Virus!!! Ahhh

[ML]

Jo, ich habe auch infizierte e-mails von Christian bekommen.

[chr.flader]

Jo leider habe ich das Pech das er rund 3000 Email versendet hat, da auch so viele in meinem Adressbuch drinnen ist :-(

Tut mir leid :-(

[mh]

Die Adressen kommen bei Badtrans nicht aus dem Adressbuch.

Badtrans klinkt sich über MAPI in das jeweilige Mailsystem ein und holt sich die ganzen Adressen aus den Mails im Posteingang und verschickt sich selbts an diese Adressen zurück. Damit diese Mail dann nicht mehr beantwortet wird setzt er vor den Absender ein underline also _xy@z. Diese Daten sieht man aber nur wenn man den Mailheader anschaut.

mehr Details dazu unter z.B.

http://www.f-prot.de

Der Internetprovider Debitel hat gestern sein Mailsystem unter einen Filter gelegt.

Mails die einen Anhang mit der Extension .pif oder .scr haben werden nicht mehr zugestellt sondern gehen an den Absender zurück.

PS: ich musste heute 94 Badtrans Dateien aus der Quarantäne meines Norton werfen.

[Edwin]

hi mh,

dank dir für die erklärung

dummerweise habe ich die beiden beiträge, aus denen ersichtlich wurde, dass christian den virus hat, überlesen. ich dachte, weil er hier die leute informiert, bekommt er ihn zumindest nicht (daher meine verwunderung, von ihm eine infizierte mail zu bekommen).

naja - auch diese welle wird vorbeigehen, obwohl ich sagen muss, dass es die heftigste ist, die ich bisher erlebt hat...

gruß.

[mh]

Zitat:

Original geschrieben von Edwin
hi mh,

dank dir für die erklärung

dummerweise habe ich die beiden beiträge, aus denen ersichtlich wurde, dass christian den virus hat, überlesen. ich dachte, weil er hier die leute informiert, bekommt er ihn zumindest nicht (daher meine verwunderung, von ihm eine infizierte mail zu bekommen).

naja - auch diese welle wird vorbeigehen, obwohl ich sagen muss, dass es die heftigste ist, die ich bisher erlebt hat...

gruß.

Edwin,

Daß diese Welle so heftig ist liegt daran, daß Badtrans hauptsächlich private PCs angreift, die ja keinen Virenschutz benötigen (siehe letzte Virendiskussion).

Ich finde es ehrlich gesagt schade, daß dieser Wurm keine kernigen Schadfunktionen hatte, damit die Anwender aufwachen.

PS: Von den ganzen Rechnern, die ich installiert hatte, wurde nur ein einziger Rechner infiziert und auch nur deshalb, weil der Benutzer den Virenscanner deinstalliert hatte, um ein Spiel, das sich mit dem Scanner stritt, zum Laufen zu bringen.

Die Sache wird so wie ich mitbekam nächste Woche personalrechtliche Folgen in Form einer Abmahnung oder gar Kündigung haben.

[mh]

Achtung: Neuer Wurm unterwegs

Name: Goner
Typ: Wurm
Alias: W32/Gone.A@mm , I-Worm.Goner , Gone , Pentagone
Goner ist ein in Visual Basic geschriebener Mass-Mailer, der am 04.12.01 gefunden wurde. Der Wurm ist komprimiert ca. 39 KB gross.
Der Wurm verbreitet sich über Outlook und ICQ. Es werden auch Scripts für IRC erzeugt, mit denen bestimmte IRC-Kanäle überflutet werden können.
Wenn der Wurm ausgeführt wird, wird ein Dialog angezeigt, der die eigentliche Aufgabe verschleiern soll. Dann wird eine Fehlermeldung angezeigt: Error While Analyze DirectX!
Der Wurm kopiert sich als GONE.SCR in das Windows-System-Verzeichnis und versucht, seinen Start in der Registry einzutragen. Der Wurm läuft als Dienst, so dass er im Task-Manager nicht sichtbar ist.
Um sich zu verbreiten, sendet er sich an alle Adressen im Outlook Adressbuch mit einer Mail mit dem Betreff "Hi" und folgendem Text:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!
Angehängt ist die Datei Gone.scr.
Der Wurm beendet folgende Prozesse, falls aktiv:
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PW32.EXE
VW32.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
Er versucht auch, diese Dateien zu löschen, wenn sie nicht aus dem Windows-System-Verzeichnis gestartet wurden. Wenn das Löschen fehlschlägt, erzeugt er WININIT.INI, das das Löschen beim nächsten Neustart ausführen soll. Ausserdem wird versucht, das Verzeichnis C:\SAFEWEB\ zu löschen.

==============================================
Empfehlung: Sobald Virendefinitionen bereitgestellt sind diese installieren und äusserste Vorsicht.

[mh]

Ich habe gerade von SOPHOS folgende Warnung erhalten:
Leider nur englisch:
Virendefinitionen stehen noch nicht zur Verfügung!


W32/Gokar-A spreads via the internet by sending itself as an
email attachment to addresses in the Outlook address book. The
worm arrives in an email with the following characteristics:

The subject line and body text of the email are chosen randomly
from a selection including:

Subject:

"If I were God and didn't belive in myself would it be
blasphemy"
"The A-Team VS KnightRider ... who would win ?"
"Just one kiss, will make it better. just one kiss, and we will
be alright."
"I can't help this longing, comfort me."
"And I miss you most of all, my darling ..."
"... When autumn leaves start to fall"
"It's dark in here, you can feel it all around. The
underground."
"I will always be with you sometimes black sometimes white ..."

Body:

"Happy Birthday
Yeah ok, so it's not yours it's mine
still cause for a celebration though, check out the details I
attached"

"Hey
They say love is blind ... well, the attachment probably proves
it.
Pretty good either way though, isn't it ?"

"You should like this, it could have been made for you speak to
you later"

The attachment filename will also be random characters with a
BAT, COM, EXE, SCR or PIF extension.

W32/Gokar-A also tries to spread via mIRC by overwriting the
script.ini file of the mIRC client so that it will send the worm
to other mIRC users.

If the infected computer is being used as a web server via
Personal Web Server or IIS (Microsoft Internet Information
Server), then the worm drops a copy of itself as web.exe in the
C:\inetpub\wwwroot directory. It also replaces the file
default.htm (which will be the home page of the website if the
default installation was used) in the C:\inetpub\wwwroot
directory. The copy of default.htm created by the worm will
download the worm (web.exe) to the computer of users visiting
the website.

The worm drops itself into the Windows directory as karen.exe
and sets the registry key

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Karen =
C:\<windows directory>\karen.exe

so that this file will run on Windows startup.

[Edwin]

hi mh,

scheinbar hat sich schon der goner nicht so ausgebreitet, wie es befürchtet wurde. in einer meldung im heise-newsticker hat man vermutet, es läge daran, dass die leute bei englischsprachigen mails inzwischen vorsichtiger wären.

wie sieht's denn bei goner und gokar mit dem iframe-trick aus? wird der dort auch verwandt, um den virus schon beim ansehen in outlook ausführen zu lassen? wenn nicht, sehe ich eher darin den grund, dass sie sich nicht so schnell verbreiten - und beim gokar steht ja nur was vom automatischen download, wenn er vorher einen webserver infiziert hat, also ähnlich wie nimda...

gruß.

[mh]

Der Goner kam virentechnisch zu einer ungünstigen Zeit, da unmittelbar zuvor Badtrans sehr viele Rechner infiziert hatte und die Anwender gewarnt waren.

Goner verwendet meines Wissens auch die IFRAME- Lücke aber hatte damit auch nicht soviel Glück, da mittlerweile auch sehr viele Anwender den Patch installiert haben.

Immerhin hat Goner weltweit ca. 50 000 Rechner infiziert.

Ob Gokar diese Iframe Sichereheitslücke ebenfalls verwendet ist mir im Moment noch nicht bekannt. Allerdings kann er auch NT(2000)-Webserver verseuchen und dann Besucher dieser Webseite infizieren.

Bisher ist er allerdings noch nicht allzu häufig aufgetreten.

[Cheater]

Hallo,
ich habe auch z.Z. so ein Problem. Ich bekomme mehrmals am Tag eine Email mit folgendem Text:

Hi! How are you?

I send you this file in order to have your advice

See you later. Thanks


Als Absender steht meine eigene Email-Adresse da. Ein Virus ist im Anhang. Mit dem Spam-Filter von Web.de konnte ich dies unterbinden. Allerdings bekomme ich von irgendwelchen Typen, von denen ich noch nie etwas gehört habe Mails zurückgeschickt. Oft sind es automatische Antorten von Anti-Viren Programmen.

Weiß jemand vielleicht etwas über diesen Wurm?