| Beitragsrückblick für (die neuesten Beiträge zuerst) |
|
cybersquare |
Erstellt: 12:31 am 9. Sep. 2002 |
Computerwurm : WORM_FRETHEM.K [15.07.2002]
WORM_FRETHEM.K ist eine nicht-destruktive, speicher-residente Variante des WORM_FRETHEM.D und verbreitet sich als Deteianhang in einer eMail mit folgenden Inhalten: Subject: Re: Your password! Message Body: You can access very important information by this password DO NOT SAVE password to disk use your mind now presscancel Attachment: DECRYPT-PASSWORD.EXE PASSWORD.TXT Auf Computern mit ungepatchtem Internet Explorer führt sich der Dateianhang automatisch aus, wenn in Microsoft Outlook oder Outlook Express Voransicht (Preview) eingestellt ist.
|
|
DEADTHC |
Erstellt: 11:29 am 22. Juni 2002 |
<a name="YahaE">+++ Wurm Yaha-E 21.06.2002 +++</a>
tec-channel.de:
Neuer Wurm W32/Yaha-E - Klez lässt grüßen
09:01:05
(tecCHANNEL.de, 21.06.2002) Mehrere Anbieter von Antiviren-Software warnen vor dem neuen Mailwurm W32/Yaha-E, der dem Klez-Wurm ähnelt. Der Schädling verfügt über einen eigenen SMTP-Client. Er durchsucht die Windows-Registry nach einem SMTP-Server, bringt aber auch eine eigene Serverliste mit.
Die vom Wurm gesendete Mail variiere sehr stark, berichtet die Computerwoche. Der Text beginnt entweder mit "Hi - Check the Attachment... - See u", "Attached one Gift for u..." oder "wOW CHECK THIS". Der Rest der Botschaft ähnelt einer weiter geleiteten E-Mail. Angehängt ist eine Datei mit unterschiedlichen Namen und Endungen. Eine Kopie des Attachments deponiert der Schädling im Ordner C:\Windows\Temp unter dem Dateinamen "kitkat".
Der Wurm erstellt ferner eine Kopie von sich im Windows-Papierkorb mit einem Namen aus vier zufällig gewählten, klein geschriebenen Zeichen. Deren Pfad wird zum Registrierungseintrag "HKLM\exefile\shell\open\command\default" hinzugefügt. Im Windows-Verzeichnis werden zwei Dateien erstellt - je eine .DLL- und .TXT-Datei - die den Namen der Wurmkopie tragen. W32/Yaha-E versucht, eventuell vorhandene Sicherheits-Software zu deaktivieren. Wenn er erstmalig startet, imitiert er einen Bildschirmschoner.
Zusätzliche Informationen bieten der Report Sicher im Web unterwegs und der Virenscanner-Test. Aktuelle Warnmeldungen finden Sie auch im tecCHANNEL-Virenticker. (Computerwoche/jma)
LINKS:
Trendmicro
tec-channel
PS: Bericht interne Links wurden nicht mit übernommen!
|
|
DEADTHC |
Erstellt: 16:36 am 18. April 2002 |
<a name="Klez"+++ Wurm Klez 18.04.2002 +++</a>
tec-channel.de:
Klez-Wurm kehrt zurück
16:38:29
(tecCHANNEL.de, 17.04.2002) Antivirenhersteller Trend Micro warnt vor einer Rückkehr des Klez-Wurms. Als speicherresidente Variante Klez_G ist der Schädling wieder aufgetaucht.
Wie seine Vorgänger trägt sich Klez_G ins Windows-Verzeichnis und in die Registry ein. Er infiziert ausführbare Dateien und stoppt die Tasks von Antivirenprogrammen. Außerdem verschickt er sich per Mail an die Einträge im Outlook-Adressbuch. Der Wurm kommt wahlweise per Mail mit den Betreffzeilen wie "Hi", "Hello", "How are you?", "Can you help me?" oder "We want peace". Infizieren kann sich ein Benutzer aber auch über eine Webseite. Die aktuellen Virensignaturen der verschiedenen Antivirenhersteller sollen Klez_G erkennen.
Als neuen Service bieten wir Ihnen ab jetzt einen ständig aktualisierten Virenticker. Dort können Sie sich jederzeit über umlaufende Viren, deren Verbreitungsgebiet und die Gefährdungslage informieren. Erreichen können Sie diesen neuen Service direkt über den Link www.tecchannel.de/special/virenticker.html oder unseren Service-Kanal. (uba-tecchannel)
LINKS:
!Trendmicro!
tec-channel
PS: Bericht interne Links wurden nicht mit übernommen!
|
|
DEADTHC |
Erstellt: 16:38 am 26. März 2002 |
<a name="MyLife">+++ UPDATE: Wurm W32.MyLife.F 03.04.2002 +++</a>
UPDATE siehe "Links"
tec-channel.de:
W32.MyLife - Wurm wirbt mit Bill Clinton
22.03.2002 14:37:31
Antivirenhersteller wie Symantec warnen vor einem neuen Schädling mit der Bezeichnung W32.MyLife.B@nmm. Außer der Massenverschickung sei durch eine fehlerhafte Schadensroutine aber keine große Gefahr zu befürchten.
Der Wurm verspricht eine lustige Karikatur des ehemaligen US-Präsidenten Bill Clinton ("look to bill caricature it's vvvery verrrry ffffunny" ). Nach dem Ausführen des Anhangs "cari.scr" wird auch eine Karikatur angezeigt. Unterdessen kopiert sich der Wurm ins Windows-Systemverzeichnis und trägt sich in die Registry ein.
Die Schadensroutine des Wurms versucht, nach dem Neustart des Systems alle Dateien (*.*) aus den Laufwerken C: bis F: zu löschen. Symantec ist es in der Laborumgebung nicht gelungen, diesen Löschvorgang zu reproduzieren. Auch bei Computer Associates und McAfee hat die Schadensroutine versagt.
Mit dieser Karikatur versucht der Wurm, sein schädliches Tun zu verdecken.
Zum Selbstversand nutzt "MyLife" wie gewohnt Outlook und die dort gespeicherten Adressen. Dem in Visual Basic geschriebenen Wurm fehlt zwar jegliche Finesse, laut Symantec hat er dennoch das Potenzial, sich schnell zu verbreiten. Bei McAfee rangiert MyLife im mittleren Risikobereich, dort ist man eher um den eigenen Ruf besorgt. In der Mail mit dem Betreff: "bill caricature", die den Wurm enthält, wird fälschlicherweise behauptet, der McAfee-Scanner habe keine Viren gefunden.
Die aktuellen Virensignaturen der Antivirenprogramme erkennen den Wurm. Einen Test von Virenscannern bietet Ihnen der tecCHANNEL-Artikel Virenscanner im Test. Einen Report über die Entwicklung der digitalen Plagegeister finden Sie hier. (uba-tecchannel)
LINKS:
03.04.02 tec-channel
25.03.02 tec-channel
tec-channel
PS: Bericht interne Links & Bilder wurden nicht mit übernommen!
(Geändert von DEADTHC um 14:07 am April 3, 2002) |
|
Ratber |
Erstellt: 23:01 am 19. Feb. 2002 |
<a name="yan">+++ WORM_YARNER.B +++</a>
Seit Gestern geistert "Yarner" durch die Netze.
Er Tarnt sich als 0190 Warner und verbreitet sich per Mail.
Er soll ne Variante des ANSET-Wurms sein der vor einigen Monaten auftauchte.
Yarner Tarnt sich als Trojaner-Scanner und erscheint als Anhang mit der Endung .EXE.
Er verschickt sich selbst und überschreibt dann die Festplatte mit Datenmüll.
Nähere Auskunft gibt es bei Trojanerinfo.
Dort gibt es auch das echte 0190er Warnprogramm.
LINKS:
tec-channel
trendmicro
(Geändert von DEADTHC um 7:27 am Feb. 21, 2002) |
|
DEADTHC |
Erstellt: 16:28 am 29. Jan. 2002 |
+++ Wurm W32.MyParty 28.01.2002 +++
tec-channel.de:
W32.MyParty-Wurm lockt mit URL
28.01.2002 15:15:49
Die Antivirenhersteller warnen vor einem neuen Wurm namens W32.MyParty@mm. Die Verbreitung des Schädlings soll zügig vonstatten gehen, weil sein Attachement Benutzern einen Link zu einer Web-Seite vorgaukelt.
Die detaillierte Analyse des Schädlings dauert bei den Antivirenexperten noch an. Fest steht, dass hinter der Mail mit dem Betreff New Photos from my Party und dem Attachement www.myparty.yahoo.com ein Schädling steckt, der Outlook-Adressbücher durchforstet. Neu ist die Form des Attachements, das dem Benutzer eine Internet-Adresse vorgaukelt. In Wirklichkeit ist der Anhang eine in C++ geschriebene, etwa 30 KByte große Windows-Applikation, die mittels UPX-Packprogramm gepackt ist, hat Kaspersky Lab herausgefunden. Beim Ausführen öffnet sich also keine Webseite, wie viele Benutzer erwarten.
Dann sucht der Wurm nach Dateien mit der Endung .DBX, mit der unter anderem Outlook Express-Adressbücher gekennzeichnet sind. Der "Partyschreck" bringt eine eigene SMTP-Engine mit, um sich zu verschicken. Scheinbar zur Infektionskontrolle schickt der Wurm außerdem eine leere Mail an die Adresse napser@gala.net, berichtet Kaspersky Lab.
Als unangenehme Nebenerscheinung bringe der Wurm ein Spy-Programm mit, das aber nur unter Windows NT/2000 und XP installiert wird. Unter Umständen kann damit der Rechner über eine Remote-Verbindung kontrolliert werden.
Die Antivirenhersteller haben ihre Signaturen bereits größtenteils auf W32.MyParty eingestellt.
Näheres zu den Computerschädlingen erfahren Sie in den Reports Virentrends: Die Entwicklung der digitalen Plagegeister sowie Computerviren: Grundlagen. Tipps zum Schutz Ihrer Rechner liefern der Artikel Firewall-Grundlagen und unsere Tests von Virenscannern und . (uba-tecchannel.de)
LINKS:
tec-channel
PS: Bericht interne Links wurden nicht mit übernommen!
|
|
DEADTHC |
Erstellt: 4:48 am 29. Jan. 2002 |
+++ Wurm WORM_COUPLE.A 28.01.2002 +++
TrendMicro.de 28.01.2001:
Dieser Worm kommt als Windows geschriebene Datei "COUPLE4U.WRI." Diese beinhaltet drei Icons als Bild Dateien. Das erste Icon beinhaltet den Virus. Die anderen sind Graphikdateien.
Wenn der infizierte Benutzer auf das erste Symbol klickt oder esöffnet, wird eine Kopie des Virus (original Name RESULT.EXE Grösse 412.192 Bytes) ausgeführt und erzeugt im %Windows%Temp Verzeichnis vier Dateien mit zufällig gewählten Namen.
Die erste ist eine .jpg Datei mit der Grösse 18.544 Bytes und wird nur als Tarnung für die Erstellung weiterer Dateien benutzt .
Die anderen Dateien sind zwei ausführbare Dateien, die bereits als TROJ_OPTIXKILL.A und TROJ_SUB7.21B von Trend Micro Produkte erkannt werden.
Die .vbs Datei der Grösse 682 Bytes enthält die Routine für das Verbreiten per eMail. Der Wurm verbreitet sich per MAPI und Microsoft Outlook an alle Einträge des Adressbuches.
Folgend ein Beispiel einer solcher eMail:
Betreff: Nice Couple
Text: They want to meet you. http:// .yahoo.com/youngwifedawn
Anlage:
Da das original .wri Dokument nicht als Anlage verschickt wird, wird es vermutlich beim Klicken auf die URL in der eMail heruntergeladen .
Trend Micro erkennt die Datei als VBS_COUPLE.A Virus.
Lösung:
1. Scannen Sie Ihr System mit einer TREND MICRO Solution und löschen Sie alle Dateien, die als WORM_COUPLE.A, VBS_ COUPLE.A, TROJ_OPTIXKILL.A, und TROJ_SUB7.21B erkannt werden. Trend Micro - Kunden sollten zunächst die aktuellsten Pattern-Dateien laden und in das System einpflegen. Sind Sie kein Kunde von TREND MICRO, können Sie den ICSA-zertifizierten kostenlosen online-scan HouseCall nutzen.
2. Mehr Hinweise zur Säuberung dieser Backdoor Programme finden Sie unter TROJ_OPTIXKILL.A und TROJ_SUB7.21B
muss nun zum zug, bye - und gibt den PC's keine Vitamine damit sie nicht krank werden... es hilft nicht! 
(Geändert von DEADTHC um 4:53 am Jan. 29, 2002) |
|
DEADTHC |
Erstellt: 13:54 am 15. Jan. 2002 |
+++ Virus JS.Gigger.A@mm 15.01.2002 +++
tec-channel.de:
Virus JS.Gigger.A@mm löscht Festplatten
12.01.2002 08:36:19
Ein neuer in Javascript geschriebener Computervirus treib seit gestern sein Unwesen, melden Virenexperten. "Gigger" verbreitet sich via E-Mail und Internet Relay Chat (IRC) und räumt auf der Festplatte ordentlich auf.
Alle Dateien mit den Extensions ASP, HTM und HTML werden infiziert, die Inhalte aller anderen Dateien werden gelöscht. Dies berichtet die Computerwoche. Die befallenen Files bleiben lediglich mit einer Größe von null Bytes auf der Platte zurück. In die Startdatei "autoexec.bat" setzt der Schädling den Befehl, die Festplatte nach einem Neustart des Rechners zu formatieren.
Da vorher alle ausführbaren Dateien unbrauchbar gemacht wurden, schlägt auch ein Reboot fehl. Die Experten raten, Antivirensoftware mit den neuesten Signaturen einzusetzen, um den PC vor Gigger zu schützen. Einen Test aktueller Virenscanner finden Sie hier. Dieser Hintergrundbeitrag liefert Fachwissen zu Virengrundlagen und zeigt Ihnen, wie Sie sich bereits im Vorfeld vor Virenangriffen schützen können. Wissenswertes zum Thema Viren unter Linux finden Sie hier. (Computerwoche/fkh - tecChannel.de)
LINKS:
tec-channel
PS: Bericht interne Links wurden nicht mit übernommen!
|
|
Svenauskr |
Erstellt: 0:47 am 9. Jan. 2002 |
+++ Flash Wurm: SWF/LFM-926 +++
Sophos:
Name: SWF/LFM-926
Type: Shockwave infector
Date: 8 January 2002
A virus identity file (IDE) which provides protection is
available now from our website and will be incorporated
into the February 2002 (3.54) release of Sophos Anti-Virus.
Note: At the time of writing Sophos has received no reports of
this virus in the wild. However, due to its new method of
infection we are issuing this advisory.
Description:
SWF/LFM-926 is the first virus which is capable of infecting
Shockwave Flash (.SWF) files, commonly used for animation and
special effects on websites.
When an SWF file is played the virus displays the message
"Loading.Flash.Movie..." and then it infects other SWF files in
the current directory.
The virus makes use of the ability of Shockwave files to run
scripts. In this case it causes the command line interpreter to
run a debug script which produces a file called V.COM. This file
is then automatically run by the virus infecting all other SWF
files in the current directory.
In testing Sophos has confirmed the Shockwave element of the
virus works when the SWF file is downloaded from an affected
website and opened using the Shockwave player.
Sophos recommends webmasters put in place procedures and
policies to ensure the integrity of the code they place on their
websites, whether it be obviously executable (in the case of,
for instance, EXE and COM files) or Shockwave Flash movies.
Sophos Anti-Virus detects both the ShockWave files and the .COM
file.
Please note: Because the virus can spread itself using the .SWF
file extension Sophos technical support recommends users add SWF
to the list of file extensions which Sophos Anti-Virus scans.
Instructions on how to do this are contained in the Windows
NT/2000/XP, Windows 95/98/Me, OS/2 and NetWare FAQs from
http://www.sophos.com/support/faqs/extensions.html
Faszinierend, würde Spock jetzt sagen. |
|
DEADTHC |
Erstellt: 16:23 am 20. Dez. 2001 |
+++ Weihnachts-Würmer: Maldal und Coolsite 20.12.2001 +++
tec-channel.de:
Maldal & Coolsite
20.12.2001 12:18:41
Zwei neue Würmer verbreiten sich in den letzten Tagen. Die Schädlinge scheinen noch keine globale Infektionswelle ausgelöst zu haben, verfolgen aber neue Ansätze, die in Zukunft die Gefährdung steigern können.
Die großen Antiviren-Hersteller warnen unisono vor den Würmern "W32.Maldal.C@mm" (auch bekannt als "Zacker" und "JS.Coolsite@mm". Maldal erscheint zunächst wie aus dem Lehrbuch für Windows-Würmer konzipiert: geschrieben in Visual Basic, automatischer Versand per Outlook (Betreff: "Happy New Year", Attachement: "Christmas.exe" und Eintrag in die Registry. Außerdem ändert der Wurm den Netzwerknamen des befallenen Rechners in "Zacker".
Danach allerdings aktualisiert sich der Wurm per Web selbsttätig. Er setzt die Startseite des Internet Explorer auf eine neue URL und lädt beim nächsten Start des Browsers von dieser Webseite das Visual-Basic-Skript "Rol.vbs".
Es enthält die eigentlichen Schadensroutinen. Sie umfassen das Löschen von Antivirus-Programmen und das Überschreiben von zahlreichen Dateitypen mit dem VB-Code des Wurms. Zu den befallenen Dateien zählen Office-Dokumente, MP3-Files und JPEG-Bilder. Wie schon bei anderen aktuellen Viren (siehe tecHistory rechts) wird auch die Chat-Software mIRC manipuliert: Alle .ini-Dateien im mIRC-Verzeichnis werden überschrieben, der Wurm versucht sich anschließend auch per IRC zu verschicken, indem die URL der Webseite mit dem Skript an andere User geschickt wird.
Coolsite, der zweite neue Wurm, ist nicht ganz so bösartig. Er kommt in E-Mails mit dem Betreff: "Hi!!" auf den Rechner. Ein Attachement ist hier aber gar nicht nötig. Vielmehr ist in den Text der Mail bösartiger JavaScript-Code eingebettet, der sich eine schon seit Januar dokumentierte und behobene Sicherheitslücke von Microsofts Java-Implementation zu Nutze macht. Auf frisch installierten PCs mit einem originalen Windows 98 oder 2000 ohne Patches kann Coolsite aber zuschlagen.
Er versendet sich jedoch nur per Outlook und ändert die Startseite des Internet Explorer, die anschließend auf einen Porno-Anbieter verweist. Weitere Schadfunktionen sind nicht bekannt.
Für beide Würmer gilt: Die aktuellen Signaturdateien der großen Antiviren-Hersteller wie Symantec, Norman Data Defense, Trend Micro oder Kaspersky Labs erkennen sie. Gerade in der Weihnachtszeit ist aber noch mehr Vorsicht bei vermeintlichen elektronischen Grußkarten angebracht, vor allem, wenn sie Dateianhänge mitbringen.
Informationen zu Würmern und Viren finden Sie in unserem Artikel Computerviren: Grundlagen. Tipps zum Schutz Ihrer Rechner liefern der Artikel Firewall-Grundlagen und unsere Tests von Virenscannern und Personal Firewalls. (nie-tecChannel)
PS: Bericht interne Links wurden nicht mit übernommen!
LINKS:
tec-channel
|
![]() × |
