Scheiss-Sobig-Wurm

[INSPYRO]

Seit etwa 3 Wochen versucht fast täglich der Sobig-Wurm meinen Pc zu verseuchen. Ich lösch ihn jedesmal brav überall raus.
Aber es nervt täglich blöde E-Mails von Bigboss.com zu erhalten.
Weiss jemand wie ich das stoppen kann ohne meine E-Mail Adresse zu wechseln...???
Thanx

 

[Don]

Was für einen Virenscanner nutzt Du? Hast Du ME oder Höheres? Denke mit der System wiederherstellung könntest Du wieder dann den ZUstand ereichen bevor der Wurm da war.

Tools wie adadware etc könnten auch helfen, jedoch bin ich selbst noch in dem Anfängerstadium.

Don

 

[INSPYRO]

Ich installier den Virus schon nicht....ich lösch ihn bevor ich ihn anklicke.
Hab ihn auch schon angeklickt, musste dann die reg einträge etc. löschen gehen.
Mein Problem ist das irgendeiner mir das Teil täglich unterjubeln will und es nervt langsam. Weiss mein Provider vielleicht mehr..?

 

[tsuribito]

Benutz einfach ein anderes Email Programm, das Anhänge nicht automatisch ausführt.
Oder gleich ein anderes OS

 

[-Fr35h-]

kannst du das nicht per JunkMail funktion machen? also die adresse von bigboss.com einfach sperren, dass du e-mails von dem provider nicht mehr empfangen kannst? probier das mal!

 

[Tweedledee]

Ich installier den Virus schon nicht....ich lösch ihn bevor ich ihn anklicke.
Hab ihn auch schon angeklickt, [...]

Du löschst ihn bevor du ihn anklickst, hast ihn aber schon angeklickt? Du widersprichst dir selbst. Wenn du ihn schon angeklickt hast hast du ihn auch installiert. Da hilft auch kein löschen in der Registry, denn du weißt nicht welche Dateien mitinfiziert wurden. Und mit einem einmal infizierten Rechner sollte man nicht mehr ins Internet gehen, da sich dieser Wurm selbst weiterverschickt.
Die einzige Möglichkeit einen infizierten Rechner wieder sauber zu kriegen ist:
- Alle Partitionen formatieren
- Betriebssystem neu installieren
- letztes sauberes Backup einspielen
und bei der Gelegenheit:
- auf Virenschleudern wie Internet Explorer und Outlook Express verzichten
- Brain 1.0 installieren und in Zukunft nicht mehr potenziell schädliche Anhänge öffnen.

Mein Problem ist das irgendeiner mir das Teil täglich unterjubeln will und es nervt langsam. Weiss mein Provider vielleicht mehr..?

Eventuell kannst du dem E-Mail-Header entnehmen von wo die Mail tatsächlich abgeschickt wurde. Wie das geht wird z.B. dort erklärt:

http://www.antispam.de/?topic=header

Da der Wurm sich selbst verschickt weiss der Absender u.U. gar nichts davon. Es ist aber sinnvoll ihm mitzuteilen, dass sein Rechner womöglich infiziert ist. Beschwerden lohnen sich manchmal an den Provider des Absenders (des wirklichen, nicht big @ boss.com), sofern dieser nicht gerade aus Korea oder Nigeria oder so stammt.

Ansonsten helfen Spamfilter. Informiere dich, ob dein Provider so etwas serverseitig anbietet. Sonst kann es womöglich auch dein Mailreader filtern (auf big @ boss.com reicht - ein selten dämlicher Wurm, der immer die gleiche Absenderadresse benutzt).
Mit manchen Programmen kann man ebenfalls sehr effizient filtern, z.B. für Windows:

* Open Directory - Windows: Tools: Anti Spam
http://dmoz.org/Computers/Software/Internet/Clients/Mail/Windows/Tools/Anti_Spam/

* Open Directory - Windows: Tools: Filtering
http://dmoz.org/Computers/Software/Internet/Clients/Mail/Windows/Tools/Filtering/

* Open Directory - Windows: Internet: Email: Spam Prevention
http://dmoz.org/Computers/Software/Shareware/Windows/Internet/Email/Spam_Prevention/

* Top 10 Anti-Spam Tools for Windows
http://email.about.com/cs/winspamreviews/tp/anti-spam.htm

* Product Reviews: Windows Anti-Spam Tools
http://email.about.com/cs/winspamreviews/

* SpamKiller
http://www.spamkiller.com/

* POP3 Scan Mailbox
http://www.kempston.demon.co.uk/smb/

* SpamNet (Outlook add-in)
http://cloudmark.com/products/spamnet/

* SpamPal
http://www.spampal.org.uk/

* Deutsche Hilfeseite für SpamPal für Windows
http://www.spampal.de/

* RegExFilter Plugin for SpamPal
http://www.slabihoud.de/spampal/

 

[Niks Te Maken]

Mann, das hilft dem armen Jungen doch alles nicht weiter!

So, Tweedledee: Man muss nie formatieren, um Viren/Trojaner/Würmer runterzukriegen, ein gesäubertes System lässt sich auch so herstellen.

@INSPYRO
Erstmal guckst du bei www.symantec.com vorbei, informierst dich genau über den Wurm, schaust ob die eine Tool gegen genau diesen Wurm besitzen. Wenn nicht, such mal mit Google, ob ein anderer AV-Programm-Hersteller ein hat. Zu guter letzt gehts du auf www.bsi.de und schreibst den netten Leuten dort, was du für einen Wurm hast (da gibbet so ein Bogen zum ausfüllen) und wenn du den immer noch nicht weghast, haust du die deswegen an. So, viel Glück!

 

[INSPYRO]

Danke für eure Tips.
Aber: Ich klick das Mail mit der rechten taste an und delete es gleich ohne das attached file zu berühren. Der ist schon nicht installiert, war auch schon bei symantec und hab alles gescannt. Meine kumpels bekommen den virus auch nicht obwohl es heisst er schickt sich weiter.
Ich kann den absender im header nicht ausfindig machen
header:
from S24P02 (ABesancon-101-2-1-26.abo.wanadoo.fr [193.251.179.26]) by yellow.www-rent.com (8.9.3/8.9.3) with ESMTP id KAA09283 for......
From:
big@boss.com
Message-Id:
<200303220923.KAA09283@yellow.www-rent.com>

ich werd mal probieren was mit den filtern zu deichseln.

thanx nochmal und falls euch noch was einfällt...nur zu

 

[Tweedledee]

So, Tweedledee: Man muss nie formatieren, um Viren/Trojaner/Würmer runterzukriegen, ein gesäubertes System lässt sich auch so herstellen.

Fatale Falschinformation! Nicht vertrauenswürdig!
Woher weißt du, ob nicht z.B. DLL-Dateien vom Wurm verändert wurden?

Die Tatsache, dass man nicht das Gegenteil beweisen kann, muss im
Zweifelsfall so gewertet werden, dass der Rechner immer noch
komprimittiert ist. Du kannst nicht zweifelsfrei sagen, ob

a) in der Zwischenzeit über die Sobig-Backdoor weitere Änderungen an dem System vorgenommen worden sind.

b) der Rechner nicht Opfer einer mutierten Sobig-Variante geworden ist, die das System anders verändert.

Vertrauenswürdig ist das nur, wenn Du

a) garantiert saubere Konfigdateien (sprich: registry u.ä.) hast
b) anhand von Checksummen von Deinem ehemals sauberen Rechnerkram die geänderten Dateien in Sachen Binärdateien einwandfrei identifizieren und durch die Originalvariante ersetzen kannst
c) sicherstellen kannst, dass während des Bootvorgangs des Rechners kein Mist passiert (sprich: Checksumme von MBR etc.)

Wer kann das schon?

Wenn Du obskure Tools aus dem Internet aus obskuren Quellen ziehst,
um obskure Schadsoftware auf einem obskuren Betriebssystem zu
entfernen, dann hast Du durch Sobig wahrhaft überhaupt nichts
gelernt.

 

[Tweedledee]

Ich kann den absender im header nicht ausfindig machen
header:
from S24P02 (ABesancon-101-2-1-26.abo.wanadoo.fr [193.251.179.26]) by yellow.www-rent.com (8.9.3/8.9.3) with ESMTP id KAA09283 for......

Du kannst mit einer whois-Abfrage (z.B. bei http://www.ripe.net/perl/whois ) die IP 193.251.179.26 überprüfen und feststellen, dass die Mail über France Telecom bzw. Wanadoo Interactive geschickt wurde. Letztere haben auch eine Beschwerdeadresse: abuse@wanadoo.fr . In diesem Fall macht eine Beschwerde in französisch sicher am meisten Sinn. Auf jeden Fall den kompletten Header mitschicken (nicht aber die Anlage!)

 

[Niks Te Maken]

Oh, oh, oh! Tweedledee, so richtig Ahnung hast du aber nicht, was du da für ein Schwachsinn laberst, oder?
Pass ma auf, da ich mich ein "bisschen" Auskenne, erkläre ich dir mal wie das läuft. Die Jungs von Symantec würden sich bei solchen vor Unwissen strotzenden Aussagen wahrscheinlich die Haare raufen...

Fatale Falschinformation! Nicht vertrauenswürdig!
Woher weißt du, ob nicht z.B. DLL-Dateien vom Wurm verändert wurden?

So, meine Informationen sind nicht vertrauenswürdig? Nee, stimmt, das Bundesamt für Sicherheit in der Informationstechnik versucht nur alle zu foppen. Ertappt!
Juckt mich das, ob DLL-Files infiziert sind? Nein! Betriebssystem neu installiert, fertich is. Bzw. einfach entsprechendes Programm neu installiert.
Und das Herausfinden ist kein Thema: Einfach einschlägige Datenbanken durchforsten. Eventuell holt man sich einfach die Datei von einem anderen Rechner (oder sogar aus dem Internet, das funktioniert) und ersetzt so die Infizierte. Alles null Problemo.

Die Tatsache, dass man nicht das Gegenteil beweisen kann, muss im
Zweifelsfall so gewertet werden, dass der Rechner immer noch
komprimittiert ist. Du kannst nicht zweifelsfrei sagen, ob

a) in der Zwischenzeit über die Sobig-Backdoor weitere Änderungen an dem System vorgenommen worden sind.

b) der Rechner nicht Opfer einer mutierten Sobig-Variante geworden ist, die das System anders verändert.

Doch, kann ich alles. Man (ich jedenfalls) weiß, wenn der Rechner sauber ist. Wo sollen denn die Backdoor-Trojaner bitt'schön herkommen? Wenn du dich über den Wurm informiert hast, müsstetst du wissen, dass der Trojaner nicht übertragen wird, da die URL inkorrekt ist. Und wenn doch: Wozu habe ich denn AV-Progs? Notfalls sperre ich einfach die entsprechenden Ports, sollte ich das Ding widererwarten nicht in 5 Minuten wegkriegen.
Zu b) Ganz einfach. Da der Wurm als Sobig erkannt wurde, behandle ich ihn auch so. Und da er eben erkannt wurde, weist er keine großen Unterschiede zum Original auf, lässt sich also genauso oder ähnlich entfernen.

Vertrauenswürdig ist das nur, wenn Du

a) garantiert saubere Konfigdateien (sprich: registry u.ä.) hast
b) anhand von Checksummen von Deinem ehemals sauberen Rechnerkram die geänderten Dateien in Sachen Binärdateien einwandfrei identifizieren und durch die Originalvariante ersetzen kannst
c) sicherstellen kannst, dass während des Bootvorgangs des Rechners kein Mist passiert (sprich: Checksumme von MBR etc.)

Wer kann das schon?

Ich!
Meine Regestry ist zu 100% sauber. b) Muss ich garnicht. Wozu auch, oben beschriebenes reicht völlig.
c) Lockerst! MBR überschreiben, ruhe. Wie geht das? Unter DOS. Dauert keine Sekunde.

Wenn du formatierst hast du überigens auch kein zwangsweise sauberes System. Das ist nur garantiert, wenn zeitgleich auch noch der MBR ersetzt wird. Hast leider in deiner Aufreihung oben vergessen...
Aber wie schon gesagt, du musst nicht formatieren. Betriebssystem neu installieren ist ja schon die fast nie nötige Holzhammermethode.

Wenn Du obskure Tools aus dem Internet aus obskuren Quellen ziehst,
um obskure Schadsoftware auf einem obskuren Betriebssystem zu
entfernen, dann hast Du durch Sobig wahrhaft überhaupt nichts
gelernt.

Ja, stimt, so obskure Quellen wie Symantec.
Hey, merkst du eigentlich, was für Mist du laberst?
a) Symantec ist nicht "obskur.
b) Es hilft.
c) Die Viren/Würmer/Trojaner sind obskur. Natürlich. Deswegen schmeissen wir die doch raus, oder?
d) Ja, mein obskures Betrirbssystem. Nieder mit WinXP und Linux! Hoch....hoch....DOS, yeeehaaa!
e) Wieso soll ich was durch Sobig lernen? Ist das meiner? Nein, ich hab den nicht und werde damit auch nie Probleme haben, weil ich nicht gleich in Panik meine HD formatiere, sondern Viren/Würmer/trojaner in Ruhe vernichte und dann das BSI informiere. So.

 

[Tweedledee]

@ Nix Te Maken

Nun, ich weiss durchaus wovon ich rede, habe aber keine Lust näher auf deine Argumente einzugehen - die Diskussion kenne ich schon zu genüge aus dem Usenet. Sie wird stets endlos.
Ich bleibe dabei, dass meine Vorgehensweise die sicherere ist (100%ige Sicherheit gibt es ohnehin nicht). Aber verschiedene Meinungen bewirken vielleicht eher, dass der Leser sich selber mit der Thematik auseinandersetzt, anstatt blind den Vorschlägen selbsternannter Experten in einem Forum zu vertrauen.
Was ich von Symantec halte werde ich hier lieber nicht äußern ...

 

[Niks Te Maken]

Wenn du meinst...
Ich werde dennoch auch in Zukunft bequem die Viren anstatt die Daten vernichten. Aber jedem, wie es ihm beliebt!