Auf dieser Seite befinden sich Informationen über Computerviren . Da laufend immer neue Viren auftauchen , ist der Stand nicht immer aktuell .
Wurm Adore : Dieser Wurm infiziert Linux - PCs mit älteren Linux - Versionen , indem er bekannte Sicherheitslücken in den Komponenten "Bind" und "WuFTP" ausnutzt . Der Wurm sucht weitere verwundbare Linux - PCs im Netz und verschafft dem Virenautor Zugriff darauf .
Wurm Avril Lavigne :
Der Wurm kommt via Mail, der
Messaging-Systeme IRC (Internet Relay Chat) und ICQ sowie Tauschbörsen wie Kazaa
durch das Internet und befällt Windows-Rechner . Infizierte Mails tragen unter
anderem die Betreffzeilen : " FW: Prohibited custumers ; Brigade Ocho Free
membership ;
According to Daos Summit ; Reply on account for IIS-Security " .
Der eigentliche Schädling, auch als "Livra" oder "Naith" bezeichnet, steckt in
einer rund 32 Kilobyte großen Datei, die unter anderem "AvrilSmiles.exe" oder
"IAmWiThYoU.exe" heißen kann. Er versucht - ähnlich wie "Klez" -
Antivirensoftware und Firewalls auszuhebeln . Außerdem modifiziert Avril mehrere
Schlüssel in der Windows-Registrierdatenbank, schreibt einen Startaufruf in die
Stapelverarbeitungsdatei "Autoexec.bat" und kopiert sich in den Papierkorb sowie
in das Temp-Verzeichnis.
Neben der harmlosen Schadenswirkung, die Website der namensgebenden Pop-Sängerin
zu öffnen, spioniert der Wurm Passwörter aus und versendet sie über einen
eigenen SMTP-Server. Außerdem verschickt sich Avril an Mail-Adressen aus dem
Windows-Adressbuch und aus lokal gespeicherten HTML-Seiten.
Hacker -Tool Back Orifice : Das Trojanische Pferd existiert seit August 1998 . Es erlaubt , wenn es in ein Windows 95 / 98 System eingeschleust wird , die volle Kontrolle des infizierten Systems über eine aktive IP-Verbindung ( z .B.DFÜ-Netzwerk -TCP/IP-Port ).
Back Orifice 2000 : Ein sehr gefährliches Ausspähprogramm ! "BO 2000" besteht aus zwei Teilen . Einem Client , der auf dem "Hacker -Rechner"läuft und einem Server , der auf dem zu infiziertem PC installiert wird . Der Server kann sich dabei in einem"scheinbar"attraktiven Programm verbergen(z .B. jede beliebige exe-Datei oder einem Bildschirmschoner ...) Wird jetzt das Programm gestartet , installiert sich"BO2K"! Besteht eine Internet-Verbindung , kann jemand mit Kenntnis eines Passworts den PC fernsteuern . Die Möglichkeiten sind erschreckend vielfältig ! (z .B. Dateien umbenennen;übertragen;Passwörter auslesen;Tastatureingaben protokollieren;Registry verändern;Screenshots anfertigen;Laufwerksfreigaben erteilen oder sperren u.s.w.) Den Übeltäter kann man mit einem Virenschutz-Programm(muß immer aktuell sein) aufspüren , aber nur , wenn es zum Zeitpunkt der Schutzsoftware-Installation noch nicht den Computer infiziert hat ! Es können aber auch schon Varianten von"BO"existieren , die kein Viren-Schutzprogramm entdecken kann !
Backdoor -G : Dieses neue "Trojanische Pferd"(auch SubSeven genannt) kommt getarnt in einer E-Mail .Das Programm , das in Delphi geschrieben wurde , könnte nach einer verdeckt ausgeführten Installation folgendes auf dem Computer anstellen : An dem Computer angeschlossene Multimedia-Geräte (z .B.Kameras) lassen sich für Raumüberwachungen mißbrauchen ; Tastatureingaben werden mitgeloggt ; Passwörter können eingesehen werden ; Ordner oder Dateien verschoben oder gelöscht werden ; die Registry kann manipuliert werden und und und . Es ist also fast alles möglich ! Der Trojaner könnte sich für den Autostart unter anderem eintragen : Win .ini , System .ini oder in der Registry unter : HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft\Windows\Current Version\"Run" oder "RunServices" . Die Dateien könnten z .B. folgende Namen haben : SERVER .EXE;KERNEL16 .DLL;RUNDLL16 .COM;WINDOW .EXE;SYSTEMTRAYICON! .EXE
VBS -Wurm Bubble Boy : Bubble Boy ist der erste E-Mail Virus , der auch ohne öffnen der betroffenen E-Mail aktiv wird . Ein AktivX-Control , das von Microsoft irrtümlicherweise als sicher gekennzeichnet wurde kann bei Outlook ; Outlook Express und dem Internet Explorer 5 aktiv werden . Die infizierte E-Mail hat in der Betreff-Zeile den Text : "Bubble Boy is back". Ist die E-Mail geöffnet , legt der Virus eine Datei mit Namen "update.hta" im Autostart-Verzeichnis ab und beim nächsten Rechnerstart versendet sich Bubble Boy automatisch an alle Adressen im Adressbuch . Eine Infizierung erkennt man unter anderem an einem Registrierungseintrag unter"HKLM \Software\Microsoft\Windows\CurrentVersion\Registered Owner " ... der Eintrag heist "Bubbleboy" >>> Patch
Wurm Bad Ass : Dieser Internet-Wurm basiert auf dem Quellcode von "Melissa". Er verbreitet sich per E-Mail als Dateianhang "BADASS.EXE" Wird diese Datei gestartet , wird der Wurm aktiviert und es erscheint ein Dialogfenster mit folgender Abfrage : "Kernel32 An error has occured probably because your cunt smells bad . Is this really so ? [Yes] [No]" Er durchsucht die Outlook -Adressbücher und verschickt sich per E-Mail an die gefundenen Adressen mit der Nachricht :"Dit is wel grappig ! :)" .
W32/Babylonia : Dieser Virus ist eine Mischung aus "Mail-Wurm , Dateivirus und Trojaner".Er verbreitet sich über Mails(SMTP) , das Chat-Protokoll(IRC) und über lokale 32-Bit(EXE) - und(HLP)-Dateien . Das besondere an diesem Virus ist , daß er sich über das Internet mit "Updates"versorgen kann! Aber dieser Virus ist leicht auszumachen durch die Dateien"KERNEL32.EXE"(im Systemverzeichnis) und "Babylonia.EXE" (im Hauptverzeichnis) der Festplatte .
W97M/Marker .BQ : Dieser Virus deaktiviert bei jedem Öffnen eines Word-Dokuments die Makroschutzfunktion von Word . Dadurch kann der Virus eine Textdatei mit einem zufälligen Namen erstellen , die erkennbar ist durch eine enthaltene Textzeile : "Railways is an integral part of CMC LTD.JAI CMC". Mit der Zeit füllt sich der zum Abspeichern ausgewählte Ordner mit Datenmüll .
Makro-Virus BYMOVE : Dieser Makro-Virus erzeugt eine Excel-Tabelle "BMV.XLS" und kopiert sie in das Office-Verzeichnis "XLSTART".Wird eine infizierte Tabelle am 01.Juli geöffnet , erscheint eine Meldung auf dem Bildschirm :"Today is my girl's birthday - so say hello to her !" Da der Virus die Makroschutz - Funktion von Excel nicht deaktiviert , erkennt man eine Infektion an einer Makro-Warnmeldung beim Programmstart .
Wurm Badtrans .B : Der so genannte "Badtrans .B" nutzt eine Sicherheitslücke unter Outlook sowie Outlook Express . Auf Systemen ohne IE 5.01 SP2 , 5.5 SP2 oder IE 6 .0 wird der Wurm bereits beim Öffnen einer infizierten Mail aktiv. Der Betreff der Mail ist zufällig , das Nachrichtenfeld ist leer und der Anhang kann einen variablen Namen tragen . Ist der Wurm aktiv, versendet er sich an alle Einträge im Adressbuch von Outlook sowie an Adressen , die der Wurm im Ordner "My Documents" beziehungsweise im Browser -Cache findet . Das Attachement kann folgende Namen tragen : Fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, pics, S3MSONG oder SEARCHURL . Einmal aktiviert , versucht Badtrans .B die IP-Adresse des Opfers an den Autor des Wurms zu senden . Des weiteren installiert der Wurm einen Keylogger , der die Tastatureingaben des Opfers protokolliert . Sensible Daten wie Passwörter oder Kreditkarten-Nummern können ausspioniert werden . Badtrans .B installiert sich selbst unter Windows/System als "Kernel32.EXE" (nicht zu verwechseln mit der harmlosen Kernel32.DLL). Die Registry wird folgendermaßen abgeändert : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce\Kernel32 = KERNEL32.EXE Der Keylogger ist auf infizierten Rechnern als "Kdll.DLL" unter Windows/System zu finden .
Wurm Win32/ Britney.A. : Der Wurm kommt per E- Mail mit dem Betreff "Britney Pics", der Nachricht"Take a look at these pics ..." und enthält als Anhang eine Datei "BRITNEY.CHM" . Beim Aufruf des Anhangs versucht der Wurm , sich per Outlook (Express) und IRC- Chat zu verbreiten .
Wurm W32/Benjamin-A : Der in Delphi geschriebene
"Kazaa .Benjamin"-Wurm , wie die Malware von Antiviren-Experten auch genannt
wird , richtet auf dem befallenen Rechner ein Verzeichnis ein , das für andere Kazaa-Nutzer zugänglich
ist . In diesen Ordner kopiert sich der Wurm , wobei er für sich eine Vielzahl von unterschiedlichen Namen von
PC-Spielen , Liedern oder Filmen benutzt . Als Datei-Endung benutzt der Wurm immer .EXE oder
.SCR . Sucht ein Kazaa-Benutzer jetzt nach einer Datei , deren Name der Wurm in dem Verzeichnis trägt
, so bekommt der Kazaa-Freak diese Datei zum Download angeboten . Lädt der ahnungslose Internet-Benutzer die angebotene Datei auf seinen PC und startet er
sie , so erscheint folgende falsche Fehlermeldung: "Access error #03A:94574: Invalid pointer operation File possibly corrupt."
Danach infiziert der Wurm dessen Rechner , trägt sich in dessen Registry und in das Windows-Verzeichnis ein und das oben beschriebene Spiel beginnt von
Neuem . Der Wurm startet außerdem eine Website , von der er Werbebanner anzeigt
.
Wurm Bugbear :
Bugbear ist ein Wurm mit Trojaner - und Keylogger
-Funktionen. Er scheint aus dem südostasiatischem Raum zu stammen und verbreitet
sich als rund 50 Kiloybte große .EXE-Datei mit doppelter Datei-Endung via Mail
und über freigegeben Netzlaufwerke. Die Datei tarnt
sich dabei oft mit harmlos erscheinenden Dateiendungen wie .pif oder .scr.
Die Betreffzeile der Mail ist stets in englischer Sprache verfasst . Auf
infizierten Rechnern tauchen folgende Dateien auf :
iccyoa.dll , lgguqaa.dll , roomuaa.dll , okkqsa.dat ,
ussiwa.dat . Die Wurmdatei selbst verändert von
Fall zu Fall ihren Namen. Für seine Verbreitung nutzt der Wurm schon länger
bekannte Sicherheitslücken in den 5.01 und 5.5-Version des Internet Explorers:
Html-Mails können automatisch durch Outlook oder Outlook-Express ausgeführt
werden , ohne das der Mailanhang eigens gestartet werden muss . Besitzer eines
Internet Explorer 6.0 sind vor dieser Gefahr sicher.
Der Wurm kopiert sich nach dem Start in das Windows -Autostart -Verzeichnis und
versucht zu seinem Schutz verschiedene Sicherheitsprogramme (Virenscanner,
Firewalls) zu deaktivieren , indem er deren laufende System -Prozesse beendet .
Um sich weiterzuverbreiten benutzt er seine eigene SMTP-Routine - seine
Zieladressen sucht er sich aus dem Adressbuch von Windows. Gegebenenfalls kann
er sich auch über freigegebene Ordner und Laufwerke in Netzwerken verbreiten .
W32 / Bugbear.B (I-Worm .Tonatos.B) : Eine neue , gefährliche Variante des Bugbear-Wurms verbreitet sich rasant - per Mail mit beliebigen Absender und Betreff sowie über Ordnerfreigaben . Der Wurm st exakt 72.192 Bytes groß und enthält viele Schadensfunktionen ! Darunter sind ein Keylogger , der alle Tastatureingaben mitschneitet und eine Backdoor , über die ein Angreifer den infizierten Rechner fernsteuern kann . Achtung : Bugbear deaktiviert gängige Schutzprogramme wie Norton Antivirus oder Zone Alarm .
W32.Blaster.Worm / Alias:
W32/Lovsan.worm [McAfee]
WORM_MSBLAST.A [Trend] :
W32.Blaster.Worm ist ein Wurm, der sich über das Netzwerk
verbreitet.
Er nutzt dazu die sogenannte DCOM RPC Schwachstelle aus. Dabei handelt es sich
um einen nicht geprüften Puffer im "Windows Distributed Component Object Model
(DCOM) Remote Procedure Call (RPC) Interface". Durch Überschreiben der
Puffergrenze kann beliebiger Programmcode ausgeführt werden. Diese Schwachstelle
befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen. Windows 95, 98
und Windows Me sind von dem Wurm nicht betroffen.
W32.Blaster.Worm sucht über TCP Port 135 einen angreifbaren Rechner. Dieser
Rechner wird dazu gebracht, das Programm des Wurms (MSBLAST.EXE) per TFTP in das
Verzeichnis C:\Windows\System32 oder C:\WINNT\System32 zu laden. Diese Datei
lädt der Rechner vom bereits infizierten System. Dazu simuliert der Wurm auf dem
infizierten System einen TFTP-Server.
Nach dem Download wird die Kopie des Wurms auf dem neuen Rechner ausgeführt. Es
beginnt ein neuer Infektionszyklus. Der Wurm selbst ist UPX-gepackt.
Er enthält einen Text, der jedoch nicht angezeigt wird : I
just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop
making money and fix your software!!
Zum automatischen Start erzeugt W32.Blaster.Worm den Registrierschlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mit dem Wert : "windows auto update" = MSBLAST.EXE
Bei der Suche nach angreifbaren Rechnern werden zunächst die lokalen Subnetze
durchsucht. Danach werden zufällige IP-Adressen zur Suche verwendet.
Weiterhin führt der W32.Blaster.Worm eine sog. DDoS-Attacke (Distributed Denial
of Service) gegen einen Microsoft-Server (windowsupdate.com) durch ; dabei wird
versucht, diesen Server mit so vielen Anfragen zu überfluten, dass er nicht mehr
antworten kann.
Diese Attacke wird in den Monaten Januar bis August vom 16. bis zum Ende des
Monats, in den Monaten September bis Dezember fortlaufend (täglich)
durchgeführt.
W32/Bagle@MM :
Bei Bagle handelt es sich um einen neuen Internet-Wurm,
der sich derzeit lawinenartig durch das Internet fortbewegt und zusätzlich einen
infizierten Rechner für eine Hacker-Attacke anfällig macht. Die massive
Verbreitung überrascht, denn bei Bagle handelt es sich wieder um einen ganz
simplen Mailanhang, der durch einen doppelten Mausklick gestartet wird.
W32/Bagle@MM kommt via Mail zum Anwender. Die Absenderangabe kann variieren und
unter Umständen vorgeben, von einem Ihnen bekannten Absender zu stammen. Die
Betreffzeile enthält ein nichts sagendes "Hi", der eigentliche Mailtext besteht
aus "Test =)" und einer zufällig generierten Anzahl von Zeichen. Am Ende des
Textes steht noch ein "-- Test, yep". Der Wurm verbirgt sich in der angehängten
.EXE-Datei, die einen zufällig generierten Namen trägt und rund 16 Kilobytes
groß ist. Diese Datei trägt zudem das Symbol des Windows-Taschenrechners.
Falls der Anwender diese Datei und damit dem Wurm mit einem doppelten Mausklick
startet, dann öffnet die Malware CALC.EXE, den Taschenrechner von Windows,
kopiert sich unter dem Namen bbeagle.exe in das Windows-Systemverzeichnis und
legt einen Eintrag in der Windows-Registry an. Allerdings nur, wenn die
Systemzeit des infizierten Rechners nicht der 28. Januar 2004 oder später ist.
Dann nämlich passiert gar nichts, der Wurm schaltet sich wieder ab.
Bagle durchsucht außerdem Dateien mit den Endungen ".wab", ".txt", ".htm", ".html" nach Mailadressen und verschickt sich an diese mit Hilfe seines eigenen SMTP-Servers. Das ist aber noch nicht alles: Über Port 6777 versucht der Schädling via TCP-Protokoll eine Remote-Verbindung zu verschiedenen Websites aufzubauen. Dadurch könnte ein Angreifer Zugriff auf den betroffenen PC bekommen.
W32/Bagle.X :
Das jüngste Mitglied der W32/Bagle-Wurmfamilie verbreitet sich über Massen-Mails
sowie öffentliche Netzwerk-Ordner. An die Mail können zwei Dateien angehängt
sein. Neben einer JPG-Datei beinhalte die infizierte Mail eine Kopie des Wurms.
Diese Datei könne die Endungen .com, .exe, scr. oder .zip aufweisen.
Nach Erkenntnissen von Trend Micro wird die Mail-Domain des Empfängers zu diesem
Zweck in die Absender-Adresse aufgenommen, um so den Eindruck zu erwecken, die
Nachricht stamme von einem Kollegen. Gefährdet sind Computer mit Betriebsystem
Windows.
Für die Absenderadresse der Mail verwende Bagle.X alias W32/Bagle.z@MM oder
Win32/Bagle.W die Namen "Annie", "Christina", "Jessie" oder "SecretGurl" in
Kombination mit der Domain des Empfängers. Die Betreffzeile enthalte
unterschiedlichen Text, darunter "Let´s socialize, my friend!" oder "I´m bored
with this life".
Funktionsweise des Wurms :
Nach dem Start kopiert sich Bagle.X mit dem Dateinamen drvsys.exe in den
Windows-Systemordner und startet sich selbst. Zudem fügt der Wurm der Registry
verschiedene Einträge hinzu, um bei jedem Neustart ausgeführt zu werden.
Darüber hinaus kopiert sich Bagle.X zur Verbreitung in Verzeichnisse, die die
Zeichenfolge "shar" in ihren Namen enthalten. Dabei versucht er den Eindruck zu
erwecken, dass es sich um Downloads von gecrackter Software oder auch
Video-Dateien handelt. Zu den verwendeten Namen gehören unter anderem "Matrix 3
Revolution" und "Microsoft Office 2003 Crack". Um eine Entdeckung zu verhindern,
versuche Bagle.X, laufende Antiviren-Prozesse zu beenden.
Zur Vermehrung durchsucht Bagle.X alle Laufwerke nach Dateien mit Endungen wie
.txt, .htm, .xml, .php und .dhtm und zieht aus diesen Mail-Adressen, die für die
Massmailing-Komponente des Wurms verwendet werden.
Wurm/Bagle.AQ :
Bagle.AQ verbreitet sich klassisch per Mail über
die eigene SMTP-Routine. Die Bezeichnung des Attachements variiert laut H+BEDV
zwischen 08.price.zip, new_price.zip, newprice.zip, price.zip, price2.zip,
price_08.zip sowie price_new.zip.
In der Zip-Datei sind eine HTML- und eine EXE-Datei enthalten. Ein Doppelklick
auf die HTML-Datei startet die EXE-Datei und installiert somit das Trojanische
Pferd. Dieses versucht dann unverzüglich, einige Prozesse zu stoppen ( Infos
hier ) und weitere Bestandteile von diversen Web-Seiten herunter zu laden
(Hinweis: Bei Trend Micro wird Bagle.AQ Bagle.AC genannt).
Der Wurm kommuniziert über UDP und TCP Port 80. Wird das Trojanische Pferd
ausgeführt, erstellt er folgende Dateien :
%SystemDIR%WINdirect.exe oder %SystemDIR%_dll.exe Zudem werden der Windows
Registry bestimmte Einträge hinzugefügt.
Der Wurm durchsucht die lokalen Festplatten nach Mail-Adressen und verschickt
sich automatisch weiter. Um sich vor einer Infektion zu schützen gilt: Klicken
Sie niemals auf den Anhang einer Mail, wenn Sie den Absender nicht kennen. Und
falls es sich beim Absender um eine bekannte Person handeln sollte, stellen Sie
sicher, dass diese Ihnen die Mail wirklich geschickt hat und sie nicht
automatisch von einem Wurm generiert wurde. Daneben empfehlen wir den Einsatz
einer Antiviren-Software-Lösung.
Betroffen sind Anwender von Windows 9x, ME, NT, 2000 und XP sowie Windows Server
2003.
W32/Bagle-AI :
W32/Bagle-AI sucht sich nur über Mails neue Opfer .
Einmal aktiviert durchforstet er einen infizierten Rechner nach Mailadressen und
verschickt sich an diese, wobei er allerdings bestimmte Mailadressen wie
beispielsweise Microsoft oder Winrar meidet.
Konkret durchsucht er Dateien mit folgender Endung nach Mailkontakten: WAB, TXT,
MSG, HTM, SHTM, STM, XML, DBX, MBX, MDX, EML, NCH, MMF, ODS, CFG, ASP, PHP, PL,
WSH, ADB, TBB, SHT, XLS, OFT, UIN, CGI, MHT, DHTM und JSP.
Mit seinem eigenem SMTP-Server verschickt sich der Wurm dann als HTML-Mail mit
einer angehängten Datei, die einen der folgenden Namen trägt: MP3, Music_MP3,
New_MP3_Player, Cool_MP3, Doll, Garry, Cat, Dog, Fish. Die Datei-Endung lautet
ZIP (eventuell zusätzlich mit einem JPEG), CPL, EXE, COM oder SCR.
In der Betreffzeile steht ein simples "Re:". Der Mailtext umfasst Textbausteine
wie :
"foto3 and MP3"
"fotogalary and Music"
"fotoinfo"
"lovely animals"
"animals"
"predators"
"the snake"
"screen and music"
Falls das Attachement eine passwortgeschützte ZIP-Datei ist, steht im Mailtext
noch:
"Password:", oder "Pass –" oder "Key –".
W32/Bagle-AI versucht die Registry-Einträge bestimmter Sicherheits-Programme zu
beseitigen und kopiert sich als winxp.exe in das Windowsverzeichnis sowie in
eine Reihe weiterer Ordner. Problematisch ist diese Malware, weil sie versucht,
einen Backdoor auf dem befallenen Rechner zu installieren, wie das BSI
berichtet.
Trojan/BagleDI-A :
Die Mails mit dem Trojaner sind leicht an den
folgenden Merkmalen zu erkennen:
Betreffzeile : foto
Text : foto
Anhang : foto.zip oder fotos.zip
Wenn ein Anwender die angehängte ZIP-Datei öffnet, startet er damit eine
HTML-Datei. Diese versucht, auf eine von über 130 verschiedenen - meist
osteuropäischen - Web-Seiten zuzugreifen und den Trojaner herunterzuladen. Alle
sechs Stunden wiederholt sich dieser Vorgang.
Der Trojaner Troj/BagleDI-A scheint von demselben Autor zu stammen, der auch den
Bagle-Wurm geschrieben hat, fährt Sophos fort. Dieser Wurm hatte tausende von
ungeschützten Computern zu Anfang des Jahres infiziert.
Makrovirus WM97/Class Virus : Der Makrovirus besteht erst seit September 98 . Er umgeht die Word - eigene Virenerkennung (auch unter Service - Release 1) und kopiert seinen Code über eine temporäre Datei ( z .B. CLASS.SYS ;CLINTON.SYS ;CORE.SYS ) .Er verursacht keine großen Schäden , außer lästigen Meldungen bei Anspringen bestimmter Webseiten .
Makrovirus W97M /Caligula : Der Makrovirus ist in der Lage , den pivaten PGP- Schlüssel der Verschlüssellungs - Software (Pretty Good Privacy) von Anwendern zu stehlen . Der Virus versteckt sich in einer EXE oder ZIP Datei und wird aktiviert ,wenn die betreffenden Dateien geöffnet werden . Er sucht dann die Festplatte nach den PGP- Schlüssel ab und schickt diesen dann bei der nächsten Online Verbindung an einen vordefinierten FTP- Server .
CIH -Virus : Der CIH-Virus , der schon einige Zeit existiert , verbreitet sich trotz guter Erkennung durch Antiviren - Programme weiter aus . Der CIH-Virus versucht in regelmäßigen Abständen bei einigen Rechnern das Flash - BIOS zu überschreiben und die Festplatte zu löschen .
E-Mail-Wurm Cholera : Dieser Wurm reproduziert sich über E-Mails mit Betreffzeile "OK" und dem Anhang SETUP.EXE . Beim Start der EXE Datei erscheint eine typische Fehlermeldung . Der Wurm trägt sich in der WIN.INI ein und sichert sich somit seinen Start unter Windows .
WM97M /Corner.A : Er schaltet in allen "Microsoft Office"- Programmen die Virenschutzfunktion aus . Dieser Virus prüft alle "Microsoft - Project 98"- Dateien und infiziert diese , falls noch nicht geschehen . Der infizierte Rechner wird dadurch immer langsamer .
W95/CIH.1003 : Dieser gefährliche Virus ist in einigen Versionen des bekannten Spiels "Moorhuhn-Jagd" aufgetaucht , das per E-Mail verschickt wird . Das gefärliche an diesem Virus ist , daß er nur einmal im Jahr in Aktion tritt und zwar am 26 .April . Wird der Virus aktiv , kann das Flash-Bios des Motherboards gelöscht oder die Festplatte unlesbar gemacht werden ! Alle aktuellen Virenscanner sind in der Lage , alle CIH- infizierten Programme zu erkennen .
W97M./Cybernet@mm : Hier handelt es sich um einen neuen "Word -/Excel 97/2000 -Macro-Virus". Dieser Virus infiziert als Dateianhang (DOC-Format) getarnt den Rechner . Im Betreff steht die Zeile :"You've GOT Mail !!!" Er versendet sich nach einer Prüfung der Registry-Datei den ersten 50 Einträgen im Outlook-Adressbuch als Kopie der ursprünglichen Nachricht . Achtung ! - Im Anschluss daran wird die Festplatte neu formatiert !
Wurm Code Red /Code Red II : Der Internetwurm "Code Red" und sein Ableger "Code Red II" nutzen eine Sicherheitslücke in der Web-Software "Internet Information Server" von Microsoft aus , die unter Windows NT oder 2000 läuft . "Code Red II" attackiert nicht - wie das Original - die Web-Site des Weißen Hauses , sondern installiert eine Hintertür in dem System , durch das Hacker den Rechner kontrollieren können !
VBS.Chick -F : Als vermeintlicher Informationsservice für aktuelle WM-Ergebnissen versucht sich ein Virus auf den Festplatten von Fußball-Fans einzuschleichen . Der Virus kommt üblicherweise als Mail mit dem Betreff "RE: Korea Japan Results", im Mailtext steht "Take a look at these results". Wenn der Empfänger das Attachment öffnet und gemäß den Anweisungen ActiveX aktiviert , versucht sich der Wurm übers Internet Relay Chat zu verbreiten und leitet sich an den ersten Eintrag im Adressbuch des Anwenders weiter . Außerdem erzeugt der Schädling eine mIRC-Script .ini-Datei , mit der er sich selbst an andere Chat -Teilnehmer verschickt . Die Antivirensignaturen von Symantec erkennen diese Datei auch als VBS.Chick.gen@mm .
W32/ Dumaru : Der
Wurm wurde auf den Namen "W32/Dumaru" getauft und existiert bereits in mehreren
Unterformen. Der Wurm stiehlt von allen infizierten Rechnern die Passwörter und
zeichnet die Tastatureingaben des Anwenders auf.
Die gesammelten Daten werden in einer Log-Datei auf der Festplatte aufgezeichnet
und an den Programmier des Wurms gesendet. Außerdem öffnet der Wurm die beiden
Ports 2283 und 10.000 und erwartet Remote-Instruktionen des Angreifers.
Für seine Weiterverbreitung sorgt der Wurm über seine eigene Mail-Engine. Er
durchforstet den infizierten Rechner nach Mail-Adressen und verschickt
anschließend an diese Adressen Kopien von sich.
Die Absender-Adressen der infizierten Mails können sich
unterscheiden, eine lautet beispielsweise FUCKENSUICIDE@HOTMAIL.COM. Im
Betreff-Text steht "Important information for you. Read it immediately" und im
Mail-Text "Here is my photo, that you asked for yesterday".
Der Wurm selber steckt im Zip-Anhang mit dem Namen "myphoto.zip", dessen Größe
17.613 Bytes ist. In der Zip-Datei ist eine Datei mit der Bezeichnung
"myphoto.jpg(viele Leerzeichen).exe" enthalten. Die Dateigröße kann allerdings
variieren, denn der Wurm weist einige polymorphe Charakterstiken auf. Die vielen
Leerzeichen zwischen den Dateiendungen sollen beim angegriffenen User den
Eindruck erwecken, es handele sich um eine harmlose Bild-Datei.
Einen Hinweis darauf, ob ein Rechner von dem Wurm befallen ist, liefert ein
Blick in die Registry. Der Wurm trägt dort den Pfad
"HKEY_LOCAL_MACHINE\Software\SARS" ein.
WinCE/Duts.1536 : Dies ist der erste bekannte Virus für die Windows-Mobile-Plattform auf ARM-Prozessoren . Dieser Virus wird nur nach vorherigem Einverständnis des Benutzers (Fenstermeldung) auf dem System aktiv und infiziert dann alle Dateien im Hauptverzeichnis des Pocket-PCs . Der Virenautor spricht von einer "Machbarkeitsstudie" . Das Infektionsrisiko ist als gering einzuschätzen .
Makrovirus Ethan : Der Makrovirus befällt Word 97 Dateien und ändert gelegentlich die Dokumenteigenschaften der Dateien oder es erscheint beim Öffnen von Dateien eine Dialogbox mit dem Titel "Ethan Frome" .
Internet-Wurm Explore.Zip : Er verbreitet sich per E-Mail weltweit , indem er im Hindergrund vom Anwender unbemerkt , jede eingehende E-Mail mit einem englischsprachigen Standarttext und einer Datei mit Namen "Zipped_files.EXE " anhängt . Der Internet-Wurm überschreibt lokal und im Netz Dateien mit folgenden Erweiterungen : DOC;ASM;CPP;XLS;PPT;C .
W32/ExploreZip.worm : Dieser Virus kommt per E-Mail als Dateianhang mit Namen "zipped_files.exe"Die E-Mail enthält fogenden Text :"I received your email and I shall send you a replay ASAP.Till then , take a look at the attached zipped docs ." Wird der Virus aktiviert , verbreitet er sich , indem er jede erhaltene E-Mail mit dem oben genannten Text und dem Dateianhang beantwortet . Außerdem zerstört er alle speziellen Dateitypen mit folgenden Endungen : ".c ,.cpp ,.h ,.asm ,.doc ,.xls , und .ppt"
Trojaner Eurosol : Dieses Trojanische Pferd richtet sich direkt gegen die Firewall "ATGuard" . Diese wird durch Eurosol ausgehebelt . Der Trojaner tarnt sich dem Anwender gegenüber als Werbe-Bonus-Programm und verspricht nach dem betrachten von 15 Werbebannern eine Gutschrift . Wird das Programm gestartet , durchsucht der Schädling den Rechner systematisch nach geheimen Daten für das Online-Bezahlsystem "WebMoney" und übermittelt diese dann an einen FTP-Server - vorher verändert es aber die ATGuard -Einstellungen in der Registry , um ohne Alarm oder Benutzereingriff eine FTP-Übertragung vornehmen zu können .
Exploit "wmf":
Eine neu entdeckte Sicherheitslücke in Windows entsteht durch einen Fehler von
Windows beim Umgang mit Windows Metafile Dateien (".wmf"). Dieser Fehler kann
dazu führen, dass beim Öffnen einer entsprechend präparierten WMF-Datei in der
"Windows Bild- und Faxanzeige" schädlicher Code auf dem Rechner eingeschmuggelt
wird.
Genauere Details zu der Sicherheitslücke sind derzeit nicht bekannt und es
existiert auch noch kein Patch. Betroffen sind alle Windows XP-Versionen und
Windows Server 2003. Auch Windows XP mit installiertem Service Pack 2 ist nicht
sicher.
Die Sicherheitslücke ist vor allem deshalb gefährlich, weil bereits ein Exploit
im Umlauf ist, der diese Sicherheitslücke ausnutzt, um bei den Anwendern diverse
Trojaner auf das System zu befördern. Unter anderem wird auf den befallenen
Rechnern eine Software installiert, die den Namen AVgold trägt und vorgibt, ein
Anti-Malware-Programm zu sein, um dann den Anwender mit falschen
Sicherheitsalarm-Meldungen auf schädliche Web-seiten zu locken.
Im Internet gibt es bereits Web-seiten, bei denen die schädlichen WMF-Dateien
abgelegt sind und beim Besuch mit dem Internet Explorer automatisch eine
Infizierung hervorrufen können, wenn der Internet Explorer beim Besuch der Site,
die WMF-Datei automatisch öffnet oder in einer Vorschau anzeigt. Beim Besuch der
Website mit Firefox erscheint ein Download-Dialog, der zum Öffnen der WMF-Datei
mittels der "Windows Bild- und Faxanzeige" auffordert. Wer dieser Aufforderung
folgt, öffnet sein System ebenfalls für Schädlinge. Ähnlich wie Firefox verhält
sich Angaben von F-Secure zufolge auch Opera in der aktuellen Version 8.51.
Die Sicherheitsexperten von Secunia werten die Sicherheitslücke in ihrer Warnung
als "extrem kritisch" und empfehlen, keine WMF-Dateien zu öffnen, die von einer
nicht vertrauenswürdigen Site stammen. Außerdem sollte beim Internet Explorer
die Sicherheitsstufe auf Hoch gesetzt werden (unter "Extras, Internetoptionen,
Sicherheit").
Virus im Froschmixer : Animationen vom Frosch im Mixer sowie dem Fischquäler werden neuerdings per E-Mail verschickt . Es können sich mit diesen Dateien aber auch CIH-Varianten(siehe weiter oben) verbreiten!
Win32 -Virus Funlove : Der Virus infiziert "OCX -,SCR- und EXE- Dateien" lokal und auch im Netz . Er aktiviert sich als Hindergrund -Thread um nicht aufzufallen . Die infizierten Programme starten deshalb ohne Verzögerung . Ist der Virus auf dem System aktiv , existiert im System -Verzeichnis die Datei "FLCSS.EXE" . Für das Virus ist noch keine Schadenswirkung bekannt !
Wurmvirus Firkin : Dieser Virus verbreitet sich wahllos über freigegebene Windows-Laufwerke im Internet . Er kopiert zwei PIF-Dateien in das Startmenü-Verzeichnis , diverse mitkopierte Batch-Dateien scannen dann zufällig das Internet nach freigegebenen Windows-Verzeichnissen .Findet der Virus ein freigegebenes Laufwerk , wird es als lokales Laufwerk J:\ angebunden , in dem sich dann der Virus weiterkopiert . Wird desweiteren ein Modem gefunden , wählt eine der Batch-Dateien die amerikanische "Notrufnummer 911". Man kann sich schützen , indem man die Laufwerke "schreibgeschützt" und mit "Passwort" freigibt . (Windows95/98)
VBS/Fireburn.worm : Dieser Wurm wird per E-Mail als Dateianhang verschickt . Durch das öffnen wird dieser aktiviert und verschickt sich als Kopie an alle Einträge im Outlook-Adressbuch oder MIRC . Die Betreffszeile variiert je nach Sprache des gerade neu infizierten Computers .In deutscher Sprachauswahl erscheint im Betreff : "Moin , alles klar ?" Weitere Symptome sind Tastatur -und Mausblockierung jeweils am 20.Juli eines Jahres .
Wurm Fable : Kaspersky Lab warnt vor einer neuen Art von Wurm , die sich in .PIF-Dateien versteckt . Ein Vertreter dieser neuen Art mit dem Namen "Fable-Wurm" ist bereits aufgetreten . Pif -Dateien enthalten normalerweise nur Informationen zu DOS - Dateien und werden deshalb von vielen Anwendern für sicher gehalten .
Trojaner Fireanvil : Dieser
bösartige Trojaner versteckt sich in
dem kommerziellen Grafikprogramm "Firehand Ember Millenium" . Bei der Eingabe seiner Registrierungsdaten kann ein Benutzer den Trojaner starten und damit seine
Windows - Systemdateien unwiderruflich zerstören . Mit dem Trojaner Fireanvil sollen die Dateien "Ember32.exe" (die Hauptdatei des Grafikprogramms) und die
fireutil .dll (die dazugehörige Datei in der Windows-Library) verseucht sein . Gibt ein Anwender bei der Registrierung der Software im Feld "Registered User ID" die Verlegenheitslösung "czy czy"
ein , wird der Trojaner aktiv .
Auf dem Bildschirm des Benutzers erscheint die Meldung "CrAcKiNg SoFtWaRe! PLEaSe
WaIt!" . Die Malware sucht anschließend das
Verzeichnis , in dem das Betriebssystem Windows installiert ist und schreibt dort "CzY CrAcKiNg CrUe! We CrACk EvErYtHiNg!" in alle vorhandenen
Dateien . Die Windows - Systemdateien sind danach zerstört .
W32/Frethem : Dieser Oldie verbreitet sich in letzter Zeit in den neuen Varianten J und K massenhaft . Eine infizierte Mail ist an dem Betreff "Re : Your password ! " und an den Anhängen " Decrypt-passwort .exe " und " Passwort .txt" gut zu erkennen . Ein Doppelklick auf die EXE aktiviert den Wurm , die TXT- Datei enthält nur Text .
W32.Fizzer.A@mm : Bei W32.Fizzer.A@mm handelt es sich um einen Internetwurm, der sich derzeit massenhaft per E-Mail verbreitet. Auswirkungen eines Angriffs : Massen-Mailing, Beenden des Antivirenprogramms, Platzierung von Key-Logger- und Backdoor-Dateien . Betroffen sind vor allem Microsoft Outlook, Microsoft Outlook Express und Web-basierende E-Mail-Programme .
Win32.Agent.bkp / W32.Fubalca :
Das "Chinese Internet Security Response Team" (CISRT)
hat einen Wurm gemeldet, der die kürzlich veröffentlichte Sicherheitslücke im
Internet Explorer beim Umgang mit manipulierten Mauszeigerdateien ausnutzt. Es
handelt sich dabei um einen Schädling, der weitere Malware aus dem Internet nach
lädt, vorzugsweise Varianten bekannter Trojanischer Pferde, die Passwörter von
Online-Spielen stehlen sollen.
Der von Kaspersky und den mit dem Scan-Modul von Kaspersky arbeitenden
Virenscannern als "Trojan-Downloader.Win32.Agent.bkp" und von Symantec als
"W32.Fubalca" erkannte Schädling infiziert lokal gespeicherte HTML-Dateien. Er
fügt darin Script-Code ein, der eine mit dem ANI-Exploit versehene Datei von
Servern auf den Domains "microfsot.com" und "2007ip.com" herunter lädt. Werden
die HTML-Dateien auf einen Web-Server geladen, verbreiten sie den Schädling
weiter. Auch ausführbare Dateien (EXE) können infiziert werden.
Außerdem versucht er sich über USB-Sticks und andere beschreibbare Wechselmedien
zu verbreiten. Die Infektion ist an der Existenz der Dateien "autorun.inf" und
"tool.exe" im Hauptverzeichnis des Datenträgers zu erkennen. Ferner legt er eine
Datei namens "sysload3.exe" im System32-Verzeichnis von Windows an. Der Wurm
verbreitet sich durch Versenden von Mails.
Corel-Draw-Virus Galadriel : Der neue Makrovirus , der in Corel Script geschrieben ist , infiziert im aktuellen Verzeichnis und einem Unterverzeichnis Dateien mit der Endung".CSC" Der Virus ist momentan noch nicht verbreitet , könnte allerdings Nachahmer finden . Man erkennt den Virus an der ersten Zeile einer infizierten Datei an der Zeichenkette :"REM ViRUS GaLaDRieL FOR COREL SCRIPT bY zAxOn / DDT " Der Virus wird entfernt , indem man alle Zeilen bis zum Virus -Ende löscht"REM END OF ViRUS GaLaDRiel bY......."
Wurm Goner : Goner erscheint in Form eines Bildschirmschoners in den Mailboxen der PC-Besitzer und verbreitet sich als Computer -Wurm über das Adressbuch des Outlook -Mailprogramms weiter . In den befallenen Computern richtet das Virus erheblichen Schaden durch die Löschung wichtiger Dateien an . Anti -Viren - Experten stuften Goner deshalb in die höchste Gefährlichkeitsstufe ein .
Wurm W32 .Gokar : Der Schädling verbreitet sich nicht nur per Mail , sondern kann auch einen Webserver mit Microsofts IIS befallen . Zusätzlich versucht er sich über die Chat-Software "mIRC" zu verteilen . Als E- Mail kommt der Wurm unter verschiedenen Betreff-Zeilen und mit kryptischen Namen des Attachements an .Wird der Anhang gestartet , verschickt sich der Wurm an alle Einträge im Outlook -Adressbuch . Danach trägt er sich in die Registry ein , so dass sein Kern-Programm "karen.exe" bei jedem Systemstart aus dem Windows-Verzeichnis ausgeführt wird . Anschließend wird die Chat-Software mIRC befallen , die auch die Basis für eine Vielzahl anderer IRC-Clients wie "Gamers IRC" oder "Peace&Protection" darstellt . In jedem Fall wird die Datei "script.ini" modifiziert . Der Wurm versucht dann , sich an jeden zu verschicken , der einen IRC-Channel betritt , in dem sich ein infizierter User befindet .
Wurm JS/Gigger .A@mm : Bei diesem Wurm handelt es sich um ein schädliches "Javascript" , das sich im Anhang "Mmsn_offline" befindet . Der Virus infiziert alle "HTML -,HTM -, ASP - Dateien " auf dem PC und versucht gleichzeitig über einen Eintrag in der "AUTOEXEC.BAT " , die Festplatte zu formatieren . Bei neueren Windows -Versionen misslingt dieser Versuch allerdings .
HTML-Virus : Der Virus nutzt VB-Script , um weitere HTML- Dateien zu infizieren . Der Virus soll aber keine Schadensfunktion besitzen und nur aktiv werden , wenn man den Internet Explorer benutzt und in den Sicherheitseinstellungen nicht "Hoch"oder"Mittel"eingestellt hat .
Mail Wurm Happy 99 : Ein E- Mail Wurm mit Namen"Happy99"verrät sich ,wenn er sich im System installiert hat durch ein Feuerwerk auf dem Monitor . Wenn man eine infizierte E- Mail aufgerufen hat , reproduziert sich der Wurm mehrere 100 mal .Verschickt man jetzt eine E- Mail , dann hängt sich der Wurm an die Nachricht und bringt den Rechner durch die Masse an angehängten Nachrichten zum Absturz . Da aktuelle Virensuch - Programme den Wurm zwar erkennen , aber nicht richtig beseitigen können , muß man selbst Abhilfe schaffen. Die Dateien SKA .EXE;SKA .DLL;WSOCK32.DLL im Windows Systemverzeichnis löschen . Die Datei WSOCK32 .SKA umbenennen in WSOCK32 .DLL
Hacker - Tool Hack'a Tack : Das Netbusähnliche Trojanische Pferd "Hack'aTack"kann nicht nur CD-ROM Laufwerke öffnen , Tastatureingaben lesen und Dateien manipulieren , sondern auch Paßwörter auspähen . Entfernen : mit [Strg]+[Alt]+[Entf] die Anwendung "Expl32"aus dem Speicher entfernen und im Windows - Verzeichnis die Datei "EXPL32.EXE"(241.397 Byte lang) löschen .
Wurm Hybris : Dieser Wurm gehört zu einer besonders gefählichen Art , denn alle seine Plug - ins sind mit RSA-128-Bit -Crypto -Algorithmen verschlüsselt ! Der Wurm verbreitet sich auf Windows - Rechnern , indem er sich an E-Mails anhängt . Er tarnt sich als "32 - Bit - Programm " , das zuerst die "wsock .dll" und dann alle "32.Bit - Dateien " infiziert . Der Wurm aktualisiert sich bei Bedarf selbständig übers Internet , um fehlende oder neue Plug - ins aus dem Internet zu beschaffen .
Wurm VBS/Hard -A : Dieser Wurm warnt selbst vor einem Wurm ! Eine E- Mail , die von "warning@symantec.com" stammen soll , hat als Anhang die Datei "www.symantec.com .vbs", die angeblich Informationen über einen bösartigen Wurm enthält . Tatsächlich handelt es sich aber um den oben genannten Wurm , der sich über Outlook Express verbreitet , ohne Schaden anzurichten .
IROK .1000 : IROK verändert Dateien mit den Endungen(.COM ; .EXE) indem er seinen Code an deren Ende einsetzt und die Datei mit einer Prüfsumme versieht . Die Datei ist nicht mehr lauffähig , wenn sie nachträglich verändert wird . Der Virus befällt keine Windows-Systemdateien mit Ausnahme von"NTDETECT.COM"unter Windows NT . Ein Eintrag im Startmenü-Verzeichnis versendet den Virus an die ersten 60 Einträge des Outlook Adressbuches .
Wurm VBS/Jer : Dieser Internet-Wurm sollte durch einem Geocities-Benutzer mit einer neuen Strategie verbreitet werden . Er hatte in den IRC-Kanälen eine Web-Seite angepriesen , die versteckte Scripts enthielt .Der dort verborgene Wurm war aber fehlerhaft und konnte sich deshalb nicht per E-Mail verbreiten ,sondern nur per IRC . Schadenfunktion : Er verändert Schlüssel in der Registry ,den ein Viren-Schutzprogramm nicht reparieren kann , aber der Wurm selbst kann beseitigt werden .
Jpeg Worm :
Seit einigen Tagen verbreitet sich im Internet ein
Jpeg-Wurm, der eine Lücke in Windows XP nutzt, um mittels einer manipulierten
Bilddatei einen Rechner zu infizieren. Einem Angreifer wird mittels solcher
Jpeg-Bilder ermöglicht, schädlichen Programmcode auf dem Rechner zu starten.
Für seine Verbreitung nutzt der Jpeg-Wurm laut Angaben der
Sicherheitsspezialisten des Internet Storm Center vor allem Instant Messenger,
wie den AIM von AOL. Die AOL-Nutzer hätten in den vergangenen Tagen
IM-Nachrichten erhalten, die sie zu Websites führen, auf denen die infizierten
Jpeg-Bilder abgelegt sind.
"Check out my profile, click GET INFO!" heißt es in diesen IM-Nachrichten. Wird
auf den Link geklickt, nimmt das Unheil seinen Lauf. Einmal auf dem Rechner
versendet der Wurm die selbe Nachricht an andere User aus der Kontaktliste des
Instant Messengers. Darüber hinaus erhalten die Angreifer die vollständige
Kontrolle über den infizierten Rechner.
Eine Gefahr durch diesen Jpeg-Wurm besteht auch schon beim Empfang einer
Mail-Nachricht, in der ein solch manipuliertes Bild eingebettet ist.
Antivirenspezialisten schätzen das Sicherheitsrisiko als "hoch" ein, auch wenn
sich bisher die Schäden des Jpeg-Schädlings in Grenzen halten.
Fortgeschrittenere und gefährlichere Versionen des Wurms könnten allerdings
schon demnächst folgen.
Bereits Mitte September hatte Microsoft vor der Jpeg-Lücke in Windows XP und
Windows Server 2003 gewarnt und auch gleich mit dem MS04-028 ein
Sicherheitsupdate veröffentlicht ( wir berichteten ). Solltet Ihr bereits das
Service Pack 2 für Windows XP installiert haben, dann besteht keine Gefahr.
Ebenfalls gefährdet sind aber beispielsweise Windows 98-Anwender, die den
Internet Explorer mit Service Pack 1 einsetzen. Eine vollständige Liste aller
betroffenen Systeme und Anwendungen findet Ihr in Microsofts Knowledge
Base-Eintrag MS04-028 . Dort finden man auch die Downloads der Patches.
Win32.Kriz : Dieser sehr zerstörerisch wirkende Virus infiziert die wichtige Windows Datei "kernel32.dll" und jedes ausführbare Programm . Am "25.Dezember" überschreibt der Virus Systemdaten des Computers und löscht Dateien von der Festplatte !
WScript .KakWorm .B : Dieser Wurm nutzt eine Sicherheitslücke von Outlook Express . Er hängt sich automatisch als Signatur an das Ende einer E -Mail , so daß das bloße Lesen der eingegangenen Mail ausreicht , um den Rechner zu infizieren ! Bemerkbar macht er sich folgendermaßen : "an jedem elften eines Monates um 16:00 Uhr fährt er das Betriebssystem ohne Vorankündigung herunter !"Es könnte zu Datenverlusten kommen.
Wurm Klez-H : Klez -H kommt , wie alle Klez-Würmer , per Mail in einer Datei . Je nach Systemkonfiguration startet die Datei beim Lesen der Mail automatisch . Wenn der Wurm startet und Mails verschickt , versendet er manchmal auch einige Dateien vom infizierten Rechner mit , zum Beispiel Worddateien oder JPEGs. Dadurch können wichtige und vertrauliche Informationen an die Öffentlichkeit gelangen . Außerdem kann Klez -H so zusätzlich weitere Viren und Würmer , die unentdeckt auf dem betroffenen Rechner zum Beispiel in Worddateien schlummern weiterverbreiten .
W32/KWBot-A : heißt der Schädling
, der Sophos zufolge die Peer -to -Peer -Tauschbörse Kazaa heimsucht
.
Der Schädling W32 .Kwbot .Worm tarnt sich als Film -File , Spiel oder
Software-Datei , die zum Tausch angeboten wird . Sophos hat nach eigenen Angaben bisher mehrere Meldungen von dem Wurm "in the wild"
erhalten . Der Wurm soll Sophos zufolge Angreifern die Möglichkeit geben , über IRC Befehle an einen infizierten Rechner zu übertragen
. KWBot kopiert sich nach dem Herunterladen und Starten der Datei als explorer32.exe in den
Windows -Systemordner . Außerdem erstellt er zwei Registrierungseinträge , die dafür sorgen
sollen , dass der Wurm bei jedem Start ausgeführt wird .
Der Wurm bietet sich im Kazaa-Netzwerk unter verschiedenen attraktiven Namen wie "Star Wars Episode 2 - Attack of the Clones VCD CD1.exe", "Spiderman", "Norton Utilities 2002.exe", "Grand Theft Auto 3 CD1 ISO.exe" oder "100 XXX Passwords (verified 3-24-02).exe"
an , um auf die Festplatte des Anwenders zu gelangen . Aliasnamen für W32
.Kwbot .Worm sind Worm .Win32.SdBot und W32/Moocow-A .
Loveletter -Wurm & Varianten : Nachdem der E-Mail -Wurm "VBS.Loveletter" über Hunderttausende PC's über das Outlook -Adressbuch heimsuchte und Grafik - und Musikdateien vernichtete , kursieren jetzt über 30 Varianten des Virus im Netz . (z.B. Betreff :"Joke","Virus Alert","Important","I Can't Believe This" u .a .) Einige dieser Varianten greifen auch Systemdateien an !
VBS/Loveletter.BD : Eine neue Variante des bekannten "Loveletter -Wurms" breitet sich bedenklich schnell in Internet aus . Es reproduziert sich über den E-Mail Anhang "Resume.txt .vbs". Er sorgt für weiteren E-Mailversand über Outlook und für den Download von HCHECK.EXE . Vorsicht ! Dieses Programm versucht , Passwörter für das "Online-Banking" auszuspionieren !
VBS/Loveletter .CD : Ein Italienischer Liebesbrief kursiert im Internet . In seiner Betreffzeile steht :"C'e una cartolina per te ! " Den Anhang nicht anklicken und sofort löschen !
Loveletter für Notes-Clients : Eine "Loveletter -Wurm -Variante" existiert speziell für Anwender von "Notes-Clients" Es enthält im Betreff den Text : "Joke" und im Anhang die Datei : "Very Funny.VBS". Diese Datei löscht aggressiv Daten im lokalen Netz !
Palm .Liberty.A : Dieser Trojaner befällt alle Geräte mit dem Palm -Operatin -System (Palm OS) als Betriebssystem . Ursprünglich wurde das Programm als Patch für Palm -Anwendungen unter dem Namen Liberty in Umlauf gebracht . Doch inzwischen ist daraus ein Programm geworden , das Anwendungen auf Handhelds löscht , anstatt sie zu verbessern !
Wurm VBS/Lopez .A@mm : Der Wurm verbreitet sich im Loveletter - Stil . Als Anhang enthält er die Datei " Jenniferlopez_naked .JPG.VBS" , als Betreff steht : Where are you? , der Mailtext lautet : This is my pic in the beach ! Wird der Anhang geöffnet , verschickt sich der Wurm an Adressen aus dem Outlook -Adressbuch und setzt den gefährlichen CIH-Virus frei , der dann Dateien auf dem PC überschreibt !!!
Wurm W32.LastScene : Dieser Übeltäter ist der erste Wurm , der sich in einer .ZIP-Datei versteckt ! Er ist in der Lage , einen PC mit mehreren Trojaner zu infizieren und kann eine Mail - Lawine auslösen . Die Betreffzeile der Mail , mit der sich "W32.LastScene alias VBS.Scene alias Trojan/Scenes oder VBS/LastScene@MM " verbreitet , lautet "Scene From Last Weekend", der Mailtext "Please do not forward!!!" Die angehängte .ZIP-Datei trägt den Namen "Scenes .zip". In der .ZIP-Datei befindet sich das Microsoft Write -Dokument "SCENES.WRI" , in das "scenes1. jpg und scenes2. jpg" eingebettet sind . Klickt der Benutzer auf diese Objekte , so installiert LastScene verschiedene Trojaner und ein kleines Visual Basic Script , das die Verbreitung des Wurms mit Microsoft Outlook ermöglicht . Der Trojaner installiert sich auf dem befallenen Rechner als "C:\Windows\Olefiles\Realuptd .exe" .
W32/Lovgate-V :
Bei W32/Lovgate-V alias I-Worm.LovGate.w,
W32.Lovgate.Gen@mm und WORM_LOVGATE.V handelt es sich zunächst um einen
Internet-Wurm, der sich über Mail, Netzwerkfreigaben und
Dateiaustausch-Netzwerke verbreitet. Nach seinem Start kopiert er sich als
WinHelp.exe, iexplore.exe, kernel66.dll und ravmond.exe in den
Windows-Systemordner und als systra.exe in den Windows-Ordner. Außerdem trägt er
sich in die Registry ein um bei jedem Neustart von Windows mitgestartet zu
werden.
Der Wurm durchsucht infizierte Rechner nach Mail-Adressen, an die er sich
verschicken kann. Die Mails, mit denen Lovgate-V zum Anwender kommt, sind in
englischer Sprache verfasst und tragen Betreffzeilen wie beispielsweise "hello",
"Mail Delivery System" oder "Mail Transaction Failed". Die angehängte Datei mit
dem Wurm hört wiederum auf Namen wie "readme", "doc" oder beispielsweise "text"
- immer gefolgt von der Endung ZIP, EXE, PIF oder SCR.
Problematisch macht ihn vor allem folgende Funktion: Er legt nämlich die Dateien
msjdbc11.dll, mssign30.dll und odbc16.dll auf dem infiziertem Rechner ab. Diese
ermöglichen einen unbefugten Fernzugriff auf den Computer über ein Netzwerk.
Außerdem versucht W32/Lovgate-V, sich über einfach geschützte remote Freigaben
zu verbreiten.
W32/Lovegate-AJ :
W32/Lovgate-AJ verbreitet sich via Mail,
Laufwerksfreigaben und Filesharing-Netzwerken. Wenn ein Anwender den Wurm durch
einen Doppelklick startet, kopiert dieser sich unter anderem als "RAVMOND.exe",
"hxdef.exe" und "IEXPLORE.EXE" in das Windows-Verzeichnis. Die Malware legt
zudem eine Reihe von Registry-Einträgen an.
Der Wurm scheint keine eigentliche Schadroutine zu besitzen, er soll Sophos
zufolge aber weit verbreitet sein.
Der Melissa Virus : Der Virus ist in ein Word Dokument eingebettet , daß per E- Mail verschickt wird . Beim Öffnen des empfangenen Dokumentes schickt sich der Virus automatisch selbst als E- Mail an 50 Adressen aus dem Adressbuch des Empfängers weiter (Kettenbrief -Prinzip). Der Virus zerstört bzw . verändert keine Daten , kann aber E -Mail Systeme lahmlegen . Betroffen sind Benutzer von Microsoft -Programmen . Man sollte beim durchsehen seiner E - Mails auf Nachrichten mit der Betreff -Zeile "Important Message From ..."und der Zeile "Here is the document you asket for - don't show anyone else ;-)" achten , also die Bitte um Ausführung der in dem Document enthaltenen Makros unbedingt "verneinen".
W97M / Melissa .W : Eine neue Melissa -Variante des bekannten Makrovirus ist aufgetaucht . Die Funktionen sind die gleichen , wie bei älteren Makroviren mit diesem Namen : Es werden "Word - Dateien" (Versionen 97/2000 )infiziert und es verbreitet sich über Outlook per Mailanhang . Eine Neuerung existiert aber : Der infizierte Mailanhang wird im "Word -2001" Format für den Mac gespeichert ! Ältere Viren - Scanner erkennen den lästigen Virus deshalb nicht .
Makrovirus W97M /Marker : Der Makrovirus benutzt die Import / Export Funktionen , um die Makrovirus - Sperre in Word 97(ab SR1) zu umgehen . Bei seiner ersten Aktivierung schaltet er die Makrovirus - Warnung aus Der polymorphe Virus aktualisiert ständig eine Liste mit allen infizierten Rechnern mit Benutzernamen und Datum und versucht diese dann per FTP - Verbindung an eine Internet - Adresse zu übertragen .
W32/Mypics.Worm : Dieser Virus ist sehr gefährlich ,weil er bei aktivierung im Jahr 2000 das Computer - Basisprogramm (Flash-BIOS) überschreiben kann und außerdem den gesammten Festplatten-Inhalt löscht !!! MyPics kommt per E-Mail mit folgendem Text :"Here's some pictures for you", eine Betreffzeile gibt es nicht ! Der Dateianhang hat folgenden Namen :"PICS4YOU.EXE". Diesen Anhang sofort löschen !!!
Win32/Magistr@MM : Dieser komplexe Virus wird durch Mailanhänge unterschiedlichen Namens aktiviert . Als Anhänge können neben schädlichen "EXE" Dateien auch "harmlose" Dateien vorhanden sein . Wird der Anhang ausgeführt , infiziert W32/ Magistr "EXE " Dateien im Windows-Ordner und sorgt durch Einträge in "Registry und WIN.INI" (run=) für seinen Aufruf . Desweiteren löscht der Virus "Sektoren auf der Festplatte " und versucht das "CMOS" zu überschreiben !
Wurm Win32/MsWorld@mm : Dieser Wurm verbreitet sich über eine E- Mail mit den Betreff "Miss World" . Der Name des hoch gefährlichen EXE - Anhangs (130 KB) kann variieren ! Wird dieser Anhang gestartet , verschickt sich der Wurm an 50 Outlook - Adressen , zeigt beispielsweise das Bild eines Affen im Bikini an und ändert die Datei "AUTOEXEC.BAT " so , dass beim nächsten Neustart alle Laufwerke formatiert werden !!!
Wurm Win32/MyParty@mm : Dieser Wurm benutzt eine neue Tarnung ,die simpel und einfallsreich zugleich ist . Die E- Mail enthält als Anhang "www.myparty.yahoo.com" . Dahinder verbirgt sich nicht wie vermutet eine Internetadresse , sondern der Wurm "MyParty" , als getarntes DOS - Programm mit der Endung COM !
W32 / Mimail-A : Wurm W32/Mimail verbreitet sich auf Windows- Rechnern über eine Mail , die sich als Post des "Administrators" tarnt und vorgibt, dass die Mail-Adresse des Empfängers auslaufe. Beim Öffnen der angehängten Datei wird der Wurm aktiviert .
Der Wurm steckt im Anhang einer Mail, deren Betreffzeile
"your account" ergänzt durch eine zufällige Buchstaben-Kombination lautet. Der
englischsprachige Text der Mail lautet: "Hello there, I would like to inform you
about important information regarding your email address. This email address
will be expiring. Please read attachment for details. --- Best regards,
Administrator".
Der Wurm steckt in dem mitverschickten Anhang namens message.zip. Wird diese
angebliche ZIP-Datei gestartet, so kopiert sich die Malware in zwei
Verzeichnisse: "C:\<Windows>\exe.tmp" und "C:\<Windows>\videodrv.exe". Außerdem
trägt sie sich in die Windows-Registry ein, um bei jedem Systemneustart
mitgestartet zu werden.
Der Wurm durchsucht die Festplatten des infizierten Rechners nach Mailadressen
und verschickt sich an diese. Die gefundenen Adressen legt er im Windows-Ordner
in der Datei eml.tmp ab. Weitere Schäden verursacht die Malware nicht. Der Wurm
nutzt eine bekannte Sicherheitslücke im Internet Explorer aus.
W32/ MyDoom : Der
Wurm W32/Mydoom (alternative Namen: W32.Novarg.A@mm, Win32/Shimg, WORM_MIMAIL.R)
,verbreitet sich per Mail und über das Kazaa-Netzwerk. Betroffen sind die
Systeme Windows 98, ME, NT, 2000, und XP.
Der Wurm kommt mit einer gefälschten Absender-Adresse und verschiedenen
Betreffzeilen wie: "Error", "Status", "Server Report", "Hello" oder "Hi". Der
Anhang mit dem Wurm ist 22.528 Byte groß, die Dateiendung variiert von .bat über
.exe, .pif, .cmd bis hin zu .scr. Das Icon des Anhangs täuscht eine Text-Datei
vor.
Sobald der Anhang angeklickt wird, kopiert sich der Wurm in das Windows
Systemverzeichnis als "taskmon.exe". Folgende Registry-Einträge werden
vorgenommen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "TaskMon" =
%SysDir%\taskmon.exe
Der Wurm nutzt eine DLL, die er im Windows Systemverzeichnis erstellt hat :
%SysDir%\shimgapi.dll (4,096 Byte)
Über folgenden Eintrag wird diese DLL in die "Explorer.exe" kopiert:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
"(Default)" = %SysDir%\shimgapi.dll
Der Wurm öffnet Port 3127 und ermöglicht somit den Zugriff Dritter auf den
infizierten Rechner. Wird ein infizierter PC am 1. Februar oder später
gestartet, versucht der Wurm, eine DoS-Attacke gegen die Website www.sco.com zu
initiieren, berichten die Antivirenexperten von NAI. Diese Funktion bleibt bis
zum 12. Februar aktiv.
W32/Mydoom durchsucht den Rechner nach Mail-Adressen und versendet sich an diese
über eine eigene SMTP-Routine. Zudem versucht die Malware, Zufallstreffer zu
landen, indem er Mails erstellt, in denen er Mailserver wie mx., mail., smtp.,
mx1., mxs., mail1., relay. oder ns. mit einem Domain-Namen wahllos verknüpft und
diese dann versendet.
Informationen der Antivirenexperten von Symantec zufolge installiert der Wurm
einen "Keylogger", der die Tastatureingaben des Anwenders aufzeichnet. Der
Angreifer kann somit in Besitz wichtiger Passwörter oder Kreditkartennummern
gelangen!
Infektion per Kazaa :
Ist die Kazaa-Software auf dem betroffenen Rechner installiert, kopiert sich der
Wurm in das für die Tauschbörse freigegebene Verzeichnis und tarnt sich mit
einem der folgenden Namen : [nuke2004 ; office_crack ; rootkitXP ;
strip-girl-2.0bdcom_patches ; activation_crack ; icq2004-final ; winamp]
Worm/MyDoom .s :
Wird Worm/MyDoom.s ausgeführt, erstellt er im
temporären Ordner von Windows die Datei "Message" und öffnet diese mit dem
Editor Notepad. Diese Datei enthält nur Datenmüll. Der Wurm kopiert sich dann in
folgende Verzeichnisse:
%SystemDIR%\winpsd.exe %WindowsDIR%\rasor38a.dll und erstellt folgenden Eintrag
in der Windows Registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cu rrentVersion\Run
"winpsd"="%SystemDIR%winpsd.exe"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer
"InstaledFlashhMx"="1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Explorer\ComDlg32
Worm/MyDoom.s lädt von der Domain www.ri****lour.com oder ze***uice.com folgende
Dateien herunter, welche Backdoor Komponenten enthalten: ispy.1.jpg ; coco3.jpg
; temp587.gif ; temp728.gif
Der Wurm versendet als Email sich mit Hilfe einer eigenen SMTP Engine. Er
durchsucht Dateien mit folgender Dateierweiterung nach Emailadressen, an die er
sich versenden kann: z.B. *.htm ; *.sht ; *.php ; *.dbx ; *.wab und andere
Eine vom Wurm versandte Email hat folgendes Aussehen:
Subjekt: Photos
Message: LOL!;))))
Attachment: photos_arc.exe
Win32/NewApt : Dieser Wurm verbreitet sich , indem er sich als Anhang an E-Mails anhängt .Wird der Anhang angeklickt , erscheint eine simulierte Fehlermeldung , während sich der Wurm im System einnistet .Durch einen Registry-Eintrag wird der Wurm bei jedem Windows-Start automatisch geladen .Eine Schadenswirkung ist nicht bekannt .
Win32/Naked Wife : Dieser Wurm enthält als Mailanhang "NakedWife .exe" und als Betreffzeile steht "Fw:NakedWife" . Er verschickt sich an alle Einträge im Outlook -Adressbuch . Aber weitaus gefährlicher ist die zweite Schadensfunktion : Beim klick auf die angehängte Datei öffnet sich ein Shockwave-Fenster , in dem das Wort "loading" erscheint . Klickt man auf "Help/About" im Flash-Fenster , wird eine Nachricht angezeigt "You're are now F**KED! (C) 2001 by BGK (Bill Gates Killer)" . Gleichzeitig werden alle Dateien mit den Endungen (.EXE ;.DLL;.INI;.COM;.BMP) gelöscht , so dass eine Neuinstallation von Windows nötig ist !!!
Wurm W32.Nimda .A@mm : Dieser Wurm ist das erste Virus , das man sich durch Surfen im Internet einfangen kann ! Nimda verwandelt Server - und PC- Festplatten in Netz - Laufwerke und gibt sie unter Windows - 32Bit - Systemen für Zugriffe mit Administratorrechten frei . Damit können Angreifer Systemveränderungen auf den betroffenen Computern durchführen . Er befällt Server , die mit Microsofts (ILS) laufen und schreibt in dessen Web - Seiten eigennen Javascript - Code . Beim Surfen mit dem Internet Explorer auf diesen Seiten lädt der Browser die Datei "readme .eml"nach und schon ist der Rechner infiziert .
Wurm/NetskyV :
Eine neue Variante des Netsky-Wurms,der allerdings noch nicht "in the wild"
ist,befindet sich seit kurzem im Umlauf. Das gefährliche an der neuen Variante:
sie verbreitet sich nicht als Mail-Anhang, sondern per normaler Mail. Wird die
Mail angesehen, dann wird das System unter Ausnutzung bekannter
Windows-Sicherheitslücken infiziert.
Ausgenutzt werden Sicherheitslücken die Microsoft bereits mit den Updates
MS03-040 und MS99-032 geschlossen hat. Die infizierten Mails tragen im Betreff
beispielsweise "Mail Delivery System failure" oder "Mail delivery failed". Im
Mail-Text steht "The processing of this message can take a few minutes…",
"Converting message. Please wait…" oder "Please wait while converting the
message…".
Wird die infizierte HTML-Mail geöffnet beziehungsweise in der Vorschau
betrachtet, gelangt der Wurm per versteckten Link, über den eine Remote-Website
kontaktiert wird, auf den Rechner. Der Remote-Recher wird über HTML auf dem Port
5557 kontaktiert, eine HTML-Datei wird aufgerufen, diese stößt ein FTP-Skript
an, das dann wiederum über den Port 5556 den eigentlichen Wurm-Code herunter
lädt und damit den Rechner infiziert.
Der Wurm installiert sich auf dem Rechner unter den Namen "KasperskyAVEng.exe"
im Windows-Verzeichnis und sorgt per Registry-Eintrag dafür, dass er bei jedem
Systemstart aktiviert werden. Für seine weitere Verbreitung sorgt der Wurm per
Mail und eigener SMTP-Client-Engine. Zwischen dem 22. und 29. April startet eine
DoS-Attacke auf mehrere Websites, darunter auch auf www.kazaa.com und
www.emule.de .
Word-Virus Ozwer : Dieser Virus verschiebt Wörter im aktuellen Text nach dem Zufallsprinzip . Er fällt dadurch auf , daß er in der Word-Titelleiste ein führendes Gradzeichen einfügt ( °Microsoft Word ) . Der Virus läuft nur in der ursprünglichen Version von Word 97 , bei der "SR1" - Version nicht .
Wurm / Trojaner Opasoft :
Opasoft ist eine Kombination aus Wurm und Trojaner . Opasoft verbreitet sich als 28 Kilobyte große .EXE-Datei in Netzwerken. Der Wurm überprüft dazu diverse IP-Adressen. Wenn er freigegebene Laufwerke oder Ordner entdeckt , versucht er sich auf diese zu kopieren. Die Malware dringt in einen Computer ein und erstellt unter dem Namen "SCRSVR.EXE" im Windows-Verzeichnis eine Kopie von sich. Außerdem trägt sie sich in die Windows-Registry ein , um bei jedem Systemstart aktiviert zu werden : HKLM\Software\Microsoft\Windows\ CurrentVersion\RunScrSvr = %worm name% .Gefährlich ist die Trojaner - Komponente des Wurms ! Opasoft nimmt Verbindung mit der Web-Site www.opasoft.com auf , lädt von dort ein Update von Opasoft herunter und startet anschließend auf dem infizierten Computer spezielle Script -Programme. Der Schädling erstellt auf dem PC die Dateien "SCRSIN.DAT" und "SCRSOUT.DAT" und speichert darin seine temporären Dateien .Wurm Win32/Oror.D : Dieser gefährliche Wurm kommt per E- Mail als Anhang " RedEyez2 _skin.exe " (ca.71KB) mit dem Betreff : " WinAmp Team Presents_" . Ein Klick auf den Anhang reicht und der Wurm wirft installierte Antiviren-Software und Firewalls aus dem RAM und löscht gleichzeitig diese Programme !
Win 32 -Virus Porvo.A : Der Dateivirus (mit Stealthfähigkeiten) hat sich auf ausführbare Dateien mit PE - Header (Windows 9x ,NT) spezialisiert und verbreitet sich innerhalb von Netzwerken sehr schnell . Der Virus liest die DFÜ - Daten aus (*PWL-Datei) und versendet Mails mit Benutzernamen ,Telefonnummer und Paßwort soweit diese Angaben in der betreffenden Datei vorhanden sind .
Promail 1.21 : Diese Freeware sollte eigentlich E - Mail Accounts eines Benutzers verwalten , aber in Wirklichkeit ist es ein "Trojanisches Pferd"! Es fragt nach der Installation den Benutzer nach seinen Paßwörtern , die es dann in der Datei ACCOUNT.INI ablegt , die später an eine anonyme Adresse gesendet wird
W97M/ Prilissa : Dieser Virus ist eine gefährliche "Melissa"-Variante . Er infiziert Word97 Dateien und verbreitet sich über Outlook weiter . Die Schadensfunktion des Virus tritt am"25.Dezember 99" ein .
Virus Pri.B. : Der polymorphe Virus ist ein direkter Nachfolger des "Pri.A."-Virus und befällt Word - Dokumente . Er beendet einfach Dokumente ohne Abspeicherung ! Das gefährlichste ist aber , das dieser Virus auch noch die "autoexec.bat" ändert und dafür sorgt , daß bei einem Neustart des Computers die Festplatte "formatiert" wird !
W32/Pretty.worm .unp : Dieser Wurm ist für alle Windows 9x - und Windows NT-Nutzer gefährlich . Bekommt man eine E-Mail von einem bereits infizierten Absender , erkennt man diese am Inhalt :"c:\CoolProgs\Pretty Park .exe" und einem Icon , das den Charakter Kyle aus der Comicserie "Southpark" zeigt . Wird der Virus Aktiv , wird dieser versuchen , sich alle 30 Minuten an alle E-Mail -Adressen zu senden , die sich in der Adressliste von Outlook Express befinden . Desweiteren stellt er eine Verbindung zu einem speziellen Server her , wobei der Virenprogrammierer dann die Möglichkeit hat , in den infizierten Rechner einzudringen und geheime Benutzerdaten auszuspionieren !
Palm OS/Phage.963 : Dieser Virus ist der erste für die PDAs . Er zerstört Anwendungen und schleicht sich meist über Web -Downloads auf den Palm ein .
W32/Prolin@MM : Der Anfang Dezember entdeckte Wurm "Prolin"kommt als E-Mail und hat im Betreff folgende Zeile : " A great Shockwave flash movie" und enthält als Datei -Anhang "CREATIV.EXE" . Er verschickt sich an alle Einträge im Outlook -Adressbuch . Außerdem verschiebt er JPG - und ZIP- Dateien ins Hauptverzeichnis und ergänzt deren Namen jeweils um die Zeichenkette "change atleast now to LINUX". Diese Einträge sind nur manuell wieder zu reparieren .
PHP-Virus : Die Software - Schmiede Symantec hat vor kurzem den ersten Virus entdeckt , der PHP - Dateien infiziert . (PHP ist die Scriptsprache für das erstellen von dynamischen Web-Seiten) Dieser Virus kann nur weitere PHP-Dateien auf einem Webserver befallen . Eine Infektion anderer PCs via Internet ist auszuschliesen .
PIF-Dateien : Diese "Program Information Files"(sie dienen zum Starten von DOS-Programmen unter Windows) können ein riskantes Schlupfloch für Trojanische Pferde darstellen ! Es ist nämlich mit geringstem Aufwand möglich , PIF- Anhänge mit harmlosen Namen und Icons zu verschicken , die dann z . B. Festplatten löschen können .
Wurm VBS/PeachyPDF@mm : Er kommt per Mailanhang und ist eingebettet in eine PDF-Datei . Öffnet ein Benutzer diese PDF-Datei in Adobe Acrobat , so erscheint ein Bild mit einem kleinen Spiel , in dem ein Pfirsich gefunden werden muss - daher der Name Peachy. Ein Doppelklick auf ein Icon mit der angeblichen Lösung des Spiels startet die VBS-Datei (Peach.vbs, Peach.vbe, or Peach.wsf je nach der Version des Wurms). Allerdings erst nachdem eine Dialogbox erschienen und vom Benutzer weggeklickt wurde . Der Wurm versucht sich an die ersten 100 Adressen , die er in Outlook findet , zu verschicken .
Wurm Win32/Parrot .A : Dieser Wurm befindet sich als Screensaver getarnt im Anhang der E- Mail . Im Betreff steht "Parrot Screensaver" . Wird er aktiviert , verpasst er Windows - Systemdateien unbrauchbare Datei - Erweiterungen und verbreitet sich über Outlook .
Wurm/Phatbot :
Die Weiterentwicklung eines im März unter der Bezeichnung "Agobot" alias
"Gaobot" aufgetauchten Schädlings infiziert Rechner über bekannte
Sicherheitslücken, zum Beispiel Fehler im RPC-Protokoll. Das berichtet
Computerwoche .
Weitere Verbreitungswege sind Hintertüren, die andere Würmer wie "Bagle" oder
MyDoom" geöffnet haben, die TCP-Ports 2745, 1025, 3127, 6129, 5000, 80 und das
Microsoft-Protokoll NetBios.
Phatbot basiert auf P2P-Technologie (Peer to Peer), über die er infizierte
Rechner vernetzt und zum Beispiel zum Versand von Spam-Mails oder für
DDoS-Attacken (Distributed Denial of Service) nutzt. Die "Bot"-Technik lässt
sich den Experten zufolge ferngesteuert um nahezu beliebige Funktionen
erweitern, so dass der Wurm unter anderem Passwörter ausspionieren,
Mail-Adressen sammeln oder Schadroutinen ausführen kann.
Net-Worm.Perl.Santy.a :
Der Net-Worm.Perl.Santy.a infiziert Webseiten,
indem es zu seiner Ausbreitung die Angreifbarkeit im bekannten und verbreiteten
Dienstprogramm zur Schaffung von Internet-Ressourcen - phpBB - nutzt.
Zu seiner Ausbreitung über das Internet nutzt der Wurm eine ziemlich
ungewöhnliche Methode. Das Schadprogramm erstellt eine spezielle Anfrage an das
Google-Suchsystem. Infolgedessen findet der Wurm Seiten, die unter der
angreifbaren Version von phpBB laufen. Auf die gefundenen Seiten schickt der
Wurm eine Zeile, die wiederum die Aktivierungs-Prozedur des Schadprogramms
enthält. Während der Bearbeitung dieses Vorgangs durch den attackierten Server,
dringt der Wurm auf die Seite und verschafft sich Zugang zur Steuerung der
Ressourcen. Anschließend wiederholt sich der Arbeitsprozess des Wurms.
Durch den Zugang zur Steuerung checkt "Net-Worm.Perl.Santy.a" sämtliche
Verzeichnisse auf der infizierten Seite und tauscht die gefundenen Dateien mit
den Erweiterungen .htm, .php, .asp, .shtm, .jsp, .phtm gegen Dateien mit dem
folgenden Text aus: 'This site is defaced!!! This site is defaced!!!
NeverEverNoSanity WebWorm generation'.
Außer der benannten Inhaltsveränderung der attackierten Seite hat der Wurm keine
weiteren destruktiven Funktionen. Er infiziert nicht die Computer von
Heimanwendern, die diese Internet-Ressourcen gerade besuchen. Um die Gefahr der
Attacke durch "Net-Worm.Perl.Santy.a" zu verhindern oder zu verringern,
empfehlen die Experten von Kaspersky Lab allen Anwendern des Systems phpBB eine
Aktualisierung des Produktes bis Version 2.0.11. vorzunehmen .
Trojaner Phel.A :
Der Trojaner Phel.A versucht nach Erkenntnissen der Antivirenspezialisten über
eine bekannte Lücke im Internet Explorer einzudringen. Phel.A steckt in einer
HTML-Seite und kann Systeme mit Windows XP Service Pack 2 befallen .
Ein Patch für die Lücke steht seitens Microsoft bislang aus. Der Trojaner, der
sich über eine Lücke in der Absicherung der Hilfefunktion Zutritt zur lokalen
Zone verschafft, kann zwar über die aktuellen Signaturen der Antivirenexperten
entdeckt werden. Schutz vor einer weiteren Infektion oder einer Abart von Phel.A
bietet dies allerdings nicht.
Exploits für die Lücke gibt es schon seit geraumer Zeit. Nun scheint ein
Virenschreiber dies ausgenutzt zu haben. Wenn auch derzeit noch mit mäßigem
Erfolg; Antiviren-Experte Symantec gibt die Verbreitung von Phel.A mit "Low“ an.
Wird eine HTML-Datei mit dem Trojaner geöffnet, werden zwei Fenster des Internet
Explorer angezeigt. Laut Symantec kann es dann zu einer Fehlermeldung kommen,
die die Ausführung des Codes stoppt. Bei erfolgreichem Angriff lädt der Trojaner
Dateien nach und installiert sie in diverse Ordner unter „My.hta“ im Verzeichnis
„C:/Dokumente und Einstellungen/All Users…“. Die Pfade für diese Ordner sind im
Code des Schädlings fest vorgegeben. Durch einen Eintrag im
Autostart-Verzeichnis sorgt "Phel" für einen automatischen Start mit Windows.
Zudem versucht der Schädling den Backdoor-Trojaner "Backdoor.Coreflood"
nachzuladen und auszuführen.
W32.pipeline :
Der Wurm verbreitet sich durch die Benutzung des
AOL Instant Messengers.Die Benutzer erhalten
eine Nachricht, in der sie gefragt werden, ob es in Ordnung sei, wenn der
Absender ein Bild des Empfängers in seinem Blog ablegt. In der Nachricht
befindet sich ein Link, der wie ein Jpeg-Download aussieht. Allerdings handelt
es sich um eine ausführbare Datei, durch die sich der Wurm auf dem angegriffenen
Rechner installiert.
Der Wurm startet, nachdem er sich auf dem System festgesetzt hat, mehrere Arten
von Attacken, die es schwierig machen ihn zu bekämpfen. Der Wurm wurde unter
anderem dabei beobachtet, wie er einen Port auf dem Rechner öffnet und
anschließend Spams verschickt. Alternativ installiert der Wurm aber auch eine
schwierig vom Rechner zu entfernende Variante des Rootkits
"Hacker Defender" oder stellt eine Verbindung zu diversen Upload-Sites
her und lädt von dort neue Malware herunter. Ein von dem Wurm befallener Rechner
schickt außerdem neue Kurznachrichten über den AOL Instant Messenger und sorgt
so für die weitere Verbreitung des Schädlings.
Info Hacker Defender : Hacker Defender ist ein Rootkit-Bausatz, mit dem sich ganze Dateien und Verzeichnisse von schädlichen Tools ausblenden lassen. Hat sich ein Rootkit bereits auf dem Rechner eingenistet, wirken bereits deren Versteckmechanismen und AV-Programme können nur noch eine mögliche Erkennung auf die Setup-Datei des Rootkits fahren.
QDel104 : Dieser Trojaner wurde als Update für "Dr.Web Antivirus" in einigen Newsgroups angeboten . Er löscht wenn er aktiv wird die Dateien "command .com ; windows\win .com" Windows ist danach nicht mehr lauffähig und muss eventuell neu installiert werden . Wichtig ! - Dieser Trojaner braucht "Visual Basic in der Version 5" , um Schaden anrichten zu können .
W32.HLLW.Qaz .A : Dieser Virus wird hauptsächlich über das Netzwerk auf andere Systeme übertragen . Zusätzlich verbreitet er sich noch mit Hilfe von E-Mails . Die Gefahr besteht darin , dass auf jedem System eine Hintertür für einen Hacker geöffnet werden kann , so das dieser die Kontrolle über den Rechner übernehmen kann . Nach der Aktivierung des Virus wird die Datei "notepad .exe" (aus dem Windows -Verzeichnis) gegen eine neue Datei mit Viren -Informationen ersetzt . Die alte Datei wird nicht gelöscht , sondern als "note .com" gespeichert . Außerdem wird noch die IP-Adresse über das Internet an den Hacker gesendet und das Netzwerk nach noch nicht infizierten Rechnern abgesucht .
Virus Remote Explorer : Der Virus mit Namen "Remote Explorer" installiert sich ganz normal als Systemdienst (nur unter NT-Rechnern) und versucht dann selbstständig , sich von NT-Rechner zu NT-Rechner fortzupflanzen Die Dateien des Virus haben die Namen : ie403r.sys oder taskmgr.sys und sind im NT Drivers -Verzeichnis zu finden . Der Virus befällt ab und zu Dateien und macht sie unbrauchbar , z .B. exe Dateien werden komprimiert und sind dann nicht mehr ausführbar .
W97M/Resume.a@mm : Eine weitere Variante aus der Melissa -Familie ist dieses trojanische Pferd . Es wird auch per E-Mail verschickt , als Dateianhang "explorer .doc". In der Betreffzeile steht :"Resume-Janet Simons" Beim öffnen des Dateianhangs aktiviert sich das trojanische Pferd , indem es jeder Adresse im Outlook Adressbuch eine Kopie der ursprünglichen E-Mail schickt . Achtung! Wird die Datei wieder geschlossen , werden zusätzlich alle Dateien auf dem Computer gelöscht !!!
Wurm RAMEN : Dieser Wurm verbreitet sich selbständig . Er befällt ältere Linux - Webserver unter RedHat 6.2 / 7.0 und nutzt bekannte Sicherheitslücken in "wuftpd rpc.statd " aus . Die Indexseite des Web-Auftritts tauscht er mit dem Text : "RameN Crew- Hackers looooooooooooove noodles" aus .
Wurm Redesi : Dieser Internet - Wurm , der sich als Microsoft - Patch tarnt , könnte am 11 . November 2001 damit starten , Festplatten zu formatieren . Beim Starten der angehängten infizierten Datei dringt der Internet - Wurm in den Computer ein , greift auf Microsoft Outlook zu und versendet seine Kopien mit Hilfe dieses Mail - Programms an alle im Adressbuch verzeichneten Empfänger . Am 11.November jedoch aktiviere sich seine zestörerische Komponente : Dann werde die Festplatte komplett formatiert , und zwar nur , wenn das Datum in den Systemeinstellungen nach dem Format "dd/mm/yy" oder "mm/dd/yy" eingestellt worden ist .
Wurm Roron : Dieser Wurm wird unter anderem als Mail-Attachment verbreitet . Er kann aber auch via Kazaa verbreitet werden . Sein größtes Schadenspotential besteht in der Installation eines Trojaners, der den Autoren des Virus' Kontrolle über den Rechner gibt .
W32/Rbot -AJR :
W32/Rbot-AJR verbreitet sich auf andere
Netzwerkcomputer, die durch Würmer der W32/MyDoom- und der W32/Bagle-Familie
infiziert wurden, indem er häufige Pufferüberlaufschwachstellen ausnutzt,
darunter LSASS, RPC-DCOM und WebDav, und indem er sich auf Netzwerkfreigaben
kopiert, die durch einfache Kennwörter geschützt sind.
W32/Rbot-AJR enthält Funktionalität zum:
Durchführen von DDoS-Flooder-Attacken
heimlichen Herunterladen, Installieren und Starten neuer Software
Zugreifen auf das Internet und Kommunizieren mit einem remoten Server über HTTP
Fungieren als SOCKS4-Proxy
Deaktivieren anderer Software, darunter Antiviren-, Firewall- und
Sicherheitsanwendungen
Sobald W32/Rbot-AJR installiert ist, wird die Datei
<Windows-Systemordner>\svkp.sys erstellt.
Die Datei SVKP.sys wird als neuer Systemtreiberdienst namens "SVKP" mit dem
Anzeigenamen "SVKP" und dem Starttyp "Automatisch" registriert, damit sie
während des Systemstarts automatisch aktiviert wird. Registrierungseinträge
werden an folgender Stelle erzeugt:
HKLM\SYSTEM\CurrentControlSet\Services\SVKP\
Wenn er erstmals gestartet wird, kopiert sich W32/Rbot-AJR nach
<Windows-Systemordner>\SystemDll.exe.
Folgende Registrierungseinträge werden erstellt, damit SystemDll.exe beim Start
ausgeführt wird:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft DLL Extensions
"SystemDll.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Microsoft DLL Extensions
"SystemDll.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft DLL Extensions
"SystemDll.exe"
Folgende Registrierungseinträge werden erstellt:
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1
W32/Rbot-AJR versucht, folgende Prozesse zu deaktivieren:
i11r54n4.exe
irun4.exe
d3dupdate.exe
rate.exe
ssate.exe
winsys.exe
winupd.exe
SysMonXP.exe
bbeagle.exe
Penis32.exe
teekids.exe
MSBLAST.exe
mscvb32.exe
sysinfo.exe
PandaAVEngine.exe
wincfg32.exe
taskmon.exe
zonealarm.exe
navapw32.exe
navw32.exe
zapro.exe
msblast.exe
netstat.exe
msconfig.exe
regedit.exe
Die folgenden Patches für die
Betriebssystemschwachstellen, die von W32/Rbot-AJR ausgenutzt werden, stehen auf
der Microsoft-Website zur Verfügung:
MS03-007
MS04-011
MS04-012
Shoerec.exe : In zahlreichen Newsgroups ist dieser neue Virus aufgetaucht , der sich über infizierte Macromedia Shockwave - Dateien verbreitet . Sie tragen den Namen Boxing.exe , Fun.exe und Nostress.exe. Wird die Datei gestartet, so erscheint das Bild eines Boxers , auf den das Opfer mit einem vorher ausgewählten Boxhandschuh schlagen kann .
South-Park-Wurm : Dieser Wurm verschickt von infizierten PC's deutschsprachige Mails . Der Anhang nennt sich "South Park .EXE" , der Betreff lautet "Servus Alter !" . Die Nachricht verspricht ein "Spiel ,was Du unbedingt wolltest". Dieser Virus verbreitet sich schnell , auch über Disketten und andere Medien , hat aber keine Schadensfunktion .
VBS/Stages : Bei diesen Wurm handelt es sich um eine E-Mail mit einer so genannten "Shell-Scrap-Datei" mit der Dateierweiterung (*.SHS) als Dateianhang , das ein"VB-Script"enthält . Das Script nimmt bei aktivierung diverse Modifikationen an der Windows -Registry vor und verbreitet sich sowohl über das Outlook-Adressbuch als auch über Windows-IRC Clients .Wichtig ! - Die verschickten E-Mails enthalten unterschiedliche"Subjects", zum anderen tauchen diese nicht in Outlook's "SENT-Ordner" auf und werden als "BCC (Blind Carbon Copied)" verschickt !
Wurm Sandmind : Dieser Wurm infiziert Webserver auf Grund einer Sicherheitslücke im Internet Information Server (ILS) unter Windows 2000 . Er dringt zunächst in einem Webserver ein , danach tauscht er die Startseiten des Servers aus . Über die Startseiten infiziert er weitere Server . Es wurden schon bis zu 19.000 Attacken verzeichnet . Das Service Pack 2 für Windows 2000 schliesst die Lücke im ILS .
Wurm W32/Sircam@mm : Dieser Wurm kommt als infizierter Anhang per E- Mail . Infizierte E- Mails lassen sich aber nicht auf Anhieb erkennen , da der Wurm für den Betreff nach Zufallsprinzip englische und spanische Textbausteine verwendet . Der infizierte Anhang verschickt Dateien aus dem Ordner "Eigene Dateien"an Mailadressen , die er auf der Festplatte findet . Zum Schutz gegen Sircam sollte der Virenscanner so eingestellt werden , das er auch (LNK und PIF-Dateien) prüft .
Wurm SQL Slammer : Dieser nur 376 Byte große Wurm befällt keine privaten Rechner , sondern ist vielmehr auf größere kommerzielle Websites aus . Der Virus legt sich im Arbeitsspeicher der betroffenen Rechner ab , ohne Dateien zu hinterlegen oder zu verändern . Er ist deshalb auch sehr schwer zu finden .
Trojaner Sadhound : Dieser Trojaner verbreitet sich als Mailanhang mit dem Namen " Missing you .htm .pif .htm " . Bei Benutzern von Outlook Express 5/6 öffnet sich beim Klick auf die angebliche HTML-Datei nicht der Browser , sondern das Mailprogramm wertet die mittlere Erweiterung (.pif) aus und führt den in der Datei enthaltenen schädlichen Code aus .
W32 /Sobig.C : Mails von der gefälschten Adresse "bill@microsoft.com sollte man nicht öffnen , da man unter Umständen einen Wurm aktivieren kann . Durch einen Fehler im etwa 59 KB großen Wurm ist die angehängte "PIF - oder SCR - Datei " allerdings oft keine Gefahr . Da viele Mailprogramme als Erweiterung nur " PI der SC " sehen , lässt sich die Datei nicht ausführen .
W32. Sober -A :
Dieser Wurm zielt besonders auf deutschsprachige
Computernutzer, weil er die Sprache seines Textes je nach Länderkennung der
aufgespürten Empfängeradresse ändert. Adressaten in Deutschland erhalten somit
eine deutschsprachige Mail.
Damit unterscheidet sich Sober von der Mehrzahl der sonst im Internet
kursierenden Mailwürmer. Diese sind nämlich in der Regel auf Englisch oder
zumindest nicht auf Deutsch abgefasst. Mailbenutzer, die nie oder nur selten
fremdsprachige Mails erhalten, können somit ein durch einen Wurm generiertes
Schreiben leicht erkennen und löschen. Dieses "Warnkennzeichen" fehlt aber bei
Sober-Mails.Sobald es sich um die Domain ".de" (Deutschland), ".at"
(Österreich), ".ch" (Schweiz) oder ".li" (Liechtenstein) handelt, wird die
Betreffzeile sowie der Nachrichtentext auf Deutsch angezeigt. Alle anderen
Empfänger erhalten die Mail mit englischem Betreff und Text.
Im Betreff der Mail stehen angstschürende Formulierungen wie "Neuer Virus im
Umlauf!", "Sie haben mir einen Wurm geschickt!", oder "Neue Sobig Variante
(Lesen!!)". Oder die Mail versucht mit einer persönlich gehaltenen Anrede das
Interesse des Empfängers zu wecken: "Hi Olle, lange niks mehr gehört", "Hi
Schnuckel, was machst du so?", oder "Ich liebe Dich".
In einem anderen Fall lobt der Virenschreiber den Autor des Sobig -Wurms, der
bei den Computernutzern über Monate hinweg für Kopfzerbrechen gesorgt hatte.
Übersetzt ins Deutsche lautet der vermeintliche E-Mail-Text: "Gratulation!!
Deine Sobig-Würmer sind wirklich gut!!! Du bist ein sehr guter Programmierer!
Dein Odin alias Anon".
Wie gehabt ist nicht die eigentliche, durch den Sober-Wurm generierte Mail gefährlich, sondern die angehängte Datei, deren Name ebenfalls variiert. Startet sie ein ahnungsloser Anwender mit einem doppelten Mausklick, beginnt der Sober-Wurm sich zu verbreiten. Er sammelt alle Mail-Adressen auf dem infizierten Computer und verschickt sich anschließend an jede dieser Adressen. Dafür benutzt er seinen eigenen SMTP-Server.
W32/ Sober C. :
Über Mails mit Betreffzeilen wie "Ermittlungsverfahren
wurde eingeleitet" und einer Nachricht, dass gegen Sie angeblich ein Verfahren
wegen dem Herunterladen von Filmen, Software oder MP3-Dateien eingeleitet wurde,
verbreitet sich der Win32/Sober.C-Wurm. Weiter heißt es dort, man würde
innerhalb der nächsten Tage Post vom Staatsanwalt bekommen - vorab gibt es im
Dateianhang schon einmal die Ermittlungsakte. Unzählige Leute klickten also
eifrig auf den Dateianhang, hinter dem sich allerdings keine Textdatei verbarg,
sondern eine EXE-Datei mit dem Wurm. Die angebliche brisante Nachricht sollte
den Anwender lediglich zum unvorsichtigen Doppelklick "überreden".
Der Sober.C benutzt einige Tricks, um seiner Erkennung und Beseitigung zu
entgehen. So aktiviert er sich nicht nur einmal, sondern gleich zweimal im
System, wobei jeweils eine Wurmkopie die andere überwacht. Läuft der jeweils
andere Task nicht mehr, so startet der Wurm ihn neu. Somit ist es unmöglich, den
Wurm manuell per Task-Manager aus dem Speicher zu entfernen.
Auch Anti-Viren-Software kann der Wurm so einfach überlisten, indem er seine
Programmdateien jeweils mit exklusiven Rechten selbst öffnet - somit kann keine
andere Anwendung auf diese Dateien mehr zugreifen. Die meisten Virenscanner
überspringen solche "nicht zu öffnende" Dateien kommentarlos und geben nach
einem Suchlauf zu Unrecht Entwarnung, dass Ihr System virenfrei wäre. Einzig
Spezialreinigungsprogramme helfen, die den Wurm zunächst im Speicher ausschalten
und dann das System und die Registry vom Schädling befreien.
Wurm/Sasser :
Seit kurzem kursiert im Internet der Wurm "Sasser", der
die LSASS-Lücke (Local Security Authority Subsystem Service) in Windows XP und
Windows 2000 ausnutzt, um durch einen Buffer Overrun das System zu infizieren.
Microsoft hatte für diese Lücke bereits vor einigen Wochen durch den
Sicherheits-Patch MS04-11 geschlossen und vor wenigen Tagen alle Anwender erneut
dazu aufgefordert, unbedingt diesen Patch zu installieren. LSASS ist,
vereinfacht ausgedrückt, als lokaler Sicherheitsdienst in Windows dafür
zuständig sicherzustellen, dass ein als User angemeldeter Nutzer nur das tun
darf, was der Administrator erlaubt hat.
"Sasser" greift alle Systeme an, die noch nicht gepatcht sind und auf denen
keine Firewall zum Einsatz kommt. Der Wurm sorgt für seine eigene Verbreitung,
in dem er über zufällig generierte IP-Adressen und den TCP-Port 445 nach
ungepatchten Systemen sucht.
Findet er ein solches System, dann wird dort der Buffer Overrun ausgelöst. Die
Folge: Windows meldet einen schweren Fehler und - die Blaster-Attacke dürfte
vielen noch aus dem vergangenen Jahr bekannt sein - startet das System nach
einem Countdown neu.
Die Ruhe hält nur bis zum nächsten Neustart des Systems an. Besorgen Sie sich
daher unbedingt so schnell wie möglich den Microsoft-Patch. Sie finden ihn
entweder über die Windows Update Funktion (KB 835732) oder auf dieser Seite .
Der Download beträgt nur wenige Megabyte.
Anschließend sollten sie Ihr System überprüfen, ob es von dem Sasser-Wurm
infiziert wurde. Denn der Wurm nutzt LSASS-Lücke, um durch die Hintertür in ihr
System zu gelangen. Auf dem infizierten System wird der TCP-Port 9996 geöffnet
und dann der eigentliche Wurm-Code über eine FTP-Verbindung und dem Port 5554
herunter geladen.
Die Malware richtet nach dem derzeitigen Kenntnisstand nicht großen Schaden an,
sondern sorgt vor allem für ihre Weiterverbreitung. Auf den infizierten Systemen
wird die Datei "CMD.FTP" gelöscht und eine neue Datei mit dem Namen "WIN.LOG"
erstellt. In dieser Datei führt Sasser darüber Buch, wie viele andere Systeme es
bereits infizieren konnte.
Während die Variante A eine Datei mit dem Namen avserve.exe anlegt, so nistet sich die B-Version als avserve2.exe ein. Wenn eine dieser beiden Dateien im Windows-Verzeichnis zu finden ist, ist das ein sicheres Zeichen einer Infektion. Weiterhin legt er einen Registry-Key unter HKML\SOFTWARE\Microsoft\Windows\CurrentVersion\Run an, um bei jedem Rechnerstart automatisch aktiv zu werden.
Wurm Sober .i . :
Dieser Wurm verbreitet sich als E-Mail-Anhang über das Internet. Neben den
Standardfunktionen dieses Schadprogramm-Typs kann der Autor von 'Sober.i' remote
beliebige Dateien auf die befallenen PCs installieren.
'Sober.i' nutzt die für Netzwürmer übliche Startprozedur: die Aktivierung des
Wurms erfolgt beim Öffnen der an die E-Mail angehängten Datei durch den
Empfänger. Nach dem Start lässt der Wurm folgende 'Fehlermeldung' auf dem
Bildschirm erscheinen: 'WinZip Self-Extractor. WinZip_Data_Module is missing
~Error'. Anschließend erstellt er im Systemverzeichnis von Windows zwei Dateien
mit willkürlich gewählten Namen aus der im Wurmkörper enthaltenen Liste. Diese
Dateien stellen die Hauptkomponente des Wurms dar und sind in der Lage, die
Festplatte nach E-Mail-Adressen zu scannen sowie Kopien des Wurms per E-Mail zu
versenden. Zur Versendung der Mails nutzt der Wurm den SMTP-Server.
'Sober.i' kopiert sich danach selbst in das Systemverzeichnis von Windows und
registriert sich im Autostart des Systemregisters. Er erstellt außerdem einige
zusätzliche Kopien und Hilfsdateien mit verschiedenen Namen im Systemverzeichnis
von Windows.
Die mit 'Sober.i' infizierten E-Mails enthalten willkürliche Betreffzeilen und
Textkörper in deutscher und englischer Sprache (es kursieren derzeit einige
Dutzende verschiedener Varianten). Die Namen der Attachments können
unterschiedliche Erweiterungen haben: 'pif', 'zip', 'bat'.
W32.Sober.L@mm :
W32.Sober.L@mm (Sober.L) ist ein Internetwurm, der
sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er beendet
Prozesse von Sicherheitsprogrammen.
Bei der Ausführung der angehängten Datei einer infizierten E-Mail wird der
Computer infiziert:
Es werden folgende Dateien erzeugt:
%Windir%\msagent\system\smss.exe
%Windir%\msagent\system\emdata.mmx
%Windir%\msagent\system\zipzip.zab
%System%\nonrunso.ber
%System%\xcvfpokd.tqa
%System%\stopruns.zhz
Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad
enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows
NT/2000, und C:\Windows bei Windows XP.
Der Wert:
"Services.dll" = "%Windir%\msagent\system\smss.exe"
wird dem folgenden Registrierungsschlüssel hinzugefügt:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
Mit Hilfe dieses Schlüssels in der Windows-Registrierung wird der Wurm bei jedem
Systemstart aktiviert.
Sober.L untersucht den infizierten Computer nach E-Mail-Adressen und versendet
sich mit gefälschtem Absender an diese gefundenen Adressen. Außerdem versucht
der Wurm Verbindungen zu mehreren Internetseiten aufzubauen. Besteht keine
Verbindung zum Internet, versucht Sober.L Wählverbindungen zum Internet zu
aktivieren.
Verbreitungsart
Er versendet sich selbst als Anhang einer E-Mail. Die Absenderadresse ist mit
den gefundenen Adressen gefälscht. Sober.L versendet sich sowohl mit deutschem,
als auch mit englischem Text.
Von … <Absender gefälscht>
Betreff:
Ich habe Ihre E-Mail bekommen!
Your Password & Account number
Nachrichtentext:
Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger
nicht mehr auf meinem Account landen, es Nervt naemlich.
Gruss
hi,
i've got an admin mail with a Password and Account info!
but the mail recipient are you! it's probably an esmtp error, i think.
i've copied the full mail text in the Windows text-editor & zipped.
ok, cya...
Anhang:
MailTexte.zip (deutsche E-Mail)
acc_text.zip (englische E-Mail)
W32.Sober.O@mm :
W32.Sober.O@mm (Sober.O) ist ein Internetwurm, der sich per Massenmailing mit
seiner eigenen SMTP-Maschine verbreitet. Bei der Versendung von E-Mails
verwendet der Wurm E-Mail-Adressen, die er auf dem befallenen System findet. Der
Text dieser E-Mail ist in deutscher oder in englischer Sprache verfasst.
Der Wurm löscht Dateien des AV-Herstellers Symantec. Weiterhin deaktiviert er
die Windows XP-Firewall und das automatische Windows Update.
Infektion
Sober.O gelangt als ZIP-Datei in einer E-Mail auf den Computer. Wird die
ZIP-Datei entpackt, erhält man die Datei Winzipped-Text_Data.txt. Diese Datei
hat die zusätzliche Erweiterung PIF oder EXE. Bei der Ausführung dieser Datei
wird der Computer infiziert. Dabei wird eine Fehlermeldung angezeigt.
Es werden folgende Dateien erzeugt:
* %Windir%\Connection Wizard\Status\csrss.exe
* %Windir%\Connection Wizard\Status\packed1.sbr
* %Windir%\Connection Wizard\Status\packed2.sbr
* %Windir%\Connection Wizard\Status\packed3.sbr
* %Windir%\Connection Wizard\Status\sacri1.ggg
* %Windir%\Connection Wizard\Status\services.exe
* %Windir%\Connection Wizard\Status\smss.exe
* %System%\adcmmmmq.hjg
* %System%\langeinf.lin
* %System%\nonrunso.ber
* %System%\seppelmx.smx
* %System%\xcvfpokd.tqa
Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad
enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows
NT/2000, und C:\Windows bei Windows XP.
Dem Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
wird der Wert: "WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
zugewiesen.
Dem Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
wird der Wert"_WinStart" = "%Windir%\Connection Wizard\Status\services.exe"
zugewiesen.
Mit Hilfe dieser beiden Schlüssel in der Windows-Registrierung wird der Wurm bei
jedem Systemstart aktiviert.
Sober untersucht den infizierten Computer nach E-Mail-Adressen und versendet
sich mit gefälschtem Absender an diese gefundenen Adressen.
Verbreitungsart
Er versendet sich selbst als Anhang einer E-Mail. Die Absenderadresse ist mit
den gefundenen Adressen gefälscht (Mehr Informationen zu gefälschten Absendern).
Sober.O versendet sich sowohl mit deutschem, als auch mit englischem Text.
Von: <Absender gefälscht>
Betreff:
* Ihr Passwort
* Mail-Fehler!
* Ihre E-Mail wurde verweigert
* Ich bin's, was zum lachen ;)
* Glueckwunsch: Ihr WM Ticket
* WM Ticket Verlosung
* WM-Ticket-Auslosung
* Re:Your Password
* Re:Registration Confirmation
* Re:Your email was blocked
* Re:mailing error
* Re: [blank]
Nachrichtentext (einer der folgenden, teilweise hier unvollständig):
Passwort und Benutzer-Informationen befinden sich in der beigefuegten
Anlage.
http://www.[zufällige Domain]
*-* MailTo: PasswordHelp
Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www.[zufällige Domain]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl.
Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#
Nun sieh dir das mal an
Was ein Ferkel ....
Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft
2006 in Deutschland sind Sie dabei.Weitere Details ihrer Daten entnehmen
Sie bitte dem Anhang.
ok ok ok,,,,, here is it
Account and Password Information are attached!
Visit: http://www.[random domain]
This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
Attachment-Scanner: Status OK,AntiVirus: No Virus found,Server-AntiVirus:
No Virus (Clean)
Anhang:
* LOL.zip
* okTicket-info.zip
* autoemail-text.zip
* _PassWort-Info.zip
* our_secret.zip
* mail_info.zip
* account_info.zip
* <möglicherweise weitere>
Sober P :
Sober.P ist ein Trojanisches Pferd, das E-Mail-Nachrichten
mit rechtsradikalem Inhalt verbreitet. Der Text der E-Mails ist in deutscher
oder in englischer Sprache verfasst.
Der Wurm löscht Dateien des AV-Herstellers Symantec. Weiterhin deaktiviert er
Sicherheitssoftware, darunter die Windows XP-Firewall und das automatische
Windows Update.
Infektion
Sober.P gelangt auf Computer, die mit dem Wurm Sober.O infiziert sind. Sober.O
lädt eine Datei, die Sober.P beinhaltet, aus dem Internet und infiziert damit
den Computer. Sober.P selbst ist ein Trojanisches Pferd, das sich nicht
automatisch weiter verbreitet.
Es werden folgende Dateien erzeugt:
* %Windir%\Help\Help\csrss.exe
* %Windir%\Help\Help\smss.exe
* %Windir%\Help\Help\services.exe
* %Windir%\Help\Help\sacri1.ggg
* %Windir%\Help\Help\sacri2.ggg
* %Windir%\Help\Help\sacri3.ggg
* %Windir%\Help\Help\voner1.von
* %Windir%\Help\Help\voner2.von
* %Windir%\Help\Help\voner3.von
* %Windir%\Help\Help\sysonce.tst
* %Windir%\Help\Help\fastso.ber
* %System%\nonrunso.ber
* %System%\langeinf.lin
* %System%\gdfjgthv.cvq
* %System%\seppelmx.smx
* %System%\adcmmmmq.hjg
* %System%\xcvfpokd.tqa
* %System%\fastso.ber
* %Program Files%\Symantec\Liveupdate\luall.exe
Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad
enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows
NT/2000, und C:\Windows bei Windows XP.
Es werden folgende Registrierungsschlüssel erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SystemBoot" =
"%Windir%\Help\Help\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"SystemBoot" =
"%Windir%\Help\Help\services.exe"
Mit Hilfe dieser beiden Schlüssel in der Windows-Registrierung wird der Wurm bei
jedem Systemstart aktiviert.
Sober untersucht den infizierten Computer nach E-Mail-Adressen und versendet
sich mit gefälschtem Absender an diese gefundenen Adressen.
Verbreitungsart
Sober.P hat keine eigene Verbreitung. Er verbreitet jedoch E-Mail-Nachrichten
mit rechtsradikalen Inhalten. Die Absenderadresse ist mit den gefundenen
Adressen gefälscht (Mehr Informationen zu gefälschten Absendern). Sober.P
versendet Text sowohl in deutsch, als auch in englisch.
Von: <Absender gefälscht>
Betreff:
* 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
* Auf Streife durch den Berliner Wedding
* Auslaender bevorzugt
* Deutsche Buerger trauen sich nicht ...
* Auslaenderpolitik
* Blutige Selbstjustiz
* Deutsche werden kuenftig beim Arzt abgezockt
* Paranoider Deutschenmoerder kommt in Psychiatrie
* Du wirst zum Sklaven gemacht!!!
* Dresden 1945
* Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
* Gegen das Vergessen
* Tuerkei in die EU
* Hier sind wir Lehrer die einzigen Auslaender
* Multi-Kulturell = Multi-Kriminell
* Verbrechen der deutschen Frau
* S.O.S. Kiez! Polizei schlaegt Alarm
* Transparenz ist das Mindeste
* Trotz Stellenabbau
* Vorbildliche Aktion
* Augen auf
* Du wirst ausspioniert ....!
* Volk wird nur zum zahlen gebraucht!
* 60 Jahre Befreiung: Wer feiert mit?
* Graeberschaendung auf bundesdeutsche Anordnung
* Schily ueber Deutschland
* The Whore Lived Like a German
* Turkish Tabloid Enrages Germany with Nazi Comparisons
* Dresden Bombing Is To Be Regretted Enormously
* Armenian Genocide Plagues Ankara 90 Years On
Nachrichtentext:
Der Nachrichtenbereich enthält rechtsradikaler Text mit Internet-Links zu Seiten
mit entsprechendem Inhalt.
* Massenmailing
* Sober.P löscht nach einem Neustart des infizierten Computers bestimmte Dateien
aus dem Verzeichnis
%ProgramFiles%\Symantec\Liveupdate
LiveUpdate muß anschließend neu installiert werden.
* Deaktivieren der Windows XP-Firewall
Nach dem Neustart des infizierten Computers ist die Windows XP-Firewall
deaktiviert.
Dazu wird dem Registrierungs-Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
der Wert EnableFirewall=0 zugewiesen.
Ebenso dem Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
der Wert EnableFirewall=0
Ein Einschalten wirkt nur bis zum nächsten Neustart.
* Deaktivieren der Windowsfunktion "Automatische Updates"
Bei jedem Systemstart wird die Funktion ausser Kraft gesetzt.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto
Update wird der Wert AUOptions=1 zugewiesen.
* Deaktivieren von Viren-Schutzprogrammen
Sober.O und Sober.P schalten einige Viren-Schutzprogramms ab. Dabei können
Meldefenster unterdrückt werden.
* Verhindert den Start spezieller Entfernungstools.
W32/Sober.r@MM :
Mails mit dem Betreff "Klassentreffen"
enthalten eine neue Variante des Sober-Wurms.
Die deutsche Fassung der Sober-Mails kommt mit dem Betreff "Fwd:
Klassentreffen", in der englischen lautet er "Your new Password". Der Text der
Mails, die mit falschen Absenderangaben verschickt werden, lautet:
hi,
ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
ich habe jedenfalls mal unser klassenfoto von damals mit angehängt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!
wenn ich aber wieder mal die falsche person erwischt habe, dann sorry
für die belästigung ;)
liebe grüße:
<Name> (Elke, Hannelore, Kerstin, Nicole, Rita oder Sandra)
Die deutsche Mail enthält einen Anhang namens "KlassenFoto.zip", der 111
Kilobytes groß ist. Diese ZIP-Datei enthält ein Programm mit dem Dateinamen
"PW_Klass.Pic.packed-bitmap.exe" - das ist der Wurm. Wird diese EXE-Datei
ausgeführt, entscheint eine vorgetäuschte Fehlermeldung (siehe Abbildung):
"Error in packed file!
CRC Header must be $7ff8"
Der Wurm kopiert sich als "services.exe" in das Verzeichnis
"C:\WINDOWS\ConnectionStatus\" und trägt diese Kopie in die Registry von Windows
ein, damit sie beim Starten von Windows automatisch geladen wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinINet = C:\WINDOWS\ConnectionStatus\services.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
_WinINet = C:\WINDOWS\ConnectionStatus\services.exe
Der Wurm verschickt sich dann per Mail an Andressen, die er auf dem infizierten
PC findet. Als gefälschte Absenderangabe wird häufig eine GMX-Adresse benutzt.
Dies scheint zu Problemen beim normalen Mail-Versand über GMX zu führen.
W32/Stration :
Der Stration-Wurm öffnet eine Fenster des
Windows-Editors (Notepad) und zeigt darin eine wirr erscheindende Folge von
Zeichen an. Dies dient mutmaßlich dazu den Anwender zu täuschen. Der soll
denken, dies sei die einzige Folge des Öffnens des Mail-Anhangs, während sich
der Wurm im Hintergrund auf seinem Rechner einnistet. Er durchsucht die
Festplatte nach Mail-Adressen, an die er sich mit einer eingebauten Mail-Routine
verschickt.
Eine der Mail-Varianten gibt vor, ein Sicherheits-Update von Microsoft zu
enthalten. Der Anhang ist eine ZIP-Daei mit dem Namen "Update-KB9843-x86.zip"
(99,5 KB). Die ZIP-Datei enthält den Schädling als "Update-KB9843-x86.exe" (113
KB). Andere Mail-Varianten erscheinen zum Beispiel als vorgebliche Fehlermeldung
über die Fehlzustellung einer versandten Mail.
Makrovirus O97M /Triplicate : Der Office97 Makrovirus befällt außer Word - und Exel Dateien auch Powerpoint Präsentationen . Der Virus nutzt VBA - Makros um sich in diesen Programmen zu vermehren . Er deaktiviert den Makrovirus - Schutz , richtet aber sonst keinen Schaden an .
Word -Virus Thus : Der neue Makrovirus ist in der Lage mit einem eingebauten Trigger (Zeitzünder) alle Dateien auf dem Laufwerk zu löschen ! Der Virus wird durch den Zeitzünder erst am 13.Dezember aktiv . Ein Antiviren-Programm mit den aktuellen Signaturdateien erkennt den Word-Virus und beseitigt ihn .
Trojaner : TROJ_YABE.A
ist ein Trojanisches Pferd, welches den Wurm WORM_GOLDUN.A alias W32.Starimp aus
dem Internet lädt. Die Infektion mit TROJ_YABE.A geschieht über den infizierten
Anhang einer E-Mail. Bei der Ausführung der infizierten Datei wird das System
verseucht.
Trojanische Pferde verbreiten sich nicht von selbst. Die Infektion des Systems
wird manuell durch das Ausführen des schadhaften E-Mail-Anhangs durchgeführt.
Bei der Ausführung installiert sich das Trojanische Pferd unter dem Dateinamen
IPWF.EXE im Windows-Systemverzeichnis und legt zusätzlich die Datei WINUP.DAT im
Unterverzeichnis DRIVERS an.
Dem Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
wird der Wert ipwf = "%System%\ipwf.exe" zugewiesen.
Mit Hilfe dieses Schlüssels in der Windows-Registrierung wird das Trojanische
Pferd bei jedem Systemstart aktiviert.
Trojanische Pferde verbreiten sich nicht selbständig.
TROJ_YABE.A lädt den Wurm WORM_GOLDUN.A alias W32.Starimp aus dem Internet und
infiziert damit den Computer.
Der Wurm installiert sich unter verschiedenen Namen in das
Windows-Systemverzeichnis und erstellt diverse Registrierungsschlüssel zur
Verbreitung über Peer-to-Peer-Netze (P2P).
WORM_GOLDUN.A erzeugt folgende Dateien im Windows-Systemverzeichnis:
* anal_sex_photos.exe
* DrWEB_Key092007.exe
* HACKER's View 2.exe
* julia_XXX_video.exe
* Kaspersky_KEY08.exe
* > LAN_hacker_ver2.exe
* Mozilla_1.9.927.exe
* NAV_updates__05.exe
* NAV2005_Keygen!.exe
* NeT_KILLER_3.84.exe
* NortonAntiVirus.exe
* photoshop__2005.exe
* ProfessionalICQ.exe
* TheBat!7.51.256.exe
* WindowsXP boost.exe
* XXX_teens_16-18.exe
Folgende Einträge werden der Windows-Registrierung hinzugefügt:
* HKEY_CURRENT_USER\Software\iMesh\Client\LocalContent
dir0 = "012345:C:\WINDOWS\System32\User Local Files"
DlDir0 = "C:\WINDOWS\System32\User Local Files"
* HKEY_CURRENT_USER\Software\Kazaa\LocalContent
dir0 = "012345:C:\WINDOWS\System32\User Local Files"
DlDir0 = "C:\WINDOWS\System32\User Local Files"
DisableSharing = "dword:00000000"
* HKEY_CURRENT_USER\Software\Kazaa\Transfer
dir0 = "012345:C:\WINDOWS\System32\User Local Files"
DlDir0 = "C:\WINDOWS\System32\User Local Files"
Trojaner :
Troj/Wirefa-A ist ein Trojaner für die
Windows-Plattform.
Troj/Wirefa-A enthält Funktionalität, um eine Datei von einem remoten
Speicherort herunterzuladen und an folgender Stelle zu speichern:
<Windows>\update.exe
Der folgende Registrierungseintrag werden erstellt, um die Internetsicherheit zu
beeinträchtigen:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List
<Pfadname des Trojanerprogramms>
<Pfadname des Trojanerprogramms>:*:Enabled:cmsscs
Trojaner :
Troj/Lootbot-B ist ein Backdoortrojaner, der
einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer
ermöglicht.
Wenn er erstmals gestartet wird, kopiert sich Troj/Lootbot-B in den
Windows-Systemordner.
Der folgende Registrierungseintrag wird erstellt, damit Troj/Lootbot-B beim
Start aktiviert wird:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
syelimS-esreveR-troppuS
<System>\<originaler Trojanerdateiname>
Trojan Zonebac :
Das Trojanische Pferd untersucht zunächst die
Registry nach vorhandenen Autostart-Einträgen in den RUN-Schlüsseln. Es legt
Kopien der Programmdateien an, die damit gestartet werden sollen. Dann ersetzt
es die Originale mit einer Kopie von sich selbst, die jeweils den Dateinamen des
(meist) legitimen Programms erhält. Die Registry wird also nicht manipuliert.
Beim nächsten Windows-Start wird nun der Schädling aufgerufen, der seinerseits
die wohlbedacht angelegten Kopien der Programme startet, die er ersetzt hat. Auf
dem Rechner läuft also scheinbar alles wie zuvor. Der Anwender wird meist nicht
auf die Idee kommen genauer nachzuforschen, weil sein PC keine auffälligen
Verhaltensänderungen zeigt. Die so erreichte Tarnung der Malware ist weit davon
entfernt perfekt zu sein - sie ist jedoch in vielen Fällen gut genug.
Bereits zur Zeit von MS-DOS gab es ähnliche Techniken bei Malware, etwa den Typ
des "Companion-Virus". Dieser benutzt den gleichen Dateinamen wie ein
vorhandenes Programme, jedoch mit der Endung ".com" statt ".exe". Nach der Logik
von MS-DOS wird etwa bei Eingabe des Befehls "word" eine vorhandene Datei
"word.com" aufgerufen, auch wenn es eine Datei "word.exe" gibt. Der Schädling
wird geladen und ruft dann die EXE-Datei auf, damit er nicht auffällt.
Trojan.Flush.M :
Der Trojaner Trojan.Flush.M installiert auf
infizierten PCs einen bösartigen DHCP-Server, der anderen Clients einen vom
Angreifer kontrollierten DNS-Eintrag unterschiebt. Somit genügt im Prinzip ein
infizierter PC, um ein ganzes Firmennetzwerk mit falschen DNS-Informationen zu
verseuchen. Bislang scheint sich der Trojaner allerdings nur langsam zu
verbreiten.
Trojan.Flush.M macht aus jedem infizierten PC einen bösartigen DHCP-Server,
indem der Schädling einen voll funktionstüchtigen Netzwerktreiber (NDISprot)
installiert. Um den Treiber verlässlich zu laden, fügt der Trojaner noch einen
neuen Systemdienst hinzu (ArcNet NDIS Protocol Driver). NDISprot erkennt
DHCP-Anfragen anderer Clients im Netzwerk erkennen und kann sich selbst als
DHCP-Server ausgeben. Gewinnt der gefälschte DHCP-Server das Rennen um die
Antwort an den Client gegen den legitimen DHCP-Server des jeweiligen Netzes,
verwirft der anfragende Client die langsamere Antwort.
Jeder Client, der seine IP-Daten vom bösartigen DHCP-Server bezieht, bekommt
neben den jeweils gültigen Werten für IP-Adresse und Subnetz zwei IP-Adressen
von DNS-Server (85.255.112.36 und 85.255.112.41) untergejubelt. Diese DNS-Server
stehen unter der Kontrolle der Cyber-Kriminellen, so dass alle Namensanfragen
der – an sich nicht infizierten – Clients prinzipiell mit gefälschten
IP-Adressen beantwortet werden können. Somit können die Angreifer jeden
beliebigen Aufruf einer Website auf von ihnen bestimmte (Phishing)-Seiten
umleiten.
Visual Basic Script -Virus (VBS) : Der VBS Rabbit - Virus tritt erst in Aktion , wenn ein befallenes Script ausgeführt wird . Der Virencode sucht in einigen Windows -Verzeichnissen und im aktuellen Verzeichnis nach weiteren Script Dateien (VBS) und schreibt sich an den Anfang der Dateien . Die befallenen Scripts sind weiter lauffähig und der Virus wird somit weiterverbreitet . Der Script -Virus sucht am zweiten jeden Monats zwischen 9°° und 10°° Uhr nach allen Dateien mit den Erweiterungen ".txt - und .doc"und ersetzt deren Text durch eine"Stinkefinger" Zeichnung .
Win2K.Inta/Win2000.Install : Dieser Virus ist der erste für das neue Betriebssystem Windows 2000 . Er befällt Dateien mit den folgenden Endungen : EXE;COM;DLL;DRV;CPL;OCX;PCI;SYS;ACM;MDP;SCR;TSP;VWP; MSI;TLB;AX;CNV; und WPC . Dieser Virus soll laut der Entdecker "F-Secure Coporation" vergleichsweise harmlos sein , und nur unter der Beta-Version von Windows 2000 aktiv werden .
Batchvirus Bat/WinRip : Dieser Virus kommt mit nur sieben Batchzeilen aus . Aufgrund absoluter Pfadangaben läuft er nur unter der englischsprachigen Version von Windows NT und benötigt außerdem das Packprogramm "Winzip".Wenn beide Voraussetzungen erfüllt sind , sucht der Virus alle "Zip-Archive" auf und infiziert diese , indem er sich mittels Winzip in die Archive packt . Beim Entpacken landet der Batchvirus als WINRIP.BAT im Autostart-Ordner . Es ist keine Schadenswirkung bekannt .
W32/MTX Worm : Der Apology -B Wurm stellt die Programme einiger Virenhersteller vor ein Problem . Er ist für sie unsichtbar . Apology -B ist der erste Mid -Infector , der in Umlauf gebracht wurde . Diese befallen eine Datei nicht am Anfang oder Ende , sondern verstecken ihren Code in unbenutzten Bereichen der Programmdateien . Dort aber suchen viele Virenprogramme nicht !
W32 .Winux : Dieser Virus , der auch unter dem Alias "Linux .Winux" bekannt ist , befällt sowohl Windows - als auch Linux - Plattformen . Unter Windows werden Dateien mit der Dateierweiterung (.exe) infiziert , bei Linux sind es Dateien im "ELF- Format" . Dieser Virus ist nicht speicherresisdent . Er befällt vornehmlich Dateien , die sich entweder im gleichen Verzeichnis oder aber in übergeordneten Verzeichnissen befinden .
W32.Wimail :
Der Wurm tarnt sich als vorgeblich harmlose ZIP-Datei.
Einmal gestartet, verursacht er nicht nur eine Maillawine, sondern versucht auch
DOS-Attacken zu starten.
"W32/Mimail-F" alias "I-Worm.Mimail.g" oder "W32/Mimail.gen@MM" soll seit kurzem
massiv im Internet kursieren, wie der Antiviren-Spezialist Sophos warnt. Wie bei
fast allen Mail-Würmer nimmt das Unheil seinen Lauf, wenn ein ahnungsloser
Benutzer die an eine Mail angehängte Datei mit einem doppelten Mausklick
startet. Der Wurm durchsucht den infizierten PC nach Mailadressen, an die er
sich verschicken kann.
Zudem legt der Wurm alle gefundenen Mailadressen im Windowsverzeichnis in der
Datei "eml.tmp" ab. Außerdem trägt sich die Malware in die Registry von Windows
ein, um bei jedem System-Neustart mitgestartet zu werden.
W32/Tibick-C :
W32/Tibick-C ist ein P2P-Wurm . Er kopiert sich als SVCNET.EXE in den
Windows-Systemordner und erstellt die folgenden Registrierungseinträge, damit er
beim Systemstart aktiviert wird:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Shellapi32
svcnet.exe
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
Shellapi32
svcnet.exe
W32/Tibick-C kann versuchen, sich in den Unterordner "MSVIEW" im Windows-Ordner
zu kopieren, wobei er z.B.einige der folgenden Dateinamen verwendet und an
jede Datei Zahlen mit Nullbytes anhängt, damit jede Datei eine andere Dateigröße
hat:
321 Studios GamesXCopy 1.0.8 crack.exe
3D Studio Max 6 crack.exe
ABBYY FineReader Pro 7.0 crack.exe
acdsee 7.0.61 crack.exe
Adobe Photoshop all.exe .....und noch viele andere mehr.
W32/Tibick-C verfügt über begrenzte IRC-Backdoortrojaner-Funktionalität. W32/Tibick-C versucht, sich mit einem remoten IRC-Server zu verbinden, und kann außerdem versuchen, eine Datei von einer bestimmten Internetadresse mit einem zufälligen Dateinamen und einer EXE-Erweiterung in den Windows-Systemordner herunterzuladen und auszuführen, wenn er entsprechend angewiesen wird.
W32/Bropia-G : Dieser Wurm ist ein Instant-Messenger-Wurm für die Windows-Plattform. MSN-Messenger-Nutzer erhalten folgende Warnung als Nachricht :
"There is a MSN Messenger virus released
to protect yourself against this virus download this file :
http://users.pandora.be/********/Bropia_a_patch.exe "
Der Wurm ist ein selbst extrahierendes
Archiv, das die folgenden Dateien im aktuellen Ordner ablegt und startet:
f .exe - von Sophos erkannt als W32/Forbot-ET Hinweis: Bei Klick auf diesen Link
verlassen Sie unsere Seiten
link .exe - von Sophos erkannt als W32/Bropia-G
W32/Bropia-G überwacht den Status des MSN Messenger und sendet Kopien von sich
an Messenger-Kontakte.
W32/Rbot-XE :
Dieser Wurm versucht sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt
außerdem über Backdoortrojaner-Funktionalität, wodurch unbefugter Fernzugriff
auf den infizierten Computer mittels IRC-Kanälen ermöglicht wird, während der
Wurm als Dienstprozess im Hintergrund aktiv ist.
W32/Rbot-XE verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern,
nachdem das Backdoortrojaner-Element den entsprechenden Befehl von einem remoten
Anwender erhalten hat.
Sobald er ausgeführt ist, kopiert sich W32/Rbot-XE mit dem Dateinamen
mcafee32.exe in den Windows-Systemordner. Damit er jedes Mal automatisch beim
Windows-Start aktiviert wird, erstellt er den folgenden Registrierungseintrag:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Shell
Explorer.exe mcafee32.exe
W32/Rbot-XE kann außerdem die folgenden Registrierungseinträge erstellen:
HKLMSOFTWAREMicrosoftOle
EnableDCOM
N
HKLMSYSTEMCurrentControlSetControlLsa
restrictanonymous
1
W32/Rbot-XE kann den folgenden Registrierungseintrag ändern, um die anonyme
Aufzählung von SAM-Konten einzuschränken:
HKLMSYSTEMCurrentControlSetControlLsa
restrictanonymousSAM
W32/Rbot-XE kann auf dem infizierten Computer Netzwerkfreigaben und Benutzer
hinzufügen bzw. löschen. Der Wurm kann außerdem die Netzwerkanmelderechte für
Konten in der lokalen Systemrichtlinie ändern.
W32/Rbot-XE kann die Sicherheitseinstellungen des Microsoft Internet Explorers
ändern, indem er Einträge in der Registrierung an folgender Stelle ändert:
HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings ones 3
W32.Sober.N@mm :
W32.Sober.N@mm (Sober) ist ein Internetwurm, der
sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Bei der
Versendung von E-Mails verwendet der Wurm E-Mail-Adressen, die er auf dem
befallenen System findet. Er beendet Prozesse von Sicherheitsprogrammen. Der
Text dieser E-Mail ist in deutscher oder in englischer Sprache verfasst.
Infektion
Bei der Ausführung der angehängten Datei einer infizierten E-Mail wird der
Computer infiziert:
Es werden folgende Dateien erzeugt:
%Windir%\config\system\services.exe
%Windir%\config\system\zipped.wrm
%Windir%\config\system\maddys.xyz
%Temp%\<file name>.txt
Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad
enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows
NT/2000, und C:\Windows bei Windows XP.
Dem Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
wird der Wert: "SystemCheck" = "%Windir%\config\system\services.exe" zugewiesen.
Dem Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
wird der Wert:"_SystemCheck" = "%Windir%\config\system\services.exe" zugewiesen.
Mit Hilfe dieser beiden Schlüssel in der Windows-Registrierung wird der Wurm bei
jedem Systemstart aktiviert.
Sober untersucht den infizierten Computer nach E-Mail-Adressen und versendet
sich mit gefälschtem Absender an diese gefundenen Adressen. Außerdem versucht
der Wurm, Verbindungen zu mehreren Internetseiten aufzubauen. Besteht keine
Verbindung zum Internet, versucht Sober Wählverbindungen zum Internet zu
aktivieren. Der Wurm öffnet die Datei %Temp%\<file name>.txt mit Notepad.exe
(Editor).
WSteal .Bankash.E :
PWSteal .Bankash.E ist ein Trojanisches Pferd,
welches Benutzerdaten von Online-Banking-Anwendungen sammelt. Um unentdeckt zu
bleiben, werden bekannte IT-Sicherheitsprogramme behindert bzw. abgeschaltet.
Infektion
Bei Infektion werden folgende Aktionen ausgeführt:
Die Dateien:
%Windir%\ash.dll
%Windir%\iehelper.dll
werden erzeugt.
Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad
enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows
NT/2000, und C:\Windows bei Windows XP.
Es wird versucht, einige Dateien von bekannten Sicherheitsprogrammen auf dem
Rechner zu löschen. Betroffen sind Produkte von
Symantec
Kaspersky
McAfee
Network Associates
Microsoft (AntiSpy)
In der Windows-Registrierung werden einige Änderungen vorgenommen, um die auf
dem Rechner abgelegten Bibliotheksdateien bekannt zu machen und die Startseite
für den Internet Explorer zu verändern. Außerdem werden Änderungen gemacht, die
dem Microsoft Antispy-Tool die Arbeit erschweren.
Der befallene Rechner wird nach E-Mail-Adressen und lokal zwischengespeicherten
Benutzerinformationen abgesucht. Die Suchergebnisse werden für die Versendung
ins Internet gespeichert.
Dem Anwender wird eine gefälschte Webseite gezeigt und der hier eingegebene Text
(Benutzername und Passwort) zur Versendung ins Internet abgespeichert.
Zusätzlich erscheint bei einigen Banken noch folgendes Bild, um eine weitere TAN
abzugreifen .
W32/Rbot-APN :
W32/Rbot-APN
ist ein Wurm und IRC-Backdoortrojaner für die Windows-Plattform.W32/Rbot-APN
verbreitet sich über Dateiaustausch in P2P-Netzwerken.
W32/Rbot-APN läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver
zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung
über den Computer mittels IRC-Kanälen ermöglicht.
W32/Rbot-APN verbreitet sich auf andere Netzwerkcomputer, indem er häufige
Pufferüberlauf-Schwachstellen ausnutzt, darunter: LSASS (MS04-011), RPC-DCOM
(MS04-012), PNP (MS05-039) und WINS (MS04-045) und indem er sich auf
Netzwerkfreigaben kopiert, die durch einfache Kennwörter geschützt sind.
Wenn er zum ersten Mal gestartet wird, kopiert sich W32/Rbot-APN nach :
\My Downloads\AVG Virus cleaner v7.exe
<Programmdateien>\Limewire\SharedKAV 5.0.exe
<Programmdateien>\eDonkey2000\incomingMatrix 3 Revolution English Subtitles.scr
<Windows>\Internet.exe
Die folgenden Registrierungseinträge werden
erstellt, um Internet.exe beim Start auszuführen:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows connection manager
<Windows>\Internet.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows connection manager
<Windows>\Internet.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows connection manager
<Windows>\Internet.exe
Der folgende Registrierungseintrag wird erstellt, um den Registrierungseditor zu
deaktivieren (regedit):
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
1
Die folgenden Registrierungseinträge werden erstellt:
HKCU\Software\Microsoft\OLE
Windows connection manager
<Windows>\Internet.exe
HKLM\SOFTWARE\Microsoft\Ole
EnableDCOM
N
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous
1
Registrierungseinträge werden erstellt unter:
HKCR\.key\
Y2Kcount : Hinter diesem Tool verbirgt sich ein Trojanisches Pferd , das mit einer E-Mail verschickt wird , die angeblich vom Microsoft - Support stammen soll . Dieses Tool täuscht einen Jahr 2000 Zähler vor , der aber als Trojanisches Pferd getarnt die Datei WSOCK32.DLL überschreibt und Paßwörter ausspioniert !
Wurm W32.Yarner. A@mm : Er kommt als .exe-Attachment in den heimischen PC und tarnt sich in Betreff und Mailinhalt als Newsletter der angesehenen Internetseite "trojanerinfo.de". Die Wurmdatei im Anhang hat eine Größe von 440 kB und trägt den Namen "yawsetup.exe" - genauso heißt die Datei, die man sich bei trojanerinfo.de zum Schutz vor so genannten "0190 -Dialer -Programmen" kostenlos herunterladen kann . Sie behaupten im gefälschten Mail-Text , die im Anhang mitgelieferte Datei sei ein Update des Schutzprogramms , das man bei trojaner-info.de downloaden kann. Die Absicht ist klar : trojanerinfo.de soll in Verruf gebracht , die Ausbreitung des Schutzprogramms "YAW" (Yet Another Warner) soll gestoppt werden ! Damit nicht genug ! Auch für den heimischen PC ist dieser Mailwurm sehr gefährlich . Er überschreibt die Festplatte rigoros mit Datenmüll und macht dadurch das gesamte System unbrauchbar .
Wurm W32/Yaha k. : Der Wurm verbreitet sich per ".exe"- oder ".scr"-Datei im Anhang in einer Mail und nutzt unzählige Betreff-Titel und Mail-Texte .Unter anderem tragen Mails, die den Wurm enthalten, die Betreffzeilen "Are you the BEST", "Wanna be Friends?", "Free Demo Game" oder "XXX Screensavers 4 U". Sobald Yaha auf die Festplatte gelangt ist, setzt er sich gleich mehrmals unter anderem mit den Dateinamen "NAV32_LOADER.EXE", "TCPSVS32.EXE" und "WINSERVICES.EXE" im Systemverzeichnis von Windows (\Windows\System) fest. Über einen Eintrag in der Registry sorgt Yaha dafür, dass er bei jedem Systemstart aktiviert wird.
Wurm Win32 / Conficker.A :
Conficker.A nutzt die Microsoft-Schwachstelle MS08-067.
Dabei versucht er, in Netzwerke mit einem schwachen Administrator-Kennwortschutz
zu dringen, indem er eine Reihe häufiger Passwörter durchprobiert. Gelingt ihm
der Zutritt, verbindet er sich mit der RPC-Schnittstelle (Remote Procedure
Call). Darüber hinaus dient auch der USB-Anschluss als Ausgangspunkt einer
Infektion.
Ist Conficker.A in ein System eingedrungen, lädt er neue Varianten, also
modifizierten Schadcode, von unterschiedlichen Servern. Dieses Nachladen kann
auch darauf hindeuten, dass die Urheber mit den infizierten Computern den Aufbau
eines Botnetzes planen. In diesem Fall wäre der momentane Wurm-Befall nur der
Beginn eines folgenschweren Flächenangriffs.
Win95/Zyperm .C : Dieser Virus ist ein extrem polymorpher Windows -Virus ! Zperm mutiert bei jeder Infektion , indem er sich zerlegt und wieder neu zusammensetzt . Alle Funktionen bleiben erhalten - doch der Schädling lässt sich nicht indentifizieren ! Dieser Virus kann bis jetzt von keinem Viren-Schutzprogramm erkannt werden .
Wurm /Zafi : Dieser aus Ungarn stammende Wurm verbreitet sich über Peer- to- Peer- File-Sharing-Systeme und nutzt viele verschiedene Sprachen , um erfolgreich zu sein . Dabei setzt er auf gesellschaftliche Probleme , um unschuldige Empfänger dazu zu bewegen , den Anhang zu öffnen und den Virus zu aktivieren .
W32.Zotob.E (WORM_RBOT.CBQ) :
W32.Zotob.E ist ein Wurm, der sich über
Netzwerke verbreitet. Er nutzt dazu die sogenannte Windows "Plug and Play"
Schwachstelle aus. Informationen und Patches zu dieser Schwäche finden Sie im
deutschen Microsoft Security Bulletin MS05-039. Obwohl der Wurm auf allen
Windows-Betriebssystemen lauffähig ist, kann er nur Windows 2000-Systeme
infizieren.
Der W32.Zotob.E legt sich im Systemverzeichnis (Standard: C:\Windows\System32
bzw. C:\Winnt\System32) unter dem Namen WINTBP.EXE ab. Durch Änderungen in der
Registrierung wird diese Datei bei jedem Neustart des Rechners aufgerufen und
ausgeführt. Dem Registrierungsschlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runwird dazu der
Wert "Wintbp" = "wintbp.exe" zugewiesen.
Der Wurm versucht eine Verbindung zum IRC-Server 72.20.27.115 auf TCP-Port 8080
aufzubauen um von dort Befehle zu empfangen. Weiterhin startet er einen
TFTP-Server auf UDP-Port 69.
Der Wurm verbreitet sich selbständig weiter, indem er versucht, über das
Netzwerk weitere Computer unter Ausnutzung der "Plug and Play" Schwachstelle zu
infizieren. Bei einem erfolgreichen Angriff öffnet der Wurm eine Backdoor auf
TCP-Port 8594, über die das Schadprogramm auf das angegriffene System geladen
wird.
Zero-Day-Exploit in Word : Microsoft warnt vor einer neuen Lücke in Word ,die von Hackern zum Teil bereits ausgenutzt wird. Angreifer können die Lücke ausnutzen, indem sie ihre Opfer dazu bringen, eine präparierte Word-Datei zu öffnen, die ihm beispielsweise per Mail geschickt wird. Wird diese Datei geöffnet, kann bösartiger Code untergeschoben werden. Derartige Dateien könnten Angreifer auch auf Web-Seiten integrieren, in jedem Fall muss allerdings eine Aktion des Opfers erfolgen, damit es zu einer Infektion kommen kann. Betroffen sind die Produkte Office 2000 und Office XP.
ZURÜCK ZU SEITE 2............................INHALT............................WEITER ZU SEITE 4
© STR ' 97 - 2012