W32.Sober.F@mm. über vdrportal?

Das hat nix mit dem Forum zu tun.

Meine normale Adresse wird momentan ebenfalls überschwemmt (22 Mails in den letzten 10 Stunden). Die hier im Board angegebene Adresse hat keine einzige bekommen.

Ciao,
Chick

Wenn ich richtig liege ist das hier der Server:

Apache/2.0.48 (Gentoo/Linux) PHP/4.3.4 mod_ssl/2.0.48 OpenSSL/0.9.7c Server at www.vdr-portal.de Port 80

Der Wurm ist aber für Windows, somit ist das schon mal ein Ding der unmöglichkeit.

Ansonsten ist der Wurm nicht sehr wählerisch:

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:

abc, abd, abx, adb, ade, adp, adr, asp, bas, cfg, cgi, cls, ctl, dbx, dhtm, doc, dsp, dsw, eml, fdb, frm, hlp, ini, jsp, ldb, ldif, log, mbx, mda, mdb, mde, mdw, mdx, mht, mmf, msg, nab, nch, nfo, nsf, ods, oft, php, pl, pp, ppt, pst, rtf, shtml, sln, tbb, txt, uin, vap, vbs, wab, wsh, xls, xml

Woher kommen die e-mails?

BSI Infos zum Wurm

whitman

Krieg ich auch auch, Unmengen von Emails mit dem Virus. Werden zum Glück rausgefiltert.

Der Virus durchsucht alle Dateien auf der Festplatte mit einer bestimmten Endung, meistens htm, html, asp, php, txt, eml, pab und andere.

Dann werden zufällig zwei Emailadresse ausgewählt. Die eine wird als Empfänger, die andere als Absender eingesetzt.

Da gibts wohl keine Möglichkeit, den infizierten Rechner rauszubekommen?

Zitat

Original von ChickCorea
Da gibts wohl keine Möglichkeit, den infizierten Rechner rauszubekommen?

Du kannst die IP-Adresse des sendenden Rechners aus den Header-Zeilen der Mail heraussuchen, per whois-Abfrage den Provider ermitteln. Als Frontend kann man z.B. iks-jena verwenden.

Danach kann man versuchen, sich bei der Abuse-Abteilung dieses Providers zu beschweren. Allerdings vermute ich, dass die meisten Abusler schon vor der Flut der Viren kapituliert haben

Grüße

Ulrich