Aktuelle Viren-, Würmer-, Trojaner-Meldungen hier rein...

Beitrag von **WolfVox (GER)** » Sa 17. Jul 2004, 20:55

Nach dem ich in letzter Zeit ein paar Mal vor wieder im Umlauf befindlichen Schädlingen gewarnt wurde,
hab ich mir gedacht, einen Thread inklusive den Hintergründen zu diesem "Software-Junk" hier dazu aufzumachen.
Wobei ich ziemlich sicher bin, dass es einen ähnlichen Thread bereits gab, nur ist dieser wohl in den Untiefen des Forums...

Leider kann ich diesen Thread nicht als wichtig markieren, um ihn ständig oben zu halten.
Falls dies möglich wäre, könnte dies ja evtl. einer der Admins hier entsprechend hilfreich sein - danke schon mal vorab dafür

---

Meldung vom 16.07.04: Warnung vor Worm.Win32.Bagle.AF!

a² News

Guten Tag XXXXX,

Warnung vor Worm.Win32.Bagle.AF!

Eine neue Bagle Variante geht um.
Bagle.AF kommt wie seine zahlreichen Vorgänger via Email-Anhang auf den PC.
Der Email-Absender wird dabei gefälscht um eine Rückverfolgung zu erschweren.
Sobald der Dateianhang gestartet wird, installiert der Wurm einen Backdoor-Trojaner der den PC fern-administrierbar macht.
Allem Anschein nach wird dabei versucht eine Spam-Server Farm aufzubauen
um in möglichst kurzer Zeit extrem viele Spam-Emails absetzen zu können.
Der installierte Trojaner öffnet dafür den Port 1234 um Steuerkommandos entgegenzunehmen.

Mit dem letzten Signaturen-Update von a² wird Bagle.AF erkannt und kann bei einem Befall sofort entfernt werden.

Der a² personal Hintergrundwächter stoppt den Wurm bereits bevor er aktiv werden kann.

Eine ausführlichere Beschreibung des Wurms können Sie in der a² Malware Datenbank nachlesen:
http://www.emsisoft.de/de/malware/?Worm.Win32.Bagle.AF

Beitrag von **tspoon** » So 18. Jul 2004, 08:12

gute idee

nur für den bagle wurm gabs seit nen halben jahr nen winpatch für xp also mein tip:
#1 zur ganzen sachen immer schön winxp autoupdate machen dann sind die meisten sicherheitslücken weg. ihr könnt dies auch mit **** windowsversionen machen ms untersucht nur die installierten patches die ihr schon drauf habt und schlägt euch dann eine liste von wichtigen updates vor.

#2 virenscanner immer aktuell halten bin mit norton antivirus eigentlich immer ganz gut gefahren bisher keine probs

#3 email anhänge von outlook immer erst löschen lassen bzw nicht mit öffnen lassen geht unter optionen wenn ihr den anhang kennt und wisst das er gutartig ist den anhang einfach zulassen

#4 alle mail von einem sender den ihr nicht könnt sofort löschen wenns was wichtiges ist schreibt er noch mal

#5 vorschau fenster in outlook / outlook express deaktivieren und nur mails öffnen wo ihr genau wisst was drin stehen kann

#6 mail mit hi stolen dont forget etc also nichts aussagenden betreff meist 1 oder 2 wörter nicht öffnen

#7 nervige popups unterbinden bzw eventuelle scripte die durch den browser ausgeführt werden (für popups ladet euch bei google die toolbar und aktiviert den popupblocker dieser erlaubt euch für bestimmte seiten diese popupzuaktiveren standart mässig werden alle erstmal geblocked) funktioniert bei mir astrein. scripts deaktivieren unter internetoptionen des ies entweder ganz oder mit abfrage, bei abfrage müsst ihr immer ok klicken ohne werden sie gleich geblocked.

so das wars erstmal mit tips wie man sich vor schädlingen schütz udn nun postet mal los was es so alles gibt

das wird nen endlos thread weil fast jeden tag nen neuer kommt. viel spass

PS: #8 nie auf seiten surfen wo der inhalt nicht eindeutig zu erkennen ist (google und andre suchmaschinen führen immer ein wenig text der seite mit an wenn dieser schon keinen sinn ergibt diese seite meiden)

so hf

Beitrag von **Master Mayhem** » So 18. Jul 2004, 14:28

Jo gute idee sowas....auch wenns mir arsch vorbei geht....

tip1: Linux nehmen, und alle sorgen los sein

tip2: Wer da kein Bock drauf hat sollte diese seite auch mal täglich checken:
http://www.heise.de/security/

sry WolfVox tip1 konnte ich mir nicht verkneifen

mfg tyler

Beitrag von **WolfVox (GER)** » So 18. Jul 2004, 16:49

@tspoon
zu #1 die Sicherheitslücken bei M$ werden erst dann geschlossen, wenn es (im Normalfall) bereits zu spät ist.

zu #2 ... oder Freeware AV, PLUS Firewall (z.B. über einen Router)

zu #3 - #7 alternativer Browser (Mozilla etc.) verwenden und "ein paar" Seiten nicht, oder nicht richtig, angezeigt bekommen.

zu #8 nicht nur unbekannte Seiten, sondern auch viele bekannte und einige Foren, enthalten z.B. Spyware...

tip1: Linux nehmen, und alle sorgen los sein

Yoh, nur leider nicht ganz.
Aber Linux ist (noch) "zum größten Teil" sicher - keine Frage.

P.S. Sorry, aber das konnte ich mir jetzt nicht verkneifen

Beitrag von **WolfVox (GER)** » Di 27. Jul 2004, 18:24

a² News

Guten Tag XXXXXXX,
Warnung vor Worm.Win32.Mydoom.M!

Eine weitere Variante des Mydoom Wurms verbreitet sich seit Montag sehr erfolgreich.
Mydoom.M verschickt sich selbst als Dateianhang in als Unzustellbarkeitsreports getarnten Emails.
Der Betreff und Text der Email wird dabei geschickt zusammengesetzt, damit der Empfänger glaubt, es handelt sich um eine Retour-Email.
Im Anhang versteckt sich der Wurm selbst, oftmals auch als ZIP-Archiv gepackt.
Erst wenn der Empfänger das Archiv entpackt und die darin enthaltene Datei startet, wird der Wurm aktiv.
Einmal gestartet versucht er die Suchmaschinen Google, Lycos, Altavista und Yahoo durch viele Anfragen lahmzulegen.
Außerdem wird auf dem PC ein Backdoor Trojaner installiert, der den Port 1034 öffnet.

Mit dem letzten Signaturen-Update von a² wird Mydoom.M erkannt und kann bei einem Befall sofort entfernt werden.
Der a² personal Hintergrundwächter stoppt den Wurm bereits bevor er aktiv werden kann.

Eine ausführlichere Beschreibung des Wurms können Sie in der a² Malware Datenbank nachlesen:
http://www.emsisoft.de/de/malware/?Worm.Win32.Mydoom.M

Mit freundlichen Grüßen

Ihr a² Team
http://www.emsisoft.de

Beitrag von **WolfVox (GER)** » Di 10. Aug 2004, 19:54

Guten Tag XXXXX,

Warnung vor Worm.Win32.Bagle.AL!

Bei Worm.Win32.Bagle.AL handelt es sich um eine weitere Variante der Bagle Wurmfamilie
die via eMail mit gefälschtem Absender den heimischen PC erreicht.
Wie seine Vorgänger versendet sich Worm.Win32.Bagle.AL selbstständig mit Hilfe einer eigenen SMTP Komponente.

Worm.Win32.Bagle.AL Mails haben folgendes Aussehen:

Betreff: <leer>

Text: new price

Der Mailanhang hat einen der folgenden Namen:

price.zip
price2.zip
price_new.zip
price_08.zip
08_price.zip
newprice.zip
new_price.zip
new__price.zip

Mit dem letzten Signaturen-Update von a² wird Worm.Win32.Bagle.AL erkannt
und kann bei einem Befall sofort entfernt werden.
Der a² personal Hintergrundwächter stoppt den Wurm bereits bevor er aktiv werden kann.

Eine ausführlichere Beschreibung des Wurms können Sie in der a² Malware Datenbank nachlesen:
http://www.emsisoft.de/de/malware/?Worm.Win32.Bagle.AL

Mit freundlichen Grüßen

Ihr a² Team
http://www.emsisoft.de

The complete list of processes it tries to kill:
FIREWALL.EXE
ATUPDATER.EXE
winxp.exe
sys_xp.exe
sysxp.exe
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE

---

The complete list of keys it removes from HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
or HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run :
"9XHtProtect"
"Antivirus"
"EasyAV"
"FirewallSvr"
"HtProtect"
"ICQ Net"
"ICQNet"
"Jammer2nd"
"KasperskyAVEng"
"MsInfo"
"My AV"
"NetDy"
"Norton Antivirus AV"
"PandaAVEngine"
"SkynetsRevenge"
"Special Firewall Service"
"SysMonXP"
"Tiny AV"
"Zone Labs Client Ex"
"service"

Beitrag von **WolfVox (GER)** » Mo 16. Aug 2004, 21:07

Guten Tag XXXXX,

Warnung vor Worm.Win32.Mydoom.Q!

Worm.Win32.Mydoom.Q ist ein Wurm der sich, ähnlich wie seine Vorgänger,
via eMail und mit Hilfe einer eigenen SMTP Komponente verbreitet.
Der in C++ programmierte und 27136 Byte große Schädling kommt in Mails mit folgendem Aufbau daher:

Betreff: photos

Nachrichtentext: LOL!;))))

Name der angehängten Datei: photos_arc.exe

Mit dem letzten Signaturen-Update von a² wird Worm.Win32.Mydoom.Q erkannt und kann bei einem Befall sofort entfernt werden.
Der a² personal Hintergrundwächter stoppt den Wurm bereits bevor er aktiv werden kann.

Eine ausführlichere Beschreibung des Wurms können Sie in der a² Malware Datenbank nachlesen:
http://www.emsisoft.de/de/malware/?Worm.Win32.Mydoom.Q

Mit freundlichen Grüßen

Ihr a² Team
http://www.emsisoft.de

Andere Besonderheiten:

Worm.Win32.Mydoom.Q hat ein fest einprogrammiertes "Ablaufdatum".
Ab 20.08. um 21:11:11 stoppt der Wurm seine Verbreitung.

Beitrag von **WolfVox (GER)** » Mi 1. Sep 2004, 19:53

Guten Tag XXXXX,

Aktuelle Wurm-Warnungen: Bagle.AO und Bagle.AN

Es sind wieder 2 neue Bagle Varianten aufgetaucht.
Die 17924 bzw. 18436 Bytes großen und komprimierten Schädlinge,
verbreiten sich ähnlich wie ihre Vorgänger via Tauschbörsen und eMails.

Nähere Informationen finden sie in der a² Malware-Datenbank unter:
http://www.emsisoft.de/de/malware/?Worm.Win32.Bagle.AO

Informativ: Der a² Online-Check

Im Gegensatz zu diversen Online-Virenscannern, die ein Modul auf Ihren PC laden um ihn nach Viren zu durchsuchen,
ist der a² Online-Check ein umfassender Sicherheits-Check, der Sie über mögliche Gefahrenpunkte bei Ihrer PC-Konfiguration aufmerksam macht.
Er zeigt außerdem, welche Informationen über Sie und Ihren PC jederzeit von anderen Internet-Nutzern problemlos abgefragt werden können.
Sie werden erstaunt sein, wie viele Informationen sich nur durch den Besuch einer Webseite ermitteln lassen.

Hier geht's zum a² Online-Check:
http://www.emsisoft.de/de/kb/articles/tec040814

---

Für Webmaster: Die a² Security-Box

Holen Sie sich die a² News gratis auf Ihre Homepage!
Mit nur wenigen Mausklicks erstellen Sie Ihre persönliche News-Box und binden diese ganz einfach in Ihre Homepage ein.
Zur Auswahl stehen a² Security-Ticker Alarm-Meldungen, interessante a² Knowledgebase Artikel sowie die Malware Top-10.

So sieht die a² Security-Box zum Beispiel aus:
http://www.emsisoft.de/de/malware/securitybox

* copies itself in all directories containing "shar" in their names with the following names:
Microsoft Office 2003 Crack, Working!.exe
Microsoft Windows XP, WinXP Crack, working Keygen.exe
Microsoft Office XP working Crack, Keygen.exe
Porno, sex, oral, anal cool, awesome!!.exe
Porno Screensaver.scr
Serials.txt.exe
KAV 5.0
Kaspersky Antivirus 5.0
Porno pics arhive, xxx.exe
Windows Sourcecode update.doc.exe
Ahead Nero 7.exe
Windown Longhorn Beta Leak.exe
Opera 8 New!.exe
XXX hardcore images.exe
WinAmp 6 New!.exe
WinAmp 5 Pro Keygen Crack Update.exe
Adobe Photoshop 9 full.exe
Matrix 3 Revolution English Subtitles.exe
ACDSee 9.exe[/b]

Beitrag von **WolfVox (GER)** » Sa 4. Sep 2004, 03:07

Guten Tag XXXXX,
Warnung vor Worm.Win32.Mydoom.S!

Eine neue Mydoom Variante macht das Netz unsicher.
Variante S der weitverbreiteten Wurmfamilie kommt in Mails, die an einer der folgenden Betreffzeilen erkennbar sind:

RE:my .....
RE:test
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello

Eine ausführlichere Beschreibung des Wurms können Sie in der a² Malware Datenbank nachlesen:
http://www.emsisoft.de/de/malware/?Worm.Win32.Mydoom.S

Mit dem letzten Signaturen-Update von a² wird Worm.Win32.Mydoom.S erkannt und kann bei einem Befall sofort entfernt werden.
Der a² personal Hintergrundwächter stoppt den Wurm bereits bevor er aktiv werden kann.
Führen Sie bitte umgehend das a² Online-Update durch.

Mit freundlichen Grüßen

Ihr a² Team
http://www.emsisoft.de

(...)Sowie folgende Nachrichtentexte:

Mail transaction failed. Partial message is available.
sorry we can't send the mail try later , check the attachment for more information.
error , sorry we can't send the email so check the attachment.
hello check the attachment thx.
hello.
!!!!!!!!!!!, check the attachment!!!.
Try Later, Check the Attachment.
failed to send the email!, check the attachment for more information.
check.
check the attachment to get the lastest news.
come back my friend.
loooooool ;
hello :
failed,check the attachment for more information.
error, check the attachment for more information.
error to send the mail!!!!!.
you can check the attachment for more information.
Norton ANti Virus,Panda,Mcafee No Virusses Found
the attachment for more information.
here is what you need,thx.
your attachment , thx.
Check the attachment for more information!.
Norton Anti Virus : No Virusses Found , Check The Attachment For More Information.

Der Name der angehängten Datei wird aus verschiedenen Teilstücken zusammengesetzt und variiert somit ebenfalls.

Neben der Verbreitung über Mails nutzt Worm.Win32.Mydoom.S auch das Filesharing Programm KaZaA für seine Zwecke.
Er kopiert sich mit folgenden Dateinamen in den Downloadordner von KaZaA:

Fixtool.exe
Vaho.exe
SeX.exe
cleaner.exe
mirc.exe
Wenrar.exe
kazz.exe
Winzip.exe
crack.exe
Upload.exe
Vahos.exe
netsky.exe
mydoom.exe
SoBig.exe
klez.exe
yahoo hacker.exe
Hotmail hacker.exe
ps2 emulator.exe
xbox emulator.exe
XXX Videos.exe
XXX Pictures.exe

---

Schadensfunktion

Worm.Win32.Mydoom.S startet eine DDoS Attacke auf www.microsoft.com.
Dabei wird in einer Schleife innerhalb von kurzen Zeitabständen jeweils die Standardseite der Domain angefordert.

Beitrag von **WolfVox (GER)** » Sa 4. Sep 2004, 13:34

Neuer Trojaner lockt mit angeblichen Fotos im Anhang

München/Bonn (dpa/gms/WEB.DE)
Die Neugier kann Internetnutzer zu Opfern einer neuen Trojaner- Variante machen.

Bei der infizierten E-Mail stehe 'Foto' in der Betreffzeile, im Anhang finde
sich eine gepackte Datei mit dem Namen 'foto.zip' oder 'fotos.zip'.

Das berichtet die in München erscheinende Zeitschrift 'PC Professionell'.
Klickt der Empfänger auf den Anhang, versucht der Rechner in
regelmäßigen Abständen den Trojaner mit dem Namen
Troj/BagleDI-A, Bagle.AI, Bagle.AV oder Bagle.AW
herunterzuladen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn schätzt die Verbreitungsgefahr des Trojaners als «mittel» ein.
Von den befallenen Rechnern würden massenhaft E-Mails versandt, außerdem würden die Computer ausspioniert.
Das BSI rät, eine verdächtige E-Mail zu löschen und keinesfalls den Anhang zu öffnen.
Außerdem muss die Vorschaufunktion ausgeschaltet sein, damit der Anhang nicht automatisch geöffnet wird.

© dpa - Meldung vom 02.09.2004 12:43 Uhr

Meldung hier =>http://portale.web.de/Internet/?msg_id=5397193

Beitrag von **WolfVox (GER)** » Do 30. Sep 2004, 01:58

Guten Tag XXXXX,
Warnung vor Worm.Win32.Bagle.AS und JPEG Exploit!

Worm.Win32.Bagle.AS ist ein weiterer Vertreter der großen Bagle Wurmfamilie.
Der 18.774 Bytes große Schädling erreicht den PC wie seine Vorgänger via eMail und FileSharing.
Infizierte eMails haben den Betreff "Re: Hello", "Re: Thank you!", "Re: Thanks " oder "Re: Hi" und enthalten eine Datei "Price.exe", "Price.scr", "Price.com", "Price.cpl", "Joke.exe", "Joke.scr", "Joke.cpl" oder "Joke.com".

Nähere Informationen über den Wurm finden Sie in der a² Malware Datenbank:
http://www.emsisoft.de/de/malware/?Worm.Win32.Bagle.AS

Zudem möchten wir ebenfalls auf eine neue Gefahrenquelle im Internet aufmerksam machen. Ein Fehler innerhalb der Anzeigeroutinen für JPEG Bilder in Windows ermöglicht es, Programmcode beim bloßen Betrachten von Bildern auf z.B. Webseiten oder innerhalb von eMails, auszuführen.
Zu Ihrer eigenen Sicherheit empfehlen wir deshalb alle derzeit verfügbaren Sicherheitspatches für Microsoft Produkte via http://www.windowsupdate.com zu installieren.

a² erkennt mit den neuesten Updates sowohl Worm.Win32.Bagle.AS als auch manipulierte JPEG Bilder, die Ihr System gefährden können.
Von einem Update Ihres Betriebssystems entbindet diese Tatsache allerdings nicht!

Mit freundlichen Grüßen

Ihr a² Team
http://www.emsisoft.de

Beitrag von **WolfVox (GER)** » So 31. Okt 2004, 19:16

W32/Bagle.bd W32.Beagle.AW@mm, W32/Bagle-AV, I-Worm.Bagle.au, Worm/Bagle.AU, WORM_BAGLE.AU
entdeckt: 29.10.04 => recht verbreitet

http://www.tu-berlin.de/www/software/vi ... uell.shtml

Beitrag von **WolfVox (GER)** » Sa 20. Nov 2004, 15:18

Guten Tag XXXXX,

Warnung vor Worm.Win32.Sober.I!

Die neueste Version des Sober-Wurms verbreitet sich zur Zeit sehr schnell.
Wie auch schon bei den Vorgänger-Varianten des Wurms, verbreitet sich auch Sober.I via Email-Anhänge.
Der Email-Text suggeriert dabei, es handle sich um eine Fehlermeldung des Mailservers mit angehängtem Fehler-Report.

Neuere Email-Clients wie Outlook oder Outlook Express blockieren zwar gefährliche Dateianhänge wie EXE, COM oder SCR standardmäßig,
jedoch kommt Sober.I zum Teil auch als ZIP Datei verpackt durch diesen Schutzmechanismus durch.
Das ZIP-Archiv selbst kann zwar bedenkenlos geöffnet werden, jedoch der Inhalt darin
(eine ausführbare Datei mit variablem Dateinamen) enthält den gefährlichen Wurm, und darf daher nie geöffnet werden!

Eine ausführlichere Beschreibung des Wurms können Sie in der a² Malware Datenbank nachlesen:

http://www.emsisoft.de/de/malware/?Worm.Win32.Sober.I (engl.)

Mit dem letzten Signaturen-Update von a² Free und a² Personal wird Worm.Win32.Sober.I erkannt und kann bei einem Befall sofort entfernt werden.
Der a² Personal Hintergrundwächter stoppt den Wurm bereits bevor er aktiv werden kann.
Führen Sie bitte umgehend das a² Online-Update durch und achten Sie bei a² Personal darauf,
daß die neue automatische Update-Funktion aktiviert ist.

An dieser Stelle möchten wir außerdem auf einen Artikel zum Thema in der a² Wissensdatenbank verweisen:
Achtung Email! Sicherer Umgang mit Emails

Mit freundlichen Grüßen

Ihr a² Team
http://www.emsisoft.de

Beitrag von **WolfVox (GER)** » Mi 17. Aug 2005, 18:37

Weil das Thema nie unwichtig wird:

Guten Tag XXXXX,

dieser Newsletter informiert Sie über aktuelle Gefahren im Internet.

Warnung vor dem Mytob (Zotob) Wurm!

Die neuesten Varianten des Mytob Wurms nutzen eine Schwachstelle in der Windows Plug&Play-Schnittstelle aus, um Windows-Systeme zu infizieren.
a-squared erkennt den Wurm als Net-Worm.Win32.Mytob.cd, Mytob.cf, Mytob.ch sowie desses automatisch installierte Backdoor Trojaner als Backdoor.Win32.IRCBot.et.
In den Medien wird jedoch oftmals der Sammelbegriff Zotob-Wurm verwendet.

Die Schwachstelle betrifft laut Microsoft in erster Linie Windows 2000, kann jedoch unter Umständen auch bei Windows XP und 2003 Server ausgenützt werden.
Windows 98 und ME Systeme sind nicht betroffen.

Der Wurm lädt einen IRC Backdoor Trojaner aus dem Internet nach, über den der infizierte PC folglich ferngesteuert werden kann.

Abhilfe:

Vergewissern Sie sich, daß der Windows Patch mit der Nummer KB899588 auf Ihrem System installiert ist.
Den Patch können Sie entweder bei Microsoft manuell herunterladen, oder über das automatische Windows-Update beziehen.

KB899588: http://www.microsoft.com/germany/techne ... 5-039.mspx
Windowsupdate: http://www.windowsupdate.com

a-squared Free Nutzer sollten unbedingt das Online-Update ausführen und ihr System scannen, damit der Wurm bei einem Befall gelöscht werden kann.

a-squared Personal Nutzer sind auch ohne Online-Update bereits geschützt, da die neue integrierte IDS Technologie des Hintergrundwächters den Wurm
sofort anhand der Verhaltensanalyse erkennt, sobald er schädliches Verhalten zeigt.

Ihr a-squared Team
http://www.emsisoft.de

Beitrag von **Cris-D50** » Do 18. Aug 2005, 00:06

Hallo WolfVox,

Ich möchte mich mal für Deine Hinweise bedanken.
Ich habs zwar vorher schon woanders aufgeschnappt, aber ich finde es sehr gut, dass Du die Sippe hier informierst.

Alles Gute weiterhin!

PS:
Was ich so lese, spielst du ja noch ET, wahrscheinlich mit einem anderen Nick.
Oft wenn ich auf einem puplic einen Engie sehe, denke ich mir, issers oder issers nicht.