Jetzt bin ich baff - ist das eine neue Wurm-Masche?

1 view
Skip to first unread message

Joachim Rektenwald

unread,
Oct 28, 2003, 11:10:49 AM10/28/03
to
Hallo,

heute habe ich einige Mails mit unter anderem folgenden Texten
bekommen (siehe unten). Ich wäre fast schon gewillt gewesen den
Absendern zu glauben, so authentisch sehen diese Mails aus, dazu noch
in deutscher Sprache, wäre da nicht jedesmal ein ca. 65 kB grosses
Attachment mit Endung .zl3 dran. Was ist das? mein Virenscanner
(Free-AV) erkennt (noch) nix. Etwas neues? Hat das noch jemand
bekommen?

Danke,

Jo

Und hier die Texte:

"Ich habe jetzt schon zum 9 mal, eine Mail die an Sie
Adressiert ist bekommen!
Oder aber, Sie schicken mir diese Mails ohne es zu Wissen!
Wenn dies der Fall sein sollte, haben sie wahrscheinlich ein Problem
mit der COM- Schnittstelle.

Wie dem auch sei, Ich war so frei und habe Ihnen ein Tool
mitgeschickt, mit dem Sie die Konsole mal testen können.

Gruß von: ääääääääää@gmx.de"


"Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!!
Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen
Mailbox sprengen!

Mit freundlichen Grüßen:
ö.ööööööö@gmx.de"

Frank 'Kelshon' Schmidt

unread,
Oct 28, 2003, 11:21:45 AM10/28/03
to
Joachim Rektenwald <J_Rekt...@gmx.de> :

> Ich wäre fast schon gewillt gewesen den Absendern zu glauben, so

> authentisch sehen diese Mails aus, [...]

"Authentisch" bei unzulässigen Umlauten im Localpart? Nö.

Insbesondere der Teil
bq small: Lesen Sie sich das Dokument durch,


bevor Sie meine oder anderen Mailbox sprengen!

#
erinnert mich aber sehr an die u.a. im Thread
Subject: Angeblicher Hinweis auf Spam [Virus]
beginnend mit
Message-ID: <bnhk2u$nec$07$1...@news.t-online.com>
erwähnten Virensendungen.
--> Tonne

Frank
--
"Jedenfalls ist es besser, ein eckiges Etwas zu sein
als ein rundes Nichts." (Friedrich Hebbel)

Frank 'Kelshon' Schmidt

unread,
Oct 28, 2003, 11:26:09 AM10/28/03
to
Joachim Rektenwald <J_Rekt...@gmx.de> :

> Ich wäre fast schon gewillt gewesen den Absendern zu glauben, so

> authentisch sehen diese Mails aus, [...]

"Authentisch" bei unzulässigen Umlauten im Localpart? Nö.

Insbesondere der Teil
bq small:

Lesen Sie sich das Dokument durch,
bevor Sie meine oder anderen Mailbox sprengen!

#
erinnert mich aber sehr an die u.a. im Thread
Subject: Angeblicher Hinweis auf Spam [Virus]
beginnend mit
Message-ID: <bnhk2u$nec$07$1...@news.t-online.com>
erwähnten Virensendungen.
--> Tonne

Frank
--
Je mehr man sich vergißt, desto besser erinnern sich später
die anderen.

Henrik Motakef

unread,
Oct 28, 2003, 11:33:34 AM10/28/03
to
J_Rekt...@gmx.de (Joachim Rektenwald) writes:

> wäre da nicht jedesmal ein ca. 65 kB grosses Attachment mit Endung
> .zl3 dran. Was ist das?

zl3 scheint die Endung zu sein, mit der ZoneAlarm .bat-Dateien vor
voreiligem Klicken schützen will.

<http://forums.zonelabs.com/zonelabs/board/message?board.id=Privacy&message.id=504>

Turan Fettahoglu

unread,
Oct 28, 2003, 12:08:20 PM10/28/03
to
So was ist bei mir auch angekommen, sogar wirklich von GMX. Der Anhang ist
67,4 kB groß. ViruScan schlägt beim Versuch des Weiterversands an.

In welchen Sprachen gibt's kein x (siehe Betreff!)? Türkisch, ... ???
Tipp an GMX ist raus.

Viele Grüße
Turan Fettahoglu

Das war meine Textvariante:

Hi Olle, lange niks mehr gehört!
******************* schnipp *********************
Oder liegts daran, dass die mir meine alten Mail Adressen
weggemacht haben? *grins*

Naja, Ich will hier nicht über E-Mail die jeder Arsch lesen kann,
meine privaten Probleme bekannt machen!!

Jedenfalls haben die Schweine mir einen Trojaner auf'm Rechner geknallt!
Und so isset dann passiert!

Ich werde mich in den nächsten Tagen noch einmal melden,
bis dahin solltest du mal deinen Rechner auf Trojaner untersuchen lassen,
wenn ich einen hatte, hast du 100 pro auch einen!
Ich habe dir einen guten Trojaner-Sucher mit bei getan!

OK,... bis dann
******************** schnapp **************************


Thomas Wendt

unread,
Oct 28, 2003, 12:10:14 PM10/28/03
to
J_Rekt...@gmx.de (Joachim Rektenwald) schrieb:

>Hallo,
>
>heute habe ich einige Mails mit unter anderem folgenden Texten
>bekommen (siehe unten). Ich wäre fast schon gewillt gewesen den
>Absendern zu glauben, so authentisch sehen diese Mails aus, dazu noch
>in deutscher Sprache, wäre da nicht jedesmal ein ca. 65 kB grosses
>Attachment mit Endung .zl3 dran. Was ist das? mein Virenscanner
>(Free-AV) erkennt (noch) nix. Etwas neues? Hat das noch jemand
>bekommen?

Bei mir lautet es folgendermaßen:

Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!!

Wie es aussieht, ist bei Ihnen der ODIN Wurm aktiv!
Sie sollten mit dem Patch-Programm testen, ob der Wurm bei Ihnen auf
der Platte ist um Ihn dann automatisch löschen zu lassen!

Niks wie ungut!

[IRONIE AN]
Nur war kein Patch-Programm mit dabei. :-(
Deher habe ich jaimmer noch den Wurm Odin auf meinem System.
[IRONIE AUS]

Kennt jemand den Wurm Odin?

Gruß
Thomas

Rolf Hackemann

unread,
Oct 28, 2003, 12:36:22 PM10/28/03
to
Joachim Rektenwald schrieb:

>Hat das noch jemand bekommen?

Ja, ich.
Und ich muss zugeben, das ich diesen false-negative in einem ersten
Überfliegen auch geglaubt habe.
Nach Headerstudium hat sich die Mail als der über Müll herausgestellt,
denn das einer Mailkontakte von irgendeiner Fernost-Kiste mailt, ist
so gut wie unmöglich.
Inzwischen taucht die Mail öfters bei mir auf, und wird zuverlässig
von meinem Bayes-Filter entsorgt.

Rolf

Daniel Fuchs

unread,
Oct 28, 2003, 4:41:10 PM10/28/03
to

Ist ein Wurm...

Schön ist auch die englische Version, die bei mir eintrudelte...

"I've become your email"....

Aua.


Daniel

Erich Hofbauer

unread,
Oct 28, 2003, 4:53:43 PM10/28/03
to
Joachim Rektenwald schrieb:

>
> Hallo,
>
> heute habe ich einige Mails mit unter anderem folgenden Texten
> bekommen (siehe unten). Ich wäre fast schon gewillt gewesen den
> Absendern zu glauben, so authentisch sehen diese Mails aus, dazu noch
> in deutscher Sprache, wäre da nicht jedesmal ein ca. 65 kB grosses
> Attachment mit Endung .zl3 dran. Was ist das? mein Virenscanner
> (Free-AV) erkennt (noch) nix. Etwas neues? Hat das noch jemand
> bekommen?

nein ;-)

<bnhk2u$nec$07$1...@news.t-online.com>
<8wdXm...@sajoh.de>
<ubuznaauneqqvfxpns...@news.cis.dfn.de>

Virenscanner updaten und die Threads des letzten Tages lesen...

lg

Erich

--
OE ist die Geißel des Usenets, Outlook ist ein wildgewordener
Kalender, der meint mit E-Mails um sich werfen zu müssen.
[Alexander Reinwarth / de.comm.software.newsreader]

Uwe Schröder

unread,
Oct 28, 2003, 5:03:53 PM10/28/03
to
Joachim Rektenwald wrote:

> Attachment mit Endung .zl3 dran. Was ist das? mein Virenscanner
> (Free-AV) erkennt (noch) nix. Etwas neues? Hat das noch jemand
> bekommen?

Dann ist deine Pattern-Datei nicht auf dem aktuellen Stand, oder die
Mail ist schon unterwegs irgendwie bereinigt worden. Meiner hat das
Attachment als "Worm/Sober" identifiziert.

usch

Rainer Zocholl

unread,
Oct 28, 2003, 5:01:00 PM10/28/03
to
(Joachim Rektenwald) 28.10.03 in /de/admin/net-abuse/mail:

>Hallo,

>heute habe ich einige Mails mit unter anderem folgenden Texten
>bekommen (siehe unten). Ich wäre fast schon gewillt gewesen den
>Absendern zu glauben, so authentisch sehen diese Mails aus, dazu noch
>in deutscher Sprache, wäre da nicht jedesmal ein ca. 65 kB grosses
>Attachment mit Endung .zl3 dran. Was ist das? mein Virenscanner
>(Free-AV) erkennt (noch) nix. Etwas neues? Hat das noch jemand
>bekommen?

Du willst auf "www.bsi.de" schauen.
Dort warnen sie schon seit dem 27. vor diesem Teil "W32.Sober@mm"
Alias: Sober [F-Secure]
W32/Sober@mm [McAfee]
Worm_Sober.A [TrendMicro]
Win32/Sober-A [Sophos]

(Wenn dort gewarnt wird ist es ernst zu nehmen, müssen ja keine
Reklame machen wie die Antivirenhersteller)

Wie saget mein Biolehrer immer:
"Bürokraten und Monokulturen rotten sich selbst aus."


>"Ich habe jetzt schon zum 9 mal, eine Mail die an Sie
>Adressiert ist bekommen!
>Oder aber, Sie schicken mir diese Mails ohne es zu Wissen!
>Wenn dies der Fall sein sollte, haben sie wahrscheinlich ein Problem
>mit der COM- Schnittstelle.

>Wie dem auch sei, Ich war so frei und habe Ihnen ein Tool
>mitgeschickt, mit dem Sie die Konsole mal testen können.

>Gruß von: ääääääääää@gmx.de"


>"Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
>Sie sollten diesen Entfernen!!
>Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen
>Mailbox sprengen!

>Mit freundlichen Grüßen:
>ö.ööööööö@gmx.de"
~~~~~~~~~


Warst Du das?

(ich habe noch nicht ein Stück davon bekommen)

Dietmar Braun

unread,
Oct 28, 2003, 5:13:26 PM10/28/03
to
Daniel Fuchs schrub:

> Schön ist auch die englische Version, die bei mir eintrudelte...
>
> "I've become your email"....

Ja. Oder "Niks wie ungut".

Welche Bundeslaender haben gerade bzw. hatten bis zum Wochenende noch
Schulferien? Kann ja nur ein Opfer der Pisa-Studie sein, was diesen Wurm
zusammengeklickert hat...

Dietmar

Toni Grass

unread,
Oct 28, 2003, 5:46:46 PM10/28/03
to
Erich Hofbauer <musi...@gmx.at> wrote:
> Joachim Rektenwald schrieb:
>>
>> Hallo,
>>
>> heute habe ich einige Mails mit unter anderem folgenden Texten
>> bekommen (siehe unten). Ich wäre fast schon gewillt gewesen den
>> Absendern zu glauben, so authentisch sehen diese Mails aus, dazu noch
>> in deutscher Sprache, wäre da nicht jedesmal ein ca. 65 kB grosses
>> Attachment mit Endung .zl3 dran. Was ist das? mein Virenscanner
>> (Free-AV) erkennt (noch) nix. Etwas neues? Hat das noch jemand
>> bekommen?

> nein ;-)

Hm, Österreich scheint noch außerhalb des Verbreitungsgebietes zu liegen


> Virenscanner updaten

Virenscanner? wozu? *g*

> und die Threads des letzten Tages lesen...

ja, es liest sich sehr interessant

Toni (mal sehen, wann der erste hier einschlägt)

Turan Fettahoglu

unread,
Oct 29, 2003, 10:02:48 AM10/29/03
to
> "I've become your email" -->klassischer Germanismus, Schrecken aller
deutschen Englischlehrer

> "Niks wie ungut" --> "ks" statt x, in welchen Sprachen kommt das vor?

Das bedeutet, der Verfasser hat in Deutschland Englisch gelernt, spricht
aber nicht muttersprachlich Deutsch. Türkischer oder russischer Hintergrund?

Turan


Birgit Nietsch

unread,
Oct 29, 2003, 10:22:18 AM10/29/03
to
Turan Fettahoglu schrieb:

>> "Niks wie ungut" --> "ks" statt x, in welchen Sprachen kommt das
>> vor?
>
> Das bedeutet, der Verfasser hat in Deutschland Englisch gelernt,
> spricht aber nicht muttersprachlich Deutsch. Türkischer oder
> russischer Hintergrund?

Es ist Moechtegern-Slang. Google spuckt bei der Suche nach
"niks fuer ungut" aus:
http://www.macuser.de/forum/archive/topic/13064-1.html

Ein Mac-Forum. Hmmmmm ... Es wird Zufall sein.

Birgit.

Erich Hofbauer

unread,
Oct 29, 2003, 1:11:02 PM10/29/03
to
Toni Grass schrieb:

> Hm, Österreich scheint noch außerhalb des Verbreitungsgebietes zu liegen

> Toni (mal sehen, wann der erste hier einschlägt)

Ich hatte schon mehrere auf der GMX-Adresse. Bei Chello is noch keiner
gelandet.

Dietmar Braun

unread,
Oct 29, 2003, 5:06:08 PM10/29/03
to
Erich Hofbauer schrub:

> Ich hatte schon mehrere auf der GMX-Adresse. Bei Chello is noch keiner
> gelandet.

Chello gehoert wohl auch zu der Sorte, die zwar incoming u.U. restriktiv
filtern (wissen das die Kunden?), aber outgoing spammen (lassen) wie die
Wilden.

Saemtliche Beschwerden an Chello blieben unbeantwortet, deren Proxy-
Spamschleudern machen derzeit ca. 10% meines Spamverkehrs aus.

Unter "Provider" verstehe ich was anderes. It's time to block them.

Dietmar

Hatto von Hatzfeld

unread,
Oct 29, 2003, 4:54:32 PM10/29/03
to
Turan Fettahoglu <Tura...@web.de> schrieb:

Nein, eher jemand aus dem Kölner Raum oder Rheinland. "Niks" sagt oder
schreibt man durchaus hier in der Gegend (siehe whois maehtniks.de,
wobei "mäht niks" auf Hochdeutsch "macht nichts" heißt, oder weiter
nördlich: http://www.millen.de/platt.htm).

"Niks" sagt (und schreibt) man zwar auch anderswo (z.B. in Ostfriesland,
siehe http://www.kohlfahrten.de/infosites/kohlfahrtlieder.php; vgl.
zudem http://www.udoklinger.de/Grimm/Vom_Fischer2.htm und auch
http://www.linguistics.ruhr-uni-bochum.de/~strunk/Deutsch/dialektn.htm);
aber Anderes in Semantik und Syntax erinnert mich doch eher an die
Region Nordrhein.

Tschüss,
Hatto

--
87.166253% der Statistiken spielen eine Genauigkeit vor,
die durch die angewandte Methode nicht gerechtfertigt wird.

Marco Desloovere

unread,
Oct 29, 2003, 6:25:15 PM10/29/03
to
Joachim Rektenwald [28 Oct 2003 08:10:49 -0800] wrote:

>Hallo,
>
>heute habe ich einige Mails mit unter anderem folgenden Texten
>bekommen (siehe unten). Ich wäre fast schon gewillt gewesen den
>Absendern zu glauben, so authentisch sehen diese Mails aus, dazu noch
>in deutscher Sprache, wäre da nicht jedesmal ein ca. 65 kB grosses
>Attachment mit Endung .zl3 dran. Was ist das? mein Virenscanner
>(Free-AV) erkennt (noch) nix. Etwas neues? Hat das noch jemand
>bekommen?

Ich habe Folgendes auf meinem Hotmail-Account empfangen.
Im Anhang sitzt das "Sober"-Virus:

| X-Message-Info: TSNaxu8CDoc9hJ4AgzwuyYZbJT2D4M3IPw0HowWg+Dc=
| Received: from mc2-f23.hotmail.com ([65.54.237.30]) by mc2-s14.hotmail.com with Microsoft SMTPSVC(5.0.2195.5600);
| Mon, 27 Oct 2003 22:31:42 -0800
| Received: from smtp.web.de ([217.72.192.180]) by mc2-f23.hotmail.com with Microsoft SMTPSVC(5.0.2195.5600);
| Mon, 27 Oct 2003 22:30:38 -0800
| Received: from [80.135.222.151] (helo=XPMailer.de)
| by smtp.web.de with asmtp (WEB.DE 4.99 #459)
| id 1AENN9-00055T-00; Tue, 28 Oct 2003 07:30:31 +0100
| From: Love4Ev...@web.de
| To: recipt: ok
| Subject: RE: Sex
| X-MailScanner: Clean
| Importance: Normal
| X-Mailer: Microsoft Outlook IMO, Build 9.0.366 (4.6.8987.7)
| X-MSMail-Priority: Normal
| Message-ID: <3536260366439...@web.de>
| MIME-Version: 1.0
| Content-Type: multipart/mixed;
| boundary="XPMailer.de4D1BA025E4E7289"
| Date: Tue, 28 Oct 2003 07:30:31 +0100
| Sender: Love4Ev...@web.de
| Return-Path: Love4Ev...@web.de
| X-OriginalArrivalTime: 28 Oct 2003 06:30:38.0596 (UTC) FILETIME=[00962C40:01C39D1D]
|
| This is a multi-part message in MIME format.
|
| --XPMailer.de4D1BA025E4E7289
|
| Automatic Mail notification: Robot-System__#1675#
|
| WHEN YOU CAN NOT READ THIS MAIL ATTACH.,
| PLEASE REPORT US THIS ERROR. <3E49F6BE...@posting.google.com>
| --XPMailer.de4D1BA025E4E7289
| Content-Type: application/octet-stream; name=robot_mailer.pif
| Content-Transfer-Encoding: base64
| Content-Disposition: attachment; filename="robot_mailer.pif"

Die To:-Zeile habe ich so gelassen wie sie war.

Auffallend ist das kindische "Script-Kiddie"-Pseudo-Englisch, das
offensichtlich von einer deutschsprachigen Person formuliert wurde:

| Automatic Mail notification: Robot-System__#1675#
|
| WHEN YOU CAN NOT READ THIS MAIL ATTACH.,
| PLEASE REPORT US THIS ERROR. <3E49F6BE...@posting.google.com>

Beschwerde ist übrigens schon raus.

Marco

Uwe Sinha

unread,
Oct 30, 2003, 5:37:46 AM10/30/03
to
Dietmar Braun <braund...@gmx.de> schrieb:

[...]


> Saemtliche Beschwerden an Chello blieben unbeantwortet, deren Proxy-
> Spamschleudern machen derzeit ca. 10% meines Spamverkehrs aus.

[...]

Gehört nicht A2000 (wo sehr gern in NL ansässige Nigerianer unterkommen)
auch irgendwie zu Chello?

Griettinckx, Uwe
--
| Uwe "Papa, was ist ein Alumnus?" Sinha ++ <uwes...@cs.tu-berlin.de> |
+-----------------------------------------------------------------------+
|  "Juristen werden es noch einmal soweit bringen, dass man das ganze |
| Internet abstellen muss" -- Roman Racine in de.admin.net-abuse.mail |

Klaus Peter

unread,
Oct 30, 2003, 9:47:52 AM10/30/03
to
J_Rekt...@gmx.de (Joachim Rektenwald) wrote
>
> heute habe ich einige Mails mit unter anderem folgenden Texten
> bekommen (siehe unten). Ich wäre fast schon gewillt gewesen den
> Absendern zu glauben, so authentisch sehen diese Mails aus, dazu noch
> in deutscher Sprache, wäre da nicht jedesmal ein ca. 65 kB grosses

Bei mir kamen mittlerweile auch solche an.
Und was mich besonders wundert: Sie haben *meine* e-mail-Adresse als
Absender und sind an (z.B.) many-...@gmx.net gerichtet.

Übrigens kann ich bei gmx online keine ausführlichen header lesen.
Deswegen kann ich nicht verfolgen, auf welchem Wege sie mich
erreichen. Kann mir jemand sagen oder schreiben, wie das geht?

Ciao ... Klaus Peter

Uwe Schröder

unread,
Oct 30, 2003, 9:59:40 AM10/30/03
to
Klaus Peter <k...@gmx.net> schrieb:

>
> Übrigens kann ich bei gmx online keine ausführlichen header lesen.
> Deswegen kann ich nicht verfolgen, auf welchem Wege sie mich
> erreichen. Kann mir jemand sagen oder schreiben, wie das geht?

Rechts oben über "ins Adreßbuch" auf das [=]-Icon klicken. Da steht zwar
"Ausdruck der Header-Informationen", aber sie werden mitnichten
ausgedruckt, sondern lediglich in einem neuen Fenster angezeigt.

usch

Dietmar Braun

unread,
Oct 30, 2003, 2:40:01 PM10/30/03
to
Uwe Sinha schrub:

> Gehört nicht A2000 (wo sehr gern in NL ansässige Nigerianer unterkommen)
> auch irgendwie zu Chello?

Ja, scheint so. Und ja, ich kenne a2000.nl auch nur wegen regelmaessigem
Nigerian Scam.

Dietmar

Juergen Kuehne

unread,
Oct 30, 2003, 2:58:07 PM10/30/03
to
Uwe Sinha <uwes...@srfr2516j.cs.tu-berlin.de> wrote:

> Gehört nicht A2000 (wo sehr gern in NL ansässige Nigerianer unterkommen)
> auch irgendwie zu Chello?

zumindest werden/wurden Änderungen bei whois geändert durch

...@chello.at

a2000.nl-Kunden belieben auch Webseiten nach Verwertbartem abzugrasen
:-(


Grüsse von
Jürgen

Ulf Kutzner

unread,
Nov 4, 2003, 3:41:21 PM11/4/03
to
Turan Fettahoglu schrieb:

> > "Niks wie ungut" --> "ks" statt x, in welchen Sprachen kommt das vor?

Kam die Frage von Dir? Wenn ja, warum schreibst Du sie nicht in eine
neue Zeile?


Zur Antwort: Polnisch kommt ohne 'x' aus, es heißt dort sogar 'Feliks'.

Wie auch immer, werde eine "Vireninformation" im Wert von 67 Kilo bei
web.de geräuschlos entsorgen...

Gruß, ULF

Reply all
Reply to author
Forward
0 new messages