MyDoom... hm?

[Marco H.]

Hallo Leute

Ich habe mal eine Frage wegen diesem neuen Virus... eigentlich müsste ich mir ja keine Sorgen deswegen machen, da ich durch Antivirus+Firewall geschützt bin, aber ich habe heute schon die zweite Warn-Mail bekommen, dass angeblich jemand von mir ein Mail mit Virus bekommen hat

Hier mal der Inhalt:

Warning: E-mail viruses detected

Our virus detector has just been triggered by a message you sent:-
To: the1@ocau.nucleardays.com
Subject: Status
Date: Fri Jan 30 09:11:21 2004
Any infected parts of the message (document.zip)
have not been delivered.

This message is simply to warn you that your computer system may have a
virus present and should be checked.

The virus detector said this about the message:
Report: document.zip contains Worm.SCO.A


--
MailScanner
Email Virus Scanner
www.mailscanner.info
Mailscanner thanks transtec Computers for their support

In der anderen Mail stand sowas ähnliches, von wegen ich soll mal schauen ob ich nen Virus habe (konkreter Hinweis auf MyDoom.A stand drin).
Das komische an der Mail ist ja, dass sie keinen Anhang enthält, also nicht wie eine Wurm-Mails aussieht, sondern wie eine echte Warnung. Jedoch kenne ich die eMail-Adresse, an die die Mail gehen sollte auch nicht...

Dieses Stinger-Tool zum Erkennen und Entfernen von MyDoom hat zwar nichts gefunden, aber irgendwie beunruhigen solche Mail schon...

Bekommt ihr solche Mails auch (und dienen sie nur zum Unruhe stiften) oder könnte ich diesen Virus tatsächlich haben?

[Praiden]

Ich bekomme solche Mails auch und zwar von einer meines Erachtens äußerst wie soll ich sagen von einer Gesellschaft die sehr renomiert zu seien scheint also ich denke die sind "unschuldig".

Ich bekomme eine Mail in der mir gesagt wird ich würde Mails mit Würmern verschicken, im Anhang finde ich dann aber immer eine nettes kleines Programm meistens ein W32 Blaster.

Ich denke mal irgend so ein Wurm/Spam Mail Server benutzt fremde ID's um erst User einzuschüchtern > man würde Viren verschicken um dann den Anhang zu öffnen.

[Deleted User]

die mails würde ich nicht beachten geschweige den mal den anhang öffnen.

MyDoom wird meist als anhang oder exe versendet mit solchen oder ähnlichen warnmails - im prinzip wirt dann empfohlen das man doch bitte das mitgeliverte tool benutzen soll um das Virus zu finden und zu löschen - fürst du das dann aus wird in wirklichkeit dein PC erst infiziert.

gefährlich an dem MyDoom soll sein das er angeblich Virenscannerblock und ein Update verhindert. du kannst als weder dden virenscanner benutzen noch einen zusatz runterladen um dann MyDoom zu entfernen - ansonsten tut sich bei dir nicht viel da der vierus ansich gegen Microsoft gerichtet ist -"warum nur"

[PIC]

Moin Marco,

solche Mails brauchst Du überhaupt nicht zu beachten, da der Wurm generell die Absenderadressen fälscht. Im Extremfall kann es sein, dass Du von Dir selbst eine verseuchte Mail bekommst .

Auch wenn mittlerweile eine ganze Menge Rechner befallen sein dürfte, ist das noch kein Grund, sich Sorgen zu machen. Du kannst ja mal schauen, welche Prozesse auf Deinem Rechner aktiv sind. Wenn Du einen davon nicht kennst, schau entweder im Internet nach, von welchem Programm der benutzt wird, oder suche einfach auf Deinem Rechner nach der Datei. Evtl. steht sie in einem Verzeichnis, das Aufschluss über seine Herkunft gibt. Geh' aber mal davon aus, dass der Wurm sich nicht auf Deinem Rechner befindet.


@Londo:
Erst der zweite MyDoom-Wurm enthält auch die Grundlagen für eine DoS-Attacke gegen Microsoft. Der ursprüngliche war auf SCO angesetzt (ja, das sind diejenigen, die momentan die Linux-Gemeinde enorm verärgern). Die Angriffe werden sich zwischen dem 01.02 und 12.02. abspielen, danach wird MyDoom in der Versenkung verschwinden.

[Marco H.]

Jo, danke erstmal. Das komische war ja gerade, dass kein Anhang bei den Mails dabei war... ich habe meinen Rechner sicherheitshalber noch einmal völlig durchgecheckt, aber es war nichts...

Danke.

[Der XeTerminator]

hmm, vielleicht noch mal so was zum nachdenken ...

also wenn ich jemandem nen echten Hinweis geben will, das er nen Virus aufm System haben könnte dan würde ich NIE nen removal-tool anhängen sondern immer nur einen Link auf die Seite eines anerkannten/renomierten Herstellers uin den Text einfügen, der zum Download des Removers für vermeintlichen Virus führt ...

[shinji_SLITSCAN]

Die bislang virenträchtigste Woche des noch recht jungen Jahres begann am vergangenen Wochenende mit dem Auftritt des ersten Hauptdarstellers "Dumaru". Mit Betreffzeilen wie "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status" oder "Error" zielt er scheinbar auf technisch versiertere und erfahrenere Anwender, denen die üblichen Mail-Würmer nicht mehr so sehr viel anhaben konnten. Virenschützer stuften die von "Dumaru ausgehende Gefahr deshalb recht hoch ein und warnten, der Schädling sei der "bislang gefährlichste Virus des Jahres".

[...]

Schätzungen zufolge hat "MyDoom" in den ersten 4 Tagen seines Wurmdaseins bereits über eine halbe Million Rechner befallen. Und diese wiederum kopieren und versenden den Virus eifrig weiter. Dabei ist für "Betroffene" schwer zu erkennen, dass der eigene PC infiziert ist. Auch wenn einen andere Internetnutzer per e-mail darauf hinweisen, dass man einen Virus verschickt habe, ist das kein verlässliches Zeichen, denn "MyDoom" fälscht die Absenderangaben.

Mit der Variante "MyDoom.B" hat sich nun auch noch ein fieser kleiner Wurmbruder aufgemacht, die Rechner der Welt zu erobern. Hat dieser sich auf dem eigenen PC eingenistet, wird es für den Anwender schwierig sich Rat, Hilfe und Updates einzuholen. Denn "MydDoom.B" verändert die Hostdatei so, dass eine große Anzahl von Webadressen bzw. Domains nicht mehr aufgerufen werden können, darunter auch die der meisten Virenschützer! Die weiteren Aussichten: Es bleibt wurmig...

[rkf]

Ich frage mich _wirklich_ warum man einfach nicht versteht dass man Anhänge von Mails die man nicht kennt einfach nicht öffnet, und welche von Bekannten, von denen aber im Text nichts steht, auch nicht (habe das immer so gehalten und prima mit gefahren).


-rkf [ external image ]

[Marco H.]

@shinji: die Rund-Mail von GMX hab ich auch gelesen, aber die eMails die ich bekommen habe, sahen ja anders aus, andere Texte, andere Betreffe

@rkf: und eben das war ja das, was mich beunruhigte: _kein_ Anhang
Es sah wirklich aus wie eine 'echte' Warnung, oder ein Hinweis

[shinji_SLITSCAN]

Bei "guten" Würmern reicht schon das Betrachten im Outlook (Express) Vorschaufenster, da hier Sicherheitslücken mit z.B. JavaScript ausgenutzt werden können, welche dann fast unsichtbar den paar Byte Wurm runterladen und ausführen.

Beim Webmailen mit z.B. GMX ist das nicht so schlimm, da man hier extra klicken muss, um eine HTML Mail zu sehen.

[rkf]

Na, also dass man kein Outlook benutzt oder keine HTML-Vorschau angeschaltet hat oder ähnliches, ist ja quasi schon Grundvoraussetzung. Solche Leute verdienen es ja fast nicht anders

-rkf [ external image ]

[Drow]

Na, also dass man kein Outlook benutzt oder keine HTML-Vorschau angeschaltet hat oder ähnliches, ist ja quasi schon Grundvoraussetzung. Solche Leute verdienen es ja fast nicht anders

-rkf [ external image ]

Na na, das will ich aber überhört haben. Jeder Betrieb der professionell arbeitet, benutzt ein Mailprgramm...vor allem dann, wenn dein Provider z.B. Strato ist.

Ich habe übrigens auch hier etwas Informationsmaterial darüber geschrieben:
http://www.egosoft.com/x2/forum/viewtopic.php?t=22389

Gruß
Drow

[Der XeTerminator]

@Drow:

natürlich nutzt fast jeder Betrieb nen Mail Proggy, nur wer so dusselig ist Qoutlook nicht zu patchen & die entscheidenden Sicherheits einstellungen zu verändern & wer keinen Virenscanner einsetzt & keine Firewall, tja, dem is halt nicht zu helfen ...

... ich denke mal das meinte 'rkf' damit oder ?

[Drow]

@Drow:

natürlich nutzt fast jeder Betrieb nen Mail Proggy, nur wer so dusselig ist Qoutlook nicht zu patchen & die entscheidenden Sicherheits einstellungen zu verändern & wer keinen Virenscanner einsetzt & keine Firewall, tja, dem is halt nicht zu helfen ...

... ich denke mal das meinte 'rkf' damit oder ?

Klar, das ist schon was ganz anderes und dem stimme ich auf jeden Fall zu.

[rkf]

... ich denke mal das meinte 'rkf' damit oder ?

Korrekt.

Das Problem bei Outlook-Express und Co. ist ja, dass es auch viel von PC-Neuligen benutzt wird, die sich nicht sonderlich mit Sicherheitseinstellungen auskennen bzw. gar sich nicht so sehr darüber Gedanken machen. Abhilfe wäre es da wohl noch am ehesten wenn MS in ihren Programmen auf die Sicherheitsrisiken hinweisen würde die bestimmte Einstellungen mit sich bringen, und diese eventuell standardmäßig deaktivieren, und bei aktivieren nochmal extra Nachfragen mit Warnung, oder ähnliches...

-rkf [ external image ]

[Vassenego]

... ich denke mal das meinte 'rkf' damit oder ?

Korrekt.

Das Problem bei Outlook-Express und Co. ist ja, dass es auch viel von PC-Neuligen benutzt wird, die sich nicht sonderlich mit Sicherheitseinstellungen auskennen bzw. gar sich nicht so sehr darüber Gedanken machen. Abhilfe wäre es da wohl noch am ehesten wenn MS in ihren Programmen auf die Sicherheitsrisiken hinweisen würde die bestimmte Einstellungen mit sich bringen, und diese eventuell standardmäßig deaktivieren, und bei aktivieren nochmal extra Nachfragen mit Warnung, oder ähnliches...

-rkf [ external image ]

Wie, Du willst das Windows vor jeder sicherheitsrelavanten Einstellung warnt?

Dann wird man mit der Installation ja nie fertig.


Alles wird gemein
Vassenego

[Marco H.]

Hallo

Schon wieder so eine Warn-Mail
Langsam beschäftigt mich das aber, hier mal der Text:

InterScan NT Alert

Sender, InterScan has detected virus(es) in your e-mail attachment.

Date: Sun, 01 Feb 2004 17:27:00 +0100
Method:Mail
From: <marco_haase@gmx.de>
To: matt@stihl.de
File: document.zip
Action:clean failed - deleted
Virus: WORM_MYDOOM.A

Schon komisch, dass ich um diese Uhrzeit keine Mail verschickt habe, der Rechner ist heute gerade das erste mal an. Die eMail-Adresse kenne ich auch nicht...
btw: ich benutze m2, den eMail-Client von Opera

Edit: ich habe nochmal Stinger drüberlaufen lassen und der hat nichts gefunden... seltsam

[PIC]

Jeder Gedanke, den du dir darüber machst, ist einer zuviel. Ich bekomme solche Mails auch und viele Bekannte ebenfalls.
Wenn der Wurm die Absenderadressen fälscht, werden die Mails eben unter Deinem Namen verschickt.

Die meisten dieser Würmer (und MyDoom ist keine Ausnahme) suchen sich auf den infizierten Rechnern Mailadressen zusammen und setzen die dann in den Absender. Theoretisch könnten die Mails also von jedem stammen, mit dem Du jemals in Mailkontakt warst.
Solltest du auch noch eine Homepage haben, auf der die Adresse angegeben ist, ist die Adresse eben noch bekannter, du wirst also noch mehr von diesen Mails erhalten.

Also keine Panik.

[Kunter]

Mal eine Frage nebenbei:
Wirkt er denn?
Wie ergeht es denn SCO-Hampis denn im Moment?
Ist ja heut schon der 2.

[Stormsong]

Mal eine Frage nebenbei:
Wirkt er denn?
Wie ergeht es denn SCO-Hampis denn im Moment?
Ist ja heut schon der 2.

Heute hab' ich noch nichts neues dazu gelesen, aber es gibt einen ausführlichen Artikel bei Heise.de(von gestern):

http://www.heise.de/newsticker/meldung/44226

edit: noch mehr zum Thema -> http://www.pcwelt.de/news/viren_bugs/37324/