Netsky-P und Agobot-FH machen PC-Nutzern das Leben schwer

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von wizard20, 30. März 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. wizard20

    wizard20 Byte

    Registriert seit:
    16. Juli 2002
    Beiträge:
    44
    Bekomme andauernd irgendwelchen Scheiß... aber...
    ich habe niemals irgendwelche unbekannten Anhänge in meinen Mails aufgemacht. Outlook blockiert ja sogar den Zugriff auf diverse "potentiell gefährdete" Anhänge.
    Also auf die Dateien greife ich nicht zu. Ich habe auch die angegebene Datei nicht gefunden.
    Und dennoch bekomm ich diese mails von teilweise gewöhnlichen Emailadressen.
    Und ich bekomme Mails von Arcor, dass meine angebliche Mail wegen Malware nicht zugestellt wurde - Ich hab aber selbst nie so ne Mail abgeschickt und mein Outlook so konfiguriert, dass es nur Mails sendet, wenn ich auch eine Mail zum senden geschrieben habe.

    Was ist das fürn scheiß wurm und wie werd ich den los?

    Und jetzt grad wieder ... nur 4 min später...
    Die Betreffzeile enthält Texte wie "something for you" , "re: your message" und deutet somit schwer auf einen Netsky-Wurm hin.
     
  2. sarkastic_one

    sarkastic_one Halbes Megabyte

    Registriert seit:
    4. März 2002
    Beiträge:
    902
    Es gibt da noch eine Möglichkeit. Ist zwar - 1x - aufwändig aber sehr hüpsch.

    1) Ziehe dir den Hamster, f-prot für dos und wget für Windows.
    2) Installiere Hamster als lokalen Mailserver. So geht's
    3) installiere das Antiviren-Script von Wilfried Kramer
    4) verwende mein Script zum Mailabrufen
    Code:
    #!load hamster.hsm
    
    var ($lv1)
    var ($lv2)
    
    varset($ret, "")
    
    while (true)
     
     Execute ( "D:\Programme\f-prot\Update\fp-update.cmd", "D:\Programme\f-prot\Update", 1, True, $ret)
     addlog( "F-Prot Antivirus wurde upgedated", 4, True)
    
     for ($lv1, 1, 12, 1)
    
      HamMessage( 2, 3 )
      addlog( "Messages geloescht", 3, True)
     
      for ($lv2, 1, 12, 1)
       HamMailExchange
       sleep(600000)
      endfor
    
     endfor
    endwhile
    quit
    
    wobei die fp-update.cmd so aussieht (teilweise von mir)

    Code:
    @echo off
    if NOT %1.==. goto copy
    D:\Programme\WGet\wget -N --passive-ftp [url]http://www.f-prot.com/cgi-bin/get_randomly?macrdef2[/url]
    D:\Programme\WGet\wget -N --passive-ftp [url]http://www.f-prot.com/cgi-bin/get_randomly?fp-def[/url]
    
    for %%s IN (*.zip) DO D:\Programme\Packer\WinRAR\winrar.exe e -o+ %%s
    
    for %%s IN (*.*) DO %0 "%%s" %%~xs
    goto ende
    
    :copy
    IF %2.==.zip. goto ende
    IF %2.==.cmd. goto ende
    move /Y %1 D:\Programme\f-prot
    
    
    :ende
    
     
  3. mschuetzda

    mschuetzda Megabyte

    Registriert seit:
    5. September 2001
    Beiträge:
    1.131
    :cool: Genauso ist es ;)
     
  4. wizard20

    wizard20 Byte

    Registriert seit:
    16. Juli 2002
    Beiträge:
    44
    also bei der suche bei google nach seiten aus deutschland sinds dann zum glück doch nur noch 16 ergebnisse.
    Aber der Link zur TU hat schonmal geholfen.

    Ist also scheinbar der Wurm "W32/Netsky.c" (vom 24.02.)
    Aber ich kann schonmal sagen, dass mein PC nicht infiziert ist.
    Was ich zumindest bestätigt sehe ist:
    "Betreff/Subject: verschieden, z.B.: "hello", "moin", "read it immediatelly"
    "warning", "Re: information", "Question ", "private?", u.v.m." Sowas steht da nämlich zum teil so dabei.

    Das war also der Eine. Jetzt weiß ich wenigstens auch, dass dieses andere Ding kein ergebnis eines Versuchs ist, malware zu versenden.

    Das ist der W32/Netsky.q
    " Betreff und Nachricht täuschen eine Fehlzustellung einer Mail vor" ... 100%! Dann noch 2 dateien im Anhang: 1x ne TXT wo der gleiche Text wie in der Mail steht und ne andere, die ich sicherheitshalber nicht geöffnet habe.

    Jetzt versteh ich das also richtig:
    1. Ich kann gegen diese Mails nix machen?
    2. da ich keinen Befall habe nütz mir der Virenscanner zum entfernen auch nix (hab ich eh schon immer aktuell drauf)
    3. Mails einfach ungelesen löschen und warten, bis die scheiße aufhört...
     
  5. Gast

    Gast Guest

    Jau. Und bevor du dich durch 137 Links klickst, gehe mal hierhin:

    http://www.tu-berlin.de/www/software/virus/aktuell.shtml

    Dort sind auch weiterführende Links zu Removal-Tools.

    Viel Glück!
     
  6. mschuetzda

    mschuetzda Megabyte

    Registriert seit:
    5. September 2001
    Beiträge:
    1.131
    Na dann :google: mal.

    137 * bei Sprache = Deutsch und ca. 650 Gesamt

    scheint eine Netsky-Variante zu sein.
     
  7. wizard20

    wizard20 Byte

    Registriert seit:
    16. Juli 2002
    Beiträge:
    44
    hm, jetzt wo du es sagst. Wie ich sehe kommt das von nem anderen und doch net von dem Arcor-Server.
    Kommt von "Mail Delivery System [Mailer-Daemon@zilvir2.sint.pl]"


    Text: "This is the Postfix program at host dragon.visnet.pl.

    I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations.

    For further assistance, please send mail to <postmaster>

    If you do so, please include this problem report. You can delete your own text from the message returned below.

    The Postfix program

    <tomant@tomant.sk>: host mailhub1.nameserver.sk[217.67.30.102] said: 550 This
    message contains malware ()
    Worm.SomeFool.Gen-2

    Worm.SomeFool.Gen-2? was is das fürn ding?
     
  8. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    genausogut könnte man darauf schliessen, das mail von arcor schon ein fake ist
    ...seit wann wirst du vom email-account benachrichtigt , das sich in der email malware befindet?!
    das ist doch eher einer dieser tricks wie : mann bekommt ein update-patch von "microsoft.com" per email zugestellt
    sowas gabs ja schon.
    vermutlich war in der "arcor" email ja noch nebst der message ein anhangs-tool "das diese malware auf ihren computer löscht" ...:D
    die tricks kennen wir doch.
    :p
     
  9. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    >Und ich bekomme Mails von Arcor, dass meine angebliche Mail wegen Malware nicht zugestellt wurde - Ich hab aber selbst nie so ne Mail abgeschickt und mein Outlook so konfiguriert, dass es nur Mails sendet, wenn ich auch eine Mail zum senden geschrieben habe

    Diese Phänomen spricht an sich exakt dafür, dass es sich um einen Wurm handelt, der sich an nicht existierende mail-Adressen verschicken will. Habe genau diese Phänomen jetzt auch bei Netsky beobachtet, der sich an eine Adresse xyz@pop-t-online.de verschicken wollte, die nicht existiert. Man bekommt deshalb die entsprechende Fehler-Rückmeldung vom Mail-Server.
     
  10. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    user wizard20 hat keinen wurm in seinem system.
     
  11. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    Netsky kriegt man gut mit dem Anti-Netsky-Tool von Symantec weg.
     
  12. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @wizard20

    das sind alles gefakte mails , die haben 100pro (wie der vorredner schon sagte) was mit den würmern zu tun , die sich mit hoher wahrscheinlichkeit auf "den rechnern" tummeln die deine email-adresse haben.....aber da durch den wurm auch der absender gefakt wird, weisst du nicht woher das wirklich kommt. der trick ist gewollt von den schädlingsprogrammen.
    alle möglichen email-adressen irgendwie deswegen zu sperren in einer antispamsoft macht kein sinn, da die gefakten adressat-varianten zu gross sind. da hilft nur ignoriern und löschen der mail.
     
  13. sarkastic_one

    sarkastic_one Halbes Megabyte

    Registriert seit:
    4. März 2002
    Beiträge:
    902
    Beruhige dich erstmal ;)

    Wenn du die Anhänge an den Mails nicht geöffnet hast, dann hast du dir die Würmchen auch nicht eingefangen.

    Das Hauptproblem ist, dass das SMTP-Protokoll (damit sendet man die Mails ab) aus einer Zeit stammt, wo alle noch lieb zueinender waren und daher kannt es auch keine wirksame Autentifizierung des absendenden.

    Es ist nicht schwer ein mail so abzuschicken, dass ein Unerfahrener glaubt es stammt von z.B. Bill Gates oder so. :D Einfach weil der SMTP-Server "glauben" muss was man ihm so erzählt.

    Deine Wurm-Mails stammen (wahrscheinlich) nicht von dir, sondern von einem Freund/Bekannten, der deine Mailaddy irgendwo gespeichert hat. Der Wurm liest die aus und schickt sich selber an dich - natürlich mit einer gefälschten Absenderadresse.
     
  14. sarkastic_one

    sarkastic_one Halbes Megabyte

    Registriert seit:
    4. März 2002
    Beiträge:
    902
    @franzkat
    Dann verwendet man eben ein anderes Entzip-Proggy. Gibt ja nicht nur eines :rolleyes:

    @ttennis
    Was genau gefällt dir nicht? Funzen tut's wie es soll und das ist (zumindest für mich das) wichtigste. :D
    BTW: es gibt auch Anti-Spam-Scripts für den Hamster.

    OK, OK, ich gebe es ja zu! Hie und da missbrauche ich das Forum als mein privates Datentransport- und Backupmedium.
     
  15. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    @sarkastic_one


    Und was ist, wenn man das kostenpflichtige Winrar nicht installiert hat ? Ich hatte - in dem Kontext PE-Builder - eine Batch zum automatischen Aktualisieren der F-Prot-Virensignaturen gepostet, die auch den Vorteil hat, unter PE-Builder bei nicht mehr startendem Windows einsatzfähig zu sein; nützlich insbesondere auch dann, wenn man PE-Builder als eine Bootoption mit auf die Festplatte gebracht hat :

    http://forum.pcwelt.de/showthread.php?s=&threadid=101762&highlight=PEBuilder

    unzip.exe ist frei verfügbar; z.B. hier :

    http://www.th-soft.com/e_unzip.htm
     
  16. wizard20

    wizard20 Byte

    Registriert seit:
    16. Juli 2002
    Beiträge:
    44
    nein. ich glaub das wäre übertrieben, alle aus dem Postfach anzuschreiben.
    Es hat sich bei mir mittlerweile nach ner woche Spamterror gelegt. Im Moment bekomm ich sogar gar nix.

    so long,
    frohe Ostern
     
  17. ttennis

    ttennis Byte

    Registriert seit:
    31. Juli 2003
    Beiträge:
    46
    Hmm... Ob wohl diese "hüPsch"e und so überaus einfache Art sich zu schützen ernst gemeint oder eher dem Nick des Verfassers angepasst ist? ;-)

    Aber im Ernst:
    Die 3 Hauptfragen, die ich mir und somit Euch zu dem Thema stelle, ergeben sich aus Folgendem:
    Mich wundert, dass von diesen angeblichen a) Fehler- und b) Wurmmitteilungen

    1. nur 50-70% von von mir schon angeschriebenen Adressen kommt, 30-50% aber von solchen, die ich gar nicht kenne und die somit kaum alle meine Adresse auf dem Rechner haben dürften.
    -> Werden die Absendeadressen vom Wurm nur MANCHMAL geändert (was die unbekannten erklären würde), manchmal aber tatsächlich die genommen, deren Besitzer sich den Wurm eingefangen hat?

    2. mehrere der bekannten Absender-Adressen solche sind, denen ich eigentlich nicht zutraue sich einen Wurm eingefangen zu haben (Programmierer, Hotels..)
    -> Werden teils statt Phantasie- (oder sonstwo her genommenen) auch andere auf dem verseuchten Rechner befindliche Adressen als Absenderadressen angegeben?

    3. Sollte man also alle bekannten Absendeadressen (bei mir 20-40) anschreiben und warnen, dass sie einen Wurm haben?
    (Wäre ja bei einem "ja" auf Frage 2 nicht so, sondern würde nur unnötigen zusätzlichen Mailverkehr generieren und Zeit kosten.)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen