Wurm verschickt sich selbst: Eine neue MyDoom-Variante nutzt Leck im Explorer!
Infektionskette funktioniert so ganz ohne "Doppelklick"! Microsoft Security-Patch & Sicherheitsupdates schützen Der deutsche Antivirenspezialist H+BEDV Datentechnik warnt alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor einer neuen Variante des MyDoom-Wurms. Im Gegensatz zu "konventionellen" Viren verbreitet sich "MyDoom.ah" nicht via E-Mail sondern nützt eine offene Lücke im Internet Explorer. Der Schädling öffnet den Port 1639 und ermöglicht so den Zugriff auf ein System. Dann kopiert sich der Wurm mit einem Zufallsnamen in das Systemverzeichnis, wobei die letzen zwei Zeichen des gewählten Namens immer "32" sind (xxx32.exe). Zum Abschluss versendet sich der Malicious-Code an alle Adressen, die er auf dem System findet. Sobald eine diese E-Mails einen ungepatchten Rechner erreicht, wird der Internet Explorer angewiesen, den Wurm vom Ursprungssystem nachzuladen. Auf diese Weise ist die Infektionskette in Gang gesetzt, ohne dass dazu auch nur ein "Doppelklick" erforderlich ist. H+BEDV empfiehlt dringend, den Microsoft Security Patch BID 11515 zu installieren und ein Update der eingesetzten Antivirensoftware durchzuführen. (pte) news.at |
Trojaner lockt Sex-Surfer auf Pornoseiten: Betreiber fangen die Kunden mit Schädling
Lenkt Besucher von Sex-Seiten auf andere Page um Pornoanbieter erhofft sich so offenbar Vorteil am Markt Der britische Security-Experte Sophos warnt vor einem neuen Trojaner, der User automatisch auf pornografische Seiten lockt. "Troj/Delf-IT" lauert in den Weiten des Webs, infiziert PCs und wartet darauf, dass der Surfer Webseiten mit bestimmten Schlagwörtern besucht. Sobald der Trojaner Hinweise bekommt, dass der Netz-Reisende eine Hardcore-Website besucht, lädt er schädlichen Code auf den befallen Rechner. Dieser Malicious-Code lenkt den Surfer automatisch auf eine andere pornografische Seite um. Delf kennt etwa 50 Schlagwörter, die ihn auf die Fährte des vermeintlichen Sex-Surfer setzt, darunter: "amateur", "barelylegal", "beauty", "bikini", "closeup", "domination", "extreme", "ladyboy, "lesbian", "lolita", "nympho", "outdoor", "spanked" und "pornstars". Laut Sophos können Wörter wie "outdoor" und "beauty" aber auch arglose Internet-Surfer auf pornografische Seiten umleiten. Es kann deshalb auch passieren, dass jemand, der sich eigentlich für Nordic Walking, Snowboarden oder andere Outdoor-Aktivitäten interessiert, plötzlich virtuell vom Weg abkommt. "Der Delf-Trojaner scheint absichtlich so programmiert zu sein, dass er Besucher von Webseiten mit 'zweifelhaften' Inhalten zu einer eigenen Site weiterleitet", erklärt Graham Cluley, Senior Technology Consultant bei Sophos. "Da es scheinbar immer noch möglich ist, mit pornografischen Webseiten Berge von Geld anzuhäufen, könnte es sein, dass sich einige Pornoanbieter mit dem Trojaner einen 'Wettbewerbsvorteil' verschaffen wollen", so Cluley. (pte) news.at |
|
HANDY-VIREN
Schädel aus Troja Es war nur eine Frage der Zeit: Nun gibt es die ersten Handy-Trojaner. Die Software Skulls gibt sich als Programm zur Gestaltung der Bedienmenüs aus. Tatsächlich aber legt sie rasch fast alle Funktionen lahm. ... http://www.manager-magazin.de/untern.../a-329185.html |
15.12.04 |
Führende Hersteller von Anti-Viren-Software haben erneut vor elektronischen Weihnachtsgrüßen gewarnt. Der Wurm „Zafi.D“ verbreite sich derzeit verpackt in einer vorweihnachtlichen Grußkarte, teilten unter anderen F-Secure und Sophos mit. Er ermöglicht Hackern den Zugriff auf infizierte Rechner. ... http://focus.msn.de/hps/fol/newsausg...be.htm?id=9489 |
Symantec warnt vor neuem Virus
Der Sicherheits-Softwarespezialist Symantec hat eine Warnung zu dem Schädling „Phel“ ausgesprochen. Demnach würde sich Phel über eine Sicherheitslücke im Windows-Betriebssystem XP verbreiten. Der Virus werde beim Besuch von speziell aufbereiteten Webseiten eingefangen. Symantec spricht jedoch von einer vergleichsweise geringen Gefahr, zumal sich Phel aufgrund eines Programmierfehlers meist fehlerhaft installiere. Schutz würde die Installation des Service Pack 2 für Windows XP garantieren. Börse Go |
Media Player als Virenschleuder: Trojaner
"Downloader" versteckt sich in Videos! Internet-Bösewicht lädt Spyware, Dialer und Viren nach Zwei neue Trojaner verbreiten sich als Videodateien! Das Virenlabor des deutschen Konzerns Panda Software warnt vor den Schädlingen "Downloader.A" und "Downloader.B". Infizierte Videos haben die Dateiendung ".wmv" und sind angeblich durch Lizenzen der Firmen overpeer (Trj/WmvDownloader.A) oder protectedmedia (Trj/WmvDownloader.B) geschützt. Die Namen der Video Dateien variieren sehr stark, sie können nicht nur durch P2P-Systeme wie KaZaA oder eMule herunter geladen werden sondern sich auch in Dateianhängen von e-Mails oder in FTP Downloads verbergen. Beim Start einer infizierten Videodatei wird der User aufgefordert, die entsprechende Lizenz von bestimmten Webseiten zu holen. Die beiden Trojaner leiten den Anwender dann auf andere Webseiten um, von denen jede Menge Adware, Spyware, Dialer und Viren automatisch heruntergeladen werden. Beide Trojaner nutzen das in den Microsoft Windows Media Player integrierte "Windows Media Digital Rights Management (DRM)", das eigentlich die Verwendungsrechte der Videos und Musiktitel verwalten sollte. Sobald der Anwender eine DRM-geschützte Windows Media Datei abspielen will, fragt die Technologie eine Lizenz ab. Ist diese Lizenz nicht auf dem Rechner hinterlegt, kann danach online gesucht werden, so dass der Nutzer diese dort erwerben kann. Und genau diesen Mechanismus nutzen die Trojaner aus. (apa) Quelle: news.at |
MS Windows-Tool zum Entfernen bösartiger Software 1.0
http://www.soft-ware.net/system/date...rus/p04543.asp |
Trojaner in gefälschten Telekom-E-mails unterwegs
Quelle: http://www.heise.de/newsticker/meldung/55183 |
Makabere Masche: Neuer Wurm tarnt sich als Spendenaufruf für Flutopfer in Asien!
Tsunami: Hilfsbereitschaft der Leute missbraucht Vorsicht vor Mails mit "Tsunami Donation!"-Betreff! Im Internet kursiert derzeit ein Computervirus mit einer besonders makabren Masche: "W32/VBSun-A" tarnt sich als Spendenaufruf für die Opfer der Flutkatastrophe in Südostasien, warnte die deutsche Sicherheitsfirma Sophos in einer Aussendung. Sobald das Attachment ausgeführt wird, verbreitet sich der Wurm nicht nur über das Internet an andere User, sondern startet außerdem eine Denial-of-Service-Attacke, mit Hilfe derer eine deutsche Hacker-Website lahm gelegt werden soll. Die Betreffzeile der verseuchten E-Mails lautet: "Tsunami Donation! Please help!", berichtete Sophos. Nach dem Öffnen erscheint die Nachricht: "Please help us with your donation and view the attachment below! We need you!". Der Wurm selbst versteckt sich im Attachment "tsunami.exe". "VBSun-A" ist nicht der erste Virus, der bei seiner Verbreitung versucht, aus der Flutkatastrophe einen Vorteil zu schlagen. Bereits Anfang des Monats begann der Wurm "VBS/Gevben-B", die geschmacklose Nachricht zu verbreiten, die Flutkatastrophe sei "Gottes Strafe für alle bösen Menschen auf Erden", so Sophos. Des Weiteren gebe es eine Menge an verbrecherischen Spam-Mails, die einzig darauf aus waren, den Usern das Geld aus der Tasche zu ziehen. (apa) news.at |
Wurm mit Backdoor-Trojaner-Komponente:
"Baba" versendet sich selbst via Outlook! Durch die Hintertür können Fremde den PC kontrollieren Vorsicht: Öffnen Sie keine verdächtigen Nachrichten! Der britische Security-Experte Sophos warnt vor einem neuen Massenmailing-Wurm, der einen Backdoor-Trojaner mit sich führt. Die Trojaner-Komponente soll es Dritten ermöglichen, die Kontrolle über infizierte Computer zu übernehmen. "W32/Baba-C" verbreitet sich via E-Mail und verwendet dazu seine eigene SMTP-Engine. Nach der Attacke sucht er in allen auffindbaren Outlook-Adressbüchern nach neuen Adressen, an die er sich anschließend weiter versendet. Nach der Infektion legt Baba-C einer Trojaner im Ordner C:/ des infizierten Computers ab und fügt einen Registrierungseintrag hinzu. Dieser Eintrag startet die Komponente bei der Computeranmeldung. Weiters erzeugt er die harmlose Textdatei "csrss.bin" im gleichen Ordner. Anschließend versucht der Wurm E-Mail-Adressen in Dateien mit folgenden Erweiterungen aufzuspüren: ASP, CGI, DAT, DBX, DOC, EML, HTM, HTML, MBX, PHP, RTF, TBB, TXT, WAB und INBOX. Die Betreffzeile der Mails lautet dabei immer: "Important! XXX sites found on your computer! ". Das Attachement beinhaltet den Text: "quick shortcut to evidence cleaner length %d bytes evidence-cleaner-system.com". Wobei %d immer eine Dezimalzahl ist. Laut Sophos ist die Verbreitung des neuen Wurms derzeit noch gering. Trotzdem empfehlen die Virenexperten alle vorhandenen Virensignaturen zu aktualisieren. Auf seiner Homepage bietet Sophos eine aktuelle Virenerkennungsdatei (IDE) zum Downloaden, mit der Sophos Anti-Virus Baba-C erkennen und desinfizieren kann. (pte) news.at |
Extrem gefährlicher Internet-Wurm: Neue Bagle-Variante kommt via Mail und P2P!
Bagle kann Antiviren- und Firewall-Programme beenden Er versendet sich sofort an alle E-Mail-Adressen weiter Der deutsche Antivirenspezialist H+BEDV Datentechnik warnt alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor einer neuen Variante des Bagle-Wurms. "Bagle.AX" verbreitet sich mit sehr hoher Geschwindigkeit via E-Mail- und P2P-Versand. Das Schadens- und Verbreitungspotenzial des Schädlings wird von den Virenexperten als extrem hoch eingeschätzt. Der Wurm verbreitet sich über Peer-To-Peer (P2P)-Netzwerke und via E-Mail mit Hilfe seiner eigenen SMTP-Engine. Nach erfolgreicher Attacke durchsucht er die lokalen Festplatten und versendet sich umgehend an alle gefundenen Adressen. Beim Versenden sucht er auf dem System nach Verzeichnissen, die den Textstring "SHAR" enthalten und kopiert sich in die jeweiligen Ordner. Bagle ist in der Lage verschiedene Prozesse wie Antiviren- und Firewall-Programme zu beenden und bestimmte Einträge in der Windows-Registry zu löschen. Die vom Wurm versendeten E-Mails nennen als Absender "%spoofed%" und als Betreff "Delivery by mail", "Delivery service mail", "is delivered mail", "registration is acepted" oder "you are made activate". Der E-Mail-Text lautet: "Before use read the help" oder "thanks for use of our". Der Anhang kann unterschiedliche Dateinamen besitzen. Die Dateierweiterung aus .com, .cpl, .exe oder .scr wird zufällig ausgewählt. (pte) news.at |
TREND MICRO löst Yellow Alert aus:BROPIA.F verbreitet sich über Instant Messaging
TREND MICRO löst Yellow Alert aus:BROPIA.F verbreitet sich über Instant Messaging TREND MICRO (NASDAQ: TMIC, TSE 4704) hat einen globalen Yellow Alert ausgelöst, um die Ausbreitung von WORM_BROPIA.F zu verhindern. Der Malicious Code verbreitet sich über den MSN Messenger, eine der populärsten Instant Messaging (IM) Plattformen. Nach der Infektion eines Systems versucht WORM_BROPIA.F, Kopien von sich an alle aufgefundenen Online-Kontakte zu versenden. Dabei tarnt sich der Wurm als Bilddatei und verwendet verschiedene, neugierig machende Namen. Tatsächlich erhalten Anwender das Foto eines gebratenen Hühnchens, auf dem sich die Umrisse eines Bikinis abzeichnen. Der Schadteil (Payload) umfasst darüber hinaus den AGOBOT-Wurm, der auf infizierten Systemen Hintertüren öffnen kann. Bislang wurde TREND MICRO das Auftreten von WORM_BROPIA.F aus den USA, Taiwan, China und Korea gemeldet. Nach dem Start legt der Speicher-residente Wurm zunächst eine Kopie von sich im Windows-Systemordner ab und versucht daraufhin, sich an andere Anwender des MSN Messenger zu versenden. Die infizierten Dateien können einen der folgenden Namen tragen: * Bedroom-thongs.pif * Hot.pif * LMAO.pif * LOL.scr * Naked_drunk.pif * New_webcam.pif * ROFL.pif * Underware. Pif * Webcam.pif Darüber hinaus wird die Datei "SEXY.JPG" ausgeführt. Das Foto zeigt ein gebratenes Huhn, das im Ofen offensichtlich einen Bikini getragen hat. Auf dem infizierten System legt WORM_BROPIA.F zudem ein Bot-Programm ab, das von TREND MICRO als WORM_AGOBOT.AJC erkannt wird. Dieser Malicious Code installiert eine Backdoor (Hintertür) und ermöglicht so die Ausführung von Aktionen durch einen Hacker. WORM_AGOBOT.AJC verfügt außerdem über die Fähigkeit, die Windows Produkt ID sowie CD-Schlüssel bestimmter anderer Applikationen zu stehlen. "Viele Unternehmen blockieren bereits die Verwendung von Instant Messaging Programmen durch ihre Mitarbeiter. Dabei stand bislang der Schutz der Produktivität im Vordergrund. WORM_AGOBOT.AJC beweist jetzt, dass IM auch hinsichtlich der Unternehmenssicherheit streng kontrolliert werden muss", so David Kopp, Leiter der EMEA TrendLabs bei TREND MICRO. "Aufgrund der übergreifenden Popularität von Instant Messaging dürften aktuell vor allem Privatanwender gefährdet sein. Der Wurm setzt gezielt Humor ein, um Nutzer über die Infektion ihres Systems und die Installation von Backdoors hinwegzutäuschen." Die mit WORM_BROPIA.F infizierte Datei hat eine Größe von 19KB. Gefährdet sind Systeme mit Windows 95, 98, ME, NT, 2000 und XP. TREND MICRO stellt Pattern-Files zum Download bereit Kunden von TREND MICRO sind ab dem Pattern-File 2.390.00 vor WORM_BROPIA.F geschützt. Anwender der TREND MICRO Outbreak Prevention Services sollten zudem die OPP 144 herunterladen, um der Verbreitung des Wurms entgegenzuwirken. Im Rahmen der TREND MICRO Damage Cleanup Services wird ab sofort das Damage Cleanup Template 505 bereitgestellt, mit dem BROPIA.F zuverlässig von befallenen Systemen entfernt werden kann. Darüber hinaus bietet TREND MICRO unter http://de.trendmicro-europe.com/ente...all_launch.php einen kostenlosen Online-Scanner für alle Computernutzer. Weitere Informationen zu BROPIA.F finden sich unter http://de.trendmicro-europe.com/ente...=WORM_BROPIA.F |
SADDAM-VIRUS
Mehrere Hersteller von Virenschutzsoftware warnen derzeit vor dem Wurm "Bobax-H". Dieser versteckt sich in einer eMail als angebliches Beweisfoto für den Tod Saddam Husseins. Offensichtlich kann sich der Virus selbständig über Internet verbreiten. Wer mit einem ungeschützten Computer im Internet surft, läuft leicht Gefahr, sich den Bösewicht ins System zu holen. Hacker bekommen Fernsteurung Einmal im System, deaktiviert der Wurm zunächst alle vorhandenen Sicherheitsprogramme und verschickt sich selbst an alle eMail-Adressen weiter, die er auf dem befallenen Computer findet. Über eine spezielle Programmroutine können Hacker die verseuchten PC ferngesteuert für weitere Attacken missbrauchen. Schutzprogramme aktualisieren Zum Schutz vor dem neuen Wurm sollten Internet-Surfer ihren PC mit den aktuellen Patches für Windows und Internetexplorer ausrüsten. Zur Kontrolle des Datenverkehrs sollte zudem eine Firewall installiert sein und die Virenschutzsoftware auf den neuesten Stand gebracht werden. Unterschätztes Risiko: Spyware PC-Nutzer werden ausspioniert - ohne dass sie es merken. Bei Stichproben unter 4100 Teilnehmern zählten die Sicherheits-Profis von Webroot Software durchschnittlich 20 Spionage-Programme pro Rechner.Viele Anwender, so Webroot, sind sich der Gefahr nicht bewusst, installieren Programme aus zwielichtigen Quellen oder sind für den Web-Ausflug unzureichend geschützt. Sind Sie sicher? Viele Computer-Nutzer besitzen eine Virenschleuder, ohne es zu wissen. Erst wenn sich Freunde und Kollegen über verseuchte eMails oder Viren auf selbst gebrannten CDs beschweren, kommt die Wahrheit ans Licht. Quelle: t-online |
Wurm "Mydoom.AK" stoppt Firewalls und Antivirenprogramme
Quelle: http://www.zdnet.de/news/security/0,...9130244,00.htm |
Neue "MyDoom"-Variante verbreitet sich rasant: Wurm bedroht unsere Computer!
Schädling öffnet ein Hintertürchen für Hacker am PC Öffnen Sie niemals verdächtigen E-Mail-Nachrichten! Vor einem neuen Internet-Wurm, das in Asien bereits massiv unterwegs ist, warnt die österreichische Virenschutz-Softwarefirma Ikarus: Es handle sich dabei um eine MyDoom-Variante, die sich wie ihre Vorgänger über einen eigenen smpt-Server verbreitet und sich an E-Mail-Adressen verschickt, die sie aus dem Adressbuch, temporären Internet-Dateien und der Festplatte "ausliest". Im Gegensatz zu seinen Vorgängern ist der Wurm jedoch nicht UPX, sondern MEW komprimiert. Damit nicht genug, führt der Wurm auch Backdoor-Funktionalitäten "im Gepäck", warnte Ikarus: Die von dem Wurm infizierten Maschinen werden dadurch ein leichteres Ziel für Angriffe bzw. Zugriffe durch potenzielle Hacker. Der Wurm installiert eine services.exe-Datei im Windows-Verzeichnis, öffnet den TCP port 1034 bei infizierten PC/Servern und wartet auf Verbindungen von "draußen". Vorsicht ist bei E-Mails mit folgendem Aussehen geboten: From: absender@absender.com - der Wurm verwendet wahrscheinlich auch eine Fehlermeldung, wonach ein Mail nicht zugestellt werden konnte -, Mailer-daemon@xxxx.domain; noreply@xxxx.domain; postmaster@xxx.domain. "xxxx" steht für einen zufälligen Namen, den das Virus vom infizierten System übernimmt. Auch solche Absender werden vom Wurm verwendet: "Postmaster", "Mail Administrator", "Automatic Email Delivery Software", "Post Office", "The Post Office", "Bounced mail", "Returned mail", "MAILER-DAEMON" und "Mail Delivery Subsystem". Im "Betreff" ist Vorsicht geboten unter anderem bei: "delivered", "hello", "hi", "error", "status", "test", "report" oder "delivery failed". Im Mailtext kommen folgende Wendungen vor: "Dear User of ...", "We have received reports that your accout was used to send a large amount of junk", "Email messages during the last week", "Probably, your computer had been compromised and now contains a hidden proxy server", "Please follow the instruction in the attached file in order to keep your computer safe", "Have a nice day ... user support team". MyDoom googelt Mail-Adressen Im Attachment kommen vor: exe, com, scr, pif, bat, cmd. Es kann auch passieren, dass Internet-User den Wurm als ZIP- oder Doppel-ZIP-Datei erhalten, die dann eine dieser Dateien enthält. In manchen Fällen generiert das Virus auch Doppeldatei-Endungen, wobei das Virus jedoch zwischen den beiden Endungen viele Leerschritte einfügt. Für die Doppel-Datei Endungen verwendet das Virus die Dateitypen doc, txt, htm und html. Der Wurm greift auch auf bekannte Suchmaschine wie Google und Yahoo zu, um potenzielle E-Mail-Adressen zu finden. Um seine Entdeckung möglichst lang zu verzögern, verschickt sich der Wurm nicht an E-Mail-Adressen, in denen er unter anderem folgende Begriffe findet: spam, abuse, master, sample, account, privacy, certific, bugs, listserv, submit, support, admin, not, help, soft, site, me, you, your, some- oder anyone, nothing, nobody, info, winzip, update, domain, example oder microsoft. Sollte es dem Wurm gelingen, ein System zu infizieren, installiert er sich als java.exe im Windows-Verzeichnis und installiert zusätzlich die Datei services.exe im selben Pfad. Findet er dabei ein anderes System, das infiziert werden kann, wird die IP-Adresse dieses Systems in einem verschlüsseltem File mit den Namen "zincite.log" abgelegt. (apa/red) news.at |
Gefinkelt: Ein Wurm warnt vor sich selbst - Der angebotene Security-Patch ist infiziert
Betroffene Rechner verschicken den Wurm weiter "Sober.K" wurde binnen drei Stunden 1.400 Mal aktiv Ein englischer Service-Provider für E-Mail-Sicherheit (http://www.messagelabs.com) warnt vor einer neuen Version des Sober-Virus. "W32.Sober.K-mm" ist in der Lage, Warnungen verschiedener Anbieter von Antiviren-Lösungen anzuzeigen, die sich genau auf die neue Version des Virus beziehen. Dadurch sollen User verleitet werden, das beigefügte Attachement zu öffnen um angeblich einen neuen Patch herunter zu laden. Um das Schadprogramm auszuführen muss der Empfänger den E-Mail-Anhang zuerst öffnen. Anschließend sucht der Virus auf dem infizierten Rechner nach E-Mail-Adressen und versendet sich selbstständig in Form einer deutschen oder englischen Mitteilung. Der Virus installiert auf dem infizierten Rechner mehrere ausführbare Dateien mit den Namen "csrr.exe", "winlogon.exe" und "smss.exe". Dann modifiziert er den Registry-Key so, dass er beim Start des Rechners immer automatisch ausgeführt wird. Zum Abschluss werden die Inhalte der Datei "systemdrive%/windows/temp/doc_data-text.txt" in Programm Notepad angezeigt. "Sober.K" ist ein Mass-Mailing-Virus, der sich selbst via E-Mail-Attachement verschickt. Der Virus wurde heute, Montag, identifiziert und stammt aus Deutschland. Gleichzeitig tauchte "Sober.K" laut MessageLabs aber auch in Frankreich, den USA und Großbritannien auf. Innerhalb von nur drei Stunden sind dem Security-Experten bisher 1.400 Exemplare des neuen Wurms ins Netz gegangen. (pte) news.at |
Neue Wurm-Epidemie: Varianten von Bagle
machen im Augenblick das Web unsicher! Besonderheit: Bagle fehlt eine Vermehrungsfunktion Die vom Wurm attackierten Systeme sind schutzlos Bagle-Varianten lösten eine neue Wurm-Epidemie im Internet aus! Die Abarten des bereits bekannten Netzwurms "Email-Worm.Win32.Bagle" machen im Augenblick das Web unsicher. Wie der Virenexperte Kaspersky mitteilte, stellen alle Modifikationen Tarnvarianten des selben Programms dar! Eine Besonderheit ist das Fehlen der Vermehrungsfunktion. Diese Ausführung, die zur Klasse "intended"-Würmer zählt, schließt die selbstständige Vermehrung des Schadcodes durch den infizierten Computer aus. Das massenhafte Aufkommen der Bagle-Modifikationen im E-Mail-Verkehr bestätigt die Vermutung, dass die Epidemie durch Spam-Versand hervorgerufen wurde. Schwere Identifizierung des Wurms Die neuen Bagle-Varianten wurden via E-Mail als Anhang versandt. Der Wurm wird unter Windows ausgeführt und ist an einen Brief mit frei gewählter oder fehlender Überschrift und Text angehängt. Name, Format und Größe der angehängten Datei ist ebenso frei gewählt. Das erschwert die Identifizierung des Wurms anhand formaler Merkmale. Bagle stoppt die Schutzprogramme Die Aktivierung erfolgt auf Initiative des Anwenders, der den Brief-Anhang öffnet und damit die infizierte Datei startet. Nach dem Start kopiert sich der Wurm in das System-Verzeichnis von Windows und registriert sich im Schlüssel für den automatischen Start des System-Registers. Dabei unterbricht das Schadprogramm jene Prozesse, die für die Sicherheit des Computers und lokaler Netzwerke Sorge tragen. Das attackierte System ist somit ungeschützt. (apa/red) news.at |
|
TREND MICRO löst Yellow Alert aus: KELVIR.B und FATSO.A greifen MSN Messenger an TREND MICRO (NASDAQ: TMIC, TSE 4704) hat einen globalen Yellow Alert ausgelöst, um vor zwei neuen Würmern zu warnen, die sich über die populäre MSN Messenger Plattform verbreiten. Bislang wurde TREND MICRO das Auftreten von WORM_KELVIR.B und WORM_FATSO.A aus Europa, den USA und dem asiatisch-pazifischen Raum gemeldet. Die beiden Würmer stehen wahrscheinlich nicht in Verbindung miteinander, verwenden aber die selbe Verbreitungsmethode: An MSN Messenger Kontakte werden Nachrichten mit Links zu bestimmten Websites versendet. Sobald ein argloser Anwender den Link aufruft, beginnt der Download des Wurms. Im Fall von WORM_KELVIR.B wird nach dem Start des Wurms unter Umständen ein zusätzliches Bot-Programm heruntergeladen, das Hintertüren auf dem infizierten System öffnet. Die speicherresidenten Würmer KELVIR.B und FATSO.A versuchen sich an alle MSN Messenger Kontakte zu verbreiten, die auf dem infizierten System zu finden sind. Dazu werden Instant Messages verschickt, die Links zu einer oder mehreren Websites enthalten. Sobald der Empfänger auf den Link klickt, beginnt der Download einer Wurmkopie auf sein System. WORM_FATSO.A verbreitet sich zudem auch über eMule, einer Peer-to-Peer-Applikation für den Dateiaustausch. Die Ähnlichkeiten zwischen den Würmern könnten darauf beruhen, dass in beiden Fällen MSN Verbreitungscode verwendet wurde, der aus Internet-Foren der Malware-Szene stammt. WORM_FATSO.A hinterlässt darüber hinaus verschiedene Dateien auf den befallenen Systemen. Zu den verwendeten Dateinamen gehören "Fat Elvis! Lol.pif", "Jennifer Lopez.scr", "How a Blonde Eats a Banana.pif" und "Topless in Miniskirt!lol.pif". Bei einer der abgelegten Dateien handelt es sich um einen Text mit einer persönlichen Botschaft an "Larissa", den Programmierer bzw. die Programmiererin des Mitte Februar entdeckten WORM_ASSIRAL.A. Der Malicious Code wurde konzipiert, um Varianten des BROPIA-Wurms zu deaktivieren, die sich seit Anfang diesen Jahres über MSN Messenger verbreiten. WORM_ASSIRAL.A verbreitete sich als Email-Dateianhang und zeigte auf infizierten System folgenden Text an: "Larissa - Anti-Bropia - Freeing the world of Bropia". Darauf antwortet der Programmierer des FATSO-Wurms jetzt mit der Nachricht: "Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king Saving the world from Bropia, the world n33ds saving from you! '-S-K-Y-'-D-E-V-I-L-'" "Diese Virenprogrammierer sind wie Jugendliche in Straßenbanden, die ihr Territorium markieren und rivalisierende Gruppen beschimpfen - nur dass hierfür eben Malicious Codes verwendet werden und keine Graffitis", kommentiert Jamz Yaneza, Senior Virus Researcher bei TREND MICRO. "Die wirklichen Verlierer in diesem Spiel sind die Endanwender, die vielleicht gar nicht bemerken, dass Systeme infiziert oder Hintertüren zum Netzwerk geöffnet werden." Die mit WORM_KELVIR.B infizierte Datei hat eine Größe von 46KB. WORM_FATSO.A hat eine Dateigröße von 17 KB und ist unter Umständen im MEW-Format komprimiert. Beide Malicious Codes gefährden Systeme mit Windows 95, 98, ME, NT, 2000 und XP. TREND MICRO stellt Pattern-Files zum Download bereit Kunden von TREND MICRO sind ab dem Pattern-File 2.476.00 geschützt. Anwender der TREND MICRO Outbreak Prevention Services sollten zudem die OPP 154 herunterladen, um der Verbreitung der Würmer entgegenzuwirken. Im Rahmen der TREND MICRO Damage Cleanup Services wird ab sofort das Damage Cleanup Template 551 bereitgestellt, mit dem befallene Systeme wiederhergestellt werden können. Für die TREND MICRO Network VirusWall ist Version 10189 auf den Active Update Servern verfügbar. Darüber hinaus bietet TREND MICRO unter http://de.trendmicro-europe.com/ente...all_launch.php einen kostenlosen Online-Scanner für alle Computernutzer. |
Wurm geht Raubkopierern an den Kragen: Nopir-B löscht MP3-Dateien am Rechner!
Sophos: Kein Zweifel an kriminellem Wesen des Wurms Nopir verbreitet sich über Musik-Tauschbörsen im Web Ein neuer Wurm geht den MP3-Sammlungen der User an den Kragen! Der aus Frankreich stammende Wurm Nopir-B verbreitet sich über Tauschbörsen, in denen er sich als gehacktes Programm zum Erstellen kommerzieller DVDs tarnt. Tatsächlich erscheint am Bildschirm aber ein Motiv gegen Raubkopierer, während der Wurm versucht, alle MP3-Dateien zu löschen, verschiedene Dienstprogramme zu deaktivieren und .COM-Programme zu entfernen. Nopir-B hat es auf User abgesehen, die sich Raubkopien aus dem Internet herunter laden. Der Schädling unterscheidet dabei aber nicht zwischen Raubkopierern und Leuten, die selbst MP3-Dateien erstellt haben. "Egal von welcher Seite man es betrachtet, es gibt keinen Zweifel am kriminellen Wesen dieses Wurms - er wurde entwickelt, um Schaden auf Windows-Computern anzurichten," so Graham Cluley, Senior Technology Consultant beim Antiviren-Spezialisten Sophos. Zum Glück hat sich Nopir-B noch nicht weit verbreitet. Wer aber Wert auf seine Musiksammlung legt, sollte dafür sorgen, dass sein Antiviren-Programm am neuesten Stand ist. (red) news.at |
Handy-Virus "Cabir": Bereits in zwanzig Ländern tausende Handys befallen
Quelle: http://de.news.yahoo.com/050429/286/4iwek.html |
Montag, den 02.05.05 23:11
Gelber Alarm: Wurm verspricht WM-Tickets ... http://www.onlinekosten.de/news/arti...cht-WM-Tickets |
der ist ja besonders FIES ! :mad::flop:
|
Montag, den 09.05.05 19:42
Neuer PC-Wurm löst gelben Alarm aus ... http://www.onlinekosten.de/news/arti...lben-Alarm-aus |
Nazi-Spam-Flut ohne Ende: Sober plant eine neue Attacke auf die User am Montag!
Experten: Der Schädling wird Programmteile nachladen Sober hat das Internet derzeit fest im Griff. Alle paar Minuten trudeln fremdenfeindliche E-Mails in den Postkästen ein. Ein Ende der Spam-Flut ist noch nicht absehbar. Und es kommt noch dicker: Am kommenden Montag wird der Trojaner Sober.P, alias Sober.Q, weitere Programmteile aus dem Internet nachladen, warnen die Experten. Internet-Nutzer sollten in jedem Fall ihre Virenschutz-Programme rechtzeitig aktualisieren, rät das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Wurm könne nur dann aktiv sein, wenn er unbemerkt bleibe. Derzeit sei noch nicht klar, welche Auswirkungen durch den auch als Sober.Q bezeichneten Wurm am Montag zu erwarten sind. Programmteile werden nachgeladen Die Sicherheitsexperten stellten bei der Analyse des Programm-Codes fest, dass das so genannte Trojanische Pferd ab dem 23. Mai dazu programmiert ist, selbstständig im Internet nach neuen Programmteilen zu suchen und diese nachzuladen. Möglicherweise werde auf diese Weise ein neuer Schädling in Umlauf gelangen, schätzt das BSI. Betroffen sind alle Nutzer des Betriebssystems Windows in den Versionen 95, 98, ME, NT, 2000, XP sowie Windows Server 2003. Nachfolger des WM-Ticket-Wurms Der neue Wurm ist ein Nachfolger des so genannten WM-Ticket-Wurms. Dieser hatte Anfang Mai das Kommunikationssystem des WM-Organisationskomitees in Deutschland vorläufig komplett lahm gelegt. Der Schädling hatte sich massenhaft als E-Mail verbreitet und in einwandfreiem Deutsch den Adressaten suggeriert, Eintrittskarten für das Turnier erhalten zu haben. Beim Öffnen des Anhangs wurde er aktiv. Inzwischen hat auch er Programmteile nachgeladen und belästigt in einer neuen Variante bis heute zahlreiche Nutzer weltweit mit nationalsozialistischer Propaganda. Quelle: APA |
|
Schenken wir doch diese Würmer Madamme Saida, die kann sie sicher gut gebrauchen für ihren Nachwuchs :D
|
Star Wars-Wurm vs. Instant Messenger: Hacker könnten die Kontrolle übernehmen!
Schädling kursiert in Programmen von AOL und Yahoo Nachrichten mit Links auf Phishing-Website verschickt Ein fieser Trick in Zeiten des Star Wars-Hypes: Neue Schädlinge, die in den Instant Messenger-Anwendungen von Yahoo und AOL kursieren, haben es auf Star Wars-Fans abgesehen. Nachrichten, in denen es um die "Episode III" geht, sollen die User dazu verführen, einen Wurm herunterzuladen oder auf gefälschte Websites zu gehen, auf denen Phisher Daten klauen. Der AOL-Wurm "WORM/FUNNY.MOVIE.AOL" verschicht die Nachricht mit dem Wortlaut "hehe, i found this funny movie". Ein enthaltener Link führt zu einer Website, von der aus eine neue Variante des Gaobot-Wurms auf den Computer geladen wird. Ist der PC erst einmal infiziert, können Hacker die Kontrolle übernehmen. Außerdem verschickt er die Nachricht an alle IM-Kontakte weiter. Der Yahoo-Messenger ist hingegen von Phishing-Attacken betroffen, wie das Online-Portal ZDNet berichtet. Das in Nachrichten enthaltene Wort "Stargames" verlinkt auf eine Phishing-Website, die dem Design der Yahoo-Site nachempfunden ist. Die Login-Daten der User werden hier geklaut. (red) Quelle: news.at |
Gefährlicher Trojaner im Umlauf: Experten warnen vor einer neuen Bagle-Variante!
Der neue Schädling verbreitet sich selbst über E-Mail Beeinträchtigt die Lauffähigkeit von Anti-Viren-Software Computerexperten haben vor einem neuen Virus der "Bagle"-Familie gewarnt. Der Trojaner namens TR/Dldr.Bagle.BR habe ein äußerst hohes Schadens- und verbreitungspotential, teilte die Softwarefirma H+BEDV Datentechnik mit. Betroffen seien Anwender der aktuellen Windows-Betriebssysteme. Der Schädling verbreitet sich demnach per E-Mail und lädt weitere Komponenten aus dem Internet nach. Wird der Trojaner ausgeführt, versteckt er im Windows Systemverzeichnis einen so genannten Downloader, der die Lauffähigkeit von Antiviren- und Sicherheitssoftware beeinflussen kann. "Bagle" enthält eine Liste mit Internetadressen (URLs), von denen er weitere Komponenten nachladen kann. (apa/red) news.at |
Osama Bin Laden als E-Mail: Virus ködert die User mit seiner angebliche Verhaftung!
Tatsächlich enthält Mail-Attachment aber einen Trojaner An ersten Tag eine Million verseuchte E-Mails verschickt Ein neuer Virus macht sich die Popularität von Al Kaida-Anführer Osama Bin Laden zu nutze. Eine Mail verspricht dem Empfänger Fotos von der Verhaftung des Terror-Chefs. Allerdings: Wer das Attachment öffnet, infiziert sich mit dem Schädling! ... http://www.news.at/articles/0522/542...ser-verhaftung |
Neuer Trojaner klaut sensible Daten: Usernamen und Passwörter nicht sicher!
Ein animierter Löwe erscheint nach dem Download Im Hintergrund klaut der Trojaner die geheimen Daten! Achtung: Ein neuer Trojaner mit dem sperrigen Namen "LdPinch-BD" hat es auf die sensiblen Daten auf Ihrem Rechner abgesehen! Sobald er herunter geladen wird, zeigt er das Bild eines animierten Löwens, der sagt: "You are the king today! Hope U have a R-O-A-R-I-N-G time on your birthday!" Im Hintergrund allerdings ist der Trojaner auf der Suche nach vertraulichen Daten, die am Computer abgespeichert sind. Wie ZDNet berichtet sucht er nach Computer-Details (Betriebssystem, Speicher, CPU), Verfügbaren Festplatten (Laufwerksname, freier Speicherplatz), Hostname und IP-Adressen, Passwörtern und vertrauliche Informationen von "Protected Storage", Informationen über POP3 und IMAP-Server, Benutzernamen und Passwörter, FTP-Usernamen und Passwörter und RAS Dial-Up-Einstellungen. Außerdem versucht der Trojaner LdPinch-BD, weitere Schadcodes herunterzuladen und erstellt einen Registry-Eintrag, um bei jedem Systemstart mit gestartet zu werden. (red) news.at |
Michael Jackson-Trojaner im Umlauf: Mail lockt mit angeblichem Selbstmord des Stars
Viren-Autor spielt mit der Neugier der gespannten Welt Der beste Schutz: Öffnen Sie keine verdächtigen E-Mails Die Jury in Michael Jacksons Missbrauchsprozess berät seit Tagen. Demensprechend gespannt sind Menschen in aller Welt auf News vom "King of Pop". Genau diese Neugier nutzt der Trojaner Borobt-Gen aus. Er verschickt sich selbst als Spam-Mail, die vom angeblichen Selbstmord des Pop-Idols berichtet. Der beste Schutz gegen den Schädling: Öffnen Sie keine verdächtigen Mails! Die gefälschte Nachricht enthält einen Link zum vermeintlichen Abschiedsbrief Jacksons. Doch jeder, der auf den Weblink klickt, ladet sich den Schädling auf seinen PC und öffnet dem Viren-Autor damit einen Zugang zum System! In der Betreffzeile der E-Mail steht laut BBC Online "Suicidal attempt". Der angebliche Selbstmord Jacksons soll eine Folge des laufenden Missbrauchsprozesses sein. Wenn der Empfänger tatsächlich auf den Link klickt, bekommt er allerdings gar nichts zu sehen, außer einer Website, die angeblich unter der Last des Ansturms zusammengebrochen ist. Wie so viele aktuelle Viren, enthält die Jackson-Mail kein eigentliches Schadprogramm, sondern trickst die User aus, damit diese sich selbst infizieren. Mit dem selben Trick arbeiteten schon drei Osama bin Laden-Viren. (red) Quelle: news.at |
|
Nach den Terror-Anschlägen in London: Trojaner in gefälschten Mails verbreitet!
Trojaner anstelle von Amateurvideos in der Mail Öffnen Sie keine Mails von unbekannten Absendern! Auf besonders geschmacklose Weise verbreitet sich ein Trojaner im Internet. E-Mails, die vorgeben, Videos von den Terroranschlägen in London zu enthalten, dienen dem Schädling als Köder. Danach freilich sieht der User gar nichts, aber das Spionageprogramm installiert sich unbemerkt und verschickt sich weiter. Die E-Mail präsentiert sich als Newsletter des US-Nachrichtensenders CNN und versucht den Empfänger dazu zu verleiten, den Anhang der Mail, welcher den "Trojaner" beinhaltet, zu öffnen. Als Absenderadresse ist laut dem Viren-Spezialisten Messagelabs "breakingnews@cnn-online.com" angegeben, die Betreff-Zeile lautet "TERROR HITS LONDON". Der Dateiname des gefährlichen Anhanges sei, so das Unternehmen in seiner Warnung, "London Terror Moovie.avi <124 Leerzeichen> Checked By Norton Antivirus.exe". Trojaner startet sich automatisch Wird der Anhang gestartet, speichert sich der Trojaner als "winlog.exe" und trägt sich in die Windows-Registry ein, so dass er beim Neustart des PC automatisch gestartet wird. Anschließend beginnt er damit, sich selbst zu versenden. Empfänger einer solchen Nachricht sollten den Anhang, wie immer bei unbekannten Absendern und unverlangten E-Mails, auf keinen Fall öffnen und die E-Mail sofort löschen. E-Mail-Volumen verdoppelt Laut Aussagen von Messagelabs hat sich das E-Mail Volumen in London unmittelbar nach den Anschlägen verdoppelt. Anstelle der üblichen 500.000 E-Mails pro Stunde konnte das Unternehmen unmittelbar nach dem Anschlag über eine Million E-Mails auf seinen Antivirus-Servern verzeichnen. Zu den Spitzenzeiten liefen, so das Unternehmen bis zu 750.000 zusätzliche Mails über deren Server. Gegen Nachmittag fiel das Volumen dann auf unterdurchschnittliche Werte, da viele Unternehmen früher schlossen. (apa/red) Quelle: news.at |
Neuer Trojaner in drei Varianten: LeBreat
Quelle: http://www.testticker.de/news/securi...050718020.aspx |
World of Warcraft: Passwörter sind nicht sicher - Trojaner spioniert sie aus
Quelle: http://www.computerbase.de/news/inte...t-passwoerter/ |
Windows Vista: Im Betatest schon ein Virus entdeckt
Quelle: http://www.giga.de/index.php?storyid=123930 |
windows kann nie sicher werden :D :flop:
|
'worm_rbot.ebq.' ist Staatsfeind Nummer 1: Neuer Comptervirus greift US-Medien an
CNN, ABC und Nachrichtenagentur AP attackiert Auch größter US-Baumaschinenkonzern betroffen ·Neuer Virenalarm: ZOTOB schlägt jetzt zu Schädling nützt Sicher- heitslücken bei Windows Ein neuer Computervirus hat die Datenverarbeitungssysteme zahlreichen Unternehmen in der ganzen Welt angegriffen. Wie die US-Medien berichteten, seien die Computer der amerikanischen Fernsehanstalten CNN und ABC, der Nachrichtenagentur AP, der "New York Times" sowie des Kapitols in Washington und verschiedener US-Unternehmen teilweise lahmgelegt worden. Der Wurm mit dem Namen "worm_rbot.ebq." ziele seit Dienstagmittag weltweit auf Computer mit verschiedenen Windows-Programmen der Firma Microsoft, berichtete der Sender ABC. CNN meldete, dass auch der größte US-Baumaschinenkonzern Caterpillar in Peoria (Illinois) betroffen war. (apa) Quelle: news.at |
| Es ist jetzt 14:15 Uhr. |
Powered by vBulletin® Version 3.8.4 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.