Wurm meldet sich mit Kripo Düsseldorf

U

UDU

Mitglied
Registriert
25. Juni 2000
Beiträge
7.300
Dieser "Wurmzüchter" muß ein richtiger Scherzkeks sein. Er verschickt seine "Tierchen mit "Kripo Düsseldorf", um diese zum Einsatz zu bringen.
B leibt abzuwarten, wie die Kripo NRW auf diese "Ehre" reagieren wird.


http://www.heise.de/newsticker/data/dab-20.12.03-000/

Deutschsprachige Wurm-Variante Sober.c verbreitet sich schnell [Update]

Eine dritte Sober-Variante verbreitet sich derzeit schnell im Internet. Wie seine Vorgänger Sober und Sober.b verschickt sich der Wurm Sober.c von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Wesentliche technische Neuerungen bringt er nicht mit, dafür sind die Nachrichtentexte umso geschickter formuliert. Beispielsweise gibt eine Nachricht vor, von der Kripo Düsseldorf zu sein. Darin wird behauptet, dass gegen den Empfänger der Mail ein Ermittlungsverfahren eingeleitet werde, da er illegal Filme und MP3-Dateien aus dem Internet herunterlade. Als Attachment ist eine Datei mit dem angeblichen Akteninhalt beigefügt, die natürlich den Wurm enthält. Andere Varianten warnen vor einem neuen Dialer und einem Trojaner, der sich dem Rechner des Empfängers befände.


Öffnet man die Dateianhänge *.bat, *.pif und *.exe infiziert der Wurm den Rechner. Diesmal kopiert er sich sogar dreimal auf das System, zwei der Dateinamen erzeugt Sober.c pseudo-zufällig. Auf befallenen System startet sich der Wurm in zwei Instanzen, die sich gegenseitig versuchen zu schützen, in dem sie unter anderem den Datei-Zugriff blockieren. ......
 
Ich hab auch sehr komische Mails von Royalbunker bekommen in denen ich angeschuldigt wurde sie zu belästigen und das sie alles der Polizei gemeldet hätten. Dann noch eine das ich ausspioniert werde von dem programm services.exe und dann alle daten sonst wohin geschickt worden sind. Zum Schluss kamen dann noch 2 Mails die an eine Frau und einen Mann addressiert waren und in denen etwas von Bankverbindungen und fehlgeschlagenen bezahlungen über den onlineweg stand.
Alle Mails hatten nen Anhang welchen ich genialer weise nich geöffnet habe ;)

Whatever, es scheint das bei Royalbunker jemand nicht ganz so genial war.
 
muahaha...ich bekam gestern auch vollgende mail : Absender war

BKA_DUESSELDORF@WEB.DE Betreff : ICH ZEIGE SIE AN!

Wenn Sie meinen mir DROHEN zu können, haben sie sich in den Finger geschnitten!!!
Erstens mal, weiß ich gar nicht wer Sie sind.
Zweitens, kenne ich Ihre Frau oder Freundin nicht.
Und Drittens, Ich habe kein Tächtel-Mächtel mit Ihrem Partner!!!

Ihre Drohgebärden können sie woanders loswerden,
aber nicht bei mir!

Ihre Droh Mails habe ich gerade an die Behörden weitergeleitet.
Sie hören noch von mir!


--> im anhang ne schoene datei..muahahhaa..wie laecherlich....den scheiss gleich gekillt...
 
Original geschrieben von michar
...alle die den anhang geöffnet haben..HAHAHAHHA...ihr trottel...:)
Zum Vergrößern anklicken....


Original geschrieben von ZantevkDMF69

1.mail:"Sie drohen mir"

Wenn Sie meinen mir DROHEN zu können, haben sie sich in den Finger geschnitten!!!
Erstens mal, weiß ich gar nicht wer Sie sind.
Zweitens, kenne ich Ihre Frau oder Freundin nicht.
Und Drittens, Ich habe kein Tächtel-Mächtel mit Ihrem Partner!!!

Ihre Drohgebärden können sie woanders loswerden,
aber nicht bei mir!

Ihre Droh Mails habe ich gerade an die Behörden weitergeleitet.
Sie hören noch von mir!

2.Mail: "Du wirst ausspioniert"

Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner services.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
meld dich einfach.

3. Mail: "Bankverbindungsdaten"

Sehr geehrte Frau Bieders,
Wir möchten uns noch einmal für unsere falsche
E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies
einige Fehler beim versenden auf.
Ihre Pass- und Geheimwörter wurden selbstverständlich kostenlos geändert.

Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.
In falschen Händen , hätte jede andere Person freie Einsicht
bzw. Verfügung über Ihr Konto!

Mit freundlichen Grüssen:
i.a: Regina Rüthers

4.Mail: "Bankverbindung"

Sehr geehrter Herr Salmanz,
Wir möchten uns noch einmal für unsere falsche
E-Mail Weiterleitung bei Ihnen Entschuldigen. Unser Mail System wies
einige Fehler beim versenden auf.
Ihre Pass- und Geheimwörter wurden selbstverständlich kostenlos geändert.

Nach Einsicht und Sicherung Ihrer Daten, vernichten Sie bitte diese E-Mail.
In falschen Händen , hätte jede andere Person freie Einsicht
bzw. Verfügung über Ihr Konto!

Mit freundlichen Grüssen:
i.a: Regina Rüthers
Zum Vergrößern anklicken....
 
ja ich lach jetzt einfach nochmal die leute hier aus, die den anhang geöffnet haben.
 
Betreff: AW: Websitemail
Von: "Nicole RB" <nicole@royalbunker.de>

Datum: 22.12.03 13:33:19





hallo,

es handelt sich dabei um einen neuartigen Wurm Win32.Sober, der sich
selbständig über unsere Newsletter-Adresse verschickt hat. Bitte öffnet auf
keinen Fall den Anhang dieser Mails! Es sollte sich von dem Inhalt auch
keiner angesprochen fühlen.
Einfach alle Mails mit den Betreffzeilen:
Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
Anmeldebest
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's

SOFORT löschen!!!

Wir sind gerade dabei, das Ganze zu beheben.

gruß
Nicole
---
 
Ich hab das schon gestern in der Hip Hop Diskussion gepostet, es handelt sich um den gleichen Wurm der gestern auch mit dem Royalbunker Newsletter verschickt wurde(Wurm.Sober.C).
Also auf keinen Fall die Mails öffnen, noch irgendwelche angeblichen Patches aktivieren die die Mails enthalten.

Leider wurde mein Thread gestern so ziemlich ohne Gründe von einem Mod Namens $onido geschlossen, deshalb nochmal hier an dieser Stelle ein dickes F U C K You an die betreffende Person !!!
 
Bundesamt für Sicherheit in der Informationstechnik:

Computer-Viren: Beschreibungen zu Computer-Viren

Informationen zu Programmen mit Schadensfunktionen
Erläuterungen der Standardeinträge
Name: W32.Sober.C@mm
Alias: WORM_SOBER.C [Trend],
W32/Sober.c@MM [McAfee]
Art: Wurm
Größe des Anhangs: variabel
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: hoch
Risiko: hoch
Schadensfunktion: Massenmailing
Spezielle Entfernung: Tool
bekannt seit: 20. Dezember 2003

Beschreibung:

W32.Sober.C@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet.
Die Absender-Adresse wird dabei gefälscht!

Der Betreff ist in Englisch oder in Deutsch. Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen
.bat, .com, .cmd, .exe, .pif oder .scr.

Wird der Wurm aktiviert geschieht folgendes:

1. Der Wurm kopiert sich selbst unter "<zufälligername>" in das Windows-Systemverzeichnis.

2. Danach durchsucht er das System nach E-Mail-Adressen in Dateien mit folgenden Dateierweiterungen:
.htt
.rtf
.doc
.xls
.ini
.mdb
.txt
.htm
.html
.wab
.pst
.fdb
.cfg
.ldb
.eml
.abc
.ldif
.nab
.adp
.mdw
.mda
.mde
.ade
.sln
.dsw
.dsp
.vap
.php
.nsf
.asp
.shtml
.shtm
.dbx
.hlp
.mht
.nfo

und speichert diese im Windows-Systemverzeichnis unter dem Namen savesyss.dll.
Die gefundenen E-Mail-Adressen werden dann für die Weiterverbreitung verwendet.

3. Ein neuer Wert "<zufälliger Text>"="<zufälliger Pfad und Dateiname>" wird den beiden folgenden Registrierungsschlüsseln zugewiesen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Durch den Eintrag in die Registry wird der Wurm beim jedem Start des Systems aktiviert.

4. Bei der ersten Aktivierung des Wurms erscheint folgende Meldung:

5. Die E-Mail hat eine der folgenden Betreffs und eine der folgenden Anhänge:

Betreff:

Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Deutschland sucht den ...
RTL: DSDS
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...

Anhang:

www.free4manga.com
www.free4share4you.com
www.tagespolitik-umfragen.com
www.iq4you-german-test.com
www.freewantiv.com
www.free4share4you.com
www.onlinegamerspro-worm.com
www.freegames4you-gzone.com
www.anime4allfree.com
www.animepage43252.com

aktenz#####.txt.*
alledigis.*
DrohMails.*
haha_sehr_witzig.*
Klassenfoto.*
Kundendat####BaB.*
remove-lsass.*
remove-smss.*
SysDial-patch.*
Zugangsdaten.*
downloader.*
yourmail.*

Wobei:

# beliebige Ziffer
* Dateierweiterung txt., doc, bat, cmd, pif, scr, exe, com



Hinweise zur Entfernung des Wurms

Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie vor der Entfernung die Systemwiederherstellung deaktivieren.

Den Wurm auf einem infizierten Rechner lokalisieren und entfernen können Sie über ein kostenloses Entfernungstool von

NAI : Laden Sie von den NAI-Seiten die Datei stinger.exe (Direkt-Download oder Download mit Informationen ) oder
von Bitdefender: (Download mit Informationen)

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 22.12.2003)

© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved.© Copyright by Bundesamt für Sicherheit in der Informationstechnik. All Rights Reserved.
 
Solltet Ihr noch andere Betreff- Zeilen haben, mailt des dem Bundesamt.
Udu
 
Original geschrieben von UDU
Dieser "Wurmzüchter" muß ein richtiger Scherzkeks sein. Er verschickt seine "Tierchen mit "Kripo Düsseldorf", um diese zum Einsatz zu bringen.
B leibt abzuwarten, wie die Kripo NRW auf diese "Ehre" reagieren wird.


http://www.heise.de/newsticker/data/dab-20.12.03-000/

Deutschsprachige Wurm-Variante Sober.c verbreitet sich schnell [Update]

Eine dritte Sober-Variante verbreitet sich derzeit schnell im Internet. Wie seine Vorgänger Sober und Sober.b verschickt sich der Wurm Sober.c von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Wesentliche technische Neuerungen bringt er nicht mit, dafür sind die Nachrichtentexte umso geschickter formuliert. Beispielsweise gibt eine Nachricht vor, von der Kripo Düsseldorf zu sein. Darin wird behauptet, dass gegen den Empfänger der Mail ein Ermittlungsverfahren eingeleitet werde, da er illegal Filme und MP3-Dateien aus dem Internet herunterlade. Als Attachment ist eine Datei mit dem angeblichen Akteninhalt beigefügt, die natürlich den Wurm enthält. Andere Varianten warnen vor einem neuen Dialer und einem Trojaner, der sich dem Rechner des Empfängers befände.


Öffnet man die Dateianhänge *.bat, *.pif und *.exe infiziert der Wurm den Rechner. Diesmal kopiert er sich sogar dreimal auf das System, zwei der Dateinamen erzeugt Sober.c pseudo-zufällig. Auf befallenen System startet sich der Wurm in zwei Instanzen, die sich gegenseitig versuchen zu schützen, in dem sie unter anderem den Datei-Zugriff blockieren. ......
Zum Vergrößern anklicken....

Genau die gleiche habe ich auch bekomen....wurde aber von selbst entfernt...asis die...*****n lter echt...naja:mad:

Head
 
Mit Bitdefender oder Norton sind die schnell weg. Es ist nur extrem blöd, wenn man gerade mit einer Personn über bestimmte Themen mailt und plötzlich eine Mail dazwischen ist, mit "ich kriege das nicht hin, guck mal" oder ähnlich und man guckt dann und hat den Salat.
Udu
 
Scheiss Wurm!

Ich hab auch 2 Mails bekommen von so nen Spassten der den Wurm erfunden hat! Aber beide male hat mein Norton gefunkt, also alles im grünen Bereich!

Die eine lautete "Ich hasse dich" :D ich musste sofort lachen!
und die andere war diese mit Kripo Düsseldorf!

Echt bescheuert diese Penner!
 
Norton und Bitdefender finden nicht alle!!!
Wenn Du Dir die Liste anschaust und die, die reinkommen, wirst Du es auch merken.
 
sowas wie "Du wirst ausspioniert" hatte ich auch, ich glaube hotmail blockiert aber sowas von allein.
mein kollege hat mir mal n programm zugeschickt, das hotmail gleich gesperrt hat:rolleyes:
also hab ich mich mal bei gmx angemeldet weil das allgemein besser sein soll
 
oh man, immer nur haten, gebt dem programmierer doch mal respect für seine arbeit ...
 
Original geschrieben von Da Sprühflasche
sowas wie "Du wirst ausspioniert" hatte ich auch, ich glaube hotmail blockiert aber sowas von allein.
mein kollege hat mir mal n programm zugeschickt, das hotmail gleich gesperrt hat:rolleyes:
also hab ich mich mal bei gmx angemeldet weil das allgemein besser sein soll
Zum Vergrößern anklicken....
Gehe mal auf www.heise.de und schau Dir mal alle Anhänge an, die schon als Viren usw geoutet wurden.
Udu
 
Original geschrieben von Ohaa
oh man, immer nur haten, gebt dem programmierer doch mal respect für seine arbeit ...
Zum Vergrößern anklicken....

aber echt...wenns sowas nicht geben würde würde es auch mehr arbeitlose geben weil weniger leute für computersicherheit notwendig wären.....und ohne soetwas wären pccs doch total langweilig weils dann immer der selbe scheiß wär.....naja egal....ich frag mich nur warum alle soviele von den mails bekommen i.....ich allerdings hab bisher keine einzige bekommen....was macht der wurm eigentlich??? was fürn scheiß stellt der an?
 
achja und nur so nebenbei....ich hätte mir bestimmt was besseres einfallen lassen wie " du hassst einen trojaner" oder so....ebay mails nachzubilden und als inhalt ne neue fette aktion anzugeben wär was verlonkendes....nur so als beispiel
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten