Virus von Cali-team.de

Wlaed · Geschrieben: 24.03.2004 - 14:19

Moin,

habe heute ne Mail bekommen, von Cali-team.de, die durch mein Antivirus prog gestopt wurde, also habe ich mir sie angeschaut, und was sehe ich da, es steht alles auf englisch

Zitat:

Dear user, the management of Calibra-team.de mailing system wants to let you know that,

Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.

Advanced details can be found in attached file.

Best wishes,
The Calibra-team.de team https://www.calibra-team.de

ich denke, die kommt nicht von hier, aber diese spams nerven nun wirklich langsam.

beim neuen Outlook 2003 kann man es einstellen, dass die spams erst gar nicht angezeigt werden, und gleich gelöscht werden, aber es kommen, immer wieder welche durch

Hallo Besucher,
wir freuen uns, Dich wieder hier begrüßen zu dürfen.
Möchtest Du Calibra-Team.de uneingeschränkt und ohne dieses kleine Werbebild nutzen, benötigst du einen Account.
Die Anmeldung/Registrierung ist völlig kostenlos. Nach erfolgtem Login verschwindet diese Meldung automatisch.

Registrieren - Login

blackmesa · Geschrieben: 24.03.2004 - 14:39

Die Absender sind gefälscht:

Zitat:

Dear user of Calibra.ch,

Some of our clients complained about the spam (negative e-mail content) outgoing from your e-mail account. Probably, you have been infected by a proxy-relay trojan server. In order to keep your computer safe, follow the instructions.

Further details can be obtained from attached file.

Kind regards,
The Calibra.ch team https://www.calibra.ch

OPRCali · Geschrieben: 11.04.2004 - 11:28

Ich hab im Moment jeden Tag ungefähr 40 Emails. Alles Spam von allen möglichen Adressen. Dabei sind es auffällig viele Absender, die irgendwas mit Calibra oder Opelclubs zu tun haben. Es sind auch viele dabei, die von Usern hier aus dem Forum stammen. Die meisten haben aber den selben Text. Da sind Sachen dabei wie: "Na überrascht? Ich hab dir doch gesagt irgendwann knacke ich deine Passwörter". Außerdem habe ich auch viele Mails von AOL oder ähnlichen Anbietern über meine Zugangsdaten. Ich bin aber weder bei AOL noch bei den anderen. Alle Mails wollen mich irgendwie dazu verleiten die Pif-Dateien im Anhang zu öffnen. Wa ich natürlich tunlichst vermeide. Klar könnte ich diese Mails einfach blocken. Aber was ist, wenn diese Leute mir wirklich mal ´ne Mail schreiben wollen? Kommt ja dann auch nicht mehr durch.
Kann es sein, dass sich irgendein Hacker oder weiß der Geier was für ein A*schloch die Emailadressen über calibra-team.de holt?
Gibt es hier noch mehr Leute, die seit drei Tagen solche Probleme haben? Ich hab auch viele Mails von Internetanbietren dabei, das irgendwelche Mails von mir nicht zugestellt werden konnten. Gibt es hier auch Leute, die solchen Dreck auch über meine Adresse geschickt bekommen?

Gruß Patrick

calibramax · Geschrieben: 11.04.2004 - 12:03

Jo, habe ich auch gemerkt scheiss spam da stand benutzername erfolgreich geändert!

Und der Anhang ist verseucht zum glück erkennt web.de solche würmer!

morpheus19 · Geschrieben: 11.04.2004 - 12:03

habe das problem auch. aber schon etwas länger. mir ist aufgefallen das die mails nur auf meine addi geschikt werden und die ist nur hier angegeben. bin echt froh das ich ein antiviren programm habe das löscht die mails schon vorher.
kann man nix gegen so etwas unternehmen???

Matze · Geschrieben: 11.04.2004 - 12:39

Wie Blackmesa schon schrieb hat das nix mit der seite zu tun, die abssender sind gefälscht! wenn zum beispiel einer eure adresse im outlook hat und er sich n virus fängt, verbreitet der sich an alle adressen im outlook, das merke ich auch. Hab in 5 tagen 1000 solcher mails auch von calibra.de usw.! Das hat nix mit gehackter seite zu tun usw. ! Die Emailadressen hier können nicht ausgelesen werden. Sie sind nicht public verfügbar, das forum sendet intern und linkt da keine mailaddy es sei denn einer postet sie hier oder in irgendeinem anderen forum, dann, aber nur dann muss er auch mit solchem scheiss rechnen weil spambots das abspeichern. Also ich betone nochmals, wir geben keine adressen weiter und schützen alle adressen auch hier. Das ist eins unser wichtigsten Privilegien. Die Absender werden um vertrauen zu erwecken gefälscht. Ich schrieb dazu neulich schon in einem Beitrag mal was. Also löscht Anhangmails wenns nicht vorher vereinbart wurde dass ihr eine mail mit Anhang erwartet.

OPRCali · Geschrieben: 12.04.2004 - 16:10

Aber was kann ich jetzt dagegen machen? Im Moment habe ich auch täglich massig Emails von Freenet, dass Emails von MIR nicht zugestellt werden konnten. Da steht dann irgendwas von ´nem Virus drin und dass man den Anweisungen im Anhang folgen soll, um ihn loszuwerden. Heißt das jetzt, dass ich den Virus auch habe? Aber ich bin doch grad gar nicht zu Hause und der Rechner ist aus. Wie sollten dann dort Mails über mein Outlook verschickt werden. Und hier bei meiner Mutter hab ich im Outlook keine Emailkonten eingerichtet. Ich habe keinen Bock mehr, täglich 50 Mails zu löschen. Kann ich einfach meine Emailadresse sperren und eine andere benutzen? Bin ich das Problem dann los? Oder kann mir jemand ein Programm empfehlen, dass solche Mails automatisch löscht?

Gruß Patrick

OnkelRico · Geschrieben: 12.04.2004 - 16:31

@OPR:
Jau is die neue Taktik von den Spamern, gefakte Unzustellbarkeits-Mails. Einfach löschen. Und das mit der Viruswarnung. Bloss nicht öffnen, das is die neue Masche von den Virenspezis. Mal ehrlich: Wie will ein Aussenstehender beurteilen, ob Du in Deinem Mailfach nen Virus hast?

Also ich hab nen Account bei GMX, der Spamfilter is ganz ok, sicher ein paar kommen immer durch, aber dafür gibts dort ne globale Antispam-List, wo jeder User selbst Spam melden kann. Aber momentan is irgendwie überall die Hölle los mit Viren- und Spam-Mails. Sogar diese komischen Stern-Mails von GMX werden teilweise gefaket. Naja ich lösch die originalen auch immer ohne sie zu lesen

Am besten wirklich nur Mails öffnen, deren Absender man kennt, das ist wohl der höchste Schutz...
Ausserdem nutz ich auf meinem Rechner zu Hause auch keinen Mail-Client, nur Webmail, eben weil ich kein Bock hab jeden Tag zigtausend MB an Müll zu syncen, wo 90% Spam oder gar verseucht is...

Matze · Geschrieben: 12.04.2004 - 23:25

Lest euch das mal durch. Dann seht ihr dass es nicht an calibra-team.de liegt:

Warnung Ihre E Mail Adresse wird benutz um den Wurm Sorber F zu verbreiten. Mein Postfach quillt über mit Mails die Anhänge mit dem Wurm haben.
Leider kann ich nicht genau feststellen wer der Versender ist. Die IP des Versenders ist jedoch ersichtlich.
Es muß jedoch ein Opel Club sein, bei dem ich ein Gästebuch Eintrag hinterlassen habe.
Das System des Opel Clubs scheint verseucht zu sein.
Bitte helfen Sie den Wurm zu stoppen und warnen Sie die Opel Clubs die in Ihren Adressbuch stehen.
Öffnen Sie auf keinen Fall Anhänge von Fremden und seien Sie auf generell Vorsichtig bei dem
öffnen von Anhängen.
Ich habe weiter unten den E Mail Header von verschiedenen Mails die ich bekam eingefügt.
Auch eine Beschreibung des Wurms ist weiter unten.

Cu

DJ Detlef

______________________________________________________________________________________
Email Header des Versenders ! Beachten Sie die IP

Received: from [172.183.206.175] (helo=info.de)
by mx25.web.de with esmtp (WEB.DE 4.101 #91)
id 1BCF35-00062s-00; Sat, 10 Apr 2004 11:45:15 +0200
From: Info@opel-club-wiesbaden.de
To: Recipient@web.de
Subject:[Virus entfernt] Datenbank-Fehler
Importance: Normal
X-Priority: 3 (Normal)
Message-ID: <52772b2f4a6b97.d2f59.qmail@opel-club-wiesbaden.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="=cfaaffdaacbcdcbefcd"
Date: Sat, 10 Apr 2004 11:45:15 +0200
Sender: Info@opel-club-wiesbaden.de

Received: from [172.183.206.175] (helo=register.de)
by mx13.web.de with esmtp (WEB.DE 4.101 #91)
id 1BCFKy-0001N8-00; Sat, 10 Apr 2004 12:03:45 +0200
From: Register@calibra-team.de
To: mail@web.de
Date: Sat, 10 Apr 2004 12:03:09
Subject:[Virus entfernt] Ihr neues Passwort
Importance: Normal
X-Priority: 3 (Normal)
Message-ID:
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="====cabccfdecbfccdfcecccff"
Sender: Register@calibra-team.de

Received: from [172.183.206.175] (helo=service.de)
by mx11.web.de with esmtp (WEB.DE 4.101 #91)
id 1BCGIm-0008Vm-00; Sat, 10 Apr 2004 13:05:32 +0200
From: Service@gmx.de
To: Mail@web.de
Subject:[Virus entfernt] Ihr Passwort
Importance: Normal
X-Priority: 3 (Normal)
Message-ID: <6c44d3a2010993.8632f.qmail@gmx.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="=dbdcbcfbdbdedbefcddbdcffbf"
Date: Sat, 10 Apr 2004 13:05:32 +0200
Sender: Service@gmx.de

Received: from [172.183.206.175] (helo=automailer.com)
by mx13.web.de with esmtp (WEB.DE 4.101 #91)
id 1BCGvL-0007ls-00; Sat, 10 Apr 2004 13:45:23 +0200
From: AutoMailer@aol.com
To: USER@web.de
Date: Sat, 10 Apr 2004 13:44:40
Subject:[Virus entfernt] Illegale Zeichen in Mail-Routing
Importance: Normal
X-Priority: 3 (Normal)
Message-ID: <7fa7f076488494.839a2.qmail@aol.com>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="====cbdccabfdbabdebfaaedcdecaaca"
Sender: AutoMailer@aol.com

______________________________________________________________________________

Neuer Wurm: I-Worm.Sober.F
Seit den Nachmittagsstunden des 4. Aprils sind wir mit einer neuen Sober-Variante konfrontiert - dem Sober.F
Wie schon die ersten Vertreter dieses Wurms stammt auch der I-Worm.Sober.F mit hoher Wahrscheinlichkeit aus
Deutschland. Für Anwender in Österreich hat das Virus vor allem auch deshalb Relevanz, da es sich ebenfalls wie die Varianten

vor Ihm mit deutschem Text versendet und den Anwender mit einer Reihe von gut gemachten Texten zu täuschen im Stande ist.

Der 42496 Bytes große Wurm verwendet ähnlich wie Bagle und Netsky Varianten vor ihm eine aus der Spammer-Szene entliehene

Technologie um sich optimaler zu verbreiten, was ihm nach ersten Beobachtungen auch sehr erfolgreich gelingt:

====================================================================

In das "from" also das Absender-Feld trägt er je nach deutscher oder englischer Version

Deutsch: Englisch:
Webmaster Administrator
Fehler-Info Webmaster
Administrator Home
RobotMailer Register
AutoMailer Service
Register Info
Service Admin
Info Error_Info
Passwort RobotMailer
Kundenservice AutoMailer
Liste User-info
Schwarze-Liste Account

vor einer der nachstehenden Domainen ein
@abuse.de
@yahoo.com
@yahoo.de
@gmx.de
@gmx.net
@web.de
@freenet.de
@lycos.de

oder er verwendet dafür eine der Domainen die er auf inizierten Systeme ebenso sammelt wie er eMail Adressen aus einer Reihen

von Files von einer Festplatte auslesen kann.

Wird der Wurm auf einem System gestartet dass zu diesem Zeitpunkt nicht "online" ist, sucht er nach einer beliebigen Dial-Up

Verbindung, versucht diese automatisch zu starten und gibt nachstehende Fehlermeldung aus:

Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall

Erhalten sie ein Mail mit folgendem Aussehen, dann haben sie mit hoher Wahrscheinlichkeit den neuen I-Worm.Sober.F Wurm vor

sich. Der Wurm ist dabei in der Lage je nach Betriebssystem-Version die Texte die verwendet in deutscher oder englischer

Sprache zu wählen:

Betreff: (in deutscher Sprache)
Einzelheiten
Hallo Du!
Hallo!
Hey Du
Hi, Ich bin's
Ich bin es .-)
Verdammt
Na, berrascht?!
Info
Information
Fehlerhafte Mailzustellung
Mailzustellung fehlgeschlagen
Fehler
Illegale Zeichen in Mail-Routing
Verbindung fehlgeschlagen
Ung
Fehler in E-Mail
Besttigung
Registrierungs-Besttigung
Ihr neues Passwort
Ihr Passwort
Datenbank-Fehler
Warnung!
Details

Betreff: (in englischer Sprache)
Oh my God
Hey
Hi!
Hi, it's me
hey you
damn!
Well, surprised?
Info
Information
Faulty mail delivery
Mail delivery failed
Mail Error
Illegal signs in Mail-Routing
Connection failed
Invalid mail sentence length
Mail Delivery failure
Message Error
mail delivery status
Confirmation Required
Bad Gateway
Warning!
Your document

Mailtexte (in deutscher Sprache)

Ich war auch ein wenig berrascht!
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann

Alles klaro bei dir?
Schau mal was Ich gefunden habe!

Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben
ist!
Bye

Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwrter
rauszubekommen!!!
Passwoerter.txt

Details entnehmen Sie bitte dem Attachment
Nhere Informationen befinden sich im Anhang.

*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte berpr fen Sie nochmals diese E-Mail auf mgliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: http:/ /www.
--- Mail To: User-Hilfe

Passwort und Benutzername wurde erfolgreich gendert
Ihre Benutzernamen und Passwrter befinden sich im Anhang dieser E-Mail
++++ Im www erreichbar unter: http:/ /www.
++++ E-Mail: KundenInfo

Wegen eines Datenbank- Fehlers knnte es mglicherweise zu einem Verlust Ihrer
persnlichen Daten wie Kennwrter gekommen sein.
Wenn Sie Unregelmigkeiten festgestellt haben, melden Sie uns bitte umgehend
den Datenverlust.
Vielen Dank fr Ihr Verstndnis
+++ Ein Service von
+++ http:/ /www.
+++ E-Mail: Kundenservice

Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:

Mailtexte (in englischer Sprache)

I was surprised, too!

Who could suspect something like that?

All OK

see, what i've found!

hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye

I 've told you!

sometime I grab your passwords!

I hope you accept the result!
Follow the instructions to read the message.
Please read the document

Registration confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http:/ /www.
++++ Mail To: User-info

*** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said:_554_delivery
_error:
_dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled_
or_discontinued_[#102]._-_mta134.mail.dcn.com *** this line has been
modified by Symantec for the purpose of formatting ***
** End of Transmission
The original message is a separate attachment.
--- Web: http:/ /www.
--- Mail To: User-Hilfe

Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of
+++ http:/ /www.
+++ Mail: home

The message has been attached.

Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha

Anybody use your accounts!
For further details see the attachment.

I have received your document. The corrected document is attached.
greets

====================================================================

Auch das Attachment unterteilt sich in deutsch und englisch sprachige Namen für den Anhang:

Deutsch: Englisch:
Oh-Mann anitv_text
Dokument instructions
KurzText your_article
AntiVirus-Text your_passwords
Anleitung messagedoc
Passwoerter.txt corrected_text-file
Text-Inhalt attach-message
AMD-System.txt "zufällig"message
Benutzer-Daten "zufällig"attach
Datenbank-Fehler pass-message
abuse-liste text
schwarze-listen Textdocument
Block-Lists

Der Wurm kommt mit einer .Zip, .PIF oder .SCR Dateiendung.

Sollte es dem Wurm gelingen mittels Doppelklick gestartet zu werden, startet das obligatorischen Prozedere:

Der Wurm kopiert seinen Code ins Windows System Verzeichnis und sorgt mit den Registry-Einträgen

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
zufälligerName.exe

für eine verlässlich "in Betriebnahme" des Wurms beim Rechnerneustart. Der Namen der Dateien unter denen sich der Wurm in

Windows System Verzeichnis bgelegt wird beinhaltet einen Nachfolgenden Wörter; was dem Virencode eine "offizielleres"

Aussehen verleiht. (der Autor verwendet dabei die gleichen Namen wie schon bei der Sober.D Variante)

sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

====================================================================

Auf Windows XP Systemen erzeugt der Wurm zusätzlich ein Key mit eine Zufällig generierten Wert:

[HKEY_USERS\S-1-5-21-

?-

-

\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run]

Dazu legt der Wurm noch eine Reihe weiterer Dateien mit dem Namen

zmndpgwf.kxx
zhcarxxi.vvx
bcegfds.lll
syst32win.dll
winsys32xx.zzp
winhex32xx.wrm
spoofed_recips.ocx

in Windows/System-Verzeichniss ab.

====================================================================

In der Syst32win.DLL werden alle Adressen abspeichert die der Wurmn auf dem infizierten Rechner gefunden hat.

Sollte man von I-Worm.Sober.F betroffen worden sein, so kann man in die File nicht nur herausfinden wie viele eMail-Adressen

der Wurm auf der infizierten Maschine gefunden hat - sondern auch - an wenn er sich aller verschickt hat!!

====================================================================

Wie schon andere Würmer vor Ihm versucht der I-Worm.Sober.F seine Entdeckung auch dadurch zu erschweren, in dem er sich nicht

Adressen repliziert/verbreitet die nachstehend einen der folgenden Textbausteine beinhalten:

abuse
mailer-daemon
office
redaktion
support
variabel
password
time
postmas
service
freeav
@ca.
abuse
winrar
domain.
host.
viren
ewido.
emsisoft
linux
google
@foo.
winzip
@arin
mozilla
@iana
@avp
@msn
microsoft.
@sophos
@panda
symant
ntp-
ntp@
@ntp.
@kaspers
free-av
antivir
virus
verizon.

Service@opel-club-goslar.de schrieb am 11.04.04 09:15:49:

Ihre Benutzernamen und Passwörter befinden sich im Anhang dieser E-Mail

++++ Im www erreichbar unter: http://www.opel-club-goslar.de
++++ E-Mail: KundenInfo@opel-club-goslar.de

*** Anti- Virus: Es wurde kein Virus erkannt
*** WEB Virenschutz
*** http://www.web.de