|
|||||||
| Stammtisch Hier könnt Ihr über "Gott und die Welt", Politik, Fernsehen, Bücher, Musik und alles was Euch sonst interessiert diskutieren. Plaudern in lockerer Atmosphäre ;-) |
 |
|
|
Themen-Optionen |
|
#41
30.09.2001, 17:45
|
||||
|
||||
|
Dann sind wir uns ja einig: Navigation rein über Scripts zu realisieren ist Schwachsinn. Aber dennoch wird Javascript auch für andere Dinge (siehe letzten Beitrag) benötigt, die nicht so ohne weiteres ignoriert werden können.
Aber das Thema dieses Threads ist ja nicht Webseitenerstellung, sondern Viren. In diesem Zusammenhang die neueste Information zu Nimda: Der Wurm enthält angeblich ein Zeitglied, so daß er noch einmal 10 Tage nach der Infektion aktiv wird. Deshalb aufpassen. 
|
|
#42
01.10.2001, 06:50
|
|||
|
|||
|
Zitat:
Deshalb unbedingt die Viren-Signaturen updaten!! Gruß, Volkmar Geändert von Volkmar (01.10.2001 um 06:52 Uhr)
|
|
#43
29.10.2001, 20:13
|
||||
|
||||
|
Zitat:
Gestern hat er sich über vermutlich über ICQ den Loveletter eingefangen. Resultat: Alle MP3s weg (Napster allez) Alle Bilder weg Datenbank der Vereinsverwaltung beschädigt. Letzte Datensicherung am 3. September. Vielleicht wäre ein vernünftiger Virenscanner doch die preiswertere Lösung gewesen.
|
|
#44
29.10.2001, 20:20
|
||||
|
||||
|
Zitat:
Was hat er bis jetzt unternommen??? Es gibt eine Möglichkeit alles wieder zuholen!!!
|
|
#45
29.10.2001, 20:42
|
||||
|
||||
|
Die MP3s und Bilder sind definitiv weg, denn die werden überschrieben.
Die Datenbank ging möglicherweise bei Reparaturversuchen kaputt. Das Ende vom Lied: 1. Daten auf Zip kopiert. 2. System neu installiert. 3. Neuen Virenscanner installiert. 4. Alte Daten wieder auf die Platte kopiert. 5. Eingaben der letzten 2 Monate nach vorhandenen Belegen wiederholen. (Damit wird er noch einige Zeit beschäftigt sein.) 6. ICQ abgeschossen (Jetzt wäre es an sich nicht mehr notwendig) 7. Schauen was auf dem Zip Laufwerk noch zu retten ist. (Ich befürchte nicht mehr allzu viel) Geändert von mh (29.10.2001 um 20:44 Uhr)
|
|
#46
29.10.2001, 20:52
|
||||
|
||||
|
Also nun ist es so das er wohl mit den Dateien die er sich gesichert hat, wieder den Loveletter Wurm drauf gehauen hat.
Er soll mal unter suchen: VBS eingeben und mal mir mitteilen was dort auf gelistet wird. Nun mal zu den MP´s also MP3 ´s : die Original MP3´s werden kopiert und versteckt. Die kopierten MP3 und MP2 bekommen die Endung VBS. Wegen der Bilder weis ich nur was passiert und schaue noch mal nach wie er sie wieder gewinnen kann.
|
|
#47
29.10.2001, 21:11
|
||||
|
||||
|
Die gesicherten Dateien werden natürlich auf dem Zip-Laufwerk gescannt.
Die MP3 Dateien werden nicht versteckt sondern mit dem Virus überschrieben und gleichzeitig bekommen sie die Erweiterung VBS verpasst, damit der Virus beim Anklicken auch recht viel Unfug anstellt. =============== Aus der perComp Beschreibung ======= LoveLetter enthält außerdem einen Virus, der Wirtsprogramme überschreibt. Der Virus sucht nach Dateien auf allen lokalen und Netz-Laufwerken, die bestimmte Extensions besitzen. Er überschreibt diese Dateien mit seinem Code und fügt an den originären Namen zusätzlich die Extension vbs oder vbe an. Dateien, die die Extension js jse css wsh sct hta werden gelöscht und eine Datei mit dem gleichen Namen und der Extension vbs erzeugt, die den Wurm-Code enthält. Dateien, die die Extension jpg jpeg werden gelöscht.Eine neue Datei mit dem gleichen Namen und der Extension vbs, die den Wurm-Code enthält, wird erzeugt. Weiterhin werden in gleicher Weise die Dateien mit der Extension mp3 mp2 zerstört. Wichtig: Alle Dateien, die vom LoveLetter zerstört wurden, können auf keinen Fall restauriert werden. ============================================== Es gibt auch Versionen von Loveletter, die DLLs, EXEs überschreiben. Jedenfalls wenn mein Bekannter den erwischt, der ihm den Virus eingespielt hat, dann fliesst Blut, so geladen wie er ist. Geändert von mh (29.10.2001 um 21:16 Uhr)
|
|
#48
29.10.2001, 21:59
|
||||
|
||||
|
Nun werden wir mal ganz genau:
ILOVEYOU-VB-Script-Virus hat sich am Morgen des 4.5.mit rasanter Geschwindigkeit ausgebreitet (E-MAIL-Anhang oder IRC). ILOVEYOU ist ein Visual-Basic-Script-Wurm, der sich als E-MAIL-Kettenbrief ausbreitet. Schützen Sie sich vor VBScript-Viren, indem Sie die Windows-Scrip-Verarbeitung deaktivieren. VARIANTE: LoveLetter.A Der Wurm nutzt das E-MAIL-Programm Outlook, um sich zu verbreiten. Er überschreibt als VBS-Programm Dateien und vermehrt sich über mIRC. Der Wurm aktiviert sich nach seinem Aufruf, indem er eine Datei MSKernel32.vbs und LOVE-LETTER-FOR-YOU.TXT.vbs im Windows-System-Verzeichnis und Win32DLL.vbs im WINDOWS-Verzeichnis erstellt. Anschließend manipuliert er die Registry-Einträge, so dass Win32DLL.vbs und MSKernel32.vbs bei jedem Windows-Start aufgerufen werden. Registry-Manipulation: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL Der Wurm verändert die Startup-Seite des Internet-Explorers (durch Änderung der Registry) und beim Start des Browsers lädt er eine Datei namens WIN-BUGSFIX.exe von 4 verschiedenen Orten auf http://www.skyinet.net herunter (per Zufallsprinzip). Diese Programm stiehlt Passwörter (Trojaner). Beim Start sucht er ein verstecktes Fenster namens 'BAROK...'. Wird dieses gefunden, beendet er sich sofort. Falls nicht, übernimmt das Hauptprogramm die Kontrolle. Der Trojaner untersucht den Subkey WinFAT32 in folgendem Eintrag: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Findet er den Subkey-Eintrag dort nicht, erstellt er ihn dort, kopiert sich selbst ins \Windows\System\-Verzeichnis als WINFAT32.EXE und startet dieses Programm von dort aus. Die Veränderung in der Registry bewirkt, dass der Trojaner immer, wenn Windows gestartet wird, aktiv ist. Anschließend setzt der Wurm die Startup-Seite des Internet-Explorers auf "about:blank" und löscht folgende Einträge (falls vorhanden): Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching Sofort nach dem Start und wenn bestimmte Werte der Alarmzeit-Uhr erreicht sind, lädt der Wurm die MPR.DLL-Bibliothek, ruft die Funktion WNetEnumCashedPasswords auf und sendet die RAS-Passwörter und alle versteckten Windows-Passörter an die E-MAIL-Adresse:'mailme@super.net.ph', die wahrscheinlich dem Viren-Autor gehört. Der Trojaner nutzt den SMTP-Server 'smtp.super.net.ph' Die Betreff-Zeile lautet: 'Barok... email.passwords.sender.trojan' Im Text selbst findet man einen Copyright-Hinweis des Autors: barok ...i hate go to school suck ->by:spyder @Copyright (c) 2000 GRAMMERSoft Group >Manila,Phils. Ausserdem findet man dort verschlüsselten Text für interne Zwecke. Dann erstellt der Wurm die HTML-Datei "LOVE-LETTER-FOR-YOU.HTM" im Windows-System-Verzeichnis. Diese Datei enthält den Wurm und verbreitet sich jedesmal, wenn der Benutzer einen IRC-Kanal mit mIRC öffnet.Dazu überschreibt der Wurm die SCRIPT.INI-Datei im mIRC-Verzeichnis. Der Wurm verbreitet sich nun über das OUTLOOK-Programm, indem er sich selbst an alle Adressaten im Adressbuch von Outlook verschickt. Die Nachricht lautet: Betreff: ILOVEYOU Text: kindly check the attached LOVELETTER coming from me. Anhang: LOVE-LETTER-FOR-YOU.TXT.vbs Der Liebesbrief wird einmal an alle Adressaten versandt. Danach setzt der Wurm einen Marker in der Registry, damit er die Mail kein zweitesmal verschickt. Der Wurm untersucht nun alle Verzeichnisse auf allen Datenträgern mit und ohne Netzwerk auf Dateien mit der speziellen Endungen. Dateien mit der Endung ".js", ".jse", ".css", ".wsh", ".sct" und ".hta" ersetzt er durch Dateien mit dem identischen Namen, aber der Endung ".vbs". Dateien mit der Endung ".jpg" und ".jpeg" werden gelöscht und durch Viren-Dateien gleichen Namens und der zusätzlichen Endung ".vbs" ersetzt (aus PICTURE.JPG wird so z.B. PICTURE.JPG.VBS). MP2 und MP3-Dateien werden durch den Virus ersetzt und die Original-Dateien versteckt. Am 4.5.2000 tauchte der Wurm zum erstenmal auf. Das Ursprungsland ist wahrscheinlich die Phillipinen. Am Anfang des Viren-Codes findet man den Text: barok -loveletter(vbe) <i hate go to school> by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines Falls Ihr System bereits infiziert ist, können Sie den Wurm beseitigen, indem Sie Alle .vbs-Dateien in allen Verzeichnissen und auf allen Datenträgern löschen Die Datei LOVE-LETTER-FOR-YOU.HTM im Windows-Sytem-Verzeichnis löschen Die Dateien WIN-BUGSFIX.EXE und WINFAT32.EXE im Internet-Explorer-Download-Verezeichnis löschen Im mIRC-Installations-Verzeichnis (falls vorhanden) die Datei SCRIPT.INI löschen. VARIANTE: LoveLetter.B Diese Variante unterscheidet sich durch die Betreff-Zeile: Betreff: Susitikim shi vakara kavos puodukui... Text: kindly check the attached LOVELETTER coming from me. Anhang: LOVE-LETTER-FOR-YOU.TXT.vbs Die Betreff-Zeile ist in litauischer Sprache und bedeutet: "Lasst uns diesen Abend zu einer Tasse Kaffee treffen" Die Kommentar-Zeile dieser Variante enthält den Text: Modified Lameris Tamoshius / Lithuania (Tovi systems) VARIANTE: LoveLetter.C Diese Variante erscheint als E-MAIL mit: Betreff: fwd: Joke Anhang: Very Funny.vbs VARIANTE: LoveLetter.D Diese Variante ist kaum gegenüber der Vaiante VBS/LoveLetter.A verändert. VARIANTE: LoveLetter.E VBS/LoveLetter.E verbreitet sich mit folgender Muttertags-Nachricht. Betreff: Mothers Day Order Confirmation Text: We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com Anhang: mothersday.vbs Ausserdem löscht diese Variante alle ".ini" und ".bat"-Dateien anstatt ".jpg" und ".jpeg"-Dateien. Diese Variante versucht nicht die Datei "WIN-BUGSFIX.exe" aus dem Internet zu laden, aber Sie verändert ebenfalls die Internet-Explorer-Startseite. VARIANTE: LoveLetter.F VBS/LoveLetter.F verbreitet sich mit folgender Viren-Warnungs-Nachricht. Betreff: Dangerous Virus Warning Text: There is a dangerous virus circulating. Please click attached picture to view it and learn to avoid it. Anhang: virus_warning.jpg.vbs VARIANT: LoveLetter.G VBS/LoveLetter.G is ähnlich wie der original VBS/LoveLetter.A. Dies Variante scheint eine Viren-Warnung von Symantec zu sein, was aber nicht richtig ist. Betreff: Virus ALERT!!! Von: support@symantec.com Text: Dear Symantec customer, Symantec's AntiVirus Research Center began receiving reports regarding VBS.LoveLetter.A virus early morning on May 4, 2000 GMT. This worm appears to originate from the Asia Pacific region. Distribution of the virus is widespread and hundreds of thousands of machines are reported infected. The VBS.LoveLetter.A is an Internet worm that uses Microsoft Outlook to e-mail itself as an attachment. The subject line of the e-mail reads ILOVEYOU, with the attachment titled LOVE-LETTER-FOR-YOU.TXT.VBS. Once the attachment is opened, the virus replicates and sends an e-mail to all e-mail addresses listed in the address book. The virus also spreads itself via Internet relay chat and infects files on local and remote drives including files with extensions vbs, vbe, js, sje, css, wsh, sct, hta, jpg, jpeg, mp3, mp2. Users should exercise caution when opening e-mails with this subject line, even if the e-mail is from someone they know, as that is how the virus is spread. Symantec Corp. today announced availability of the virus definition to detect, repair and protect users against the VBS.LoveLetter.A virus. This definition is available now via Symantec's LiveUpdate and can also be downloaded from the following web sites: http://www.symantecstore.com/AF74211/promo/loveletter http://www.digitalriver.com/symantec Also as a quick solution Symantec Corp. offers Visual Basic Script to protect your PC against this worm. (See attached.) Note! When executed, this script will protect Your PC from being INFECTED by VBS.LoveLetter.A virus. To cure already infected PC's download Norton Antivirus Updates mentioned above. Symantec Corporation - a world leader in internet security technology. Anhang: protect.vbs Diese Variante verändert die Internet-Explorer Startseite und verweist auf eine pornographische Seite. Die Standard-Suchseite zeigt auf eine Hacker-Seite. Folgende Dateien mit diesen Endungen werden unter gleichem Namen mit der zusätzlichen Endung ".vbs" erstellt: ".js", ".jse", ".css", ".wsh", ".sct", ".hta", ".com" und ".bat" Die Original-Dateien werden gelöscht. Da alle .com-Dateien gelöscht werden, kann das System nicht mehr starten. Diese Variante versucht ebenfalls nicht "WIN-BUGSFIX.exe" herunterzuladen. VARIANTE: LoveLetter.H Diese Variante verbreitet sich mit folgender Nachricht: Betreff: Important ! Read carefully !! Text: Check the attached IMPORTANT coming from me ! Anhang: IMPORTANT.TXT.vbs VARIANTE: LoveLetter.I VBS/LoveLetter.I ist eine leicht veränderte Form von VBS/LoveLetter.G. VARIANTE: LoveLetter.J Dies Variante ist in Ihrer Fnktion identisch mit VBS/LoveLetter.A. Die Mail-Nachricht lautet allerding: Betrefft: How to protect yourself from the IL0VEY0U bug! Text: Here's the easy way to fix the love virus. Anhang: Virus-Protection-Instructions.vbs VARIANTE: LoveLetter.K Diese Variante verbreitet sich mit folgender Nachricht: Betreff: Thank You For Flying With Arab Airlines Text: Please check if the bill is correct, by opening the attached file. Anhang: ArabAir.TXT.vbs VBS/LoveLetter.K löscht Dateien mit der Endung: ".dll" und ".exe", und fügt sich selbst als Datei mit gleichem Namen, aber der Endung ".vbs" hinzu. Anschließend kopiert er sich selbst als Dateien mit den Namen, die alle ".sys"-Dateien haben und gibt sich die Endung ".vbs" Die Original-Dateien werden versteckt. VARIANTE: LoveLetter.L VBS/LoveLetter.L ist funktionell dentisch mit VBS/LoveLetter.A. VARIANTE: LoveLetter.M Diese Variante enthält eine deutsche Nachricht mit folgendem Inhalt: Betreff: Bewerbung Kreolina Text: Sehr geehrte Damen und Herren! Anhang: BEWERBUNG.TXT.vbs VARIANTE: LoveLetter.N Diese Variante verbreitet sich mit folgender Nachricht: Betreff: LOOK! Text: hehe...check this out. Anhang: LOOK.vbs Diese Variante löscht alle Dateien mit der Endung".xls" oder ".mdb". Ausserdem versteckt sie alle Dateien mit ".lnk" oder ".exe". Nachdem die Original-Datei gelöscht oder versteckt wurde, , erstellt der Wurm eine Kopie von sich selbst, indem er den Original-Namen benutzt und die Endung ".vbs" anhängt. VARIANTE: LoveLetter.O VBS/LoveLetter.L ist funktionell dentisch mit VBS/LoveLetter.A. VARIANTE: LoveLetter.P Diese Variante verbreitet sich mit folgender Nachricht: Betreff: Variant Test Text: This is a variant to the vbs virus. Anhang: IMPORTANT.TXT.vbs Diese Variante löscht alle Dateien mit der Endung ".mpeg", ".avi", ".qt" oder ".qtm". Ausserdem versteckt sie alle Dateien mit ".mpg". Nachdem die Original-Datei gelöscht oder versteckt wurde, , erstellt der Wurm eine Kopie von sich selbst, indem er den Original-Namen benutzt und die Endung ".vbs" anhängt. VARIANTE: LoveLetter.Q Diese Variante verbreitet sich mit folgender Nachricht: Betreff: Yeah, Yeah another time to DEATH... Text: This is the Killer for VBS.LOVE-LETTER.WORM. Anhang: Vir-Killer.vbs VBS/LoveLetter.Q löscht alle Dateien mit der Endung ".zip" oder ".rar". Ausserdem versteckt sie alle Dateien mit ".asm" oder ".pas". Nachdem die Original-Datei gelöscht oder versteckt wurde, , erstellt der Wurm eine Kopie von sich selbst, indem er den Original-Namen benutzt und die Endung ".vbs" anhängt. Diese Variante breitet sich nicht über mIRC aus. VARIANTE: LoveLetter.R Diese Variante verbreitet sich mit folgender Nachricht: Betreff: PresenteUOL Text: O UOL tem um grande presente para voce, e eh exclusivo. Veja o arquivo em anexo. http://www.uol.com.br Anhang: UOL.TXT.vbs VARIANTE: LoveLetter.S VBS/LoveLetter.S ist eine leicht veränderte Version von VBS/LoveLetter.N. Diese Variante versteckt Dateien mit der Endung ".mp3" und ".mp2" wie VBS/LoveLetter.A. VARIANTE: LoveLetter.T Beschreibung wird nachgereicht. VARIANTE: LoveLetter.U Beschreibung wird nachgereicht. VARIANTE: LoveLetter.V VBS/LoveLetter.V ist eine leicht veränderte Version von VBS/LoveLetter.L VARIANTE: LoveLetter.W Diese Variante verbreitet sich mit folgender Nachricht: Betreff: IMPORTANT: Official virus and bug fix Text: This is an official virus and bug fix. I got it from our system admin. It may take a short while to update your system files after you run the attachment. Anhang: Bug and virus fix.vbs VBS/LoveLetter.W ersetzt alle Dateien mit der Endung ".exe", ".com", ".dll" oder ".sys" durch sich selbst. Dadurch wird das System unbrauchbar.
|
|
| Lesezeichen |
|
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:50 Uhr.