generated Delivery Status Notification.

SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.

The full mail-text and header is attached!
Der Anhang ""Email.zip" war wieder der Worm.Win32.Sober.y ...


----------



## stieglitz (23 November 2005)

Und eine weitere Variante.
Angebliche Videos von Paris Hilton etc.. Angeblicher Downloadfile
um Videos runterzuladen.(englisch)
Ebenfalls SOBER.AG (Name nach Trend Micro, andere AV Hersteller nennen ihn ggf. anders. Ich dachte die wollten sich auf eine einheitliche Namensgebung einigen)
Auf jedenfall werde da momentan ganz massiv international Angriffe gestartet. Ich denke mal es dient zur Vorbereitung einer weiteren Phishing Attacke.


----------



## Adele (23 November 2005)

*Unerwünschte Werbung / Spam*

:-? 
Wovon ist das eigentlich abhängig, ob eine Mail durch den Spamschutz kommt oder nicht? Gerade erhielt ich Mail Nr. 5, angeblich von der RWTH Aachen, mit dem Anhang post-Textinfo.zip und dem gleichen header wie "Sie haben Raubkopien" in mein normales Postfach. Die nerven....


----------



## stieglitz (23 November 2005)

*Re: Unerwünschte Werbung / Spam*



			
				Adele schrieb:
			
		

> :-?
> Wovon ist das eigentlich abhängig, ob eine Mail durch den Spamschutz kommt oder nicht?


Gute Frage, nächste Frage.  
Das kann man nicht mit wenigen Sätzen erklären. Es kommt auch ganz auf das Antispam-Programm an. Diese Programme suchen, vereinfacht gesagt, das Mail auf typische Spammerkmale ab. Zudem lernen die Programme laufend.
Wenn die halt kein Merkmal finden, gehts durch. Insbesonders bei neuen Versendern. Damit muss man leider leben.
Wichtig ist, immer mitdenken und nicht auf jeden Knopf klicken!


----------



## Adele (23 November 2005)

*Unerwünschte Werbung / Spam*



> Wichtig ist, immer mitdenken und nicht auf jeden Knopf klicken!



ach nee........


----------



## stieglitz (23 November 2005)

Hier Artikel auf PC-Welt. Man sieht, dass es sich tatsächlich um immer die selbe Sorte handelt
http://www.pcwelt.de/news/sicherheit/124843/index.html


> deutsch
> englisch
> 
> "Ermittlungsverfahren wurde eingeleitet"
> ...


Im Original kommts besser raus


----------



## stieglitz (25 November 2005)

stieglitz schrieb:
			
		

> Name nach Trend Micro, andere AV Hersteller nennen ihn ggf. anders. Ich dachte die wollten sich auf eine einheitliche Namensgebung einigen


Um die Verwirrung komplett zu machen, hier ein Auszug aus einem Artikel bei SpOn:


> Inzwischen gibt es so viele davon, dass selbst den IT-Sicherheitsunternehmen hier und da die Zählung durcheinander geraten scheint: Während Computer Associates die aktuelle Variante mit dem Buchstaben W benennen, hält Symantec den Schädling für Variante X. Kaspersky und F-Secure sind schon bei Y, Sophos macht eine Variante Z aus, und Trend Micro schließlich sind längst die Buchstaben des Alphabets ausgegangen: Hier ist Sober schon im "zweiten Durchgang", mit der aktuellen Kennzeichnung "Sober.AG".


http://www.spiegel.de/netzwelt/technologie/0,1518,386672,00.html


----------



## SEP (25 November 2005)

... wobei es mir Wurscht ist, wie datt Ding heißt - so lange mein SecProgramm es sieht und killt. Oder?


----------



## stieglitz (25 November 2005)

SEP schrieb:
			
		

> ... wobei es mir Wurscht ist, wie datt Ding heißt - so lange mein SecProgramm es sieht und killt. Oder?


Da haste natürlich recht. Aber es trägt trotzdem zur Verwirrung bei.
Selbst in diesem Thread wird er einmal Sober.y und dann wieder Sober.ag
genannt.
Reden wir nun vom selben Wurm, oder wie oder was?
Auf jeden Fall ist er eine richtige Plage. Bisher sind bei uns mehrer huntert aufgeschlagen.
Keiner kam durch! :lol:


----------



## stieglitz (25 November 2005)

Und gleich eine neue Variante:



> Account and Password Information are attached!
> 
> 
> ***** Go to: http://w*w.heilpflanzenschule.de
> ***** Email: [email protected]


Der Anhang ist natürlich Sober.??


----------



## stieglitz (25 November 2005)

Und gleich noch ein Nachtrag:


> Protected message is attached!
> 
> 
> ***** Go to: http://www.kroenung.de
> ***** Email: [email protected]



Die greifen sich jetzt wohlklingende Adressen raus und versuchen es auf diese Art die Leute zum klicken zu bekommen. Und das leider mit Erfolg.

Das ist eine neue Dimension.


----------



## Anonymous (2 Dezember 2005)

*BKA-mail*

Interessanterweise bekam ich diese BKA-mail in 4 verschiedenen, sich ähnelnden Versionen über mein sonst fast vollkommen spamfreies T-Online-Account  .

Hat jemand Infos, wieso T-Online (eventuell) hier ein großes Spam-Einfallstor bildete (nur einen Tag lang, in der Nacht zum 24.11.05, danach war der Spuk wieder vorbei).

Ulli


----------



## Anonymous (2 Dezember 2005)

@Ulli

Das ist ja auch kein Spam sondern ein Wurm. Einer der mal privat mit dir im E-Mail kontakt stand hat den bekommen und der Wurm suchte sich dann aus seiner Mailadressenliste deine Adresse raus und versendete sich an dich. So geht das.... Und nicht wie Spam mit Adresshandelslisten.


----------



## rolf76 (6 Dezember 2005)

Ich habe auch die von Katzenhai gemeldete Mail mit dem Betreff "SMTP Mail gescheitert" erhalten, allerdings mit einem anderen Absender.


> From - Tue Dec 06 08:54:52 2005
> ...
> Return-path: <[email protected]>
> Delivery-date: Tue, 06 Dec 2005 00:33:24 +0100
> ...


----------



## stieglitz (6 Dezember 2005)

Mal wieder eine neue Art. Absender angeblich CIA. Aber das wäre nichts besonderes. Der Anhang ist eine echte ZIP Datei namens dxh536.zip.
Ohne .exe anschliessend. Und das gefährliche daran ist, es wurde nicht vom Virenscanner erkannt. 
Hat jemand Interesse an diesem Biest. Ich machs nicht auf!


> Dear Sir/Madam,
> 
> we have logged your IP-address on more than 29 illegal Websites.
> 
> ...


----------



## Captain Picard (8 Dezember 2005)

noch immer unterwegs, fast zeitgleich  beide gestern aufgeschlagen (BKA/RTL) 
(Sober AG/Trendmicro), Schon seltsam,  da die Mail-Addi nur selten und an "handverlesene"
  Adressen verwendet wird...


----------



## stieglitz (8 Dezember 2005)

Captain Picard schrieb:
			
		

> noch immer unterwegs, fast zeitgleic?h  beide gestern aufgeschlagen (BKA/RTL)
> (Sober AG/Trendmicro), Schon seltsam,  da die Mail-Addi nur selten und an "handverlesene"
> Adressen verwendet wird...


Wäre es möglich, dass einer deiner Bekannten einen Zombie-Rechner
hat und der diese Mails an alle seine Adresseinträge verschickt?
Wenn die überschaubar sind, würde ich mal nachfragen.


----------



## Captain Picard (8 Dezember 2005)

stieglitz schrieb:
			
		

> Wäre es möglich, dass einer deiner Bekannten einen Zombie-Rechner hat


"handverlesen" heißt handverlesen, da brauche ich nicht nachzufragen...


----------



## stieglitz (8 Dezember 2005)

@CP
selbst wenn deine E-Mail Adresse nur auf zwei Rechnern gespeichert ist,
kann ja einer wurmverseucht sein.


----------



## virenscanner (8 Dezember 2005)

Wie ich CP kenne, dürfte 





> kann ja einer wurmverseucht sein.


 wohl sicher ausgeschlossen sein.


----------



## stieglitz (9 Dezember 2005)

Und hier gehts weiter:


			
				heise schrieb:
			
		

> 08.12.2005 15:30
> 
> "BKA-Wurm" Sober.Z lädt im Januar nach
> Nach Angaben einiger Hersteller von Antivirensoftware könnte der immer noch sehr aktive "BKA-Wurm" Sober.Z am 5. Januar 2006 weitere Funktionen nachladen, um neue Aufgaben zu erledigen. Auf die gleiche Weise mutierte auch der "WM-Ticket-Wurm" Sober.O im Mai vor der Landtagswahl in Nordrhein-Westfalen zum Spam-Roboter, um Mails mit rechtsgerichteten Inhalten zu versenden. Sober.G versuchte Mitte 2004 ebenfalls vor einer Landtagswahl mit Nazi-Spam Stimmung zu machen. Anzeige


http://www.heise.de/newsticker/meldung/67146


----------



## Anonymous (10 Dezember 2005)

*Sober.Y statt Millionaer*

Aktuell reingekommen:

"Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei [...] im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.


+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: [...]
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99"

AntiVir meinte zum Anhang "Gewinn-Text.zip (55,6 kB": 
"Enthält Signatur des Wurmes WORM/Sober.Y"

Der Header:

Return-Path: <[...]>
X-Flags: 0000
Delivered-To: GMX delivery to (_ich_) gmx de
Received: (qmail invoked by alias); 10 Dec 2005 17:51:44 -0000
Received: from 248.152.77.83.cust.bluewin.ch (HELO cochenfq.de) [83.77.152.248]
  by mx0.gmx.net (mx054) with SMTP; 10 Dec 2005 18:51:44 +0100
From: [...]
To: [...] _(kenn ich nich!)_
Date: Sat, 10 Dec 2005 17:46:39 GMT
Subject: RTL: Wer wird Millionaer
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==09e05faa81aa4ee.30575c41a"
Content-Transfer-Encoding: 7bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: 4nDpYzQ6eSEkRKQibnQhaXN1IGRvb0B2

--==09e05faa81aa4ee.30575c41a

Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei [...] im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.


+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: [...]
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
--==09e05faa81aa4ee.30575c41a
Content-Type: application/octet-stream; name=Gewinn_Text.zip
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Gewinn_Text.zip"

Und dann jede Menge davon: "UEsDBAoAAAAAAACQdjPMyus3XtgAAF7YAAA..."


----------



## Telekomunikacja (13 Dezember 2005)

*"Nachzügler"*



			
				stieglitz schrieb:
			
		

> > Protected message is attached!
> >
> >
> > ***** Go to: h**p://www.kroenung.de
> ...


Gestern kam - nach 


> I***@bka.bund.de - Sie besitzen Raubkopien
> R***@RTLWorld.de - RTL: Wer wird Millionaer
> H***@domena.cz - Account Information
> I***@yahoo.com - SMTP Mail gescheitert
> ...


im Zeitraum 23.-26.11. - noch ein "Nachzügler", "Subject: Ihr Passwort":


> Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.
> 
> *** h**p://www.aral.de
> *** E-Mail: [email protected]


Angehängt war "aral-TextInfo.zip".


----------



## Telekomunikacja (15 Dezember 2005)

*Sober.Z lädt im Januar nach*



			
				stieglitz schrieb:
			
		

> heise schrieb:
> 
> 
> 
> ...


H+BEDV berichtete *vorgestern*, dass der Angriff am *6. Januar* startet - und bietet ein *Removal Tool für Windows* an.


----------



## stieglitz (20 Dezember 2005)

*Erstes Opfer des Wurmes*

Da weiss man wirklich nicht ob man weinen oder lachen soll.
Mein Mitleid hält sich allerdings in Grenzen, KiPo ist abscheulich.


> Laut einer Pressemitteilung der Polizei Paderborn hat ein 20 Jahre alter Mann eine Mail des Wurms Sober Y für bare Münze genommen und sich selbst bei der Polizei angezeigt. Wie vermutlich Millionen andere Anwender auch hatte er eine Mail mit der Betreffzeile "Ermittlungsverfahren eingeleitet" erhalten. Da er aber auf seinem Rechner tatsächlich pornographische Bilder von Kindern gespeichert hatte, sah er sich zu Recht beschuldigt und trat daher die Flucht nach vorn an. Nun wurde ein Strafverfahren gegen den jungen Mann eingeleitet.


http://www.intern.de/news/7458.html


----------



## Adele (20 Dezember 2005)

Toll. Diese Art von Wurmwirkung gefällt mir. Immerhin werden in der Medizin auch Maden zur Wundreinigung eingesetzt. Warum also nicht Sober-Würmer als Unterstützung zur Bekämpfung dieser abscheulichen Form von Kriminalität....?
 :holy:


----------



## Wembley (20 Dezember 2005)

Ganz abgesehen von diesem Fall, würde mich interessieren, wie viele schon beim BKA Wiesbaden angerufen haben und im vollen Ernst den Herrn Jürgen S. am Telefon verlangt haben.

Gruß
Wembley


----------



## stieglitz (21 Dezember 2005)

Adele schrieb:
			
		

> Toll. Diese Art von Wurmwirkung gefällt mir. Immerhin werden in der Medizin auch Maden zur Wundreinigung eingesetzt. Warum also nicht Sober-Würmer als Unterstützung zur Bekämpfung dieser abscheulichen Form von Kriminalität....?
> :holy:


Die AV-Software Hersteller sehen das genau so. 


			
				SpOn schrieb:
			
		

> in den Labors der IT-Sicherheitsunternehmen fanden sie die Nachricht richtig lustig. "Wir sind so daran gewöhnt, Würmer und Viren als schlechte Nachrichten zu sehen und nicht als Dinge, die die Welt ein wenig besser machen", kommentierte Graham Cluley von Sophos


Die Geschichte isttatsächlich sogar eine Spiegel Meldung wert.
http://www.spiegel.de/netzwelt/politik/0,1518,391608,00.html


----------



## UlliZ (21 Dezember 2005)

*Nettoeffekte*

*Na toll.* Währen hunderttausende Rechner mit Trojanern überschütten werden freuen sich alle über einen, vermutlich psychisch gestörten, User der sich selbst anzeigt. D.h. er hatte nicht nur psychische Probleme sondern er war zudem auch noch reichlich naiv. Hm. Dann müßte man auch massig Pishing-Attacken unterstützen, denn da könnte es, by the way, ja auch einen Autoschieber, einen Bankräuber oder einen von der Drogenmafia mit erwischen?

Nö, auf solche "Kolateralgewinne" kann ich gerne verzichten .


----------



## stieglitz (21 Dezember 2005)

Ach Ulli, nimms nicht so ernst. Die Meldung hat  was und ist einfach nur witzig.
Selbst Heise ist es eine Meldung wert:
http://www.heise.de/newsticker/meldung/67616


----------



## Adele (21 Dezember 2005)

@ UlliZ

Sehe ich etwa so wie stieglitz. Natürlich ist es nicht o.k. dass die Rechner mit Trojanern überschüttet werden, aber dass es so eine Mail einen Päderasten aus dem Verkehr gezogen hat, halte ich doch für einen erfreulichen Glücksfall, zumal solche Herrlichkeiten (und manchmal auch Dämlichkeiten)     :bash:  ihrer perversen Neigungen unerkannt im Dunkeln nach gehen.

Nix für ungut, denn einen Heiligenschein kriegen die Trojaner-Versender trotzdem nicht verpasst.

Gruss    Adele


----------



## Telekomunikacja (4 Januar 2006)

*Sober.Z am 6. Januar*



			
				Telekomunikacja schrieb:
			
		

> H+BEDV berichtete *vorgestern*, dass der Angriff am *6. Januar* startet - und bietet ein *Removal Tool für Windows* an.


*Microsoft Security Advisory (912920)*:


> On systems that are infected by Win32/[email protected], the malware is programmed to download and run malicious files from certain Web domains beginning on January 6, 2006. Beginning approximately every two weeks thereafter, the worm is set to begin downloading and running malicious files from additional sites on the same Web domains.


----------



## stieglitz (6 Januar 2006)

> Nachladeversuche des "BKA-Wurms" Sober laufen ins Leere
> Wie erwartet hat der "BKA-Wurm" Sober.Z heute Nacht seine Verbreitung per Mail weitgehend eingestellt und versucht stattdessen, Dateien von verschiedenen Webservern nachzuladen. Allerdings ist unter den dafür vorgesehenen URLs noch nichts hinterlegt, sodass der Nachladeversuch scheitert.
> 
> Dennoch ist weiter Vorsicht geboten, da jederzeit damit zu rechnen ist, dass der Wurm-Autor neue Inhalte auf den Servern hinterlegt, um Sober mit neuen Funktionen auszustatten. Ob und wann dies geschieht, ist aber nicht zu sagen. Eventuell wird der Autor erst dann wieder aktiv, wenn sich der Trubel um Sober wieder gelegt hat. (dab/c't)


http://www.heise.de/newsticker/meldung/68062


----------

