Mit einer Mischung aus Kriminalbeamten und Entertainern sorgt eine neue Sobervariante für erhöhten E-Mail-Traffic. Sober-Z alias W32.Sober.X@mm ist erstmals am heutigen Morgen gesichtet worden und hat sich bis zum Mittag weiter verbreitet. Er lockt mit deutschsprachigen Texten und nutzt Angst und Gier der Empfänger für seine Verbreitung: Wahlweise wird im E-Mail-Text eine Warnung des BKA wegen illegalen Filesharings oder eine Einladung zu Günter Jauchs Millionenschau vorgegaukelt.
Laut den Experten von Microworld hat die Betreffzeile einen der folgenden Inhalte:
Ihr Passwort
Account Information
SMTP Mail gescheitert
Mailzustellung wurde unterbrochen
Ermittlungsverfahren wurde eingeleitet
Sie besitzen Raubkopien
RTL: Wer wird Millionaer
Sehr geehrter Ebay-Kunde
Der E-Mail-Text taucht in folgenden Varianten auf:
Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99
Bei uns wurde ein neues Benutzerkonto mit dem Namen „Schnappi“ beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank,
Ihr Ebay-Team
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 114.138.230.67 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#2876 (siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
— Bundeskriminalamt BKA
— Referat LS 2
— 65173 Wiesbaden
— Tel.: +49 (0)611 – 55 – 12331 oder
— Tel.: +49 (0)611 – 55 – 0
Wie immer ist die Absender-Adresse gefälscht. Empfänger der Mails sind E-Mail-Adressen, die auf infizierten PCs gefunden wurden. Die im Anhang verpackte „.exe“-Datei fügt wie schon frühere Sober-Varianten Einträge in der Registry hinzu und versucht Kontakt zu diversen Servern aufzunehmen. Außerdem wird die eigene Festplatte nach fremden E-Mail-Adressen durchforstet. Führende Antiviren-Spezialisten haben inzwischen Updates gegen Sober-Z bereit gestellt.
Neueste Kommentare
16 Kommentare zu Sober-Z macht sich mit Jauch und BKA breit
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
na toll
na toll ! und darum bringe ich unserem spamfilter auf täglich neue wörter bei um diese schwachsinnigen benachrichtigungen "ihre mail war virenverseucht…" in die tonne zu klopfen.
diese müll-benachrichtigungen irritieren und belästigen nur jeden user. mal davon abgesehen dass das durch viren verursachte mailaufkommen glatt verdoppelt wird.
ne ne ne – solltest du nochmal überdenken, denn konsequent wäre es irgendwann mal diese hunderte von benachrichtigungen per script beantworten zu lassen mit dem text "will ich nicht !!!"
AW: na toll
Du hast das nicht verstanden, nicht wahr?
Wie bitte sehr soll ich eine mail bouncen oder beantworten (script ist nicht das problem), deren Absender entweder gefälscht oder ein technischer ’no-respond‘-account ist?
und mails an ‚postmaster@‘-mir-bekannte-wahre-quelldomain- mit dem Vermerk ‚mailbox existiert nicht‘ zurückkommt?
nur am Rande: postmaster _muss_ für jede MX-domain existieren (RFC muss-ich-raussuchen), genau um solche Probleme lösen zu können…
Das System hat endlich die Deppen, die es immer haben wollte
Ich bin doch nicht blöd,
Grüsse, W.Schwencke, Ingaut.de
Virenbenachrichtigung
…und ich habe ca. 530 (fünfhundertdreizig) bounces erhalten.
Welche Vollidioten lassen ihre mailserver immer noch jede Virenmail als Benachrichtigung an den fake-Absender retournieren ?
PS: unsere Server und Clients sind alle sauber…, echte Virenmails trafen nur vereinzelt ein und wurden vom av-gate abgefangen.
AW: Virenbenachrichtigung
na ja, dann bounce halt die bounces. ;)
AW: Virenbenachrichtigung
Ich habe meinen Servern eine solche Antwort bei Vireninfektion beigebracht, insbesondere für Firmen ist es interessant, dass ihre E-Mail Adressen gefälscht werden. (Haftung und Kundenservice)
Diese können dann reagieren, sei es über eine Warnung auf der Homepage (siehe BKA) oder mit einer Anzeige gegen den ursprünglichen Absender oder Virenprogrammierer.
Mit wären 1000 Bounces lieber als eine fehlende Information, dass eine der verwendeten E-Mail Adressen missbraucht wird.
Ab einer bestimmten Anzahl innerhalb einer defnierten Zeit werden eingehende Emails mit ähnlichem Inhalt sowieso ignoriert, also keine weiteren Autoreplys erzeugt.
Wie man mit dem Problem umgeht bleibt natürlich jedem selbst überlassen.
AW: AW: Virenbenachrichtigung
bounces als rechtliche Absicherung ist mir neu. Halte ich auch nicht für wirksam (im juristischen Sinne). Als backinfo, dass gültige mailadressen meines Systems missbraucht werden, ist dies auch wenig interessant, da unsere mailadressen öffenlich bekannt sind, und damit jederzeit von jedermann missbraucht werden können (kommt glücklicherweise sehr selten vor).
Die ‚From:‘-Info hat rechtlich keinerlei Bedeutung, sie ist wie die Absenderangabe auf einer Postkarte: eine Behauptung des Schreibenden ohne jegliche Beweiskraft.
die mittlerweile mehr als 1500 Schrottmails (in drei Tagen) gehen fast ausschliesslich an ‚dummy‘-Adressen. Eigenartiger Weise sind der ‚Namensteil‘ (vor dem <at>) echt (alles reale von Personen aus unserem Geschäftsfeld), nur es wird unsere domain angehängt. Es wird also als Absender ein existierender Name frei mit einer existierenden domain verkettet. Das könnte auch vollständig sein, also alle Namen mit allen domains, dann gibst n * d falsche Adressen.
Das ganze passiert in Schüben, die alle von jeweils einer dsl-dialin-Adresse kommen. Der bei einer stehende BinTEC-Router läßt sich mit vermutlich wenig Mühe knacken, wem der gehört ist mir bekannt, konnte den Betreffenden nur noch nicht erreichen.
Lustig ist nur, dass weniger als zehn mails den Virus enthalten (es sind nicht nur bounces), viele aber einen Vermerk, eine Fa. Fortinet hätte den Anhang entfernt. Bei weiteren mails ist der Anhang dran, aber leer… (ich habe eine schöne Virensammlung, gut weggesperrt in einem stabilen Käfig, weiß also was ich tue)
Wen soll ich denn jetzt angehen?
Es ist nur selten möglich, den Nutzer hinter einer dialin-Adresse ohne Gerichtsbeschluss festzustellen. Und ein solcher dauert viel zu lange, bis dahin ist unsere Bandbreite vollständig mit Müll gesättigt.
AW: AW: Virenbenachrichtigung
würd ich gerne, siehe aber AW:na toll weiter unten…
Ich habe nichts gesehen
Bei mir ist nichts dergleichen angekommen. Höchstwahrscheinlich hat mein Spam- und Virenkiller alles automatisch beseitigt.
Anmerkung der Redaktion: Die Werbung in diesem Feedback wurde entfernt
AW: Ich habe nichts gesehen
Na? Endlich mal wieder eine Meldung gefunden, unter die deine Werbung passt? :-)
Konsequenzen
Wieso kann man den Leuten, welche sowas verbreiten nicht auf die Schliche, sprich E-mail-Adresse kommen und sie irgendwie bestrafen.
Ich habe 18!!! solcher E-mails schon gestern zwischen 21 und 21 Uhr 30 erhalten und keinen Anhang geöffnet.
AW: Konsequenzen
genau das frage ich mich auch.In unserem hightech Zeitalter müsste es doch möglich sein, den Virenschreiber ausfindig zu machen..oder nicht? wir fliegen zum Mond und können einen Virenschreiber nicht stoppen?
AW: AW: Konsequenzen
Da fragt man sich doch, wollen diejenigen, die es technisch könnten überhaupt?
Wer würde denn dann noch teure Virensoftware und dergleichen brauchen.
Mit der Verunsicherung der Leute ließ sich schon immer gut Kasse machen!
AW: AW: Konsequenzen
<snip> wir fliegen zum Mond und können einen Virenschreiber nicht stoppen?
</snip>
Genau das hat mein Vater schon vor 30 Jahren gesagt: Wir fliegen zum Mond, aber keiner weiß, wessen Hund den Gehweg vollgeschissen hat
Vater ist tot. Keiner fliegt mehr zum Mond. Stattdessen träumt Adolf W. Bush davon, zum Mars zu fliegen. Und währenddessen fliegen uns die Spam-Mails um die Ohren. Welch eine Welt.
AW: AW: Konsequenzen
Pardong, aber wir fliegen schon lange nicht mehr zum Mond und angekommen sind dort oben auch nich alle !
AW: AW: Konsequenzen
weder Du noch ich fliegen zum Mond…
Wolf