# gezielt Virenmails in deutsch an einen Account



## Anonymous (11 April 2004)

Hi, ich erhalte seit etwa 3 Tagen gezielt Mails in deutscher Sprache an ein
e-mail Konto (gmx) welches nur für Firmenkontakte od. ähnliches genutzt wird.

Auch sonst erhalte ich keinerlei Spam-Mails über dieses Konto.

Das besondere ist, es ist immer der gleiche Wurm Win32/Sober.F welcher
als *.pif getarnt ist. Der inhalt der Mails lautet z.B. :
-------------------------------------------------------------------------------
Alles klaro bei dir?
Schau mal was Ich gefunden habe!

*** Mail Scanner: Kein Virus gefunden
*** GMX Virenschutz
*** http://www.gmx.de 
-------------------------------------------------------------------------------

In den RFC-288 Kopfzeilen steht immer die Absender-IP :  
Received: from dsl-213-023-128-xxx.arcor-ip.net (EHLO
"Absender Mailadresse") (213.23.128.xxx)

oder eine ganz ähnliche.

Welche Möglichkeiten habe ich dagegen vorzugehen ??

Wie schauts aus mit Strafanzeige gegen unbekannt o.ä.


Dat wars erstmal MfG John


----------



## Genesis (11 April 2004)

> Hi, ich erhalte seit etwa 3 Tagen gezielt Mails in deutscher Sprache an ein
> e-mail Konto (gmx) welches nur für Firmenkontakte od. ähnliches genutzt wird.


"Gezielt" ist hier nichts...  Es gibt nur ein infiziertes System, auf dem auch Deine Mail-Adresse vorhanden ist.


> Das besondere ist, es ist immer der gleiche Wurm Win32/Sober.F welcher
> als *.pif getarnt ist.


Das befallene (sendende) System ist offensichtlich mit dem Wurm Sober.F infiziert. 


> Welche Möglichkeiten habe ich dagegen vorzugehen ??


Die Mails einfach löschen. Du könntest auch eine Mail an die entsprechende "abuse"-Adresse schicken und dort den Sachverhalt schildern. Arcor wird dann eventuell den Wurm-Infizierten benachrichtigen.


> Wie schauts aus mit Strafanzeige gegen unbekannt o.ä.


Für was? Der "Betroffene" weiss höchstwahrscheinlich nichts von seiner "Infektion".


----------



## Counselor (11 April 2004)

Bei GMX gibt es für € 2,99 monatlich Virenschutz für dein Postfach. Ansonsten kann ich dem Vor-Posting nur zustimmen.


----------



## john9002 (11 April 2004)

hi, danke erstmal für die schnellen Antworten,

Das mit dem Infizierten Anwender hieße aber, das der Absender jedesmal
 gleichbliebe und in den Mails nicht jedesmal solche Texte wie :
---------------------------------------------------------------------
--Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwörter
rauszubekommen!!!
---Ihre Benutzernamen und Passwörter befinden sich im Anhang dieser E-Mail
---Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text
beschrieben ist!
---Passwort und Benutzername wurde erfolgreich geändert
---Alles klaro bei dir? Schau mal was Ich gefunden habe!
Meinst Du das wirklich?
---------------------------------------------------------------------

ebenso die gefakten Absender, welche z.B.
[email protected]
[email protected]
[email protected] (anonymisiert !)
oder meine eigene Adresse sind

Soweit ich weis, schreibt ein Wurm einfach nur an alle Adressaten des Befallenen Outlook-Benutzers und fertig.
Will sagen: für mich schaut das nicht einfach nur nach Wurmbefall aus ??
..Ich bin zum Glück TheBat! und Nod32 user     

Oder gibt es Würmer die sich in solcher Art und Weise Tarnen ??
müsste dann nicht auch outlook als Mailprogramm in den RFC-822-Kopfzeilen stehen ??

Soweit erstmal


----------



## dotshead (11 April 2004)

Leider verwenden Würmer häufiger gefälschte Absendeadressen. So schlagen bei mir wieder viele
nicht zustellbare Mails auf diversen E-Mail-Adressen auf. Ich bin aber garantiert nicht verseucht.


----------



## virenscanner (11 April 2004)

@John0002

Einfach mal hier nachlesen, was "Sober.F" so macht...


----------



## Devilfrank (11 April 2004)

korrekt:

Emails itself to the email addresses collected above, using its own SMTP Engine. 

or created by using the user name of the collected email addresses with the following:
@abuse.de 
@yahoo.com 
@yahoo.de 
@gmx.de 
@gmx.net 
@web.de 
@freenet.de 
@lycos.de


followed by:
Message-ID: <%Random_String%.qmail

http://securityresponse.symantec.com/avcenter/venc/data/[email protected]


----------



## dotshead (12 April 2004)

Was mich wirklich interessiert, wer sich den Wurm eingefangen hat, weil alle mails bouncen auf

Die E-Mail von [email protected] an [email protected] (lass ich bewusst stehen)

enthielt einen Computer Virus. Eine Zustellung erfolgt nicht. Bitte lassen Sie umgehend ihr Computer-System pruefen! Mehr Informationen ueber den Virus:
http://www.f-secure.com/virus-info

ds-expires weisst eindeutig auf eine bei Dialerschutz verwendete Adresse hin. Ich lasse die Mails absichtlich länger laufen um Spam-Assassin lernen zu lassen.


----------



## Counselor (12 April 2004)

Passend zu diesem Thema:
http://www.franken.de/de/veranstaltungen/kongress/2003/03-3-4-mail-spam.pdf


----------



## virenscanner (12 April 2004)

@dotshead
Irgend jemand, der auch bei "Dialerschutz" im Forum gelesen hat, ist/war infiziert.


----------



## technofreak (15 Mai 2004)

Neue Variante des Sober-Wurms aktiv
http://www.heise.de/newsticker/meldung/47383


> Eine neue Version des Mail-Wurms Sober verbreitet sich mittlerweile recht zügig im Internet.
> Während die Mass-Mailing-Würmer Netsky (vermutlich ein weiteres Produkt des Sasser-Urhebers)
> und Bagle mittlerweile mit zweistelligen Varianten gezählt werden, bescheiden sich
> die Urheber bei Sober momentan noch mit *Variante G*. Die neue Sober-Version ist
> ...


----------



## Anonymous (9 Juni 2004)

*hmhm*

sag mir doch ma lieber jmd. den link zur passenden antivirus freeware  ich denke, dass ich auch irgendeine der varianten hab, aber irgendwie findet kein prog, das was finden sollte den ollen würmerich...


----------



## Der Jurist (9 Juni 2004)

http://www.free-av.de/


----------

