Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ News _ Sober sucht vergeblich

Geschrieben von: Bo Derek 23.05.2005, 17:45

Wie http://www.heise.de/security/ heute http://www.heise.de/security/news/meldung/59767, ist die weitere Verbreitung von Sober-Wurmvarianten vorerst gestoppt. Die Provider, die mit dem http://www.bsi.bund.de/ zusammengearbeitet haben, sorgten dafür, dass die aktiven Würmer keine Aktualisierungen von den Servern laden konnten. Ob Sober damit ein für alle mal gestoppt werden konnte, kann aber bezweifelt werden. Allerdings verschafft dieser Teilerfolg öffentlicher Stellen und Provider für eine Atempause im Kampf gegen die weitere Verbreitung des Schädlings und weiterer Spam-Wellen. Eine Pause, die Anwender tunlichst dafür nutzen sollten, ihr System auf einen möglichen Befall zu untersuchen.

Virenprogramme (eine Auswahl):
- http://www.free-av.de/ (für privaten und nicht kommerziellen Gebrauch kostenlos)
- http://www.kaspersky.com/de/downloads?chapter=146520596 (kostenlose Testversion)

Tools zur Entfernung (eine Auswahl):
- http://www.bitdefender.us/html/virusinfo.php?menu_id=1&v_id=333
- http://vil.nai.com/vil/stinger/

Geschrieben von: christophs 23.05.2005, 18:10

Danke für die Infos, Bo Derek!

Geschrieben von: DerBilk 23.05.2005, 21:35

Bekommt jetzt noch jemand von Euch 'Nazi-Spams'? confused.gif
Heise schreibt:

QUOTE
Die Spam-Flut durch Sober.P/.Q und die vielen durch die Spams ausgelösten Mailserver-Fehlermeldungen ("Delivery Failure") haben vorerst ein Ende.


Symantec schreibt neuerdings in der -mittlerweile angepassten- Beschreibung:
QUOTE
If the current date as verified from the NTP servers is May 23, 2005 or later,  in addition to sending emails, the Trojan attempts to download a file...

Geschrieben von: Bo Derek 23.05.2005, 21:36

Symantecs Meldung ist von letzter Woche: http://www.rokop-security.de/index.php?showtopic=8369

Geschrieben von: Yopie 23.05.2005, 21:42

QUOTE(DerBilk @ 23.05.2005, 22:34)
Bekommt jetzt noch jemand von Euch 'Nazi-Spams'?  confused.gif
Gestern. Über einen Newsletter, der wohl beschissen konfiguriert war. stirnklatsch.gif
Seit dem nichts mehr.

Geschrieben von: DerBilk 23.05.2005, 21:47

QUOTE(Bo Derek @ 23.05.2005, 22:35)
Symantecs Meldung ist von letzter Woche...


Im Grunde ist's mir völlig egal, von wann die Meldung ist, wobei ich dabei bleibe, dass diese heute im Laufe des Tages angepasst wurde. wink.gif
Sie widerspricht der Meldung von Heise und auch dem Log-Eintrag von F-Secure:
QUOTE
This means that instead of sending out the spam, it will poll for updates at predefined web locations.


Mich interessierte lediglich, ob nun noch was ankommt bei den Leuten...

Geschrieben von: Bo Derek 23.05.2005, 21:51

Naja, da der Wurm nun keine Spams mehr verschickt sondern hoffnungslos nach Updates sucht, warum sollte noch was ankommen?

Geschrieben von: DerBilk 23.05.2005, 21:59

Genau das war ja meine Ausgangsfrage, aber vielleicht bin ich nicht in der Lage, die Frage verständlich zu formulieren.
Ich wollte nicht wissen, was Hersteller A, B oder C, bzw. Onlinedienst XY schreiben, sondern ob 'draußen beim Volk' nun noch Spam ankommt oder nicht.
Aber lassen wir das...

Geschrieben von: Bo Derek 23.05.2005, 22:02

Ja, das kann man glaube ich lassen. Wenn der koreanische Azubi bei Symantec "in addition" nicht von "instead of" unterscheiden kann, ist das sicher kein Disput wert.

Meine Informationen kommen vom BSI, die den Wurm analysiert und dabei festgestellt haben, dass heute das Versenden von Spam eingestellt wird/wurde. Das geht doch klar aus meiner Meldung hervor?

Geschrieben von: DerBilk 23.05.2005, 22:16

Ich will das Thema wegen der Wichtigkeit nicht zerreden, aber das ist ja ein klasse Argumentationskette.

So ist der 'koreanische Azubi bei Symantec' zu blöd, hätte das BSI Unrecht wärs auch klar, das ist ja schließlich nur eine Behörde...

Geschrieben von: Bo Derek 23.05.2005, 22:37

QUOTE(DerBilk @ 23.05.2005, 23:15)
Ich will das Thema wegen der Wichtigkeit nicht zerreden, aber das ist ja ein klasse Argumentationskette.

So ist der 'koreanische Azubi bei Symantec' zu blöd, hätte das BSI Unrecht wärs auch klar, das ist ja schließlich nur eine Behörde...
[right][snapback]94534[/snapback][/right]


Also sorry Lutz, aber Du phantasierst Dir hier Sachen zusammen, die ich für völlig unnötig halte. Das BSI hat zusammen mit den größten Providern Europas verschiedene Server lahmgelegt. Du glaubst doch nicht, dass so etwas möglich ist, wenn sich ein Beamter beim BSI verschreibt?

Wenn Dir die Meldungen bei uns, Heise Security und dem BSI nicht ausreichen, kannst Du Dich ja noch hier informieren:

http://www.spiegel.de/netzwelt/technologie/0,1518,357111,00.html

http://www.stern.de/computer-technik/internet/540710.html?nv=cp_L2_tt

http://www.diepresse.com/Artikel.aspx?channel=h&ressort=ho&id=483984

http://www.n-tv.de/534948.html

http://www.computerwoche.de/index.cfm?pageid=254&type=detail&artid=75796

Weitere Infos liefern Google und Co. - Du solltest Dich nicht so einfach von einer Symantec-Meldung irritieren lassen.

Geschrieben von: Remover 24.05.2005, 07:17

Sorry aber das BSI hat schon so oft schwachsinn geschrieben,
das ich deren Meldung auch misstraue.
Ich habe schon mehrmals gesehen, das bei Beschreibungen von Malware,
die Dateiendungen der Attachements nicht korrekt waren, da fehlte z.b.
.ZIP oder aber da stand .pif und .exe, dabei ist es .pif und .scr usw.

Mein tipp ist, das Sober am Donnerstag zuschlaegt, das ist in einigen
Regionen ein Feiertag! Mich wuerde es persoenlich auch freuen, wenn man dem
Sober Autor wirklich in die Suppe gespuckt haette, aber glauben das dies
das BSI wirklich geschafft hat, mag ich wirklich nicht.

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)