neue mail bedrohung? von av nicht erkannt

    Hallo!

    Ich habe heute per E-Mail einige Nachrichten (siehe Screens) mit deutschem Betreff und einer Größe von etwa 44 K erhalten, die weder mein sonst sehr guter Spamfilter (K9), noch Norton AV beanstandet hat. Sie enthalten eine ZIP-Datei, welche den Namen

    Pmessage-text.txt .pif

    trägt. Windows blendet automatisch die endung aus (keine ahnung, wo man das genau einstellen kann, PIF wird bei mir nämlich gar nicht unter dateitypen angezeigt). Das ganze ist offensichtlich kein PIF, sondern ein in VB geschriebenes Win32-Executable (importiert MSVBVM60.DLL), das Norton (Definitionen vom 01.04.) auch im entpackten Zustand nicht beanstandet. Hab mich trotzdem nicht getraut, es auszuführen, bis ich es mir genauer angeschaut habe..

    Weiß jemand etwas darüber?

    Lg Michi

    mir kommt vor, heuer sind mail-viren viel aktiver als die letzten jahre.

    hab heute ein stümperhaft gefälschtes maildelivery-error per mail bekommen. war echt lachhaft, aber könnt schon sein, das nicht so versierte user auf sowas reinfallen und das attachement (virus?) öffnen.

    wenn ich mich recht erinnere, hat NAV ein feature mit dem du vermeindliche viren zur überprüfung einschicken kannst.
    vielleicht hilfts und norton nimmt das virus in seine DB auf.

    Otto: Apes don't read philosophy. - Wanda: Yes they do, Otto, they just don't understand
    Beleidigungen sind Argumente jener, die über keine Argumente verfügen.
    «Signanz braucht keine Worte.» | «Signanz gibts nur im Traum.» 

    Das neue MTB-Projekt (PO, Wiki, Mitschriften, Ausarbeitungen, Folien, ...) ist online
    http://mtb-projekt.at

    Zitat von Wings-of-Glory

    mir kommt vor, heuer sind mail-viren viel aktiver als die letzten jahre.

    hab heute ein stümperhaft gefälschtes maildelivery-error bekommen. war echt lachhaft, aber könnt schon sein, das nicht so versierte user auf sowas reinfallen und das attachement (virus?) öffnen.

    ach, bevor ichs vergesse..
    mail delivery failures sehen normalerweise so aus:

    from: Mail Delivery Subsystem <MAILER-DAEMON@blabla.com>
    to: du <deine-email@adresse.com>
    subject: Returned mail: see transcript for details
    so und jetzt sollte im body alles nötige stehen, die attachements sind nicht so wichtig, und brauchen nicht geöffnet werden.
    also wenn nur spärliche infos in der email stehn, und aufs attachement verwiesen wird, dann sollte man mistrauisch werden.

    The original message was received at Wed, 31 Mar 2004 14:42:13 +0200 (MEST)
    from blablabla.at [128.130.197.144]

    ----- The following addresses had permanent fatal errors -----
    <blabla@hotmail.com>
    (reason: 550 Requested action not taken: mailbox unavailable)
    <blabla@gmx.de>
    (reason: 550 5.1.1 {mx019} <blabla@gmx.de>... User is unknown)

    ----- Transcript of session follows -----
    ... while talking to mx1.hotmail.com.:
    >>> DATA
    <<< 550 Requested action not taken: mailbox unavailable
    550 5.1.1 <blabla@hotmail.com>... User unknown
    ... while talking to mx0.gmx.net.:
    >>> RCPT To:<blabla@gmx.de>
    <<< 550 5.1.1 {mx019} <blabla@gmx.de>... User is unknown
    550 5.1.1 <blabla@gmx.de>... User unknown


    --- zum vergleich die fälschung:
    To: USER@chello.at // Ein Error, dass nur einen User Betreffen sollte, und an alle user versandt wird? Seehr interessant.
    Subject: Verbindung fehlgeschlagen
    Attachement: AMD-System.txt.zip // Ein Zip? Aja, hehe.. klaaar...
    *** Auto Mail Delivery System ***

    Ihre E-Mail konnte nicht gesendet oder empfangen werden.
    Bitte überprüfen Sie nochmals diese E-Mail auf mögliche Fehlerquellen.
    attach: "AMD-System.txt"

    * End Transmission


    --- Web: http://www.www.aardvarkbusiness.net
    --- Mail To: [email]User-Hilfe@http://www.aardvarkbusiness.net[/email]


    *** Mail Scanner: Kein Virus gefunden
    *** CHELLO Virenschutz // Chello-Virenschutz? HaHa, gibts nicht.
    *** http://www.chello.at

    Otto: Apes don't read philosophy. - Wanda: Yes they do, Otto, they just don't understand
    Beleidigungen sind Argumente jener, die über keine Argumente verfügen.
    «Signanz braucht keine Worte.» | «Signanz gibts nur im Traum.» 

    Das neue MTB-Projekt (PO, Wiki, Mitschriften, Ausarbeitungen, Folien, ...) ist online
    http://mtb-projekt.at

    Zitat von michi204

    ... Ich habe heute per E-Mail einige Nachrichten (siehe Screens) mit deutschem Betreff und einer Größe von etwa 44 K erhalten ...


    44K ... kenn ich irgendwoher ... solche krieg ich laufend auf meinen Yahoo-Junkmail-Account.
    Was mich besonders wundert, ist, dass ich eben auf diesen ein gespooftes Mail von univie.ac.at bekommen habe.
    Ich habe mit der Adresse nie irgendwas in Verbindung mit uni-bezogenen Dingen gemacht - also wieso dann bei einem Account wie Yahoo die gefälschten Mails grad mit der Wiener-Uni-Endung reinpurzeln wundert mich.

    Ji Wenzi überlegte dreimal, bevor er handelte. Konfuzius hörte davon und sagte: "Zweimal - das reicht schon aus"

    sehr komisch.. der norton-ap-wächter hat mein virus jetzt doch erkannt.. mit den gleichen definitionen eigentlich.. SOBER.F heißt er.. schade eigentlich.. hab schon gedacht ich kann den ganzen ruhm ernten :D

    mich wundert es aber wirklich, dass er es mit den definitionen vom 01.04. noch nicht erkannt hat... die heuristik hat wohl auch versagt..

    lg michi

    Zitat von michi204

    (keine ahnung, wo man das genau einstellen kann, PIF wird bei mir nämlich gar nicht unter dateitypen angezeigt)

    Unter HKEY_CLASSES_ROOT gibt's bei den entsprechenden Dateitypen einen Wert NeverShowExt. Wenn der drin ist, wird für diesen Dateityp die Endung auch dann nicht angezeigt, wenn das Anzeigen der Endungen grundsätzlich aktiviert ist. Löscht man den raus, sieht man auch die Endung.

    Zitat von Jensi

    Unter HKEY_CLASSES_ROOT gibt's bei den entsprechenden Dateitypen einen Wert NeverShowExt. Wenn der drin ist, wird für diesen Dateityp die Endung auch dann nicht angezeigt, wenn das Anzeigen der Endungen grundsätzlich aktiviert ist. Löscht man den raus, sieht man auch die Endung.

    ist bei mir nicht gesetzt. bei pif ist nur der eintrag (Standard) = "piffile"

    dafür gibts einen eintrag piffile.. dort ist es
    :mad: argr

    lg michi


    ps: hat aber nix geändert
    außerdem sind fast alle einträge redundant unter LOCAL_MACHINE/classes noch mal vorhanden

    Wer öffnet sowas schon? Ich hab nichtmal einen Virenscanner nebenbei laufen. Alle paar Monate check ich den Rechner mal so durch. Aber solang man nicht grad nen bestimmten Mailclient verwendet, oder blind alles anklickt, kriegt man doch solche Viren eh net.

    In einen FBO rendern ist wie eine Schachtel Pralinen - man weiß nie, was man kriegt.

    Wolfibolfi:

    du hast anscheinend nicht die statistiken der letzten mail-viren gesehen.. die wo der user erst das attachment öffnen mussten, verbreiteten sich mehr als etwa würmer, die sich von selbst einspielten... ich hab ja auch nicht angst, dass ich selbst so blöd bin und es aufmache.. aber ich habe angst vor den tonnen von spam-mails, die dann über die übernommenen computer von herr und frau DAU verschickt werden, die versucht haben, die 'textdatei' zu öffnen, weil ja diesmal deutscher text im mail steht. und keinen virenwächter zu haben ist auch nicht so gut.. man glaubt gar nicht wie schnell so was vor allem bei würmern gehen kann, wenn wieder mal eine neue sicherheitslücke ausgenutzt wird. router mit firewall und nat hilft hier auch ein bisschen...

    lg michi

    Naja, eine Firewall hab ich schon, und mir ist auch klar, dass es genug infektionen bei diesen Würmern/Viren usw. gibt. Die meisten von uns sind ja schon von Bekannten drauf angesprochen worden, weil die einen Virus hatten.
    Ich leugne nicht, dass es so ist, ich wunder mich nur, warum die Leute net draus lernen. Einen der ersten E-Mail-Viren (I Love You, z.B.) gehabt zu haben, ist keine Schande. MSBlast (den kriegt man ja ohne Patch/Firewall verdammt schnell) bekommen zu haben, ist auch keine Schande. Aber schön langsam denk ich: Wenn jemand jetzt einen Virus hat, ists nicht sein erster, dann hat er die vorher genannten auch gehabt - und nichts daraus gelernt.

    EDIT: Ich vergaß: Ich kenn durchaus ein paar Leute, die mich drauf angesprochen haben, sie wolln keinen Virus kriegen, und fragen mich, wie sie sich davor schützen können.
    Andere probieren es selber, obwohl sie eh schon ahnen können, dass es in die Hose gehn wird. Und ein vervirtes System säubern is bei den ganzen Mutationen der Viren sehr viel nerviger als ein sauberes System sicher zu machen.

    In einen FBO rendern ist wie eine Schachtel Pralinen - man weiß nie, was man kriegt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden