Virenwarnung!!!! Mail von Bienenstockkäferkampagne

  • Hallo Leute!


    Noch kurz eine sehr wichtige Virenwarnung!!!!!!!!


    Hatte vorhin eine mail von der Bienenstockkäfer- outgoing list bekommen.


    In dem Anhang befand sich eine gezippte (komprimierte) pif datei.
    Unvorsichtigerweise habe ich in dem Glauben mein Virenscanner sei auf dem allerletzten Stand auf diese Datei geklickt!


    Durch mein recht gutes Programm wurde dieser Virus nicht erkannt, d.h. es muß ein sehr neuer Virus sein. Gottlob habe ich XP Professional und konnte mein System retten! Also Vorsicht!!

  • Hallo Kollegen,


    ich habe von der Bienenstockkäferkampagne Mails von Leuten bekommen die ich selbst nicht kenne, und diese behaupten ich verschicke Werbemails.
    :o :x
    Hier die Mail


    Sehr geehrte Damen und Herren !
    Ich bekomme von der folgenden Adresse über Ihren Server ständig eine Mail, Werbung die ich nicht haben will: Herbert xxx[juhui@xxx.xx]
    Können Sie mir sagen, ob diese Form der Werbung bei Ihnen bekannt ist? Ich fühle mich ein wenig gestört, da sie mit skurielen Schreiben kommen. Ich habe den Herrn noch nicht angeschrieben, jedoch sendet er mir eine Mail, als wenn ich Ihn angeschrieben hätte.
    Mit freundlichen Grüßen


    Xxxx


    Ich möchte mal wissen was da los ist und was das soll ?
    Werden die Mailaddy´s da weiter gegeben oder spinnt der Mailserver.
    Einen Virus hab ich noch nicht bekommen


    Gruß Michael

  • Es ist keine Stunde vergangen bekomm ich schon wieder so eine Mail. :o



    Betreff Kompostberatung
    "Missbrauch der Adressen in der Mailingliste"
    In jüngster Zeit erhalte ich Mails von wildfremden Personen an die Adresse bienenstockkaefer-outgoing@list.weitblick.net ; diese entspricht keiner meiner wahren Mailadressen. Die Mails enthalten Werbung und haben nicht das geringste zu tun mit dem Bienenstockkäfer!
    Wie gelangen diese Mails in mein Mailkonto? Treibt da ein Virus sein Unwesen?
     
    Ich hoffe, Sie gehen der Sache nach und finden den Übeltäter.
     
    Mit freundlichem Gruss
    xxxxxx


    Ich muß da mal bei dem Betreiber anrufen.


    Gruß Michael

  • Hallo Michael!


    Mit Verlaub: Das hört sich ganz schön beschxxxxx an!
    Ich hoffe sehr für Dich, das Deine Meinung, daß Du noch keinen Virus bekommen hast auch so stimmt, habe daran aber Zweifel!


    Mein gerade vorgestern upgedatetes Anti-Virenprogramm hat in diesen Sendungen keine Viren festgestellt, es ist aber definitiv was ganz böses drin. Falls du XP hast, kann ich dir nur raten eine Systemherstellung mit einem Datum von vorgestern durchzuführen!


    Fest steht, daß dieser Virus/Wurm sich über Outlook selber zu verbreiten sucht, d.h. der Absender weiß natürlich gar nicht, daß er so viele mails rausgeschickt hat! (Die dann obendrein noch alle verseucht sind!)


    Ich kann Dir nur dringend raten alle mails die momentan von der bienenstockkäfer-outgoing list kommen ungelesen zu löschen (Wenn es nicht eh schon zu spät ist!)

  • Hallo Andreas,


    mit Computerviren kenn ich mich ganz gut aus, nach meiner Sicht liegt eine Infizierung des Maillisten SMTP Bienenstockkäfer vor.
    Habe die Virusmail auch bekommen was bei mir aber keiner Schaden anrichten kann weil ich ein ausgeklügeltes Sicherheitssystem habe. :D 
    Es handelt sich um dem Virus W32 Sobig.E@mm .
    Den Besitzer wo her der Virus her gekommen ist habe ich schon informiert um den Schaden klein zu halten diese Seite besuchen. http://www.bsi.de/av/vb/sobige.htm
    Den Betreiber der Seite Bienenstockkäfer werde ich anrufen, dass er sich darum kümmert dass der Mailserver überprüft wird.
    Aber was mit den Werbemails auf sich hat frag ich mich auch.


    Gruß Michael

  • Hallo Michael!


    Vielen Dank für die Mitteilung. Das mein Antivirenprogramm da so total versagt hat verstehe ich gar nicht, so nagelneu ist der doch gar nicht!


    Für alle die verseucht sein sollten hier ein Tool zum kostenlosen download zum Entfernen:


    http://securityresponse.symant…ig.e@mm.removal.tool.html


    Richtig leid tut mir der Addi von weitblick.net. Womöglich haben die 20.000 verseuchte e-mails rausgeschickt, wenn sich da heute nur jeder 10 beschwert, na ja...


  • Hallo Michael,


    ich stehe nicht auf der Mailing-Liste und habe den Virus auch noch nicht erhalten.


    Ich glaube aber nicht unbedingt, daß der Mailserver des Listenbetreibers -bzw. richtiger der Rechner, auf dem der SMPT-Server läuft- kontaminiert sein muß.


    Sobig bringt seinen eigenen SMTP-Server mit und genauso wie er sich an Adressen versendet, die er auf seinem Wirtssystem findet kann er auch fiktive Absenderadressen aus der gleichen Quelle verwenden. D.h., daß z.B. jeder, der auf der Mailingliste steht, als Absender genannt werden könnte ohne tatsächlich für die Verbreitung des Wurmes verantwortlich zu sein.


    Den wirklichen Absender kann üblicherweise nur dessen Provider lokalisieren. Dazu öffnet man den Quelltext der "verseuchten" Mail und sucht den IP-Eintrag des SMTP-Servers. Über eine Whois-Abfrage, z.B. mit Hilfe von http://www.iks-jena.de/cgi-bin/whois bekommt man den Provider heraus. Danach schreibt man an abuse@provider.tld eine freundliche Bitte, den betreffenden Kunden darüber zu informieren daß sein System verseucht ist und um Maßnahmen zur Entfernung des Virus zu bitten.


    Grüße


    Ulrich

  • An alle Abonnenten der Bienenstockkäfer-News!
    Wir bitten herzlich um Entschuldigung für den entstandenen Ärger durch den Versand einer Spam-eMail (die auch noch virenverseucht war) über unseren Newsletter.
    Nach der Spam-Mail sind unseren Recherchen zufolge vier Antworten von zurecht verärgerten Empfängern ebenfalls über den Newsletter durch das Sicherheitsloch gegangen.
    Wie kopnte das passieren? Ein Hacker hat ein Sicherheitsloch in dem verwendeten Listen-Manager "Majordomo" ausgenutzt und so geschafft, unlegitmiert eine Mail über den Verteiler zu schicken.
    U.E. gehört dazu einige kriminelle Energie und zugleich Dummheit, da der Absender über seine Werbung natürlich bekannt ist und belangt werden kann.
    Spamversenden ist illegal und läßt sich technisch leider nur schwer zu hundert Prozent unterbinden.
    Sollte Ihnen durch den mitgeschickten Virus Schaden entstanden sein, haben Sie die Möglichkeit, den Absender: "Herbert Raess" <juhui@unterkunft.ch> von www.unterkunft.ch
    auf Schadensersatz zu verklagen.
    Wir haben das Sicherheitsloch mittlerweile schließen können. Ein erneuter Spam-Versand über die Liste halten wir für ausgeschlossen.
    Wir möchten weiterhin betonen, dass der Hacker nur den Listen-Manager missbraucht hat, nicht aber in den Besitz der eMail-Adressen kommen konnte.
    Ich möchte hier nicht zu sehr in technische Details gehen, bin aber gerne auf Nachfrage bereit, das Sicherheitsloch, das Vorgehen des Hackers und unsere Maßnahmen detailierter zu erläutern.


    Wenn Sie sich aus der Liste austragen wollen, dann können Sie das selbst jederzeit tun, indem Sie eine eMail an:


    majordomo@list.weitblick.net schreiben.
    Betreff: egal
    Text: unsubscribe bienenstockkaefer


    Bitte haben Sie Verständnis dafür, dass wir formlos vorgetragene Bitten um Entfernung aus der Liste so kurzfristig nicht manuell bearbeiten konnten.


    Mit freundlichen Grüßen


    Erhard Klein
    (Mitglied der Bienenstockkaefer-AG und Geschäftsführer der Weitblick Communications GmbH)

  • Anbei noch einige technische Details, die ich auf Nachfrage an einen interessiertes Mitglied der Liste verschickt habe. Wenn jemand selbst eine Majordomo-Liste betreibt, sollte er mal testen, ob er durch eine Mail an <Listenname>-outgoing@domain.de auch unlegitimiert Mails an die Liste verschicken kann. Ich vermute, dass das bei den meisten Listen, bei denen RESTRICT_POST konfiguriert ist, der Fall sein wird.


    ---------------------


    Sehr geehrter Herr W.,
    Bei "Oneway"-Listen benutzen wir i.d.R. "Restrict_Post" um zu verhindern, dass unlegitimierte Absender Mails über die Liste verschicken können. Das ist aber nicht sicher, da jemand den Absender leicht fälschen kann, wenn er einen eigenen Mailserver betreibt oder ein Open Relay kennt und dann als scheinbar legitimer Absender Mails verschicken kann. Man könnte das Versenden von Mails Password-schützen (mit MODERATE = YES und APPROVE-Password) - was wir bei der Bienenstockkäfer-Liste jetzt auch gemacht haben - aber die meisten Kunden haben keinen Mail-Client, der das unterstützt und können die Liste dann nicht mehr bedienen. Outlook/-Express kann das z.B. nicht.
    Dieses "Loch" hat der Spammer aber gar nicht verwendet. Majordomo verschickt Mails in zwei Schritten. Zuerst wird die Mail entgegengenommen und die Legitimation geprüft (RESTRICT_POST, APPROVED-Password), dann schickt Majordomo die Mail an sich selbst weiter an "...-outgoing". Dieser Handler erledigt dann ohne weitere Prüfung den Versand an die Abnonnenten. Der Spammer hat seine Mail direkt an den Handler geschickt. Unser Sicherheitsloch war nun, dass die Adresse von außen als Mail-Account erreichbar war. Das ist m.E. bei jeder Standard-Majordomo-Konfiguration so, weil man diese Mail-Adresse in die Aliases-Tabelle eintragen soll. Der Spammer muss also ziemlich gute Kenntnisse über Majordomo besessen haben, da diese interne eMail-Adresse konkret nirgendwo außerhalb unseres Servers bekannt ist. Er mußte sie also über einen Analogieschluss raten und hoffen, dass wir uns an die Konfigurationsempfehlungen von Majordomo gehalten haben.
    Uns war dieses Sicherheitsloch nicht bewußt. In der Doku von Majordomo hatten wir keine Warnungen diesbezüglich gesehen und in vielen Jahren Betrieb von hunderten von Listen ist niemals dieses Loch mißbraucht worden oder mit einer gefälschten Absenderangabe Mails verschickt worden (s.o.). Das wäre ja auch strafbar.
    Da unsere Server mit virtuellen Usern arbeiten, und unsere virtusertable dafür zuständig ist, zu prüfen, ob ein eMail-/User-Account existiert, haben wir nun bienenstockkaefer-outgoing@list.weitblick.net aus der virtusertable entfernt. Nun werden eMails von draußen an diesen Account nicht mehr angenommen.
    Damit ist die Liste jetzt unter Konfigurationsgesichtspunkten "wasserdicht". Ohne Kenntnisse des APPROVED-Passwords ist es nicht mehr möglich, eine Mail an die Liste zu schicken.


    Mit freundlichen Grüßen,


    Erhard Klein


    wriedt@onlinehome.de wrote:
    >
    > Sehr geehrter Herr Klein,
    >
    > vielen Dank für Ihre schnelle Info. Sie schreiben: "Ich möchte in dieser Mail nicht zu sehr in
    > technische Details gehen, bin aber gerne auf Nachfrage bereit, das Sicherheitsloch, das Vorgehen des Hackers
    > und unsere Maßnahmen detailierter zu erläutern."
    >
    > Von diesem Angebot möchte ich gerne Gebrauch machen (u. a. zum Schutz für eigene
    > Mailinglisten) und bitte Sie um Zusendung der technischen Details.
    >
    > Beste Grüße
    > S. W.