Druckversion des Themas

Geschrieben von: Rokop 05.03.2004, 01:04

Achtung! Heute erreichte uns eine mit einer I-Worm.Bagle Variante verseuchte E-Mail, deren Absender offensichtlich das Rokop Security Team ist. Dies stimmt natürlich nicht !

Die Mail trägt den Absender : noreply@rokop-security.de und hat den Betreff : Email account utilization warning. Außerdem hat die Mail folgenden, englischsprachigen Text:

Der Anhang ist ein passwortgeschütztes Zip-Archiv und beinhaltet eine I-Worm.Bagle Variante. Auf keinen Fall den Anhang versuchen zu öffnen !!!
Sollte Jemand eine solche Mail erreichen, bitten wir uns dies mitzuteilen.

Geschrieben von: raman 05.03.2004, 06:28

Es besteht auch die Moeglichkeit, die Senderadresse "noreply@" durch die Domain eresetzt wird, an die sich der Wurm sendet. Sprich geht es an einen T-onlineadresse, koennte die Absenderadresse auch noreply@t-online.de sein, bei einer aol adresse koennte es noreply@aol.de sein.
Entsprechend wuerden sich dann auch die Texte in der Mail aendern.

Geschrieben von: Lucky 05.03.2004, 06:59

Wenn ich mir den Text der eMail durchlese könnte man meinen da steht absichtlich Rokop Security drin.... oO Schaut mal auf den nach "Sincerely,"
...

Björn

Geschrieben von: raman 05.03.2004, 07:57

Ersetze rokop-security.de durch T-online.de, das klingt genauso "glaubwuerdig".

Der Teil "Your e-mail account will be disabled" laesst mich vermuten, das das nichts mit Rokop-security zu tun hat.

Geschrieben von: Bo Derek 05.03.2004, 09:23

Du vermutest richtig, diese Mail geht zur Zeit durch viele Domains und ist ein einfacher Automatismus.

Statt "noreply@domain" habe ich übrigens auch schon "management@domain" gesehen.

Geschrieben von: Rokop 05.03.2004, 09:53

Trotzdem dürfte es für den einen oder anderen "Klicker" glaubhaft klingen. Oft Bedarf es weniger aufwendige Mails als diese um das Gehirn abzuschalten und ohne Sinn und Verstand das Attachment auszuführen.

Geschrieben von: rock 05.03.2004, 10:04

morgen,
also danke erstmal für diese infos! das ist ja echt stark...da steht doch was von acount hier wieder aktivieren wenn man drei tage nicht gepostet hat, oder da war...passwort für die aktivierung in der mail.

also wenn das in deutsch geschrieben wäre, und ich länger wie drei tage nicht da wäre...also ich glaub ich würd rokop security da vertrauen und klack...

aber...wer kommt auf so ne idee...rokop account hat ja nicht jeder den so ne mail erreichen könnte...

gruss
rock

Geschrieben von: Yellow 05.03.2004, 10:24

Hallo an alle.

Hab' mich jetzt hier im Forum angemeldet, denn ich wollte mal meinen Senf auch zu diversen Themen beisteuern.

Diese Bagle-Variane müsste die J sein und ich bin mit Rokop voll und ganz einer Meinung; wundert mich eigentlich nur, wieviele Leute ohne Sinn und Verstand Anhänge öffnen. Erschreckend!

Mein E-Mail Anbieter unterbindet bis Montag sämtliches Versenden von ZIP-Files, weil sein (kostenpflichtiger) Viren-Scanner bei PW geschützten ZIP nicht funktioniert. Eine etwas drastische Lösung, aber immer noch besser als ein Kunde, der für einen nicht existierenden Schutz bezahlen muss.

In diesem Sinne, bleibt sauber!

Yellow

Geschrieben von: Joerg 05.03.2004, 10:33

Na dann willkommen



Die neuen Bagle-Varianten (wieso nennt Symantec die Dinger als Einziger Beagle??) setzen ja eine neue "Technik" ein, um arglose Anwender zu verwirren: Ein passwortgeschütztes ZIP-Archiv soll dem Anwender suggerieren, dass er es hier mit einer ganz wichtigen Mail zu tun hat, die nur für ihn bestimmt ist. Kommt dann solch eine Mail vielleicht noch von seinem ISP, dann klickt er eben auf das Attachment.



Seh ich nicht so. Wenn GMX bei mir (Bezahlaccount) den Versand von ZIP-Dateien unterbinden würde, würde ich denen die Hölle heiß machen. Warum soll der User für etwas büßen müssen, dass die Technik beim Provider nicht hinkriegt? Es werden genug ZIP-Files per Mail versendet; somit ist diese Unterbindung imho eine starke Einschränkung.
Der Mailscanner von GMX (Sophos) hat übrigens Bagle.j korrekt erkennen können.

Geschrieben von: Yellow 05.03.2004, 11:01

Danke!

Naja, ein gesundes Misstrauen wäre aber nicht schlecht, oder bin ich bloss paranoid? Geb' Dir aber Recht, die Mail ist raffiniert aufgebaut!

Kann mir eigentlich egal sein, da ich meine eigenen Scanner habe und sie mein ZIP-Versenden somit nicht sperren. Ist schon ein bisschen peinlich, aber in meinen Augen nur 'ne Notbremse. Besser ein Unterbinden von ZIP's, als ein infizierter Kunde trotz bezahltem Viren-Schutz.

Trotz PW-Schutz? Respekt!

Geschrieben von: Joerg 05.03.2004, 11:05

Ich denke, dass kaum ein Mitglied dieses Forums "aus Versehen" auf das Attachment klicken würde (höchstens zu Analysezwecken), aber es wird genügend weniger sicherheitsbewusste Anwender geben, die die Mail für echt halten.



Die meisten AV-Programme sollten das Ding bereits erkennen. Entweder, weil sie sich das Passwort aus der Mail holen (z.B. Kaspersky) oder weil sie einfach eine Signatur über das Zip-File gezogen haben. Wobei Letzteres nicht unbedingt optimal ist, siehe auch http://www.rokop-security.de/board/index.php?showtopic=2260

Geschrieben von: raman 05.03.2004, 11:07

Wenn es ein Passwort verschluesseltes Zip ist, koennte ich verstehen, wenn der Empfang nicht zugelassen wird. Aber mit Senden haette ich keinen Probleme. Der Wurm nutzt ja seinen eigenen SMTP, die sieht der Provider ja gar nicht.
Dein Provider scheint nicht Antivir einzusetzen, denn das kommt mit den (bagle) verschluesselten Zips klar!:)
Und ja, es war Bagle.I(KAV), bzw Bagle.J(Antivir). Kav kann zwar diese Zips nicht entpacken, meldet aber das verschluesselte Zip ansich mit einer Heuristik

BTW: Mich wuerde es schon wundern, wenn mir mein deutscher Provider auf einmal eine Email in englisch schicken wuerde!

Geschrieben von: Joerg 05.03.2004, 11:41

Und was ist http://www.rokop-security.de/board/index.php?showtopic=2256?



Globalisierung bzw. Internationalisierung machts möglich

Es reicht ja schon, wenn die User aus englischsprachigen Ländern das Attachment öffnen

Geschrieben von: raman 05.03.2004, 12:16

Aber ohne Mail ist es aufgeschmissen!:)

Antivir:

Readme.zip
[FUND!] Enthält Signatur des Wurmes Worm/Bagle.J
Email account utilization warning..eml
ArchiveType: MIME
--> Readme.zip
[FUND!] Enthält Signatur des Wurmes Worm/Bagle.J
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
---

KAV:
E:\temp\Readme.zip Archive ZIP <ce0000.0.11>
E:\temp\Readme.zip/nhnadslbw.exe Suspicious PSW-Worm <d80000.0.13>
....
E:\temp\Email account utilization warning..eml/[From XXXX@xxx.xx (XXXX)][Date Fri, 5 Mar 2004 00:41:54 +0100]/Readme.zip/nhnadslbw.exe Infected I-Worm.Bagle.i <cd0000.0.e>
---

Geschrieben von: x2x 06.03.2004, 17:17

Mal eine andere Frage: Bagle.J respektive K fälscht doch immer die Absenderadresse auf den Provider des eigenen Mail Accounts. Müßten dann die gefälschten Rokop Mails nicht ausschließlich bei Leuten ankommen, die auch eine Rokop Mail Adresse haben? Das dürften doch nur die Mitarbeiter sein, oder? Insofern ist der Schaden doch mehr als überschaubar.

x2x

Geschrieben von: Rokop 06.03.2004, 17:44

Ich bekam in den letzten Tagen immer wieder Mails (automatisch generiert oder handgeschrieben), daß wir Wurmmails verschicken würden. Mal war es Sober, mal Netsky mal ohne Angabe. Ich bin mir da also nicht so sicher. Vorsichtshalber habe ich diese Warnungen hier und auf der Hauptseite veröffentlicht.

Geschrieben von: x2x 06.03.2004, 17:50

Hallo Rokop, das Problem hab ich auch. Das sind dann aber die "normalen" Mass Mailer, die sich die Empfängeradressen vom infizierten PC suchen und diese dann (nach irgend einem Zufallsprinzip) auch gleich als Absenderadressen verwenden. Oder seh ich das falsch? Zumindest hab ich mir das so zusammengereimt.

x2x

Geschrieben von: Remover 06.03.2004, 18:06

Vor allen macht es der Wurm ja nur auf Rokob Security wenn er es auch an
einer der Adressen sendet, wenn er z.b. eine @irgendwas.com findet,
dann steht da halt auch administration@irgendwas.com, also keine Sorge
machen, die kommen nur bei euch auch mit Rokop Security an, nirgends woanders!

Ich wuerde die Warnung auf der Hauptseite rausnehmen.
Wenn man die Beschreibung des Wurms liest, kann jeder nachvollziehen
das die Mails nur bei euch so ankommen!!!!¨
Es besteht also keinerlei Gefahr.....

Geschrieben von: Heike 08.03.2004, 11:39

Vielleicht ist das auch eine neue Mache, um Viren zu verbreiten?

http://f27.parsimony.net/forum66495/, unter Warnung! - Bine 07.3.2004 23:54

Auf so eine Masche fallen sicher einige User rein.

Grundsätzlich könnte es jeden Foren-Betreiber treffen, wo Mail-Adressen von Mitgliedern einsehbar sind.

Geschrieben von: Shadow 08.03.2004, 12:49

Was ist da neu?
Ist seit über einem Jahrzehnt schon so, neu war nur auch schon vor ein paar Jahren, dass das Virus sich erst mit Hilfe des installierten Mailprogrammes und später sogar mit eigener SMTP-Engine selbständig verbreitete =>Wurm
*Irgendwie Heike nicht so ganz verstehend*

Geschrieben von: Heike 08.03.2004, 13:24

Neu ist vielleicht, das jemand sich ganz bewußt Adressen aus einen Forum besorgt, ein vertrauenswürdiges Anschreiben verfaßt und dann die Viren als "freundliche" Anlage anfügt.
Mir war das bisher so nicht aufgefallen, kann ja aber auch etwas übersehen haben.

Geschrieben von: Remover 08.03.2004, 16:00

Der Wurm besorgt sich wie jeder andere Wurm auch, einfach Mailadressen
aus diversen Dateien auf der Platte.
Und das einzig trickreiche ist, das er die Absendeadresse, einfach dem
Empfaenger angleicht und einige raffinierte Texte (Social Engineering) verwendet.
Wenn er also auf fritz.walter@mueller.com stoesst, dann sendet er sich z.b.
als administration@mueller.com oder management@mueller.com los.
Ich glaube das ist nicht das erste mal das ein Wurm so etwas macht,
nur die Texte sind durchaus gut verfasst und "nett" ist auch die Idee das er
sogar die entsprechende Homepage mit verlinkt "www.mueller.com".

Geschrieben von: Yellow 08.03.2004, 23:24

Und das macht neuerdings auch den Erfolg von solchen Würmern aus. Auf die alten Kournikova und Co.-Mails fällt heute (fast) keiner mehr rein. Und nicht zu vergessen, dass der "Return Path" der Mail auch gefälscht wird, so dass man dann (wie schon weiter oben erwähnt) automatisch generierte VirenScanner-Mails bekommt, man würde Würmer verschicken. Da denkt man dann auch auf einmal: Na, wie nu'... Ich bekomme solche (NetSky sei Dank) in letzter Zeit häufiger und wollte mal (spasseshalber) rausfinden, bei wem der Virus denn jetzt ausgebrochen ist (man ist ja hilfsbereit), aber da blicke ich nicht mehr durch, das ist 'ne Kette ohne Ende. Die Richtung kann man ungefähr bestimmen, aber genau sagen ist in meinen Augen nicht drin, oder?

Geschrieben von: Rokop 08.03.2004, 23:30

Nö !