| 22.001.2004
Worm/SoberC1 hier mal der Mail-Header |
Hier mal ein Header einer Virus/Worm Mail Der Empfänger ist aus Sicherheit mit xx.. gesetzt. Der Absender ist so geblieben, nur das es so eine Adresse nicht gibt. Received: from localhost (localhost [127.0.0.1]) by xxxxxxxx.localrasger.net (Postfix) with ESMTP id 9E8A62FF0E for <xxxxxx@localhost>; Thu, 22 Jan 2004 13:12:26 +0100 (CET) X-Envelope-From: <tschurl@t-online.de> X-Envelope-To: <xxxxxx@rasger.de> X-Delivery-Time: 1074773018 Received: from post.strato.de by localhost with POP3 (fetchmail-6.2.1) for xxxxxxx@localhost (single-drop); Thu, 22 Jan 2004 13:12:26 +0100 (CET) Received: from MARKOVIC.de (p5085D94E.dip.t-dialin.net [80.133.217.78]) by mailin.webmailer.de (8.12.10/8.12.10) with ESMTP id i0MC3WTK009832 for <xxxxxx@rasger.de>; Thu, 22 Jan 2004 13:03:32 +0100 (MET) Date: Thu, 22 Jan 2004 13:03:32 +0100 (MET) Message-Id: <200401221203.i0MC3WTK009832@mailin.webmailer.de> From: tschurl@t-online.de To: xxxxxx@rasger.de Subject: Hi, Ich bin's X-MailScanner: Nothing was found Importance: Normal X-Mailer: XfworksV6.55 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="MARKOVIC1853780da0e4df61a" This is a multi-part message in MIME format. --MARKOVIC1853780da0e4df61a Hier die Digi-Cam Bilder. Manche sind nix geworden! --MARKOVIC1853780da0e4df61a Content-Type: application/octet-stream; name=alledigis.bat Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="alledigis.bat" |
Auch her ist im Anhang der Wurm drin. Holt euch einen Virenscanner, auch wenn es Freeware ist davon gibt es genug. Sonst gilt die alte Regel unbekanntes löschen. |
| 20.01.2004 Worm/Sober.C1 |
Hier ein paar der deutschen Texte. Nr.1
From: seek_me@web.de
From: stripper@gmx.net Subject: Betr. Klassentreffen Hallo, ich hoffe das ich jetzt mal die richtige erwischt habe. Nach einigen Pleiten, Pech und Pannen habe ich jetzt einfach das damalige Klassenfoto mitgeschickt. Wenn du dich dort erkennst, melde dich, falls du es wieder einmal nicht bist, dann entschuldigen Sie bitte diese Störung. Danke! Im Anhang ist die Datei: Klassenfoto.exe Nr.2 From: froehlicher_wanderer@aol.com Subject: Ich zeige sie an! Wenn Sie meinen mir DROHEN zu können, haben sie sich in den Finger geschnitten!!! Erstens mal, weiß ich gar nicht wer Sie sind. Zweitens, kenne ich Ihre Frau oder Freundin nicht. Und Drittens, Ich habe kein Tächtel-Mächtel mit Ihrem Patner!!! Ihre Drohgebärden können sie woanders loswerden, aber nicht bei mir! Ihre Droh Mails habe ich grade an die Behörden weitergeleitet. Sie hören noch vom mir! Im Anhang ist die Datei: DrohMails.bat Nr.3 From: jago677@hotmailcom Subject: Du hast einen Trojaner drauf! Juten Tach, habe mal einen internet port scan gemacht. dabei konnte ich deinen rechner sehen und einsteigen. bei dir ist der trojaner services.exe am wüten. deshalb kann jeder auf deinen rechner zugreifen! du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden. du wirst aber feststellen, das er sich nicht beenden lässt. solltes du windows98/me haben, siehst du ihn gar nicht im task! dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage hat es gedauert, bis ich endlich ein programm zum entfernen gefunden habe. ich hab's dir mal mit beigetan. wenn fragen, meld dich einfach. Im Anhang ist die Datei: remove-services.exe |
Hierbei kann man mal wieder sehen wie wichtig es ist, immer einen aktuellen Virenscanner zu haben der die e-Mail beim Laden schon prüft. Nun ja eine "die" bin ich nicht. Könnte man ja am der e-Mail Adresse erkennen. Nun ja, habe niemanden eine Drohmail geschickt. Hier wird die Neugierde ausgenutzt. Nun ja, aber nicht einsteigen. Hier wird mit der Panik des User gerechnet. Aber passt auf diese Dateien sind .bat und .exe Dateien die Outlook sofort ausführt. Alle dies netten Sachen kamen MAROVIC.com /de  |
| 25.12.2003 Neuer /alter Virus/Wurm |
von: Hildegard.Wentzel@gmx.net an: xxxxxxx@t-online.de
Betreff: Sie tauschen illegal Dateien aus Sehr geehrte Damen und Herren, das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar. Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 193.115.145.80 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt. Die von uns gesammelten Daten unter dem Aktenzeichen #9750 sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit gemacht haben, wurde die Herkunft dieser Mail verschleiert.Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf, Europa Sonderkommission "Internet Downloads" Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868 Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868 Hochachtungsvoll i.A. PK Mollbach |
In dieser Mail bzw Anhang steckt ein Wurm.
Für weitere Infos ist hier ein Link eingefügt. Also Vorsicht. mit Gruß webmaster |
| 17.03.2003 Neuer Wurm auf Port 445??? |
Das Gewürm startet einen versteckten Download von Trojanern sowie Attacken auf IRC-Server. Manchmal bringt es auch Netze zum Absturz. Ein kostenloses Erkennungstool für Webmaster und User steht bereit. Die Viren Experten von Panda Software warnen vor Randon, einer Wurm/Trojaner-Kombination, die sich über IRC (Internet Relay Chat) verbreitet. Es lägen bereits mehrere Meldungen des neuen Schädlings vor, hieß es in einer Warnung des Antiviren-Spezialisten. Randon verbreitet sich über IRC-Kanäle und LAN-Verbindungen. Der Wurm überprüft zunächst den Port 445 und versucht dann, eine Verbindung herzustellen. Ist dies geschafft, startet er die Dateien senc.bat und incs.bat. Beides sind Tools, die Ressourcen finden, um Zugriff auf entfernte Rechner zu erlangen. Mit Hilfe vorgegebener Passwörter versucht er dann, sich auf diesen einzuloggen. Kann der Wurm eine Verbindung herstellen, greift er auf den verbundenen Computer über Port 445 zu und sendet einen Trojaner mit der Bezeichnung "Trj/W32.Apher" an ihn. Dieser wiederum lädt aus dem Internet eine Datei herunter, die eine Hintertür im Computer installiert. Gleichzeitig lädt Randon andere Dateien auf das System, die ihn auf einen IRC-Server zugreifen lassen und dort Denial-of-Service und "Channel-Flooding"-Attacken fahren. Daraufhin versucht der Wurm erneut bei anderen, per IRC verbundene Computern über Port 445 anzugreifen. Natürlich schreibt ich der Fiesling auch in die Registry, um bei jedem Neustart ausgeführt zu werden. Der Schädling hat zwar nicht direkt Schadensroutinen, kann aber so manches Netzwerk trotzdem ins Schwitzen bringen. Für Anwender ohne Antiviren-Programm stellt Panda das kostenlose ActiveScan bereit - für dieses gibt es bereits eine kostenlose Virensignatur zu Randon. Auch Webmaster, die diese Antiviren-Lösung auf ihrer Web Site einpflegen möchten, können dies laut Hersteller kostenlos realisieren. Den HTML-Code dazu erhalten sie auf der Website von Panda. (Quelle: www.vnunet.de) |
|
| 17.03.2003 Port 445 schließen |
Nun, für die Paranoiker unter uns, ist es gelungen diesen microsoft-ds Dienst unter W2K zu beenden!!! Und zwar über: Gerätemanager Im Menu Ansicht -> 'Ausgeblendete Geräte anzeigen' wählen Im Baum dann 'Nicht-PnP-Treiber' expandieren dort gibt es einen Eintrag 'Netbios über TCP/IP' über Rechtsklick den Treiber deaktivieren und in den Eigenschaften(Doppelklick) Treiber, den Starttyp auf 'Deaktiviert" setzen Reboot der Büchse
|
|
| 05.03.2003 Aus 0190 wird 0900 |
Die vierstellige Ziffernkombination hat einen ausgesprochen schlechten Ruf: Mit 0190-Nummern bringen die meisten überteuerte Telefonnummern oder unseriöse Dialer in Verbindung. Seit Jahresbeginn werden die Vorwahlen Schritt für Schritt durch 0900-Nummern ersetzt. Offenbar ist das aber mehr als nur eine Imagekorrektur: Der Missbrauch mit den neuen Nummern soll schwieriger werden. Blindes Vertrauen ist trotzdem nicht angebracht. weitere Infos Und zwar über: |
|
| 13.12.2002
Warung vor falschen Mails |
Sehr geehrte STRATO Kunden, wir warnen vor einer falschen Kundenmail: Zurzeit kursiert im Internet eine Mail, in der Sie aufgefordert werden, ihr geheimes Passwort fuer Ihre STRATO Praesenz an eine angebliche Kundendatenbank zu senden. Wir weisen ausdruecklich darauf hin: Diese Mail ist nicht von STRATO! STRATO wuerde Sie niemals nach Ihren persoenlichen Zugangsdaten fragen. Wir bitten Sie dringend, auf diese falsche Kundenmail ueberhaupt nicht zu reagieren. Wir gehen gegen den Veranlasser dieser Falschmeldung mit allen technischen und rechtlichen Mitteln vor, insbesondere werden wir am Montag eine Strafanzeige stellen. Mit freundlichen Gruessen Deshalb gilt der Grundsatz niemals seine Passwörter und Zugangsdaten anderen zugänglich zu machen. Passwörter und Zugangsdaten sollten auch nicht auf dem Rechner gespeichert werden.- Gerätemanager |
|
| 23.11.2002 Warnung Domain Registry of America |
Für Webmaster Das ist mal ein Brief für den Papierkorb. Hier handelt es sich um eine unseriöse Masche. Diese Firma hat ihren Sitz in England. Mein Brief kam mit dem Postwertzeichen aus Basel! Mit diesem Brief wird der Eindruck erweckt das man seine com, net oder org Domain bei dieser Gesellschaft verlängern muß. Dies aber übernimmt der Provider bei dem man seine Domain bestellt hat. Also in den Papierkorb mit dem Brief. |
|
| 26.06.2002 Viruswarnung |
Achtung in der e-Mail vom User wotan@gmx.ch steckt ein e-Mail Wurm im Anhang, Also nicht das Tool W32_Elkern removal tools |
|
| 29.05.2002 Viruswarnung | a humour game How are you let's be friends Darling So cool a flash, enjoy it Your password hony some questions Please try again Welcome to mey hometown The Garden of Eden Introduction of ADSL meeting notice questionnaire congratulations Sos! Japanese girl VS playboy Look, my beautiful girl friend Eager to see you Spice girls vocal concert Japanese lass sexy pictures Undelivarable mail xxx Returned mail xxx wobei xxx zufällig ist. |
ACHTUNG:
In diesen Dateien, die als eMailanhang kommen, steckt ein Virus. Er killt sogar unter Umständen den Vieren-Scanner. Also den Anhang löschen.Der Anhang kommt unter verschiedenen Namen. Die mittlere Spalte zeigt einige der Namen. Es ist ein eMail Wurm ,befällt EXE Dateien und verändert sie. Der Wurm ist seit dem 20.04.2002 bekannt. |
| 28.05.2002 Viruswarnung | Die Warnung vor dem angeblichen Virus JDBGMGR.EXE, die in E-Mails die Runde macht, ist ein böser Scherz: Es handelt sich bei dem Programm um eine Komponente des Java-Debugger von Windows (Java Debug Manager). Die Datei ist mit einem kleinen, niedlichen Teddybären als Icon ausgestattet -- das erregt bei den meisten Nutzern neben dem beliebig erscheinendem Namen natürlich zusätzlichen Verdacht. In der Hoax-Mail heißt es, der Virus würde erst nach 14 Tagen "das System beschädigen" und könne von Antivirus-Programmen nicht gefunden werden -- wen wundert's, schließlich handelt es sich gar nicht um einen Virus. Ein typischer Bestandteil der Hoax-Mail ist die Aufforderung, die Warnung an all seine Kontakte zu verschicken -- an dieser manuellen Wurm-Verbreitung sollte man sich natürlich nicht beteiligen, sondern solche Mails löschen. Grundsätzlich erkennt man Hoaxes an solchen Aufforderungen, sowie an ungenauen Fehlerbeschreibungen ("beschädigt das System"). Auch die oft zu findende Anmerkung, dass große Firmen wie Microsoft vor solch vermeintlichen Schädlingen warnen, ist ein deutlicher Hinweis auf einen Hoax: Virenwarnungen werden nur von Antivirus-Unternehmen herausgebracht und auch nicht unaufgefordert als Massenmails versandt. |
|
| 30.04.2002 | Chat und Kontaktbörse Nun sollten die Probleme mit der DNS Auflösung behoben sein. Es sollte nun laufen. mit Gruß Webmaster |
|
| 27.04.2002 | Chat Wegen eines Problem mit dem DNS-Servers war der Chat nicht erreichbar. Hoffe das das Problem bald gelöst ist. mit Gruß Webmaster |
|
|
Hilfen gegen Web Dialer
|
|
| www.dialerschutz.de | |
| Anlaufstelle für Betrugsanzeigen Freiwillige Selbstkontrolle Telefonmehrwertdienste e.V. |
www.fst-ev.org |
| Übersicht der Landeskriminalämter | www.polizei.de/rumpf.html |