![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() ![]() |
![]() |
![]() ![]()
Beitrag
#1
|
|
![]() "Sir Remover" ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS ![]() |
Bei mir ist heute um 20.16 Uhr ein neuer Sober eingetrudelt:
Betreff: Ihr Passwort Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage. *-* http://www.allhell.com *-* MailTo: PasswordHelp@allhell.com **** AntiVirus-System: Kein Virus erkannt **** "XXX" AntiVirus Service **** WebSite: http://www.XXX.de Dateianhang: allHell_PassWort-info.zip Edit: (Heise berichtet bereits darueber, weil er WM Tickets als Koeder benutzt!!!) http://www.heise.de/security/news/meldung/59225 Der Beitrag wurde von Remover bearbeitet: 02.05.2005, 20:02 -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
![]()
Beitrag
#2
|
|
![]() Orakel-Profi ![]() Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 ![]() |
Momentan erkennen noch nicht alle AV-Programme den Wurm. Symantec hat den Wurm auf Stufe 3 der 5-stufigen "Warnskala" eingestuft, TrendMicro hat YellowAlert (die nennen den Sober.S) ausgerufen.
-------------------- Grüße, Jörg
|
|
|
![]()
Beitrag
#3
|
|
![]() Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 2.373 Mitglied seit: 15.04.2003 Wohnort: Monaco di Baviera Mitglieds-Nr.: 20 ![]() |
Hier ist er auch schon aufgeschlagen, kam von Received: from p5494B991.dip.t-dialin.net (HELO rajsdauko.com) [84.148.185.145]
Die IP lässt sich anpingen. Ob das noch der gleiche Rechner ist? -------------------- ![]() But don’t forget the songs that made you cry And the songs that saved your life Yes, you’re older now, and you’re a clever swine But they were the only ones who ever stood by you. ![]() |
|
|
Gast_Faith_* |
![]()
Beitrag
#4
|
Gäste ![]() |
QUOTE(Joerg @ 02.05.2005, 21:06) Momentan erkennen noch nicht alle AV-Programme den Wurm. Symantec hat den Wurm auf Stufe 3 der 5-stufigen "Warnskala" eingestuft [right][snapback]91256[/snapback][/right] Symantec bietet aber weder über LiveUpdate noch über den manuellen ein Update an, steht zwar auf deren Site, ist aber nichts da, verwundert mich eigentlich ![]() |
|
|
Gast_Faith_* |
![]()
Beitrag
#5
|
Gäste ![]() |
selbst Panda sagt, dass alles in Ordnung sei ....
mir scheint, dass einige AV-Hersteller ein Update nicht für nötig halten ![]() |
|
|
![]()
Beitrag
#6
|
|
![]() Orakel-Profi ![]() Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 ![]() |
Eventuell sind momentan nur Beta-Signaturen verfügbar? Laut der entsprechenden Security-Response-Seite sollten aber auch über LiveUpdate bereits Signaturen verfügbar sein
![]() -------------------- Grüße, Jörg
|
|
|
Gast_Faith_* |
![]()
Beitrag
#7
|
Gäste ![]() |
QUOTE(Joerg @ 02.05.2005, 21:25) Eventuell sind momentan nur Beta-Signaturen verfügbar? Laut der entsprechenden Security-Response-Seite sollten aber auch über LiveUpdate bereits Signaturen verfügbar sein ![]() [right][snapback]91262[/snapback][/right] der Downloadstatus liegt bei Symantec immer noch beim 01.05.05 ( ... ) und laut NAV ist der Schutz vollständig und es gebe nichts neues ( 01.05.05 ) ![]() mal schauen, wie die Reaktionszeiten wieder aussehen, ich vermute diemals nicht sehr gut ![]() Der Beitrag wurde von Faith bearbeitet: 02.05.2005, 20:28 |
|
|
![]()
Beitrag
#8
|
|
![]() Gehört zum Inventar ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 2.373 Mitglied seit: 15.04.2003 Wohnort: Monaco di Baviera Mitglieds-Nr.: 20 ![]() |
AVPE hats generisch erkannt.
-------------------- ![]() But don’t forget the songs that made you cry And the songs that saved your life Yes, you’re older now, and you’re a clever swine But they were the only ones who ever stood by you. ![]() |
|
|
Gast_Faith_* |
![]()
Beitrag
#9
|
Gäste ![]() |
bis jetzt noch kein Update von Symantec .... unverantwortlich sowas !!!!
![]() |
|
|
![]()
Beitrag
#10
|
|
![]() Trojaner-Jäger ![]() Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista ![]() |
QUOTE(Faith @ 02.05.2005, 21:49) bis jetzt noch kein Update von Symantec .... unverantwortlich sowas !!!! ![]() Definitiv einer der unzähligen Gründe warum ich eigentlich nie NAV empfohlen habe und auch sonst der Tenor über die Qualität von NAV seit Jahren in einschlägigen Foren/Newsgroups eher negativ ist. BTW NOD32 erkennt das ganze übrigens als Sober.O ![]() wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
![]() ![]()
Beitrag
#11
|
|
![]() Threadersteller "Sir Remover" ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS ![]() |
Habe gerade gesehen das er auf meinen Lycos Account bereits seit 18:10 Uhr zahlreich eingeschlagen ist, hier ein paar Texte:
Betreff: Glueckwunsch: Ihr WM Ticket Herzlichen Glueckwunsch, beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei. Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. Ihr "ok2006" Team St. Rainer Gellhaus --- FIFA-Pressekontakt: --- Pressesprecher Jens Grittner und Gerd Graus --- FIFA Fussball-Weltmeisterschaft 2006 --- Organisationskomitee Deutschland --- Tel. 069 / 2006 - 2600 --- Jens.Grittner@ok2006.de --- Gerd.Graus@ok2006.de **** AntiVirus-System: Kein Virus erkannt **** "LYCOS" AntiVirus Service **** WebSite: http://www.lycos.de ------------------------------------------- Betreff: WM-Ticket-Auslosung Herzlichen Glueckwunsch, beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei. Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. Ihr "ok2006" Team St. Rainer Gellhaus --- FIFA-Pressekontakt: --- Pressesprecher Jens Grittner und Gerd Graus --- FIFA Fussball-Weltmeisterschaft 2006 --- Organisationskomitee Deutschland --- Tel. 069 / 2006 - 2600 --- Jens.Grittner@ok2006.de --- Gerd.Graus@ok2006.de --------------------------------------------------- Betreff: Ich bin's, was zum lachen ![]() Nun sieh dir das mal an! Was ein Ferkel .... Anhang: Lol.zip ------------------------------------------------------- Betreff: Ihre E-Mail wurde verweigert Diese E-Mail wurde automatisch erzeugt Mehr Information finden Sie unter http://www.misitio.ch---------- Folgende Fehler sind aufgetreten: Fehler konnte nicht Explicit ermittelt werden End Transmission ---------- Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden. Wir bitten Sie, dieses zu beruecksichtigen. Auto ReMailer# [misitio] **** AntiVirus-System: Kein Virus erkannt **** "LYCOS" AntiVirus Service **** WebSite: http://www.lycos.de ----------------------------------------------------- Betreff: Ihr Passwort Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage. *-* http://www.isuisse.com*-* MailTo: PasswordHelp@isuisse.com **** Mail-Scanner: Es wurde kein Virus festgestellt **** "LYCOS" AntiVirus Service **** WebSite: http://www.lycos.de 14 Sober Mails bis jetzt....dabei meiden mich die Dinger sonst so gut wie es nur geht, hehe ;-) Ach ja, Kaspersky hat ihn um 20.16 Uhr (wahrscheinlich auch schon frueher) einwandfrei als Sober.P erkannt! Der Beitrag wurde von Remover bearbeitet: 02.05.2005, 21:06 -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
![]()
Beitrag
#12
|
|
![]() Wohnt schon fast hier ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW ![]() |
Hallo,
Symantec erkennt Sober als W32.Sober.O@mm, auch über LiveUpdate! Bedrohung Category 3. TrendMicro hat YELLOW ALERT ausgerufen und erkennt ihn als WORM_SOBER.S -------------------- Gruß
Internetfan1971 |
|
|
![]()
Beitrag
#13
|
|
![]() Threadersteller "Sir Remover" ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS ![]() |
Eines weiss ich schon jetzt, wenn das Teil dermassen haeufig auf meiner Lycos Adresse
einschlaegt, ist er diesmal massiv verbreitet!!! Das Thema WM Tickets scheint bei den Leuten zu ziehen. Gibt es in Englisch eigentlich auch die WM Texte? Habe leider kein .com Account oder so..... -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
![]()
Beitrag
#14
|
|
War schon oft hier ![]() ![]() Gruppe: Mitglieder Beiträge: 63 Mitglied seit: 02.05.2003 Wohnort: Bielefeld Mitglieds-Nr.: 74 Betriebssystem: WinXP Pro SP2 Virenscanner: AVIRA Firewall: - ![]() |
QUOTE(Remover @ 02.05.2005, 22:08) Gibt es in Englisch eigentlich auch die WM Texte? Habe leider kein .com Account oder so..... [right][snapback]91271[/snapback][/right] Lt. Sophos -> http://www.sophos.com/virusinfo/analyses/w32sobern.html Trend -> http://www.trendmicro.com/vinfo/virusencyc...BER%2ES&VSect=T und Symantec -> http://securityresponse.symantec.com/avcen...sober.o@mm.html gibt es die WM-Texte nur in deutsch. Begann nicht heute die 2. Runde der Ticketverlosung? 'Cleverer' Zeitpunkt... ![]() Und das Ding verbreitet sich scheinbar echt 'wie Sau' im Moment.... -------------------- Gruß,
Lutz |
|
|
Gast_R2D2_* |
![]()
Beitrag
#15
|
Gäste ![]() |
Die Beschreibungen sind natuerlich wieder unter aller Sau.
Man merkt ganz deutlich das bei trend micro nicht nur das QA Senior Team gekuendigt hat... Die uebersehen tatsaechlich gleich mal files welche der wurm anleget, uebersehen registry keys, haben keinen blassen Schimmer was sonst so abgeht - gleiches trifft auf symantec zu. Der Wurm reisst einen eigenen Thread hoch der dauernd die registry eintraege nachbessert falls sie geloescht werden. Der Wurm schuetzt sich durch Exclusivlock vor dem Scannen und ist in der Lage files via URLMON.DLL runterzuladen. |
|
|
Gast_R2D2_* |
![]()
Beitrag
#16
|
Gäste ![]() |
Nachtrag: Grade hat Trend nachgebessert
![]() Der 2. Registry Eintrag ist trotzdem falsch und der Rest fehlt auch noch ![]() Weil bei HKCU Key haben die letzen sober varianten schon immer einen "_" vor dem Key gehabt.... Das sollten sie eigentlich wissen... Jetzt euch mal nicht so an! ![]() |
|
|
Gast_Faith_* |
![]()
Beitrag
#17
|
Gäste ![]() |
so Symantec hat selber geupdatet.
![]() Der Beitrag wurde von Faith bearbeitet: 02.05.2005, 22:52 |
|
|
![]()
Beitrag
#18
|
|
![]() Ist unverzichtbar ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 ![]() |
@faith
du solltest mal etwas besser lesen , bei symantec hies das teil nur anders aber war in den gestrigen signaturen "vor der outbreakwarnung" schon dabei ...oder meinst du die schicken die warnungen an jede NAV/NIS-programme raus und haben keine AV-signaturen dafür parat ? wenn dir zwecks deiner daumen-down aktion irgendwas nicht passt kannst ja was anderes nehmen. -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
![]()
Beitrag
#19
|
|
Womanizer ![]() Gruppe: Freunde Beiträge: 3.798 Mitglied seit: 05.05.2004 Mitglieds-Nr.: 765 ![]() |
QUOTE(bond7 @ 03.05.2005, 03:15) wenn dir zwecks deiner daumen-down aktion irgendwas nicht passt kannst ja was anderes nehmen. [right][snapback]91283[/snapback][/right] Du bist zu gnädig... ![]() -------------------- |
|
|
![]()
Beitrag
#20
|
|
![]() Wohnt schon fast hier ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW ![]() |
Hallo R2D2!
QUOTE Die uebersehen tatsaechlich gleich mal files welche der wurm anleget, uebersehen registry keys, haben keinen blassen Schimmer was sonst so abgeht - gleiches trifft auf symantec zu. Und wer liefert korrekte Virenbeschreibungen? ![]() -------------------- Gruß
Internetfan1971 |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 17.06.2024, 20:49 |