Loveletter Virus!!!

[chr.flader]

Wollte mal fragen wer von euch den Loveletter Virus ( Wurm ) hatten und was Ihr dagegen gemacht habt???

Gruß Christian

[mh]

Einen Firewall und aktuellen Virenscanner auf dem Rechner gibt kaum ein Problem.

Für Firewall Empfehlung: ZoneAlarm. Für privaten Gebrauch frei von

http://www.zonelabs.com

ladbar. Ist nur etwas unpraktisch um Netzwerke zu sichern.

Virenscanner sind normalerweise im Preisbereich 60 - 100 DM.
Wichtig: Immer die neuesten Virendefinitionen nachladen.

Informationen zu Viren sind bei den Herstellern von Anti Viren Software zu finden.

EIne ausgezeichnete Quelle in Deutsch ist z. B. der PerCompVerlag:

http://www.f-prot.de/

[sVeNd]

ist der überhaupt nach deutschland rübergekommen? ich dachte, das wäre ein rein amerikanisches problem gewesen....

[chr.flader]

Nein es ist so das der Virus auch in Deutschland war, also eigentlich war nur ich glaube das da jemand sich den Virus bei sich abgespeichert hat. Leider bin ich wieder infiziert worden, nur dieses Mal von einem anderen Virus, und ich glaube das da ein Hacker am Werk ist.

Was habt Ihr für Erfahrungen gemacht???

Gruß Christian


PS: Sollte jemand fragen habe zu Viren der kann sich dann bei mir melden

[mh]

Ist bekannt was für ein Virus das ist und woher er kam?

Im Augenblick ist der CodeRed und der Shircam aktuell, wobei der ShirCam ein ganz übler Bursche ist.

[sVeNd]

Zitat:

Original geschrieben von mh
Ist bekannt was für ein Virus das ist und woher er kam?

Im Augenblick ist der CodeRed und der Shircam aktuell, wobei der ShirCam ein ganz übler Bursche ist.

hab noch keine erfahrungen gemacht.. was macht der shircam denn?

[chr.flader]

Es ist kein Code Red es ist w32\hybris.worm
infiziert Windows Systeme

Hier mal die Seite, wo Ihr was darüber lesen könnt.

http://www.venusvibes.de/hybris.html

[mh]

Copyright © 1998-2001 perComp-Verlag GmbH
Computer-Virus Informationen


Name: Hybris
Typ: Wurm

Hybris ist ein Internet-Wurm, der sich als Attachment von E-Mails ausbreitet. Der Wurm ist nur unter WIN32-Systemen funktionsfähig. Er kann seine Module per Internet aktualisieren. Hybris verschlüsselt seinen Code semi-polymorph.

Hybris enthält folgende Zeichenketten:

HYBRIS
(c) Vecna

Der Wurm benutzt die WSOCK32.DLL Library. Während der Infektion (Installation) führt er folgendes aus:

Er schreibt seinen Code an das Ende der letzten File Section

manipuliert die Funktionen conect, recv und send und

manipuliert die Adresse der DLL Entry Routine.
Wenn der Wurm nicht in der Lage ist WSOCK32.DLL zu verändern, stellt er eine Kopie dieser Datei mit einem beliebig gewählten Namen her, infiziert diese und fügt in WININIT.INI eine rename-Anweisung ein. Dadurch wird beim nächsten Start von Windows die infizierte Kopie benutzt.

Zusätzlich erzeugt der Wurm eine Kopie seines Codes mit einem zufällig gewählten Namen, die er im Windows-Verzeichnis ablegt und einen RunOnce Registry Key einträgt:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
{Default} = %WinSystem%\WormName

oder
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
{Default} = %WinSystem%\WormName

Dabei ist %WinSystem% das Windows-Verzeichnis auf dem betreffenden System und \WormName ist zum Beispiel:
CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

Wenn die infizierte WSOCK32.DLL aktiv ist, wird der Aufbau von Netzwerk-Verbindungen einschließlich Internet überwacht. Der Wurm fängt die Daten, die gesandt und empfangen werden, ab und durchsucht diese nach E-Mail-Adressen. Hat der Wurm eine E-Mal-Adresse gefunden, so wartet er zunächst eine Weile und sendet dann eine infizierte E-Mail an diese Adresse.
Die Funktionalität des Wurms hängt von den Plugins ab, die er gespeichert hat und die mit einem 128 Bit langen Key (RSA) verschlüsselt sind. Es wurden Exemplare des Wurms gefunden, die bis zu 32 Plugins enthielten. Die Plugins können vom Wurm von VietMedia.com geholt und aktualisiert werden. Die auf dieser Web-Site gespeicherten Plugins sind auch mit RSA verschlüsselt.

Hybris benutzt für seine Aktualisierung auch die Newsgroup alt.comp.virus. Er stellt eine Verbindung zu einem News-Server her, konvertiert seine Plugins in Newsgroup-Messages und sendet Sie an den News-Server. Der Betreff solcher Mails ist zum Beispiel:

encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
text RFRE rebibmTCDOzGbCjSZ

Die ersten vier Zeichen sind der Name des Plugins und die zweiten vier Zeichen die verschlüsselte Versionsnummer. Der Wurm sendet nicht nur Plugins zum Newsgroup-Server, sondern er schaut auch nach neueren Versionen seiner Plugins, die er herunterlädt. Der Wurm nutzt also alt.comp.virus für seine Erweiterung und Aktualiserung.
Hybris erzeugt auch Plugins als Dateien im Windows-System-Verzeichnis. Deren Namen sind zufällig gewählt. Beipiele:

BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA

Die bekannten Plugins sind unterschiedlich:
1. Infektion aller ZIP- und RAR-Archive in den Laufwerken C: bis Z:. Während der Infektion ändert er die Extension EXE in EX$. Zusätzlich fügt er in das Archiv eine Kopie seines Codes mit dem gleichen Namen und der Extension EXE ein.

2. Senden von Plugins an alt.comp.virus holen neuer Versionen von dort.

3. Verbreitung eines Virus auf Remote-Systeme auf denen das Backdoor SubSeven installiert ist. Mit Hilfe von SubSeven sendet er seinen Code.

4. Verschlüsselung der Plugins vor dem Senden.

5. Zufallsgesteuerte Auswahl von Betreff, Message-Text undb Name des Attachments infizierter E-Mails. Es folgen Beispiele.

Absender:

Hahaha <hahaha@sexyfun.net>

Betreff:
Snowhite and the Seven Dwarfs - The REAL story!
Branca de Neve pornô!
Enanito si, pero con que pedazo!
Les 7 coquir nains

Mail-Texte:
C'etait un jour avant son dix huitieme anniversaire. Les 7
nains, qui avaient aidé 'blanche neige' toutes ces années après
qu'elle se soit enfuit de chez sa belle mère, lui avaient promis
une *grosse* surprise. A 5 heures comme toujours, ils sont
rentrés du travail. Mais cette fois ils avaient un air coquin...

Today, Snowhite was turning 18. The 7 Dwarfs always where very
educated and polite with Snowhite. When they go out work at
mornign, they promissed a *huge* surprise. Snowhite was anxious.
Suddlently, the door open, and the Seven Dwarfs enter...

Faltaba apenas un dia para su aniversario de de 18 años. Blanca
de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos
le prometieron una *grande* sorpresa para su fiesta de
compleaños. Al entardecer, llegaron. Tenian un brillo incomun en
los ojos...

Faltava apenas um dia para o seu aniversario de 18 anos. Branca de
Neve estava muito feliz e ansiosa, porque os 7 anões prometeram uma
*grande* surpresa. As cinco horas, os anõezinhos voltaram do
trabalho. Mas algo nao estava bem...
Os sete anõezinhos tinham um estranho brilho no olhar...

Namen des Attachments:
enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe
sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe
blancheneige.exe
sexynain.scr
blanche.scr
nains.exe
branca de neve.scr
atchim.exe
dunga.scr
anão pornô.scr

Der Betreff kann auch eine Kombination folgender Texte sein:
Anna + sex
Raquel Darian sexy
Xena hot
Xuxa hottest
Suzete cum
famous cumshot
celebrity rape horny
leather ... e.t.c.

Name des Attachments:
Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebrity rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-f*cking.exe
amateurs.exe

Wichtig: Bekommen Sie E-Mails, prüfen Sie kritisch den Namen, des Absenders, den Betreff und den Namen des Attachments.


Virenscanner beschaffen

[mh]

zum SirCam siehe die oben angegebene Quelle

[mh]

Ich habe nun den Test gemacht. Hybris wird von Norton Antivirus erkannt. (selbst in Zip Archiven)