Warnung vor dem WM-Karten Wurm
- Ersteller Patmaniac
- Erstellt am
Patmaniac
Grand Admiral Special
- Mitglied seit
- 21.05.2001
- Beiträge
- 14.789
- Renomée
- 266
Pünklich zur zweiten Verlosung von WM-Tickets ist ein deutschsprachiger Sober-Wurm unterwegs, der die Rechner von ahnungslosen Opfern befallen möchte. Er tarnt sich als Benachrichtigung über ein gewonnenes Ticket zur Fußball-WM 2006. Öffnet man dann den zip-Anhang, ist der Rechner auch schon infiziert. Betreffzeilen sind z.B.: "Ich bin's, was zum Lachen", "Mail-Fehler", "Glueckwunsch: Ihr WM Ticket", "WM Ticket Verlosung", "WM-Ticket-Auslosung", "Ihr Passwort" oder "Ihre E-Mail wurde verweigert."
Einige Antivirenhersteller haben schon ihre Virensignaturen aktualisiert. Daher sollte man sein Antivirenprogramm schnellstmöglich auf den neusten Stand bringen. Und vor allem - wie immer - auf gar keinen Fall den Anhang öffnen! <ul><li><a href="http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.S" target="b">Beschreibung Sober.S von Trend Micro</a></li><li><a href="http://www.f-secure.com/v-descs/sober_p.shtml" target="b">Beschreibung Sober.P von F-Secure</a></li><li><a href="http://www.sophos.com/virusinfo/analyses/w32sobern.html" target="b">Beschreibung Sober.N von Sophos</a></li><li><a href="http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.o@mm.html" target="b">Beschreibung Sober.O von Symantec</a></li></ul>
Einige Antivirenhersteller haben schon ihre Virensignaturen aktualisiert. Daher sollte man sein Antivirenprogramm schnellstmöglich auf den neusten Stand bringen. Und vor allem - wie immer - auf gar keinen Fall den Anhang öffnen! <ul><li><a href="http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.S" target="b">Beschreibung Sober.S von Trend Micro</a></li><li><a href="http://www.f-secure.com/v-descs/sober_p.shtml" target="b">Beschreibung Sober.P von F-Secure</a></li><li><a href="http://www.sophos.com/virusinfo/analyses/w32sobern.html" target="b">Beschreibung Sober.N von Sophos</a></li><li><a href="http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.o@mm.html" target="b">Beschreibung Sober.O von Symantec</a></li></ul>
Zuletzt bearbeitet:
gruenmuckel
Grand Admiral Special
Lutscher
Vice Admiral Special
Die meisten Würmer verbreiten sich nunmal über ahnunglose Benutzer.
Es gibt leider zuviele Leute die es unbedingt wissen wollen was sich hinter dem Anhang verbirgt und schon ist es zu spät.![:]](https://www.planet3dnow.de/vbulletin/images/smilies/rolleyes.gif "Augen rollen (sarkastisch) :]")
Es gibt leider zuviele Leute die es unbedingt wissen wollen was sich hinter dem Anhang verbirgt und schon ist es zu spät.
hatte gestern 6 Mails bekommen....3mal WM Tickets, 1mal etwas zum lachen und 2mal passwort...
naja der anhang war immer der gleiche, bzw. das was in der zip war.
Und jedes mal von der gleichen IP versand, leider hab ich keine Ahnung vom hacken und der Rechner wird so oder so vom Virus missbraucht worden sein. Zudem stand immer unten etwas von GMX Virusscanner und kein Virus gefunden, tja bei GMX ist das aber kostenpflichtig, deshalb hab ich das nicht, dummer Virus
naja der anhang war immer der gleiche, bzw. das was in der zip war.
Und jedes mal von der gleichen IP versand, leider hab ich keine Ahnung vom hacken und der Rechner wird so oder so vom Virus missbraucht worden sein. Zudem stand immer unten etwas von GMX Virusscanner und kein Virus gefunden, tja bei GMX ist das aber kostenpflichtig, deshalb hab ich das nicht, dummer Virus
gruenmuckel
Grand Admiral Special
was mich wundert:
Ich kriege die Mails, Norton Antivirus meldet keine Infektionen aber die Zips sind alle leer.
?
Und Nein, die Dateien und Registryeinträge die der Wurm erstellt sind bei mir nicht vorhanden, also nicht infiziert.
Sehr seltsam.
Ich kriege die Mails, Norton Antivirus meldet keine Infektionen aber die Zips sind alle leer.
?
Und Nein, die Dateien und Registryeinträge die der Wurm erstellt sind bei mir nicht vorhanden, also nicht infiziert.
Sehr seltsam.
G
gast_013
Guest
Hab gerade so ne Mail erhalten. Tja, schnell gelöscht.
BodenseeTeam
Commodore Special
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
Ihr "ok2006" Team
St. Rainer Gellhaus
--- FIFA-Pressekontakt:
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
**** AntiVirus-System: Kein Virus erkannt
**** "SETI-BODENSEE" AntiVirus Service
**** WebSite: http://www.seti-bodensee.de
Und ich hab mich schon gefreut
Achja der anhang: okTicket-info.zip
loli
beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
Ihr "ok2006" Team
St. Rainer Gellhaus
--- FIFA-Pressekontakt:
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
**** AntiVirus-System: Kein Virus erkannt
**** "SETI-BODENSEE" AntiVirus Service
**** WebSite: http://www.seti-bodensee.de
Und ich hab mich schon gefreut
Achja der anhang: okTicket-info.zip
loli
(siehe Attachement; man beachte den Zeitraum)
gruenmuckel
Grand Admiral Special
ICh hab auch schon 30 Stück.
Ist heute bei mir immer die selbe IP, der helo-String ändert sich (der Wurm würfelt).
Wie kann ich dem Penner auf die Finger klopfen? RDP, geht nicht, Ping auch nicht... tracert scheint in die Nähe von Dortmund zu führen.
Kann ich dem Kerl irgendwie ne Nachricht schreiben?
Code:
Return-path: <Webmaster@gmx.de>
Delivery-date: Tue, 03 May 2005 18:17:38 +0200
Received: by server021.webpack.hosteurope.de running Exim 4.34 using esmtp
from beta.mc1.hosteurope.de ([80.237.128.253])
id 1DT05Z-0005ig-V8; Tue, 03 May 2005 18:17:38 +0200
Received: by beta.mc1.hosteurope.de running Exim 4.34 using smtp
from p50914c63.dip.t-dialin.net ([[color=#FF0000]80.145.76.99] helo=gmrcjdvj.de[/color])
id 1DT05J-0003mr-0j; Tue, 03 May 2005 18:17:37 +0200
From: Webmaster@gmx.de
To: addressOf@evkghalle.de
Date: Tue, 03 May 2005 14:41:15 UTC
Subject: Ihr Passwort
Importance: Normal
X-Mailer: AnonMail_Version 7.69
X-Priority: 3 (Normal)
Message-ID: <1a1c06717df.89f6d5a@gmx.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==23125e.fa3ae5f1f8bbcb"
Content-Transfer-Encoding: 7bit
X-HE-Spam-Level: /
X-HE-Spam-Score: 0.4
X-HE-Spam-Report: Content analysis details: (0.4 points)
pts rule name description
---- ---------------------- --------------------------------------------------
0.2 NO_REAL_NAME From: does not include a real name
0.2 INVALID_DATE Invalid Date: header (not RFC 2822)
Envelope-to: webmaster.globus@evkghalle.de
This is a multi-part message in MIME format.
--==23125e.fa3ae5f1f8bbcb
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
*-* http://www.gmx.de
*-* MailTo: PasswordHelp@gmx.de
**** Mail-Scanner: Es wurde kein Virus festgestellt
**** "EVKGHALLE" AntiVirus Service
**** WebSite: http://www.evkghalle.de
--==23125e.fa3ae5f1f8bbcb
Content-Type: application/octet-stream; name=gmx_PassWort-Info.zip
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="gmx_PassWort-Info.zip"
UEsFBgAAAAAAAAAAAAAAAAAAAAAAAA==
--==23125e.fa3ae5f1f8bbcb--Ist heute bei mir immer die selbe IP, der helo-String ändert sich (der Wurm würfelt).
Wie kann ich dem Penner auf die Finger klopfen? RDP, geht nicht, Ping auch nicht... tracert scheint in die Nähe von Dortmund zu führen.
Kann ich dem Kerl irgendwie ne Nachricht schreiben?
Power 7856
Fleet Captain Special
- Mitglied seit
- 05.02.2005
- Beiträge
- 256
- Renomée
- 0
Nero 24@ bei mir war das genau wie bei dir. Habe Paßwörter, Tickets usw. erhalten. Seit heute ist ruhe.
Gruß Power7856
Gruß Power7856
