virus... was nun?

[onespeed]

hi,

tja nun isses passiert... in einem anfall von geistiger umnachtung hab ich gestern abend nen mail-anhang von nem unbekannten absender geöffnet...

absender: [email protected] anhang: sample.pi grössse: 65538

norten hat das teil gleich als virus erkannt, konnte ihn aber weder unter karantäne stellen noch löschen, da er sich sofort in eine schreibgeschützte datei eingenistet hat

den web.de virenscanner hab ich leider erst drauf angesetzt als es schon zu spät war...

name des virus: W95/Sobig.A@mm

norton hat versagt... hat jemand von euch ne idee, wie ich das ding von meinem rechner kicken kann?

thx
andi

ps: ne runde ablachen über meine blödheit sei euch gegönnt, aber danach bitte ernsthaft antworten!

 

[Hellfish]

Original geschrieben von onespeed
hi,

tja nun isses passiert... in einem anfall von geistiger umnachtung hab ich gestern abend nen mail-anhang von nem unbekannten absender geöffnet...

absender: [email protected] anhang: sample.pi grössse: 65538

norten hat das teil gleich als virus erkannt, konnte ihn aber weder unter karantäne stellen noch löschen, da er sich sofort in eine schreibgeschützte datei eingenistet hat

den web.de virenscanner hab ich leider erst drauf angesetzt als es schon zu spät war...

name des virus: W95/Sobig.A@mm

norton hat versagt... hat jemand von euch ne idee, wie ich das ding von meinem rechner kicken kann?

thx
andi

Kähähä.

Wie umnachtet bist Du denn gewesen, dass Du eine Mail, die a) von einem "Unbekannten" war, der b) nebeinbei seit 3 Wochen als Virenschleuder bekannt ist, durchliest, und dann c) den Anhang manuell ausführst (nachdem Du ihn wohl d) zuvor noch umbenannt hast)?!

Kähähä.

ps: ne runde ablachen über meine blödheit sei euch gegönnt, aber danach bitte ernsthaft antworten!

So, genug abgelacht und abgelästert.

Jetzt kommt die Hilfe...

Siehe hier...

Sobig-Wurm verbreitet sich massiv

Der am 9. Januer entdeckte Wurm Sobig verbreitet sich seit einigen Tagen rasant im Internet. Der Schädling kommt als E-Mail ins Haus, trägt die Betreffzeile "Re: Sample", "Re: Movies", "Re: Document" oder "Re: Here is that sample" und kommt vom Absender (From [email protected]. Als Dateianhang enthält der Wurm eine .pif- Datei (Windows-Verknüpfung) und infiziert bei Ausführung den lokalen Rechner sowie andere Systeme über Netzlaufwerke. Der Schädling bringt eine eigene SMTP-Engine zum Weiterversenden mit und durchsucht das System nach verwertbaren E-Mail-Adressen.


Bei Infektion des Rechners zeigt Sobig ein pornografisches Bild an und kopiert sich selbst unter dem Namen Winmgm32.exe in das Windows-Verzeichnis. Er legt dabei zusätzlich zwei Registry-Keys an, um sich beim Booten von Windows automatisch zu starten. Weiterhin versucht der Wurm die Hintertür Backdoor-AOT aus dem Internet zu laden und zu installieren. Aktuelle Virensoftware erkennt den Schädling und seine Komponenten bereits seit längerem und sollte ihn somit abfangen können.

Anzumerken ist noch, dass der Schädling auf vielen Mail-Clients nicht vollständig eintrifft: Die Dateiendung des Attachments heißt hier .pi statt .pif, was das Ausführen durch Doppelklick scheitern lässt. Das liegt daran, dass der Name des Attachments im Header ohne Anführungszeichen angegeben wurde -- einige MTA und Mail- Clients zerstückeln so das Attachment. Trotzdem verliert der Anhang nicht seine Wirkung, ein Umbenennen des Attachments würde das Ausführen wieder ermöglichen.

E-Mails von dem oben genannten Absender sollten also umgehend gelöscht werden. Nähere Informationen zum Schutz vor Viren und Würmern, Links zu Herstellern von Antiviren-Software und zu kostenlosen Schutzprogrammen finden sich auf den Antiviren-Seiten von c't

http://www.bsi.bund.de/av/vb/sobig.htm sagt:

Name:
W32.Sobig.A@mm

Alias:
W32/Sobig [McAfee], I-Worm.Sobig [Kaspersky], W32/Sobig-A[Sophos], Sobig.A[F-Secure]

Art:
Wurm

Betriebssystem:
Microsoft Windows

Verbreitung:
hoch

Risiko:
bei Ausführung des Attachments: hoch

Schadensfunktion:
Der Wurm versendet sich selbst an alle Adressen, die er in Dateien mit einer der folgenden Erweiterung .txt, .eml, .html, .htm , .dbx und .wab findet.
Er versendet eine Message an pagers.icq.com.

bekannt seit:
Januar 2003

Der Wurm wird über E-Mail verbreitet und kopiert sich selbst auf freigegebene Netzwerklaufwerke.

Der Absender der E-Mail ist immer [email protected].

Der Betreff der E-Mail ist einer der folgenden:

Re: Movies

Re: Sample
Re: Document
Re: Here is that sample

Der Anhang ist einer der folgenden Dateien:

Movie_0074.mpeg.pif

Document003.pif
Untitled1.pif
Sample.pif

Ein weiteres Kennzeichen ist die Größe des Wurms. Er ist 65.536 Bytes groß.

Wird der Wurm ausgeführt, kopiert er sich zunächst in das Systemverzeichnis von Windows (C:\Windows oder C:\Winnt ...)
unter dem Namen Winmgm32.exe.

Der Prozess sendet eine Message an eine Adresse bei pagers.icq.com.
Er versucht, Daten von einer Webseite aus dem Internet zu laden.
Er kopiert sich in alle erreichbaren Autostartverzeichnisse.
Der Wurm versucht, sich selbst per E-Mail an alle Adressen zu versenden, die er in Dateien mit einer der folgenden Endungen findet:

.txt
.eml
.html
.htm
.dbx
.wab

Dem Registrierungsschlüssel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

wird der Wert

WindowsMGM %Windir%\Winmgm32.exe

hinzugefügt.

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum

Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 14.01.2003, geändert: 15.01.2003)

Und bei http://www.pctip.ch/helpdesk/virenticker/archiv/22988.asp wird Dir dann geholfen:

PCtip Virenticker

W32/Sobig

vom 10.01.2003

Die Mail, in welcher der Sobig-Wurm eintrifft, hat in den ersten bekannten Varianten folgende Merkmale:

Absender: [email protected]

Eine dieser Betreffzeilen:
Re: Here is that sample
Re: Document
Re: Sample
Re: Movies

Einer diesen Beilagennamen:
Sample.pif
Untitled1.pif
Document003.pif
Movie_0074.mpeg.pif

Um im Mailtext steht bloss: Attached file

Ist der Empfänger unvorsichtig genug, die Beilage zu öffnen, verschickt sich der Wurm an Mail-Adressen, die er aus Dateien mit den Endungen WAB, DBX, HTM, HTML, EML und TXT ausliest. Zudem versucht er aus dem Internet weitere Dateien (z.B. ein Backdoor-Programm) herunter zu laden. Allerdings ist davon auszugehen, dass die Seiten inzwischen gesperrt worden sind.

Der Wurm legt eine Kopie von sich mit Namen winmgm32.exe im Windows- Systemordner ab. Diese Datei trägt er in der Windows Registry ein, und zwar in mindestens einem dieser zwei Zweige:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Der Eintrag trägt den Namen «WindowsMGM» und verweist auf die Datei winmgm32.exe.

Für die Ausbreitung im lokalen Netzwerk kopiert sich der Wurm in den Autostart- Ordner freigegebener Systemlaufwerke. Auf englischen Systemen sind dies diese Ordner:
C:\Windows\All Users\Start Menu\Programs\StartUp
oder
Documents and Settings\All Users\Start Menu\Programs\Startup

Es ist unbekannt, ob sich der Sobig-Wurm auch auf deutschsprachigen Windows- Installationen erfolgreich in die entsprechenden Ordner kopieren kann. Diese heissen nämlich anders:
C:\Windows\All Users\Startmenü\Programme\Autostart
oder
Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart

Auf jeden Fall ist es sicherer, in lokalen Netzwerken prinzipiell keine Systemlaufwerke freizugeben.

Um den Wurm aus einem System zu entfernen, starten Sie den Computer im abgesicherten Modus. Führen Sie via Start/Ausführen den Registry-Editor (REGEDIT.EXE) aus und entfernen Sie den Eintrag «WindowsMGM» aus diesen Registry-Zweigen (falls vorhanden):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Löschen Sie aus dem Windows-Ordner die Datei winmgm32.exe. Der Wurm legt unter gewissen Umständen noch zwei weitere Dateien ab, mit Namen dwn.dat und sntmls.dat. Am besten spüren Sie diese zwei Dateien über die Such-Funktion von Windows auf und entfernen diese ebenfalls.

Diese Informationen stammen Antivirus-Herstellern wie F-Secure [1], NAI (McAfee) [2] und Symantec [3]. (sal)

Bei Infektion des Rechners zeigt Sobig ein pornografisches Bild an

Das erklärt natuerlich einiges. Hast Du noch nen Screenshot? ;-)

 

[derschotte]

@ onespeed

ich war wenigstens so schlau, die erst mit dem webscanner zu checken...
hab die mail jetzt schon das 3te mal bekommen...

weiss wer wer dahinter steckt?

 

[lebaron]

aber für deine moral lieber andi

bei mir wollte sich der gestern auch einnisten und norton hat NICHT versagt!

 

[onespeed]

@sir hellfish: danke für die hilfe ... gefahr erkannt - gefahr gebannt.

Wie umnachtet bist Du denn gewesen, dass Du eine Mail, die a) von einem "Unbekannten" war, der b) nebeinbei seit 3 Wochen als Virenschleuder bekannt ist, durchliest, und dann c) den Anhang manuell ausführst (nachdem Du ihn wohl d) zuvor noch umbenannt hast)?!

curiosity killed the cat

hab die mail jetzt schon das 3te mal bekommen...

@kiltträger:
willste se noch ein viertes mal?


@basti: im trost spenden wie immer ganz gross... danke mein freund




greetz
andi

ps: bei mir gab's keine porno bilders

 

[Gelöschter Benutzer]

hab die mail auch schon total offt bekommen, hab sie aber zu gelassen, weil ich das format nich kannte. der virenscanner von web.de hatte bei mir nix gefunden
wo erfährt man das eigentlich, wenn ´n neuer virus rumgeht?

Gruss Marius

 

[mankra]

(Zitat
Bei Infektion des Rechners zeigt Sobig ein pornografisches Bild an


Hmm, ich glaub, beim nächsten mal, werd ich Ihn auch mal ausprobieren

 

[Hellfish]

Hehe, ich habe ihn gerade auch bekommen.
Mein Virenscanner hat mich aber auch gewarnt, und ich will auch kein pornographisches Bild sehen.

X-Hd:
[email protected] Tue Feb 18 15:47:05 2003
X-Envelope-From:
<[email protected]>
X-Envelope-To:
<Dem_Hellfish_ihm_seine_Addy>
X-Delivery-Time:
1045579148
Received:
from EMPFANG (muedslb-wan216.citykom.de [195.202.51.216]) by mailin.webmailer.de (8.9.3/8.8.7) with ESMTP id PAA14489 for <Dem_Hellfish_ihm_seine_Addy>; Tue, 18 Feb 2003 15:39:03 +0100 (MET)
Von:
[email protected]
Message-Id:
<[email protected]>
An:
<Dem_Hellfish_ihm_seine_Addy>
Betreff:
Re: Movies
Datum:
Tue, 18 Feb 2003 15:38:23 +0100
Importance:
Normal
X-Mailer:
Microsoft Outlook Express 6.00.2600.0000
X-MSMail- Priority:
Normal

X-Priority:
3 (Normal)
MIME-Version:
1.0
Content-Type:
multipart/mixed; boundary="CSmtpMsgPart123X456_000_0007BE1D"

Naja, Outlook Express mal wieder.
Kähähä

Edit: Besonders geil ist, dass das eine SPAM-Only-Adresse war. Das heisst, irgendeine blöde Spamschleuder freut sich jetzt über den Virus.

 

[crazy-spy]

Ich bekomme täglich (!!!) eine Mail mit nem W95 XXX Virus!!!
Liegt daran, dass ich ne Website hab! Nervt echt!
Hab aber Outlook und Norton! Jede eingehende Mail wird vor dem abrufen gescannt (wie auch jede ausgehende!) und Norton aktualisiert sich jede Woche....bis jetzt alles suppa!

 

[Hellfish]

Hihi, gestern schlug mal wieder eine Mail mit dem W95/Sobig.A@mm hier auf. Manche lernen es nie...

 

[kater]

Super. Outlook und Norton und schon glauben sie sich sicher...

 

[27er]

hab ma gezählt .. mir allen mail accounts hab ich nu 13 bekommen ??kann jemand toppen ???