Liegt nur daran, dass mich hunderte von Trotteln in ihren Adressbüchern haben, was mir garnicht gefällt. :( Ausserdem scheint meine Verwandt- und Bekanntschaft (von wo wohl die Viren kommen) ziemlich doof zu sein. ) Mir ist das egal, ich jag die alle durch den Spam-Filter, wo sie in der Regel eh gleich hängen bleiben. Outlook oder IE nutze ich sowieso nicht... :) Trotzdem meine ich, dass sober die Absenderadressen ebenfalls aus den Adressbüchern übernimmt (von daher hab ich ja wie gesagt auch schon Mails mit sober Inhalten von einer meiner eMail Addys erhalten.)

LGH,

ich wollte Dir überhaupt nicht auf den Schlips treten, sorry, falls Du das so aufgefaßt hast.

Ich wollte Euch nur dabei unterstützen, die Quelle ausfindig zu machen.

Basti, Du hast *74mal* sober-Mails bekommen...? Ich würd' sagen, das ist Deutscher Rekord. :-))

Also, dann melde ich mich auch mal zu Wort, da ich ja angeblich der Schuldige sein soll.

1. Mein Computer ist schon seit über einem Jahr mit dem Norton Antivirus geschützt, und Auto-Update versorgt mich stets mit den aktuellsten Virendefinitionen. Sowohl eingehende als auch ausgehende Mails werden nur über Norton Antivirus versendet.

2. Ich habe besagte Mail jetzt selbst einmal erhalten (mit meiner E-Mail Adresse als angeblicher Absender!), und diese wurde sofort vom Antivirusprogramm entdeckt, und das Attachment wurde isoliert. Dies beweist doch, dass meine installierten Virendefinitionen durchaus in der Lage sind, diesen Virus zu erkennen.

3. Laut Hans kommt die Mail ja gar nicht über unseren Server, sondern über oemcomputer.de

4. Um trotzdem noch einmal WIRTKLICH sicher zu gehen, habe ich mir jetzt von der Adresse, die Martin Ganteföhrt angegeben hat (securityresponse.symantec.com) das Tool FixSober.exe runtergeladen. Der Sober-Virus wurde nicht auf meinem Computer gefunden.

Fazit: Ich bin ziemlich sicher, dass die E-Mails nicht von mir kommen. Bleibt nur noch die Frage, wo der Wurm meine Adresse her hat.

Äh, das versteh ich jetzt nicht. ) Was spricht dagegen, die Absenderadressen aus den eMails eines OE-Adressbuchs zu verwenden? Hab z.B. gestern rund 74 Sober-Viren in meinem eMail Postfach gehabt, davon ganze 3, die direkt über meine eMail Addy verschickt wurden, die aber absolut privat ist und nur in Adressbüchern anderer User zu finden sein sollte - eigentlich zumindest.

Für's Verschicken stimmt das auch.

Wenn sober aber auch bei der Absenderadresse so arbeiten würde, könnten die verschickten Mails immer nur von falsch verwendeten, aber trotzdem realen Adressen stammen, und das ist nicht so.

Äääh, ich dachte, Sober greift auf das Adressbuch von Outlook zurück? Dementsprechend kann jeder Rechner betroffen sein, bei dem LGH im Adressbuch steht. Und das könnten viele unserer Leser sein!

Ich habe die Mail auch angeblich von lgh bekommen und bei mir lief sie über den server OEMCOMPUTER.de

Stimmt, Sober spoofed u.U. auch die Absenderadresse. Aber soviel ich weiß, wird die Fälschung willkürlich zusammengesetzt. Nachdem LGHs Adresse faktisch existent ist, liegt m.E. die Vermutung nahe, daß die Mail von dem Wurm aus dem direkten Umfeld von Adventure-Treff versandt wurde -- oder manuell so adressiert worden ist.

Ja, der Absender existiert. Aber es ist nicht schwer einen Absender zu fälschen, man müßte schauen über welchen Server es gesendet wird. Wenn es nicht über unseren Server gesendet wurde liegt es nicht an LGH sondern einfach an Jemand anderen. Und dafür braucht man den Header der Email die ich nicht mehr habe :!:
Du kannst mir gerne eine (!!) solche Email nochmal senden wenn Du die auch bekommen hast, dann schaue ich mal nach.

Der Absender LGH exisitiert aber bei Euch, oder...? Wenn ja, dann ist er der 'Schuldige'. :-)

Mein Rechner ist sauber, habe einen aktuellen Virenscanner und benutze kein Outlook - von mir kann es also nicht kommen. Vielleicht doch von LGH, habe den Header nicht geprüft sondern gleich gelöscht...

Das ist eindeutig der W32/Sober.

http://securityresponse.symantec.com/avcenter/venc/data/Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Sieht aus, als hätte der sich über einen Eurer Accounts verschickt - ich würde also sagen, *IHR* solltet mal schnellstens Eure Computer checken. :-)