Hilfe - Suche - Mitglieder - Kalender
Vollansicht: Achtung, gefälschte Mails im Umlauf
Rokop Security > Neues von Rokop Security > News
Rokop
Achtung! Heute erreichte uns eine mit einer I-Worm.Bagle Variante verseuchte E-Mail, deren Absender offensichtlich das Rokop Security Team ist. Dies stimmt natürlich nicht !

Die Mail trägt den Absender : noreply@rokop-security.de und hat den Betreff : Email account utilization warning. Außerdem hat die Mail folgenden, englischsprachigen Text:

QUOTE
Dear user, the management of Rokop-security.de mailing system wants to let you know that,

Your e-mail account will be disabled because of improper using in next
three days, if you are still wishing to use it, please, resign your
account information.

Please, read the attach for further details.

For security reasons attached file is password protected. The password is "07552".

Sincerely,
The Rokop-security.de team  http://www.rokop-security.de



Der Anhang ist ein passwortgeschütztes Zip-Archiv und beinhaltet eine I-Worm.Bagle Variante. Auf keinen Fall den Anhang versuchen zu öffnen !!!
Sollte Jemand eine solche Mail erreichen, bitten wir uns dies mitzuteilen.
raman
Es besteht auch die Moeglichkeit, die Senderadresse "noreply@" durch die Domain eresetzt wird, an die sich der Wurm sendet. Sprich geht es an einen T-onlineadresse, koennte die Absenderadresse auch noreply@t-online.de sein, bei einer aol adresse koennte es noreply@aol.de sein.
Entsprechend wuerden sich dann auch die Texte in der Mail aendern.
Lucky
Wenn ich mir den Text der eMail durchlese könnte man meinen da steht absichtlich Rokop Security drin.... oO Schaut mal auf den nach "Sincerely,"
...

Björn
raman
Ersetze rokop-security.de durch T-online.de, das klingt genauso "glaubwuerdig".

Der Teil "Your e-mail account will be disabled" laesst mich vermuten, das das nichts mit Rokop-security zu tun hat.
Bo Derek
QUOTE(raman @ 5. March 2004, 07:56)
Der Teil  "Your e-mail account will be disabled" laesst mich vermuten, das das nichts mit Rokop-security zu tun hat.

Du vermutest richtig, diese Mail geht zur Zeit durch viele Domains und ist ein einfacher Automatismus.

Statt "noreply@domain" habe ich übrigens auch schon "management@domain" gesehen.
Rokop
Trotzdem dürfte es für den einen oder anderen "Klicker" glaubhaft klingen. Oft Bedarf es weniger aufwendige Mails als diese um das Gehirn abzuschalten und ohne Sinn und Verstand das Attachment auszuführen.
rock
morgen,
also danke erstmal für diese infos! das ist ja echt stark...da steht doch was von acount hier wieder aktivieren wenn man drei tage nicht gepostet hat, oder da war...passwort für die aktivierung in der mail.

also wenn das in deutsch geschrieben wäre, und ich länger wie drei tage nicht da wäre...also ich glaub ich würd rokop security da vertrauen und klack...

aber...wer kommt auf so ne idee...rokop account hat ja nicht jeder den so ne mail erreichen könnte...

gruss
rock ph34r.gif
Yellow
Hallo an alle.

Hab' mich jetzt hier im Forum angemeldet, denn ich wollte mal meinen Senf auch zu diversen Themen beisteuern. wink.gif

Diese Bagle-Variane müsste die J sein und ich bin mit Rokop voll und ganz einer Meinung; wundert mich eigentlich nur, wieviele Leute ohne Sinn und Verstand Anhänge öffnen. Erschreckend! no.gif

Mein E-Mail Anbieter unterbindet bis Montag sämtliches Versenden von ZIP-Files, weil sein (kostenpflichtiger) Viren-Scanner bei PW geschützten ZIP nicht funktioniert. Eine etwas drastische Lösung, aber immer noch besser als ein Kunde, der für einen nicht existierenden Schutz bezahlen muss.

In diesem Sinne, bleibt sauber! smile.gif

Yellow
Joerg
QUOTE
Hab' mich jetzt hier im Forum angemeldet, denn ich wollte mal meinen Senf auch zu diversen Themen beisteuern.


Na dann willkommen smile.gif

QUOTE
Diese Bagle-Variane müsste die J sein und ich bin mit Rokop voll und ganz einer Meinung; wundert mich eigentlich nur, wieviele Leute ohne Sinn und Verstand Anhänge öffnen. Erschreckend!


Die neuen Bagle-Varianten (wieso nennt Symantec die Dinger als Einziger Beagle??) setzen ja eine neue "Technik" ein, um arglose Anwender zu verwirren: Ein passwortgeschütztes ZIP-Archiv soll dem Anwender suggerieren, dass er es hier mit einer ganz wichtigen Mail zu tun hat, die nur für ihn bestimmt ist. Kommt dann solch eine Mail vielleicht noch von seinem ISP, dann klickt er eben auf das Attachment.

QUOTE
Mein E-Mail Anbieter unterbindet bis Montag sämtliches Versenden von ZIP-Files, weil sein (kostenpflichtiger) Viren-Scanner bei PW geschützten ZIP nicht funktioniert. Eine etwas drastische Lösung, aber immer noch besser als ein Kunde, der für einen nicht existierenden Schutz bezahlen muss.


Seh ich nicht so. Wenn GMX bei mir (Bezahlaccount) den Versand von ZIP-Dateien unterbinden würde, würde ich denen die Hölle heiß machen. Warum soll der User für etwas büßen müssen, dass die Technik beim Provider nicht hinkriegt? Es werden genug ZIP-Files per Mail versendet; somit ist diese Unterbindung imho eine starke Einschränkung.
Der Mailscanner von GMX (Sophos) hat übrigens Bagle.j korrekt erkennen können.
Yellow
QUOTE
Na dann willkommen smile.gif
Danke! thumbup.gif

QUOTE
Kommt dann solch eine Mail vielleicht noch von seinem ISP, dann klickt er eben auf das Attachment.
Naja, ein gesundes Misstrauen wäre aber nicht schlecht, oder bin ich bloss paranoid? whistling.gif Geb' Dir aber Recht, die Mail ist raffiniert aufgebaut!

QUOTE
... den Versand von ZIP-Dateien unterbinden würde, würde ich denen die Hölle heiß machen.
Kann mir eigentlich egal sein, da ich meine eigenen Scanner habe und sie mein ZIP-Versenden somit nicht sperren. Ist schon ein bisschen peinlich, aber in meinen Augen nur 'ne Notbremse. Besser ein Unterbinden von ZIP's, als ein infizierter Kunde trotz bezahltem Viren-Schutz. lmfao.gif

QUOTE
Der Mailscanner von GMX (Sophos) hat übrigens Bagle.j korrekt erkennen können.
Trotz PW-Schutz? Respekt! thumbup.gif
Joerg
QUOTE
Naja, ein gesundes Misstrauen wäre aber nicht schlecht, oder bin ich bloss paranoid?  Geb' Dir aber Recht, die Mail ist raffiniert aufgebaut!


Ich denke, dass kaum ein Mitglied dieses Forums "aus Versehen" auf das Attachment klicken würde (höchstens zu Analysezwecken), aber es wird genügend weniger sicherheitsbewusste Anwender geben, die die Mail für echt halten.

QUOTE
Trotz PW-Schutz? Respekt!


Die meisten AV-Programme sollten das Ding bereits erkennen. Entweder, weil sie sich das Passwort aus der Mail holen (z.B. Kaspersky) oder weil sie einfach eine Signatur über das Zip-File gezogen haben. Wobei Letzteres nicht unbedingt optimal ist, siehe auch diesen Beitrag
raman
Wenn es ein Passwort verschluesseltes Zip ist, koennte ich verstehen, wenn der Empfang nicht zugelassen wird. Aber mit Senden haette ich keinen Probleme. Der Wurm nutzt ja seinen eigenen SMTP, die sieht der Provider ja gar nicht.
Dein Provider scheint nicht Antivir einzusetzen, denn das kommt mit den (bagle) verschluesselten Zips klar!:)
Und ja, es war Bagle.I(KAV), bzw Bagle.J(Antivir). Kav kann zwar diese Zips nicht entpacken, meldet aber das verschluesselte Zip ansich mit einer Heuristik

BTW: Mich wuerde es schon wundern, wenn mir mein deutscher Provider auf einmal eine Email in englisch schicken wuerde!
Joerg
QUOTE
Kav kann zwar diese Zips nicht entpacken, meldet aber das verschluesselte Zip ansich mit einer Heuristik


Und was ist hiermit?

QUOTE
Mich wuerde es schon wundern, wenn mir mein deutscher Provider auf einmal eine Email in englisch schicken wuerde!


Globalisierung bzw. Internationalisierung machts möglich wink.gif

Es reicht ja schon, wenn die User aus englischsprachigen Ländern das Attachment öffnen sad.gif
raman
QUOTE(Joerg @ 5. March 2004, 11:40)
Und was ist hiermit?

Aber ohne Mail ist es aufgeschmissen!:)

Antivir:

Readme.zip
[FUND!] Enthält Signatur des Wurmes Worm/Bagle.J
Email account utilization warning..eml
ArchiveType: MIME
--> Readme.zip
[FUND!] Enthält Signatur des Wurmes Worm/Bagle.J
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
---

KAV:
E:\temp\Readme.zip Archive ZIP <ce0000.0.11>
E:\temp\Readme.zip/nhnadslbw.exe Suspicious PSW-Worm <d80000.0.13>
....
E:\temp\Email account utilization warning..eml/[From XXXX@xxx.xx (XXXX)][Date Fri, 5 Mar 2004 00:41:54 +0100]/Readme.zip/nhnadslbw.exe Infected I-Worm.Bagle.i <cd0000.0.e>
---
x2x
Mal eine andere Frage: Bagle.J respektive K fälscht doch immer die Absenderadresse auf den Provider des eigenen Mail Accounts. Müßten dann die gefälschten Rokop Mails nicht ausschließlich bei Leuten ankommen, die auch eine Rokop Mail Adresse haben? Das dürften doch nur die Mitarbeiter sein, oder? Insofern ist der Schaden doch mehr als überschaubar.

x2x
Rokop
Ich bekam in den letzten Tagen immer wieder Mails (automatisch generiert oder handgeschrieben), daß wir Wurmmails verschicken würden. Mal war es Sober, mal Netsky mal ohne Angabe. Ich bin mir da also nicht so sicher. Vorsichtshalber habe ich diese Warnungen hier und auf der Hauptseite veröffentlicht.
x2x
Hallo Rokop, das Problem hab ich auch. Das sind dann aber die "normalen" Mass Mailer, die sich die Empfängeradressen vom infizierten PC suchen und diese dann (nach irgend einem Zufallsprinzip) auch gleich als Absenderadressen verwenden. Oder seh ich das falsch? Zumindest hab ich mir das so zusammengereimt.

x2x
Remover
Vor allen macht es der Wurm ja nur auf Rokob Security wenn er es auch an
einer der Adressen sendet, wenn er z.b. eine @irgendwas.com findet,
dann steht da halt auch administration@irgendwas.com, also keine Sorge
machen, die kommen nur bei euch auch mit Rokop Security an, nirgends woanders!

Ich wuerde die Warnung auf der Hauptseite rausnehmen.
Wenn man die Beschreibung des Wurms liest, kann jeder nachvollziehen
das die Mails nur bei euch so ankommen!!!!¨
Es besteht also keinerlei Gefahr.....
Heike
Vielleicht ist das auch eine neue Mache, um Viren zu verbreiten? confused.gif

QUOTE
Hallo ihr,

heute hat es anfangen das an einige Adressen Mails verschickt wurden mit dem Absender "management@missbraucht.de" und "management@kinderschreie.de". Die Mails haben einen Anhang. Es handelt sich dabei um Virenmails. Also bitte ungeöffnet löschen. Ich weiss nicht wie das jetzt zustande kommt.
Also nicht lesen sondern löschen, ja?

Gruss,
Bine

Quelle, unter Warnung! - Bine 07.3.2004 23:54

Auf so eine Masche fallen sicher einige User rein. sad.gif

Grundsätzlich könnte es jeden Foren-Betreiber treffen, wo Mail-Adressen von Mitgliedern einsehbar sind.
Shadow
QUOTE(Heike @ 8. March 2004, 11:38)
Vielleicht ist das auch eine neue Mache, um Viren zu verbreiten?

Was ist da neu? confused.gif
Ist seit über einem Jahrzehnt schon so, neu war nur auch schon vor ein paar Jahren, dass das Virus sich erst mit Hilfe des installierten Mailprogrammes und später sogar mit eigener SMTP-Engine selbständig verbreitete =>Wurm
*Irgendwie Heike nicht so ganz verstehend*
Heike
Neu ist vielleicht, das jemand sich ganz bewußt Adressen aus einen Forum besorgt, ein vertrauenswürdiges Anschreiben verfaßt und dann die Viren als "freundliche" Anlage anfügt.
Mir war das bisher so nicht aufgefallen, kann ja aber auch etwas übersehen haben. rolleyes.gif
Remover
Der Wurm besorgt sich wie jeder andere Wurm auch, einfach Mailadressen
aus diversen Dateien auf der Platte.
Und das einzig trickreiche ist, das er die Absendeadresse, einfach dem
Empfaenger angleicht und einige raffinierte Texte (Social Engineering) verwendet.
Wenn er also auf fritz.walter@mueller.com stoesst, dann sendet er sich z.b.
als administration@mueller.com oder management@mueller.com los.
Ich glaube das ist nicht das erste mal das ein Wurm so etwas macht,
nur die Texte sind durchaus gut verfasst und "nett" ist auch die Idee das er
sogar die entsprechende Homepage mit verlinkt "www.mueller.com". wink.gif
Yellow
Und das macht neuerdings auch den Erfolg von solchen Würmern aus. Auf die alten Kournikova und Co.-Mails fällt heute (fast) keiner mehr rein. whistling.gif Und nicht zu vergessen, dass der "Return Path" der Mail auch gefälscht wird, so dass man dann (wie schon weiter oben erwähnt) automatisch generierte VirenScanner-Mails bekommt, man würde Würmer verschicken. Da denkt man dann auch auf einmal: Na, wie nu'... confused.gif Ich bekomme solche (NetSky sei Dank) in letzter Zeit häufiger und wollte mal (spasseshalber) rausfinden, bei wem der Virus denn jetzt ausgebrochen ist (man ist ja hilfsbereit), aber da blicke ich nicht mehr durch, das ist 'ne Kette ohne Ende. Die Richtung kann man ungefähr bestimmen, aber genau sagen ist in meinen Augen nicht drin, oder?
Rokop
QUOTE(Yellow @ 8. March 2004, 23:23)
..., aber genau sagen ist in meinen Augen nicht drin, oder?

Nö !
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.
Invision Power Board © 2001-2018 Invision Power Services, Inc.