nicht angemeldet
Obacht! möglicher Weise ein neuer eMail-Wurm / Virus
0 0 0 HTML.MimeExploit virus
Obacht! möglicher Weise ein neuer eMail-Wurm / Virus
Hallo zusammen,
Möglicherweise ein Virus ?/!
ich habe gerade zwei Mails erhalten; eine mit dem Inhalt
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content=text/html;charset=iso-8859-1 http-equiv=Content-Type>
<META content="MSHTML 5.00.2614.3401" name=GENERATOR></HEAD>
<BODY><B>From:</B> aaaaa [xxxx@t-online.de]<BR><B>Sent:</B>
Montag, 29. April 2002 13:53<BR><B>To:</B> yyyy@gmx.de<BR><B>Subject:</B>
Noresize src<BR><IFRAME height=0 src="cid:CPcRo39WMqT30qL8oGA"
width=0>
</IFRAME><FONT size=+0></FONT></BODY></HTML>
.. und eine mit:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content=text/html;charset=iso-8859-1 http-equiv=Content-Type>
<META content="MSHTML 5.00.2614.3401" name=GENERATOR></HEAD>
<BODY><B>From:</B> bbbbb [xxxx@t-online.de]<BR><B>Sent:</B> Montag,
29. April 2002 13:54<BR><B>To:</B> karl@lomodo.de<BR><B>Subject:</B> Japanese
girl VS playboy<BR><IFRAME height=0 src="cid:X84dKh09x7IRS3793m"
width=0>
</IFRAME><FONT size=+0></FONT></BODY></HTML>
hab' beide mit Outlook 98 aufgemacht - bisher nix geschehen, aber das ganze sieht mir nach einem Virus / Wurm aus. In "gesendete Objekte" von Outlook steht jedenfalls nix.
Kann jemand was dazu sagen?
<IFRAME height=0 src="cid:CPcRo39WMqT30qL8oGA" width=0>
<IFRAME height=0 src="cid:X84dKh09x7IRS3793m" width=0>
--> "cid:..." ==> ???
xxxx@t-online.de ist die eMail Adresse eines Freundes - beide Mails tragen die gleiche Adresse aber unterschiedliche friendly names ("aaaaa" und "bbbbb" habe ich ersetzt).
Grüße
K@rl
-
Tach auch,
In "gesendete Objekte" von Outlook steht jedenfalls nix.
Aeh, lass Dir davon nicht unbedingt was vorgaukeln. Soweit ich weiss bringen die meisten Viren heutzutage ihre eigene mail-engine mit, die brauchen Dein Outlook nicht.
Kann jemand was dazu sagen?
<IFRAME height=0 src="cid:CPcRo39WMqT30qL8oGA" width=0>
<IFRAME height=0 src="cid:X84dKh09x7IRS3793m" width=0>--> "cid:..." ==> ???
Sagt mir so jetzt nichts, vermute aber mal dass da irgendwas geladen werden sollte.
Gruss,
Armin
(TheBat-Nutzer)-
Hallo,
Kann jemand was dazu sagen?
<IFRAME height=0 src="cid:CPcRo39WMqT30qL8oGA" width=0>
<IFRAME height=0 src="cid:X84dKh09x7IRS3793m" width=0>--> "cid:..." ==> ???
Sagt mir so jetzt nichts, vermute aber mal dass da irgendwas geladen werden sollte.Bei cid:... handelt es sich im dem Fall um einen Anhang. => Im IFRAME soll der Anhang angezeigt werden, und wenn das 'ne .exe o.ä. ist und Deine Sicherheitseinstellungen in Outlook nicht ausreichend sind (frag mich bitte nicht wie man Outlook absichert, verwende nur Mozilla) dann bist Du jetzt infiziert, da die .exe/sonst was automatisch ausgeführt wurde ...
Grüße,
Christian-
Hallo Christian,
(frag mich bitte nicht wie man Outlook absichert, verwende nur Mozilla)
Deinstallieren?
dann bist Du jetzt infiziert, da die .exe/sonst was automatisch ausgeführt wurde ...
F**k! - Wäre der erste Virus auf einem meiner Rechner in mehr als 10 Jahren.
Also, sehen wir mal .. - Immerhin ist bei mir Outlook so gepatcht, daß .exe Dateianhänge nicht geöffnet werden können. Aber den sonst üblichen Hinweis auf diesen Umstand habe ich auch nicht erhalten.
F*****k!!
Danke für die Infos
K@rl-
Hi,
(frag mich bitte nicht wie man Outlook absichert, verwende nur Mozilla)
Deinstallieren?Microsoft hat in den vergangenen Jahren stets aufs Neue bewiesen, dass dessen Produkte - insbesondere Outlook, aber auch der IE - Sicherheitslecks darstellen, die so groß sind, dass ein Düsenjet durchpasst, der auf einem Flugzeugträger geparkt ist.
Also, sehen wir mal .. - Immerhin ist bei mir Outlook so gepatcht, daß .exe Dateianhänge nicht geöffnet werden können.
Im Grunde wird hier gar nicht Outlook verwendet, sondern die HTML-Anzeigeroutinen des IE, welche sich AFAIK ziemlich dicht am Windows-Core befinden. Vermutlich wurden auf diese Weise die Sicherheitseinstellungen von Outlook _und_ dem IE umgangen - Dein Betriebssystem hat jedenfalls keine Bedenken, eine .exe auszuführen.
Cheatah
-
Hallo,
(frag mich bitte nicht wie man Outlook absichert, verwende nur Mozilla)
Deinstallieren?Inwiefern? Willst Du Emailprogramm wechseln? (dazu würde ich Dir übrigens raten - das rate ich allen Outlook-Usern)
dann bist Du jetzt infiziert, da die .exe/sonst was automatisch ausgeführt wurde ...
F**k! - Wäre der erste Virus auf einem meiner Rechner in mehr als 10 Jahren.Es heißt ja nicht, dass Du infiziert sein musst. Es ist nur warscheinlich.
Also, sehen wir mal .. - Immerhin ist bei mir Outlook so gepatcht, daß .exe Dateianhänge nicht geöffnet werden können. Aber den sonst üblichen Hinweis auf diesen Umstand habe ich auch nicht erhalten.
O je - das sieht in der Tat übel aus; auf jeden Fall einen neusten Virus-Scanner drüberlaufen lassen!
Grüße,
Christian-
Hallo Christian, Cheatah,
Ich hab' mal eine der Messages im .msg Format abgespeichert und angesehen.
Content-Type: multipart/alternative;
boundary=Az5oG5fVr55352U3M31v5eNnqqN2N47Py3AFDen Boundary-String kann ich zumindest nicht finden - schon mal beruhigend. Aber, wie ihr mir zustimmt, das Ding ist ein Wurm/Virus .. und die Frage ist: wie clever ist das Bürschchen. Wenn's wirklich ein Gau ist, werde ich es wohl im Heise Newsticker lesen .. wenn mein Rechner dann noch geht #-/
Grüße
K@rl
-
-
-
-
-
Hallo K@rl!
<IFRAME height=0 src="cid:CPcRo39WMqT30qL8oGA" width=0>
<IFRAME height=0 src="cid:X84dKh09x7IRS3793m" width=0>--> "cid:..." ==> ???
nach kurzem googlen http://www.cnsplug-ins.com/faq.htm?ID=S038Pkvm sieht es so aus als ob das lediglich die html-Daten der Iframes in der Email referenziert.
Möglich wäre weiters etwas wie in http://www.guninski.com/execc.html beschrieben, dazu müsste man den Rest der Mail mal analysieren.
Gruss,
Carsten -
Hallo zusammen,
F-Prot kennt ihn nicht, aber InoculateIT:
Number of infected files not cleaned/deleted/renamed: 3
c:\temp\Homepage.htm (HTML.MimeExploit virus)
C:\temp\Japanese girl VS playboy.htm (HTML.MimeExploit virus)
C:\temp\Noresize src.htm (HTML.MimeExploit virus)Werd' jetzt mal nachsehen, was das für ein Ding ist.
Grüße
K@rl-
HTML.MimeExploit virus
==> doch nicht so genau ...
http://www.vet.com.au/html/zoo/local/zoo_descriptions/mime_exploit.htm
-