Viren durch das Forum

    Hi
    in den letzten Tagen habe ich Mails mit einem Anhang bekommen in der eine .exe Datei enthalten war.
    Seltsam war jedoch , dass jedesmal ein Nick des Forums darin auftauchte! z.B. die letzte erhaltene Mail :
    absender : kleinerinutero betreff : metalmops
    anhang : img_0021.exe .
    Seltsam² ist das nun 2 mal metalmops darin vorkam und er selbst auch schon eine mail ( von mir ) erhalten hat in der ein Virus drin war. Hätte ja sein können das sich der Virus weiterverteilt durch das Adressbuch , aber da ich ihn oder jmd. von euch da nicht drin habe ist das auch auszuschließen .
    Folglich hat hier aus dem Forum irgend so ein *rsch spass daran anderen Viren zu schicken !
    Kann man da irgendwas machen ?


    Ich habe Fertig !

    Moin,


    entweder geht wirklich jemand hier die Profile durch und verschickt mails mit viren, oder da läuft ein programm durch und sammelt entsprechende Daten.


    Lösung(en):


    Viele Homepage schreiben eMail-Adressen nur noch wie folgt:


    user at drummerforum dot de


    so werden die von automatisierten Programmen (noch) nicht als email-adresse erkannt. Ansonsten, wenn du ganz sicher gehen willst, stelle in den Einstellungen des Forums "E-Mail Adresse verbergen?" Auf "Ja".


    Gruß
    Maurice

    Hi,


    vielleicht ist es rache eines ehemaligen mitglieds des forums! evtl. einer den man ausgesperrt hat! mir fällt da auf anhieb nur einer ein!!


    dessen name war auch schon bestaandteil eines quiz!


    na, wer könnte das sein???


    mit freundlichem groove...


    bengsen

    Hmmm, interessanterweise häufen sich bei mir in den letzten tagen auch die eMail-Viren....ich werde mal aufmerksam betrachten, ob dieser Umstand mit dem DF zusammenhängt...!


    geo01

    WURM ALARM!!!


    Der letzte mir bekannte, von dem ich auch selbst betroffen war, Virus bzw Wurm war der Klez/e.
    Dieser Wurm klingt sich in die Adressliste deines Emailprogramms ein und verschikt sich selber.


    Sehr sehr wichtig ist, niemals solche Anhänge öffnen, denn sobad diese ausgeführt werden wird dieser Wurm aktiv. Natürlich können ehutige Würmer andere Eigenschaften haben. Also VORSICHT!


    Es kann sein, dass irgendwie durch dein Profilo halt diese Email an dich geraten konnte.


    Bei meinem ersten Vorfall hatte ich eine mail bekommen, wo eine WMV inhalten war, die ixch selbr auf dem Rechner hatte, die sogar von ir erstellt wurde ... nur ich idiot habe die damals ausgeführt, was mein großer Fehler war. Dadurch wurde ein großreil von EXE Files auf meinem Rechner zerschossen.


    Also vom Forum her mus dies nicht her sein.

    Auch bei mir quillt in letzter Zeit der Briefkasten mit Virenmails über X( X( !
    Also erstmal: wer keinen vernünftigen Virenscanner installiert hat, sollte nicht online gehen! Der Klez- Virus (Worm.Opaserv) ist seit November der auffälligste Mail-Virus im Netz und verbreitet sich über die Adressliste.
    Dazu solltet Ihr das Security-Package von Microsoft (Siehe Link von Metalmops) installieren und das Fixopsrv Removal-Tool von Symantec laufen lassen. Danach zusätzlich noch die manuelle Bereinigung durchführen.
    Mit House Call könnt Ihr einen kostenlosen Virencheck eueres Rechners online durchführen.



    Interessant ist, dass die meisstens vom Absender <520050351071-0001@t-online.de> kommen... Schickt Ihm doch einfach mal ein paar Kommentare zurück, bis der Briefkasten platzt!


    Hier ein Auszug der letzten paar Tage:


    Betreff: Cbc, cbf
    Absender: "studio" 520050351071-0001@t-online.de
    Datum: 14. Jan 2003 13:20
    W32.Klez.H@mm


    Betreff: Worm Klez.E immunity
    Absender: "jpthomas" 520050351071-0001@t-online.de
    Datum: 15. Jan 2003 12:17
    W32.Klez.H@mm


    Betreff: Re: Sample
    Absender: big@boss.com
    Datum: 16. Jan 2003 11:05
    W32.Sobig.A@mm


    Betreff: Introduction on ADSL
    Absender: "Michael-Ponath" 520050351071-0001@t-online.de
    Datum: 16. Jan 2003 14:05
    W32.Klez.H@mm


    Betreff: Arial, Helvetica, sans
    Absender: "dartzone" 520050351071-0001@t-online.de
    Datum: 17. Jan 2003 11:41
    W32.Opaserv.G.Worm (Marco!.scr)


    Betreff: Japanese lass' sexy pictures :D
    Absender: "270366" 520050351071-0001@t-online.de
    Datum: 18. Jan 2003 10:36
    W32.Klez.H@mm


    X( X(

    Bei der Nummer handelt es sich entweder um eine T-online-kennung, oder wenn er/sie/es ein alter Kunde ist, kann es sogar die telefonnummer sein *FG*. Ich würd's der Telekom einfach mal melden, wenn ihr pech habt ist die adresse komplett gefaked, das sieht mir aber eher nicht so aus... vielleicht weiss er selber ja auch gar nicht, dass er munter viren verteilt, weil er gar nicht bemerkt, dass der wurm läuft!


    Gruß
    Maurice

    "Schickt Ihm doch einfach mal ein paar Kommentare zurück, bis der Briefkasten platzt!"


    Äh ... ich gebe mich als Dummy zu erkennen ...


    hat das in solchen Fällen wirklich Zweck, Kommentare zurückzuschicken, bis der Briefkasten des Absenders platzt?
    Zum Beispiel auch bei irgendwelche Idioten, die mir zwar keine Würmer, dafür aber Hühner in Form von Sexy Japanese lasses und sonst noch was schicken, an denen ich als ebenfalls Huhn nun wirklich nicht das geringste Interesse habe? (Sorry, ist etwas Off-Topic, aber da wir einmal dabei sind ... und ich hatte ebenfalls diverse mails vom "big@boss" erhalten, allerdings auch an meine alte AOL-Mailadresse, die ich hier im Forum nirgend bekanntgegeben habe. Der Mist muss also (auch) woanders herkommen.)


    Grüße vom Brownie

    Neu hier? Willkommen!
    Hier erhältst du unser kostenloses Einsteigerpaket - da gibt's schon Antworten auf deine Fragen - und dort wirst du automatisch geholfen.


    Sagt die Fermate: "Ich halt's nicht mehr aus!".

    hab auch 6 solche mails von der von 520050351071-0001@t-online.de erhalten... hatte mich schon gewundert wieso die leer waren... muss wohl daran liegen, dass mein provider die anhänge automatisch gelöscht hat... von big@boss.com ist mir noch keine angekommen, der ist aber weltweit verbreitet!!! über die t-online addi hab ich aber nichts gefunden.... deshalb würde ich es nicht ausschliessen, dass die mail-empfänger-addis aus dem forum genommen wurden oder habt ihr was über die t-online adresse gefunden??

    per i tuoi larghi occhi, per i tuoi larghi occhi chiari...

    3 Mal editiert, zuletzt von catastrophy ()

    @ Jb


    komisch das eine ist mein Name ( Michael Ponath )in der email und das andere ist ( Dartzone ) ist die Firma eines Kollegen. Bekomme selber auch öfter mails mit Anhang von verschiedenen Absendern ( teils mit Namen von mir bekannten Leuten). Öffne aber nicht und lösche Sie. Habe bis jetzt trotz Virenscanner keinen Virus auf meiner Kiste gefunden. Sollte das so weitergehen, werde ich meine Kiste plattmachen und das System neu installieren. Das nervt ja gewaltig X( X(

    Kroppzeuch und Klappspaten bleibt mir bloss von der Pelle!


    .....verscheissern kann ich mich selber!!


    Moi


    [

    @HighFlyDrummer


    Über welchen Provider gehst du denn ins Netz der Netze? Falls T-Online: Schau mal ob das deine Zugangskennung ist die JB da auflistet. Falls es deine ist => sofort Kiste platt machen und Neuinstallation!!!


    Gruß Sven

    Wie - mein Timing stimmt nicht? Ich bin sogar zu schnell!!! :]

    bruahcts die kiste nicht platt machen, einfach mal mim virenscanner durchforstem ich will nicht wissen, wie zerschossen sein rechner schon ist.


    Ich empfehle NATIVIR: <a href="http://www.free-av.de">http://www.free-av.de</a>.
    Ein zwar recht kleiner im vergleich zu Nortons produkten zum beispiel vielleicht nicht der konkurent, allerdings habe ich nur durch dieses viren-programm damals den wurm finden und löschen können, da dieser unter anderem gar nicht mal zugelassen hat, dass ich nicht nortons anti virenprogramm installieren konnte.


    AM BESTEN SOFORT EGAL WELCHES VIRENPROGRAMM MAN NUTZT, AKTUALISIEREN UND SOFORTIGEN CHECK DURCHFÜHREN

    Ja, schau mal nach der Teilnehmernummer!
    Und falls Du das Pech hattest, der Verteiler zu sein: mit
    http://housecall.trendmicro.com/housecall/start_corp.asp kannst Du Deinen Rechner online scannen.


    "studio" und "jpthomas" könnten die Versender sein, von denen Du den Virus bekommen hast und "270366" hat ihn dann sonst wo her...


    Bin ich bei Dir in irgendeiner Mail-Liste drin?


    JB


    PS: Habe eben schon wieder eine erhalten:
    Betreff: Re:jb,honey
    Absender: starduck 520050351071-0001@t-online.de
    Datum: 19. Jan 2003 17:13


    Gib mir doch mal per PM Deine Email-Addy, dann können wirs ja rausfinden....

    Hallo,


    die mail mit der exe werden nicht von einem t-online-account aus verschickt, die adresse ist gefaked, ein finger an die im email-header stehende ip-adresse gab folgendes raus:


    ----
    maurice@heaven:~$ finger 520050351071-0001@217.85.24.138
    [217.85.24.138]


    Welcome to Linux version 2.2.16 at linuxlanserver.lotzlan !


    6:31pm up 14 days, 23:58, 0 users, load average: 0.00, 0.00, 0.00


    finger: 520050351071-0001: no such user.
    ----


    scheint also ein privater rechner zu sein. Den t-online-user gibt es nicht.


    Auf dem Server laufen folgende Programme:


    Port State Service
    15/tcp open netstat
    22/tcp open ssh
    37/tcp open time
    79/tcp open finger
    514/tcp open shell
    515/tcp open printer
    540/tcp open uucp
    901/tcp open samba-swat
    10000/tcp open snet-sensor-mgmt


    Der Admin (root-user) gab folgende daten von sich:


    ----


    maurice@heaven:~$ finger root@217.85.24.138
    [217.85.24.138]


    Welcome to Linux version 2.2.16 at linuxlanserver.lotzlan !


    6:34pm up 15 days, 1 min, 0 users, load average: 0.00, 0.00, 0.00


    Login: root Name: root
    Directory: /root Shell: /bin/bash
    Last login Sat Jan 18 20:21 (CET) on pts/1 from 212088090024.sonofon.dk
    New mail received Mon Jan 13 00:03 2003 (CET)
    Unread since Sun Jul 28 12:56 2002 (CEST)
    No Plan.


    ---


    Last login sagt uns also, dass der admin sich auch noch von einem anderen rechner aus einloggt (sonofon.dk) ein Däne also.


    ---


    Das das ganze anscheinend über nen privaten Server läuft, denke ich, dass die email-adresse schlicht weg erfunden ist (vielleicht ja sogar um jemanden reinzulegen?). Haben wir nen Dänen im Forum? Ich habe noch ein paar andere Usernamen ausprobiert, habe aber nichts passsendes gefunden...


    Naja, ich kann ja noch mal testen, wenn was interessantes zu finden ist, kann ich ja noch mal was schreiben. Mein Fazit: der scanned hier einfach das Forum durch, die leute die eine mail bekommen haben: Habt ihr zufällig eure homepage-adresse in der signatur (kann ich hier nicht sehen) ?


    Gruß
    Maurice

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden