zwei neue Würmer im Umlauf

[Sofix]

Neuer Virus "Scob" stiehlt Passwörter über Regierungsseiten

...

Quelle: http://www.forbes.com/home/feeds/ap/...ap1434413.html

[Starlight]

SICHERHEITS-ALARM

Virus transferiert Kreditkartennummern nach Russland

US-Computerexperten warnen vor einem neuen Virus, der unbemerkt dafür sorgt, dass Kreditkartennummern, Passwörter und andere persönliche Finanzdaten an einen Server in Russland geschickt werden. Betroffen sind vor allem Nutzer des Microsoft Internet Explorer

...

http://www.spiegel.de/netzwelt/tech/...-a-306051.html

[621Paul]

Russischer Trojaner-Server offline

...

http://www.heise.de/newsticker/meldu...ne-103041.html

[Starlight]

Download.Ject-Entwarnung: Russischer Server ist gefunden und außer Betrieb!

In Zukunft muss man mit weiteren Attacken rechnen
Sicherheitsproblem nur kurzfristig aus der Welt geschafft

Das letzte Woche aufgetauchte Sicherheitsproblem Download.Ject, ist inzwischen gebannt. Durch die kombinierte Nutzung von Sicherheitslücken im Internet Explorer und im Internet Information Server bedrohte es Millionen Anwender. Experten warnen: In Zukunft müsse man mit ähnlichen Attacken rechnen.

Alleine durch das Surfen auf vorher von Hackern präparierten Websites konnte Code auf Systeme von Anwendern gelangen, der dort eine Backdoor geschaffen hat. Ein Eindringling konnte so die Kontrolle über den Rechner erlangen. Der Code selbst wurde nicht von den manipulierten Websites heruntergeladen, sondern von einem russischen Werbserver, den Internet-Experten inzwischen jedoch außer Betrieb setzen konnten. Unter den manipulierten Websites waren Experten zufolge auch Präsenzen von Großunternehmen.

Kurzfristig aus der Welt geschafft
"Kurzfristig ist das Problem so aus der Welt geschafft", so Alfred Hunger von Symantec. Allerdings müsse man in Zukunft weiterhin mit ähnlichen Angriffen rechnen. Wie ZDNet berichtet ist noch unklar, welches Motiv die Hacker mit der Schaffung der Backdoor verfolgt haben. Denkbar ist sowohl ein koordinierter Angriff, um Webserver lahm zu legen, als auch der Versand von Spam.

Microsoft will rasch Updates zur Verfügung stellen
Zwar sind noch immer zahlreiche Websites entsprechend präpariert, da der Server mit dem schädigenden Code jedoch nicht mehr am Netz ist, geht davon keine Gefahr mehr aus. Ein Patch für die Lücke im Internet Information Server steht schon seit April zur Verfügung, die Löcher im IIS sind aber nach wie vor ungepatcht. Microsoft will in Kürze entsprechende Updates zur Verfügung stellen. (red)

news.at

[crazy_coco]

Lücke im IE begünstigt Passwortklau: Schutz vor Attacke bietet Browser-Wechsel

Rund 50 Bankinstitute sind vom Trojaner betroffen
Schädling kommt in Form einer gewöhnlichen .gif-Datei

Das neueste Problem mit der Sicherheitslücke im Microsoft Internet Explorer scheint immer größere Ausmaße anzunehmen. Inzwischen sind schon 50 Bankinstitute von dem Trojaner befallen: Der SChädling gelangt unbemerkt auf den Rechner und loggt Eingaben, die auf den Websites gemacht werden, mit .Sensible FInanzdaten könnten so in die Hände von Betrügern fallen. Unter den gefährdeten Sites sind unter anderem Präsenzen von Citibank, Barclays Bank und Deutsche Bank.

"Wenn das Programm erkennt, dass man sich auf einer der Websites befindet, loggt es die Tastatureingaben mit", erklärt Marcus Sachs vom Internet Storm Center die Funktionsweise. Die Verschlüsselungen der Bankinstitute seien nutzlos: "Der Browser verschlüsselt nicht den Datenverkehr zwischen Tastatur und Computer. Er verschlüsselt die Daten, wenn sie ins Internet gesendet werden."

Trojaner kommt als .gif-Datei
Der Trojaner ist zum ersten Mal auf einem Business-Desktop in einem großen Internet-Unternehmen aufgetaucht. Auf den Computer gelangte er durch ein Pop Up, das eine noch ungepatchte Sicherheitslücke im "Internet Explorer Help Server" ausnutzt. Der Schädling kommt in Form der Datei "img1bug.gif".

Daten verschlüsselt an den Angreifer gesendet
Hinter der Datei verbergen sich in Wirklichkeit zwei Programme: Ein sogenanntes "Browser Helper File", das die Eingaben des Nutzers mitloggt, sowie eine kleine Installationsroutine. Hat der Trojaner entsprechende Daten abgegriffen, werden diese auf einem Webserver verschlüsselt. Der Schädling sendet diese dann an die Angreifer, die laut Internet Storm Center in Südamerika vermutet werden.

Noch kein Patch veröffentlicht
Da Microsoft für die Lücken im Internet Explorer noch keine Patches zur Verfügung gestellt hat, bleibt als Lösungsmöglichkeit derzeit nur ein Verzicht auf Online-Banking oder ein Wechsel des Webbrowsers. Microsoft rät, die Sicherheitsstufe des Internet Explorers auf "Hoch" zu drehen, bis ein entsprechendes Patch zur Verfügung steht. (red)

Quelle: news.at

[Starlight]

Neuer Multi-Stage-Trojaner gelauncht:
"No name" sucht persönlichen Daten

Ursprungsland des neuen Schädlings ist Deutschland
Betreff: "Are you lonely?" oder "Lokking for love?"

Ein neuer Trojaner namens "No name" schwirrt durchs Netz. MessageLabs, ist eine große Anzahl von E-Mails ins Netz gegangen, die zum Download und zur Installation des neuen, bisher unbekannten Trojaners führen.

Die E-Mails beinhalten einen IFRAME-Link auf eine Website, die nach dem Anklicken den User anhand eines weiteren Links weiterleitet. Dadurch wird VBS/Inor aktiviert und der unbemerkte Download des neuen Trojaners beginnt. VBS/Inor ist ein Microsoft Visual Basic Skript (manchmal in eine HTML-Datei eingebettet), das ein als Text kodiertes Programm enthält.

Bisher wurden 3.669 Kopien von MessageLabs abgefangen, das Ursprungsland der ersten infizierten E-Mail war Deutschland. Die Betreffzeilen der verdächtigen E-Mails sind variabel und können Texte wie "Amateur swingers", "Are you lonely", "Are you looking for love" oder "Can you let me in your dreams?" enthalten. Die E-Mails beinhalten weder Texte noch Attachements. Laut MessageLabs leitet der Schädling Informationen an seinen Urheber weiter, der sich damit Zugriff auf die infizierten Computer verschaffen kann. (pte/red)

news.at

[crazy_coco]

Neue Bagle-Variante ist im Umlauf: Ver-breitet sich über Mail und öffnet Hintertür!

Schutz: Vorsichtiger Umgang mit Nachrichten-Anhängen
Urheber stehen vermutlich mit Spammern in Verbindung

Achtung! Eine neue Variante des E-Mail Wurms "Bagle" ist im Umlauf. Anti-Viren-Experten zufolge konnten sich die Versionen "Bagle.AF" und "Bagle.AB" sehr rasch verbreiten. Symantec liegen bereits 175 Berichte von infizierten Computern vor. Die Entwickler des neuen Wurms kommen anscheinend aus der Spammer-Szene oder sind mit dieser in Kontakt. "Bagle" war erstmals im vergangenen Jänner aufgetaucht.

Die neue Variante kommt über E-Mail-Attachments auf den Rechner. Werden sie ausgeführt, versucht der Wurm die Ausführung von 250 verschiedene Sicherheits-Anwendungen zu verhindern. Außerdem verschickt der Wurm weitere Mails an alle Adressen, die er auf dem infizierten PC finden kann und richtet ein Backdoor zum System ein. Abschließend kontaktiert Bagle.AF eine von 141 präparierten deutschen Websites und hinterlegt Informationen über den infizierten Computer. Diese Informationen könnten für Spammer interessant sein.

"Der Wurm ist definitiv erfolgreich", sagt Oliver Friedrichs von Symantec zum Branchendienst CNET. "Und er ist vergleichbar mit anderen Bedrohungen wie MyDoom." Auf der Symantec-Bedrohungsskala bekommt Bagle drei von fünf Punkten. Der neue Internet-Schädling ist damit eine mittelschwere Bedrohung für die User.

"Solche Würmer sind erfolgreich, weil die Menschen immer noch Attachments vertrauen und sie anklicken", so Friedrichs weiter. Schutz vor Bagle.AF, bzw. Bagle.AB, bietet der vorsichtige Umgang mit E-Mail-Anhängen. Auch Anhänge von Bekannten seien nicht zwangsläufig sicher, da sich der Wurm automatisch verschickt
Quelle: Networld.at

[Starlight]

Bagle-Wurm mit tierischem Anhang: "Cat",
"Dog" oder "Fish" heißen die Virendateien

Neue Bagle-Variante .ai schaltet den Virenscanner ab
PLUS: Was die Mutationen Bagle.AB und .AF anrichten

Eine weitere Mutation des Bagle-Wurms ist im Umlauf. Auffälligste Charakteristika von Bagle.ai sind "tierische" Attachements, die der Wurm im Gepäck führt. Die Namen der Dateianhänge können entweder "Cat", "Dog", "Doll" oder "Fish" lauten.

Bagle.ai ist ein Massen-Mailer mit integrierter SMTP-Engine und durchstöbert infizierte Rechner nach E-Mail-Adressen. Zur weiteren Ausrüstung des Wurms gehört ein Remote-Access-Programm. Verschickt wird das Schadprogramm mit unterschiedlichen Attachements, wobei es sich vereinzelt auch um Passwort-geschützte Zip-Files handeln kann. Die Passwörter findet der User praktischerweise gleich im Nachrichtentext.

Bagle.ai bietet sich selbstständig zum Tausch via Peer-to-Peer-Netzwerke an und kopiert sich dazu in freigegebene File-Sharing-Ordner. Weiters verfügt der Eindringling über das Know-how Desktop-Virenscanner zu beenden um sich dadurch für die Viren-Scan-Engine "unsichtbar" zu machen. (pte/red)

news.at

[Starlight]

Trojaner getarnt als Selbstmordfoto: Zeigt angeblichen Freitod Osama bin Ladens!

Foto soll Selbstmord des Terrorführers "beweisen"
Wer die Datei herunterlädt, hat auch den Schädling

Ein neuer Trojaner kursiert im Internet. Ungewöhnlich daran: Es versteckt sich hinter einem Bild, das angeblich den Beweis für den Selbstmord von Terrorchef Osama bin Laden liefern soll. Wer die Datei aus dem Internet herunterlädt, fängt sich auch gleich das Schädlingsprogramm ein, mit dem Hacker den PC kontrollieren könnten. Der Trojaner trägt die Bezeichnung "Troj/Hackarmy-A", so Sophos.

In Newsgroups und Internet-Message-Boards seien Tausende von Meldungen zu finden, die behaupten, dass CNN-Journalisten Anfang der Woche den erhängten Terroristenführer entdeckt hätten, warnten die Virenexperten. Die Fotos seien aber bis jetzt nicht veröffentlicht worden, da die USA zunächst die Identität Bin Ladens überprüfen wolle. Die Meldungen verweisen auf eine Internetseite, von der eine Datei mit den vermeintlichen Fotos heruntergeladen werden kann. (apa/red)

news.at

[PC-Oldie-Udo]

Virenwarnung - Hacker fälschen Rechnung Online
von maltiBRD für WinFuture.de

...

http://winfuture.de/news,15747.html

[Starlight]

Neuer Wurm attackiert das Internet: Verbreitung erfolgt über Suchmaschinen

Schädling zwang Google auch in Österreich in die Knie
"MyDoom" kehrt zurück: Neue Variante im Anmarsch

Ein so genannter Internetwurm hat Experten zufolge die Funktion von Internet-Suchmaschinenen beeinträchtigt. Der Wurm sei anscheinend auch für den zweitweiligen Ausfall der Suchmaschine Google in den USA und einigen Ländern Europas verantwortlich. "Die jüngste Version von MyDoom, die verstärkt auf Mailboxen eingelaufen ist, benutzt die Suchmaschinen, um sich weiter zu verbreiten", teilte der US-Sicherheitsforschungsdienst SANS mit.

Einige Suchmaschinen-Betreiber hätten sich über eine Beeinträchtigung der Leistung ihrer Großrechner beklagt. Der Wurm MyDoom hatte Anfang Februar bereits weltweit für Aufregung gesorgt, als er unter anderem die Web-Seiten der US-Softwarefirma SCO lahm gelegt hatte.

Experten hatten eine deutliche Verlangsamung der Performance bei verschiedenen Internet-Seiten festgestellt, als deren Ursache sie Viren-Attacken oder anders geartete Angriffe auf das Internet nicht ausgeschlossen hatten.

"Wir sehen, wie alles auf einmal langsamer wird", hatte Della Lowe erklärt, Sprecherin des Unternehmens Keynote Systems, das für Messungen der Webleistung zuständig ist. "Und das könnte ein Hinweis darauf sein, dass etwas das Internet insgesamt behindert. Wir werden das natürlich weiter genau beobachten und ziehen dabei auch die Möglichkeit in Betracht, dass es sich um eine Art von Attacke handeln könnte."

Die Suchmaschine Google traf der Ausfall just an dem Tag, als das Unternehmen ankündigte, bei seinem für dieses Jahr geplanten Börsengang rund zwei Milliarden Dollar erlösen zu wollen. (apa/red)

news.at

[Starlight]

Bagle-Variante im Umlauf: Bagle.aq treibt jetzt im Internet sein Unwesen

Trojaner lädt über Websites Dateien in Windows nach
UMFRAGE: Sind Sie auf die Wurm-Invasion vorbereitet?

Der Antivirenspezialisten H+BEDV Datentechnik hat alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor dem neuen Internet-Wurm Bagle.aq gewarnt. Entgegen seiner Vorgänger verbreitet sich der Schädling nach Versenden eines Trojaners über den massenhaften Email-Versand, teilte H+BEDV mit.

Worm/Bagle.aq ist ein Massenmailer mit eigener SMTP Engine. Der Wurm versendet einen Trojaner als Attachment, welches dann die eigentliche Bagle Win PE Datei von verschiedenen Webseiten nachlädt. Der Trojaner ist in der Lage, von bestimmten Webseiten Dateien in das Windows-Verzeichnis auf das infizierte System "nachzuladen". Der Wurm kommuniziert über UDP und TCP Port 80. Wird der Trojaner ausgeführt, so erstellt er folgende Dateien: %SystemDIR%WINdirect.exe oder %SystemDIR%_dll.exe

Der Trojaner fügt in der Windows Registry bestimmte Einträge hinzu. Worm/Bagle.aq durchsucht dann die lokalen Festplatten nach Email-Adressen und verschickt aufgrund einer eigenen SMTP Engine automatisch einen Trojaner an die gefundenen Adressen.

H+BEDV hat unter www.antivir.de ein entsprechendes Update für alle Kunden zur Verfügung gestellt. Privatanwender können sich mit der aktuellen Version der kostenfreien "AntiVir Personal Edition" gegen den ungebetenen Besucher über www.free-av.de schützen. (pte)

news.at

[stronzzo]

Alternativ kann man sich auch unter folgender HP das neueste Update von "Stinger" herunterladen und den Rechner nach sämtilchem Ungeziefer durchsuchen und beseitigen lassen.
http://download.nai.com/products/mca...rt/stinger.exe
Exe-Datei sofort einsatzbereit, kein Entpacken nötig.

[Goldfisch]

Montag, den 16.08.04 11:23

Vorsicht: Gelber Alarm gegen Mydoom.S

...

http://www.onlinekosten.de/news/arti...gegen-Mydoom-S

[crazy_coco]

Wurm kommt über Instant Messages: Harmlose Nachrichten mit Links zu Trojaner

Schädling nutzt Schwachstellen im Internet Explorer aus
Neuer Wurm kleidet sich im "Download.Ject"-Style

Neuer Wurm im Umlauf: Ein Schädling, der dem Download.Ject-Wurm ähnlich ist, treibt im Internet sein Unwesen. Er verbreitet sich über harmlos wirkende Instant Messaging-Nachrichten über ICQ oder AIM. Sie enthalten einen Link mit dem Verweis auf "Meine persönliche Homepage", durch den Computernutzer auf eine Internetseite in den USA, Russland oder Urugay gelangen. Diese Websites infizieren die Computer mit einem Trojaner.

Verschiedene Schwachstellen von Microsofts Internet Explorer werden bei der Attacke ausgenützt. Nach einer vorläufigen Analyse werden infizierte Internetseiten in so genannte Target-Search-Seiten verwandelt. Sobald der IE geladen wird, erscheinen auf einem infizierten PC pornographische und andere nicht jugendfreie Werbeinserate sowie verweisende Links. Die Verbreitung des Wurms ist bisher noch unklar. Logging-Features des originalen Download.Ject-Wurmes konnten bei ersten Analysen nicht aufgedeckt werden. Daher soll die neue Bedrohung auch weniger gefährlich sein als der ursprüngliche Download.Ject.

Bei Download.Ject handelt es sich um einen schädlichen Java-Code, der am 24. Juni zahlreiche Internetseiten mit Microsofts IIS 5 (Internet Information Services 5) infizierte. Beim Besuch einer beeinträchtigten Homepage wurden PCs mit dem Trojaner Berbew infiziert. Die russische Homepage, von der die Attacke ausging, konnte von Microsoft rasch geschlossen werden. Die IE-Schwachstelle, die Berbew ausnützte, wurde ebenfalls repariert. (pte/red)

Quelle: news.at