Achtung, gefälschte Mails im Umlauf Einstellungen

[Rokop]

Achtung! Heute erreichte uns eine mit einer I-Worm.Bagle Variante verseuchte E-Mail, deren Absender offensichtlich das Rokop Security Team ist. Dies stimmt natürlich nicht !

Die Mail trägt den Absender : noreply@rokop-security.de und hat den Betreff : Email account utilization warning. Außerdem hat die Mail folgenden, englischsprachigen Text:

Dear user, the management of Rokop-security.de mailing system wants to let you know that,

Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.

Please, read the attach for further details.

For security reasons attached file is password protected. The password is "07552".

Sincerely,
The Rokop-security.de team  http://www.rokop-security.de

Der Anhang ist ein passwortgeschütztes Zip-Archiv und beinhaltet eine I-Worm.Bagle Variante. Auf keinen Fall den Anhang versuchen zu öffnen !!!
Sollte Jemand eine solche Mail erreichen, bitten wir uns dies mitzuteilen.

[raman]

Es besteht auch die Moeglichkeit, die Senderadresse "noreply@" durch die Domain eresetzt wird, an die sich der Wurm sendet. Sprich geht es an einen T-onlineadresse, koennte die Absenderadresse auch noreply@t-online.de sein, bei einer aol adresse koennte es noreply@aol.de sein.
Entsprechend wuerden sich dann auch die Texte in der Mail aendern.

Der Beitrag wurde von raman bearbeitet: 05.03.2004, 06:35

[Lucky]

Wenn ich mir den Text der eMail durchlese könnte man meinen da steht absichtlich Rokop Security drin.... oO Schaut mal auf den nach "Sincerely,"
...

Björn

[raman]

Ersetze rokop-security.de durch T-online.de, das klingt genauso "glaubwuerdig".

Der Teil "Your e-mail account will be disabled" laesst mich vermuten, das das nichts mit Rokop-security zu tun hat.

[Gast_Bo Derek_*]

Der Teil  "Your e-mail account will be disabled" laesst mich vermuten, das das nichts mit Rokop-security zu tun hat.

Du vermutest richtig, diese Mail geht zur Zeit durch viele Domains und ist ein einfacher Automatismus.

Statt "noreply@domain" habe ich übrigens auch schon "management@domain" gesehen.

[Rokop]

Trotzdem dürfte es für den einen oder anderen "Klicker" glaubhaft klingen. Oft Bedarf es weniger aufwendige Mails als diese um das Gehirn abzuschalten und ohne Sinn und Verstand das Attachment auszuführen.

[Gast_rock_*]

morgen,
also danke erstmal für diese infos! das ist ja echt stark...da steht doch was von acount hier wieder aktivieren wenn man drei tage nicht gepostet hat, oder da war...passwort für die aktivierung in der mail.

also wenn das in deutsch geschrieben wäre, und ich länger wie drei tage nicht da wäre...also ich glaub ich würd rokop security da vertrauen und klack...

aber...wer kommt auf so ne idee...rokop account hat ja nicht jeder den so ne mail erreichen könnte...

gruss
rock

[Yellow]

Hallo an alle.

Hab' mich jetzt hier im Forum angemeldet, denn ich wollte mal meinen Senf auch zu diversen Themen beisteuern.

Diese Bagle-Variane müsste die J sein und ich bin mit Rokop voll und ganz einer Meinung; wundert mich eigentlich nur, wieviele Leute ohne Sinn und Verstand Anhänge öffnen. Erschreckend!

Mein E-Mail Anbieter unterbindet bis Montag sämtliches Versenden von ZIP-Files, weil sein (kostenpflichtiger) Viren-Scanner bei PW geschützten ZIP nicht funktioniert. Eine etwas drastische Lösung, aber immer noch besser als ein Kunde, der für einen nicht existierenden Schutz bezahlen muss.

In diesem Sinne, bleibt sauber!

Yellow

[Joerg]

Hab' mich jetzt hier im Forum angemeldet, denn ich wollte mal meinen Senf auch zu diversen Themen beisteuern.

Na dann willkommen

Diese Bagle-Variane müsste die J sein und ich bin mit Rokop voll und ganz einer Meinung; wundert mich eigentlich nur, wieviele Leute ohne Sinn und Verstand Anhänge öffnen. Erschreckend!

Die neuen Bagle-Varianten (wieso nennt Symantec die Dinger als Einziger Beagle??) setzen ja eine neue "Technik" ein, um arglose Anwender zu verwirren: Ein passwortgeschütztes ZIP-Archiv soll dem Anwender suggerieren, dass er es hier mit einer ganz wichtigen Mail zu tun hat, die nur für ihn bestimmt ist. Kommt dann solch eine Mail vielleicht noch von seinem ISP, dann klickt er eben auf das Attachment.

Mein E-Mail Anbieter unterbindet bis Montag sämtliches Versenden von ZIP-Files, weil sein (kostenpflichtiger) Viren-Scanner bei PW geschützten ZIP nicht funktioniert. Eine etwas drastische Lösung, aber immer noch besser als ein Kunde, der für einen nicht existierenden Schutz bezahlen muss.

Seh ich nicht so. Wenn GMX bei mir (Bezahlaccount) den Versand von ZIP-Dateien unterbinden würde, würde ich denen die Hölle heiß machen. Warum soll der User für etwas büßen müssen, dass die Technik beim Provider nicht hinkriegt? Es werden genug ZIP-Files per Mail versendet; somit ist diese Unterbindung imho eine starke Einschränkung.
Der Mailscanner von GMX (Sophos) hat übrigens Bagle.j korrekt erkennen können.

[Yellow]

Na dann willkommen

Danke!

Kommt dann solch eine Mail vielleicht noch von seinem ISP, dann klickt er eben auf das Attachment.

Naja, ein gesundes Misstrauen wäre aber nicht schlecht, oder bin ich bloss paranoid? Geb' Dir aber Recht, die Mail ist raffiniert aufgebaut!

... den Versand von ZIP-Dateien unterbinden würde, würde ich denen die Hölle heiß machen.

Kann mir eigentlich egal sein, da ich meine eigenen Scanner habe und sie mein ZIP-Versenden somit nicht sperren. Ist schon ein bisschen peinlich, aber in meinen Augen nur 'ne Notbremse. Besser ein Unterbinden von ZIP's, als ein infizierter Kunde trotz bezahltem Viren-Schutz.

Der Mailscanner von GMX (Sophos) hat übrigens Bagle.j korrekt erkennen können.

Trotz PW-Schutz? Respekt!

[Joerg]

Naja, ein gesundes Misstrauen wäre aber nicht schlecht, oder bin ich bloss paranoid?  Geb' Dir aber Recht, die Mail ist raffiniert aufgebaut!

Ich denke, dass kaum ein Mitglied dieses Forums "aus Versehen" auf das Attachment klicken würde (höchstens zu Analysezwecken), aber es wird genügend weniger sicherheitsbewusste Anwender geben, die die Mail für echt halten.

Trotz PW-Schutz? Respekt!

Die meisten AV-Programme sollten das Ding bereits erkennen. Entweder, weil sie sich das Passwort aus der Mail holen (z.B. Kaspersky) oder weil sie einfach eine Signatur über das Zip-File gezogen haben. Wobei Letzteres nicht unbedingt optimal ist, siehe auch diesen Beitrag

[raman]

Wenn es ein Passwort verschluesseltes Zip ist, koennte ich verstehen, wenn der Empfang nicht zugelassen wird. Aber mit Senden haette ich keinen Probleme. Der Wurm nutzt ja seinen eigenen SMTP, die sieht der Provider ja gar nicht.
Dein Provider scheint nicht Antivir einzusetzen, denn das kommt mit den (bagle) verschluesselten Zips klar!:)
Und ja, es war Bagle.I(KAV), bzw Bagle.J(Antivir). Kav kann zwar diese Zips nicht entpacken, meldet aber das verschluesselte Zip ansich mit einer Heuristik

BTW: Mich wuerde es schon wundern, wenn mir mein deutscher Provider auf einmal eine Email in englisch schicken wuerde!

Der Beitrag wurde von raman bearbeitet: 05.03.2004, 11:12

[Joerg]

Kav kann zwar diese Zips nicht entpacken, meldet aber das verschluesselte Zip ansich mit einer Heuristik

Und was ist hiermit?

Mich wuerde es schon wundern, wenn mir mein deutscher Provider auf einmal eine Email in englisch schicken wuerde!

Globalisierung bzw. Internationalisierung machts möglich

Es reicht ja schon, wenn die User aus englischsprachigen Ländern das Attachment öffnen

[raman]

Und was ist hiermit?

Aber ohne Mail ist es aufgeschmissen!:)

Antivir:

Readme.zip
[FUND!] Enthält Signatur des Wurmes Worm/Bagle.J
Email account utilization warning..eml
ArchiveType: MIME
--> Readme.zip
[FUND!] Enthält Signatur des Wurmes Worm/Bagle.J
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
---

KAV:
E:\temp\Readme.zip Archive ZIP <ce0000.0.11>
E:\temp\Readme.zip/nhnadslbw.exe Suspicious PSW-Worm <d80000.0.13>
....
E:\temp\Email account utilization warning..eml/[From XXXX@xxx.xx (XXXX)][Date Fri, 5 Mar 2004 00:41:54 +0100]/Readme.zip/nhnadslbw.exe Infected I-Worm.Bagle.i <cd0000.0.e>
---

[x2x]

Mal eine andere Frage: Bagle.J respektive K fälscht doch immer die Absenderadresse auf den Provider des eigenen Mail Accounts. Müßten dann die gefälschten Rokop Mails nicht ausschließlich bei Leuten ankommen, die auch eine Rokop Mail Adresse haben? Das dürften doch nur die Mitarbeiter sein, oder? Insofern ist der Schaden doch mehr als überschaubar.

x2x

[Rokop]

Ich bekam in den letzten Tagen immer wieder Mails (automatisch generiert oder handgeschrieben), daß wir Wurmmails verschicken würden. Mal war es Sober, mal Netsky mal ohne Angabe. Ich bin mir da also nicht so sicher. Vorsichtshalber habe ich diese Warnungen hier und auf der Hauptseite veröffentlicht.

[x2x]

Hallo Rokop, das Problem hab ich auch. Das sind dann aber die "normalen" Mass Mailer, die sich die Empfängeradressen vom infizierten PC suchen und diese dann (nach irgend einem Zufallsprinzip) auch gleich als Absenderadressen verwenden. Oder seh ich das falsch? Zumindest hab ich mir das so zusammengereimt.

x2x

[Remover]

Vor allen macht es der Wurm ja nur auf Rokob Security wenn er es auch an
einer der Adressen sendet, wenn er z.b. eine @irgendwas.com findet,
dann steht da halt auch administration@irgendwas.com, also keine Sorge
machen, die kommen nur bei euch auch mit Rokop Security an, nirgends woanders!

Ich wuerde die Warnung auf der Hauptseite rausnehmen.
Wenn man die Beschreibung des Wurms liest, kann jeder nachvollziehen
das die Mails nur bei euch so ankommen!!!!¨
Es besteht also keinerlei Gefahr.....

Der Beitrag wurde von Remover bearbeitet: 08.03.2004, 09:04

[Heike]

Vielleicht ist das auch eine neue Mache, um Viren zu verbreiten?

Hallo ihr,

heute hat es anfangen das an einige Adressen Mails verschickt wurden mit dem Absender "management@missbraucht.de" und "management@kinderschreie.de". Die Mails haben einen Anhang. Es handelt sich dabei um Virenmails. Also bitte ungeöffnet löschen. Ich weiss nicht wie das jetzt zustande kommt.
Also nicht lesen sondern löschen, ja?

Gruss,
Bine

Quelle, unter Warnung! - Bine 07.3.2004 23:54

Auf so eine Masche fallen sicher einige User rein.

Grundsätzlich könnte es jeden Foren-Betreiber treffen, wo Mail-Adressen von Mitgliedern einsehbar sind.

[Shadow]

Vielleicht ist das auch eine neue Mache, um Viren zu verbreiten?

Was ist da neu?
Ist seit über einem Jahrzehnt schon so, neu war nur auch schon vor ein paar Jahren, dass das Virus sich erst mit Hilfe des installierten Mailprogrammes und später sogar mit eigener SMTP-Engine selbständig verbreitete =>Wurm
*Irgendwie Heike nicht so ganz verstehend*