zwei neue Würmer im Umlauf

[Starlight]

Neue "MyDoom"-Variante verbreitet sich rasant: Wurm bedroht unsere Computer!

Schädling öffnet ein Hintertürchen für Hacker am PC
Öffnen Sie niemals verdächtigen E-Mail-Nachrichten!

Vor einem neuen Internet-Wurm, das in Asien bereits massiv unterwegs ist, warnt die österreichische Virenschutz-Softwarefirma Ikarus: Es handle sich dabei um eine MyDoom-Variante, die sich wie ihre Vorgänger über einen eigenen smpt-Server verbreitet und sich an E-Mail-Adressen verschickt, die sie aus dem Adressbuch, temporären Internet-Dateien und der Festplatte "ausliest". Im Gegensatz zu seinen Vorgängern ist der Wurm jedoch nicht UPX, sondern MEW komprimiert.

Damit nicht genug, führt der Wurm auch Backdoor-Funktionalitäten "im Gepäck", warnte Ikarus: Die von dem Wurm infizierten Maschinen werden dadurch ein leichteres Ziel für Angriffe bzw. Zugriffe durch potenzielle Hacker. Der Wurm installiert eine services.exe-Datei im Windows-Verzeichnis, öffnet den TCP port 1034 bei infizierten PC/Servern und wartet auf Verbindungen von "draußen".

Vorsicht ist bei E-Mails mit folgendem Aussehen geboten: From: absender@absender.com - der Wurm verwendet wahrscheinlich auch eine Fehlermeldung, wonach ein Mail nicht zugestellt werden konnte -, Mailer-daemon@xxxx.domain; noreply@xxxx.domain; postmaster@xxx.domain. "xxxx" steht für einen zufälligen Namen, den das Virus vom infizierten System übernimmt.

Auch solche Absender werden vom Wurm verwendet: "Postmaster", "Mail Administrator", "Automatic Email Delivery Software", "Post Office", "The Post Office", "Bounced mail", "Returned mail", "MAILER-DAEMON" und "Mail Delivery Subsystem".

Im "Betreff" ist Vorsicht geboten unter anderem bei: "delivered", "hello", "hi", "error", "status", "test", "report" oder "delivery failed". Im Mailtext kommen folgende Wendungen vor: "Dear User of ...", "We have received reports that your accout was used to send a large amount of junk", "Email messages during the last week", "Probably, your computer had been compromised and now contains a hidden proxy server", "Please follow the instruction in the attached file in order to keep your computer safe", "Have a nice day ... user support team".

MyDoom googelt Mail-Adressen
Im Attachment kommen vor: exe, com, scr, pif, bat, cmd. Es kann auch passieren, dass Internet-User den Wurm als ZIP- oder Doppel-ZIP-Datei erhalten, die dann eine dieser Dateien enthält. In manchen Fällen generiert das Virus auch Doppeldatei-Endungen, wobei das Virus jedoch zwischen den beiden Endungen viele Leerschritte einfügt. Für die Doppel-Datei Endungen verwendet das Virus die Dateitypen doc, txt, htm und html. Der Wurm greift auch auf bekannte Suchmaschine wie Google und Yahoo zu, um potenzielle E-Mail-Adressen zu finden.

Um seine Entdeckung möglichst lang zu verzögern, verschickt sich der Wurm nicht an E-Mail-Adressen, in denen er unter anderem folgende Begriffe findet: spam, abuse, master, sample, account, privacy, certific, bugs, listserv, submit, support, admin, not, help, soft, site, me, you, your, some- oder anyone, nothing, nobody, info, winzip, update, domain, example oder microsoft.

Sollte es dem Wurm gelingen, ein System zu infizieren, installiert er sich als java.exe im Windows-Verzeichnis und installiert zusätzlich die Datei services.exe im selben Pfad. Findet er dabei ein anderes System, das infiziert werden kann, wird die IP-Adresse dieses Systems in einem verschlüsseltem File mit den Namen "zincite.log" abgelegt. (apa/red)

news.at

[Starlight]

Gefinkelt: Ein Wurm warnt vor sich selbst - Der angebotene Security-Patch ist infiziert

Betroffene Rechner verschicken den Wurm weiter
"Sober.K" wurde binnen drei Stunden 1.400 Mal aktiv

Ein englischer Service-Provider für E-Mail-Sicherheit (http://www.messagelabs.com) warnt vor einer neuen Version des Sober-Virus. "W32.Sober.K-mm" ist in der Lage, Warnungen verschiedener Anbieter von Antiviren-Lösungen anzuzeigen, die sich genau auf die neue Version des Virus beziehen. Dadurch sollen User verleitet werden, das beigefügte Attachement zu öffnen um angeblich einen neuen Patch herunter zu laden.

Um das Schadprogramm auszuführen muss der Empfänger den E-Mail-Anhang zuerst öffnen. Anschließend sucht der Virus auf dem infizierten Rechner nach E-Mail-Adressen und versendet sich selbstständig in Form einer deutschen oder englischen Mitteilung. Der Virus installiert auf dem infizierten Rechner mehrere ausführbare Dateien mit den Namen "csrr.exe", "winlogon.exe" und "smss.exe". Dann modifiziert er den Registry-Key so, dass er beim Start des Rechners immer automatisch ausgeführt wird. Zum Abschluss werden die Inhalte der Datei "systemdrive%/windows/temp/doc_data-text.txt" in Programm Notepad angezeigt.

"Sober.K" ist ein Mass-Mailing-Virus, der sich selbst via E-Mail-Attachement verschickt. Der Virus wurde heute, Montag, identifiziert und stammt aus Deutschland. Gleichzeitig tauchte "Sober.K" laut MessageLabs aber auch in Frankreich, den USA und Großbritannien auf. Innerhalb von nur drei Stunden sind dem Security-Experten bisher 1.400 Exemplare des neuen Wurms ins Netz gegangen. (pte)

news.at

[Starlight]

Neue Wurm-Epidemie: Varianten von Bagle
machen im Augenblick das Web unsicher!

Besonderheit: Bagle fehlt eine Vermehrungsfunktion
Die vom Wurm attackierten Systeme sind schutzlos

Bagle-Varianten lösten eine neue Wurm-Epidemie im Internet aus! Die Abarten des bereits bekannten Netzwurms "Email-Worm.Win32.Bagle" machen im Augenblick das Web unsicher. Wie der Virenexperte Kaspersky mitteilte, stellen alle Modifikationen Tarnvarianten des selben Programms dar!

Eine Besonderheit ist das Fehlen der Vermehrungsfunktion. Diese Ausführung, die zur Klasse "intended"-Würmer zählt, schließt die selbstständige Vermehrung des Schadcodes durch den infizierten Computer aus. Das massenhafte Aufkommen der Bagle-Modifikationen im E-Mail-Verkehr bestätigt die Vermutung, dass die Epidemie durch Spam-Versand hervorgerufen wurde.

Schwere Identifizierung des Wurms
Die neuen Bagle-Varianten wurden via E-Mail als Anhang versandt. Der Wurm wird unter Windows ausgeführt und ist an einen Brief mit frei gewählter oder fehlender Überschrift und Text angehängt. Name, Format und Größe der angehängten Datei ist ebenso frei gewählt. Das erschwert die Identifizierung des Wurms anhand formaler Merkmale.

Bagle stoppt die Schutzprogramme
Die Aktivierung erfolgt auf Initiative des Anwenders, der den Brief-Anhang öffnet und damit die infizierte Datei startet. Nach dem Start kopiert sich der Wurm in das System-Verzeichnis von Windows und registriert sich im Schlüssel für den automatischen Start des System-Registers. Dabei unterbricht das Schadprogramm jene Prozesse, die für die Sicherheit des Computers und lokaler Netzwerke Sorge tragen. Das attackierte System ist somit ungeschützt. (apa/red)

news.at

[Sofix]

Neue Wurm-Variante verbreitet sich rasend schnell

Quelle: http://www.dslteam.de/news2490-0.html

[Starlight]

TREND MICRO löst Yellow Alert aus: KELVIR.B und FATSO.A greifen MSN Messenger an

TREND MICRO (NASDAQ: TMIC, TSE 4704) hat einen globalen Yellow Alert ausgelöst, um vor zwei neuen Würmern zu warnen, die sich über die populäre MSN Messenger Plattform verbreiten. Bislang wurde TREND MICRO das Auftreten von WORM_KELVIR.B und WORM_FATSO.A aus Europa, den USA und dem asiatisch-pazifischen Raum gemeldet. Die beiden Würmer stehen wahrscheinlich nicht in Verbindung miteinander, verwenden aber die selbe Verbreitungsmethode: An MSN Messenger Kontakte werden Nachrichten mit Links zu bestimmten Websites versendet. Sobald ein argloser Anwender den Link aufruft, beginnt der Download des Wurms. Im Fall von WORM_KELVIR.B wird nach dem Start des Wurms unter Umständen ein zusätzliches Bot-Programm heruntergeladen, das Hintertüren auf dem infizierten System öffnet.

Die speicherresidenten Würmer KELVIR.B und FATSO.A versuchen sich an alle MSN Messenger Kontakte zu verbreiten, die auf dem infizierten System zu finden sind. Dazu werden Instant Messages verschickt, die Links zu einer oder mehreren Websites enthalten. Sobald der Empfänger auf den Link klickt, beginnt der Download einer Wurmkopie auf sein System. WORM_FATSO.A verbreitet sich zudem auch über eMule, einer Peer-to-Peer-Applikation für den Dateiaustausch.

Die Ähnlichkeiten zwischen den Würmern könnten darauf beruhen, dass in beiden Fällen MSN Verbreitungscode verwendet wurde, der aus Internet-Foren der Malware-Szene stammt.

WORM_FATSO.A hinterlässt darüber hinaus verschiedene Dateien auf den befallenen Systemen. Zu den verwendeten Dateinamen gehören "Fat Elvis! Lol.pif", "Jennifer Lopez.scr", "How a Blonde Eats a Banana.pif" und "Topless in Miniskirt!lol.pif".

Bei einer der abgelegten Dateien handelt es sich um einen Text mit einer persönlichen Botschaft an "Larissa", den Programmierer bzw. die Programmiererin des Mitte Februar entdeckten WORM_ASSIRAL.A. Der Malicious Code wurde konzipiert, um Varianten des BROPIA-Wurms zu deaktivieren, die sich seit Anfang diesen Jahres über MSN Messenger verbreiten. WORM_ASSIRAL.A verbreitete sich als Email-Dateianhang und zeigte auf infizierten System folgenden Text an: "Larissa - Anti-Bropia - Freeing the world of Bropia".

Darauf antwortet der Programmierer des FATSO-Wurms jetzt mit der Nachricht: "Hey LARISSA f**k off, you f**king n00b!.. Bla bla to your f**king Saving the world from Bropia, the world n33ds saving from you! '-S-K-Y-'-D-E-V-I-L-'"

"Diese Virenprogrammierer sind wie Jugendliche in Straßenbanden, die ihr Territorium markieren und rivalisierende Gruppen beschimpfen - nur dass hierfür eben Malicious Codes verwendet werden und keine Graffitis", kommentiert Jamz Yaneza, Senior Virus Researcher bei TREND MICRO. "Die wirklichen Verlierer in diesem Spiel sind die Endanwender, die vielleicht gar nicht bemerken, dass Systeme infiziert oder Hintertüren zum Netzwerk geöffnet werden."

Die mit WORM_KELVIR.B infizierte Datei hat eine Größe von 46KB. WORM_FATSO.A hat eine Dateigröße von 17 KB und ist unter Umständen im MEW-Format komprimiert. Beide Malicious Codes gefährden Systeme mit Windows 95, 98, ME, NT, 2000 und XP.

TREND MICRO stellt Pattern-Files zum Download bereit
Kunden von TREND MICRO sind ab dem Pattern-File 2.476.00 geschützt. Anwender der TREND MICRO Outbreak Prevention Services sollten zudem die OPP 154 herunterladen, um der Verbreitung der Würmer entgegenzuwirken. Im Rahmen der TREND MICRO Damage Cleanup Services wird ab sofort das Damage Cleanup Template 551 bereitgestellt, mit dem befallene Systeme wiederhergestellt werden können. Für die TREND MICRO Network VirusWall ist Version 10189 auf den Active Update Servern verfügbar.

Darüber hinaus bietet TREND MICRO unter
http://de.trendmicro-europe.com/ente...all_launch.php einen kostenlosen Online-Scanner für alle Computernutzer.

[Starlight]

Wurm geht Raubkopierern an den Kragen: Nopir-B löscht MP3-Dateien am Rechner!

Sophos: Kein Zweifel an kriminellem Wesen des Wurms
Nopir verbreitet sich über Musik-Tauschbörsen im Web



Ein neuer Wurm geht den MP3-Sammlungen der User an den Kragen! Der aus Frankreich stammende Wurm Nopir-B verbreitet sich über Tauschbörsen, in denen er sich als gehacktes Programm zum Erstellen kommerzieller DVDs tarnt.


Tatsächlich erscheint am Bildschirm aber ein Motiv gegen Raubkopierer, während der Wurm versucht, alle MP3-Dateien zu löschen, verschiedene Dienstprogramme zu deaktivieren und .COM-Programme zu entfernen.

Nopir-B hat es auf User abgesehen, die sich Raubkopien aus dem Internet herunter laden. Der Schädling unterscheidet dabei aber nicht zwischen Raubkopierern und Leuten, die selbst MP3-Dateien erstellt haben. "Egal von welcher Seite man es betrachtet, es gibt keinen Zweifel am kriminellen Wesen dieses Wurms - er wurde entwickelt, um Schaden auf Windows-Computern anzurichten," so Graham Cluley, Senior Technology Consultant beim Antiviren-Spezialisten Sophos.

Zum Glück hat sich Nopir-B noch nicht weit verbreitet. Wer aber Wert auf seine Musiksammlung legt, sollte dafür sorgen, dass sein Antiviren-Programm am neuesten Stand ist. (red)

news.at

[Sofix]

Handy-Virus "Cabir": Bereits in zwanzig Ländern tausende Handys befallen

Quelle: http://de.news.yahoo.com/050429/286/4iwek.html

[Goldfisch]

Montag, den 02.05.05 23:11

Gelber Alarm: Wurm verspricht WM-Tickets

...

http://www.onlinekosten.de/news/arti...cht-WM-Tickets

[nokostolany]

der ist ja besonders FIES !

[Goldfisch]

Montag, den 09.05.05 19:42

Neuer PC-Wurm löst gelben Alarm aus

...

http://www.onlinekosten.de/news/arti...lben-Alarm-aus

[crazy_coco]

Nazi-Spam-Flut ohne Ende: Sober plant eine neue Attacke auf die User am Montag!

Experten: Der Schädling wird Programmteile nachladen


Sober hat das Internet derzeit fest im Griff. Alle paar Minuten trudeln fremdenfeindliche E-Mails in den Postkästen ein. Ein Ende der Spam-Flut ist noch nicht absehbar. Und es kommt noch dicker: Am kommenden Montag wird der Trojaner Sober.P, alias Sober.Q, weitere Programmteile aus dem Internet nachladen, warnen die Experten.

Internet-Nutzer sollten in jedem Fall ihre Virenschutz-Programme rechtzeitig aktualisieren, rät das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Wurm könne nur dann aktiv sein, wenn er unbemerkt bleibe. Derzeit sei noch nicht klar, welche Auswirkungen durch den auch als Sober.Q bezeichneten Wurm am Montag zu erwarten sind.

Programmteile werden nachgeladen
Die Sicherheitsexperten stellten bei der Analyse des Programm-Codes fest, dass das so genannte Trojanische Pferd ab dem 23. Mai dazu programmiert ist, selbstständig im Internet nach neuen Programmteilen zu suchen und diese nachzuladen. Möglicherweise werde auf diese Weise ein neuer Schädling in Umlauf gelangen, schätzt das BSI. Betroffen sind alle Nutzer des Betriebssystems Windows in den Versionen 95, 98, ME, NT, 2000, XP sowie Windows Server 2003.

Nachfolger des WM-Ticket-Wurms
Der neue Wurm ist ein Nachfolger des so genannten WM-Ticket-Wurms. Dieser hatte Anfang Mai das Kommunikationssystem des WM-Organisationskomitees in Deutschland vorläufig komplett lahm gelegt. Der Schädling hatte sich massenhaft als E-Mail verbreitet und in einwandfreiem Deutsch den Adressaten suggeriert, Eintrittskarten für das Turnier erhalten zu haben. Beim Öffnen des Anhangs wurde er aktiv. Inzwischen hat auch er Programmteile nachgeladen und belästigt in einer neuen Variante bis heute zahlreiche Nutzer weltweit mit nationalsozialistischer Propaganda.
Quelle: APA

[Sofix]

Trojaner fordert Lösegeld für Daten

Quelle: http://www.heise.de/newsticker/meldung/59819

[stronzzo]

Schenken wir doch diese Würmer Madamme Saida, die kann sie sicher gut gebrauchen für ihren Nachwuchs

[Starlight]

Star Wars-Wurm vs. Instant Messenger: Hacker könnten die Kontrolle übernehmen!

Schädling kursiert in Programmen von AOL und Yahoo
Nachrichten mit Links auf Phishing-Website verschickt

Ein fieser Trick in Zeiten des Star Wars-Hypes: Neue Schädlinge, die in den Instant Messenger-Anwendungen von Yahoo und AOL kursieren, haben es auf Star Wars-Fans abgesehen. Nachrichten, in denen es um die "Episode III" geht, sollen die User dazu verführen, einen Wurm herunterzuladen oder auf gefälschte Websites zu gehen, auf denen Phisher Daten klauen.

Der AOL-Wurm "WORM/FUNNY.MOVIE.AOL" verschicht die Nachricht mit dem Wortlaut "hehe, i found this funny movie". Ein enthaltener Link führt zu einer Website, von der aus eine neue Variante des Gaobot-Wurms auf den Computer geladen wird. Ist der PC erst einmal infiziert, können Hacker die Kontrolle übernehmen. Außerdem verschickt er die Nachricht an alle IM-Kontakte weiter.

Der Yahoo-Messenger ist hingegen von Phishing-Attacken betroffen, wie das Online-Portal ZDNet berichtet. Das in Nachrichten enthaltene Wort "Stargames" verlinkt auf eine Phishing-Website, die dem Design der Yahoo-Site nachempfunden ist. Die Login-Daten der User werden hier geklaut. (red)

Quelle: news.at

[Starlight]

Gefährlicher Trojaner im Umlauf: Experten warnen vor einer neuen Bagle-Variante!

Der neue Schädling verbreitet sich selbst über E-Mail
Beeinträchtigt die Lauffähigkeit von Anti-Viren-Software

Computerexperten haben vor einem neuen Virus der "Bagle"-Familie gewarnt. Der Trojaner namens TR/Dldr.Bagle.BR habe ein äußerst hohes Schadens- und verbreitungspotential, teilte die Softwarefirma H+BEDV Datentechnik mit. Betroffen seien Anwender der aktuellen Windows-Betriebssysteme. Der Schädling verbreitet sich demnach per E-Mail und lädt weitere Komponenten aus dem Internet nach.

Wird der Trojaner ausgeführt, versteckt er im Windows Systemverzeichnis einen so genannten Downloader, der die Lauffähigkeit von Antiviren- und Sicherheitssoftware beeinflussen kann. "Bagle" enthält eine Liste mit Internetadressen (URLs), von denen er weitere Komponenten nachladen kann. (apa/red)


news.at