el*Loco blogged

Viel kann ich momentan sowieso nicht tun - ausser warten daß die AV-Signaturen geupdatet werden und mir die Exim Config ein wenig anzuschauen ob es da eine Chance gibt das Zeugs zu blocken, also mal einige Infos zu der guten Sober-Variante:

Es scheint zwei Arten von Messages zu geben:

Subject: Thanks for your registration
Attachment: reg_text.zip
md5: 719029f12df7cdc1004dbf5e58ae4726
Dateigröße: 135826 bytes

Text: Thanks for your registration!
We have received your payment.

For more detailed information, read the attached text.

Subject: Hi, Ich bin's
Attachment: Liste.zip
md5: 7389e27041f2d924c54565a6ab9266e7
Dateigröße: 135826 bytes

Text: Hier ist die Liste die du haben wolltest.
Du solltest dich aber auch eintragen!

OK, bis dann

03:15 Uhr: Die Kaspersky Engine erkennt den Virus seit dem letzten Signaturupdate als Email-Worm.Win32.Sober.v
06:45 Uhr: knappe 6h nach Outbreak erkennen Sophos und Kaspersky die Datei als Sober Abart, Clamav und Ikarus halten das Ding für einen Mytob. Alle anderen AV-Hersteller erkennen nüscht.

Da sitz ich nun und darf ohne Kris die aktuelle Soberwelle aussitzen - immerhin dieses Mal extrem schnell erkannt und die Welt vor weiteren Infektionen geschützt. Jetzt mal warten, wann die großen AV-Hersteller ihre Patterns auf dem aktuellen Stand haben. Interessanterweise hat das LKA Bayern die Ausbreitung vorhergesagt - vielleicht mal deren Newsletter abonnieren

Seit mehr als einem Jahr ermittelt das Bayerische Landeskriminalamt gegen den Verbreiter des Computerwurms „Sober“, der in immer neuen Varianten PCs angreift.
Dem BLKA liegen Informationen vor, dass eine erneute Verbreitung des Wurmes für Dienstag, 15.11.05 durch Unbekannte geplant ist.

Beim Besuch in Schmalkalden mit Cruiser gab es noch ein Schmankerl der ganz besonderen Art: Ein Kommilitone einer Bekannten von Martin hat Probleme mit seinem Laptop, Windows XP bootet nicht. Also die angestaubten Windows Kenntnisse ausgegraben und ein wenig gefrickelt:

• beim Booten von Festplatte kommt nach dem Startscreen von Windows ein Bluescreen "Unmountable Device"


• per CD gebootet und ein "chkdsk c: /R /P" losgelassen, einen kritischen Fehlern repariert - Dauer ca. 30 Minuten


• nach dem geglückten Hochfahren 10 Minuten auf vollständiges hochfahren des Rechners gewartet (Zitat: "das dauert immer so lange").


• Alle 30 Sekunden eine Fehlermeldung "File blabla not found" weggeklickt


• per msconfig ca. 70 Autostart Einträge gefunden, oft mit kryptischen Namen


• Nach den Zitaten: "Der AOL Security Agent findet da auch Sachen aber kann das nicht entfernen" und "irgendwer hat gesagt, die Windows Updates braucht man nicht, das geht nur auf die Geschwindigkeit" die vollständige Neuinstallation empfohlen und weitere Bemühungen eingestellt.

Der Kerl war mit 56k Modem ohne Firewall und ohne irgendein Windows Servicepack online - wundert mich eigentlich, daß seine Telefonrechnung noch nicht mit 0190 Nummern zersetzt war. Jetzt sucht er jemanden, der ihm seinen Rechner sauber neu aufsetzt und die nötigen Daten vorher wegsichert.

Bringt da der Internet-Führerschein vielleicht doch etwas - oder ist Internet unter Windows für den Nicht-informierten (und vielleicht auch desinteressierten) User einfach nicht sicher machbar?

Na sowas aber auch!
Da warnt Spiegel Online ganz vernünftig vor einem bösen Trojaner, der sich als CNN Newsletter per Mail einschleicht - und was machen die Apple-Jünger? Schicken bösartige Triumph-Mails an die Autorin, was diese dazu bewegt ihre News zu updaten:

Nachsatz für alle Apple-Nutzer:
Ja, auch dieses Virus betrifft - wie weit über 90 Prozent aller Viren - nur die Windows-Betriebssysteme. Die massenhafte Zusendung entsprechender Triumph-Mails ist darum überflüssig. So etwas tun Linux-Nutzer, obwohl ebenfalls so gut wie nie betroffen, ja auch nicht.

Fazit: Linux for teh win!?