Sober.Y alias BKA Sober Einstellungen

[Remover]

Hier schlaegt der "neue" Sober alle Rekorde.
Ich habe noch nie soviele Meldungen von Kunden bekommen.

Von der Versendung her, einer der massivsten Epidemien seit langen!!!

Mehr zu dem Wurm hier:
http://www.f-secure.com/v-descs/sober_y.shtml

[Domino]

Dito, mein Postfach ist auch voll davon.



Domino

[christian4u2]

Sophos meldet im Newsletter auch von ihm...

http://www.sophos.com/pressoffice/news/art...eyword=soberfbi

[christian4u2]

Sogar das FBI gibt eine Meldung zu ihm raus:

http://www.fbi.gov/pressrel/pressrel05/emailscheme112105.htm

[Rios]

Kaum von der Arbeit zu Hause, und schon ist vieles im Bewegung. Hier Heise
http://www.heise.de/security/news/meldung/66482

[docprantl]

Bei mir bisher nichts...

[flexibel44]

Bei mir auch nicht. Ach, eigentlich krieg ich nie welche ab....

[Remover]

2 haben sich sogar gerade in mein privates Mailpostfach verirrt, das ist wirklich sehr selten. Die Medien berichten mittlerweile auch recht massiv.....
unglaublich eigentlich dachte ich, das der Sober Wurm Autor kurz vor der Vehaftung steht und stattdessen scheint er mit denen sogar "Spielchen" zu treiben, siehe Mailadresse BKA.
Hatte heute auch mehrere Leute die mich besorgt gefragt haben, was sie machen sollen, jemand behaupte sie haetten Raubkopien, zum Glueck hat das die Firewall die Mailanhaenge bereits schon ins Nirvana befoerdert.

[christian4u2]

Ich habe auch noch keinen bekommen...muß aber auch nicht sein

[Rios]

Diese AVs sollen ihn schon kennen.
http://www.pcwelt.de/news/sicherheit/124691/index.html

[Stefan]

Also hier ist bislang auch Fehlanzeige.
Seit ich mit der Adresse nicht mehr in Newsgroups poste, ist der Spamanteil allerdings sowieso sehr gering geworden.

[Voyager]

und ich dachte ich bekomm endlich mal viehzeugs und würmer bei mir rein nach dem anblick der sober-mails im postfach (bka-meldungen und account-infos) aber nein , alle anhänge hatten nur eine grösse von 25byte.

[Gast_Zottel_*]

da lob ich mir Freenet

http://office.freenet.de/dienste/emailoffice/index.html


der war die BKA mail schon gestern unter viren verdacht rinnen

ich mag meine mail nur online lesen

[Stefan]

F-Secure hat die Alarmstufe für Sober.Y jetzt auf den höchsten Level 1 angehoben.

[Rios]

Ja Freunde, auch ich hatte nie welche bekommen. Aber irgendwann ist ist halt das erste mal. So bei mir zur Zeit. Eben PC angeworfen was sehe ich, auf Web.de wurde so eben der 3. Sober entfernt. Dieses mal war es der mit RTL World.

[Gast_Inside_*]

Heute zum erstemal hab ich so eine Mail bekommen von einen Freund Hab ihn gleich Telefonisch Benachrichtigt. Ich hab die Mail Gelöscht ohne sie zu öffnen

[docprantl]

Heute zum erstemal hab ich so eine Mail bekommen von einen Freund

Das glaube ich nicht.

Hab ihn gleich Telefonisch Benachrichtigt.

[Gast_Inside_*]

@docprantl

wie meinst du das mit
Kanst du mich aufklären da ich mich noch nicht so gut auskenne Danke

[Yopie]

Wie kann man den Absender einer E-Mail feststellen?

[_] Absender-E-Mail-Adresse*
[x] IP-Adresse im Header

Nur sagt die IP-Adresse idR nichts über die Identität des Senders aus.

*Ausnahme: Signierte Mail

Der Beitrag wurde von Yopie bearbeitet: 23.11.2005, 19:59

[docprantl]

@docprantl

wie meinst du das mit  
Kanst du mich aufklären da ich mich noch nicht so gut auskenne Danke
[right][snapback]120298[/snapback][/right]

Die meisten Mailwürmer, so auch die Sober-Familie, fälschen die Absendeadresse. Deshalb sieht es so aus, als wenn die Mail von einem Bekannten stammt. Tatsächlich wird es aber eher so sein, daß der Wurm bei einem Bekannten deines Bekannten sitzt und die Absendeadresse deines Bekannten nutzt.

docprantl

[Gast_Inside_*]

Yopie und docprantl danke für Infos da hast du schon recht. Aber mein Freund hat sich echt den Sober eingefangen er setzt gerade Windows neu auf

Der Beitrag wurde von Inside bearbeitet: 23.11.2005, 20:21

[Yopie]

Aber mein Freund hat sich echt den Sober eingefangen

Das ist der wirklich angebracht.

Achtung, Raubkopien!
Via E-Mail ist eine neue Version des Computervirus Sober unterwegs. Sie tarnt sich mit der Betreffzeile "Achtung, Sie besitzen Raubkopien“, als Absender gibt sich das Bundeskriminalamt aus, und der Empfänger wird gebeten, für weitere Informationen den Mail-Anhang "Scan-Report“ anzuklicken – ganz schön tückisch, da fällt praktisch jeder drauf rein!
Doch die hundsgemeinen Programmierer basteln schon an den nächsten, noch raffinierteren Tarnungen für ihre Viren. Seien Sie also mißtrauisch, wenn Sie in den nächsten Tagen eine der folgenden Mails erhalten:
- Betreff: "Sie sind verhaftet", vermeintlicher Absender: "Ihre örtliche Polizeidienststelle“, Infektion durch: Öffnen des Anhangs "Handschellen“
- Betreff: "Helfen Sie mir regieren“, vermeintlicher Absender: "Bundeskanzlerin Merkel“, Infektion durch: Klick auf den Anhang "Wunschgesetz“

Der Beitrag wurde von Yopie bearbeitet: 23.11.2005, 20:15

[Clementine]

Das hab ich heute bekommen:
______________________________________________________________________
Hinweis:
Der Anhang "gmx-TextInfo.zip" dieser Mail war mit dem Virus Email-Worm.Win32.Sober.y infiziert.
Der WEB.DE E-Mail-Virenschutz hat den Anhang gelöscht, der Inhalt der E-Mail sowie eventuelle weitere Anhänge wurden nicht verändert.

Betreff: Account Information
Von: Postman@gmx.de ins Adressbuch
An: x_mail-list@web.de
Datum: 23.11.05 11:38:52

erweiterter Header
Betreff: Account Information
Von: Postman@gmx.de ins Adressbuch

23.11.05 11:38

Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.

*** http://www.gmx.de
*** E-Mail: PassAdmin@gmx.de

______________________________________________________________________
Gruß Sabine

[Gast_Inside_*]

Moin zusammen heute früh staunte ich nicht schlecht als ich mein Mailprogramm Thunderbird öffnete befand sich zwei Sober (BKA und FBI) und ein Bagle Wurm im Unerwünschte Ordner von web.de die Mail Anhänge wurden entfernt. Nur ein list Zip ist noch vorhanden

Der Beitrag wurde von Inside bearbeitet: 25.11.2005, 09:35

[Rios]

Nach Sober und Beagles will wie es aussieht auch Mytop wieder mitmischen. Soll im moment noch nicht so akut sein, aber er wird wieder auftauchen.
http://www.pcwelt.de/news/sicherheit/124985/index.html

[Kool_Savas]

Die hatte wir auch in die Bank bekommen, aber der Anhang war schon gelöscht, aber aus Spaß habe ich die Mail an mich nach Hause geschickt.

[Clementine]

Und wo ich heute so schön Jauch geguckt habe, ist doch tatsächlich diese tolle Mail bei mir aufgetaucht:
_________________________________________________________________________
Betreff: RTL:_Wer_wird_Millionaer
Von: Auslosung@RTLWorld.de ins Adressbuch
An: Z-Account@web.de
Datum: 26.11.05 13:57:08


erweiterter Header
Betreff: RTL:_Wer_wird_Millionaer
Von: Auslosung@RTLWorld.de ins Adressbuch

26.11.05 13:57

Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
________________________________________________________________________
... wenn jemand sich tatsächlich dafür beworben hat ...

[christian4u2]

LOL...ich glaube darauf werden sehr viele reinfallen

[Gast_Inside_*]

@christian4u2

Nur ich nicht

Ich klicke eh auf keine Mail mit Anhang zur Zeit

[maxos]

[quote=Clementine,26.11.2005, 23:47]
Und wo ich heute so schön Jauch geguckt habe, ist doch tatsächlich diese tolle Mail bei mir aufgetaucht:
_________________________________________________________________________


Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
________________________________________________________________________

Würde eher sagen, wer darauf klickt sitzt ganz schön in der Jauche, sprich flüssiger Schweinemist.

mfg

[Gast_rock_*]

auch gerade erhalten:

schule-TextInfo.zip

im zip:
File packed-DataInfo (anwendung)



Der Beitrag wurde von rock bearbeitet: 27.11.2005, 13:14

[Solution-Design]

Ist schon etwas seltsam mit der Spam-Welle. Von den 1.200 Spam-Emails seit dem 01.11.2005 bis zum heutigen Tag, war gerade mal eine Sober-Variante W32/Sober.W.dr, eine W32/Mitglieder.CT und eine AdWare.Win32.Casino.d vorhanden. Zwar kam eine RTL-Mail an, aber selbst die enthielt nichts. Von großer Welle kann ich somit nicht reden.

[Clementine]

Von großer Welle kann ich somit nicht reden.
[right][snapback]120581[/snapback][/right]

Hab in den letzten 4 Tagen 4 Sober-infizierte Mails bekommen (2xRTL, BKA, GMX) und bekomme i.A. ansonsten so gut wie keine Spam-Mails (arrgh, schnell auf Holz klopfen) - als größere Welle empfinde ich das deshalb schon ...

[Rios]

Na ja bei mir waren es 10 Stück, wie schon einmal gesagt, eigentlich noch nie vorher was bekommen, aber dieses mal gut bestückt.

[Voyager]

ihr dürft nee von euch ausgehen , ich hab 6 mails und trotz das die immer wurmfrei sind redet die welt trotzdem von wellen .
und ja die mails gehen, da kommt erwünschtes und unerwünschtes an.

[Gast_rock_*]

morgen,

vom bka dürft ich (noch) verschont sein...bekomm alles andere...diesmal gleich 2x von ebay webmaster...accountname "Schnaggi"....

The attachment "Ebay-User6866_RegC.zip" is infected with the W32/Sober@MM!M681 virus(es).
This attachment has been quarantined.

[Solution-Design]

Ich weiß nicht, wie man in eine gewisse Anzahl Sobers kommt, auch ist mir nicht schlüssig, wie man in das Schussfeld gerät, aber ich dachte, dann schau doch mal in deine Spam-Emails nach, was sich da so tummelt. Und hier das Ergebnis:

Seit dem 01.06.2005

6147 Spam-Emails

Email-Worm.Win32.LovGate.w 30x
Email-Worm.Win32.Swen 4x
Worm.Win32.Eyeveg.i 1x
Backdoor.Win32.Dumador.dk 1x
AdWare.Win32.Casino.b 1x
AdWare.Win32.Casino.d 3x
Email-Worm.Win32.Bagle.ct 1x
Email-Worm.Win32.Bagle.dl 1x
W32/Mitglieder.CT 1x
W32/Sober.W.dr 2x

Wenn man also von Welle sprechen darf, dann von der LovGate-Welle.

[Rios]

Wie man sieht beschäftigt Sober auch die Engländer. Hier der Bericht.
http://www.theregister.co.uk/2005/11/28/nh...r_worm_warning/

[Remover]

Mittlerweile soll jede 14te Mail eine Sober Wurm Mail sein!!!

Sophos meldet das mehr als 80% aller gemeldeten Infektionen auf
Sober zurueck gehen.
Wenn ich mir so die Mailstats von den Mailservern anschaue,
scheint das wirklich nicht unrealistisch zu sein.

Einige unserer Kunden bekommen am Tag fast tausend Sober Mails rein.

Bei mir persoenlich landen derzeit 2-3 Mails am Tag auf meinem privaten Account.
Merkwuerdigerweise auf meinen eigentlichen Abfangaccount nicht eine Sobermail.
Dabei ist dort kein String enthalten, von der Sober "Blacklist".

[Stefan]

Also bei mir ist immer noch kein einziger Sober angekommen.

[Rios]

Ja Sober ist im November zum Favoriten gekürt worden. Die Hitliste.
http://www.cw360asp.com/Articles/2005/11/3...fvirustable.htm

[Solution-Design]

Also bei mir ist immer noch kein einziger Sober angekommen.
[right][snapback]120958[/snapback][/right]

Wir machen was falsch

[Voyager]

stimmt .

[Gast_Julian_*]

Sieht wohl so aus

[Gast_rock_*]

den ersten BKA hab ich eben bekommen...

The attachment "Akte6554.zip" is infected with the W32/Sober@MM!M681 virus(es).
This attachment has been deleted...

jetzt hab ich von allen einen gehabt...

aber ausarten tuts auch nicht...vereinzelt einer...alle paar zeiten...

[Stefan_K]

Postini der Weltgrösste Mail Filterer meldet, das dieser Virus einen neuen Rekord aufgestellt hat.

http://biz.yahoo.com/prnews/051130/sfw060.html?.v=38
http://www.postini.com/stats/

Das komische ist, ich habe mir eine neue Mail Adresse gemacht und keine 10 min später war dieser Virus schon auf meinem neuen Account.
Wie kann das sein

[Gast_rock_*]

plötzliich waewn einige da:

The attachment "Email.zip" is infected with the W32/Sober@MM!M681 virus(es).
This attachment has been deleted to complete the clean process.

dachtee schon es wär ruhe

[Rios]

@Stefan K
die haben gerochen das du keinen Viren-Scanner benutzt.

[Voyager]

ach deshalb trauen die sich nicht zu mir, die wissen das ich den besten hab

[Gast_rock_*]

also das war ich sicher nicht!

Bei uns wurde ein neues Benutzerkonto mit dem Namen "Trulla1979" beantragt

[Stefan_K]

Habe gerade mal bei Mcaffee (die Affen ) nachgesehen. Die haben den Virus auf Medium. Ziemlich lächerlich finde ich. Das Teil hämmert Posini zu, die von Mcaffee auch noch gescannt werden und "Medium."

Trauen sich wohl nicht zuzugeben das Ihre Anti Viren Lösung doch nicht das "A" und "O" ist.

[Gast_rock_*]

ui...36 mille sind schon viel...

aber ich kann mich jetzt garnicht erinnern wann mc afee mal was anderes als medium ausgab...

yellow oder red alert kenn ich von panda und/oder trend...

was haben die den ausgegeben zum sober?

[Gast_rock_*]

na das war doch die ganze familie aufeinmal...

[Voyager]

und das mcafee filtert die anhänge wo nicht raus ?

[Gast_rock_*]

hey bond,

da wo ***spam*** steht ist symantecs brightmail spamfilter drinnen...ist von chello broadband. wird also schon dort ausgefiltert...dann kommts ins OE. ich habe diese einstellung nicht deaktiviert. Nur den Mc Afee E-mail virenschutz...denn ich hab ja ohnehin mc afee da müsste ich dann irgendwo den mailschutz abdrehen. ich hab am server deaktiviert und den mailschutz vom desktopvirenscanner on.

ja manche sobers checkt brightmail auch so aus...eben sind wieder einige gekommen...ich glaub ich hab momentan angedokkt!

rock

[Rios]

Die nächste Sober Welle soll im Januar 2006 anlaufen. Das sagt das Sicherheitsunternehmen Idefense und nennt sogar den Tag, wie man hier lesen kann.
http://www.pcwelt.de/news/sicherheit/126302/index.html

[Rios]

Neues von F-Secure über Sober. Sieht so aus als hätten die bei F-Secure was neues analysiert. Mehr hier in diesem Bericht.
http://www.computerworld.com/securitytopic...,106939,00.html

[Domino]

Man schaue mal bei heise.






Domino

[Gast_Jens1962_*]

Du willst damit sagen, daß so ein Virus auch seine guten Seiten hat.

[Domino]

Nö.

Ich fands witzich....





Domino

[Gast_Jens1962_*]

Ich fands witzich.... [right][snapback]123893[/snapback][/right]

Ich auch, aber was soll ich machen, wenn Du so eine Vorlage gibst.

[Gast_rock_*]

also so wenig wie's anfangs war, desto mehr werdens täglich...ich komm unter 30 Stück Sober@MM!M681 (mc afee) nicht mehr weg nach dem OE öffnen. (nach einem tag, also zeitraum ca.20 stunden)

und AOL schreibt auf der homepage wie's übermorgen aussieht:
Angriff in der Nacht: Weltweit soll sich am 6.1. der Sober-Wurm aktivieren und unbemerkt einen Download starten

über H+BEDV steht folgendes kommentar:
Wie die Virenschützer der H+BEDV Datentechnik GmbH herausfanden, soll der auf vielen Rechner unentdeckt schlummernde Sober-Wurm am 6. Januar 2006 pünktlich um Mitternacht neue Updates aus dem Internet herunterladen

kann man das mir erläutern? " unendeckte schlummernde sober"???
ist der schon aktiv am rechner oder öffnet sich da von selbst ein solcher der einfach nur am pc liegt. abgespeichert oder archiviert, wie auch immer...



edit: der link zu AOL info.
http://www.aol.de/index.jsp?sg=Computer_Vi...&cid=1207285926

Der Beitrag wurde von rock bearbeitet: 05.01.2006, 16:34

[Remover]

@Rock

Zuerstmal...welcome back!

Sober hat in der Nacht seine Mailroutine deaktiviert und versucht nun,
von diversen Deutschen und Oesterreichischen URL's ein File herunterzuladen.
In der Regel handelt es sich dabei um den Nachfolger, der aber meist erst
ein paar Tage spaeter seine Mailroutine startet.
Diesmal wusste man die URL's recht genau und sollte die meisten gesperrt haben.
Das BKA wartet jedenfalls nur darauf, das jemand versucht, auf diesen URL's etwas hochzuladen.....

[Gast_rock_*]

thanks sir...irgendwie kam heute auch keine sober epedemie mehr an bei mir...sie blieben aus...

[Remover]

@Rock

Hier kannst du schauen, wie es momentan aussieht:
http://www2.uibk.ac.at/zid/systeme/mail/relaystat.html

Ganz unten:
Statistik der letzen 48 Stunden:
(Rot ist Sober gekennzeichnet...und gegen 2 Uhr morgens hoert es ploetzlich auf,
mit der roten Farbe)

Der Beitrag wurde von Remover bearbeitet: 06.01.2006, 22:51

[Rios]

Ja der nächste Sober Angriff sollte es so sein, läuft momentan ins Lehre. ( noch)
http://www.golem.de/0601/42572.html

[Gast_rock_*]

morgen, hey sir, hey rios

die seite von der UNI innsbruck, ist das auch vom andi? (IBK)?

hab gestern auch noch bei mc afee in dieser weltkarte geschaut....

na warten ma mal....bei mir ist stille....gerade mal drei spams heute...seit deinem info-posting kei einziger sober mehr...auch kein sonstiger vermehrter spam...it's over...für's erste.

aber so ne epedemie hatte ich echt noch nie...so ruhig wies anfangs war...wenn ich die zusammenzähl übern daumen waren es sicher über 1000 stück BKA und ähnliche die in den letzten wochen eingetrudelt sind...und haben sogar netsky überholt...(bei mir zuminderst).

rock

[Remover]

So wie es aussieht uebernimmt erstmal wieder Netsky.P das geschehen.
Das man das Teil nicht ausrotten kann, ist mir auch ein Raetsel.

Sober ist derweil kraeftig am suchen nach neuem Futter, wird aber
wohl derzeit nicht bedient. Wobei ich mich da nie zu frueh freuen wuerde,
da der Autor bisher ja auch immer erst ein paar Tage gewartet hat,
bevor die eigentlichen Mailroutinen gestartet sind.

Aber das Sober derzeit nicht mailt, duerfte einigen sehr wohlgefallen!