LISTSERV - URZINFO Archives - LISTSERV.UNI-HEIDELBERG.DE

URZINFO Archives

Info-Mail vom URZ

URZINFO@URZ.UNI-HEIDELBERG.DE

	LISTSERV Archives
	URZINFO Home

	Log In
	Register

	Subscribe or Unsubscribe

	Search Archives

Options:	Use Monospaced Font Show Text Part by Default Show All Mail Headers
Topic:	[<< First] [< Prev] [Next >] [Last >>]

Neuer Virus - SOBIG.F

Joachim Lammarsch <[log in to unmask]>

Wed, 20 Aug 2003 11:19:39 +0200

text/plain (75 lines)

Hallo,

seit gestern ist ein neuer Virus unterwegs. Siehe auch:

  http://www.bsi.de/av/vb/sobigf.htm
  http://www.sophos.de/virusinfo/analyses/w32sobigf.html
  [log in to unmask]" target="_blank">http:[log in to unmask]
  http://www.heise.de/newsticker/data/pab-26.06.03-000/

Dieser Virus kombiniert, wie auch frühere SOBIG-Versionen Virentechnik
mit Spammethoden. Die Absende-Adressen sind gefälscht. Allerdings
werden existierende Adressen als Absender verwendet.


Das Subject wechselt. Bekannt sind z.Z.:

Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Thank you!
Your details

Der Virus ist im Gegensatz zu LOVSAN ein E-Mail-Virus, der auf die
Dummheit der Windows-Benutzer spekuliert, ohne Nachdenken
E-Mail-Attachments zu öffnen. Danach installiert er sein eigenes
Mail-System und verbreitet sich weiter (und das mit viel Erfolg).

Die neuen Versionen der Anti-Virus-Software können diesen Virus
abweisen. Daher sollte der Viren-Scanner (den Sie natürlich immer
einsetzen) täglich aktualisiert werden.

Sollten Sie Hinweise bekommen, dass Sie diesen Virus verteilen, dann
gilt:

-- Sie haben einen Rechner unter Windows:
    Prüfen Sie Ihren Rechner, ob er mit dem Virus befallen ist. Wenn
    ja, dann finden unter den oben aufgeführten URLs Hinweise, wie der
    Virus zu entfernen ist. Wenn nein, dann wird Ihre Adresse vom
    Virus verwendet, um den wirklichen Absender zu fälschen.

-- Sie verwenden das Betriebssystem Linux oder arbeiten an einem
    Macintosh:
    Sie brauchen sich keinen Stress zu machen, denn Ihr Rechner kann
    nicht befallen sein. Leider wird Ihre Adresse vom Virus
    verwendet, um den wirklichen Absender zu fälschen.

Kann das URZ diese Mails nicht unterbinden?

Leider nein.

Die Wahrscheinlichkeit, dass Sie Mail bekommen, die den Virus enthält,
ist dank des Virenfilters im Mail-Gateway gering. Was nicht
kontrolliert werden kann sind die anderen Zugänge, die zusätzlich
bestehen (Mail über WWW-Interfaces aus aller Welt, u.a.).

Was Sie aber bekommen, sind Warn-Hinweise von sogenannten
Viren-Filtern, die nicht in der Lage sind, zu erkennen, dass die
Absender gefälscht sind. Diese schicken ihre Meldung ungeprüft
an die Adresse, die im 'From' abgegeben ist (obwohl aus den vorhanden
Daten zu ermitteln wäre, dass 'from' gefälscht ist). Auch eine Art
'Spam' zu erzeugen und viele Benutzer zu verwirren.

Die einzige Empfehlung, die man hier geben kann, ist LÖSCHEN.

Mit freundlichen Grüßen / Kind Regards
Joachim Lammarsch

Universitätsrechenzentrum Heidelberg
INF 293, D-69120 Heidelberg
Tel: +49/6221/54-4540  Fax: -5581

ATOM RSS1 RSS2

LISTSERV.UNI-HEIDELBERG.DE
Universität Heidelberg \| Impressum \| Datenschutzerklärung