Achtung! Virus von oler@solar.spacew.com

[Torsten Lohf]

Ich bekam eben eine Mail von oler@solar.spacew.com

Betreff:
AstroAlert: Hokki =)

Text:
Argh, i don't like the plaintext
password for archive: 57401

Im Anhang befindet sich die Datei README.ZIP (21k)

Diese enthält den aktuellen Virus Beagle.H.

Am Besten sofort löschen aber auf keinen Fall öffen!

MfG Torsten

[Thomas_K]

Jau,

ich habe genau das gleiche abbekommen, der Trick ist, dass die ZIP-Datei Passwort-verschlüsselt ist, deshalb hat die Virus-Wall der Firma nichts von dem Mistvieh erkannt!

Erst der lokale zweite Virenscanner auf dem PC selbst hat mich vor dem GAU bewahrt (aber nur, weil er auf dem allerneuesten Stand war).

Also Achtung an alle: Auch wenn die Sonnenaktivität gerade steigt, kühlen Kopf bewahren und solchen ZIP-Anhängen misstrauen, gerade wenn sie auch noch mit Passwort versehen sind...

Gruß

-Thomas aus Nauheim-

[Ulrich Rieth]

Hallo!

Ich habe gerade eine Mail an Cary Oler geschrieben, aber ich vermute, dass es wie immer eine gefakte Adresse als Absender ist.
Mir kam die Mail aber auch gleich verdächtig vor, weil Cary sowas niemals verschickt, außer vielleicht per privater Mail. Die geht dann aber nicht über den Astro-Alert Account.
Ich empfehle natürlich auch, die Mail einfach zu löschen.
Wenn ich Antwort aus Kanada habe, werde ich noch kurz berichten.
Gruß

Ulrich

[Christoph Prall]

Hallo Leute,

hab das Ding auch bekommen ...

[Ralf Pitscheneder]

Hallo zusammen,

ja, ich bin auch betroffen, aber Norton Internet Security Suite 2004 (das soll KEINE Werbung sein, sondern nur ein Hinweis) hat das Ding liquidiert.

Gruß
Ralf

PS: Wegen der Sig gibts gleich noch einen Thread ...

[Ulrich Rieth]

Da Christophs Mail hierhin gehört, habe ich sie entsprechend platziert und den neuen, überflüssigen Thread gelöscht.
Gruß

Ulrich


Habe gerade ne mail bekommen ....

=================================================================
This Is SKY & TELESCOPE's AstroAlert for Sun-Earth Interactions
=================================================================

A s t r o A l e r t
Sun-Earth Alert

Solar Terrestrial Dispatch
http://www.spacew.com

03 March 2004

UNSOLICITED WORM CIRCULATING THROUGH SUN-EARTH LIST - BEWARE

An e-mail was apparently distributed through the Sky and Telescope
listserver containing my e-mail address. The content of the e-mail was oddly
crafted and contained an attachment. The attachment contained a worm/virus
that DID NOT originate with me (Cary Oler). The e-mail appears to have been
forged by someone else who was infected. All our systems are clean. I have
asked Sky and Telescope to look into this further.

DO NOT OPEN ANY ATTACHMENTS SENT THROUGH THE SUN-EARTH LIST (OR ANY
OTHER LIST, FOR THAT MATTER). WE WILL NOT EVER SEND ANY ATTACHMENTS THROUGH
THIS LIST.

We apologize for any inconvenience this incident may have caused. If you
opened the e-mail attachment, you may have exposed yourself to the worm. To
remove this worm, or learn more about it, see:
http://securityresponse.symantec.com/av ... .f@mm.html


** End of Astroalert **
==================================================================
AstroAlert is a free service of SKY & TELESCOPE, the Essential
Magazine of Astronomy (http://SkyandTelescope.com/). This e-mail
was sent to AstroAlert subscribers. If you feel you received it
in error, or to unsubscribe from AstroAlert, please send a plain-
text e-mail to majordomo@SkyandTelescope.com with the following
line -- and nothing else -- in the body of the message:
unsubscribe sun-earth e-mail@address.com
replacing "e-mail@address.com" with your actual e-mail address.
==================================================================

[Heiko Rodde]

hatte die mail von c.oler auch im postfach und mich schon stark gewundert, vom ihm post zu bekommen.
"mac" sei dank sind die ganzen wuermer und viren fast ausschliesslich fuer die windows-welt geschrieben und koennen unter diesem betriebssystem keinen schaden anrichten......

gruss heiko

[Torsten Lohf]

Ich bekam eben wieder eine Mail.

Betreff:
AstroAlert: ^_^ meay-meay!

Text:
Argh, i don't like the plaintext

archive password: 73206

Im Anhang befindet sich die Datei MESSAGE.ZIP (21k)

Diese enthält wieder den aktuellen Virus Beagle.H.

Am Besten sofort löschen aber auf keinen Fall öffen!

MfG Torsten

[mike stammler]

Hi

ich bekam eine e-mail von "administration@astronomie-seite.de" , hier der Netsky.D Wurm !

1 - diese e-mail ist nicht von mir !
2 - die Adresse "administration@astronomie-seite.de" gibt es nicht !
3 - der Virus wird sicher auch unter anderen Domains, also zB. "administration@meteoros.de" verbreitet werden.

Vorsicht !

Grüße
Mike

[Andreas Wehrle]

Der Virus greift auf die Festplatte zu und sammelt alle Daten um sie dann an den Ersteller zu versenden.
Der Virus versendet sich dann Automatisch an alle Email Adresse aus dem Outlook.
Das erklärt wohl woher die Mails kommen.
Offensichtlich hat er schon jemanden aus dem Forum befahlen.
Ich kann allen Forumsteilnehmern nur raten einen „Aktuellen“ Viren Scan zu machen!!!
Einen Online Scan gibt es hier: ( auch keine Werbung )
http://www.pro-support.de/scan/Msie/index.htm
Gruß AJ ( Andreas Wehrle )
Ps.: habe die Mail zum Glück nicht bekommen Ufff.

[Thomas Sävert]

Hallo Andreas,

das muss ich etwas korrigieren. Die Würmer sind inzwischen so intelligent, dass sie sich irgendwo Adressen zusammenklauben und diese als Absender reinsetzen, ohne dass derjenige überhaupt befallen sein muss.

Gruß, Thomas Sävert

[Andreas Wehrle]

Hallo Thomas
Jo da hast du schon Recht die Viren bzw. ihre Macher werden immer schlauer !!!
Mann sollte ja sowieso öfter mal einen Aktuellen Viren Scan machen.
Ich denke jetzt wehre der richtige Zeitpunkt dazu.
Gruß AJ ( Andreas Wehrle )

[Benjamin Kühne]

Da kann ich Thomas nur zustimmen. Die Erfinder werden immer trickreicher. Folgende Ausgabe eines Virus' ging z.B. heute bei mir ein:


Absender: administration@meteoros.de

Dear user of Meteoros.de gateway e-mail server,

Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.

Advanced details can be found in attached file.

Cheers,
The Meteoros.de team http://www.meteoros.de



Und im Anhang variabel die *.zip* Version, die Norton per Passwort-Trick easy umgeht oder ein*.pif* Anhang, der ebenfalls nicht erkannt wird.
Eigentlich recht faszinierend, was Leute sich so ausdenken...

Gruß,
Benjamin

[Ulrich Rieth]

...die er im STD Forum gepostet hat.
Offensichtlich kommt die Mail mit dem Wurm über einen deutschen Server. Der restliche Text bezieht sich auf das STD Forum, dass man auch per Mail Liste abonieren kann
Das passt evtl. auch mit den ganzen seltsamen Admin Mails zusammen?
Gruß

Ulrich

--------

Sigh... it's coming from the same server as well. Someone in Germany appears
to be infected and their system (probably without the knowledge of the user)
is responsible for throwing the worm into the S&T server. I have asked S&T
to disallow attachments and to make certain all list content is converted to
plain-text. That is what we are doing (or so I'm told) on this list, so it
should not be possible for anyone to spread a virus through our own
listserver. As a worst-case scenario, all you would see through this forum
list is the text of the worm message inviting you to open the attachment.
But there would be no attachment to open since our server is supposed to
filter out all attachments. So everyone on this list doens't need to worry.
But if you're on the sun-earth list of Sky and Telescopes, just be careful
not to open any attachments you receive until they get this worked out.

- Cary Oler

[Roland Harter]

Hmm, kann mir mal jemand eine der Wurm Mails forwarden?

Die Header würden mich jetzt doch mal interessieren.

Am besten an r.h@odn.de (die Adresse ist eh verbrannt)

(Legt euch nieeeeemals so eine kurze Mailadresse zu, ich bekomme an diese Adresse ca. 80% des Spam der bei mir ankommt, obwohl ich zu 99% die gmx Adresse im Inter-/Usenet benutze. Spammer generieren sich Zufallsadressen per Programm un djekürzer umso mehr Treffer )

[Roland Harter]

Danke, ist angekommen.

-------------

Halt, das war leider nur der teilweise Body, nicht die Header, die bräuchte ich.

[Roland Harter]

Danke Bernhard!

Ich kann allerdings das ...

...it's coming from the same server as well. Someone in Germany appears
to be infected and their system (probably without the knowledge of the user)
is responsible for throwing the worm into the S&T server....

... nicht nachvollziehen. Die Würmchen wurden IMHO über einen Server in Arlington abgesandt, der kein relaying zulässt. Stammen also wohl von einem User, der dort einen account hat.

[Roland Harter]

Worm/NetSky.D

Hmmm, Leut's,

ist einer der hier mitlesenden zufällig Kunde von Envia-Tel (envia tel GmbH, desaNet Telekommunikation Sachsen Ost GmbH, und TEAG NETKOM GmbH) in Chemnitz?

Ich habe jetzt gerade auf weiter oben genannte Adresse 2 Mails erhalten, eine an obige Adresse, eine von uk2net.com, mit dem Hinweis, dass eine Mail mit r.h@odn.de als vermeintlichem Absender nicht zustellbar wäre. Ausgangspunkt war in beiden Fällen 80.243.34.150, also eine IP Nummer, die zu Envia-Tel gehört. Da ich wie gesagt diese Adresse normalerweise nicht verwende, ist (im zeitlichen Zusammenhang) die Wahrscheinlichkeit sehr hoch dass sich der Wurm die Daten aus einem Rechner geholt hat, mit dem dieses Forum gelesen wurde!

http://securityresponse1.symantec.com/s ... .d@mm.html