|
|
|
|
|
DEADTHC
aus Wernberg
offline
Real OC or Post God !
22 Jahre dabei !
Intel Core i5
|
     
+++ NEUES ZU NIMDA 02.10.2001 +++
tec-channel.de berichtet:
SecurityFocus: Anti-Nimda-Tool ist ein Trojaner
02.10.2001 10:15:48
Unter falscher Flagge kommt ein Trojaner in die Mailboxen von Anwendern. Als Nachricht von SecurityFocus und TrendMicro getarnt, bringt die Mail eine verseuchte EXE-Datei mit, deren Dateiname einem Tool gegen Nimda ähnelt.
Bei SecurityFocus ist man derzeit noch nicht sicher, was die EXE-Datei anrichtet. Man sei noch dabei, den Code zu analysieren. Fest steht aber, dass die Mail nicht von SecurityFocus oder TrendMicro stammt und dass der Dateianhang Fix_Nimda.EXE nicht authentisch ist. Das Original-Tool von TrendMicro heißt Fix_Nimda.com.
Bei der Tarnung hat sich der Absender der gefälschten Mail einige Mühe gemacht. Als Absender ist aris-report@securityfocus.com angegeben. Wird die EXE-Datei ausgeführt, erscheinen am Bildschirm Meldungen, die dem Benutzer die versprochene Nimda-Desinfektion vorgaukeln. Die ebenfalls im Anhang vertretene Readme-Datei ist eine Kopie der von TrendMicro herausgegebenen Anweisung für die Abwehr von Nimda.
SecurityFocus weist ausdrücklich darauf hin, dass bisher noch nie EXE-Dateien verschickt wurden, und das auch in Zukunft nicht geschehe. Die Mail, die SecurityFocus zur Zeit verschickt, um den Schwindel aufzuklären, ist übrigens echt.
Ausführliche Informationen zu Nimda lesen Sie in einer früheren Meldung. Tipps und Links zu den Abwehrmöglichkeiten finden Sie hier.
Weitere Hintergründe zu Virentechnologien bieten unser Grundlagenbeitrag zum Thema wie auch der Report: Viren unter Linux. Einen Test aktueller Virenscanner finden Sie hier.(uba tec-channel.de)
LINKS:
tec-channel
PS: Bericht interne Links wurden nicht mit übernommen!
(Geändert von DEADTHC um 16:36 am Okt. 2, 2001)
|
Beiträge gesamt: 10047 | Durchschnitt: 1 Postings pro Tag
Registrierung: Mai 2001 | Dabei seit: 8372 Tagen | Erstellt: 16:34 am 2. Okt. 2001
|
|
|
|
DEADTHC
aus Wernberg
offline
Real OC or Post God !
22 Jahre dabei !
Intel Core i5
|
+++ Wurm-W32/Klez bettelt um Beachtung 29.10.2001 +++
tec-channel.de:
Wurm-W32/Klez
29.10.2001 13:19:37
Antiviren-Spezialist Sophos warnt vor einem neuen Wurm namens W32/Klez. Der Schädling nutzt eine seit März bekannte Schwachstelle in Microsoft-Programmen und scheint damit Erfolg zu haben.
Alias-Namen für W/32Klez sind Klaz und W32/Klez@MM. Der Wurm kommt per HTML-Mail und trägt als Mail-Anhang eine komprimierte Kopie des W98/Elkern-Virus, berichtet unser Schwestermagazin "PC Welt". Alternativ könne sich ein Internet-Benutzer auch durch den Besuch einer präparierten Website infizieren. Klez trägt sich ins Windows-Verzeichnis und in die Registry ein. Außerdem verschickt er sich per Mail an die Einträge im Windows-Adressbuch und kann dadurch eine Mail-Lawine verursachen.
Die Betreffzeile der E-Mail lautet wie folgt: "Hi", "Hello", "How are you?", "Can you help me?", "We want peace", "Where will you go?", "Congratulations!!!", "Don't cry", "Look at the pretty", "Some advice on your shortcoming", "Free XXX Pictures", "A free hot porn site", "Why don't you reply to me?", "How about have dinner with me together?", "Never kiss a stranger". Der Name der angehängten Datei mit dem Virus wird ebenso zufällig erzeugt wie die Absenderangabe, die meist von yahoo.com, hotmail.com oder sina.com stammt.
Die Mail wird als HTML-Text verschickt und enthält folgenden Inhalt: "I'm sorry to do so, but it's helpless to say sorry. I want a good job, I must support my parents. Now you have seen my technical capabilities. How much my year-salary now? No more than ,500. What do you think of this fact? Don't call my names, I have no hostility. Can you help me?".
Der Wurm nutzt für seine Verbreitung eine schon lange bekannte MIME-Schwachstelle in einigen Versionen von Microsoft Outlook, Outlook Express und im Internet Explorer 5.01 und 5.5 aus. Das entsprechende Security Bulletin MS 01-020 sowie Links zu den Patches finden Sie hier.
Weitere Informationen bieten der Internet-Explorer- Bug-Report und der Virenscanner-Test. (uba tec-channel.de)
LINKS:
PC-Welt
tec-channel
PS: Bericht interne Links wurden nicht mit übernommen!
+++ Trend Micro News +++
TrendMirco informiert::
Computerwurm : PE_NIMDA.E [30.10.2001]
PE_NIMDA.E ist ein sich schnell verbreitender Internet-Wurm, der am schnellsten via eMail die Zielsysteme erreicht (Attachment: SAMPLE.EXE). Er startet mehrere Infektionsroutinen, indem er verschiedene Sicherheitslöcher nutzt.
Trojaner : TROJ_PWS.REDNECK [30.10.2001]
Dieser Trojaner kann als Password-Sammler und Key-Log eingesetzt werden. Die gesammelten Informationen werden via Internet eMail an den Autor gesendet.
Trojaner : TROJ_KLEZ.B [30.10.2001]
Der speicherresidente Backdoor-Trojaner ermöglicht den Fernzugriff auf infizierte Systeme, hat jedoch keinen destruktiven Schadteil.
LINKS:
TrendMirco PE_NIMDA.E
TrendMirco TROJ_PWS.REDNECK
TrendMirco TROJ_KLEZ.B
|
Beiträge gesamt: 10047 | Durchschnitt: 1 Postings pro Tag
Registrierung: Mai 2001 | Dabei seit: 8372 Tagen | Erstellt: 16:25 am 30. Okt. 2001
|
|
|
|
|
|
DEADTHC
aus Wernberg
offline
Real OC or Post God !
22 Jahre dabei !
Intel Core i5
|
+++ Weihnachts-Würmer: Maldal und Coolsite 20.12.2001 +++
tec-channel.de:
Maldal & Coolsite
20.12.2001 12:18:41
Zwei neue Würmer verbreiten sich in den letzten Tagen. Die Schädlinge scheinen noch keine globale Infektionswelle ausgelöst zu haben, verfolgen aber neue Ansätze, die in Zukunft die Gefährdung steigern können.
Die großen Antiviren-Hersteller warnen unisono vor den Würmern "W32.Maldal.C@mm" (auch bekannt als "Zacker") und "JS.Coolsite@mm". Maldal erscheint zunächst wie aus dem Lehrbuch für Windows-Würmer konzipiert: geschrieben in Visual Basic, automatischer Versand per Outlook (Betreff: "Happy New Year", Attachement: "Christmas.exe") und Eintrag in die Registry. Außerdem ändert der Wurm den Netzwerknamen des befallenen Rechners in "Zacker".
Danach allerdings aktualisiert sich der Wurm per Web selbsttätig. Er setzt die Startseite des Internet Explorer auf eine neue URL und lädt beim nächsten Start des Browsers von dieser Webseite das Visual-Basic-Skript "Rol.vbs".
Es enthält die eigentlichen Schadensroutinen. Sie umfassen das Löschen von Antivirus-Programmen und das Überschreiben von zahlreichen Dateitypen mit dem VB-Code des Wurms. Zu den befallenen Dateien zählen Office-Dokumente, MP3-Files und JPEG-Bilder. Wie schon bei anderen aktuellen Viren (siehe tecHistory rechts) wird auch die Chat-Software mIRC manipuliert: Alle .ini-Dateien im mIRC-Verzeichnis werden überschrieben, der Wurm versucht sich anschließend auch per IRC zu verschicken, indem die URL der Webseite mit dem Skript an andere User geschickt wird.
Coolsite, der zweite neue Wurm, ist nicht ganz so bösartig. Er kommt in E-Mails mit dem Betreff: "Hi!!" auf den Rechner. Ein Attachement ist hier aber gar nicht nötig. Vielmehr ist in den Text der Mail bösartiger JavaScript-Code eingebettet, der sich eine schon seit Januar dokumentierte und behobene Sicherheitslücke von Microsofts Java-Implementation zu Nutze macht. Auf frisch installierten PCs mit einem originalen Windows 98 oder 2000 ohne Patches kann Coolsite aber zuschlagen.
Er versendet sich jedoch nur per Outlook und ändert die Startseite des Internet Explorer, die anschließend auf einen Porno-Anbieter verweist. Weitere Schadfunktionen sind nicht bekannt.
Für beide Würmer gilt: Die aktuellen Signaturdateien der großen Antiviren-Hersteller wie Symantec, Norman Data Defense, Trend Micro oder Kaspersky Labs erkennen sie. Gerade in der Weihnachtszeit ist aber noch mehr Vorsicht bei vermeintlichen elektronischen Grußkarten angebracht, vor allem, wenn sie Dateianhänge mitbringen.
Informationen zu Würmern und Viren finden Sie in unserem Artikel Computerviren: Grundlagen. Tipps zum Schutz Ihrer Rechner liefern der Artikel Firewall-Grundlagen und unsere Tests von Virenscannern und Personal Firewalls. (nie-tecChannel)
PS: Bericht interne Links wurden nicht mit übernommen!
LINKS:
tec-channel
|
Beiträge gesamt: 10047 | Durchschnitt: 1 Postings pro Tag
Registrierung: Mai 2001 | Dabei seit: 8372 Tagen | Erstellt: 16:23 am 20. Dez. 2001
|
|
Svenauskr
aus Krefeld
offline
Real OC or Post God !
22 Jahre dabei !
AMD T-Bred
1466 MHz @ 2200 MHz
43°C mit 1.65 Volt
|
  
+++ Flash Wurm: SWF/LFM-926 +++
Sophos:
Name: SWF/LFM-926
Type: Shockwave infector
Date: 8 January 2002
A virus identity file (IDE) which provides protection is
available now from our website and will be incorporated
into the February 2002 (3.54) release of Sophos Anti-Virus.
Note: At the time of writing Sophos has received no reports of
this virus in the wild. However, due to its new method of
infection we are issuing this advisory.
Description:
SWF/LFM-926 is the first virus which is capable of infecting
Shockwave Flash (.SWF) files, commonly used for animation and
special effects on websites.
When an SWF file is played the virus displays the message
"Loading.Flash.Movie..." and then it infects other SWF files in
the current directory.
The virus makes use of the ability of Shockwave files to run
scripts. In this case it causes the command line interpreter to
run a debug script which produces a file called V.COM. This file
is then automatically run by the virus infecting all other SWF
files in the current directory.
In testing Sophos has confirmed the Shockwave element of the
virus works when the SWF file is downloaded from an affected
website and opened using the Shockwave player.
Sophos recommends webmasters put in place procedures and
policies to ensure the integrity of the code they place on their
websites, whether it be obviously executable (in the case of,
for instance, EXE and COM files) or Shockwave Flash movies.
Sophos Anti-Virus detects both the ShockWave files and the .COM
file.
Please note: Because the virus can spread itself using the .SWF
file extension Sophos technical support recommends users add SWF
to the list of file extensions which Sophos Anti-Virus scans.
Instructions on how to do this are contained in the Windows
NT/2000/XP, Windows 95/98/Me, OS/2 and NetWare FAQs from
http://www.sophos.com/support/faqs/extensions.html
Faszinierend, würde Spock jetzt sagen.
Listen, here's the thing. If you can't spot the sucker in the first half hour at the table, then you ARE the sucker.
|
Beiträge gesamt: 17202 | Durchschnitt: 2 Postings pro Tag
Registrierung: Mai 2001 | Dabei seit: 8376 Tagen | Erstellt: 0:47 am 9. Jan. 2002
|
|
|
|
|
|
eace BeTweeN AmeriCa And IsLaM !" Der Textkörper heißt: "Hi iS iT A waR Against AmeriCa Or IsLaM !? Let's Vote To Live in Peace!". Der schädliche Mailanhang trägt den Namen WTC.EXE. 