Neue Schädlingsgeneration mit Sober-M [Jans Weblog]

Neue Schädlingsgeneration mit Sober-M

Heute sind hier einige Sober-M Varianten aufgeschlagen. Soweit eigentlich erst mal nichts besonderes. Allerdings sind das die ersten Schädlingen, die sich per E-Mail verbreiten und keine direkte Zustellung versuchen, die ich gefunden habe. Das heisst, dass die Mails nicht mehr direkt vom Dialup Host bei uns (vergeblich) eingeliefert werden, sondern scheinbar über den offiziellen Mailversand des Betroffenen verschickt werden. Hier ein Beispielheader: Received: from int-fw.etes.de (gateway.etes.de [172.16.42.1]) by intranet.etes.de (Postfix) with ESMTP id DC92617EE0 for ; Tue, 19 Apr 2005 08:14:31 +0200 (CEST) Received: from neo.etes.de (neo.etes.de [62.138.35.75]) by int-fw.etes.de (Postfix) with ESMTP id 50C722D95D for ; Tue, 19 Apr 2005 08:14:31 +0200 (CEST) Received: from localhost (localhost [127.0.0.1]) by neo.etes.de (Postfix) with ESMTP id 873E610042 for ; Tue, 19 Apr 2005 08:14:28 +0200 (CEST) Received: from neo.etes.de ([127.0.0.1]) by localhost (neo.etes.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 11659-34 for ; Tue, 19 Apr 2005 08:14:20 +0200 (CEST) Received: from mailgate.etes.de (mailgate.etes.de [62.138.35.66]) by neo.etes.de (Postfix) with ESMTP id 0EBE010010 for ; Tue, 19 Apr 2005 08:14:18 +0200 (CEST) Received: from smtp08.web.de (smtp08.web.de [217.72.192.226]) by mailgate.etes.de (Postfix) with ESMTP id 942BD6298B for ; Tue, 19 Apr 2005 08:13:52 +0200 (CEST) Received: from [213.7.67.68] (helo=fisvqhef) by smtp08.web.de with asmtp (WEB.DE 4.104 #268) id 1DNlz8-0001Al-00; Tue, 19 Apr 2005 08:13:23 +0200 Die Mail wurde also über einen SMTP-Server von WEB.DE eingeliefert. Damit entfällt das bislang mächtigste und einfache Filterkriterium der Einlieferung von Dialup-Hosts für diese neuen Schädlinge. Schade. Ich hoffe nur, dass es noch etwas dauert, bis die SPAM-Bots diese Versandmethode auch verwenden. Weitere Informationen zu Sober.M gibt es bei Sophos. Dort ist diese Feinheit allerdings bislang noch unerwähnt.

Geschrieben von Jan Theofel am 19.04.2005 um 10:47 Uhr (Permalink)
Abgelegt unter Antispam

TrackBacks für »Neue Schädlingsgeneration mit Sober-M«

5 Kommentare zu »Neue Schädlingsgeneration mit Sober-M«

Sicher?
WEB.DE Virenschutz: Zur Zeit verbreitet sich der Virus W32.Sober.N alias WORM_SOBER.M Ihr Postfach ist geschützt, bitte aktualisieren Sie auch die AntiVirus Software auf Ihrem PC.

Wenn es stimmt das die Viren über Web.de verschickt werden können, spricht das aber nicht wirklich für den Virenschutz von Web.de.
Beängstigend das auch freenet (IP 213.7.67.68) den Virus ungehindert passieren lies. Was wiederum dafür spricht das das ganze Virenschutzgedöns der Mail-Anbieter oft mehr leere Werbeversprechen sind als wirkungsvolles Filtern.

1 | Ralf | 19.04.2005 um 14:23

Ich glaueb nicht, dass der Virenschutz auch in den kostenlosen WEB.DE-Paketen mit dabei ist. Ausserdem bezieht sich so ein Shcutz fast immer nur auf eingehende aber nicht auf ausgehende E-Mails. Daher will das nicht viel sagen. Und eingehend können eigentlich auch immer Viren durchrutschen. Es reicht, wenn der Virus eine Minute vor dem Signaturupdate für den Virenscanner am Server eingeht... Da ist selbst WEB.DE machtlos.

2 | Jan Theofel | 19.04.2005 um 14:25

@Ralf: Die Freenet IP ist eine Dialin IP und hat die Mail direkt bei web.de eingeliefert. Wie/Wo soll Freenet da bitte rechtens was filtern? @Jan: Hast du oder das Postfach bei web.de ggf. eine Weiterleitung aktiv die an irgendwas[at]etes.de geht? Ich lese überall, dass der Virus eine 'eigene' SMTP-Engine hat was ich momentan versuche zu überprüfen. Wenn er tatsächlich eine eigene SMTP-Engine besitzt kann er nur direkt an irgendwas[at]web.de eingeliefert haben - wenn nicht nutzt er ggf. die eingestellten SMTP Server des Users.

3 | Stefan Funke | 20.04.2005 um 0:31

Nein, es kann sich definitiv um keine Weiterleitung handeln, da ich keine solchen besitze. Diese Form der Einlieferung kann ich auch bei Kunden entdecken, bei denen Accounts wie info@, sales@, etc. betroffen sind. Auch für diese existieren sicher keine Weiterleitungen von WEB.DE und Co.

Soweit ich inzwischen weiss, gab es bislang auch schon vereinzelte Schädlinge, die die SMTP Settings des Anwenders ausgelesen und verwendet haben. Allerdings hatten die sicher nicht die massenhafte Verbreitung von Sober.M. Alleine gestern morgen bis 10:00 Uhr sind davon ca. 100 Stück durch unsere Mailserver gewandert - und das ist zimlich viel, wenn man bedenkt, dass die meisten SMTP-Server ein Versandlimit pro Benutzer haben.

Die Aussage "eigene SMTP-Engine" muss nicht unbedingt der Aussage "liesst SMTP-Verbindungsdaten aus Outlook aus" wiedersprechen. Auch die eigene SMTP-Engine kann clever genug sein, einen offiziellen SMTP-Server zu verwenden. Unter "eigener SMTP-Engine" verstehe ich daher nur, dass er sich nicht einem Hilfsprogramm wie i.d.R. Outllok bedienen muss um sich zu versenden.

Fatale Folgen könnte so ein Virus vor allem in einem internen Netzwerk mit einem hauseigenen SMTP-Server haben. Denn diese haben meistens kein Sendelimit eingetragen, so dass so Sober.M leicht komplette Firmennetzwerke über die internen Mailserver lahmlegen könnte.

4 | Jan Theofel | 20.04.2005 um 9:35

Kommentare werden moderiert und erscheinen daher ggf. zeitverzögert. Bitte nur themenbezogene Kommentare abgeben die sich auf diesen Eintrag beziehen.

Name: E-Mail: URL: Daten merken? Dein Kommentar: (HTML Tags sind zugelassen)

ACHTUNG: Es gilt meine Anti-SPAM-Policy! Werbende Kommentare und SEO-Linkspam werden nicht freigeschaltet. Statt dessen sende ich eine Beschwerde an den Profiteur der Werbung.
Bei persönlichen Meinungen bitte keine Links zu kommerziellen Projekten sonder zu eurer privaten Seite.