Eine neue Version des Nimda-Wurms ist aufgetaucht.
Bisher treibt Nimda.E sein Unwesen nur im asiatisch-pazifischen Raum.
Nimda.E scheint neu kompiliert zu sein und unterscheidet sich von den Vorgängervarianten in einigen Details.
Der Mailanhang heißt jetzt "Sample.exe" statt "Readme.exe".
Der Wurm lädt nun statt der "Admin.dll" die Systemdateien "Cool.dll" und "Httpodbc.dll" aus dem Netz.



Sollten Ihr eine Mail mit diesem Anhang erhalten, AUF KEINEN FALL ÖFFNEN

Danke für Info !

ja,ebenfalls danke für die Info

Tip!

Java deaktivieren und keine Smilies mehr benutzen.

:D :dunce: ;) :chatter: :pint1: :pc1: :sblink: :smokin: :bandit:

das hilft beim EMail-Anhang und eine Exe-Datei aber wenig. :)

Ganz wichtig: ActiveX deaktivieren.

Was die Emails angeht: wer so etwas öffnet, hat es meiner Meinung nach gar nicht anders verdient. Wer nicht genug Intelligenz und/oder gesunden Menschenverstand besitzt, um zu wissen, daß man nicht einfach so irgendwelche Programme, die man per Email bekommen hat, ausführt, sollte einfach die Finger von Computern lassen.

SB ;)

@dawn

Soweit ich weiß besteht das Problem aber auch darin, daß
1. angehängte Programme sich beim Öffen der MAIL ausführen, und daß
2. Programme manchmal nicht am Datienamen zu erkennen sind, sondern ganz unschuldig auf *.txt o.ä. enden.

Da hilft es meines Wissen, wenn man a) mails gleich löscht (am besten solche vom Chef) und b) mails in Browser-basierten Programmen öffnet, z.b. Yahoo, etc..

Sei's drum!

@dawn: Ich gehe mit Dir konform, daß die meisten User zu dumm zum Nutzen Ihrer PCs sind und das dann dadurch auszugleichen versuchen, indem sie dumme Virenwarnungen (meistens HOAXes) als Kettenmail versenden. Die Pest über ihr Haupt!

Wer unaufgefordert von Unbekannten gesendete .exe files ausführt verdient, was er bekommt. Vielleicht ist er naechstes Mal schlauer. Ebenso, wer die ganze Microsoftprogrammplörre von outlook etc benutzt, ohne an den Einstellungen was zu ändern, denn dann öffnen sich alle Anhänge automatisch...
Zu empfehlen ist hier zum Beispiel Eudora (gibts kostenlos bei www.tucows.de), das alle Anhänge einfach auf einem vorher bestimmten Ordner ablegt, wo man sie ERST scannen und DANN öffnen kann. Soviel zu Microsoft, dem Hauptsicherheitsrisiko im Netz. Ebenso empfiehlt es sich, bereits im Betreff Anhänge in Art und Zahl anzugeben, damit sich nichts einschleicht. Alles was verdächtig ist einfach löschen, ohen es zu öffnen. Wer verdächtigen Kram schickt, braucht sich nicht zu wundern, wenn er nicht ankommt.
Eine weitere gute Maßnahme ist ein guter Virenscanner (seit langem gute Erfahrung mit Norton Antivir (Das ist keine Schleichwerbung, es ist einfach so!)) und eine gute Firewall (hier benutze ich gerne Zonealarm, soweit ich weiß, ist er für Privatpersonen kostenlos). Mit einer guten Firewall und einem guten und richtig konfigurierten Virenscanner kann man die meisten Viren und Würmer relativ gut ausbremsen.

So. Ich habe fertig!

freitag

@Black
Also ich würde niemanden als DUMM bezeichnen, der sich evtl. zum ersten Mal mit einem PC beschäftigt. Auch Du warst irgendwann mal ein Anfänger - also das Wort DUMM ist wohl total fehl am Platze!
Es gibt doch wohl auch andere Leute, die sich nicht so gut mit einem PC und dem Internet/Mails auskennen und da finde ich es gut, wenn man solchen Leuten einen Tip gibt, dass da eine Mail im Umlauf ist, die man auf gar keinen Fall öffnen sollte!

Warum sollte jeder einmal Lehrgeld zahlen? Besser ist es doch, wenn man den Neulingen in der großen IT-Welt ein wenig auf die Sprünge hilft, bevor ein Unglück passiert!
Die meisten wissen doch gar nicht, dass man sich durch solche eine Mail nicht nur seinen eigenen PC infiziert!

Stell Dir mal vor, dass es unserer Sekretärin letztens auch noch passiert ist eine Mail zu öffnen, in der ein Virus gut getarnt versteckt war und was passierte.........600 Mails sind innerhalb 5 Minuten aus ihrem Rechner verschickt worden, da dieser Virus sofort in das Adressbuch gewandert ist und die Mail augenblicklich weitergeleitet hat!

Firewall - da glaube ich auch, dass sich nur ein Bruchteil damit auskennt - muß ja auch nicht sein - als Privatperson habe ich da auch nichts so wichtiges auf meinem PC - Schutz ist wichtig, aber das sollten eigentlich die Provider erledigen!

In einem Punkt geben ich Dir recht - ein jeder sollte einen Virenschutzprogramm auf seinem Rechner haben! Ich habe z.B. McAffee und fahre damit ziemlich gut - aber sehr viele Antivirenprogramme sind ziemlich gut......


Viele Grüße
Maik

@gismick

Also ich würde niemanden als DUMM bezeichnen, der sich evtl. zum ersten Mal mit einem PC beschäftigt. Auch Du warst irgendwann mal ein Anfänger - also das Wort DUMM ist wohl total fehl am Platze!

Wenn man irgendetwas tut, wovon man nichts versteht, dann kann man das wohl nicht gerade als schlau bezeichnen. Es gibt genug Bücher, Zeitschriften und Websites, aus denen man sich informieren kann. Wer das nicht tut, ist selbst schuld.

Es gibt doch wohl auch andere Leute, die sich nicht so gut mit einem PC und dem Internet/Mails auskennen und da finde ich es gut, wenn man solchen Leuten einen Tip gibt, dass da eine Mail im Umlauf ist, die man auf gar keinen Fall öffnen sollte!

Das ist der Punkt, man muß es nämlich nicht. Es gab schon so viele Viruswarnungen, und wer daraus nicht allgemeingültige Verhaltensregeln ableiten kann, sondern vor jedem neuen Virus einzeln gewarnt werden muß, sollte vielleicht von der Benutzung anspruchsvoller technischer Geräte wie PCs absehen.

Firewall - da glaube ich auch, dass sich nur ein Bruchteil damit auskennt - muß ja auch nicht sein - als Privatperson habe ich da auch nichts so wichtiges auf meinem PC

Wenn Du nur damit spielst, vielleicht schon. Trotzdem kann er auch dann noch für dDOS-Attacken und ähnliches mißbraucht werden. Im übrigen sind Firewalls wie ZoneAlarm wirklich derart leicht zu bedienen, wer das nicht schafft, dürfte auch mit allem anderen, wozu man einen PC benutzen kann, überfordert sein.

- Schutz ist wichtig, aber das sollten eigentlich die Provider erledigen!

Dazu müßte der Provider so viel über Deine Programme, Konfigurationen, etc. wissen, daß jeder Datenschützer (zu Recht) entsetzt wäre.

Hallo @all

Das sich jemand bereit erklärt aktuelle Viren vorzuwarnen finde ich einen guten Service, noch besser finde ich, wenn wir diesen Thread dazu benützen uns gegenseitig zu informieren.

...übrigens im Outlook hat man auch die Möglichkeit sich die Inhalte eines Mails im Vorschau-Fenster anzusehen ;)

...übrigens, für Firewall-Interessierte habe ich auch noch was:
In der aktuellen Ausgabe der Zeitschrift C't ( http://www.heise.de/ct/ ) wurden 10 Firewalls für Heim-PCs getestet. Erstaunlicherweise haben Freeware-Produkte besonders gut abgeschnitten - teils sogar besser als Norton oder McAfee. Ich habe die Freeware "Tiny Personal Firewall 2.0" inkl. PDF-Doku gedownloadet ( http://www.heise.de/ct/01/23/links/174.shtml ). Sie passt auf eine einzige Diskette. Ich finde, eine Installation auf dem Heim-PC könnte sich vielleicht lohnen.

...übrigens lohnt sich das Lesen der Doku - hier ist die Funktionsweise von Firewalls gut beschrieben.

PS. da es sich um Freeware handelt, habe ich auch keine Aktien beim Hersteller.

Gruss Indio

Vorsicht Indio !

Das mit dem Vorschaufenster in Outlook kann ganz schnell in die Hose gehen. Das Vorschaufenster ist naemlich im Grunde das gleiche wie das Oeffnen der Mail.

Gruss Muggsy

Danke, Danke, Danke!

Laß Dich drücken! Du sprichst mir aus der Seele.

Erfreut, daß ich nicht allein bin:

freitag

"Das sich jemand bereit erklärt aktuelle Viren vorzuwarnen finde ich einen guten Service, noch besser finde ich, wenn wir diesen Thread dazu benützen uns gegenseitig zu informieren."

Im Prinzip ist das ja keine schlechte Idee, aber warum einen VW - Käfer bauen, wenn es einen Porsche schon gibt?

Schaut doch einfach regelmäßig bei den einschlägigen Seiten wie zB. www.heise.de oder www.hoax-info.de rein. Da steht alles aktuelle über Viren, was man brauchen kann. Es gibt sogar bei hoax-info eine gute Suchfunktion. Was braucht man mehr?

Zu empfehlen wäre Hoax-Info auch zu konsultieren, BEVOR man Virenwarnungen oder Kettenbriefe weiterleitet, da dort die meisten Falschmeldungen aufgeführt sind. Sollte die Meldung dort nicht zu finden sein und man ein unstillbares Sendungsbewußtsein haben kann man die Warnung ja immer noch weiterleiten, vielleicht tuts ja irgendwo bei einem unbedarften User doch was gutes, wer weiß...

von Kettenmails genervt:

freitag

@Indio
Gut das Du einen Hinweis auf eine Firewall gibst, die leicht zu bedienen ist - wird sicherlich vielen weiterhelfen, die "Dumm" sind.

@Black_Friday
Eine Viruswarnung auf diesem Board und in diesem Thread ist kein Kettenbrief - und ausserdem mußt DU ja hier nicht lesen, dann wärst Du in keinsterweise gestört.


@Black_Friday @Dawnrazor
Ihr könnt davon ausgehen, dass ich hier nicht jeden kleinen "Pups" rein setzen werde, sondern nur wirklich schwerwiegende Viren, die ggf. auch eine befallen können wenn man einer der besten Firewalls hat! Dies ist meinem Unternehmen auch mal zu einem Messebeginn passiert - da machste nix!
Nichts für ungut Ihr Zwei - ich habe diesen Thread extra aufgemacht und wirklich wichtige Sachen anderen mitzuteilen.

Aber dank Euch für die Kritik, die ich mir auch gerne anhöre und auch gerne verarbeite, aber man sollte wohl wirklich nicht einen neuen User dazubringen sich mit allen Dingen sofort auszukennen - dies ist absolut nicht möglich!

Jeder fängt mal an und hat genug Probleme seine Programme zu beherschen und man rechnet auch nicht unbedingt mit Hackern genausowenig wie Neulinge bei Aktienkäufen, die auf gewissen Boards in Grund und Boden belogen werden, so dass einige derbe finanzielle Verlust hinnehmen mußten.
Ebenso die Hotline Telefonnummer über die auch ein Thread betreits läuft.............

Es gibt viele Fallen und wenn wir uns alle helfen würden, dann würde es weniger Probleme geben und die, die keinen Rat mehr brauchen, die könnten ggf. anderen helfen.


Starke helfen Schwachen!

Gruß
gismick

Hab noch was vergessen....


@Black_Friday
Im Prinzip ist das ja keine schlechte Idee, aber warum einen VW - Käfer bauen, wenn es einen Porsche schon gibt?

Darum! Weil sich nicht jeder einen Porsche leisten kann und auch ein schwaches Auto ist ein gutes Auto und bringt mich von A nach B! Käfer können für alle da sein - Porsche nur für wenige - also aich die Hilfe für den Käfer und nicht für den Porsche!

"Starke helfen Schwachen"
Das kann ich so nur unterschreiben. Es wäre schön, wenn jeder so denken würde! Über die Art sinnvoller Hilfe sind wir wahrscheinlich unterschiedlicher Meinung, aber dadurch leben wir ja in einer bunten Welt. :-)

Und die Porsche - Käfer Geschichte ist schließlich und endlich nur eine Metapher, die man so ernst nicht nehmen sollte. Ich dachte, daß durch die recht konkreten Vorschläge zu verhalten, Software und Links zum Thema in meinen Postings jeder den "Porsche" nutzen kann, zumal, wenn er für Umme fährt...

Sollte jemand gezielte Fragen haben, die ich vielleicht beantworten kann, so werde ich mich gerne bemühen, eine Antwort zu finden.

Zum Thema NIMDA: In dieser Hinsicht war das Posting vielleicht gar nicht SO unnötig, auch wenn ich weiterhin meine, daß jeder, der unbekannte .exe Dateien öffnet eine Formatierung seiner Festplatte als Lehrgeld einplanen sollte, nämlich, daß dieser Virus eine ganz neue Qualität besitzt. Aber vor der wird die Warnung vor exe Dateien auch nicht schützen.

Gruß

freitag

@Muggsy

Hatte damit noch nie Probleme, bei .exe's oder .vbs's passiert da gar nix, solange ich das eingegangene Mail nicht doppelklicke !
Funktioniert also, wenn aber einem VirusMail ein javascript angehängt ist, könnte ich dies nicht bestätigen, dies habe ich aber bis heute noch nie gesehen (Wird auch nur noch eine Frage der Zeit sein !)

@friday

Ich finde den Service deshalb gut, weil ich mich mehrheitlich im Aktienboard befinde ;) und nicht auf einer Website irgendeines AntiVirensoftware-Anbieters !

Gruss Indio

44 Prozent surfen ohne aktuellen Virenschutz
08.11.2001
Symantec - Trotz steigender Gefahr, sich beim Surfen im Internet einen Virus einzufangen oder ausspioniert zu werden, sind 44 Prozent der PC- und Mac-Nutzer nicht mit aktuellem Virenschutz ausgerüstet. 36 Prozent der untersuchten Computer waren demnach für unautorisierte Zugriffe zugänglich und beinahe 80 Prozent hinterliessen ihre Spur im Internet durch mangelhafte Einstellungen des Web-Browsers. Dies sind die erschreckenden Ergebnisse von 390'723 Sicherheitsüberprüfungen von Computern, die von ihren Besitzern zum kostenlosen Online-Test zu Symantec geschickt wurden. Insgesamt haben über 6 Millionen Anwender weltweit den kostenlosen Dienst in Anspruch genommen. Viele PC-Nutzer sind sich nicht bewusst, welch leichtes Ziel sie für Angriffe aus dem Internet sind und glauben, mit der einmaligen Installation eines Virenschutz-Programms auf Dauer geschützt zu sein. Nachlässigkeit beim Aktualisieren der Virendefinitionen, mangelnde Sicherheitseinrichtungen persönlicher Firewalls und lückenhafte Browsereinstellungen sind offene Türen für Angriffe aus dem Cyberspace.

Ich sag ja nicht, daß es die Leute nicht gibt, ich sage nur, daß es für jeden einfach ist, sich zu informieren und (kostenlos/kostenguenstig) zu schuetzen. Wer das dann nicht tut, dem ist nicht zu helfen. Wie gesagt, wenn jemand Fragen hat kann er sie in diesem Thread gerne stellen, denn wir alle wollen ja eine weitere Verbreitung von Viren verhindern. Wenn ich einen Tip oder eine Lösung für ein bestimmtes Problem weiß, werde ich mir gerne die Zeit nehmen und es posten.

freitag :)

@ Indio

leider ist Nimda der erste virus der sich auch per JavaScript verbreitet. Nimda kann sich über VIER verschieden Wege verbreiten. Meines Wissens nutzt aber Nimda JS nur bei infizierten Webservern (Morosoft IIS). Mann kann sich dadurch auch schon beim Besuch von infizierten Websiten "anstecken".
In diesem Fall wäre das Deaktivieren von JS die einzige Möglichkeit - oder keinen Internetexplorer verwenden, da alle anderen Browser wenigstens vorher nachfragen.

zum Thema Firewalls:
leider sind Firewalls nicht so einfach zu bedienen, wie z.B. Zonealarm einem Glauben Macht. Ein unbedarfter Anwender wiegt sich so möglicherweise in in illusorischen Vorstellungen über seine Sicherheit. Auch schüren sie manchmal nur Panik, da gerade Zonealarm in der Standardeinstellung schon bei der kleinsten Nichtigkeit Alarm schlägt, denn z.B. ein Portscann sagt noch garnichts. Ich habe dieses Programm u.a. aus diesem Grunde wieder abgeschafft. :rolleyes:

Nehmt Linux dafür!!!!

STI

Linux ist eh die Lösung :D

freitag

Habe gerade leere EMail ohne Absender und ohne Betreff erhalten.
Auch über Details war Absender nicht sichtbar.
Enthielt eine GAHCBAGA.EXE Datei als Dateianhang.

Weiß jemand etwas darüber ?

Kann Dir leider nicht helfen, da ich bei Symantec und Hoax-info nichts gefunden habe. Meine Lösung wäre: Attachment sofort löschen, aus dem papierkorb entfernen und nocheinmal mit dem Virenscanner das System überprüfen. So eine mail stinkt! Ausserdem denke ich mir in so einem Fall: Wer so seine Mails verschickt braucht nicht damit zu rechnen, daß sie ankommen.

Gruß

freitag

Hast Du den Dateinamen auch sicher richtig geschrieben?

freitag

Hab ihn extra aufgeschrieben. Der ist richtig

Ich würde die Datei einfach löschen und nachher nochmal scannen

freitag

@plasir

also, habe weder bei Symantec noch sonstwo etwas zu einem Virus mit dem Namen <GAHCBAGA.EXE> gefunden.

Hast Du schon im Mail-Header geschaut. Je nach Mailprogramm zeigt die Detailinformation nicht ganz alles an. Vieleicht ist darüber mehr herauszubekommen.

Aber ich nehme mal an, daß die Datei eh schon Nirvana verschwunden ist.

STI

Hallo u. willkommen an Board STI! :D :dunce:

Danke für Info. Aber über Outlook war nichts in Detailinformation herauszubekommen.
Egal....wie du schon richtig vermutet hast, ist die Datei und Mail ins Nirvana verschwunden.... :)

Neuer Virus.......

Achtet bitte wieder einmal auf Euren Posteingang.......

Sollte Ihr eine Mail bekommen mit:

Betreff:
RE:

und sonst nix und der Absender ist nicht bekannt, dann nicht anklicken, sondern sofort löschen.....ggf. installiert sich der Virus durch Eure Software, die Ihr auf dem Rechner habt, sofort von selbst.


Gruß
gismick

Moin,

der Virus von dem gismick schreibt heißt BadTrans. Dabei handelt es sich um einen Wurm. Im Text der HTML-Mail kann "Take a look to the attachment" stehen.
Genaueres bitte unter http://www.heise.de/newsticker/data/lab-26.11.01-000/ nachlesen.

Mit der neuesten Virendefinitionsliste sind die meisten Antivirenprogramme in der Lage den Wurm wieder zu entfernen.

Also wünsche ich allen, daß sie von diesem Virus (und anderen) verschont bleiben....

Gruß, STI

@STI
Vielen Dank für Deinen Beitrag, der das Ganze konkretisiert!



Schutzmaßnahmen gegen den neuen E-Mail-Wurm "BadTrans"

Verschiedene Hersteller von Anti-Viren-Programmen warnen vor mehreren Varianten des E-Mail-Wurms BadTrans. Im Text der HTML-Mail kann "Take a look to the attachment" stehen, das Subject ist leer oder enthält "Re:" und die Bezeichnung des Anhangs besteht neben einem interessant klingenden Dateinamen aus der Extension ".doc", ".mp3" oder ".zip" sowie der Endung ".pif" oder ".scr". Mögliche Dateinamen könnten "YOU_are_FAT!.TXT.pif", "New_Napster_Site.DOC.scr" oder ähnliche sein. Auf ungepatchten Systemen nutzt der Wurm auch die IFRAME-Sicherheitslücke.

Beim Ausführen des Attachments durch unvorsichtige Benutzer erscheint eine Dialogbox "Install error" mit dem Inhalt "File data corrupt: probably due to a bad data transmission or bad disk access". Der Wurm kopiert sich selbst als "INETD.EXE" ins Windows-Verzeichnis, installiert eine Backdoor als "KERN32.EXE", "Kernel32.exe" oder "Kernel.exe" und den Key-Logger PWS-AV als "HKSDLL.DLL" oder "KDLL.DLL" im System-Ordner und sorgt über Einträge in der Win.ini und in der Registry für die automatische Ausführung derselben beim Systemstart.

BadTrans verschickt sich dann an Absender unbeantworteter E-Mails aus dem Outlook-Verzeichnis und soll die IP-Adresse des befallenen Rechners an den Autor übermitteln, der dann über die Backdoor Zugriff auf persönliche Daten und über den Key-Logger auch auf Passworte erlangen könnte.

Des weiteren versucht das Attachment sich sofort selbst zu installieren und sieht dann wie folgt aus!

Sucht erst einmal nach den beiden unten angegebenen Dateien ob es Euch erwischt hat oder nicht....

Dieser Bad Trans Virus ist ein sogenannter Trojaner und versendet sich an alle im E-Mail-Adressbuch
vorhandenen Adressen und könnte zum Beispiel einen Anhang haben, der wie folgt aussieht "images.DOC.pif".
Dieser Virus sieht im Hintergrund nach Informationen wie Kennwörter, Kontonummern etc. - sammelt diese und stellt diese dem Virenautor zur Verfügung.

Falls Ihr betroffen seit, dann folgende Vorgehensweise:

1. Windows im Abgesicherten Modus starten.

2. In der Registry von Windows ist folgender Eintrag zu löschen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion
\RunOnce\kernel32.exe
(Anm: Die Registry-Datenbank von Windows lässt sich folgendermaßen
öffnen --> START-Butten anklicken, Ausführen... auswählen und "regedit"
eingeben. und funktioniert wie der Explorer!)

3. Im Verzeichnis "C:\WINNT\system32\" sind die Dateien "KERNEL32.EXE" und
"kdll.dll" zu löschen. Diese wurden vom Virus angelegt. (Anm.: Die Datei ist
nicht mit der Windowssystemdatei
kernel32.ddl zu verwechseln und statt C:\WINNT\ kann bei Windows 95, 98 auch
C:\WINDOWS\ das Systemverzeichnis sein.)

hoffe - Ihr seit nicht betroffen.....

Glück gehabt, oder könnte er sich sonst noch wo verstecken?

Zum Hintergrund: Mehrere meiner Bekannten hat es bereits erwischt, und auch wenn mir in den letzten Tagen nichts sonderbares aufgefallen ist, so kann man doch nie sicher sein!!!

SB :cool:

Mitlerweile sind die Schadensroutinen von BadTrans etwas besser bekannt. zum Glück scheint der Wurm nicht sehr gut gemacht zu sein....

"Der Wurm überprüft im Sekundenabstand die Titelzeile des
aktuellen Fensters. Nur wenn deren Inhalt mit den drei Buchstaben

LOG
PAS
REM
CON
TER
NET

beginnt, startet er die Aufzeichnungsfunktion und protokolliert für 60 Sekunden alle Tastatureingaben mit. Diese versendet er an eine E-Mail-Adresse aus einer eingebauten Liste."

Quelle: http://www.heise.de/newsticker/data/ju-29.11.01-000/

Ansonsten gibt es unter http://www.bitdefender.com/html/free_tools.php kostenlose Tools um Viren wie BadTrans.B zu entfernen.

Auch wenn der Wurm nicht ganz so schlimm zu sein scheint wie zuerst angenommen, so handelt es sich trotzdem um einen Keylogger, der Passwörter protokolieren kann und an eine eingebaute e-mailadresse sendet.

Wer aber halbwegs mit gesundem Verstand seine Mails betrachtet/öffnet braucht eigentlich nicht viel zu befürchten.

STI

Noch ein Nachtrag:


Wer nach einer Infektion mit dem Mail-Wurm BadTrans befürchtet, dass der Wurm Passwörter oder andere geheime Informationen gestohlen haben könnte, kann jetzt selbst nachsehen. BadTrans legt die ausgespähten Informationen in der Datei C:\windows\system\cp_25389.nls ab -- allerdings in verschlüsselter Form.


Unter http://www.av-test.de gibt es ein Tool, mit dem die Verschüsselten Passwörter entschlüsselt werden.

Quelle: http://www.heise.de/newsticker/data/ju-30.11.01-000/

STI

Moin gismick!

Sag mal, kann sich dieser fiese Wurm auch über Chatprog`s wie ICQ und den MSN Messenger weiterverbreiten?

So long
Howie :smokin:

Grüß Dich Howie,

hmmmm gute Frage - ich werde diese Frage mal etwas näher untersuchen und Dir anschließend eine 100% positive oder negative Antwort geben!

Im Moment würde ich mich zu 90% darauf festlegen, dass sich solch ein Virus in einem Chat-Programm wie u.a. ICQ oder NetMeeting oder MSN nicht einschleichen kann - unmöglich ist dies sicherlich nicht, aber der Nutzen für den Betreiber eines solchen Virus ist nicht so hoch! Durch den Virus per Mail kann er viel schneller einen großen Schaden anrichten und dass nicht nur bei Dir, sondern durch das sofortige Weiterleiten natürlich auch bei Freunden, Bekannten oder Firmen ect....
Im Chat bleibt ein Virus so ziemlich Rechnergebunden - ich sag mal, wenn Du kein Mailing geöffnet hast, dann wäre im äußersten Notfall nur Dein Rechner betroffen!

Betreiber von Viren wollen aber in der Regel ganze Konzerne oder Branchen lahm legen und deshalb wird es wohl immer nur Viren via Mail geben, da sich Firmen relativ wenig im Chat aufhalten!

Howie wie gesagt, ich mache mich mal schlau und Du bekommst noch eine 100% Antwort, ok?

Gruß
gismick

Moin gismick,

thnxs für die schnelle Antwort. Wenn Du 100%-ig Entwarnung geben kannst, stelle es hier ein!

Ich denke, es wäre sehr wertvoll, weil die Dinger von sehr vielen genutzt werden. Und alle könnten dann halt aufatmen. :rolleyes:

So long
Howie :smokin:

Wie könne Viren auf den PC gelangen?
Ich benutze keine Outlook, kann ich davon ausgehen, das mich die Viren eher seltener befallen?

SB :confused:

SB, Du siehst das völlig richtig - ohne Outlook oder einem anderen Postfach ist es einem Virus wesentlich schwieriger auf Deinen PC und seinen Informationen zu gelangen!

Wichtig wäre z.B., wenn man den IE hat, dass man sich regelmäßig die neusten Service Packs downloadet - in dieses Dateien stehen immer die neusten Sicherheitseinstellungen, da leider der IE die meisten "Schlupflöcher" bietet!

guten Virenscanner + aktuelles Service Pack + Firewall und Euch passiert so gut wie nix!

Gruß
gismick

Ich hab den Virus Badtrans !

shit, ich auch :mad:

warst du das etwa, plasir?

TOne
:(

Moin Ihr Zwei!

Soweit ich weiss, hat gismick etwas weiter oben in diesem Thread eine Handlungsanweisung für Betroffene niedergeschrieben.

Die müsste doch helfen, oder? Schon ausprobiert?

So long
Howie :smokin:

Dann schlage ich einfach mal vor, "Wir lagen vor Madagaskar und hatten die Pest an Bord" als offizielles Boardlied zu bestimmen. :rolleyes:

ne, Trader. Ich glaub ich weiß ziemlich genau von wem ich den hab. Wir haben uns weit davor ausgetauscht.

ANleitung hab ich befolgt.
Ich habe mir das kostenlose Tool besorgt und durchlaufen lassen. Läuft gut.

Dann nochmal die Trial Version von diesem Kasprski-VirenScanner.Der scheint mir gut zu sein, erwäg kauf von diesem.

bin das teilchen auch wieder los. ich weiß auch genau von wem. 'tschuldige plasir, war eh nicht ernst gemeint ....

zwo, drei, vier ... wiiiiiiiiiir saßen vor unsrem rechneeeeeeeer, und hatten den virus ahaaaaaan boaaaaaard .... :dunce:

TOne
:scool:

he Ihr armen Viren (plasir und TraderOne) - tut mir leid, dass Euch der Virus erwischt hat, aber anscheinend seit Ihr ihn zum Glück schon wieder los.....

Man kann sich davon wohl nie frei sprechen, mal einen Virus zu bekommen - finde ich gut, dass Ihr anderen zeigt, dass es auch Leuten passiert, die regelmäßig Online sind und viel Mailing betreiben und nicht gerade neu sind in der Welt des "unmöglichen"

Gruß
gismick

PS: Ich hoffe, dass die Anderen hier verschont bleiben!

http://www.bullchart.de/smilies/84.gifhttp://home.t-online.de/home/0302176005-0001/Smilies/popworm.gif

TOne
:scool:

hatte ich auch bekommen.Hat bei mir aber nichts angezeigt.Der hat sich dann automatisch weiterversendet.
Das ist ja wie eine Seuche.Dank Symantec hab ich es auch wieder wegbekommen.

Gruß Mo ;)

Achtung, ich bin veraäucht, hier ein auszug aus meinen Mails

The attachment HAMSTER.DOC.pif in your mail message you sent to InterScan@HypoVereinsbank.DE on 12/03/2001 20:00:54 contained the virus WORM_BADTRANS.B. Action: delete
____________________
Your message

To: InterScan@HypoVereinsbank.DE
Subject: Re: Virus Alert
Sent: Mon, 3 Dec 2001 21:00:54 +0100

did not reach the following recipient(s):
____________________
The attachment stuff.MP3.pif in your mail message you sent to info@activest.de on 12/03/2001 19:54:58 contained the virus WORM_BADTRANS.B. Action: delete




ich habe an all die adressen keine mails gesendet und sie auch nicht in meinem adressbuch!!!!!!

Ich bin immer noch verseucht.
Hab Kaspersky laufen lassen und er hat BadTrans und Nimda festgestellt.
Das Proggi hat aber anscheinend leichte Probleme mit der völligen Löschung der Datein.
11 waren infiziert, 10 hat er gelöscht.

@morningstar
hab auch so eine Benachrichtigung bekommen.

Bei mir kommt noch hinzu, daß ich den Folder "Gelöschte Mails" in Outlook Express nicht leeren kann :mad:

Nimm doch lieber gleich Eudora. Warum schlägst Du Dich mit dem Scheunentor von Microsoft rum?

Gruß

freitag

mein Norton hat den nicht gepackt - zwar gefunden aber konnte hin nicht löschen

hab ein programm gefunden das ihn killt
http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=30

direkter link zum programm
http://www.bitdefender.com/download/download.php?file=AntiBadB.exe

einfach mal scannen lassen - geht ganz schnell und der macht ihn auch platt :D

ich hab da mindestens 5 viren, alle schön eingepackt, weil ichs ohne hilfe nicht schaffe, sie vollständig zu eliminieren.

meint ihr, sie können trotz vermummung noch schaden anrichten?
sich etwa an andere verteilen?

und dann hab ich den threadtitel sehr ernst genommen und mir alles upgedated.

auf meinem pc ist mittlerweile ein wirrwarr von verschiedenen virenwächtern - bevor ich wußte, das darf man nicht.
und jetzt schimpft der oberguru auch noch und sagt, ich nerve. als ich mich bereit erklärte, sie wieder zu deinstallieren, hat ers mir verboten.
dabei hab ich mir nun die anleitungen alle genau durchgelesen und mein, ich schaff das deinstallieren auch allein. aber er sagt, ich würde nur noch mehr blödsinn machen.

dennoch: virenjagen macht spass!

fröhliche grüße
ingrid

Glaub an dich ingrid! Du schaffst das schon! :)

Meldung unserer IT heute morgen:
Es ist ein neuer Virus mit dem Namen W32goner.a@mm im Umlauf.
Um eine weitere Verbreitung des Virus zu verhindern, bitte alle Mails mit dem Attachment "Hi" sofort löschen und die "Deleted Items" löschen !


Gruss Muggsy

Warnung vor neuem E-Mail-Wurm

Ich möchte die Warnung von Muggsy noch ausführlicher dokumentieren! Achtung nicht nur e-mail sondern jetzt auch via chat ist eine Übertragung möglich!

Hersteller von Antiviren-Software warnen vor einem neuen Wurm, der sich rasant per E-Mail und über ICQ verbreitet. Er wird "Goner.A" genannt.



Infizierte E-Mails, durch die der Wurm sich an alle Adressen im Outlook-Adressbuch des befallenen Rechner verschickt, tragen die Betreffzeile "Hi" und enthalten den Text "How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!." Sie führen außerdem ein Attachment "GONE.SCR" mit, das die Wurm-Aktivierungsroutine enthält.

Wird das Attachment aufgerufen, ist zuerst ein kleines, animiertes Bild zu sehen, dem sofort eine Fehlermeldung folgt. Das Programm kopiert sich unter demselben Namen in das Windows-Systemverzeichnis und trägt sich in der Registry unter HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run als "C:WinntSystem32gone.scr" ein. Nachdem der Wurm sich weiterverschickt hat, erscheinen zwei Fenster auf dem Desktop, die unter anderem eine Grußmeldung unter der Überschrift "pentagone" zeigen. Ob neben dem Massen-Mailversand eine Schadfunktion ausgeführt wird, ist bisher nicht bekannt. (cp/c't)


Gruß
gismick

Wie genau verbreitet sich der Wurm denn über ICQ?

Du, dass kann ich Dir leider nicht genau sagen - hab die Info gerade erst von meinen Admins gelesen....ich denke mal, dass wenn Du via ICQ chattest und die andere Chat Person bekommt diese Mail, dann bist Du auch dran :mad: !

Ich werde noch mal nachfassen, den Howie wollte dazu auch schon mal eine Info bekommen!

Gruß
gismick

Genau das (Übertragung per ICQ-Message oder Chat) kann ich mir nämlich beim besten Willen nicht vorstellen. Bei Heise steht leider auch nicht mehr dazu, ich schaue jetzt mal bei CNET.

Ich hab's über Google gefunden: der Wurm verbreitet sich über File Transfers mit ICQ. Man muß also dem File Transfer zustimmen und dann auch noch die .scr-Datei ausführen, um sich zu infizieren.

Dank Dir Dawnrazor,
dass Du Dich so schnell darum gekümmert hast!
KLASSE!!! :cool:

Also möglich ist es doch.....wird bald bestimmt auch noch leichter für die Hacker gehen!

Gruß
gismick

Na ja, ich halte diesen Übertragungsweg für ziemlich harmlos, und ganz so einfach ist es auch nicht, Schadprogramme in ein normales System einzuschleusen, wenn man die grundlegenden Sicherheitsvorkehrungen beachtet.

SB :eek: :confused:

Steven B.

bis dato gibt es noch keine Viren über weitere Chat Programme - den Schaden, den Viren dadurch anrichten könnten sind geringer als durch Mails.

Gruß
gismick

WICHTIG

Es wurde gerade ein neues Virus festgestellt, den Microsoft und McAfee als den bisher gefährlichsten Virus überhaupt bezeichnen! Dieser Virus wurde erst am Freitagnachmittag von McAfee festgestellt und wird noch nicht von Virenscannern erkannt.

Der Virus zerstört den Null-Sektor der Festplatte, wo wichtige Informationen für die Funktion der Festplatte gespeichert sind. Die Funktionsweise des Virus ist wie folgt: Das Virus versendet sich automatisch an alle Kontaktadressen aus dem Email-Adressbuch und gibt als Betrefftext \"A Virtual Card for You\" an. Sobald die vorgebliche virtuelle Postkarte geöffnet wird, bleibt der Rechner hängen, so dass der/die AnwenderIn einen Neustart vornehmen muss.
Wird nun die Kombination [Strg]+[Alt]+[Del] oder der Reset-Knopf am Rechnergehäuse gedrückt, löscht der Virus den Null-Sektor der Festplatte, womit die Festplatte dauerhaft unbrauchbar ist. Wenn Sie also eine Nachricht mit dem Betreff \"A Virtual Card for You\" erhalten, öffnen Sie diese Mail KEINESFALLS, sondern löschen Sie die Nachricht sofort.
Am Freitag hat dieser Virus innerhalb weniger Stunden geradezu eine Panik unter EDV-Usern in New York verursacht.
Diese Warnung stammt von einem Microsoft-Mitarbeiter. Bitte leiten Sie die vorliegende Mail an alle Personen in Ihrem Email-Verzeichnis weiter. Es ist sicherlich besser diese Nachricht 25 Mal zu erhalten, als gar nicht!
Intel meldet ebenfalls einen neuen und sehr gefährlichen Virus, der sich mit der Betreffzeile \"An Internet Flower For You\" verbreitet.
Wenn Sie eine derartige Email erhalten, öffnen Sie diese nicht, sondern löschen sie sofort. Dieser Virus löscht alle DLL-Dateien von eurem Rechner, so dass der Rechner danach nicht mehr hochfahren kann. Diese Nachricht kam heute von der Medien- und Eventagentur Suttner aus Deutschland:
Es sind wieder 3 neue enorm gefährliche Viren entdeckt worden, die per E-Mail kommen mit den Titeln:
PSYCHOSPIEL,
SCREENSAVER "BABY FUN" oder
Emanuel.exe!
Diese Übeltäter sind anscheinend noch gefährlicher als der "I LOVE YOU" Virus, da die komplette Festplatte gelöscht wird. Es existiert noch kein Schutz!
ALSO ! NICHTS ÖFFNEN DAS MIT DIESEN TITELN BEZEICHNET IST! Es sind noch wenig Leute informiert, daher bitte diese Mail umgehend weiterleiten!

Der Virus ist erst seit 7 Tagen im Umlauf.

Gruss Indio

McAfee AVERT Labs would like to inform you of a new email HOAX.

This email message is just a HOAX, currently we know of no other message that the user will receive about the HOAX as the initial email states. AVERT has not received any report of a user's hard drive being erased for opening the email.

We are advising users who receive the email to delete it and DO NOT pass it on as this is how an email HOAX propagates.

http://vil.mcafee.com/dispVirus.asp?virus_k=98893&

Thanks Dawnrazor ... werde mich in Zukunft auch besser informieren ;)

Diesmal gilt es Ernst :

PSS Security Response Team Alert - Virus: Gigger/JS.Gigger.A@mm

SEVERITY: MODERATE REACTIVE
DATE: 1/15/02
PRODUCTS AFFECTED: Outlook, Outlook Express, Web Based Email

************************************************** ********************

WHAT IS IT? Gigger is a mass mailing virus that attempts to destroy
your hard drive by reformatting it and spreads by Outlook, Outlook
Express and mIRC(mIRC is not a Microsoft product). Gigger is not being
seen spreading rapidly in the wild but due to its potential to destroy
data we are advising customers to be on guard.

IMPACT OF ATTACK: Destruction of data, mass mailing

TECHNICAL DETAILS: If Gigger infects your machine it will mail itself
to everyone in the Outlook Address Book and also infect other machines
via MIrc. After infecting your machine it will add a line to your
Autoexec.bat file that will cause your C drive to be formatted when you
reboot your machine. It will also copy itself to other network shares
to which you have access. The email that carries the Gigger virus has
the following attributes:

Subject: Outlook Express Update
Message: MSNSofware Co.
Attachment: Mmsn_offline.htm

Please contact your Antivirus Vendor for additional details on this
virus.

PREVENTION: Delete emails with the subject line listed above.

RECOVERY: If infected please contact your Antivirus vendor. You will
need to make changes before restarting your machine to prevent the virus
from formatting your C: drive.

As always please make sure to use the latest Anti-Virus detection from
your Anti-Virus vendor to detect new viruses and their variants.

If you have any questions regarding this alert please contact your
Technical Account Manager.

PSS Security Response Team

Gruss Indio

VIRENWARNUNG

"MyParty" bringt miese Stimmung

Seit dem Wochenende kursiert "MyParty", ein Virus nach eigentlich altbekanntem Baumuster. Der Wurm verbreitet sich trotzdem mit rasender Geschwindigkeit - einfach, weil er clever "verpackt" ist.
"MyParty" ist ein Wurm, der sich wie Hunderte seiner Vorgänger zunächst einmal "nur" massenhaft vermehrt. Er ist nach bisherigem Kenntnisstand keine Zeitbombe, löscht keine Dateien, zerstört nichts. Ein Quälgeist, kein Killer, der vor allem eines schafft: Netzwerke mit unnötigem Datenverkehr zu belasten und E-Mail-Postfächer zu verstopfen.

Manchmal reicht das, um als "gefährlich" eingestuft zu werden. Denn im Gegensatz zu seinen letzten Vorgängern ("Goner" und Co.) scheint sich "MyParty" tatsächlich massenhaft zu verbreiten: Das Virus ist schlicht clever "verpackt".

So kommt die virentragende E-Mails daher:

"Betreff: new photos from my party!
Text: Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

Es folgt ein Datei-Anhang, den man anklicken soll - und schon startet das Virus seine Arbeit: Es durchsucht das Outlook-Express-Adressbuch, liest Outlook-Dateien und durchsucht sie nach Adressen - und beginnt damit, die Welt mit weiteren "Party"-Mails zu beglücken.

An all dem ist eigentlich nichts neu oder originell, diese Masche ist seit "I Love You" bekannt, und ein "Erfolg" eines derart gestrickten Virus wäre eigentlich keine Meldung wert.

Wenn da nicht das Attachment wäre. Der Virenautor ist hier auf einen einfachen, aber augenscheinlich hoch effektiven Trick verfallen, der so nahe liegend ist, dass man sich wundert, dass er nicht schon öfter benutzt wurde: Das File-Attachment heißt "www.myparty.yahoo.com".

Das ist zumindest pfiffig: Was hier auch noch auf den zweiten Blick wie eine Web-Adresse aussieht, die man so mal eben schnell anklicken könnte, ist natürlich keine. ".com" steht nicht nur für die amerikanische Top-Level-Domain "Commercial", sondern auch für eine "command"-Datei - und das ist eine ausführbare Programmdatei wie ".exe".

Der kurze Klick startet also ein Programm, ein Stück Software: das Virus. Die Ähnlichkeit mit einer Webadresse signalisiert Harmlosigkeit, und das Virus beginnt einen überraschenden Siegeszug. Fast könnte man das vergleichsweise harmlose "MyParty" für eine Art "Warnschuss" halten. Auf ähnliche "Missverständnisse" setzende Nachfolge-Viren dürften nun nur noch eine Frage der Zeit sein.

Alle relevanten Virenschutz-Softwareunternehmen bieten mittlerweile "Gegenmittel" gegen "MyParty" an.

Gruss Indio


PSS Security Response Team Alert - Virus: W32.Myparty@mm

SEVERITY: MODERATE REACTIVE
DATE: 01/28/2002
PRODUCTS AFFECTED: Microsoft Outlook, Microsoft Outlook Express, other
programs that are used to read e-mail messages.

************************************************** ********************

WHAT IS IT?
W32.Myparty@mm is a mass-mailing e-mail worm virus that drops a
Backdoor-Trojan.

IMPACT OF ATTACK:
Mass Mailing, Backdoor Trojan

TECHNICAL DETAILS:
The e-mail message arrives with the following characteristics:

Subject: new photos from my party!
Body:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

Attachment name: "www.myparty.yahoo.com"

The worm sends e-mail messages to the addresses that are contained in
the Windows Address Book and in files with a .dbx file extension. Files
with a .dbx file extension are Outlook Express folders and inboxes.

The worm uses a self-contained SMTP engine to send out e-mail messages
to the SMTP server that is configured on the infected computer.

This virus drops a backdoor-Trojan virus that is named BackDoor-AAF.
W32/Myparty@MM only mass mails itself and drops the backdoor component
if the system date is in the following range:

25th - 29th January 2002 inclusive
Outside of this date range, no backdoor component is dropped.

If the backdoor successfully runs, it tries to connect to the following
IP address to download its command file: http://209.151.250.170/

Please contact your Antivirus Vendor for additional details on this
virus.

PREVENTION:
Do not open attachments from un-trusted or unknown sources. In Outlook
98 and Outlook 2000 Pre-SR1, use the Outlook E-mail Security Update.

RECOVERY:
If infected, please contact your antivirus vendor. NOTE: Systems that
are running Microsoft Windows NT, Microsoft Windows 2000, and Microsoft
Windows XP that were infected with the Backdoor-Trojan included with
this virus will require additional steps that are appropriate for a
compromised computer.

RELATED KB'S: Q317235
(Will be available within 72 hours)
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q317235

RELATED LINKS:
Symantec
http://securityresponse.symantec.com/avcenter/venc/data/w32.myparty@mm.h
tml
Trendmicro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYPA
RTY.A
Network Associates
http://vil.nai.com/vil/content/v_99332.htm

As always please make sure to use the latest Anti-Virus detection from
your Anti-Virus vendor to detect new viruses and their variants.

If you have any questions regarding this alert please contact your
Technical Account Manager.

PSS Security Response Team

Experten des Sicherheitsunternehmens Sophos warnen zur Zeit vor dem eMail Wurm Sophos, der sich in Europa und Asien ausbreite. In Deutschland sei der Wurm bisher nicht aufgetaucht, allerdings sei er sehr häufig in Großbritannien zu finden.

Der eMail Wurm wird über einen Link in einer eMail aktiviert. Der Link, der in der eMail mitgeschickt wird, verweist bei Anklicken durch den Benutzer auf eine Seite mit ".com" Endung und erwecke laut Sophos den Eindruck, sie würde eine Seite des Internet Portals Yahoo! sein. Sobald der Nutzer auf die Webseite gelangt, installiert sich der Wurm auf dem heimischen PC und versendet sich eigenständig über die eMail Adressliste aus dem Windows Adress Book oder Outlook Express Database.


SB :eek:

Hi,

na jetzt sind wir sicherlich schon alle sehr vorsichtig was so den e-Mail Verkehr angeht....obwohl unsere Sekräterin immer wieder diese Dinger öffnen will :( .....der Großteil von uns wird bestimmt jeden Absender genau prüfen bevor er was öffnet und noch wichtiger bevor es speichert ;) ;) ;)

Gruß
gismick

Ein Member, hat mir dies in einem Email mitgeteilt:

PS. Bitte spreche eine Warnung an alle aus. Ich habe eine e-mail bekommen. "trophy@trophy.. das war ein böser und gemeiner Virus. Nicht aufmachen!! Er hat meine Bootsektoren zerstört.

Hi !
Pro Tag bekome ich etwa 300 bis 400 mails. Der Party-Virus war letztens auch dabei . Allerdings rufe ich meine mails so gut wie nie vom PC mit Tradestation aus ab . Outlook öffne ich überhaupt nur vom Apple Computer aus ab , und da ist es mir ziemlich egal ob Virus oder nicht . Da passiert nix ;)

Grüße

Hola zusammen!


Ich hab mir einen Virus eingefangen!!!
Bitte untengenannte Schritte befolgen um den Virus zu löschen.
Es handelt sich hier um einen Virus, der sich von
Adressbuch zu Adressbuch
verbreitet. Von Norton Antivirus oder McAfee wird er
nicht bemerkt. Auf der Festplatte bleibt er 14 Tage lang inaktiv,
dann löscht er die ganze Festplatte.
Zum Glück ist er sehr einfach zu löschen.
1. Auf "Start" klicken, dann auf "Suchen", dann auf
"Dateien/Ordner" klicken.
2. Im Fenster "Suchen nach: Alle Dateien" in das Fenster "Name"
sulfnbk.exe schreiben (so heißt der Virus)
3. Im "Suchen in"-Fenster muss stehen: "lokale Festplatten" oder
Laufwerk "C".
4. Auf "Suche starten" klicken.
5. Wenn sich die Datei bei "Suchergebnissen" zeigt (ein häßliches
schwarzes Icon mit dem Namen 'sulfnbk.exe')
AUF KEINEN FALL ÖFFNEN!!! NICHT
DOPPELKLICKEN!!!
6. Sondern mit der RECHTEN Maustaste den Dateinamen
'sulfnbk.exe' anklicken, dann öffnet sich ein kleines Fenster.
Dort bis "Löschen" gehen und mit der linken Maustaste klicken.
7. Man wird dann gefragt, ob die Datei in den Papierkorb soll, ja,
das soll sie! Dann das Fenster schließen.
8. Dann zurück zum Desktop (Anfangsbildschirm) und einen
Doppelklick auf den Papierkorb.
9. Wieder mit der RECHTEN Maustaste auf "sulfnbk.exe" und
wieder auf "Löschen". (Oder einfach den Papierkorb leeren).


Wenn Du/Sie den Virus auf deinem/Ihrem Computer gefunden
hast/haben, schicke/schicken Sie diese Mail bitte an alle Leute
in Deinem/Ihrem Adressbuch - eventuell hat er sich schon
weiterverschickt. So verbreitet er sich nicht weiter!!!






SB :confused:

Moin Steven,

danke für die Hinweis und die Anleitung....ich bin Virenfrei...zumindest privat und das ist das Wichtigste! :D

Danke und tschaui
gismick

Wenn Du/Sie den Virus auf deinem/Ihrem Computer gefunden
hast/haben, schicke/schicken Sie diese Mail bitte an alle Leute
in Deinem/Ihrem Adressbuch

Das halte ich für eine ganz schlechte Idee. :rolleyes:

...eine Mail handelt, die sich harmlos (ohne Virus) weiterschickt!

Ausserdem ist die Datei angeblich harlos, allerdings wegen der endung auch leicht mir einer "Windows-repair-datei" verwechselbar!!!

Vorsicht also!

SB ;)

hallo,
danke für den Tipp mit obiger Datei,funktioniert bei dir nach dem Löschen dieser Datei Window (Java) noch,ich habe vor ein paar Monaten von einem Kollegen so ein Mail bekommen,eine bestimmte Datei löschen,ich hab das gemacht und habe danach gewaltige Probleme gehabt,Window mußte neu installiert werden,das schwarze Icon ist schon verdächtig aber bist du dir (oder ein Windowfachmann)sicher,daß diese Datei nicht zu Window gehört?
Bin mir nicht sicher was ich machen soll.
schönes Weekend !
ein unsicherer Ja_kob

sulfnbk.exe gehört zu windows. es handelt sich hier um einen hoax ....

http://www.symantec.com/avcenter/venc/data/sulfnbk.exe.warning.html

bye,
TOne
:scool:

Danke!
Trader One,
Jetzt kann ich beruhigt ins Wochenende,war so ein mulmiges Gefühl,soll ich ,soll ich nicht,die Datei ist nämlich auch auf einem PC mit dem ich keine Mails empfange,

nice weekend
gruß jakob

SNMP: Internet-Nutzer weltweit zur Vorsicht aufgerufen


Die Entdeckung diverser Sicherheitslöcher im bekannten Simple Network Management Protocol Version 1.0 (SNMPv1) hat nicht nur die Security-Welt in höchste Alarmbereitschaft versetzt. Die Firma Internet Security Systems spricht nach bekannt werden der potenziellen Gefahren durch den Einsatz von SNMP von einem "hohen Bedrohungsstatus für das Internet". SNMP wird zur Administration und Konfiguration einer Vielzahl von Netzwerkgeräten wie Routern, Switches, Firewalls, Unterbrechungsfreien Stromversorgungen (USV) und sogar DSL-Adaptern eingesetzt. Angreifer könnten die Sicherheitslücken in diesem Ende der achtziger Jahre entwickelten Internet-Protokoll beispielsweise für Buffer Overflows und gezielte Denial-of-Service-Attacken nutzen.

"Die Schwachstellen im SNMP sind eine ernst zu nehmende Bedrohung für die IT-Infrastruktur", beurteilt Chris Rouland, Director der X-Force von Internet Security Systems, die angespannte Situation. "Bisher kann allerdings niemand genau vorhersagen, mit welchen Angriffen wir rechnen müssen und wie stark diese sein werden. Im digitalen Untergrund existieren aber zahlreiche Tools, die diese Schwachstellen von SNMP ausnutzen können." Daher sollte jeder Internet-Nutzer seine Systeme umgehend mit geeigneten Mitteln vor möglichen SNMP-Attacken durch Hacker und Cracker schützen. (as)

[ Mittwoch, 13.02.2002, 18:05 ]

Die zehn Gebote für Unternehmen

Viren-E-Mails, Spams, schwachsinnige Kettenbriefe: Die Flut scheint unaufhaltsam. Dabei gibt es einige einfache Rezepte, mit denen sich wieder mehr Ordnung in die Datenkommunikation bringen lässt.

Erstes Gebot: Gut gebrieft ist halb gewonnen. Verbieten Sie Ihren Angestellten, "Exe"-Dateien und andere ausführbare Dateiformate zu öffnen. Jeder Dateianhang sollte vor dem Öffnen mit einer aktuellen Software auf Viren gecheckt werden. Unaufgefordert zugesandte sind unerwünschte Anhänge: Wenn Sie nicht wissen, ob etwas "unverseucht" ist, gehen Sie grundsätzlich vom Gegenteil aus.

Zweites Gebot: Blockieren Sie unerwünschte Dateitypen schon am E-Mail-Gateway. Viren verstecken sich vornehmlich in Dateien der Typen VBS, SHS, EXE, COM, SCR, CHM oder BAT. Es ist hochgradig unwahrscheinlich, dass Ihr Unternehmen die Zusendung solcher Dateitypen einmal wirklich braucht. Also empfiehlt Sophos, solche Anhänge direkt im E-Mail-Gateway aussortieren und "abprallen" zu lassen. Sollte einmal die Notwendigkeit bestehen, solche Dateien zu empfangen, lässt sich eine Ausnahmeregelung dafür schaffen.

Drittes Gebot: "Killen" Sie alle Dateien mit "doppelten Endungen". Jede Datei hat eine Endung - und zwar genau eine. "Annakournikova.jpg.vbs" versuchte erfolgreich, dem flüchtigen Betrachter den Empfang einer Bilddatei vorzugaukeln. Agieren Sie streng nach der Regel "Eine oder keine": Lassen Sie alle Mails mit "Doppelendungen" am E-Mail-Gateway aussortieren!

Viertes Gebot: Du sollst keine Warnungen weitergeben! Thema Hoax: Die meisten Virenwarnungen sind nichts als unsinnige Kettenmails. Verbieten Sie es, E-Mails weiterzugeben, die genau das vom Empfänger verlangen - inklusive aller herzbrechenden Elends- und Hilferufgeschichten. Der Anteil derjenigen, die wahr sind, ist noch nicht einmal in Promille zu messen: Das bei weitem Meiste ist nichts als gequirlter Unsinn, der Ihr Netzwerk blockiert, Arbeitszeit verschwendet - und Ihr Unternehmen "draussen" diskreditiert. Also: Verbieten Sie die Weiterleitung - ...ausser Sie suchen gerade den Einstieg ins Spendengeschäft zu Gunsten verarmter nigerianischer Oppositionspolitiker...

Fünftes Gebot: Wenn Sie den Windows Scripting Host nicht unbedingt brauchen, lassen Sie ihn deaktivieren.

Sechstes Gebot: Lassen Sie in allen Rechnern die Default-Boot-Reihenfolge von A auf C umstellen. So sorgen Sie dafür, dass für den Fall, dass jemand eine Disk im Rechner vergisst, diese dem Computer nicht schaden kann. Ein einfaches Rezept, sämtliche Boot-Viren ausser Gefecht zu setzen (die Festplatte sollte allerdings bei jedem Boot-Vorgang routinemässig auf Boot-Vviren gecheckt werden).

Siebtes Gebot: Lassen Sie regelmässig Backups erstellen - und prüfen, ob diese erfolgreich waren.

Achtes Gebot: Abonnieren Sie einen Viren-Newsletter. Diesen Service bieten alle führenden Hersteller von Virenschutz-Software an. Erhalten sollte diese Warnung jemand, der dann auch weiss, was zu unternehmen ist...

Neuntes Gebot: Achten Sie auf die "Security Bulletins" von Microsoft, wenn Sie Software dieser Firma nutzen. Microsoft ist mehr als jedes andere Software-Unternehmen dem Ehrgeiz der hackenden Gemeinde ausgesetzt - und muss in schöner Regelmässigkeit Sicherheitslücken und -probleme eingestehen. Entsprechende Warnungen sollte man auch beachten!

Zehntes Gebot: Schulen Sie Ihre Mitarbeiter! Das Minimum wäre wohl, Verhaltensmassregeln zusammentragen zu lassen, diese im Unternehmen an jeden Mitarbeiter zu verteilen und sicherzustellen, dass Sie auch von jedem verstanden wurden. Alle Ihre Mitarbeiter sollten wissen, an wen Sie sich im Notfall mit Fragen oder Hilferufen wenden können. Echte Schulungsmassnahmen kann man übrigens erstens von der Steuer absetzen, zweitens auch betriebsintern durchführen - und schaden würden sie weder dem Know-how Ihrer Mitarbeiter noch dem Betriebsklima.
Siehe auch: -> Sicherheits-Knigge für Angestellte. Zehn einfache Regeln, die Gefahr durch Computerviren einzudämmen.

Die hier wiedergegebenen Empfehlungen orientieren sich an den "Safer Computing"-Leitlinien des englischen Virenschutz-Unternehmens Sophos.

Sicherheitsknigge für Angestellte

Computerviren sind eine Qual, gegen die kaum ein Kraut gewachsen scheint. Tatsächlich jedoch kann man eine Menge tun, um sich und andere zu schützen - wenn man sich an ein paar einfache Regeln hält.

Erstens: Nutzen Sie RTF- statt DOC-Dateien, wenn Sie Texte abspeichern. Das Microsoft-Doc-Format ist ein beliebter Virenträger. Nutzen Sie - durch eine einfache Auswahl des Dateityps (auch unter MS-Word) - das "Rich Text Format" RTF. Auch damit lassen sich Texte gestalten, und Macro-Viren haben es weit schwerer, sich zu verbreiten: ein Schutz für Sie und andere. Selbst bei Word können Sie unter "Extras/Optionen/Speichern" dauerhaft einstellen, dass Texte künftig im RTF-Format abgespeichert werden - ganz automatisch.

Zweitens: Nutzen Sie nichts auf Ihrem Rechner, das Ihnen unaufgefordert zugesandt wurde. Sie sollten grundsätzlich alles, was Sie per Mail empfangen, mit einer entsprechenden Software auf Viren prüfen. Und ganz im Ernst: VBS-, SHS-, EXE-, COM-, SCR-, CHM- oder BAT-Dateien brauchen Sie nicht wirklich - auch wenn der Absender sagt, das Ding sei echt witzig. Verkneifen Sie sich solche Dinge - und ersparen Sie sich unliebsame Überraschungen und vielleicht sogar Ärger.

Drittens: Seien Sie misstrauisch bei jeder "überraschenden" E-Mail. Das gilt für alle E-Mails, die Sie nicht erwartet haben, selbst solche von Bekannten. Virencheck kann nicht schaden. Wenn die E-Mail ein Attachment enthält, öffnen Sie dieses nicht, bis Sie wissen, dass dies sicher ist. Und wenn Sie anrufen.

Viertens: Öffnen Sie niemals eine Datei mit einer "doppelten Endung". Die Wahrscheinlichkeit, dass es sich dabei um ein Virus handelt, geht gegen 100 Prozent. Doppelte Endungen gibt es nicht: Mit Konstrukten wie *.doc.vbs oder *.jpg.exe will Ihnen jemand ein X für ein U vormachen. Die "Erstendung" deutet auf ein Ihnen bekanntes Dateiformat hin, die "Zweitendung" killt im Zweifelsfall Ihren Rechner.

Fünftens: Laden Sie keine Word-Dokumente, EXE- oder COM-Dateien aus dem Internet. Insbesondere diese Dateitypen werden gern dafür benutzt, Viren zu verbreiten.

Sechstens: Vorsicht mit Bildern, Sceensavern, Tönen, Filmen und so weiter. Obwohl Dateien wie JPG, GIF oder MP3 (bisher) nicht mit Viren verseucht werden können, tarnen windige Virenversender ihre digitalen Bömbchen gern als Formate dieser Art. Behandeln Sie solche Dateien mit dem gleichen Grundmisstrauen, mit dem Sie auch anderen Dateitypen begegnen.

Siebtens: Es gibt keine dämlichen Fragen... ...und EDV- und IT-Sicherheitsbeauftragte sind sowieso permanent genervt: Nerven Sie mit, wenn Sie Zweifel haben. Lieber einmal zu viel nachfragen als ein Firmennetzwerk im virtuellen Nirvana versenken.

Achtens: Ruhig bleiben - und sofort um Hilfe rufen, wenn Sie glauben, sich etwas "gefangen" zu haben. Rufen Sie Ihren IT-Beauftragten an, aber verfallen Sie nicht in Panik oder unterbrechen andere bei der Arbeit. Schalten Sie Ihren Rechner nicht aus. Wenn Sie genau wissen, wie das geht, dann trennen Sie Ihren Rechner vom Firmennetzwerk und vom Internet.

Neuntens: Virenwarnungen und Ähnliches nur an den IT-Beauftragten weiterleiten. Der (oder die) kann diese überprüfen und Ihnen mitteilen, ob es sich um eine echte Warnung, oder um einen dämlichen Scherz handelt ("Hoax"). Leiten Sie keine E-Mails an Kollegen, Freunde und Verwandte weiter, die genau das von Ihnen verlangen: Das sind fast immer Hoaxes - und das gilt nicht nur "auch", sondern ganz besonders für die Vielzahl der dringenden Hilfsappelle.

Zehntens: Wenn Sie zu Hause arbeiten, folgen Sie den gleichen Sicherheits-Regeln wie in der Firma. Das "Einschleppen" von Viren von privaten zu Firmenrechnern ist alles andere als selten.

Ansonsten gilt grundsätzlich: Nichts wird so heiss gegessen, wie es gekocht wird. Die meisten "katastrophalen Virenwellen" sind laue digitale Schnüpfchen. Im Krisenfall ist oft schnelles, beherrschtes und bewusstes Handeln angesagt, nie aber Panik: Selbst im schlimmsten aller Fälle "stirbt" allenfalls Ihr Laptop. Das jedoch kann Ihrer Firma (oder Ihnen als Privatanwender) empfindlichen Schaden zufügen - was die Befolgung der obigen Sicherheitsregeln zu einer lohnenden Sache machen kann.

Die hier wiedergegebenen elementaren Sicherheitsregeln orientieren sich an den Empfehlungen der Aktion "Safer Computing" des englischen Softwareherstellers Sophos.

Gruss Indio

denn es schwirrt ein neuer rum :eek:

WARNUNG

"Yarner" - angebliche Virenwarnung ist ein Virus

Seit mehreren Stunden geht "Yarner" um, in diesem Jahr wohl der erste Wurm mit guten Verbreitungschancen in Deutschland. Als "Trojaner Info" warnt er vor Viren - und verseucht dabei die Rechner der Leser. Doch an dem Wurm ist so einiges seltsam.
Die meisten per E-Mail verbreiteten Viren sind relativ leicht durchschaubar: Sie locken mit "menschlichen Grundbedürfnissen", verraten sich durch krumme Rechtschreibung und plumpe Anmacherei. "Yarner", den man in Deutschland treffender als "Trojaner Info" bezeichnen sollte, ist anders.

Yarner kommt daher, als wäre er ein ernster, sachlicher Newsletter: "Trojaner-Info Newsletter 18.02.02" hiess er gestern Nacht, seit heute wird er auch mit dem Datum 19.2. vertrieben. Und dann geht es sachlich weiter: "Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick: 01. YAW 2.0 - Unser Dialerwarner in neuer Version".

Dann geht es weiter, in gutem Deutsch und immer sachlich, am Ende sogar unterzeichnet von den zwei angeblichen Versendern: Thomas Tietz und Andreas Ebert.

Die betreiben tatsächlich die in der Mail verlinkte Security-Website "Trojaner-Info" - und wehren sich dagegen, Versender der Mail zu sein:


"Trojaner-Info.de verschickt kein "YAW 2.0"
Seit Montag den 18.02.2002 in den späteren Abendstunden hat eine uns unbekannte Person damit begonnen, E-Mails unter Angabe unserer Domain und Namen (Thomas Tietz & Andreas Ebert) mit einem Dateianhang (Name: yawsetup.exe) zu versenden.
Wir warnen jeden Empfänger davor diesen Dateianhang zu öffnen, da dieser unter Umständen den gesamten Datenbestand löschen und sich recht effektiv mittels einer Wurmfunktion verbreiten kann."

Das sehen inzwischen auch die Analysten der führenden Virenschutz-Unternehmen so.

Demnach ersetzt der Wurm nach seiner Aktivierung durch Klick auf das File-Attachment "yawsetup.exe" das Notepad-Programm, indem er sich selbst den dazugehörigen Namen "notepad.exe" gibt. Der Wurm erzeugt eine weitere exe-Datei mit einem willkürlichen Dateinamen. Danach versucht der Wurm, sich per Mail weiter zu verbreiten. Schlussendlich "vermüllt" Yarner die Festplatte des betroffenen Rechners.

Eindringliche Warnung: "Trojaner-Info"-Mail löschen. Attachment nicht öffnen.

Ein erstes Patch gegen "Yarner" findet sich auf der Download-Seite des britischen Virenschutz-Unternehmens Sophos. Kaspersky-Labs haben ein entsprechendes Patch bereits in ihre Software integriert und bieten darüber hinaus ein Update ein

Gruss Indio

PSS Security Response Team Alert - New Virus: [W32.hllp.sharpei@mm.html]

SEVERITY: MODERATE
DATE: 03/01/2002
PRODUCTS AFFECTED: Outlook and .NET Framework
************************************************** ********************

WHAT IS IT?
[W32.hllp.sharpei@mm.html] is a mass mailing virus that targets Windows applications if the .NET Framework is installed.

IMPACT OF ATTACK: Mass mailing, infection of files.

TECHNICAL DETAILS:
The virus arrives in an e-mail message with the following characteristics:

Subject : Important: Windows update

Message: Hey, at work we are applying this update because it makes Windows over 50% faster and more secure. I thought I should forward it as you may like it.

Attachment: MS02-010.exe

When the attached .exe is launched copies of the virus are e-mailed to all entries in the Outlook address book. If the .NET Framework is present on a system, the .exe will launch a .NET Framework application written in C#. This MSIL application will be copied to a user's local hard drive and attempt to infect other .exe files in the /Program Files and /Windows subdirectories on the local hard drive.

Please note: Microsoft does not distribute security patches by e-mail. For information on our full policy please visit: http://www.microsoft.com/technet/security/policy/swdist.asp

PREVENTION:
For Outlook 98 and Outlook 2000 Pre SR1: Customers who have installed the Outlook Email Security Update are prevented from launching the .exe file associated with this virus. http://office.microsoft.com/Downloads/2000/Out2ksec.aspx

For Outlook 2000 Post SR1 and Outlook XP: Functionality to block the opening of .exe attachments is built into these products.

For Outlook Express Pre Version 6.0: Do not open files containing .exe attachments that you are not expecting.

For Outlook Express 6.0: You can turn on the Attachment handling features in Outlook Express 6 by reading this Knowledgebase Article http://support.microsoft.com/default.aspx?scid=kb;en-us;Q291387

For Web Based Email Clients: You can block this virus if you are using an application level firewall such as Microsoft Internet Security and Acceleration Server. http://www.microsoft.com/ISAServer/

RECOVERY: If you have been infected with this virus please contact Product Support Services or your Antivirus vendor for assistance.

This alert has been posted to TechNet at the following location: http://www.microsoft.com/technet/security/virus/alerts/sharpei.asp

RELATED KB ARTICLE: (Available in 72 hours) http://support.microsoft.com/default.aspx?scid=kb;en-us;Q319072

As always please make sure to use the latest Anti-Virus detection from your Anti-Virus vendor to detect new viruses and their variants.

If you have any questions regarding this alert please contact your Technical Account Manager or Application Development Consultant.

PSS Security Response Team

Sicherheitsloch in Microsofts Java-VM


05.03.2002 12:12:56

Microsoft warnt im aktuellen Sicherheitsbulletin MS02-013 vor einem Sicherheitsloch in seiner Java Virtual Machine. Betroffen von der Lücke sind ausschließlich Nutzer des Internet Explorers, die über einen Proxy-Server im Web surfen.


Laut Microsoft können Angreifer die Sicherheitslücke in der Java-VM bei der Ausführung von Java-Applets innerhalb des Internet Explorers ausnutzen, um an persönliche Daten zu gelangen. Wer ohne den Umweg eines Proxy-Servers im Internet surft, ist nicht davon betroffen.

Die Angreifer können das Java-Applet zur Umleitung von Internet-Traffic auf einen beliebigen Server missbrauchen. Auf diese Weise ist es möglich, sensible persönliche Daten wie Passwörter abzugreifen, falls diese nicht mit SSL verschlüsselt sind.

Das Sicherheitsproblem betrifft die Windows-Versionen von 98 bis 2000 sowie den Internet Explorer in den Versionen 4.x und 5.x, die Microsoft mit seiner Java Virtual Machine bestückt hat. Der Konzern stellt auf seiner Webseite bereits einen Patch für alle Sprachversionen zum Download bereit, der den Fehler in der Java-VM behebt und diese auf die Build-Nummer 3805 updatet. (jma)

Wurm tarnt sich als Sicherheitsupdate von Microsoft

Seit gestern Abend treibt ein neuer Wurm sein Unwesen: Er kommt als .exe-Anhang in einer Mail mit gefälschten Headern ins Haus und gibt vor, ein Microsoft-Update zu sein. Dieser Tarn-Mechanismus des "Gibe" getauften Schädlings ist nicht neu. Bereits vor zwei Jahren gab sich ein Virus als Update für den Internet Explorer aus. Im Oktober letzten Jahres kursierte ein ominöses Sicherheitsupdate, vermeintlich von Microsoft, das in Wahrheit allerdings nach dem Ausführen des Attachments die Festplatte formatierte.

Die E-Mail, die "Gibe" beherbergt, ist ziemlich professionell gestaltet, sie beschreibt einige bekannte Sicherheitslücken und verweist als Patch auf die angehängte Datei Q216309.EXE. Führt der sorglose Anwender den Dateianhang aus, so verschickt sich der Wurm an Mail-Adressen, die er sich aus Internet-Verzeichnissen besorgt. Außerdem installiert der Schädling eine Backdoor, die auf Windows-Rechnern auf Port 12378 lauscht.

Grundsätzlich sollte man niemals vermeintliche Updates ausführen, die als E-Mail ins Haus kommen. Patches für den Internet Explorer sind auf den Microsoft-Seiten erhältlich und werden grundsätzlich nicht via E-Mail verschickt. Weitere Hinweise zum Auftreten von Viren und Würmern in der E-Mail sowie generell zum Schutz vor elektronischen Schädlingen finden sich auf den Antiviren-Seiten von c't. (pab/c't)

Computervirus «Klez» sorgt für Ärger [zurück]

Hamburg (dpa) - An die Existenz von Computerviren hat sich mittlerweile wohl jeder PC-Nutzer gewöhnt. Doch in jüngster Zeit ist ein besonders hartnäckiger Störenfried im Umlauf. «Das Virus Klez scheint mehr die Menschen als die Computer zu schädigen» schreibt das amerikanische Computermagazin «Wired» über den Eindringling, der zurzeit die E-Mail-Postfächer bombardiert.

Klez hinterlässt zwar keine großen Spuren auf der Festplatte, dafür kann es für äußerst unangenehme Peinlichkeiten sorgen. «Das Klez-Virus hat bislang keine Epidemie wie etwa "I love you" hinterlassen», sagt der Karlsruher Virenexperte Christoph Fischer. Wie andere Viren greift auch Klez auf die im Microsoft-Programm «Outlook» gespeicherten E-Mail-Adressen zu.

Doch es beschränkt sich nicht auf das massenhafte Versenden von elektronischen Briefen, sondern fingiert zudem die Absender-Einträge. Klez sucht sich eine beliebige Adresse aus dem Verzeichnis eines infizierten Rechners aus und übernimmt diesen als Absender. Damit schleicht sich das Virus gut getarnt beim Opfer ein. Vor allem für Unternehmen und deren Angestellte kann das große Peinlichkeiten zur Folge haben.

«In letzter Zeit erreichten uns mit diesem Virus infizierte E- Mails mit Absenderangaben von Mitarbeitern», berichtet der Sicherheitsexperte der Deutschen Presse-Agentur (dpa), Uwe Keyser. «Diese Mails wurden jedoch nie von ihnen verfasst und stammen auch nicht aus unserem Haus.» dpa-intern sei eine Infektion jedoch durch Schutzmaßnahmen, eine so genannte Firewall verhindert worden.

Auch «Spiegel online» war nach eigenem Bericht von Attacken betroffen. «Jeder Leserbriefschreiber, der von Klez erwischt wird, wird so zum Verbreiter von Post im Namen unseres Unternehmens», warnt das Online-Magazin. Besonders perfide: Will der Empfänger den vermeintlichen Absender mit einer Rückantwort vor dem Virus warnen, infiziert er diesen dabei.

«Das Klez-Virus hat durch seine relativ starke Verbreitung nicht unerhebliche Schäden verursacht», sagt Michael Dickkopf, Pressesprecher des Bundesamtes für Sicherheit in der Information (BSI). Vor allem die angeblichen Absender litten häufig in ihrem Ansehen. «Wired» berichtet von zahlreichen Computernutzern, die von Freunden, Kollegen oder Geschäftspartnern heftig beschuldigt wurden, das Virus verbreitet zu haben.

Viele Beschäftigte bei Herstellern von Antivirus-Software haben sogar Klez-E-Mails mit obszönen und beleidigenden Inhalten bekommen. Die jüngste Variante Klez_H hat es nämlich vor allem auf Antiviren- Software abgesehen. Auf einem Rechner angekommen setzt der Angreifer erst einmal diese Programme außer Gefecht.

Große Aufregung ist nach Fischers Ansicht dennoch nicht angebracht. Alle großen Hersteller von Antivirus-Software hätten in kürzester Zeit auf die neuen Angreifer reagiert. «Was wir verhindern sollten ist, dass jetzt ein neuer Hype entsteht», sagt Fischer. Von den 60 000 existierenden Viren sei das Gros ohnehin abgekupfert und nur minimal verändert. «Allein von "I love you" gab es 90 Varianten.» Am besten könnten sich Privatanwender mit einem Programmpaket aus Antivirenschutz und persönlicher Schutzsoftware (Firewall) für den Zugang zum Internet gegen Angriffe von Außen verteidigen.

VIREN
Der Schöpfer des Computer-Virus "Melissa" muss für 20 Monate ins Gefängnis. Ein Gericht in Newark im US-Bundesstaat New Jersey hat den 34 Jahre alten David Smith am Mittwoch zu einer Haftstrafe von 20 Monaten und einer Geldbuße von 5000 US-Dollar (5685 Euro) verurteilt.
Das Virus, das Smith nach einer Stripteasetänzerin benannt und im März 1999 in Umlauf gebracht hatte, infizierte vermutlich mehr als eine Million Computer und richtete weltweit einen Schaden von rund 1,2 Milliarden Dollar an. Vor Gericht zeigte Smith Reue, bezeichnete seine Tat als "kolossalen Fehler".
Das Gericht blieb mit seinem Urteil unter der möglichen Höchststrafe von fünf Jahren. Smith wurde nach US-Medienberichten seine umfangreiche Kooperation mit den Ermittlern seit seiner Verhaftung vor drei Jahren angerechnet. Smith hatte das Virus nach eigenem Geständnis in seinem Appartement in Aberdeen programmiert und über AOL verbreitet. Auf Grund von Nachforschungen des Online-Dienstes wurde er am 1. April 1999 festgenommen.

Zuletzt wurde in den Niederlanden im vergangenen Herbst ein 20-Jähriger wegen der Verbreitung des "Kournikova"-Virus zu 150 Stunden gemeinnütziger Arbeit verurteilt. Der Mann hatte das von Experten als nicht sehr gefährlich eingestufte Virus mit einem Bild der Tennisspielerin über E-Mail lanciert. Gegen den 23-jährigen mutmaßlichen Urheber des gefährlichen Virus "I Love You" aus Manila war es wegen fehlender Gesetzesgrundlagen zu keiner Verurteilung gekommen.

Vorsicht vor Xbox-Emulator

Vorsicht ist vor einem Emulator geboten, der es angeblich ermöglichen soll, Xbox-Titel auf dem PC spielen zu können. Doch anstatt Halo oder Dead or Alive 3 auf den Monitor zu zaubern, installiert das Programm einen Trojaner, warnt "Security Focus Online" .

Der angebliche Emulator kommt unter dem Namen "EMU_xbox.exe" auf den Rechner. Beim Ausführen der Datei wird auf dem Rechner des Opfers ein Backdoor-Programm namens "NETBUIE.exe" installiert. Die Namensähnlichkeit zum Windows Netzwerk-Protokoll NETBEUI ist wohl absichtlich gewählt, um die wahren Beweggründe des Trojaners zu verschleiern.

Dem Bericht zufolge versucht der Trojaner, heimlich Kontakt zu einer Vielzahl von Servern herzustellen. Sein eigentliches Ziel könnten so genannte "pay-per-klick"-Seiten sein, die von dem Programm automatisch "angeklickt" werden. Den mutmaßlichen Erlös der auf diese Weise künstlich nach oben getriebenen Klickraten würden die Autoren des Trojaners einstreichen.

Security Focus zufolge haben bereits knapp 30.000 Personen den Download-Bereich dieses ominösen Emulators besucht. Gerard Krijgsman, Betreiber der Site "Emulator-Zone" ist der Ansicht, dass gerade aus dem Grund, dass viele Personen unbedingt einen solchen Xbox-Emulator haben möchten, derartige gefälschte und schädliche Programme erst ermöglicht werden. Zudem gebe es Krijgsman zufolge schlicht noch keinen Xbox-Emulator. Eine solche Software sei zu "99,99 Prozent eine Fälschung".

Der Molekularbiologe und Hygieniker Charles Gerba von der Arizona State University hat PC-Tastatur auf ihre biologische Belastung untersucht. Nach der Studie sind Tastaturen 400-mal stärker mit Bazillen und Viren verseucht als die von ihm definierte "durchschnittliche Toilette".
Die Definition des durchschnittlichen Toilette stellt eine Quersumme der von Charles Gerba ermittelten in den USA üblichen Zustände der stillen Örtchen dar. Allerdings hat der Wissenschaftler wohl nur gut gesäuberte Toiletten näher in Augenschein genommen, denn laut der Studie ist auch eine frisch gereinigte Wohnung noch 200-mal stärker belastet als der von ihm definierte Durchschnittsabort, berichtet die Computerwoche .
Besonders stark verseucht sind laut der Studie Firmenrechner, auf deren Tastaturen verschiedene Mitarbeiter schreiben, so Gerba. Dort finden sich neben Niesspuren auch Essensreste und Haarschuppen. Milben dagegen finden ideale Lebensbedingungen im Inneren des PCs. Durch den Gehäuselüfter angesogen kommen die Tierchen an ein warmes Plätzchen, an dem sie immer gut mit Staub versorgt werden, in dem sie ihre Nahrung finden. Gegen schmutzige Tastaturen soll übrigens Ausschütteln und Desinfizieren mit handelsüblichen Reinigungssprays helfen. Experten raten jedoch, von dem Einsprühen von Milbensprays in das Rechnergehäuse abzusehen - Kurzschlüsse sind bei solchen Aktionen nicht ausgeschlossen. (Computerwoche/uba)

Pornige Grüsse

Man stelle sich vor: Jedes Mal, wenn man den Browser anwirft, surft der eine Pornoseite an. Jedes Mal, wenn man eine E-Mail verschickt, hängt ein Porno-Link an. Nervig und peinlich ist das - und das Werk eines harmlosen, aber penetranten Virus.
Der Virenschutz-Softwareentwickler Symantec ordnet jedem entdeckten Virus einen Gefährlichkeitsgrad zu: Das beginnt bei 1 - "harmlos" - und endet bei 5 - den wahren Computer-Killern. "JS.Fortnight", soeben entdeckt, ist harmlos.

Und wäre deshalb in der Flut der täglich neu auftauchenden Viren und Varianten kaum eine Meldung wert, wenn er nicht so originell und peinlich wäre. Der Wurm zerstört nichts, ausser dem Ruf des betroffenen Computerbesitzers: An jede E-Mail, die dieser versendet, hängt Fortnight einen eindeutigen Link an. Der führt stante pede zu einer in Russland gehosteten Porno-Seite - doch damit nicht genug.

Denn Fortnight macht diese Seite auch zum Bestandteil der Bookmarks von Netscape und Internet Explorer und ruft die Schmuddelseite bei jedem Programmstart als Startseite auf.

Zumindest im Büro ist das nicht nur lästig, sondern unter Umständen auch peinlich.

Zum Glück ist Fortnight ziemlich zahnlos: Betroffen sind wieder einmal nur die Nutzer von Outlook Express, die eine automatische Ausführung von Skripten zulassen. Dort greift Fortnight auf das Adressbuch zu und sorgt dafür, das Freunde, Bekannte und Geschäftspartner erfahren, was ihnen sonst im Web "entgangen" wäre.

Ein echtes Problem ist das nicht: Der Schädling ist einfach wieder los zu werden und wird von der aktuellen Software der Virenschutz-Entwickler erkannt. Update genügt.

Doch die Geschichte hat noch eine Pointe, die besonders die erfreuen wird, denen das Übermass an Pornografie im Web ein Dorn im Auge ist: Selbst die, deren Rechner befallen ist, bekommen mittlerweile als Startseite keine Porno-, sondern nur eine "404"-Fehlerseite zu sehen. Längst hat der Internet-Service-Provider des Pornodienstes diesen aus dem Web getilgt. Statt Werbung für die Sex-Angebote zu machen, sorgte das Virus so dafür, dass das Angebot aus dem Web gefegt wurde. Ob das so geplant war?

Virenschutz im Internet:

Virenschutz: Sophos (http://www.sophos.com)
Kaspersky-Labs: Aktuelle Viren-Updates (http://www.kaspersky.com/updates.html)
Hoax-Viren-Info (http://www.tu-berlin.de/www/software/hoax.shtml)
Aktuelle Virenwarnungen von Trend Micro (http://www.trendmicro.de/virinfo/default.htm)
Aktuelle Virenwarnungen von McAffee (http://www.mcaffee.com/Default.asp?Plugin=no)
Symantec (http://www.symantec.com/avcenter/venc/data/melissa.html)

Gruss Indio

16.05.2002

Sophos - Der Antiviren-Lösungs-Hersteller Sophos warnt Anwender vor einem neuen Hoax. Bei Sophos sind deswegen bereits Tausende von Anfragen besorgter AnwenderInnen eingegangen, denn die Falschmeldung fordert Anwender auf, auf ihrer Festplatte nach einer Datei mit dem Namen JDBGMGR.EXE zu suchen und die Datei zu löschen. Angeblich sei die Datei infiziert, der Virus innerhalb von 14 Tagen aktiv. JDBGMGR.EXE ist der Microsoft Debugger Registrar für Java und deswegen auf vielen Computern vorzufinden. Die Verwirrung wird durch den W32/Magistr-A Virus noch verstärkt, da dieser Virus infizierte Kopien der JDBGMGR.EXE Datei an ahnungslose Anwender verschickt. Die meisten Anti-Viren Programme erkennen den Virus W32/Magistr-A allerdings schon seit über einem Jahr. Sophos rät dazu, Virenwarnungen auf keinen Fall an Freunde weiterzuleiten. Sinnvoller ist es sich über Details auf Anti-Viren Webseiten zu informieren oder die Warnung an die für Anti-Viren Schutz zuständige Person im Unternehmen weiterzuleiten, damit diese den Wahrheitsgehalt der Warnmeldung überprüfen kann. Sophos bietet kostenlos einen sich automatisch aktualisierenden Service: Webmaster können topaktuelle Informationen zu den neuesten Internetmythen und echten Virengefahren auf den eigenen Websites oder in Unternehmens-Intranets veröffentlichen.

Gruss Indio

Viren weiter größte Bedrohung für IT-Infrastruktur



Viren sind noch immer das größte Sicherheitsproblem im Unternehmen. Zu diesem Ergebnis kommt eine aktuelle Studie des Onlinemagazins 'Silicon'. 75 Prozent der befragten Unternehmen hatten im vergangenen Jahr eine Bedrohung durch Viren im eigenen Haus erlebt. Entsprechend hoch ist deshalb auch die Verbreitung von Antivirensoftware, mehr als 95 Prozent setzen sie mittlerweile in ihrem Unternehmen ein. Trojaner haben 22 Prozent der Befragten registriert.

Auf Platz zwei der Gefahrenliste rangiert der Datenverlust: 23,3 Prozent der Anwender hatten im vergangenen Jahr mindestens einmal Daten verloren. Auch betrügerische 0190-Dialer werden immer mehr zu einem Problem: 14,5 Prozent der Anwenderbetriebe meldeten den Kontakt mit diesen Programmen. Jeder sechste Umfrageteilnehmer klagte über ein zu knappes Budget für die IT-Sicherheit. (as)

Klez-H "erfolgreichster" Virus aller Zeiten +++
Der berüchtigte Klez-H-Virus hat mehr Infektionen verursacht als jeder Virus vor ihm.
Erst am 15. April tauchte der Klez-H-Virus in großer Zahl im Internet auf. Nur sechs Wochen später hat es das bösartige Wurmprogramm zu zweifelhaftem Ruhm gebracht. Nach Berechnungen der Antivirenexperten von Messagelabs ist Klez-H der "erfolgreichste" Virus aller Zeiten. Die Schutzprogramme von MessageLabs haben den Wurm 775.000 Mal abgewehrt. Täglich kommen 20.000 E-Mails hinzu, die mit Klez-H infiziert sind. Das bedeutet, dass jede 300. E-Mail den Wurmvirus mit sich führt.

Damit löst Klez-H den berüchtigten SirCam an der Spitze der "ewigen Bestenliste" ab. Der noch weitaus bekanntere Iloveyou-Schädling, der seinerzeit für Angst und Schrecken sorgte, taucht in der Liste sogar nur unter "ferner liefen" auf. Grund: Iloveyou hatte eine kurze, dafür aber umso heftigere Erfolgszeit und verschwand anschließend auf Nimmerwiedersehen in der Versenkung.

Ein Sprecher von MessageLabs führte britischen Medienberichten zufolge den Erfolg von Klez-H auf die Fähigkeit der Klez-Familie zurück, sich zu tarnen. Ein Aufspüren dieses Wurmvirus sei deshalb besonders schwierig, heißt es von den Sicherheitsexperten.

05.06.2002 um 13:46 Uhr

MÜNCHEN (COMPUTERWOCHE) - Die Sicherheitsspezialisten von Online Solutions Oy haben eine Sicherheitslücke im Gopher-Client des Internet Explorers (IE) entdeckt. Betroffen sind die Browser-Versionen 5.5 und 6.0. Durch das Leck können Angreifer einen so genannten Buffer-Overflow (Speicherüberlauf) erzeugen und beliebigen Code auf dem Zielrechner ausführen.

Gopher ist ein Protokoll, das Anfang der 90er-Jahre entwickelt wurde. Gopher-Server halten Dateien in hierarchisch strukturierten Verzeichnissen vor. Wird nun der IE-Nutzer auf einen Server mit manipulierten Daten gelockt, lässt sich die Sicherheitslücke ausnutzen. Da das Protokoll kaum noch Verwendung findet, stufen die Experten das Risiko gering ein. Wer auf Nummer Sicher gehen will, kann Gopher im Browser deaktivieren. Die Einstellung findet sich unter "Extras, Internetoptionen, Verbindungen, Lan-Einstellungen". Die Spezialisten empfehlen, unter den erweiterten Einstellungen für Proxyserver im Feld "Gopher" als Adresse "localhost" und als Port "1" einzugeben. So könne der Browser keinerlei Gopher-Dokumente laden. (lex)

VIRUS

Was wird sie jubeln: Endlich wurde auch Shakira ein eigenes Computervirus gewidmet. Langsam wird das langweilig: Wie im Fall Britney, Kurnikowa und Co. sollte man auch diese Mail mit "Sharika pictures" nicht öffnen. Viele tun es trotzdem.
Eigentlich, sagt Symantec, heißt das Virus ja
"vbs.vbswg.aq@mm", auch bekannt als "vbs_vbswg.aq", "vbs/vbswg-aq" oder "vbswg.aq" - aber so etwas will und kann sich ja niemand merken. Der Virenautor wünschte sich offenbar, das sein Machwerk unter einem anderen Namen berühmt würde: Shakira.
Der Name der hüftschwingenden Sirene ist Musik in den Ohren von Millionen Fans, denen sicherlich auch die optischen Vorzüge der jungen Dame nicht entgangen sein dürften: Da rechnete sich ein unter dem Kürzel "TGK" firmierender Virenautor gute Chancen aus, die Welt der PCs kräftig zu verseuchen.
Wie gut, dass dieses wahrscheinlich jugendliche Script-Kiddie zum einen von seinem Geschäft nicht allzu viel versteht, zum anderen auch kein wirklich "Böser" ist. Sein Shakira-Virus tut dem Rechner nichts, er bellt nur: Mehr als die Vervielfältigung und massenhafte Verteilung im Web passiert nicht.
Der Script-Wurm nach altbekanntem Muster (Kurnikowa, Britney, I Love You) wurde mit Hilfe des in Cracker-Kreisen verteilten Viren-Bausatzes VBSWG zusammengebastelt: Neu ist daran nichts, und die Virenschutz- Unternehmen brauchten wohl auch nur Minuten für die Analyse und Programmierung eines Gegenmittels.
Finger weg von Shakira
Doch - Hormone sei Dank - zu einer gewissen Bekanntheit bringt es auch die viröse Shakira, die sich immerhin mit beeindruckender Geschwindigkeit im Web verbreitet. Ewig lockt das Weib, und ewig scheinen zu viele Surfer nicht begreifen zu wollen, dass man sich heute im Internet schützen sollte: Shakira setzt an den immer gleichen, seit mindestens zwei Jahren bekannten Schwachpunkten von Mail und MIRC an.
Gegenmittel gibt es allerorten: Alle Virenschutz-Unternehmen bieten entsprechende Updates. Ist das Virus bereits im Postfach gelandet, so reicht es, die Finger davon zu lassen: den Dateianhang nicht öffnen, die Mail löschen - und schon ist Shakiras Karriere beendet.
Erkennungsmerkmale:
Betreffzeile: Shakira's pictures
Text: Hi :
I have sent the photos via attachment
have funn... (sic)
Dateianhang: ShakiraPics.jpg.vbs

spiegel (http://www.spiegel.de/)

Proof-of-Concept: Erster JPEG-Virus

(tecCHANNEL.de, 14.06.2002) Als Proof-of-Concept ist der Virus W32/Perrun zu verstehen. Laut Antivirenspezialist McAfee ist Perrun der erste Schädling, der JPEGs infizieren kann. Der Autor hat den Virus direkt an McAfee geschickt, Perrun ist aber nicht im Umlauf.Befürchtungen, dass JPEGs als Mailanhänge den Rechner infizieren, sind laut McAfee erst einmal unbegründet. Um zu funktionieren, braucht der Proof-of-Concept-Virus quasi zur Vorbereitung eine EXE-Datei, mittels der er Einträge in die Registry vornimmt. Die EXE-Datei landet in Form eines PE-Files (UPX gepackt) auf dem Rechner, teilte McAfee mit.

Nur auf derart infizierten Rechnern greift das Konzept der verseuchten JPEGs. Der von McAfee "Extractor" benannte Teil des Virus prüft anschließend bei jedem JPEG, das geöffnet wird, ob es mit Code verseucht ist. Ist das der Fall, führt der Extractor den Code im JPEG aus.

Die Schadensladung ist moderat konzipiert. Jeweils ein weiteres JPEG im gleichen Verzeichnis - so vorhanden - bekommt den Code eingeimpft und wächst dabei um 11.780 Byte an. Der "Virus-Extractor" versucht dann, das JPEG mittels System-DLL wie vom Benutzer gewünscht anzuzeigen.

Letztlich unterscheidet sich das Konzept von W32/Perrun bei der Infektion nicht von anderen Schädlingen, da der Benutzer eine Datei ausführen muss. Hat diese Extractor-Datei sich aber einmal ins System eingeschlichen, reicht ein "harmloses" JPEG um weiteren Schaden anzurichten.

Zusätzliche Informationen bieten die Virengrundlagen, der Report Sicher im Web unterwegs und der Virenscanner-Test. (uba)




14.06.2002 - 10:40 Uhr

hallo,
habe heute untenstehende warnung erhalten,da ich mit diesen warnungen aber schon schlechte Erfahrungen gemacht habe,bitte ich um kontrolle ob hier was dran ist ,diese Datei habe ich natuerlich auf meinem rechner,aber vieleicht braucht es diese auch ,ich hoffe,ein guter geist wird sich meines problems annehmen,danke!
gruss luci




Niklaus Seelhofer

Sandbüelstrasse 9

9122 Mogelsberg

n.seelhofer@bluewin.ch



Original Message -----



> DRINGENDE NACHRICHT!!!!
>
> Nach einer Virus-Warnung von einem Bekannten habe ich den Virus
> tatsächlich auch bei mir gefunden. Er heisst: "jdbgmgr.exe".
> Dieser breitet sich über das Adressbuch aus. Und du stehst auch in meinem
> Adressbuch. Es ist wirklich ein Ernstfall. Bitte schau umgehend nach!!!!
>
> Ausschnitt aus der bei mir eingetroffenen Nachricht:
>
> Das Virus verbreitet sich von Adressbuch zu Adressbuch. Es ist in der
> Tat
> von Norton und Mcfee (und AntiVir9x) nicht auffindbar. Es schlummert

> etwa 14Tage auf dem Rechner, aktiviert sich dann selbst und löscht

> sämtliche Daten auf der Festplatte.
>
> Die Anweisung zu seiner Entfernung ist recht einfach:
>
> 1. auf "Start" klicken, dann auf "Suchen", dann auf "Dateien/Ordner".
> 2. In der Suchmaske "jdbgmgr.exe" eintippen - so heißt die Virusdatei.
> 3. Bei "Suchen in" muss die Festplatte drin stehen, in der Regel C:
> 4. Suche starten
> 5. Wenn die Datei auftaucht (sie hat einen kleinen Teddybär):
>
> AUF KEINEN FALL ÖFFNEN
>
> 6. Mit der rechten Maustaste den Dateinamen anklicken, dann löschen
> drücken
> 7. Bei der Rückfrage ob die Anwendung tatsächlich in den Papierkorb
> verschoben werden soll, Ja drücken
> 8. Auf den Desktop gehen und den Papierkorb öffnen
> 9. Die Datei "jdbgmgr.exe" im Papierkorb suchen und mit der rechten
> Maustaste löschen.
>
> Wenn du die Datei gefunden hast, bitte dieses e-mail an alle
> Kontakte im Adressbuch versenden, weil der Virus über das Adressbuch
> verbreitet wird.
>

Das ist Blödsinn.
Das ist die Darstellung eines Teddybären.
Und der gehört da wirklich hin.

Ein harmloser Hoax.
Wenn Du schon gelöscht hast hat das keine Auswirkungen.
Die Datei findest Du auf auf auf der Win-CD

Odo hatte dazu leider einen eigenen Thread geöffnet:

http://www.aktienboard.com/vb/showthread.php?threadid=45421

Vorsicht vor Yaha: Neuer Wurm mit eigenem SMTP-Client

Mehrere Anbieter von Antivirensoftware warnen vor dem neuen Mail-Wurm "W32/Yaha-E". Der Schädling verfügt über einen eigenen SMTP-Client und verwendet entweder einen Mailserver aus der Windows-Registrierung oder aus einer internen Liste.

Die vom Wurm gesendete Mail variiert sehr stark, berichtet unsere Schwesterpublikation Computerwoche . Der Text beginnt aber entweder mit: "Hi - Check the Attachment... - See u", "Attached one Gift for u..." oder "wOW CHECK THIS". Der Rest der Botschaft ähnelt einer weitergeleiteten E-Mail. Angehängt ist eine Datei mit unterschiedlichen Namen und Endungen. Eine Kopie des Attachments wird im Base64-Format im Ordner C:WindowsTemp mit dem Dateinamen "kitkat" deponiert, sobald der Anhang geöffnet wird.

Des weiteren erstellt der Wurm eine Kopie von sich im Papierkorb-Ordner mit einem Namen aus vier zufällig gewählten, klein geschriebenen Zeichen. Deren Pfad wird zum Registrierungseintrag "HKLMexefileshellopencommanddefault" hinzugefügt. Im Windows-Ordner werden zwei Dateien erstellt, und zwar je eine .DLL- und .TXT-Datei mit dem Namen der Wurmkopie. W32/Yaha-E versucht, eventuell vorhandene Sicherheitssoftware zu deaktivieren. Wenn er erstmalig startet, imitiert er einen Bildschirmschoner.




21.06.2002 - 13:10 Uhr

Bitte lesen!!!!!!!!!!!

Die Information kommt von Microsoft und Norton. Bitte an alle
Kontaktpersonen weiterleiten Ihr konntet ein Mail mit einer Power Point
Prasentation erhalten, welche mit "La vita e bella.pps" oder "Life is beautiful.pps" betitelt ist.

Wenn Ihr es kriegt - NICHT OFFNEN ! SONDERN SOFORT LOSCHEN !!
Wer es doch offnet, erscheint die Mitteilung "Adesso e tardi,la astra vitanon e piu bella" oder "Now it's too late, your life is not
beautifull anymore". Ihr verliert unverzuglich den gesamten Inhalt des PCs und der Absender hat Zugang zu Adresse, E-mail und Passwort.
Es handelt sich um einen neuen Virus, der seit Samstag Nachmittag im Umlauf ist. Wir mussen das Mogliche unternehmen, um diesen Virus zu stoppen.
AOL hat seine Gefahrlichkeit bereits bestatigt und die
Antivirus-Software ist noch nicht in der Lage, ihn zu zerstoren.

Ist ein Hoax.

Du kannst auch selber bei NAI in der Virus Library suchen. Heißt Live is beautiful

Fast alle Mails, die vor Viren warnen und im Text etwas stehen haben wie z.B. :

Bitte an alle Kontaktpersonen weiterleiten

NICHT OFFNEN ! SONDERN SOFORT LOSCHEN

sind ein Hoax. Diese Dinger verstopfen masslos das Netz. Das ist die einzige Auswirkung.

http://www.nai.com/

Neuer E-Mail-Wurm kommt als Passwort-Knacker

Mehrere Hersteller von Antiviren-Software warnen vor einem neuen E-Mail-Wurm namens Frethem, der sich rasant verbreitet. Man erkennt die derzeit aktiven Varianten sehr leicht an dem Betreff "Re: Your password!", dies kann sich jedoch zukünftig ändern. Die Wurm-Mail enthält zwei Attachments: die ungefährliche Datei password.txt und das Programm decrypt-password.exe, das den eigentlichen Schädling enthält.

Auf Windows-Systemen mit Internet Explorer 5.01 und 5.5 nutzt der Wurm zwei bekannte Sicherheitslücken in der Behandlung von IFRAMES und MIME-Attachements aus, um zur Ausführung zu gelangen. Wer Microsofts Sicherheitsupdate von vergangenen Jahr nicht installiert hat, kann sich deshalb schon infizieren, wenn er die Mail in der Outlook-(Express-)Vorschau anzeigen lässt. Wer das angehängte Programm ausführt respektive öffnet, fängt sich den Schädling auch ohne Mithilfe von Internet Explorer oder Outlook ein.

Der Wurm hat nach derzeitigen Erkenntnissen keine eigentliche Schadroutine, versendet sich aber massenweise an Adressen, die er aus dem Adressbuch und diversen Dateien extrahiert. Des weiteren verankert er sich in der Windows-Registry unter


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

im Schlüssel "Task Bar" als taskbar.exe. Detaillierte Anleitungen, wie man den Virus sicher entfernen kann, finden sich bei den Herstellern von Antiviren-Software, die zum Grossteil auch bereits aktualisierte Signaturen für ihre Viren-Scanner bereitstellen. Die Antiviren-Seiten von c't liefern entsprechende Links, über die auch kostenlose Antiviren-Programme zu bekommen sind. (ju/c't)

Neuer Wurm sucht Kazaa-Netzwerk heim

Anhänger des Filesharings haben es in diesen Tagen nicht leicht. Ständig taucht neue Malware auf, die sich über die Peer-to-Peer-Verbindungen verbreitet. Der neueste Vertreter dieser Spezies heißt W32/Surnova-B und soll dem Antiviren-Spezialisten Sophos zufolge das Kazaa-Netzwerk heimsuchen.

Der Wurm kopiert sich unter einem der folgenden Namen in den Windows-Ordner: "Alles-ist-vorbei.exe", "Desktop-shooting.exe", "Hello-Kitty.exe", "BigMac.exe", "Cheese-Burger.exe", "Blaargh.exe". Außerdem nimmt der Wurm diesen Eintrag in der Windows-Registrierdatenbank vor: HKLMSoftwareMicrosoftWindowsCurrentVersionRunSuper nova. Dadurch wird der Wurm bei jedem Neustart von Windows mitgestartet.

Wenn Sie den Wurm das erste Mal starten, erscheint diese Meldung: "Application attempted to read memory at 0xFFFFFFFFh Terminating application". Der Wurm sucht nach folgendem Eintrag in der Registry: HKLMSoftwareKaZaALocalContent. Dabei handelt es sich um den Ordner, der im Kazaa-Netzwerk zum Austausch von Dateien freigegeben ist. Alternativ nutzt er folgenden Ordner: C:WindowsMedia. Dorthin kopiert sich der virtuelle Schädling 38 Mal unter verschiedenen, verheißungsvoll klingenden Namen wie:

Lädt sich ein anderer Anwender eine dieser Dateien auf seinen Rechner, infiziert er seinen PC mit dem Wurm. Alternativ kann sich der Schädling auch über den Windows Messenger verbreiten. W32/Surnova-B versucht sich hierzu an die Kontaktadressen im Messenger-Adressbuch zu versenden. Der Wurm kommt dann mit folgenden Meldungen "Hehe, check this out :-)", "Funny, check it out (h)", "LOL!! See this :D", "LOL!! Check this out :)", "Hehe, this is fun :-)" zu den Adressaten.

Zu guter Letzt erzeugt die Malware eine Textdatei im Windows-Ordner, deren Name aus zufällig generierten Ziffern besteht. Die Datei besitzt folgenden Inhalt: "W32.Supernova - Ban religion Patch the leaks or the ship will sink". Sophos soll bereits mehrere Meldungen über diesen Wurm "in the wild" erhalten haben.

Weitere Informationen zu diesem Plagegeist finden Sie hier bei Sophos und hier bei Kaspersky.




31.07.2002 - 15:15 Uhr

Neue Wurm-Familie breitet sich bei KaZaA aus

Getarnt als Spielkonsolen-Emulator verbreitet sich z.Z. eine neue Wurm-Familie über das Filesharing-Tool 'KaZaA'. Den 'Surnova'-Wurm gibt es derzeitig in zwei Varianten: Einer tarnt sich als Xbox, der andere als GameCube-Emulator.
Mit so griffigen Dateinamen wie 'XBOX Emulator (WORKS!!).EXE' oder 'Gamecube Emulator (WORKS!!).EXE' wird dem User der Download schmackhaft gemacht. Der Wurm kann allerdings auch über den MSN Messenger verbreitet werden.
Der Wurm nistet sich im Medien-Verzeichnis von KaZaA ein und erstellt neue Dateien. Bei jedem Neustart wird der Wurm aktiviert. Außerdem versendet er sich selbst an alle MSN-Messenger-Kontakte.


gruß

the mind

aktuelle viren (http://www.virus-aktuell.de/)

Gefährlicher Trojaner steckt in angeblicher Microsoft-Mail

Sie finden in Ihrem Mail-Eingangsordner Post von "info@microsoft.com" mit der Mitteilung, "Kaspersky Anti-Virus 4.0" sei endlich erschienen? Dann sollten Sie die mitgeschickte Datei keinesfalls öffnen, sie enthält einen gefährlichen Trojaner. Der Virenspezialist Kaspersky warnt vor solchen derzeit kursierenden Mails.

Die Mail gibt vor, von "info@microsoft.com" zu stammen, kommt aber in Wahrheit von einem Freemail-Account. Die Betreffzeile lautet "Protect Your NetWare with Kaspersky Anti-Virus", die angehängte Datei trägt den Namen "AAprices.exe". Im Text der Mail wird angeblich das neueste Produkt aus der russischen Software-Schmiede Kaspersky vorgestellt: Kaspersky Anti-Virus 4.0. Tatsächlich handelt es sich bei der Mail um einen Fake und der Mailanhang enthält einen Trojaner, der auf den Namen "Win32.Apher" hört.

Apher nimmt automatisch Verbindung zu einer Web-Seite auf und lädt von dort Steuerungsmodule für den Trojaner "Backdoor.Death.25". Über diesen Trojaner können Hacker auf den befallenen Rechner zugreifen und zum Beispiel Dateien kopieren, verändern, oder löschen.



Quelle: Aktuelle PC-Welt News vom 27.08.2002

Laut einem aktuellen Security-Bulletin von Microsoft weisen alle Windows-Versionen eine Sicherheitslücke auf, durch die Angreifer SSL-Zertifikate löschen können. Das Problem besteht im ActiveX-Steuerelement Certificate Enrollment Control.

Das Control enthält laut Microsoft einen Fehler, "der es einer Webseite durch einen sehr komplexen Prozess ermöglichen kann, ein Steuerelement so auszuführen, dass Zertifikate auf dem System des Benutzers gelöscht werden". Dadurch können Zertifikate für die Verschlüsselung der Datenübertragung per SSL zerstört, aber auch durch die Löschung von Trusted-Root- und EFS-Verschlüsselungszertifikaten die entsprechenden Funktionen unbrauchbar werden.

Microsoft stuft das Sicherheitsloch als kritisch ein und empfielt allen Windows-Nutzern dringend, die bereitgestellten Patches einzuspielen. Sie enthalten eine neue Version des ActiveX-Controls. (pab/c't)

Das Problem besteht im ActiveX-Steuerelement Certificate Enrollment Control.

ActiveX ist doch ohnehin das Sicherheitsproblem schlechthin. :hmpf:

WINDOWS-SICHERHEITSLÜCKE

Seit sechs Jahren steht das Fenster offen

Alle seit 1996 verkauften Windows-Versionen haben ein größeres Sicherheitsproblem im Umgang mit digitalen Zertifikaten. Eine klaffende Lücke ermöglicht es Hackern offenbar, Zertifikate auf den Rechnern von Windows-Nutzern zu löschen.

Hamburg - Zertifikate werden
beispielsweise zur Verschlüsselung von E-Mails benutzt. Microsoft , habe in einem per E-Mail verschickten Security Bulletin auf das Problem aufmerksam gemacht, berichtet die "Financial Times Deutschland" (FTD). Der Softwarehersteller stufe das Sicherheitsloch als "kritisch" ein, so die Zeitung. Dies sei bei Microsoft die höchste Stufe für Sicherheitspannen. Das Unternehmen rate allen Nutzern der Betriebssysteme Windows 98, Windows 98 Second Edition, Windows ME, Windows 2000 und Windows XP zum sofortigen Herunterladen eines Korrekturprogramms aus dem Internet.

Unternehmensgründer Bill Gates hatte im vergangenen Januar eine Initiative namens "Trustworthy Computing" ins Leben gerufen. Deren Ziel ist es, Windows gegen Hackerangriffe immun zu machen. Bills Machtwort scheint in Redmond jedoch ungehört verpufft zu sein: Kürzlich warnte Microsoft etwa vor Sicherheitslücken in seiner Bürosoftware Office und seinem Webbrowser Internet Explorer. Onlineangreifer könnten wegen Sicherheitsmängeln die Dateien von Millionen von Nutzern einsehen und verändern, hieß es vergangene Woche. Insgesamt hat Microsoft im laufenden Jahr bereits 48 Mal vor Sicherheitsproblemen seiner Software gewarnt, so die "FTD".

Schlechte Zeiten für Virenschützer

Von Frank Patalong

Gut zwei Jahre durften sich Virenschutz-Unternehmen über eine stete Virenflut freuen. Seit einem halben Jahr werden Attacken immer seltener - und wenn mal ein Virus zubeißt, hat es oft vergessen, vorher das Gebiss einzusetzen. Am 6. September soll nun endlich mal wieder die Welt untergehen.

Die schönsten Bedrohungen sind solche mit einem festen Datum, mit einer Doomsday-Deadline sozusagen. Das zergeht doch auf der Zunge, wenn man als Virenschutz-Softwareunternehmen kassandrahaft orakeln darf, beispielsweise am 6. September ginge die Welt unter. Mal wieder, zumindest die Software-Welt. Zum Beispiel, weil dann das berüchtigte PC-Virus KLEZ.H zubeiße.
Genau das erzählen derzeit alle Virenschützer durch die Bank, und selbst Kaspersky Labs - sonst nur selten im Chor der Hysteriker zu hören - stimmt dunkel ahnungsvoll mit ein: Am sechsten Tage des neunten Monats erwache KLEZ.H auf den Festplatten der ahnungslosen User, um sein sinistres Zerstörungswerk zu beginnen. Zeit sei es nun, sich von seinen txt-, htm-, html-, doc-, jpg-, wab-, xls-, cpp-, mpg-, mpeg-, bak-, zig anderen und - oh Graus! - sogar den mp3-Dateien zu verabschieden.

Oder mal wieder die Virenschutz-Software auf den neuesten Stand zu bringen. Schon gewusst? Ab und zu sollte man sich eine Neue kaufen. Das ist gut für den Rechner - und für die Anbieter.

Angriff der Kampfrehpinscher

So richtig geschäftsfördernd wird die September-Warnung wohl trotzdem nicht ausfallen. Zumindest dann nicht, wenn sich herumspricht, dass KLEZ.H - die sechste Variante des tatsächlichen fiesen KLEZ-Wurms - so etwas wie ein Schaf unter Wölfen darstellt. Ja, das Virus kann Dateien zernagen, und ja, es aktiviert sich am 6. September.

Erwischen wird es aber nur diejenigen, die nicht ausreichend gegen KLEZ-Varianten geschützt sind. Viele, die das Virus auf ihren Platten haben, haben es dort längst kalt gestellt.

Doch wirklich viele sind das ohnehin nicht: KLEZ.H hat nie einen Verbreitungsgrad erreicht, der über drei Prozent hinausging - und damit sind nicht etwa drei Prozent aller Rechner gemeint, sondern drei Prozent aller mit KLEZ-Viren befallenen Rechner. Noch deutlicher: 97 Prozent aller mit einer der KLEZ-Varianten befallenen Rechner sind von KLEZ.H gar nicht betroffen.

KLEZ.H ist kein Kampfhund, sondern allenfalls ein Rehpinscher.

Unabhängige Virenexperten sehen dem 6. September darum mit durchaus gemischten Gefühlen entgegen. Es wird Schäden geben, doch die werden sich in Grenzen halten. Auf der Habenseite ist dagegen zu verbuchen, dass die Selbstaktivierung des KLEZ.H-Virus wohl auch ein Problem aus der Welt schaffen wird: KLEZ.H. Denn zumindest daran besteht kaum ein Zweifel: Wenn KLEZ.H einen Rechner "rasiert", dann geht der Parasit mit über die Wupper.

Gute Zeiten sind schlechte Zeiten

Für die Virenschutz-Industrie sind das nicht unbedingt gute Nachrichten. "I Love You" bescherte den Softwareschmieden vor zwei Jahren einen willkommenen Boom. Seitdem jedoch blieben Infektionswellen aus, die die User wirklich schrecken konnten.

Schuld daran hat nicht zuletzt die Industrie. Wer dreimal Wolf schreit, sagt man in England, dem glaubt man beim vierten Mal nicht mehr - auch, wenn der Räuber dann wirklich kommt. Als kontraproduktiv erweist sich zunehmend die Marotte, bei jedem digitalen Schädling so zu tun, als drohe der Untergang des Abendlandes.

Auf der anderen Seite ist die permanente Bedrohung durch PC-Viren real. Ohne Schutz sollte man sich im Web überhaupt nicht mehr bewegen. Das wiederum ist eine Botschaft, die bei meisten Usern inzwischen angekommen ist: Über 90 Prozent, schätzen Experten, schützen sich inzwischen irgendwie. Zw