Dbcfpqpd.exe

Guenter_dzk_e1c18b · 21. September 2003 um 11:07

Absender: „Network Message Delivery Service“
Betreff: Failure Notice
Anlagen: part1.html,dbcfpqpd.exe

hallo Leute,

habe gerade eine Mail mit diesen Daten bekommen, mein letzter Kontakt (kein Sex) mit einem AOL-ler liegt ca. 10 Tage zurück.

Hat jemand eine Ahnung, was das sein könnte, wo man das im www online checken lassen kann oder will ihn jemand (kostenlos) als Laborratte haben?

mfg Günter

SylviaM · 21. September 2003 um 12:34

Hallo Günter,

es wird doch meist von der Seite der Männer behauptet, Frauen seien so neugierig! Warum löschst Du die Mail nicht einfach, wenn Du nichts erwartest? Damit wärst Du auf der sichersten Seite! Oder ist die Neugier doch etwa soooo groß?

Kopfschüttelnd,
SylviaM

Guenter_dzk_e1c18b · 21. September 2003 um 13:13

hallo Sylvia,

Das hat wenig mit Neugier zu tun, das Löschen wäre dagegen Ignoranz. Über meine Webseite, bzw. die Mailsadressen dort werden seit Wochen Mails versandt. Allerdings offensichtlich nicht in so großen Massen, denn ich habe bis jetzt lediglich 4 zurück bekommen. Heute ist zum ersteen Mal auch ein Anhang dran.

Inzwischen habe ich mir das Ding genauer angesehen:

Absender scheint zu sein: [email protected]

Es handelt sich um ein Mail im HTML-Format und darin ein iframe

Im Anhang dbcfpqpd.exe ist zu finden:

Content-Id:

Damit dürfte klar sein, dass es sich um einen Virus handelt, denn dbcfpqpd.exe soll sofort ausgeführt werden.

Nun bleibt noch die Frage, um welchen Virus es sich handelt. Den Quelltext kann ich sehen, aber der sagt nichts weiter aus (mir zumindest nicht).

Einfach löschen ist normalerweise gut, mache ich auch oft. In diesem Fall benutzt man aber meine Adresse als Absender, da möchte ich schon etwas mehr darüber erfahren. Allerdings kenne ich mich damit eigentlich nicht so gut aus, deshalb mein Posting hier.

mfg Günter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Philipp_Oehler · 21. September 2003 um 13:28

Ich krieg seit ein paar Tagen auch solche Mails.
ACHTUNG! DAS IST EIN VIRUS!
Es ist der neue (alte) „Swen“-Virus, der sich in den letzt Tagen als als Microsoft-Sicherheitpatch o.ä. tarnt.

Guenter_dzk_e1c18b · 21. September 2003 um 13:50

Ich krieg seit ein paar Tagen auch solche Mails.
ACHTUNG! DAS IST EIN VIRUS!
Es ist der neue (alte) „Swen“-Virus, der sich in den letzt
Tagen als als Microsoft-Sicherheitpatch o.ä. tarnt.

hallo Phillip,

Ich habe es gewagt, den Anhang mal zu speichern und ihn bei kasperski labs online prüfen lassen, es ist I-Worm.Swen. Richtig!

Info: http://www.kaspersky.com/de/news.html?id=989639

mfg Günter

Merit · 21. September 2003 um 16:09

Hallo Günter,

Du solltest Dir schleunigst einen eigenen Virenscanner zulegen.
Ich finde es ziemlich gewagt heutzutage, Emails auf blossen Verdacht als virenverseucht oder harmlos einzustufen, und gegebenenfalls dann erst zu fragen, ob das jemand für Dich testet.
Das kann auch mal ins Auge gehen.
Korrigier mich, falls ich das falsch aufgefasst habe, aber so verstehe ich Deine Vorgehensweise.

Viele Grüße
Merit

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Guenter_dzk_e1c18b · 21. September 2003 um 17:12

Hallo Günter,

Du solltest Dir schleunigst einen eigenen Virenscanner
zulegen.
Ich finde es ziemlich gewagt heutzutage, Emails auf blossen
Verdacht als virenverseucht oder harmlos einzustufen, und
gegebenenfalls dann erst zu fragen, ob das jemand für Dich
testet.
Das kann auch mal ins Auge gehen.
Korrigier mich, falls ich das falsch aufgefasst habe, aber so
verstehe ich Deine Vorgehensweise.

Viele Grüße
Merit

hallo Merit,

einen Virenscanner habe ich tatsächlich nicht. Was ich allerdings laufen lasse, ist Ad-aware und YAW 3.5, die Sache mit den Dialern ist mir tatsächlich zu heiß.

Mails öffne ich grundsätzlich als Text und jetzt kannst du mich korrigieren, denn ich gehe davon aus, dass das ungefährlich ist. Die Mail war leer, nur 2 Anhänge: part1.html und dbcfpqpd.exe. Das Mail habe ich dann im Text-Format abgespeichert und es kam das iframe in part1.html zum Vorschein:

Dann habe ich dbcfpqpd.exe gespeicht, zugegeben mit einigen Bedenken, und es bei Kaspersky online getestet. Inzwischen weiß ich allerdings, dass der Check dort auch funktioniert, wenn man die gespeicherte Mail im Text-Format anbietet:

quelle.txt/[From „Network Message Delivery Service“][Date Sat, 20 Sep 2003 21:27:01 +0200]/html Verdacht: Exploit.IFrame.FileDownload
quelle.txt/[From „Network Message Delivery Service“][Date Sat, 20 Sep 2003 21:27:01 +0200]/dbcfpqpd.exe Infiziert: I-Worm.Swen

Also muss man nicht das Risiko eingehen, und den Anhang erst als exe speichern.

Das ganze über txt zu machen, scheint mir eigentlich sicher, da irre ich mich doch nicht?

Um den Weiterversand über das Adressbuch zu verhindern, sind darin alle Adressen falsch: [email protected], [email protected], [email protected]
Will man sie verwenden, sollte man natürlich immer die überzählichen Buchtaben entfernen.

Bis jetzt habe ich alle Mails bereits auf dem Server gelöscht, in diesem DFall sind es aber zurück kommende Mails, die unter meiner Absenderadresse versandt worden waren. Das möchte ich denn doch etwas genauer wissen.

mfg Günter

DannyFox64 · 22. September 2003 um 23:33

Hallo Günter!

Absender: „Network Message Delivery Service“

Betreff: Failure Notice
Anlagen: part1.html,dbcfpqpd.exe

Hattest Du folgenden Thread verfolgt:

http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…
(ist teilweise schon archiviert)?

Er gibt etwas Aufschluss, wenngleich die „Lösung“ des, ich sag mal neuartigen „Viren-Spammings“ extrem problematisch ist.

Nun, vielleicht hilft’s…

Grüsse DannyFox64

Guenter_dzk_e1c18b · 23. September 2003 um 11:21

Hallo Günter!

http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…
(ist teilweise schon archiviert)?

Er gibt etwas Aufschluss, wenngleich die „Lösung“ des, ich sag
mal neuartigen „Viren-Spammings“ extrem problematisch ist.

Grüsse DannyFox64

hallo,

danke für den Hinweis, hab’s noch nicht gelesen, aber scheint aufschlussreich zu sein.

Das Problem ist,

dass Mail-Adressen unserer Domain offensichtlich als Spam-Absender genutzt wurden,
sich Leute bereits Viren eingefangen haben und der Meinung waren, dass sie von unserer HP stammen (kann man natürlich ausschließen),
an Mail-Adressen, die auf der HP veröffentlicht sind, Viren-Mails verschickt werden (per Weiterleitung auch an mich).

Da die Besucher der HP z.T. Anfänger sind, die die Sachlage kaum einschätzen können, kommt natürlich einige Unruhe auf. Mancher reagiert unsicher und ängstlich und zieht völlig falsche Schlußfolgerungen. Von dem Ärger, den sie sich einhandeln, und der Vermutung, unsere HP wäre der Ausgangspunkt, mal ganz abgesehen.

Zumindest ist es also notwendig, die Leute über die tatsächlichen Hintergründe zu informieren. Man kann nicht davon ausgehen, dass sie alle die aktuellen Virenwarnungen kennen oder irgend welche Foren „IT-Sicherheit“ besuchen. Also muss ich zunächst mal erkunden, was da so abläuft und kann solche Mails nicht einfach in den Müll befördern, wie es oft geraten wird.

mfg Günter

DannyFox64 · 23. September 2003 um 17:00

Chewpapa_22ca98 · 25. September 2003 um 11:12

Hallo Günter,

Absender scheint zu sein: [email protected]

Wie kommst Du darauf? Die Adresse ist natürlich genau so falsch wie in den Mails, die Deine Domain im Absender haben. Die Fälschung scheint so gut zu sein, daß gößere Provider bisher vergeblich nach der Quelle suchen.
Inzwischen sind auch so viele Rechner verseucht und verbreiten diese Mails, daß der Urheber sicher keine mehr versenden muß.
Swen wird uns noch einige Zeit erhalten bleiben, weil er offensichtlich auch die IP-Adresse im Absender fälscht.

cu Rainer