[Outbreak] Grote aantallen Sober.i mails *

nergers last van

Ach, ik een aan dat het allemaal Sober.J's zijn? Die gaat als een gek ja, maar dat was al sinds gisterenmiddag het geval... verder nergens last van, af en toe een paar Bagle's en Netskys, maar da's normaal, zijn er ook nog maar een stuk of wat dus..

Ik heb er al meer als vijftig gehad. Normaal krijg ik vijf virussen per dag max binnen.

Gaat echt niet goed lijkt het wel. Allemaal Sober.J.

http://www.waarschuwingsdienst.nl/render.html?it=1030

Die is trouwens aanrader, krijg je gratis per SMS waarschuwing over zulke uitbraken etc.

[ Voor 35% gewijzigd door Verwijderd op 20-11-2004 22:25 ]

Ik heb er sinds eergister een aardige zooi ineens in mn mailbox...

This message has been scanned by MDaemon AntiVirus and was found to
contain infected attachment(s). Please review the list below.

Attachment Virus name Action taken
----------------------------------------------------------------------
re_mail_1344.DOC.zip I-Worm.Sober.i Removed

Maar goed, mn mailservert haalt ze er netjes uit. Overigens heb ik sober.J nog niet langs zien komen.


edit: is dus wel sober.j

Er is een nieuwe variant van het Sober-virus gesignaleerd die snel om zich heen grijpt. Deze nieuwe variant wordt over het algemeen Sober.I genoemd. Alleen McAfee noemt dit virus Sober.J. U ontvangt dit virus in een e-mail.

[ Voor 21% gewijzigd door DJSmiley op 20-11-2004 23:05 ]

Meestal kun je in een mailtje zien van welk IP-adres de mail gestuurd is.

Soms krijg je 50 virussen ineens van 1 IP-adres (dus 1 geinfecteerde pc). Dan is het virus op die pc waarschijnlijk niet helemaal functioneel, en stuurt het zich maar naar een enkel e-mail adres ofzo, of gewoon 50x aan alles wat ie kan vinden .

Ja ik heb er dus enorm last van. Ik heb zelf volgens 2 virusscanner niets, maar de mailtjes die ik binnenkrijg zijn voorzien van subject regels zoals omschreven op een site hoe je het virus kan herkennen. Het is een van de aliassen van

WORM_SOBER.I
W32/Sober.j@MM
Trojan.Win32.VB.qa

Werkt dit virus/spoofing nu op deze manier: Iemand heeft mij in zijn e-mail box van Outlook staan. Vervolgens raakt deze persoon besmet door een mailtje te openen. Is het nu zo dat het virus vervolgens zelf buiten Outlook om met een of andere SMTP-server geheim mailtjes verstuurt met andere afzenderadressen dan die van mijn contact zeg maar? Hoe kan ik er achter komen waar de oorsprong van het mailtje vandaan komt: ik heb hier een header overzicht van een mailtje (let op de 4 vetgedrukte halve IP adressen):

Return-Path: <new_account@aol.com>
Delivered-To: [PRIVE]@freeler.nl
Received: (qmail 27639 invoked from network); 21 Nov 2004 10:08:06 -0000
Received: from unknown ([A.16.4.15])
(envelope-sender <>)
by back02.freeler.nl (qmail-ldap-1.03) with QMQP
for <>; 21 Nov 2004 10:08:06 -0000
Delivered-To: CLUSTERHOST smtp06.freeler.nl [PRIVE]@freeler.nl
Received: (qmail 12420 invoked from network); 21 Nov 2004 10:08:06 -0000
Received: from unknown (HELO wng-06.evisp.enertel.nl) ([B.218.77.206])
(envelope-sender <new_account@aol.com>)
by smtp06.freeler.nl (qmail-ldap-1.03) with DES-CBC3-SHA encrypted SMTP
for <bert@freeler.nl>; 21 Nov 2004 10:08:06 -0000
Received: from buffer-01.evisp.enertel.nl (buffer-01.evisp.enertel.nl [C.218.68.24] (may be forged))
by wng-06.evisp.enertel.nl (8.12.11/8.12.11) with ESMTP id iALA7wMC018458;
Sun, 21 Nov 2004 11:07:58 +0100
Received: from yivioltl.com (l178114.upc-l.chello.nl [d178.114] (may be forged))
by buffer-01.evisp.enertel.nl (8.13.0/8.13.0) with SMTP id iALA7sre003528;
Sun, 21 Nov 2004 11:07:54 +0100 (CET)
From: new_account@aol.com
To: [prive]@freeler.nl (is de hoofdgeadresseerde; ik krijg er redelijk veel binnen waar mijn adres als BCC staat
Date: Sun, 21 Nov 2004 09:59:06 GMT
Subject: Your Password <KEY:6293>
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: <9ce38ce2b9aac64ad2a4@vjubiyhbd.com>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="==cabd246c.bfd1cf4c2db931e7f3"
Content-Transfer-Encoding: 7bit


Mijn vraag; welke, A,B,C of D is nu verantwoordelijk voor het verzenden van de mailtjes?

ralfbosz schreef op maandag 22 november 2004 @ 15:59:
[...]


Mail headers lees je van beneden naar boven, dus d is de verstuurder (een chello account). Kijk ik heb ook bezoek van hem gehad vandaag:

Nov 22 10:32:04 mx1 amavis[9142]: (09142-02-2) Blocked INFECTED (Worm.Sober.I), [*.*.178.114] <?@*.*.178.114]> -> <ontvanger@onvanger.virus>, quarantine: virus-20041122-103204-09142-02-2, Message-ID: <f7baabb3e1db3fa202@quicknet.nl>, Hits: -, 255 ms

Dat is best grappig. Maar hoe kan ik zijn mailtje ontvangen vraag ik me dan af? Ik kan op geen enkele manier in zijn bestand staan, aangezien ik geen enkele chello account als contactpersoon heb. En hoe kan het dat jij daar ook een mailtje vandaan dan krijgt? Lastig

De worm kan je naam ook op andere plekken hebben gevonden, of misschien wel een randomizer. Inmiddels hier al meer dan 5000 virussen per dag en meer dan de helft (3200) is Sober.I. Gaat goed, wel goed voor de cache de we gebruiken, die heeft nu een hoge hit-ratio .

Ik heb nu gewoon minimaal iets van 50 mails per dag met sober virus , en dan zijn er al een grote hoeveelheid tegengehouden door de online spam filter van planet internet. Zeer irritant, maar niks aan te doen jammergenoeg

Ik ook ...iedere dag meerdere Hoe kan ik die het beste verwijderen? Is daar een speciaal tooltje voor misschien?

razoon schreef op donderdag 25 november 2004 @ 19:45:
Ik ook ...iedere dag meerdere Hoe kan ik die het beste verwijderen? Is daar een speciaal tooltje voor misschien?

email adres weggooien

ik ga mijne in ieder geval wegtyfen.. het email adres waar ik ze op krijg wordt alleen gebruikt door mij om me in te schrijven bij internetwebshopsjes en bol.com etc en voor dingen als tweakers en andere fora..

damn heb er ook flink last van en dat mail adres weggooien is ook geen mogelijkheid (alleen maar nooit meer gebruiken).

mooi klote is het niemand nog een idee?

nemol schreef op vrijdag 26 november 2004 @ 10:50:
damn heb er ook flink last van en dat mail adres weggooien is ook geen mogelijkheid (alleen maar nooit meer gebruiken).

mooi klote is het niemand nog een idee?

Waarom zou je je adres weggooien? Het is toch geen spam. Als je er toch wat aan wil doen kan je d.m.v. de ip-adressen en whois de herkomst van de mails achterhalen en dit dan bij abuse melden of indien bedrijfssite etc. direct aanmailen.

Bij mij is de grote hoeveelheid gisteren opeens opgehouden. Of de provider heeft een manier gevonden om het tegen te houden, of meer mensen hebben hun virus problemen opgelost.

-Yalhambra-
"Bij mij is de grote hoeveelheid gisteren opeens opgehouden. Of de provider heeft een manier gevonden om het tegen te houden, of meer mensen hebben hun virus problemen opgelost."

de meeste mails lijken mij verzonden via bedrijfsnetwerken; daar is het nu weekend...

Hier is het een paar dagen (sinds donderdag) stil geweest, nu in een uur zo'n 50 binnen! Gebruik mailwasher voor de filtering.
Ik wordt knettergek daarvan, ik vind dat die bedrijfsnetwerken maar eens moeten worden aangepakt. Het zijn notabene professionals die zich met de beveiliging hadden moeten bezig houden.

ik was gister bij een kennis en die krijgt echt continue mailtjes met dat sober virus binnen
norton antivirus detecteert het sober virus en haalt de attachments ook netjes uit de mailtjes

maar... die mensen maken gebruik van ISDN en zo'n attachment is toch een aantal KB en gemiddeld worden er zo'n 20 tot 30 besmette e-mails PER KEER binnengehaald waardoor je zo een aantal minuten bezig bent om die mailbox leeg te halen
en dan heb je die mailbox leeg en dan zit hij vrijwel direct weer vol met mailtjes

ze bellen in met planet en hebben ook hun mailbox bij planet, maar als ik inlog via webmail op de planet homepage dan zie ik misschien 8 normale mailtjes staan en 4 besmette mailtjes (dus geen 30 besmette mailtjes)
maar ga ik nou via outlook express de mailbox leegmaken dan zitten er wel 30 besmette mailtjes in

op de pc draait windows xp met sp2 en norton antivirus die helemaal up2date is
ik heb ook de removal tool bij symantec gedownload en gedraaid en die zegt dat hun pc niet besmet is

ik snap er echt niks van hoe het nu in elkaar zit
iemand een verklaring hiervoor?

sober heeft een eigen smtp-engine...

beascob schreef op donderdag 02 december 2004 @ 09:38:
sober heeft een eigen smtp-engine...

dat had ik gelezen... maar smtp is om te versturen (zodat het virus zichzelf kan verspreiden naar ANDERE computers)

als ik een removal tool van symantec draai die aangeeft dat de pc niet besmet is, dan mag ik er toch vanuit gaan dat het virus niet actief is op de computer en dus ook geen gebruik maakt van z'n smtp functie

het probleem is juist dat er mailtjes opgehaald worden die je niet via webmail ziet staan in de mailbox

Een aantal mailservers van klanten van ons zijn inmiddels ook getroffen door sober.. De ingebouwde SMTP server van sober detecteerd andere locale mailservers en bounced zo dus via onze eigen mailservers onder onze naam

Gelukkig heeft de removal tool goed geholpen

Verwijderd schreef op donderdag 02 december 2004 @ 09:31:
ze bellen in met planet en hebben ook hun mailbox bij planet, maar als ik inlog via webmail op de planet homepage dan zie ik misschien 8 normale mailtjes staan en 4 besmette mailtjes (dus geen 30 besmette mailtjes)
maar ga ik nou via outlook express de mailbox leegmaken dan zitten er wel 30 besmette mailtjes in

Maakt planet niet gebruik van submapjes in hun webmail. Denk aan bv de Junkmail box van outlook.

hessel schreef op donderdag 02 december 2004 @ 13:27:
[...]


Maakt planet niet gebruik van submapjes in hun webmail. Denk aan bv de Junkmail box van outlook.

je ziet alleen:
- postbus
- concepten
- prullenbak
- verzonden

maar ik heb vanmiddag eens gebeld en het lijkt nu in elk geval minder te worden... komt nog een enkel besmet mailtje binnen en geen tientallen meer