Achtung! Heute erreichte uns eine mit einer I-Worm.Bagle Variante verseuchte E-Mail, deren Absender offensichtlich das Rokop Security Team ist. Dies stimmt natürlich nicht !
Die Mail trägt den Absender : noreply@rokop-security.de und hat den Betreff : Email account utilization warning. Außerdem hat die Mail folgenden, englischsprachigen Text:
Es besteht auch die Moeglichkeit, die Senderadresse "noreply@" durch die Domain eresetzt wird, an die sich der Wurm sendet. Sprich geht es an einen T-onlineadresse, koennte die Absenderadresse auch noreply@t-online.de sein, bei einer aol adresse koennte es noreply@aol.de sein.
Entsprechend wuerden sich dann auch die Texte in der Mail aendern.
Wenn ich mir den Text der eMail durchlese könnte man meinen da steht absichtlich Rokop Security drin.... oO Schaut mal auf den nach "Sincerely,"
...
Björn
Ersetze rokop-security.de durch T-online.de, das klingt genauso "glaubwuerdig".
Der Teil "Your e-mail account will be disabled" laesst mich vermuten, das das nichts mit Rokop-security zu tun hat.
Trotzdem dürfte es für den einen oder anderen "Klicker" glaubhaft klingen. Oft Bedarf es weniger aufwendige Mails als diese um das Gehirn abzuschalten und ohne Sinn und Verstand das Attachment auszuführen.
morgen,
also danke erstmal für diese infos! das ist ja echt stark...da steht doch was von acount hier wieder aktivieren wenn man drei tage nicht gepostet hat, oder da war...passwort für die aktivierung in der mail.
also wenn das in deutsch geschrieben wäre, und ich länger wie drei tage nicht da wäre...also ich glaub ich würd rokop security da vertrauen und klack...
aber...wer kommt auf so ne idee...rokop account hat ja nicht jeder den so ne mail erreichen könnte...
gruss
rock
Hallo an alle.
Hab' mich jetzt hier im Forum angemeldet, denn ich wollte mal meinen Senf auch zu diversen Themen beisteuern.
Diese Bagle-Variane müsste die J sein und ich bin mit Rokop voll und ganz einer Meinung; wundert mich eigentlich nur, wieviele Leute ohne Sinn und Verstand Anhänge öffnen. Erschreckend!
Mein E-Mail Anbieter unterbindet bis Montag sämtliches Versenden von ZIP-Files, weil sein (kostenpflichtiger) Viren-Scanner bei PW geschützten ZIP nicht funktioniert. Eine etwas drastische Lösung, aber immer noch besser als ein Kunde, der für einen nicht existierenden Schutz bezahlen muss.
In diesem Sinne, bleibt sauber!
Yellow
Wenn es ein Passwort verschluesseltes Zip ist, koennte ich verstehen, wenn der Empfang nicht zugelassen wird. Aber mit Senden haette ich keinen Probleme. Der Wurm nutzt ja seinen eigenen SMTP, die sieht der Provider ja gar nicht.
Dein Provider scheint nicht Antivir einzusetzen, denn das kommt mit den (bagle) verschluesselten Zips klar!:)
Und ja, es war Bagle.I(KAV), bzw Bagle.J(Antivir). Kav kann zwar diese Zips nicht entpacken, meldet aber das verschluesselte Zip ansich mit einer Heuristik
BTW: Mich wuerde es schon wundern, wenn mir mein deutscher Provider auf einmal eine Email in englisch schicken wuerde!
Mal eine andere Frage: Bagle.J respektive K fälscht doch immer die Absenderadresse auf den Provider des eigenen Mail Accounts. Müßten dann die gefälschten Rokop Mails nicht ausschließlich bei Leuten ankommen, die auch eine Rokop Mail Adresse haben? Das dürften doch nur die Mitarbeiter sein, oder? Insofern ist der Schaden doch mehr als überschaubar.
x2x
Ich bekam in den letzten Tagen immer wieder Mails (automatisch generiert oder handgeschrieben), daß wir Wurmmails verschicken würden. Mal war es Sober, mal Netsky mal ohne Angabe. Ich bin mir da also nicht so sicher. Vorsichtshalber habe ich diese Warnungen hier und auf der Hauptseite veröffentlicht.
Hallo Rokop, das Problem hab ich auch. Das sind dann aber die "normalen" Mass Mailer, die sich die Empfängeradressen vom infizierten PC suchen und diese dann (nach irgend einem Zufallsprinzip) auch gleich als Absenderadressen verwenden. Oder seh ich das falsch? Zumindest hab ich mir das so zusammengereimt.
x2x
Vor allen macht es der Wurm ja nur auf Rokob Security wenn er es auch an
einer der Adressen sendet, wenn er z.b. eine @irgendwas.com findet,
dann steht da halt auch administration@irgendwas.com, also keine Sorge
machen, die kommen nur bei euch auch mit Rokop Security an, nirgends woanders!
Ich wuerde die Warnung auf der Hauptseite rausnehmen.
Wenn man die Beschreibung des Wurms liest, kann jeder nachvollziehen
das die Mails nur bei euch so ankommen!!!!¨
Es besteht also keinerlei Gefahr.....
Vielleicht ist das auch eine neue Mache, um Viren zu verbreiten?
Neu ist vielleicht, das jemand sich ganz bewußt Adressen aus einen Forum besorgt, ein vertrauenswürdiges Anschreiben verfaßt und dann die Viren als "freundliche" Anlage anfügt.
Mir war das bisher so nicht aufgefallen, kann ja aber auch etwas übersehen haben.
Der Wurm besorgt sich wie jeder andere Wurm auch, einfach Mailadressen
aus diversen Dateien auf der Platte.
Und das einzig trickreiche ist, das er die Absendeadresse, einfach dem
Empfaenger angleicht und einige raffinierte Texte (Social Engineering) verwendet.
Wenn er also auf fritz.walter@mueller.com stoesst, dann sendet er sich z.b.
als administration@mueller.com oder management@mueller.com los.
Ich glaube das ist nicht das erste mal das ein Wurm so etwas macht,
nur die Texte sind durchaus gut verfasst und "nett" ist auch die Idee das er
sogar die entsprechende Homepage mit verlinkt "www.mueller.com".
Und das macht neuerdings auch den Erfolg von solchen Würmern aus. Auf die alten Kournikova und Co.-Mails fällt heute (fast) keiner mehr rein. Und nicht zu vergessen, dass der "Return Path" der Mail auch gefälscht wird, so dass man dann (wie schon weiter oben erwähnt) automatisch generierte VirenScanner-Mails bekommt, man würde Würmer verschicken. Da denkt man dann auch auf einmal: Na, wie nu'... Ich bekomme solche (NetSky sei Dank) in letzter Zeit häufiger und wollte mal (spasseshalber) rausfinden, bei wem der Virus denn jetzt ausgebrochen ist (man ist ja hilfsbereit), aber da blicke ich nicht mehr durch, das ist 'ne Kette ohne Ende. Die Richtung kann man ungefähr bestimmen, aber genau sagen ist in meinen Augen nicht drin, oder?
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)