PDA

Vollständige Version anzeigen : Viruswarnung!


MrAnderson
27.11.2001, 19:32
Neuer Wurm stiehlt Passwörter und Kreditkartennummern

Sicherheitsexperten schlagen Alarm: Ein E-Mail Wurm, der einen Key-Logger auf befallene Rechner installiert, verbreitet sich mit rasender Geschwindigkeit. "Badtrans", so der Name des Schädlings, verbreitet sich über Microsoft Outlook oder Outlook Express und verschickt sich automatisch an Absender unbeantworteter E-Mails. Danach soll der Wurm die IP-Adresse des infizierten Rechners an den Autor übermitteln, dem dann über die Backdoor der Zugriff auf persönliche Daten und über die Key-Logging Software auch auf Passwörter offen steht. Key-Logger überwachen die Tastatur am PC, um eingegebene Passwörter und Kreditkartennummern abzufangen.

Der Code, der sich im Attachment der HTML-Mail versteckt, kann bereits ausgeführt werden, wenn der Empfänger nur die Voransicht eines Mails nutzt. Der Anhang muss nicht geöffnet werden, so die Experten [welche denn?]. Der Name des Attachments variiert: Es gibt die Möglichkeiten ".doc", ".pics" oder ".news" sowie der Endung ".pif" oder ".scr". Der Wurm stellt sich dann den Key-Logger PWS-AV mit der dll-datei "HKSDLL" oder "KDLL" ins System.

"Das Virus beschädigt keine Dateien, sondern installiert einen Trojaner, über den Hacker an persönliche Informationen des Nutzers gelangen können", sagte April Goostree, bei McAfee.com. Für Unternehmensnetzwerke scheint das Virus nicht so gefährlich zu sein wie für Privatnutzer, da Gateways bei Firmen das Eindringen verhindern. Nach Angaben der Experten hat das Virus bereits in 50 Ländern sein Unwesen getrieben. Am schwersten betroffen sei Deutschland, gefolgt von Großbritannien und den USA. Die britische Sicherheitsfirma MessageLabs hat allein in einer Stunde an dem vergangenen Wochenende 400 Mal das Virus erhalten. (susa)

[Tue, 27.11.2001] - © 2001 de.internet.com

Grüße,
Mr. Anderson

------------------
Moderator in der FREESThttp://www.stockadhoc.de/images/freestile_i.gifLE http://www.stockadhoc.de/images/bd.gif Community

Pacifica
28.11.2001, 01:39
Badtrans-Wurm
27.11.2001

Symantec, NAI und andere Hersteller von Antiviren-Software warnen vor dem MAPI-Wurm W32.Badtrans@MM, der seit Ende vergangener Woche in mindestens zwei Varianten starke Verbreitung findet.

http://securityresponse.symantec.com/avcenter/venc/data/w32.badtrans.b@mm.html
http://vil.nai.com/vil/virusSummary.asp?virus_k=99069


Dass dem so ist, kann nur bestätigt werden. Die Zahl der Mails, die meist mit dem Subject "Re:" und einem Attachement ".scr" (Bildschirmschoner) beziehungsweise ".pif" (Verknüpfung) in vielen Mail-Boxen landet, ist in den letzten Tagen dramatisch gestiegen.

Die Dateien tragen dabei neben .scr und .pif meist noch hamlos erscheinende Extensionen wie .doc, ..zip, .txt oder .mp3. Der Aufbau der Datei sieht dann beispielsweise wie folgte aus: humor.zip.pif. Heimtückisch ist dabei, dass gerade die Dateiendung .pif unter den gängigen Versionen des Mail-Client Outlook oft nicht angezeigt wird und man allenfalls am DOS-Logo erkennen kann, dass es sich nicht um die durch zweite Extension vorgetäuschte Art von Datei handelt.

Überhaupt betrifft das Problem in erster Linie Outlook-Nutzer, da der Wurm sich über das Adressbuch des Mail-Programms beziehungsweise durch Replies auf nicht-beantwortete Mails verbreitet. Doch auch andere Nutzer von Windows-Systemen sind gefährdet, wenn sie die Anhängsel zur Ausführung bringen.

Der Wurm installiert dann einen Keystroke-Logger (kdll.dll, hksdll.dll), der Informationen über gestohlene Passwörter an eine inzwischen gesperrte Mail-Adresse senden soll. Dabei werden auch Änderungen an der Registry vorgenommen, die auf eine Datei kernel32.exe (bzw. kern32.exe) verweisen. Hinzu kommt eine Änderung der win.ini (bzw. der Registry unter Windows NT/2000), die auf die Datei inetd.exe verweist. Alle genannten Dateien gehen auf den Wurm zurück und können als Symptom für eine Infizierung betrachtet werden.

Der Mail-Adresse des infizierten Absenders wird übrigens oft ein "_" vorangestellt. Der Versuch, den Besitzer des befallenen Rechners zu warnen, geht daher oft daneben.
www.intern.de (http://www.intern.de)



------------------
http://www.ftor.de/forum/ubbfin1/icons/icon63.gif Pacifica http://www.ftor.de/forum/ubbfin1/icons/icon63.gif
Moderatorin in der FREESThttp://www.stockadhoc.de/images/freestile_i.gifLE http://www.stockadhoc.de/images/bd.gif Community

Ramto
28.11.2001, 10:06
Ja, ich hatte ihn! Mein neues Problem mit dem Schutzschild habe ich in die "Betriebssysteme" gepackt!

------------------
http://members.tripod.de/Ramto1953/logologo.gif

MrAnderson
10.06.2002, 00:03
Der Loveletter treibt immer noch sein Unwesen. Auf dem Rechner einer Bekannten hat er einiges zerstört. Aber es gibt ein Problem.
Laut aktuellem Virenscanner handelt es sich um den Loveletter.b doch leider wird der eigentliche Virus nicht gefunden. Nur Schaden, den er angerichtet hat. Laut Virenscanner ist kein Virus mehr da. In den Autostarts ist nichts eingetragen. Es gibt keine auffälligen Dateien mehr. Der Task-Manager zeigt keine ungewöhnlichen Programme. (Explorer, Systray). Scandisk findet auch nichts. Und doch: der freie Platz auf der Festplatte ist 0. Auch wenn etwas gelöscht wird (etliche MB) . In wenigen Minuten ist alles wieder vollgeschrieben. Ich bin allmählich mit meinem Latein am Ende. Hab das Problem auch in einem anderen Forum (http://php.zdnet.de/foren/showmsg-wc.php3?n=int-vir&msgid=6476201) noch geschildert.

Also: Vorsicht, wenn euch Dateien mit der Endung .vbs begegnen!

Walpurgis
10.06.2002, 01:27
Hi,

Hast du bei der Suche in den Autostarteinträgen auch den Registryschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run einbezogen ?

MrAnderson
10.06.2002, 02:35
Ja, ist alles untersucht. Die Registry ist clean.

MrAnderson
10.06.2002, 02:51
Hm, ich nehm alles zurück.:)

Wahrscheinlich ist als zweiter Virus noch dieser Kazaa-Virus Benjamin drauf. Und da müsste auch ein entsprechender Registry Eintrag existieren. Aber, dass mir der nicht aufgefallen ist...:(

-->über Benjamin (http://www.zdnet.de/itsupport/virencenter/news/2002/05/20020521zd_01-wc.html?020521155401)

BSCSued05
17.06.2002, 01:25
Laut dem Info-Dienst vnunet kursiert im Internet ein Wurmvirus, der als Newsletter rund um die Fußball-WM getarnt ist. In der Betreffzeile ist 'RE: Korea Japan Results' zu lesen, in der Mail soll folgende Nachricht zu lesen sein:
'Take a look at these results...Regards' Als Anhang angefügt an die Mail ist ein Programm mit dem Namen Koreajapan.chm. Mittels Klick auf diesen Datei soll laut vnunet der Virus befreit werden.
In der aktuellen Version soll der Virus jedoch nicht allzu gefährlich sein, versendet sich lediglich selbstständig an den ersten eingetragenen Kontakt im Outlook-Adressbuch.