Zurzeit ist der Wurm I-Worm.Mydoom unterwegs !!
alias WORM_MIMAIL.R, W32.Novarg.A@mm
Der I-Worm.Mydoom kommt per Attachment einer eMail auf Ihren PC mit einer der folgenden Dateiendungen: .bat, .cmd, .exe, .pif oder .zip.
Wird der I-Worm.Mydoom durch Doppelklick aktiviert kopiert er sich
1. In das Windows/system-Verzeichnis mit dem Namen "shimgapi.dll"
2. Mit dem Dateinamen "Message" in das Tmp-Verzeichnis und zeigt den Dateiinhalt mit Notepad an.
3. Als Datei "taskmon.exe" in das Windows/System(32)-Verzeichnis. Sollte die Datei "taskom.exe" bereits vorhanden sein so ersetzt der diese.
Die Datei "shimgabi.dll" ist ein Proxyserver und öffnet einige TCP-Ports (3127 - 3198) wodurch ein Dritter zugriff auf den Rechner erhält. Die integrierte Backdoorfunktion ermöglicht auch den Download und die Installation von weiteren Dateien.
Der Proxyserver (shimgabi.dll) wird durch den Explorer (explorer.exe) gestartet mit dem Registrykey:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll
Weiters wird der Eintrag "TaskMon = %System%\taskmon.exe" an folgende Registryeinträge angefügt:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
I-Worm.Mydoom startet ab dem 1. Febraur 2004 eine DoS-Atacke auf die Domain www.sco.com indem er 64 gleizeitige Anfragen an den Port 80 sendet.
Weiters werden folgende Registryeinträge angelegt:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
und
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
Da sich I-Worm.Mydoom hauptsächlich per eMail (Eigene SMTP-Engine) verbreitet, wird der infizierte Rechner nach eMailadressen in den Dateien .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an welche er sich versendet. Sollten Adressen mit der Top-Level-Domain .edu gefunden werden so versendet sich der Wurm nicht an diese.
Weiters versendet sich der I-Worm.Mydoom nicht an die Domains die Teile beinhalten wie:
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
Oder an Empfängeradressen wie:
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
Und auch an Adressen mit folgenden Teilen versendet sich der Wurm nicht:
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
Die eMail hat folgendes Aussehen:
Von:
Variabler Betreff:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Variabler Text:
Mail transaction failed. Partial message is available.
oder
The message contains Unicode characters and has been sent as a
binary attachment.
oder
The message cannot be represented in 7-bit ASCII encoding and has
been sent as a binary attachment.
Variables Attachment:
document
readme
doc
text
file
data
test
message
body
Variable Datei-Endung
pif
scr
exe
cmd
bat
zip
Dateigröße: 22.528 Bytes
Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der folgenden Namen:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Und der Dateiendung
pif
scr
bat
exe
Ab dem 12. Februar ist mit keiner weiteren Verbreitung zu rechnen da der Wurm an diesem Tag seine weiterverbreitung per eMail stoppt. Per KaZaA ist aber auch nach diesem Tag mit einer Verbreitung zu rechnen wenn der infizierte User nicht sein Upload-Verzeichnis kontrolliert.
Manuelle Entfernung:
Da I-Worm.Mydoom keine Dateien infiziert oder verändert ist die Entfernung einfach.
1. Löschen des Registryeinträge unter
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"
2. Löschen der Registryeinträge
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
3. Task der Datei "shimgapi.dll" beenden und die Datei löschen
4. Löschen der Datei "taskmon.exe"
Vollansicht: I-Worm.Mydoom
habn leider glöscht, echt schad um das teil *fg*
Ich glaub ich werd mir jetzt auch eine Sammlung zulegen...
Den Blaster hätte man zum perfekten Computerkiller umbauen können...
Den Blaster hätte man zum perfekten Computerkiller umbauen können...
find ich toll von dir das du die user auf den worm hinweist
greetz
greetz
....ich kann damit nix anfangen...bin ja kein fachmann...
Neue Version von Mydoom attackiert Microsoft
E-Mail-Wurm bricht alle Rekorde
Helsinki (pte, 29. Januar 2004 11:35) - Der finnische Anti-Viren-Spezialist F-Secure http://www.f-secure.co warnt vor dem schlimmsten Wurmangriff in der Geschichte. Laut F-Secure hat Mydoom in seiner Verbreitungsperformance bereits den Rekord des legendären Sobig.F eingestellt. Ein Drittel aller in Europa verschickten E-Mails soll mit Mydoom infiziert sein. Die neu entdeckte Migration Mydoom.B startet nicht nur, wie sein Vorgänger, eine Denial-of-Service Attacke (DoS) gegen www.SCO.com sondern attackiert auch die Website von Microsoft.
Die explosionsartige Ausbreitung der Malware führt F-Secure auf eine exakte Angriffsstrategie zurück. Die Verbreitung begann präzise während der Hauptgeschäftszeit in den USA, so konnte der Wurm sofort einige große Firmennetzwerke infizieren. Weiters überlistet Mydoom durch raffiniertes Social Engineering die meisten User.
Der Wurm tarnt sich als Fehlermeldung des Systems und animiert so zum Ausführen des Attachements. Der infizierte Anhang versteckt sich in einem ZIP-Archiv, das vertrauenswürdiger wirkt als andere Dateien. Weiters scannt er nicht nur nach E-Mail-Adressen auf dem Wirt-Rechner sondern ist auch in der Lage neue Adressen zu generieren.
Durch eine besonders ausgeklügelte Self-Security-Engine kann Mydoom.B den Zugriff infizierter Rechner auf Webseiten von Anti-Viren-Herstellern unterbinden. Der User ist dann nicht mehr in der Lage, die Seiten von Trend Micro, Symantec, McAfee, F-Secure, Sophos und Kaspersky aufzurufen um Removal-Tools zu laden.
http://www.heise.de/newsticker/meldung/44092
http://www.heise.de/newsticker/meldung/44114
Also Leute --> am besten erst gar keine fragwürdigen Attachments öffnen zur Zeit --> Virenscanner bieten nicht 100% Sicherheit!!!
E-Mail-Wurm bricht alle Rekorde
Helsinki (pte, 29. Januar 2004 11:35) - Der finnische Anti-Viren-Spezialist F-Secure http://www.f-secure.co warnt vor dem schlimmsten Wurmangriff in der Geschichte. Laut F-Secure hat Mydoom in seiner Verbreitungsperformance bereits den Rekord des legendären Sobig.F eingestellt. Ein Drittel aller in Europa verschickten E-Mails soll mit Mydoom infiziert sein. Die neu entdeckte Migration Mydoom.B startet nicht nur, wie sein Vorgänger, eine Denial-of-Service Attacke (DoS) gegen www.SCO.com sondern attackiert auch die Website von Microsoft.
Die explosionsartige Ausbreitung der Malware führt F-Secure auf eine exakte Angriffsstrategie zurück. Die Verbreitung begann präzise während der Hauptgeschäftszeit in den USA, so konnte der Wurm sofort einige große Firmennetzwerke infizieren. Weiters überlistet Mydoom durch raffiniertes Social Engineering die meisten User.
Der Wurm tarnt sich als Fehlermeldung des Systems und animiert so zum Ausführen des Attachements. Der infizierte Anhang versteckt sich in einem ZIP-Archiv, das vertrauenswürdiger wirkt als andere Dateien. Weiters scannt er nicht nur nach E-Mail-Adressen auf dem Wirt-Rechner sondern ist auch in der Lage neue Adressen zu generieren.
Durch eine besonders ausgeklügelte Self-Security-Engine kann Mydoom.B den Zugriff infizierter Rechner auf Webseiten von Anti-Viren-Herstellern unterbinden. Der User ist dann nicht mehr in der Lage, die Seiten von Trend Micro, Symantec, McAfee, F-Secure, Sophos und Kaspersky aufzurufen um Removal-Tools zu laden.
http://www.heise.de/newsticker/meldung/44092
http://www.heise.de/newsticker/meldung/44114
Also Leute --> am besten erst gar keine fragwürdigen Attachments öffnen zur Zeit --> Virenscanner bieten nicht 100% Sicherheit!!!
Es war grad in ganz Österreich Mailstillstand. Laut Telekom verursacht durch den mydoom...
auf den Telekom Servern vielleicht 
Die sind ja bekanntlich nicht die hellsten bei dem Verein. Aber Hauptsache sie bieten jetzt einen "zuverlässigen neuen Virenschutz" an... 
Das einfachste um dieser ganzen Virenproblematik Herr zu werden wäre sowieso wenn jeder Provider schon Serverseitig einen Virenscanner installiert und nicht darauf vertraut das sich der User selbst schützt.
z.B.: http://www.mymailwall.at/
z.B.: http://www.mymailwall.at/
Schaut gut aus. Bei jedem Anbieter, bei dem Du webspace kaufst gibts das schon im Angebot inkludiert, aber die Telekom scheint da noch etwas rückständig zu sein...
Ist ja komisch, überall wird von dem Wurm berichtet und jede 3. Mail soll befallen sein aber zu mir kommt er wohl nicht.
Dabei erhalte ich auch 30-40 Spam-Mails täglich, der Wurm scheint mich nicht zu mögen. *g*
Habe aber eh NIS 2004 drauf und er würde den abfangen.
Dabei erhalte ich auch 30-40 Spam-Mails täglich, der Wurm scheint mich nicht zu mögen. *g*
Habe aber eh NIS 2004 drauf und er würde den abfangen.
mmm - gestern erst knappe 200 virenwarnungen gelöscht ...
grmml
scheint ein ganz ein netter zu sein
grmml
scheint ein ganz ein netter zu sein
Also ich habe bis jetzt auch noch kein Exemplar in die Finger bekommen, obwohl ich unser gesamtes Firmennetzwerk betreue... Ich glaub der macht einen Bogen um mich 
ein thema was wohl allen hier angeht...
also ich hab mich nun hier angemeldet um vielleicht hier hilfe zu finden...
undzwar gibt es einen provider namens "liwest" bei euch in Östereich... zu finden unter www.liwest.at
von einem user dieses providers bekomme ich wirklich alle 5minuten diesen f*** wurm
leider ist es mir nicht moeglich rauszufinden wer diese person ist... der provider antwortet leider nicht auf meine email
anrufen ist mir dann auch zu teuer da ich in deutschland wohne
zudem schickt dieser user nun mitlerweile auch diese virenmails mit meiner email adresse raus...
z.B. [email protected]; [email protected] etc.
jedoch gibt es definitiv nur die [email protected] adresse!
diese wird aber auch verwendet wie ich anhand der massigen mailerdeamon mails ersehen konnte
ebenfalls hab ich schon an die [email protected] geschrieben das euer content filter leider falsch funktioniert sorry jungs der is mist... (in der mail zu erlesen warum ^^)
also gebt all euren bekannten, freunden etc. den hinweis die festplatten zu scannen... besonders den einen user der bei liwest angemeldet ist
so jetzt noch etwas fuer fachmenschen und die die glauben es zu seien hier ein header den ich vom technoboard content filter zurueck bekommen habe...
------------------------- BEGIN HEADERS -----------------------------
Received: from zak-mccoy.de (cm174-204.liwest.at [81.10.174.204])
by www.technoboard.at (Postfix) with ESMTP id B6B57C3AC1
for; Wed, 4 Feb 2004 11:47:22 +0100 (CET)
From: [email protected]
To: [email protected]
Subject: HI
Date: Wed, 4 Feb 2004 11:48:27 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0011_ADAB7805.8441C89B"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <[email protected]>
-------------------------- END HEADERS ------------------------------
wichtig hierbei ist nich die received adresse in dem fall zak-mccoy.de
sondern der dahinter in klammern stehende provider der ich nich sein kann weil... wie gesagt in deutschland wohne... dazu t-online habe und diese immer mit 217.xx.... adressiert ist... ein gutes hat jedoch euer content filter... er schmeisst die viren weg... der nachteil aber er schickt die viren info mails zu mir was nicht sonderlich spassig ist!
im uebrigem bitte ich den webmaster dieses thema als global thema zu setzen denn es ist einfach nicht mehr lustig mit den wuermern und viren!
soviel erstmal dazu!
mfg, Zaky
also ich hab mich nun hier angemeldet um vielleicht hier hilfe zu finden...
undzwar gibt es einen provider namens "liwest" bei euch in Östereich... zu finden unter www.liwest.at
von einem user dieses providers bekomme ich wirklich alle 5minuten diesen f*** wurm
leider ist es mir nicht moeglich rauszufinden wer diese person ist... der provider antwortet leider nicht auf meine email
anrufen ist mir dann auch zu teuer da ich in deutschland wohne
zudem schickt dieser user nun mitlerweile auch diese virenmails mit meiner email adresse raus...
z.B. [email protected]; [email protected] etc.
jedoch gibt es definitiv nur die [email protected] adresse!
diese wird aber auch verwendet wie ich anhand der massigen mailerdeamon mails ersehen konnte
ebenfalls hab ich schon an die [email protected] geschrieben das euer content filter leider falsch funktioniert sorry jungs der is mist... (in der mail zu erlesen warum ^^)
also gebt all euren bekannten, freunden etc. den hinweis die festplatten zu scannen... besonders den einen user der bei liwest angemeldet ist
so jetzt noch etwas fuer fachmenschen und die die glauben es zu seien hier ein header den ich vom technoboard content filter zurueck bekommen habe...
------------------------- BEGIN HEADERS -----------------------------
Received: from zak-mccoy.de (cm174-204.liwest.at [81.10.174.204])
by www.technoboard.at (Postfix) with ESMTP id B6B57C3AC1
for
From: [email protected]
To: [email protected]
Subject: HI
Date: Wed, 4 Feb 2004 11:48:27 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0011_ADAB7805.8441C89B"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <[email protected]>
-------------------------- END HEADERS ------------------------------
wichtig hierbei ist nich die received adresse in dem fall zak-mccoy.de
sondern der dahinter in klammern stehende provider der ich nich sein kann weil... wie gesagt in deutschland wohne... dazu t-online habe und diese immer mit 217.xx.... adressiert ist... ein gutes hat jedoch euer content filter... er schmeisst die viren weg... der nachteil aber er schickt die viren info mails zu mir was nicht sonderlich spassig ist!
im uebrigem bitte ich den webmaster dieses thema als global thema zu setzen denn es ist einfach nicht mehr lustig mit den wuermern und viren!
soviel erstmal dazu!
mfg, Zaky
danke dir, gepinnt ist das thema mal, admini ist auch mal informiert und wird sich das mal ansehn.
danke 
keine macht den viren, wuermern und trojanern, den ungewollten kindern, den krieg, der IFPI und der GEMA, der boesartigen Schwiegermutter usw usw ^^
keine macht den viren, wuermern und trojanern, den ungewollten kindern, den krieg, der IFPI und der GEMA, der boesartigen Schwiegermutter usw usw ^^
ZITAT
wichtig hierbei ist nich die received adresse in dem fall zak-mccoy.de
sondern der dahinter in klammern stehende provider der ich nich sein kann weil... wie gesagt in deutschland wohne... dazu t-online habe und diese immer mit 217.xx.... adressiert ist... ein gutes hat jedoch euer content filter... er schmeisst die viren weg... der nachteil aber er schickt die viren info mails zu mir was nicht sonderlich spassig ist!
sondern der dahinter in klammern stehende provider der ich nich sein kann weil... wie gesagt in deutschland wohne... dazu t-online habe und diese immer mit 217.xx.... adressiert ist... ein gutes hat jedoch euer content filter... er schmeisst die viren weg... der nachteil aber er schickt die viren info mails zu mir was nicht sonderlich spassig ist!
Diese Technik nennt sich EMail Spoofing. Das heißt, auf einem infizierten System sucht der Wurm nach EMail-Adressen. Findet er 2 Adressen oder mehr, setzt er eine ins From-Field und eine ins SendTo-Field, sodass es scheint, ein anderer hätte das Mail gesendet. Unten die englische Erklärung von Symantec.
Email spoofing
New worms often use a technique called "spoofing." When the worm performs its email routine, it can use a randomly chosen address it finds on an infected computer as the "From:" address. Numerous cases have been reported in which users of uninfected computers received complaints that they sent an infected message to someone else.
For example, Linda Anderson is using a computer infected with W32.Novarg.A@mm, Win32/Shimg, W32/MyDoom-A, I-Worm.Novarg, Worm/MyDoom.A2, WORM_MIMAIL.R Linda is not using an antivirus program or does not have the current virus definitions. When W32.Novarg.A@mm, Win32/Shimg, W32/MyDoom-A, I-Worm.Novarg, Worm/MyDoom.A2, WORM_MIMAIL.R performs its emailing routine, it finds the email address of Harold Logan. The worm inserts Harold's email address into the "From:" portion of an infected message, which the worm then sends to Janet Bishop. Then, Janet contacts Harold and complains that he sent her an infected message, but when Harold scans his computer, Norton AntiVirus (NAV) does not find anything because his computer is not infected.
Auch nicht infizierte Anwender werden Opfer
Seine massenhafte Verbreitung erzielt der Schädling auch durch die Fälschung der Absender, mit der er sogar aktivierte Antivirensoftware für seine Zwecke "einspannt". Erkenne die Antivirensoftware eine infizierte Mail, werde diese zwar abgeblockt, erläuterte Fischer. Die dann versendeten Fehler- und Hinweismeldungen gingen jedoch an die gefälschten Absender.
"Der Benutzer bekommt also nicht nur die verseuchten Virus-Mails, sondern auch die unverschuldeten Warnmeldungen in sein Postfach." Zudem öffne der Wurm auf dem befallenen Rechner eine "Hintertür", über die Daten wie persönliche Korrespondenz, Kreditkartennummern oder PIN-Codes ausspioniert werden können, sagte Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnologie (BSI).
endlich hat der kleine auch meiner mailbox einen besuch abgestattet. an und für sich nichts aufregendes - abgesehen von der tatsache, daß ich schon ein klein wenig an der existenz des rackers gezweifelt habe - aber was doch erwähnenswert ist:
als absender hat er sich [email protected] ausgesucht (absender wird ja gefaked) und da sicher einige von hier das standard-radio kennen und vielleicht nicht weiter nachdenken, falls sie den wurm über bekannte adressen bekommen, wollte ich nochmal darauf hinweisen, lieber nicht überall blind draufzuklicken, auch wenn die mail von freunden, vereinen u.ä. kommt.
im zweifelsfall hilft ein blick auf http://hoaxinfo.de
- aber was doch erwähnenswert ist:als absender hat er sich [email protected] ausgesucht (absender wird ja gefaked) und da sicher einige von hier das standard-radio kennen und vielleicht nicht weiter nachdenken, falls sie den wurm über bekannte adressen bekommen, wollte ich nochmal darauf hinweisen, lieber nicht überall blind draufzuklicken, auch wenn die mail von freunden, vereinen u.ä. kommt.
im zweifelsfall hilft ein blick auf http://hoaxinfo.de
jo wie gesagt meine adresse nimmt der schweinehund ja auch 
ZITAT(B. @ 7. Feb 2004, 21:07 )
im zweifelsfall hilft ein blick auf http://hoaxinfo.de
wenn man sich net sicher is ob ein virus in der mail ist kann man das ganze auch an
[email protected]
schicken, und in kurzer zeit wird eine genaue angabe über die mail gemacht, obs ein virus ist oder was auch immer
ist ne sehr feine möglichkeit
- danke nochmals an admini k für den tip.100% tige sicherheit bietet aber wohl nur, verdächtige mails gleich löschen ...
die damen und herren aus linz werden gebeten ihren virenschutz zu checken!
so, mail #2 mit dem wurm im gepäck.
send-server: cm139-48.liwest.at / IP: 81.10.139.48
absender: [email protected]
daten von mail #1:
send-server: cm139-48.liwest.at / IP: 81.10.139.48
absender: [email protected]
beide mails gingen an die alte gmx-adresse von techno base. geschätzt wird der virus somit wohl bei jemandem aus der "szene" auf der festplatte sein.
also vielleicht erkennt ja jemand von euch "seinen" liwest-server/IP bzw. die gefakeden absender wieder und kommt so drauf, daß der virus auf seinem pc spukt.
bei zak mccoy war's ja auch liwest.at ...
so, mail #2 mit dem wurm im gepäck.
send-server: cm139-48.liwest.at / IP: 81.10.139.48
absender: [email protected]
daten von mail #1:
send-server: cm139-48.liwest.at / IP: 81.10.139.48
absender: [email protected]
beide mails gingen an die alte gmx-adresse von techno base. geschätzt wird der virus somit wohl bei jemandem aus der "szene" auf der festplatte sein.
also vielleicht erkennt ja jemand von euch "seinen" liwest-server/IP bzw. die gefakeden absender wieder und kommt so drauf, daß der virus auf seinem pc spukt.
bei zak mccoy war's ja auch liwest.at ...
richtig... bei mir ist es zu 80% nur der liwest.at provider... eine mail an liwest wurde versandt jedoch scheint es den menschen dort egal zu sein und ignorieren meine mails stillschweigend!
hier zu lande waer der betroffene provider angeklagt worden da dieser schaden anderer zulaesst... ich weiss nicht wie die gesetzgebung in oestereich ist und kann daher auch nicht mit einer anzeige drohen... nich das die sich kaputt lachen
wie schon gesagt auf liwest.at gibts telefon nummern... ich wuerde ja anrufen aber die auslandsgebuehren kann ich mir als armer azubi nicht leisten
hier zu lande waer der betroffene provider angeklagt worden da dieser schaden anderer zulaesst... ich weiss nicht wie die gesetzgebung in oestereich ist und kann daher auch nicht mit einer anzeige drohen... nich das die sich kaputt lachen
wie schon gesagt auf liwest.at gibts telefon nummern... ich wuerde ja anrufen aber die auslandsgebuehren kann ich mir als armer azubi nicht leisten
leider hat sich der provider liwest.at immernoch nicht bei mir gemeldet
leider hat der provider ebenso noch nichts gegen die staendigen virenschicker was unternommen, ich werde jedoch nochmal eine mail schicken... hoffentlich bringt es mal was, ich bin echt tierisch genervt von den ganzen virenmails und ebenso von den ganzen respones mails die bei mir ankommen weil der wurm meine addy faked
leider hat der provider ebenso noch nichts gegen die staendigen virenschicker was unternommen, ich werde jedoch nochmal eine mail schicken... hoffentlich bringt es mal was, ich bin echt tierisch genervt von den ganzen virenmails und ebenso von den ganzen respones mails die bei mir ankommen weil der wurm meine addy faked
so ich hab dem provider nun angedroht wenn dieser nichts unternimmt saemtliche mails die von dem selbigen kommen an sie weiter zu leiten, wenn die leute sich nicht innerhalb von 3-4 tagen das problem beseitigen, ich hoffe diese drohung nicht wahrmachen zu muessen aber dank meines e-mail clients mach ich mir eigentlich keine arbeit...von daher ist es mir egal... ich hoffe das das bald mal ein ende hat
Dem Provider ist das ziemlich egal - er wird nichts unternehmen, das kann ich dir jetzt schon versprechen.
Derzeit werden auf unseren SMTP Gateways zigtausende Virenmails geblockt - Das wird wohl oder übel noch länger anhalten. Für dieses Jahr prognostiziere ich jetzt schon Steigerungen, was die Aggressivität zukünftiger Malware betrifft. Da können noch so gute Virenscanner und Spamfilter installiert werden - die Antivirenhersteller können auf neue Viren nur agieren, aber nicht vorbeugend wirken. Somit bleibt immer das Restrisiko, sich auch mit einem vermeintlich abgesicherten System zu infizieren. Das Schlupfloch wird immer der Mensch bleiben, der das Attachment aufgrund seiner Naivität öffnen wird.
Derzeit werden auf unseren SMTP Gateways zigtausende Virenmails geblockt - Das wird wohl oder übel noch länger anhalten. Für dieses Jahr prognostiziere ich jetzt schon Steigerungen, was die Aggressivität zukünftiger Malware betrifft. Da können noch so gute Virenscanner und Spamfilter installiert werden - die Antivirenhersteller können auf neue Viren nur agieren, aber nicht vorbeugend wirken. Somit bleibt immer das Restrisiko, sich auch mit einem vermeintlich abgesicherten System zu infizieren. Das Schlupfloch wird immer der Mensch bleiben, der das Attachment aufgrund seiner Naivität öffnen wird.
also man mag es kaum glauben... es ist aber war!
liwest reagierte promt auf meine drohung... da muss man erst ein wenig aggresiver wirken um ueberhaupt was zu erreichen egal was solls... hier die mail von liwest:
-----Nachricht-----
Von: Pirklbauer Hermann [mailto:[email protected]]
Gesendet: Mittwoch, 11. Februar 2004 16:55
An: '[email protected]'
Betreff: AW: lesen! es reicht nämlich!
Sehr geehrter Herr McCoy!
Wir haben den User aufbespuehrt, welcher ihnen die virenversuchten Emails gesendet hat und diesen vom Netz getrennt. Es war dies der einzige User welcher ueber unserere Mailserver an Ihre Adresse Emails gesendet hat.
Mit freundlichen Gruessen
_ _ ______
/ _ _ // LIWEST Kabelmedien GmbH
/ /_/ /_/ // A-4040 Linz; Lindengasse 18
/ _ _ // +43 70 919919-0
/ / / /_/ // Abuse
/_/ /_/___// Abuse & Investigations
=========== [email protected]
-----Ursprüngliche Nachricht-----
Von: Zak McCoy [mailto:[email protected]]
Gesendet: Mittwoch, 11. Februar 2004 09:45
An: [email protected]
Betreff: lesen! es reicht nämlich!
Hallo,
es ist echt zum KOTZEN!
Erstens habe ich immer noch keine Antwort von euch bekommen betreffs meiner Virenwarnung! Zweitens bekomm ich täglich immer wieder von einen Ihrer Kunden Virenverseuchte Mails sowie nerven mich täglichen die so genannten "spoofing" Mails! Wenn nicht bald etwas passiert verspreche ich Ihnen sämtliche Mails die über Ihren Provider an meine Adresse gelangen an Ihre weiter zu leiten! Es kann ja wohl nicht sein das so was von euch ignoriert wird! Würde T-Online oder ein andere deutscher Provider so etwas machen könnten diese mit unzähligen Anzeigen rechnen. Wenn diese Mail an die falsche Abteilung gehen sollte, bitte ich diese an die zuständige Abteilung weiter zu leiten, ebenso bitte ich die Kontaktaufnahme zu mir. Ich bin nicht der einzige Internetuser dem das stört!
Zak McCoy
man sieht also... mit ein bisschen druck geht auf einmal alles
ich bin gespannt wie lange das anhaelt... und ob ihr auch noch ueber liwest virenmails bekommt
liwest reagierte promt auf meine drohung... da muss man erst ein wenig aggresiver wirken um ueberhaupt was zu erreichen egal was solls... hier die mail von liwest:
-----Nachricht-----
Von: Pirklbauer Hermann [mailto:[email protected]]
Gesendet: Mittwoch, 11. Februar 2004 16:55
An: '[email protected]'
Betreff: AW: lesen! es reicht nämlich!
Sehr geehrter Herr McCoy!
Wir haben den User aufbespuehrt, welcher ihnen die virenversuchten Emails gesendet hat und diesen vom Netz getrennt. Es war dies der einzige User welcher ueber unserere Mailserver an Ihre Adresse Emails gesendet hat.
Mit freundlichen Gruessen
_ _ ______
/ _ _ // LIWEST Kabelmedien GmbH
/ /_/ /_/ // A-4040 Linz; Lindengasse 18
/ _ _ // +43 70 919919-0
/ / / /_/ // Abuse
/_/ /_/___// Abuse & Investigations
=========== [email protected]
-----Ursprüngliche Nachricht-----
Von: Zak McCoy [mailto:[email protected]]
Gesendet: Mittwoch, 11. Februar 2004 09:45
An: [email protected]
Betreff: lesen! es reicht nämlich!
Hallo,
es ist echt zum KOTZEN!
Erstens habe ich immer noch keine Antwort von euch bekommen betreffs meiner Virenwarnung! Zweitens bekomm ich täglich immer wieder von einen Ihrer Kunden Virenverseuchte Mails sowie nerven mich täglichen die so genannten "spoofing" Mails! Wenn nicht bald etwas passiert verspreche ich Ihnen sämtliche Mails die über Ihren Provider an meine Adresse gelangen an Ihre weiter zu leiten! Es kann ja wohl nicht sein das so was von euch ignoriert wird! Würde T-Online oder ein andere deutscher Provider so etwas machen könnten diese mit unzähligen Anzeigen rechnen. Wenn diese Mail an die falsche Abteilung gehen sollte, bitte ich diese an die zuständige Abteilung weiter zu leiten, ebenso bitte ich die Kontaktaufnahme zu mir. Ich bin nicht der einzige Internetuser dem das stört!
Zak McCoy
man sieht also... mit ein bisschen druck geht auf einmal alles
ich bin gespannt wie lange das anhaelt... und ob ihr auch noch ueber liwest virenmails bekommt
Dieses ist eine vereinfachte Darstellung unseres Foreninhaltes. Um die detaillierte Vollansicht mit Formatierung und Bildern zu betrachten, bitte hier klicken.