Agressiver Wurm unterwegs

[Angelika]

Auch wenn man es schon gelesen hat möchte ich trotzdem nochmal eindringlich darauf aufmerksam machen.Ich selbst habe 4 Stück die letzten Tage bekommen.Selbst mit ``Undelivered Mail Returned to Sender`` verschickt sich der Wurm erneut.
Im Vegas-Forum
Hat Gerd einige Details zusammen getragen.
Danke an Ihn
Gruss
Angelika
_________________
http://www.angelika-mildner.de

[wenzi]

Zur Zeit herrscht eine wahre Invasion! Auf unserem Mailserver wurden seit 1. Februar 2004 satte 303 Exemplare von worm_mydoom.a (= worm.SCO.A) gezählt. Sein Nachfolger worm_mimail.r hat sich 219x eingenistet. Diese Würmlein versenden sich an alle Einträge in den Outlook/Outlook Express-Adresskontakten, können also auch von einem "guten Bekannten" kommen.

Wichtigste Regel: Dateianhänge nicht wahllos öffnen und genau auf die Datei-Endungen sehen. Gggfs. die Anhänge erst mal auf Festplatte speichern und besser mit einem Hexeditor öffnen, wenn man sich nicht ganz sicher ist. Unbedingt Virenscanner aktualisieren! Neue Spiegelung erzeugen (Ghost, DriveImage oder TrueImage), sofern man später nicht mal endlos Ärger haben möchte. Betriebssystem, Programme und Daten besser zukünftig jeweils auf sep. Partitionen ablegen.



Zuletzt bearbeitet von wenzi
_________________
Viele Grüße, Wenzi

[Wolfgang]

Bedauerlicherweise bekomme ich auch über meinen mail-account des Vegasforums in letzter Zeit massiv solche Würmer und Viren zugeschickt - die bisher mein Virenscanner aber alle brav eliminiert haben dürfte.

Wo auch immer dieser mail-account befallen wurde - gerade offen in Foren angegebene mail accounts dürften hier gefährdet sein. Leider.
_________________
Gruß,
Wolfgang

http://videotreffpunkt.com

[Angelika]

[SVCDFan]

[Angelika]

[Wolfgang]

Moment, ich habe in keiner Weise gesagt, daß Eure Forensoftware da was verschickt! Das macht weder Eure noch unsere Forensoftware.

Was ich meinte, ist, daß wir als Vegas-admins offen im Vegas Forum zugängige Vegas-email accounts haben - die etwa auch von Robotern leicht ausgelesen werden können. Und eben seit einigen Tagen da viele emails auf diese Accounts kommen. Und klar, die andere Quelle ist die daß auch von anderen outlook Büchern diese Accounts erkannt und "befallen" worden sein dürfen.
_________________
Gruß,
Wolfgang

http://videotreffpunkt.com

[Tsunami]

Hier sind die Information zu mydoom.b, die das Bundesamt für Sicherheit in der Informationstechnik zusammengetragen hat :
http://www.bsi.bund.de/av/vb/mydoomb.htm

Man sollte auch beachten, das dieser Wurm auch im KaZaA-Netzwerk sein Unwesen treibt.

Besonders perfide finde ich auch, das der Wurm nach einer Infektion den Port 80 benutzt, also den normalen http-Port, um Daten von aussen entgegenzunehmen.
Mit einer lokalen Firewall kann man den Wurm also gar nicht effektiv blockieren, sondern müsste auf einen Paket-Filter umrüsten, der sich am besten zwischen dem Arbeits-PC und dem Internet befindet.
Aber welche Privatperson treibt schon so einen Aufwand?

An jedem Tag finde ich über 250 Mails mit verdächtigen Anhängen auf meinem gmx-email-Server.
Dank 'The Bat!' muss ich mich mit dem Quatsch gar nicht beschäftigen, denn mit wenigen Handgriffen werden diese Mails direkt auf dem Server gelöscht, ohne sie erst runterladen zu müssen.

Outlook und Outlook Express sind gemeingefährlich (jedenfalls nicht DAU-sicher) und sollten meiner Meinung nach überhaupt nicht mehr benutzt werden.

[SVCDFan]

[Avalon]

Bei mir sind's pro Tag mindestens 50 solcher Mails. Ich benutz aber einen für Viren bisher relativ uninteressaten Mail-Client, der zudem noch mit einem gut funktionierenden Spam-Filter ausgerüstet ist. Also bei mir landen solche Mails mit einem Mausklick in's Klo und da wird auch sofort abgespült.

In unserem Vegas-Forum weise ich von Zeit zu Zeit darauf hin, dass die Mitglieder selbst darauf achten sollen, ihre Mailadresse nicht in einer von Robots auslesbaren Form publik zu machen. Mehr kann man kaum tun. Die Mailadressen, die in unserem Forum zur Registrierung angebeben werden, können ausser vom Admin nicht ausgelesen werden. Wenn die Mitglieder also die selbst etwas vorsichtig mit ihren Adressen umgehen, kann über das Forum diesbezüglich nichts passieren.

Dass wir Admins uns den Befall nicht vom Hals halten können, ist eben ein Preis, den man zahlen muss, wenn man den Komfort der "Mail auf Klick" erhalten bleiben soll. Der Aufwand, sich solcher Mails zu entledigen, ist aber meiner Meinung nach über Spam-Filter recht gering.

Marco

[wenzi]

[TomM]

Na, der soll ja angeblich am 12.2. seinen "Dienst" einstellen.

Addy's bekommt er leicht und ohne Infektion. Ich hab's gesehen wie ein Webmailer meine Site gescannt hat, definitiv nach PHP gesucht und dort offensichtlich Addies geschnappt hat.

So kommen die Foren in Verdacht ohne was davon zu ahnen.

Na gut ansonsten gehe ich von den Workstations über einen Exotenport an die Firewall, Toi Toi Toi bisher noch nix passiert.

Die Firewall weigert sich strikt eine mail mit unbekanntem Absender zu verschicken - nicht mal Leseberstätigung geht.
_________________
so long -> Tom

Wissen ist Macht - macht nichts
(Heinz Erhardt)

[Holgers_inaktiv]

Nochmal die Frage:

Wie sieht es eigentlich mit Web-Mail_Accounts aus (Yahoo, Hotmail); zu Glück krieg ich son´n Mist bisher nicht.

[Angelika]

[TomM]

[wenzi]

Na, das mit der Verlängerung war auch nicht sehr praktisch - muss nun immer einen Leiterwagen hinter mir herziehen...

Igitt, nun wird gleich die Zensur eingreifen ;-)))



Zuletzt bearbeitet von wenzi
_________________
Viele Grüße, Wenzi

[motiongroup]

Wie schon beschrieben, Hotmail und auch Gmx haben diese Probleme momentan nicht und halten ihre Datenbanken durch aktuelle Filter sauber. Bei Sobig-F und W-Blaster sah die Sache noch anders aus aber GMX hat dazu gelernt.
In unserem Grosnetz selbst hat es etwa 4 Tage gedauert bis alles wieder Up to Date war. Die Zahl war aber über 300000 Angriffe die geblogggggdddd wurden.

Günter

[motiongroup]

Und schon gibts wieder neue Varianten davon...
http://www.heise.de/newsticker/meldung/44457

Günter