W32/Swen@MM ist unterwegs

#1 Endlich mal wieder eine Mailworm, der auch bei mir vorbeikommt :-) Ich find das klasse, so kann man wenigstens Mal seinen Virenschutz testen.

http://vil.nai.com/vil/content/v_100662.htm

Ich find den Virus richtig gut - die Mail sieht wirklich aus wie von Microsoft, lediglich der Betreff und der Name der Datei machen mich stutzig - Microsoft würde nie Dateien senden.

Ich findes es jedoch erstaunlich, daß der Mailscanner von Symantec das nicht auf die Reihe bekommt, den Virus zu finden ... Schande über Symantec!

Robert
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#2 Swen ist leider schon seit einiger Zeit unterwegs und mal wieder einer dieser Viren, die man einige hundertmal bekommt *nerv*

hab heute morgen schon wieder 84
__________
Gruß Lukas

#3 Da bin ich aber noch harmlos mit den 4 Stück am Tag :-)

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 Ich hab nun Filter bei GMX eingerichtet und verschiebe das in den Spamverdachtsordner (1Tag haltezeit), mein Postfach ist wieder zu 5% voll. Also ca 10 MB. Wenn ich das alles herunter laden muesste.(
__________
MfG Ralf
SEO-Spam Hunter

#5 mich nervt dieses drecksding...

heut >80 mails!
da hilft auch kein spamfilter, denn anfassen muss ich die mails trotzdem....

werd sie gleich mal direkt in den eimer schmeißen *aufreg*

greez

#6 Hi Gemeinde

Hatte gestern mindestens 6 mal eine Mail mit dem Virus. Der Virenscanner hat nur eine erwischt. (War allerdings Expliot.iFrame.Filedownload). Nur weil ich diesen Virenfund hatte habe ich mir die anderen Mails mal angeschaut.
Und siehe da : 5 * "Microsoft Sicherheitsupdate" oder so ähnlich.(Näturlich sofort gelöscht.
Der Virenscanner ist ein "AntiVirenKit 12" von GData den ich stündlich updaten lasse.

Gott sei Dank benutzen wir IE+OE Version 6 mit allen Patches, so das nichts passiert ist. (Chef will es so!!!!!!)

Mir ist es nur völlig unverständlich, das der Virenscanner die Mails nicht abgefangen hat als Sie vom KEN! heruntergeladen wurden

Es ist nichts passiert, aber ich glaube ich muss mir über den Virenscanner von AVK Gedanken machen. Oder der Virus(Wurm) hat inzwischen schon soviel Varianten das die Erkennung nicht so schnell möglich ist.

Mit besten Grüßen
Paff

P.S. Schreibt mal, wenn euch ähnliches passiert ist. Möchte einfach wissen ob nur mein Virenscanner versagt hat (wie der von @Robert), oder irgendeiner den Virus mal findet.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Du kannst dein AVK stuendlich updaten lassen? Ich dachte(ohne ueberteuerten Premiumservice) das geht nur einmal die Woche!?
__________
MfG Ralf
SEO-Spam Hunter

#8 Wie macht ihr das ? Ich hab ehrlich noch nie irgend ein Würmchen bekommen.
Das ist doch ungerecht verteilt ! Ich prangere das an !
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 Hast du den bei AVK den Mail-Checker eingeschaltet?
Wenn nicht musst du das Attachment erst öffnen/speichern damit es gescannt wird. Weiß jetzt auch nicht ob eure Mails lokal oder auf dem Server liegen. Oder der Wächter von AVK hat versagt, was durchaus mal vorkommt.

"Gott sei Dank benutzen wir IE+OE Version 6 mit allen Patches, so das nichts passiert ist. (Chef will es so!!!)"

Dazu kann ich nur schmunzeln. Würdet ihr gleich einen sicheren Browser + MUA verwenden wärt ihr wesentlich sicherer. Gibt nämlich genug ungepatchte Sicherheitslöcher.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#10 @asdrubael

Das "Gott sei Dank" bezog sich in diesem Fall nur darauf, das dieser Wurm nur im IE+OE 5.x Schaden anrichtet.
Glaub mir, das der IE sche.... ist, weiß ich. Aber (Chef will es so!!!)

Soweit ich weiß, arbeitet der Mail-Scan des AVK12 aber nur richtig mit "Outlook" zusammen. Nicht aber mit Outlook Express!!!
Wir laden die Mails mit AVM KEN! herunter. Diese *.pop Dateien des AVM KEN! sollte der AVK12 eigentlich durchsuchen und die Würmer (Viren) finden.
Tja Schade eigentlich.

Trotzdem, danke für den Tip

Wurmfreie Grüße
Paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#11 @paff:
Hmm ich hab meinen Chef von Mozilla überzeugt, aber das ist wieder eine andere Geschichte.

Der Mail-Scanner arbeitet als lokaler Mail-Server und funktioniert eigentlich mit jedem Mail-Programm. Bei Outlook hat man halt dann wahrscheinlich ein hübsches Icon oder sonstewas.

Wie das mit KEN! funktioniert weiß ich nicht genau, aber im Zweifelsfall sollte der Virenscanner auf dem Mail-Server die Arbeit erledigen.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#12 @ alle

So, ein bis 2 Tage später erkennt auch der AVK12 den "Swen". Er heißt dort
IFrame_Exploit. Es scheinen einfach, soviele verschiedene Varianten unterwegs gewesen zu sein, das nicht alles erkannt werden konnte.

Jetzt packt er SIe alle. Yuhuuuuuuuuuu!!!!!!!!!!!!

Immernoch Wurmfreie Grüße
paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#13

Zitat

joschi postete
Wie macht ihr das ? Ich hab ehrlich noch nie irgend ein Würmchen bekommen.
Das ist doch ungerecht verteilt ! Ich prangere das an !

Den aktuellen Wurm bekomst Du mit Sicherheit,wenn Du mal n Usenet-Post machst mit einer gültigen Adresse ohne das darin die Buchstabenkombination "spam" oder "del" enthalten ist

Swen verschickt sich nämlich fast ausschliesslich an Usenet-Adressen.
Meine "Bilanz" seit Freitag 2:00: 800 unschädlich gemachte Wurmmails.

Der Hinweis auf "spam" und "del" in der Adresse schützt übrigens bisher imho vortrefflich gegen Swen.....aus irgendwelchen Gründen lässt der Wurm solche Adressen zufrieden. Beispiel: meine-spamadresse@meine-domain.de
Der nächste Wurm wird diesen Fehler wahrscheinlich nicht mehr machen.

Auggie
__________
Du hast keine Chance,aber nutze sie!

#14 Eine gute Möglichkeit,sich Würmer und Spam vom Leibe zu halten,ist der Hamster,der fungiert quasi als zusätzlicher MUA im Netzwerk:
Braucht keine Installation und lässt sich über RegEx-Filterregeln so konfigurieren,das er Mails,die auf die Regeln matchen,gleich auf dem Server gelöscht werden.
Mit der stabil laufenden,aktuellen Beta ist auch sogen. Mailscoring möglich....man vergibt Punktwerte im Plus- und Minusbereich für bestimmte Regeln.

Neben dieser Möglichkeit kann der Hamster auch als lokaler Newsserver fungieren und regelmässig einen externen Newsserver abfragen.Mit dem eigenen Newsreader fragt man dann einfach seinen Hamster ab.....läuft sehr viel schneller als wenn der Newsreader online den externen Server abfragen muss.

Hamster-Download

Auggie
__________
Du hast keine Chance,aber nutze sie!

#15 hey ..
ja, dieser scheiß wurm .. ich hatte den auch .. erst der 3. virenscan hat den worm gefunden .. und dann hab ich die datein mühsam gelöscht .. und jetzt das problem:

ich kann jetzt viele datein nicht mehr öffnen .. die software kann ich nicht öffnen, trillian z.b., winamp etc.
und jetzt ?

kann mir jemand bitte helfen ?!?! achja .. fehlermeldung: rundll32.exe konnte nicht gefunden werden und tausend andere exe

gruß