Mit dem Absender eines der hier verkehrenden und agierenden Mitglieder erhielt das virtuelle Büro der Hannover-Senioren heute eine Mail mit einem kleinen HTML-Text und einer angehängten Datei. Die Datei erwies sich als DOS-Datei, ließ sich zwar herunterladen, aber nicht öffnen.
Auf unsere Rückfrage an den Absender kam eine erneute Mail mit etwa diesem Text: 'Es ist ein Virus unterwegs, es wird totales Chaos geben. Mit freundlichen Grüßen. N.N.' Weitere Anfragen wurden bisher nicht beantwortet.

Es mag ja sein, daß wir hier zu doof sind, die Angelegenheit zu begreifen. Darum bitten wir um Hilfe:
Hat jemand eine Ahnung, was das soll?
Haben andere auch solche Mails bekommen?
Vielleicht könnte sich der Absender hier persönlich äußern?
Sollen wir den Eingang von Mails dieses Absenders von AOL sperren lassen?

Danke für alle Tip(p)s - und Entschuldigung für unser Unverständnis.
Lara

Der Absender bin wohl ich, das hättest Du ruhig sagen können. Ich habe gestern eine Rundmail an sehr viele Empfänger aus meiner Adressliste und über die Mailingliste des ST gemacht und dabei dieses Virus offenbar verbreitet.

In meiner HP (URL siehe unten) ist eine qualifizierte Beschreibung dieses Virus, die ich von Meta Koss, Computeria St. Gallen, erhalten habe.

Per Mail möchte ich nicht informieren.

In den letzten Tagen erhielt ich einige Mails, die nichts anders enthielten als meine Mailadresse und diejenige des Absenders. Ich klickte auf "Antworten" und machte den/die Absender auf das Problem aufmerksam. Aber die Mails kamen zurück mit der Mitteilung des Providers, diese Adresse sei unknown also unbekannt. Haben andere TeinehmerInnen auch solche Mails erhalten?

Schorsch

Es handelt sich um den WORM_BADTRANS.B, der sich per E-Mail wurmartig und mit Hilfe des Microsoft Adressbuches fortpflanzt, öffnet und einen Trojaner auf dem infizierten Rechner installiert. Das Fatale an dieser Malware: Der Empfänger muss noch nicht einmal selbst den Anhang öffnen; die Software nutzt eine Sicherheitslücke der E-Mail-Clients von Microsoft Outlook (O) und Outlook Express (OE). Bekannt ist diese Sicherheitslücke unter dem Fachbegriff 'Automatic Execution of Embedded MIME type'.

Was vorbeugend tun? Bei OE gibt es eine Einstellung, die das automatische Öffnen von Mails verhindert (gilt für OE 5, für O weiss ich leider keine Abhilfe):

1.) Gehen Sie in das Menü von OE zum Punkt 'Ansicht' und dort zum Unterpunkt 'Layout...'.

2.) Es öffnet sich ein Fenster 'Eigenschaften von Layout des Fensters'.

3.) Im Bereich 'Vorschaufenster' können Sie das Häkchen bei 'Vorschaufenster anzeigen' entfernen.

4.) Bestätigen Sie mit OK.

Ab jetzt werden Mails nicht mehr automatisch geöffnet und angezeigt. Das einzige, was Sie sehen, ist der Absender und der Betreff eingegangener Mails. So sehen Sie auf den ersten Blick, welche Mail vertrauenswürdig ist und welche besser ungeöffnet(!) gelöscht werden sollte. Erst ein Klick oder Doppelklick auf die vertrauenswürdige Mail öffnet diese im separaten Fenster.

TREND MICRO Virus Encyclopedia:
WORM_BADTRANS.B
https://germany.trendmicro.de/vinfo/virusEncyclo/default5.asp?VName=WORM_BADTRANS.B&VSect=T

Bei Durchführung erforderlicher Maßnahmen begrüßten mich 3 Viren [jetzt weiß ich auch, woher ich heute Kopfschmerzen habe :-)] --> 1 x Worm/BadTrans.B1 und 2 x Worm/BadTrans.B2.

Als PC-Laie würde mich noch interessieren, wie die Mail mit dem Anhang "DOCS.DOC.pif" überhaupt an uns gelangen konnte. Als Absender stand da die uns bekannte Mail-Adresse von Johannes, daher haben wir auch die angehängte Datei heruntergeladen. Jo hat diese Mail doch wohl nicht geschickt. Und die Ankündigung des Advents-Kalenders haben wir gestern auch nicht bekommen.

Wie also gelangt so eine Mail mit einer bekannten Absender-Adresse, aber einem virus-besetzten Anhang an irgendwelche (!) Leute?

Danke. Lernen kann man nur durch blöde Fragen.
Lara

Wie gelangt Malware - z. B. eine viren- oder trojanerbehaftete Mail - an irgendwelche Leute? - Der Absender merkt in der Regel erst mal nicht, Lara, dass er Malware abschickt, ist er doch selbst Opfer eines Angriffs geworden. Wenn er es merkt, ist es meistens schon zu spät. Über sein Adressbuch haben alle dort eingetragenen Adressen die verseuchte Mail erhalten. Und so geht das weiter und weiter...

In fast allen Fällen nutzen Malware-Programmierer den wirklich üblen Sicherheitsstandard der Microsoft-Produkte für ihre Zwecke aus. Man kann es gar nicht oft genug wiederholen: Was die Sicherheit betrifft, sind Microsoft's Internet Explorer (IE) und Microsoft's E-Mail-Clients Outlook (O) und Outlook Express (OE) nicht empfehlenswert.

Einen sehr guten E-Mail-Client ohne diese Sicherheitslücken gibt es als kostenlose Freeware: Pegasus Mail (ganz neu in der Windows-Version 4.01)

https://www.pmail.com/

Ich bedanke mich für alle hilfreichen Tip(p)s, Anregungen und insbesondere für Euer Lehrmaterial: wieder ein bißchen schlauer geworden.
Und, Wolfgang, "Pegasus Mail" ist ein wirklich hübsches Programm. Da kann man "Outlook" gerne vergessen.

Grüße an alle
von Lara

Bitte lest auch mal hier nach:
https://www.heise.de/newsticker/data/jo-26.11.01-000/
Zur Zeit gibt es eine gewaltige Schwemme von Spam-mail. Es gibt auf dieser Welt offenbar genug kriminelle Energien, um immer wieder neue Viren und Würmer in die Welt zu setzen.

Meine Ankündigung, serverseitig virengeschützte Pop3-Mailaccounts für Mitglieder des Seniorentreffs einzurichten, hatte leider sehr wenig Resonanz (es haben sich nur 8 Personen gemeldet, so dass sich das nicht rechnet). Sollten wir doch mehrere zusammenbekommen erneuere ich das Angebot, Preis abhängig von der Anzahl der Leute.

Ich hatte bei MSN eine Mail von einem Jürgen Schmidbauer. Norton schickte Warnung vor dem Anhang, konnte aber nivcht löschen. Ich bin den Anweisungen gefolgt habe dieseen Jürgen Schmidbauer, dessen Nasmen mir bekannt vorkam auf seiner Webadresse benachrichtigt und dann seine mail gelöscht Beim Nachsehen auf meinen Norton heißt es "keine Viren, System ist geschützt" Was soll ich sonst noch tun?

Es ist mir doch sehr wichtig, noch einmal zu betonen, dass die neuesten Würmer die Gemeinheit besitzen, falsche Absender von Mails mit dem Ziel zu verwenden, als vertrauenswürdig zu gelten. Ich zitiere aus der oben angegebenen Quelle heise-Online:

----- Zitat Anfang -----

Die Hintermänner des Massenmailings zu ermitteln, gestaltet sich sehr schwierig, da sie offenbar die Absenderadressen gefälscht haben. Mittlerweile sind auch E-Mails mit Absendern aus der heise.de-Domain im Umlauf. Es hilft also nicht, sich beim vermeintlichen Absender oder bei dessen E-Mail-Provider über eine erhaltene Spam-Mail zu beschweren. So kann man sich zurzeit nur schützen, indem man mittels eines Filters sein E-Mail-Programm die eintreffenden Briefe löschen lässt.

---- Zitat Ende ----

Wie Marianne habe auch ich die Mail von (angeblich!)
juergen.schmidbauer erhalten, aber natürlich nach den Erfahrungen des heutigen Tages nicht geöffnet.

Irgendwo habe ich gelesen, man solle seine "Mail-Filter" entsprechend einrichten.
Erneute Bitte eines PC-greenhorns: könnte wohl wieder ein Kompetenter hier beschreiben, wie man das oder was man da macht?

Es warten noch viele andere auf Instruktionen, die ich persönlich leider nicht geben kann. Habe heute schon einige zum Lesen hierher geschickt.
Danke
Lara

Bei Netscape so vorgehen:

1. Bearbeiten-Menü

2. Mailfilter

3. Neu anklicken

4. dem Filter einen Namen geben

5. unten im Fenster die Aktion des Filters festlegen, z.B. Mail mit einem bestimmten Betreff löschen oder in Ordner X verschieben.

In anderen Mailprogrammen wird das ähnlich gehen.


Mit freundlichen Grüßen

Karl

Hallo zusammen,

ich habe auch den Virus in einer Mail von Jo gehabt, in seiner zweiten (Aktion Adventskalender) allerdings nicht. Dafür aber in einer Mail von Irmgard Dupke. Da ich die Nachricht löschen musste, habe ich sie leider nicht gelesen. Vielleicht schaut Irmgard ja in dieses Thema hier rein und erfährt auf diese Weise, dass ich nicht antworten kann.

Gruß
Gila

Hallo alle miteinander,
ich gehöre auch zu den "Opfern" des Jürgen Schmidbauer, auch ein Klaus Franke ist Absender von Virenmails, ebenfalls verseucht mit obengenanntem "Wurm". Wegen der bekannten Problematik nutze ich Outlook Express überhaupt nicht, sondern begnüge mich mit der t-online-Software, die zwar immer viel belächelt wird, meinen Ansprüchen aber gerecht wird :-)
Bevor ich hier auf diese Beiträge gestoßen bin, habe ich schon einen Rundbrief verschickt.
Mein Norton Antivirus hat die Schädlinge gekillt!
Beste Grüße
Lissy

BADTRANS vermehrt sich zur Zeit explosionsartig. Hier ein Artikel von SPIEGEL ONLINE...

VIRUS-WARNUNG: Duckt euch, Microsoft-Nutzer!

...denn jetzt kommt "Badtrans.B" - mit einem nagelneuen Versende-Trick. Das Virus "beantwortet" ungeöffnete E-Mails. Badtrans verursacht keine Datenschäden, entwickelt aber eine ungesunde Neugierde.

https://www.spiegel.de/netzwelt/technologie/0,1518,169865,00.html

Bekam "Post" von Jürgen Schmidbauer und Irmgard Dupke.
Habe Irmgard deswegen angemailt, die Ärmste war ganz verdattert, liebe Gila.

Gruß
Ulrike

Unter der unten stehenden URL sind genauere Info's über das Virus Badtrans nachzulesen, allerdings nur Englisch. Eine deutschsprachige ungefähre Wiedergabe steht in meiner HP, habe diese heute früh dankenswerterweise von Meta Koss, Computeria St. Gallen erhalten.

Es handelt sich nach den Aussagen in der genannten Web Seite um eine Epidemie globalen Ausmaßes, die ihren Höhepunkt womöglich noch nicht erreicht hat.

Hallo Gila, es tut mir leid, aber ich habe Dir keine Mail gesandt..........
Ich habe seit 2 Tagen nur solche Anfragen........obwohl, wie gesagt, ,ich nichts versandte........
Trotzden entschuldige ich mich..........und an alle: " Bitte öffnet meine und auch andere Mails nicht, wenn sie ohne Text und mit einem Anhang erscheinen!
Es grüßt Euch Klecksi

Liebe Klecksi,

Du bist nur ein Opfer des Virus, das sich selber versendet und dabei die Absenderadressen seiner Opfer verwendet. Die Adressaten nimmt es aus Deinem Adressbuch. Da Du im ST viele Freunde hast, erklärt dies, warum soviele STler solche Mail erhalten haben, aber auch aus anderen Quellen sind sie gekommen. Das ganze funktioniert wie ein Kettenbrief - im gesamten Internet.

Wir sind nichts als eine kleine Gruppe im Meer der Internetnutzer, die alle betroffen sind. Es ist nicht ein Problem des ST, sondern von E-Mailbenutzern allgemein.

Mit freundlichen Grüßen

Karl

Na ja, die Invasion der Krankheitserreger geht weiter. Viele verseuchte Mails haben Adressen von Teilnehmern beim ST.
Daher möchte ich allen, die hier lesen und schreiben, mitteilen, daß ich vorsichtshalber scheinbar (!) privat an mich gerichtete Mails mit Namen aus dem ST nicht mehr öffne, und daß ich rate, scheinbar (!) von mir kommende Privat-Mails ebenfalls nicht zu öffnen. Als Kontakt-Plattform werde ich lediglich die hiesigen Diskussions-Foren verwenden.
Lara

Auch ich habe derartige Mails bekommen. Da sie keinen Text enthielten, habe ich sie sofort gelöscht. Eine Mail nur mit Anhang kann ja nicht seriös sein

Outlook Express sicher konfigurieren
https://www.bluemerlin-security.de/outlook/index.html

Hatte soeben wieder Post mit "Humor" von Klaus Hansen. Hoffentlich kriegt man den "wahren" Täter mal der muß doch krank sein?

Hallo liebe Teilnehmer,
ich entschuldige mich schon vorweg für die längere Mail.
Sie enthält Beschreibung und Hilfe zur Entfernung des Virus.

Informationen zu Programmen mit Schadensfunktionen


--------------------------------------------------------------------------------


Name:
W32.Badtrans.B@mm

Alias:
IWorm_Badtrans, I-Worm.Badtrans

Art:
Wurm

Betriebssystem:
Windows 32 bit

Verbreitung:
Versendung von Email-Nachrichten

Risiko:
mittel

Handlungsbedarf:
ja, Update der Viren-Schutzkennungen

Schadensfunktion:
Verschickt Daten per E-Mail, Installation eines Trojanischen Pferdes


Beschreibung

W32.Badtrans.B@mm ist ein MAPI-basierender Email-Wurm, der sich selbst per Email-Nachricht versendet. Außerdem installiert er ein Trojanisches Pferd, welches in der Lage ist, Informationen aus dem infizierten System zu stehlen.

Die trojanische Komponente wird als Datei KDLL.DLL in das Verzeichnis \Windows\System abgelegt.
W32.Badtrans.B@mm selbst kopiert sich als Datei kernel32.exe in dieses Verzeichnis. Danach registriert sich der Wurm im System mit dem Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=kernel32.exe


Der Dateiname der angehängten Datei wird zufällig aus einer Liste von Dateinamen gewählt.

FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS

Erste von zwei Dateinamenerweiterungen:

DOC
MP3
ZIP

Zweite Erweiterung (wird u.U. nicht angezeigt):

pif
scr

Beispiel:
CARD.DOC.PIF
NEWS_DOC.MP3.SCR

Durch eine bekannte Schwachstelle im Internet Explorer kann es dazu kommen, dass W32.Badtrans.B@mm aktiviert wird, wenn der Anwender seine Email-Nachricht liest, bzw. die AutoVorschau aktiviert ist.
Diese Schwachstelle kann durch den Patch:

www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
geschlossen werden.

Enfernung:
Aktuelle Viren-Schutzprogramme erkennen diesen Wurm und können ihn auch entfernen.
Zur manuellen Entfernung muß der oben genannte Registry-Key entfernt und die infizierten Dateien gelöscht werden (bei Windows 95/98 im abgesicherten Modus).
Bei Windows NT existiert ein verborgener Prozess "kernel32", den man vorher über den Taskmanager beenden muß.


Email-Filter sollten so eingestellt werden, dass sie Email-Anhänge mit der Erweiterung .pif und .scr blockieren.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.


(Erstellt: 26.11.2001)

Ich hoffe, ich konnte helfen.
Rainer (kleines)

Auch ich habe Mails mit Anhang ohne Text und mir unbekannten Absendern erhalten. Ich habe sie sofort gelöscht.

...noch ein Tip an alle:
Diese verseuchten Mails haben alle ca. 39 KB Größe! Ich lösche sie sofort auf dem Server - heute kam wieder eine von einem mir unbekannten Absender. Das dürfte wohl die nächsten Tage noch so weitergehen.
Beste Grüße
Lissy

Wie ich von einer Mail-Partnerin erfahre, werden heute Abend (28.11.) in der Schweiz sämtliche Mailserver wegen massiver Virusgefahr abgeschaltet.

Maximale Größe einer Mail an pc-hilfe@seniorentreff.de oder rundbrief@seniorentreff.de beträgt 14 kb. Wir sind also auf der sicheren Seite :-))