Mails von support@microsoft.com

[pepper]

Hallo allerseits!

Ich habe heute zum zweiten Mal eine Email von support@microsoft.com erhalten, ohne dass ich irgendwas angefragt oder mich irgendwo subscribed hätte. Die Emails kamen auf unterschiedliche Adressen, sogar meine Freundin hat eine solche Email auf ihren Privat-Account bekommen.

Der Betreff der ersten Mail lautete, glaube ich, "application", der der zweiten "screensaver".

Der Text der Nachricht selbst etwa: "All information is in the attached file!"

Und dann ist da eine Datei mit der Endung "pif" (laut Endungen.de Program Information File vom Typ Systemdatei) angehängt.

Ich selbst habe die Mails gelöscht (ich lese meistens online,also kein Outlook o.ä.), aber meine Freundin hat diese pif-Datei auf dem heimischen Rechner (auf MEINEM heimischen Rechner) unwissenderdings ausgeführt. Sie sagt aber, es sei nix passiert, bestenfalls der Bildschirm hätte kurz geflimmert (möglicherweise DOS-Box?).

Kennt sich jemand damit (pif-Dateien) aus? Und woher hat MS meine/unsere Adressen?

thx in advance

pepper

[nic_power]

Hallo,

Dabei handelt es sich um einen Wurm:

http://www.fachinformatiker-world.de/forums/showthread.php?s=&threadid=46710

Deine Freundin sollte sich schnellsten einen aktuellen VirenChecker besorgen, "nix passiert" ist ein sehr relativer Begriff!

Nic

[Peeter]

Hau deiner Freundin kräftig auf die Finger.

.pif-Dateien sind die normalen Verknüpfungen in der Windows-Welt. Diese Datei wird aber irgendein Script sein, welches dann einfach nur in ".pif" umbenannt worden ist. Somit wird es von Windows ohne irgendwelche Fragen ausgeführt. Ich nehme mal an, das es ein Wurm sein wird. Deswegen auch das Auftauchen dieser Mail bei euch zur gleichen Zeit.

So und nun zur Mail. Es ist ohne Probleme Möglich den Absender einer Mail vorzutäuschen. Brauchst nur nen offenen Mailserver und ab geht´s. Du kannst jeden x-beliebigen Absender auswählen.

Und derjenige wird deshalb support@microsoft.de als Absender gewählt haben, weil´s vertrauenswürdig klingt!

Peet

[byte]

W32/Sobig.b, W32/Palyh (18.05.) ** recht verbreitet **

Alias: W32.HLLW.Mankx@mm, I-Worm.Sobig.b, I-Worm.Palyh, WORM_PALYH.A

Typ: EXE (Win32), Wurm (~51 KB, UPX-komprimiert)

Betroffen: Windows 95/98/ME/NT/2000/XP

Verbreitung: E-Mail, Freigaben

Absenderangabe: "support@microsoft.com" (gefälscht!)

Betreff/Subject: "Approved (Ref: 38446-263)" | "Cool screensaver" | "Re: Approved (Ref: 3394-65467)"

"Re: Movie" | "Re: My application" | "Re: My details" | "Screensaver" | "Your

details" | "Your password"

Nachricht (E-Mail): "All information is in the attached file."

Anhang: *.pif, Größe ~51 KB (UPX-komprimiert):

application.pif | approved.pif | doc_details.pif | movie28.pif | password.pif

ref-394755.pif | screen_temp.pif | screen_doc.pif | your_details.pif

Symptome: Existenz der Dateien msccn32.exe, hnks.ini, msdbrr.ini im Windows-Verzeichnis,

sowie des Registry-Eintrags "System Tray = %Windir%\msccn32.exe" im Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Schaden: E-Mail-Versand

Gegenmittel: kostenlos bei Bitdefender und Symantec

Quelle(http://www.tu-berlin.de/www/software/virus/aktuell.shtml)

[pepper]

Danke, Leute!

Jetzt bin ich im Bilde. Seltsam nur, dass ich das:

http://www.fachinformatiker-world.de/forums/showthread.php?s=&threadid=46710

über die Suche nicht finden konnte :confused:

sicher wieder n Tippfehler!

Thx @ all!

[hades]

Weiter gehts hier:

http://www.fachinformatiker-world.de/forums/showthread.php?s=&threadid=46710

~~~closed~~~