Lara
begann die Diskussion am 27.11.01 (08:53) mit folgendem Beitrag:
Mit dem Absender eines der hier verkehrenden und agierenden Mitglieder erhielt das virtuelle Büro der Hannover-Senioren heute eine Mail mit einem kleinen HTML-Text und einer angehängten Datei. Die Datei erwies sich als DOS-Datei, ließ sich zwar herunterladen, aber nicht öffnen. Auf unsere Rückfrage an den Absender kam eine erneute Mail mit etwa diesem Text: 'Es ist ein Virus unterwegs, es wird totales Chaos geben. Mit freundlichen Grüßen. N.N.' Weitere Anfragen wurden bisher nicht beantwortet.
Es mag ja sein, daß wir hier zu doof sind, die Angelegenheit zu begreifen. Darum bitten wir um Hilfe: Hat jemand eine Ahnung, was das soll? Haben andere auch solche Mails bekommen? Vielleicht könnte sich der Absender hier persönlich äußern? Sollen wir den Eingang von Mails dieses Absenders von AOL sperren lassen?
Danke für alle Tip(p)s - und Entschuldigung für unser Unverständnis. Lara
|
Johannes Michalowsky
antwortete am 27.11.01 (09:06):
Der Absender bin wohl ich, das hättest Du ruhig sagen können. Ich habe gestern eine Rundmail an sehr viele Empfänger aus meiner Adressliste und über die Mailingliste des ST gemacht und dabei dieses Virus offenbar verbreitet.
In meiner HP (URL siehe unten) ist eine qualifizierte Beschreibung dieses Virus, die ich von Meta Koss, Computeria St. Gallen, erhalten habe.
Per Mail möchte ich nicht informieren.
(Internet-Tipp: /seniorentreff/de/my/)
|
Schorsch
antwortete am 27.11.01 (10:10):
In den letzten Tagen erhielt ich einige Mails, die nichts anders enthielten als meine Mailadresse und diejenige des Absenders. Ich klickte auf "Antworten" und machte den/die Absender auf das Problem aufmerksam. Aber die Mails kamen zurück mit der Mitteilung des Providers, diese Adresse sei unknown also unbekannt. Haben andere TeinehmerInnen auch solche Mails erhalten?
Schorsch
|
Wolfgang
antwortete am 27.11.01 (10:16):
Es handelt sich um den WORM_BADTRANS.B, der sich per E-Mail wurmartig und mit Hilfe des Microsoft Adressbuches fortpflanzt, öffnet und einen Trojaner auf dem infizierten Rechner installiert. Das Fatale an dieser Malware: Der Empfänger muss noch nicht einmal selbst den Anhang öffnen; die Software nutzt eine Sicherheitslücke der E-Mail-Clients von Microsoft Outlook (O) und Outlook Express (OE). Bekannt ist diese Sicherheitslücke unter dem Fachbegriff 'Automatic Execution of Embedded MIME type'.
Was vorbeugend tun? Bei OE gibt es eine Einstellung, die das automatische Öffnen von Mails verhindert (gilt für OE 5, für O weiss ich leider keine Abhilfe):
1.) Gehen Sie in das Menü von OE zum Punkt 'Ansicht' und dort zum Unterpunkt 'Layout...'.
2.) Es öffnet sich ein Fenster 'Eigenschaften von Layout des Fensters'.
3.) Im Bereich 'Vorschaufenster' können Sie das Häkchen bei 'Vorschaufenster anzeigen' entfernen.
4.) Bestätigen Sie mit OK.
Ab jetzt werden Mails nicht mehr automatisch geöffnet und angezeigt. Das einzige, was Sie sehen, ist der Absender und der Betreff eingegangener Mails. So sehen Sie auf den ersten Blick, welche Mail vertrauenswürdig ist und welche besser ungeöffnet(!) gelöscht werden sollte. Erst ein Klick oder Doppelklick auf die vertrauenswürdige Mail öffnet diese im separaten Fenster.
TREND MICRO Virus Encyclopedia: WORM_BADTRANS.B https://germany.trendmicro.de/vinfo/virusEncyclo/default5.asp?VName=WORM_BADTRANS.B&VSect=T
(Internet-Tipp: https://germany.trendmicro.de/vinfo/virusEncyclo/default5.asp?VName=WORM_BADTRANS.B&VSect=T)
|
Lara
antwortete am 27.11.01 (11:01):
Bei Durchführung erforderlicher Maßnahmen begrüßten mich 3 Viren [jetzt weiß ich auch, woher ich heute Kopfschmerzen habe :-)] --> 1 x Worm/BadTrans.B1 und 2 x Worm/BadTrans.B2.
Als PC-Laie würde mich noch interessieren, wie die Mail mit dem Anhang "DOCS.DOC.pif" überhaupt an uns gelangen konnte. Als Absender stand da die uns bekannte Mail-Adresse von Johannes, daher haben wir auch die angehängte Datei heruntergeladen. Jo hat diese Mail doch wohl nicht geschickt. Und die Ankündigung des Advents-Kalenders haben wir gestern auch nicht bekommen.
Wie also gelangt so eine Mail mit einer bekannten Absender-Adresse, aber einem virus-besetzten Anhang an irgendwelche (!) Leute?
Danke. Lernen kann man nur durch blöde Fragen. Lara
|
Wolfgang
antwortete am 27.11.01 (11:19):
Wie gelangt Malware - z. B. eine viren- oder trojanerbehaftete Mail - an irgendwelche Leute? - Der Absender merkt in der Regel erst mal nicht, Lara, dass er Malware abschickt, ist er doch selbst Opfer eines Angriffs geworden. Wenn er es merkt, ist es meistens schon zu spät. Über sein Adressbuch haben alle dort eingetragenen Adressen die verseuchte Mail erhalten. Und so geht das weiter und weiter...
In fast allen Fällen nutzen Malware-Programmierer den wirklich üblen Sicherheitsstandard der Microsoft-Produkte für ihre Zwecke aus. Man kann es gar nicht oft genug wiederholen: Was die Sicherheit betrifft, sind Microsoft's Internet Explorer (IE) und Microsoft's E-Mail-Clients Outlook (O) und Outlook Express (OE) nicht empfehlenswert.
Einen sehr guten E-Mail-Client ohne diese Sicherheitslücken gibt es als kostenlose Freeware: Pegasus Mail (ganz neu in der Windows-Version 4.01)
https://www.pmail.com/
(Internet-Tipp: https://www.pmail.com/)
|
Lara
antwortete am 27.11.01 (13:37):
Ich bedanke mich für alle hilfreichen Tip(p)s, Anregungen und insbesondere für Euer Lehrmaterial: wieder ein bißchen schlauer geworden. Und, Wolfgang, "Pegasus Mail" ist ein wirklich hübsches Programm. Da kann man "Outlook" gerne vergessen.
Grüße an alle von Lara
|
Karl
antwortete am 27.11.01 (14:56):
Bitte lest auch mal hier nach: https://www.heise.de/newsticker/data/jo-26.11.01-000/ Zur Zeit gibt es eine gewaltige Schwemme von Spam-mail. Es gibt auf dieser Welt offenbar genug kriminelle Energien, um immer wieder neue Viren und Würmer in die Welt zu setzen.
Meine Ankündigung, serverseitig virengeschützte Pop3-Mailaccounts für Mitglieder des Seniorentreffs einzurichten, hatte leider sehr wenig Resonanz (es haben sich nur 8 Personen gemeldet, so dass sich das nicht rechnet). Sollten wir doch mehrere zusammenbekommen erneuere ich das Angebot, Preis abhängig von der Anzahl der Leute.
(Internet-Tipp: https://www.heise.de/newsticker/data/jo-26.11.01-000/)
|
Marianne Schmitt
antwortete am 27.11.01 (15:01):
Ich hatte bei MSN eine Mail von einem Jürgen Schmidbauer. Norton schickte Warnung vor dem Anhang, konnte aber nivcht löschen. Ich bin den Anweisungen gefolgt habe dieseen Jürgen Schmidbauer, dessen Nasmen mir bekannt vorkam auf seiner Webadresse benachrichtigt und dann seine mail gelöscht Beim Nachsehen auf meinen Norton heißt es "keine Viren, System ist geschützt" Was soll ich sonst noch tun?
|
Karl
antwortete am 27.11.01 (15:21):
Es ist mir doch sehr wichtig, noch einmal zu betonen, dass die neuesten Würmer die Gemeinheit besitzen, falsche Absender von Mails mit dem Ziel zu verwenden, als vertrauenswürdig zu gelten. Ich zitiere aus der oben angegebenen Quelle heise-Online:
----- Zitat Anfang -----
Die Hintermänner des Massenmailings zu ermitteln, gestaltet sich sehr schwierig, da sie offenbar die Absenderadressen gefälscht haben. Mittlerweile sind auch E-Mails mit Absendern aus der heise.de-Domain im Umlauf. Es hilft also nicht, sich beim vermeintlichen Absender oder bei dessen E-Mail-Provider über eine erhaltene Spam-Mail zu beschweren. So kann man sich zurzeit nur schützen, indem man mittels eines Filters sein E-Mail-Programm die eintreffenden Briefe löschen lässt.
---- Zitat Ende ----
|
Lara
antwortete am 27.11.01 (15:39):
Wie Marianne habe auch ich die Mail von (angeblich!) juergen.schmidbauer erhalten, aber natürlich nach den Erfahrungen des heutigen Tages nicht geöffnet.
Irgendwo habe ich gelesen, man solle seine "Mail-Filter" entsprechend einrichten. Erneute Bitte eines PC-greenhorns: könnte wohl wieder ein Kompetenter hier beschreiben, wie man das oder was man da macht?
Es warten noch viele andere auf Instruktionen, die ich persönlich leider nicht geben kann. Habe heute schon einige zum Lesen hierher geschickt. Danke Lara
|
Karl
antwortete am 27.11.01 (15:54):
Bei Netscape so vorgehen:
1. Bearbeiten-Menü
2. Mailfilter
3. Neu anklicken
4. dem Filter einen Namen geben
5. unten im Fenster die Aktion des Filters festlegen, z.B. Mail mit einem bestimmten Betreff löschen oder in Ordner X verschieben.
In anderen Mailprogrammen wird das ähnlich gehen.
Mit freundlichen Grüßen
Karl
|
Gila
antwortete am 27.11.01 (17:40):
Hallo zusammen,
ich habe auch den Virus in einer Mail von Jo gehabt, in seiner zweiten (Aktion Adventskalender) allerdings nicht. Dafür aber in einer Mail von Irmgard Dupke. Da ich die Nachricht löschen musste, habe ich sie leider nicht gelesen. Vielleicht schaut Irmgard ja in dieses Thema hier rein und erfährt auf diese Weise, dass ich nicht antworten kann.
Gruß Gila
|
Lissy
antwortete am 27.11.01 (18:20):
Hallo alle miteinander, ich gehöre auch zu den "Opfern" des Jürgen Schmidbauer, auch ein Klaus Franke ist Absender von Virenmails, ebenfalls verseucht mit obengenanntem "Wurm". Wegen der bekannten Problematik nutze ich Outlook Express überhaupt nicht, sondern begnüge mich mit der t-online-Software, die zwar immer viel belächelt wird, meinen Ansprüchen aber gerecht wird :-) Bevor ich hier auf diese Beiträge gestoßen bin, habe ich schon einen Rundbrief verschickt. Mein Norton Antivirus hat die Schädlinge gekillt! Beste Grüße Lissy
|
Wolfgang
antwortete am 27.11.01 (18:22):
BADTRANS vermehrt sich zur Zeit explosionsartig. Hier ein Artikel von SPIEGEL ONLINE...
VIRUS-WARNUNG: Duckt euch, Microsoft-Nutzer!
...denn jetzt kommt "Badtrans.B" - mit einem nagelneuen Versende-Trick. Das Virus "beantwortet" ungeöffnete E-Mails. Badtrans verursacht keine Datenschäden, entwickelt aber eine ungesunde Neugierde.
https://www.spiegel.de/netzwelt/technologie/0,1518,169865,00.html
(Internet-Tipp: https://www.spiegel.de/netzwelt/technologie/0,1518,169865,00.html)
|
Ulrike
antwortete am 27.11.01 (20:50):
Bekam "Post" von Jürgen Schmidbauer und Irmgard Dupke. Habe Irmgard deswegen angemailt, die Ärmste war ganz verdattert, liebe Gila.
Gruß Ulrike
|
Johannes Michalowsky
antwortete am 27.11.01 (21:49):
Unter der unten stehenden URL sind genauere Info's über das Virus Badtrans nachzulesen, allerdings nur Englisch. Eine deutschsprachige ungefähre Wiedergabe steht in meiner HP, habe diese heute früh dankenswerterweise von Meta Koss, Computeria St. Gallen erhalten.
Es handelt sich nach den Aussagen in der genannten Web Seite um eine Epidemie globalen Ausmaßes, die ihren Höhepunkt womöglich noch nicht erreicht hat.
(Internet-Tipp: https://www.kasperskylabs.com/)
|
Irmgard Dupke
antwortete am 28.11.01 (01:34):
Hallo Gila, es tut mir leid, aber ich habe Dir keine Mail gesandt.......... Ich habe seit 2 Tagen nur solche Anfragen........obwohl, wie gesagt, ,ich nichts versandte........ Trotzden entschuldige ich mich..........und an alle: " Bitte öffnet meine und auch andere Mails nicht, wenn sie ohne Text und mit einem Anhang erscheinen! Es grüßt Euch Klecksi
|
Webmaster Seniorentreff
antwortete am 28.11.01 (02:16):
Liebe Klecksi,
Du bist nur ein Opfer des Virus, das sich selber versendet und dabei die Absenderadressen seiner Opfer verwendet. Die Adressaten nimmt es aus Deinem Adressbuch. Da Du im ST viele Freunde hast, erklärt dies, warum soviele STler solche Mail erhalten haben, aber auch aus anderen Quellen sind sie gekommen. Das ganze funktioniert wie ein Kettenbrief - im gesamten Internet.
Wir sind nichts als eine kleine Gruppe im Meer der Internetnutzer, die alle betroffen sind. Es ist nicht ein Problem des ST, sondern von E-Mailbenutzern allgemein.
Mit freundlichen Grüßen
Karl
|
Lara
antwortete am 28.11.01 (08:37):
Na ja, die Invasion der Krankheitserreger geht weiter. Viele verseuchte Mails haben Adressen von Teilnehmern beim ST. Daher möchte ich allen, die hier lesen und schreiben, mitteilen, daß ich vorsichtshalber scheinbar (!) privat an mich gerichtete Mails mit Namen aus dem ST nicht mehr öffne, und daß ich rate, scheinbar (!) von mir kommende Privat-Mails ebenfalls nicht zu öffnen. Als Kontakt-Plattform werde ich lediglich die hiesigen Diskussions-Foren verwenden. Lara
|
Hanno Votteler
antwortete am 28.11.01 (13:07):
Auch ich habe derartige Mails bekommen. Da sie keinen Text enthielten, habe ich sie sofort gelöscht. Eine Mail nur mit Anhang kann ja nicht seriös sein
|
Wolfgang
antwortete am 28.11.01 (13:12):
Outlook Express sicher konfigurieren https://www.bluemerlin-security.de/outlook/index.html
(Internet-Tipp: https://www.bluemerlin-security.de/outlook/index.html)
|
Marianne Schmitt
antwortete am 28.11.01 (14:21):
Hatte soeben wieder Post mit "Humor" von Klaus Hansen. Hoffentlich kriegt man den "wahren" Täter mal der muß doch krank sein?
|
Rainer
antwortete am 28.11.01 (15:55):
Hallo liebe Teilnehmer, ich entschuldige mich schon vorweg für die längere Mail. Sie enthält Beschreibung und Hilfe zur Entfernung des Virus.
Informationen zu Programmen mit Schadensfunktionen
--------------------------------------------------------------------------------
Name: W32.Badtrans.B@mm Alias: IWorm_Badtrans, I-Worm.Badtrans Art: Wurm Betriebssystem: Windows 32 bit Verbreitung: Versendung von Email-Nachrichten Risiko: mittel Handlungsbedarf: ja, Update der Viren-Schutzkennungen Schadensfunktion: Verschickt Daten per E-Mail, Installation eines Trojanischen Pferdes
Beschreibung
W32.Badtrans.B@mm ist ein MAPI-basierender Email-Wurm, der sich selbst per Email-Nachricht versendet. Außerdem installiert er ein Trojanisches Pferd, welches in der Lage ist, Informationen aus dem infizierten System zu stehlen.
Die trojanische Komponente wird als Datei KDLL.DLL in das Verzeichnis \Windows\System abgelegt. W32.Badtrans.B@mm selbst kopiert sich als Datei kernel32.exe in dieses Verzeichnis. Danach registriert sich der Wurm im System mit dem Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=kernel32.exe
Der Dateiname der angehängten Datei wird zufällig aus einer Liste von Dateinamen gewählt.
FUN HUMOR DOCS S3MSONG Sorry_about_yesterday ME_NUDE CARD SETUP SEARCHURL YOU_ARE_FAT! HAMSTER NEWS_DOC New_Napster_Site README IMAGES PICS
Erste von zwei Dateinamenerweiterungen:
DOC MP3 ZIP
Zweite Erweiterung (wird u.U. nicht angezeigt):
pif scr
Beispiel: CARD.DOC.PIF NEWS_DOC.MP3.SCR
Durch eine bekannte Schwachstelle im Internet Explorer kann es dazu kommen, dass W32.Badtrans.B@mm aktiviert wird, wenn der Anwender seine Email-Nachricht liest, bzw. die AutoVorschau aktiviert ist. Diese Schwachstelle kann durch den Patch:
www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp geschlossen werden.
Enfernung: Aktuelle Viren-Schutzprogramme erkennen diesen Wurm und können ihn auch entfernen. Zur manuellen Entfernung muß der oben genannte Registry-Key entfernt und die infizierten Dateien gelöscht werden (bei Windows 95/98 im abgesicherten Modus). Bei Windows NT existiert ein verborgener Prozess "kernel32", den man vorher über den Taskmanager beenden muß.
Email-Filter sollten so eingestellt werden, dass sie Email-Anhänge mit der Erweiterung .pif und .scr blockieren.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
(Erstellt: 26.11.2001)
Ich hoffe, ich konnte helfen. Rainer (kleines)
|
Erika Kalkert
antwortete am 28.11.01 (16:01):
Auch ich habe Mails mit Anhang ohne Text und mir unbekannten Absendern erhalten. Ich habe sie sofort gelöscht.
|
Lissy
antwortete am 28.11.01 (17:41):
...noch ein Tip an alle: Diese verseuchten Mails haben alle ca. 39 KB Größe! Ich lösche sie sofort auf dem Server - heute kam wieder eine von einem mir unbekannten Absender. Das dürfte wohl die nächsten Tage noch so weitergehen. Beste Grüße Lissy
|
Johannes Michalowsky
antwortete am 28.11.01 (18:03):
Wie ich von einer Mail-Partnerin erfahre, werden heute Abend (28.11.) in der Schweiz sämtliche Mailserver wegen massiver Virusgefahr abgeschaltet.
|
webmaster
antwortete am 29.11.01 (00:01):
Maximale Größe einer Mail an pc-hilfe@seniorentreff.de oder rundbrief@seniorentreff.de beträgt 14 kb. Wir sind also auf der sicheren Seite :-))
|