# komische Email



## PDTK (21 Dezember 2003)

Hallo,

ich habe gerade folgende Email erhalten:

Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 195.210.56.146 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #13790
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.


Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868

Hochachtungsvoll

i.A. PK Mollbach

Im Quelltext der Nachricht habe ich folgendes gefunden:

Return-path: <[email protected]>
Envelope-to: [email protected]livery-date: Sun, 21 Dec 2003 16:11:07 +0100
Received: from [213.165.64.20] (helo=mail.gmx.net)
        by mxng13.kundenserver.de with smtp (Exim 3.35 #1)
        id 1AY5EZ-000402-00
        for [email protected]; Sun, 21 Dec 2003 16:11:07 +0100
Received: (qmail 5934 invoked by uid 65534); 21 Dec 2003 15:11:01 -0000
Received: from p5081F803.dip.t-dialin.net (EHLO Sober-Mailer.de) (80.129.248.3)
  by mail.gmx.net (mp007) with SMTP; 21 Dec 2003 16:11:01 +0100
X-Authenticated: #21265652
From: [email protected]o: [email protected]te: 21 Dec 2003 16:11:15
Subject: Sie sind ein Raubkopierer
Importance: Normal
Message-ID: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="Sober-Mailer.decd32eff0dd9fd6"

Jetzt hat mich die Sache neugierig gemacht und ich mal nach der IP (195.210.56.146) gesucht:

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html


3 records found for '195.210.56.146' 


Was soll diese Email bewirken?
Ist es nur eine Aktion gegen die Kripo?

Bitte um hilfe, was soll ich machen?

mfg
Peter

_Whois Daten gelöscht , siehe Nutzungsregeln tf/moderator_


----------



## technofreak (21 Dezember 2003)

siehe http://forum.computerbetrug.de/viewtopic.php?t=3500

scheint Wurm sober.c zu sein

tf


----------



## Stalker2002 (21 Dezember 2003)

Ist da noch ein Anhang namens Akte.zip dabei?
*Nicht Öffnen!!!*
Am Besten in die Tonne klöpsen, das ist nämlich eine Wurmmail (Sober.c)
Siehe: Deutschsprachige Wurm-Variante Sober.c verbreitet sich schnell [Update]

MfG
L.


----------



## Dino (21 Dezember 2003)

Na, da wird sich die Wohnakzente GmbH auf einigen Traffic bestehend aus recht unsachlichen Mails freuen dürfen. Ich kenne das! Ähnliche Virenbomben wurden auch schon mit einer Adresse aus meiner Domain ausgehend von einem Rechner in Süddeutschland durch ganz Europa gejagd. Echt klasse, was da den ahnungslosen Domain-Inhaber an Feedback von Empfängern mit gefährlichem Halbwissen erreicht. Dezente Hinweise, wüste Beschimpfungen...bis hin zu Drohungen, die durchaus den einen oder anderen Straftatbestand erfüllen.

Gruß
Dino


----------



## johinos (21 Dezember 2003)

*worm/sober.c1 unterwegs*

Erhielt gerade folgende eMail:

_Wenn Sie meinen mir DROHEN zu können, haben sie sich in den Finger geschnitten!!!
Erstens mal, weiß ich gar nicht wer Sie sind.
Zweitens, kenne ich Ihre Frau oder Freundin nicht.
Und Drittens, Ich habe kein Tächtel-Mächtel mit Ihrem Partner!!!

Ihre Drohgebärden können sie woanders loswerden,
aber nicht bei mir!

Ihre Droh Mails habe ich gerade an die Behörden weitergeleitet.
Sie hören noch von mir!_

Anlage: "DrohMails.cmd", 74,1 kb,  AntiVir meldet: worm/sober.c1

Ach ja, eMail-Header:

Return-Path: <[email protected]>
X-Flags: 0000
Delivered-To: GMX delivery to _(meine)_@gmx.de
Received: (qmail 16640 invoked by uid 65534); 21 Dec 2003 20:21:56 -0000
Received: from smtp02.web.de (EHLO smtp.web.de) (217.72.192.151)
  by mx0.gmx.net (mx016) with SMTP; 21 Dec 2003 21:21:56 +0100
Received: from [80.136.56.236] (helo=DEFAULT)
	by smtp.web.de with asmtp (WEB.DE 4.99 #566)
	id 1AYA5B-0003h0-00; Sun, 21 Dec 2003 21:21:45 +0100
From: [email protected]
To: [email protected]
Subject: Ich zeige sie an!
X-MailScanner: Nothing was found
Importance: Normal
X-Mailer: Microsoft Outlook Express 4.72.3612.1700
X-MSMail-Priority: Normal
MIME-Version: 1.0
Content-Type: multipart/mixed; 
     boundary="cdcb5a648413d68"
Message-Id: <[email protected]>
Date: Sun, 21 Dec 2003 21:21:45 +0100
Sender: [email protected]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)


Falls jemand Interesse hat, bitte melden.


----------



## Dino (21 Dezember 2003)

Gehen wir mal anhand des Mail-Textes davon aus, dass irgendwelche deutschen Wichtigtuer auf den Sobig-Zug aufgesprungen sind. Im Ausland wurden einige Urheber von Viren nach aufwändiger Fahndung (nicht unerheblich) strafrechtlich belangt.
Mich würde einmal interessieren, was in unseren Landen ein Script-Kiddie zu erwarten hätte, wenn man es am A.... kriegen würde.

Gruß
Dino


----------



## Der Genervte (21 Dezember 2003)

Dino, was ide zu erwarten hätten?

Also, sie hatten ja eine schwere Kindheit......         :bang:


----------



## Dino (21 Dezember 2003)

Ich denke, da dürfte zivilrechtlich sicher einiges fällig werden. Wobei...naja...gibt es eigentlich Beispiele in DE? 

Gruß
Dino


----------



## Heiko (21 Dezember 2003)

Dino schrieb:
			
		

> gibt es eigentlich Beispiele in DE?


IIRC noch nicht.


----------



## Anonymous (21 Dezember 2003)

Ich hab eine komische Mail bekommen:
Sehr geehrter Herr Salmanz,
Wir möchten uns noch einmal für unsere falsche
E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies
einige Fehler beim versenden auf.
Ihre Pass- und Geheimwörter wurden selbstverständlich kostenlos geändert.

Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.
In falschen Händen , hätte jede andere Person freie Einsicht
bzw. Verfügung über Ihr Konto!

Mit freundlichen Grüssen:
i.a: R. R. 

+++ Bamberger Bank eG Raiffeisen-Volksbank
+++ Luitpoldstr. 19, 96052 Bamberg
+++ Telefon: 0951/8620 Kunden- Fax: 0951/862120

Im Attachment war: Kundendat4489BaB.exe
Ich lud die Datei runter, untersuchte sie auf Viren, fand aber nichts. Danach startete ich sie. Es kam eine Errormeldung.
Ich öffnete danach die Datei mit dem Editor. Da kamen ein Haufen komische Zeichen, doch irgendwo konnte ich entziffern: 
KERNEL32.DLL MSVBVM60.DLL   LoadLibraryA  GetProcAddress  ExitProcess
Danach suchte ich im system32 Ordner nach den beiden dll- Dateien und sah dass diese Dateien schon lange Zeit auf meinem Pc waren. Das seltsame Programm musste sie also gestartet haben.
Da sah ich eine Datei namens ksldiag.exe die genau zurselben zeit erstellt worden war, wie ich das komische Programm versuchte zu starten.
komischerweise war diese Datei auch gleich gross (etwa 75kb). Ich aktivierte den Task-Manager und sah, dass ksldiag.exe am laufen war.
Weiter kam ich nicht, und nun hoffe ich dass ihr mir helfen könnt.

mfg LP-Soldier (13)

_Name gelöscht_


----------



## Dino (22 Dezember 2003)

> ...Sehr geehrter Herr Salmanz...



Sicher nicht Dein Name, oder? Aber die vermeintlichen Kundendaten waren dann doch interessant...

Genau das ist der Grund, weshalb es jeder Schwachkopf schafft, "seinen" Virus, Dialer oder sonstigen Mist so schnell zu verbreiten...

Gruß
Dino


----------



## Devilfrank (22 Dezember 2003)

LP-Soldier,

schick mir die Datei gepackt als Zip-File an meine Mail-Addy, dann schauen wir mal weiter.

Update 
Nicht mehr nötig. Es ist definitiv der SoberC

Hier die genaue Beschreibung und Lösung des Problems:
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]


----------



## BenTigger (22 Dezember 2003)

Nur zur Info:

ich habe die E-Mail heute Morgen auch erhalten, bezüglich der Kripo und Sicherstellung meiner Festplatte, weil ich MP3's, Filme und Software downgeloadet habe.

1. Lade ich derartige Dinge  NICHT aus dem  Internet (das machen andere  ) 
2. versendet keine Ermittlungsbehörde E-Mails mit  Ankündigungen von Ermittlungstätigkeiten
3. stehen die plötzlich vor der Haustür um den Rechner zu Sicherungszwecken zu Beschlagnahmen, denn selbst wenn die den Rechnerinhalt via Internet gesichert haben, wie wollen die Beweisen, das es meiner war und nicht der Laptop des Freundes meiner Tochter, der grade hier war, als ich nicht da war?
 4. gehe ich nie über ICSAT ins netz 

siehe die mir angekündigte IP, die gesichert wurde:

Sie haben die IP-Adresse 62.186.150.170 zur Suche eingegeben.

Die Eingaben werden bearbeitet...

Anfragezeit: 22.12.2003 - 11:03:27 Uhr

    Process query: '62.186.150.170'
    Query recognized as IP.
    Match found in /etc/gwhois/pattern line 310
    Querying whois.ripe.net:43 with whois.

    inetnum: 62.186.150.0 - 62.186.151.255
    netname: BE-ICSAT-NET2
    descr: Network of ICSAT
    country: BE
    admin-c: LD945-RIPE
    tech-c: LD945-RIPE
    status: ASSIGNED PA
    remarks: MPN customer
    remarks: Please send SPAM reports to ******@ibm.net
    remarks: Please send ABUSE reports to abu***@ibm.net
    mnt-by: EU-IBM-NIC-MNT
    changed: [email protected]***.***.ibm.com 19991214
    source: RIPE

 * Also lasst euch nicht verunsichern und keinsfalls die angehängte vermeintliche Akte öffnen!!*


----------



## Anonymous (22 Dezember 2003)

An welche E-Mail Adresse?

Aber wenn es der Sober.C ist, müsste mein McAffee den bemerkt haben. Was macht denn überhaupt dieser Virus?

Im Attachment ist das komische Kundendat, natürlich verzipt.

_Anhang gelöscht, da grobe Gefährdung unerfahrener User tf/Moderator _


----------



## Counselor (22 Dezember 2003)

@Gast

dein ZIP File enthält den Worm Sober C1.

Counselor


----------



## LP-Soldier (22 Dezember 2003)

Ja, das hab ich jetzt auch rausgefunden. Ich hab vorher mein Mcafee updated und dann hat es den Virus entdeckt. Ich frag mich einfach wieso es den Virus vorher nicht entdeckt hat.


----------



## Dino (22 Dezember 2003)

Na, Leute, ob das so eine gute Idee ist, eine virenverseuchte Datei zum Download ztur Verfügung zu stellen? Das muss ja nun wirklich ncht sein.

Wozu gibt es das PN-System? Um das nutzen zu können, muss man sich allerdings anmelden. Aber das ist sicher nicht zuviel verlangt!

Gruß
Dino


----------



## LP-Soldier (22 Dezember 2003)

Aber es ist ja angeschrieben.
Ausserdem bekommt ja mittlerweile eh jeder Mensch den Sober.c geschickt.
Ich hab ihn heute grad etwa 4 mal bekommen.


----------



## technofreak (22 Dezember 2003)

LP-Soldier schrieb:
			
		

> Aber es ist ja angeschrieben.
> Ausserdem bekommt ja mittlerweile eh jeder Mensch den Sober.c geschickt.
> Ich hab ihn heute grad etwa 4 mal bekommen.



Das heißt noch lange nicht, daß hier so etwas weiterverbreitet werden muß, die Info wie, was, wo reicht völlig.
Andernfalls müßte angenommen werden, daß es hier um vorsätzliche Gefährdung unerfahrener User geht.
Dann kannst du davon ausgehen, daß solche Beiträge schneller gelöscht sind, als sie absendet werden können.  
Ich hoffe wir verstehen uns!!!!

tf/moderator


----------



## Anonymous (22 Dezember 2003)

Jaja, ok
Gibt es irgendeine Möglichkeit, das zu ändern?


----------



## technofreak (22 Dezember 2003)

Total anonymer Gast schrieb:
			
		

> Jaja, ok
> Gibt es irgendeine Möglichkeit, das zu ändern?



Schlicht und ergreifend indem du:
1: Die Nutzungsregeln befolgst.
2. Den gesunden Menschenverstand einsetzt.
3. in Postings keine  für unerfahrene User gefährliche Infos, Links , Downlownds postest.

Da du ja ein so erfahrener I-Net User zu sein scheinst , dürfte dir dir das ja wohl nicht allzu schwer fallen.

Informationen besonders interessanter/gefährlicher Art können jederzeit an die Admin/Mods per PN 
geschickt werden, die darüber entscheiden können, in welcher Form dies veröffentlicht werden kann. 
Auch bei Heise oder anderen Sites werden keine  Viren zum Download bereitgestellt 

Ist das jetzt klar?


----------



## johinos (22 Dezember 2003)

*sober.c oder sober.c1*

Antwort von web.de: 

_Seit einigen Tagen ist mit "Sober.C" die mittlerweile dritte Variante des Sober-Wurm im Umlauf. Ein Grund fuer die rasche Verbreitung duerfte sein, dass auch bei "Sober.C" deutschsprachige Betreffzeilen in den verseuchten Mails benutzt werden und der Anhang hierzulande somit eher angeklickt wird. 

Der Wurm verbreitet sich mit einer eigenen SMTP-Engine an E-Mail-Adressen die er auf einem infizierten System findet. Dabei verwendet er unter anderem folgende deutschsprachige Betreffzeilen:

"Betr: Klassentreffen "
"Ihre IP wurde geloggt"
"Sie sind ein Raubkopierer"
"Sie tauschen illegal Dateien aus"
"Ich hasse dich"
"Ich zeige sie an!"
"Sie Drohen mir!!"
"Neu! Legales Filesharing"
"Umfrage: Rente erst mit 80!"
"du wirst ausspioniert"
"Ein Trojaner ist auf Ihrem Rechner!"
"Du hast einen Trojaner drauf!"

Wird das der E-Mail angehaengte Attachment ausgefuehrt, erscheint eine Mitteilung mit der Fehlermeldung "first: has caused an unknown error." Im Hintergrund kopiert sich "Sober.C" an diverse Stellen im Windows-Systemverzeichnis und versendet sich weiter.

Wie auch "Sober" startet sich der Wurm "Sober.C" auf einem befallenen System in zwei Instanzen, die versuchen, sich gegenseitig zu beschuetzen._

Und noch mehr Beispiele dazu: www.bsi.bund.de/av/vb/soberc.htm


----------



## frl.hintermeyer (24 Januar 2004)

*sober-c*

hallo...ich hab keine mail bekommen! Lediglich von dem Rechenzentrum unserer Uni eine die mir gesagt habe das ich nen wurm habe.
Der sober-c ist das der, der auch lsass heißen kann? Werde ihn leider nicht mehr los und er läuft permanent als prozess...
Weder die sophosseite noch andere Versuche konnten mir helfen!
Und nu? :cry: 


frl.hintermeyer


----------



## BenTigger (24 Januar 2004)

lies bitte auch hier: http://forum.computerbetrug.de/viewtopic.php?p=37536#37536

Die Nachricht ist definitiv nicht von deiner Uni, sondern der Wurm sucht nach bekannten Adressen und generiert diese. So soll bei dir der Eindruck geweckt werden, das es von einer vertrauensvollen Quelle kommt.

Wenn du das dann aber nicht als Mail sondern via Voice beispielsweise bekommen hast, dann war deine Quelle schon darauf reingefallen oder will dich foppen.

Also, in diesen speziellen Falle,  keine Panik sondern weitermachen.


----------



## Wagi (24 Januar 2004)

@ all

Folgende email erhielt ich heute von [email protected] (vorsichtshalber editiert)

Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me. 

Mail to me ist jetzt dort der Hyperlink, den ich selbstverständlich nicht anklicke...


----------

