Seite 1 von 35 12311 ... LetzteLetzte
Ergebnis 1 bis 10 von 344

Thema: Aktuelle gefährliche Viren und kostenlose Antiviren-Programme

  1. #1
    Der mit dem Pinguin tanzt Avatar von Henrik
    Registriert seit
    28. November 2003
    Ort
    /home
    Beiträge
    3.332

    Icon4 W32.MyDoom.B@mm Wichtig !!

    Orginal von http://www.bsi.de/av/vb/mydoomb.htm


    Name: W32.MyDoom.B@mm
    Alias: Mydoom.B [F-Secure],
    W32/Mydoom.b@MM [McAfee],
    WORM_MYDOOM.B [Trend],
    Win32.Mydoom.B [Computer Associates],
    I-Worm.Mydoom.b [Kaspersky],
    W32/MyDoom-B [Sophos]
    Art: Wurm
    Größe des Anhangs: 29.184 Bytes, 6.144 Bytes (ZIP-Datei)
    Betriebssystem: Microsoft Windows
    Art der Verbreitung: Massenmailing
    Verbreitung: mittel
    Risiko: mittel
    Schadensfunktion: Massenmailing,
    Installation eines Backdoors,
    DoS Angriff
    Spezielle Entfernung: Tool
    bekannt seit: 28. Januar 2004

    Beschreibung:

    W32.MyDoom.B@mm ist eine Variante von W32.Novarg.A@mm, alias W32.MyDoom.A@mm.

    Der Wurm versendet sich in Dateien mit den Endungen .bat, .cmd, .exe, pif, .scr und .zip. Zusätzlich verbreitet er sich über den Downloadbereich des Peer-To-Peer-Netzwerks KaZaA.

    Wie sein Vorgänger, installiert auch MyDoom.B ein Backdoor-Programm, mit dem ein Zugriff auf den Rechner von aussen mögich ist. Es verwendet die Ports 80, 1080, 3128, 8080, und 10080 und ist in der Lage, weitere Programme aus dem Internet zu laden und auszuführen. Das Backdoor wird bei der Infektion des Systems als Datei Ctfmon.dll in das Systemverzeichnis von Windows kopiert. (%System%\Ctfmon.dll).

    MyDoom.B startet am 1. Februar 2004 ein DoS-Angriff gegen die Internetseite www.sco.com und am 3. Februar 2004 gegen www.microsoft.com.

    Der Wurm legt weiterhin die Dateien Message (%Temp%\Message) und Explorer.exe (%System%\Explorer.exe) an.
    Message enthält nicht lesbare Zeichen und wird bei der Infektion mit dem Windows-Programm Notepad angezeigt.
    Explorer.exe enthält das Wurmprogramm.

    Hinweis:
    %System% und %Temp% sind Systemvariablen, die den tatsächlichen Dateipfad enthalten. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

    Achtung:
    Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.

    Mit dem Registrierungsschlüssel

    HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
    oder
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    "Explorer" = "%System%\Explorer.exe"

    wird der Wurm MyDoom.B bei jedem Systemstart aktiviert.

    Mit einem weiteren Schlüssel

    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

    "(Default)" = "%System%\ctfmon.dll"

    aktiviert sich die Backdoor-Komponente beim Rechnerstart.

    Änderungen im Betriebssystem bewirken, dass verschiedene Internetseiten nicht mehr zugreifbar sind. Darunter sind viele Seiten von Antiviren-Herstellern. Die Internetseiten sind:

    ad.doubleclick.net
    ad.fastclick.net
    ads.fastclick.net
    ar.atwola.com
    atdmt.com
    avp.ch
    avp.com
    avp.ru
    awaps.net
    banner.fastclick.net
    banners.fastclick.net
    ca.com
    click.atdmt.com
    clicks.atdmt.com
    dispatch.mcafee.com
    download.mcafee.com
    download.microsoft.com
    downloads.microsoft.com
    engine.awaps.net
    fastclick.net
    f-secure.com
    ftp.f-secure.com
    ftp.sophos.com
    go.microsoft.com
    liveupdate.symantec.com
    mast.mcafee.com
    mcafee.com
    media.fastclick.net
    msdn.microsoft.com
    my-etrust.com
    nai.com
    networkassociates.com
    office.microsoft.com
    phx.corporate-ir.net
    secure.nai.com
    securityresponse.symantec.com
    service1.symantec.com
    sophos.com
    spd.atdmt.com
    support.microsoft.com
    symantec.com
    update.symantec.com
    updates.symantec.com
    us.mcafee.com
    vil.nai.com
    viruslist.ru
    windowsupdate.microsoft.com
    www.avp.ch
    www.avp.com
    www.avp.ru
    www.awaps.net
    www.ca.com
    www.fastclick.net
    www.f-secure.com
    www.kaspersky.ru
    www.mcafee.com
    www.microsoft.com
    www.my-etrust.com
    www.nai.com
    www.networkassociates.com
    www.sophos.com
    www.symantec.com
    www.trendmicro.com
    www.viruslist.ru
    www3.ca.com

    Wie sein Vorgänger, entnimmt auch MyDoom.B E-Mail-Adressen aus Dateien mit den Endungen .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt.

    Die E-Mail hat folgende Charakteristik:

    Von: <Adresse gefälscht>

    Betreff: <eine der folgenden>

    Returned mail
    Delivery Error
    Status
    Server Report
    Mail Transaction Failed
    Mail Delivery System
    hello
    hi

    Nachricht: <einer der folgenden>

    * sendmail daemon reported:
    Error #804 occured during SMTP session. Partial message has been received.
    * Mail transaction failed. Partial message is available.
    * The message contains Unicode characters and has been sent as a binary attachment.
    * The message contains MIME-encoded graphics and has been sent as a binary attachment.
    * The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

    Name des Anhangs:

    <zufällige Zeichen>

    Der Anhang enthält einen oder zwei Dateinamen-Erweiterungen:

    .htm
    .txt
    .doc

    Die zweite Erweiterung ist (oder bei nur einer Erweiterung)

    .pif
    .scr
    .exe
    .cmd
    .bat
    .zip

    Größe des Anhangs: 29.184 Bytes, 6.144 Bytes (ZIP-Datei)

    Im Download-Bereich von KaZaA legt sich der Wurm mit folgenden Dateinamen ab:

    icq2004-final
    Xsharez_scanner
    BlackIce_Firewall_Enterpriseactivation_crack
    ZapSetup_40_148
    MS04-01_hotfix
    Winamp5
    AttackXP-1.26
    NessusScan_pro

    Als Erweiterung verwendet er:

    .pif
    .scr
    .bat
    .exe

    Entfernung des Wurms MyDoom.B

    Bei den Betriebssystemen Windows ME oder XP, muß vor der Entfernung die Systemwiederherstellung deaktiviert werden.
    Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden.
    Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
    Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.

    Symantec (FxMydoom.exe): Direkt-Download oder Download mit englischer Beschreibung (FxMydoom.exe erkennt die A- und B-Variante des Wurms)
    NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung

    Generelle Hinweise:

    Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

    Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

    (Erstellt: 29.01.2004)

  2. #2
    Erklär-Bär Avatar von LigH
    Registriert seit
    19. April 2003
    Ort
    OPAL-Invalidengebiet Altmark
    Alter
    42
    Beiträge
    42.247

    Standard Re: W32.MyDoom.B@mm Wichtig !!

    Danke für die Informationen - aber so extrem umfangreich wären sie vielleicht nicht nötig gewesen...

    Um hier mit einem festen Beitrag zu Virusunformationen und Antiviren-Tools zu beginnen, habe ich den Titel des Beitrags geändert.

    Kostenlose Antiviren-Programme gibt es unter anderem hier:


    Auch bei Symantec gibt es oft aktuelle Cleaner für bestimmte Viren, jedoch meist keine Sammel-Programme für eine aktuelle In-The-Wild-Liste.

    Sonst noch Vorschläge?
    Geändert von LigH (2. February 2004 um 22:36 Uhr)

    Auf gute Zusammenarbeit:

    REGELN befolgen | SUCHE benutzen | FAQ lesen | STICKIES beachten




  3. #3
    Moderator Avatar von Morpheus
    Registriert seit
    12. April 2003
    Ort
    Krefeld
    Beiträge
    4.008

    Standard Re: Aktuelle gefährliche Viren und kostenlose Antiviren-Programme

    Hallo,
    AntiVir hat ein Scanner herrausgebracht mit den man die neusten Würmer aufspüren und entfernen kann. Ich häng ihn mal mit dran.
    Angehängte Dateien Angehängte Dateien
    MfG
    Morpheus

  4. #4
    Die eilige Intuition Avatar von Schlunz
    Registriert seit
    25. April 2003
    Ort
    Top Field
    Alter
    37
    Beiträge
    2.837

    Standard Re: Aktuelle gefährliche Viren und kostenlose Antiviren-Programme

    MyDoom.B startet am 1. Februar 2004 ein DoS-Angriff gegen die Internetseite www.sco.com und am 3. Februar 2004 gegen www.microsoft.com.
    Ist der denn dann ueberhaupt "gefaehrlich"?

    Excuse me please!
    Gruss, Peer

    Erkenne Dein Problem und geh dann hier...

    DVB-Essentials: ProjectX * MPEG2Schnitt * MPEGanalizzatore * Cuttermaran
    Wenn Katzen Pferde waeren koennten wir die Baeume hinaufreiten!
    Insanes numquam moriuntur. :-)

  5. #5
    Moderator Avatar von Morpheus
    Registriert seit
    12. April 2003
    Ort
    Krefeld
    Beiträge
    4.008

    Standard Re: Aktuelle gefährliche Viren und kostenlose Antiviren-Programme

    Hallo,
    vielleicht sind sie nicht umbedingt gefährlich für ein selber, aber ich muß es nicht haben das irgendwelche Angriffe auf fremde Server von meinem Rechner aus geführt werden.

    Außerdem möchte ich gefragt werden wenn sich etwas auf meinem Rechner installiert, bin in der Beziehung etwas konservativ.

    Der Angriff auf sco war ja ein voller "Erfolg" der Server ist down. Zumindest laut den news von Arcor
    MfG
    Morpheus

  6. #6
    Die eilige Intuition Avatar von Schlunz
    Registriert seit
    25. April 2003
    Ort
    Top Field
    Alter
    37
    Beiträge
    2.837

    Standard Re: Aktuelle gefährliche Viren und kostenlose Antiviren-Programme

    Si


    Aber Du hast schon recht, eigentlich gibt niemand gern die Kontrolle dermassen her...!
    Gruss, Peer

    Erkenne Dein Problem und geh dann hier...

    DVB-Essentials: ProjectX * MPEG2Schnitt * MPEGanalizzatore * Cuttermaran
    Wenn Katzen Pferde waeren koennten wir die Baeume hinaufreiten!
    Insanes numquam moriuntur. :-)

  7. #7
    Der mit dem Pinguin tanzt Avatar von Henrik
    Registriert seit
    28. November 2003
    Ort
    /home
    Beiträge
    3.332

    Standard Re: Aktuelle gefährliche Viren und kostenlose Antiviren-Programme

    Meldung vom 18.02.2004
    Variante des Bagle Wurm
    CT schreibt dazu:Zitat

    Ein Variante des Bagle-Wurms hat sich auf den Weg in die Postfächer von Anwendern gemacht. Die Hersteller von Antivirensoftware konnten sie sich diesmal auf keinen Namen für den Windows-Schädling einigen, weshalb ihn jetzt einige Worm.Bagle, W32.Beagle.B@mm, W32/Tanx.A, W32/Yourid.A oder gar W32.Alua@mm nennen. Anders als der wortgewaltige Wurm Sober.c, der die Empfänger mit deutschen Texten in Angst und Schrecken versetzte, präsentiert sich Bagle.B ziemlich plump mit "Yours ID x -- Thank", wobei das x eine zufällige Zeichenkette bezeichnet. Im Anhang steckt der Wurm in einer ausführbaren Datei mit zufälligem Namen.

    Von infizierten Systemen versendet sich der Wurm mit gefälschter Absenderadresse an weitere E-Mail-Adressen per eigener SMTP-Engine. Zusätzlich öffnet er auf Port 8866 eine Hintertür und sendet darüber eine Benachrichtigung an einen der Server www.47df.de, www.strato.de oder intern.games-ring.de. Der Wurm verbreitet sich nur bis zum 25. Februar.


    Ps:Also am besten per Firewall Port 8866 sperren.

    CT Artikel
    http://www.heise.de/newsticker/meldung/44728
    Gruß
    Henrik

    Arch Linux

  8. #8
    Hertha BSC Fan Avatar von Chrille
    Registriert seit
    18. July 2003
    Ort
    Ifo File *gg*
    Beiträge
    945

    Standard Re: Aktuelle gefährliche Viren und kostenlose Antiviren-Programme

    Apropo Ports.
    Wer Wissen will welcher Port was bewirkt, für den hab ich zwei Links:

    1) http://ports.tantalo.net/index.php?lng=de

    2) http://www.practicallynetworked.com/..._port_list.htm

    by
    Chrille
    Never change a running system!

  9. #9
    Der mit dem Pinguin tanzt Avatar von Henrik
    Registriert seit
    28. November 2003
    Ort
    /home
    Beiträge
    3.332

    Standard Re: Aktuelle gefährliche Viren und kostenlose Antiviren-Programme

    ....und es hört nicht auf
    http://www.heise.de/newsticker/meldung/45128

    Zitat:

    Neue Variante des Netsky-Wurms verbreitet sich schnell

    Nachdem am Wochenende gleich fünf neue Varianten des Bagle-Wurms entdeckt worden, gibt es jetzt auch eine neue Mutation des Netsky-Wurms, von Network Associates Netsky.d getauft. Der Schädling verhält sich ähnlich wie sein Vorgänger: Er verbreitet sich über eine eigene SMTP-Engine mit stets gefälschten Absenderadressen. Die D-Variante legt eine 17,424 Byte große Datei winlogon.exe im Windows-Systemverzeichnis an und schreibt einen Schlüssel in die Windows-Registry, um sich beim Hochfahren des Systems selbst zu starten. Als Nebeneffekt versucht der Wurm, eventuell vorhandene Hintertüren von MyDoom.a und MyDoom.b zu deaktivieren.

    Die meisten Antivirus-Hersteller wie Network Associates und Symantec haben bereits aktualisierte Virensignaturen zur Erkennung der neuen Netsky-Mutation. Die neue Netsky-Variante scheint sich rasant zu verbreiten: Die Scanner auf den Mail-Servern des Heise-Verlags registrierten über 400 mit dem Wurm verseuchte E-Mails innerhalb einer Viertelstunde nach Aktualisierung der Signatur-Dateien.

    Grundsätzlich gilt: Egal wie die Datei in einem Mailanhang heißt, man sollte sie nicht ungeprüft öffnen, anklicken oder ausführen. Auch wenn der Absender bekannt ist, kann die Mail den Wurm enthalten. Ohnehin sollten deutsche Anwender die -- allerdings stark variierenden -- englischen Betreffzeilen und Nachrichtentexte stutzig machen. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security......
    Gruß
    Henrik

    Arch Linux

  10. #10
    Der mit dem Pinguin tanzt Avatar von Henrik
    Registriert seit
    28. November 2003
    Ort
    /home
    Beiträge
    3.332

    Standard Re: Aktuelle gefährliche Viren und kostenlose Antiviren-Programme

    Mutierende Mail-Würmer im Tagesrhythmus [Update]
    zu lesen hier :http://www.heise.de/newsticker/meldung/45207
    Gruß
    Henrik

    Arch Linux

Seite 1 von 35 12311 ... LetzteLetzte

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Wichtig! Frage zu Tonformat!??!?!?
    Von Sharkfood im Forum Newbies
    Antworten: 2
    Letzter Beitrag: 8. December 2003, 01:04
  2. Wichtig against tcpa
    Von Fireblade im Forum Talk im Turm
    Antworten: 0
    Letzter Beitrag: 7. February 2003, 00:16

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •