zwei neue Würmer im Umlauf

[Starlight]

Wurm verschickt sich selbst: Eine neue MyDoom-Variante nutzt Leck im Explorer!

Infektionskette funktioniert so ganz ohne "Doppelklick"!
Microsoft Security-Patch & Sicherheitsupdates schützen

Der deutsche Antivirenspezialist H+BEDV Datentechnik warnt alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor einer neuen Variante des MyDoom-Wurms. Im Gegensatz zu "konventionellen" Viren verbreitet sich "MyDoom.ah" nicht via E-Mail sondern nützt eine offene Lücke im Internet Explorer.

Der Schädling öffnet den Port 1639 und ermöglicht so den Zugriff auf ein System. Dann kopiert sich der Wurm mit einem Zufallsnamen in das Systemverzeichnis, wobei die letzen zwei Zeichen des gewählten Namens immer "32" sind (xxx32.exe). Zum Abschluss versendet sich der Malicious-Code an alle Adressen, die er auf dem System findet.

Sobald eine diese E-Mails einen ungepatchten Rechner erreicht, wird der Internet Explorer angewiesen, den Wurm vom Ursprungssystem nachzuladen. Auf diese Weise ist die Infektionskette in Gang gesetzt, ohne dass dazu auch nur ein "Doppelklick" erforderlich ist. H+BEDV empfiehlt dringend, den Microsoft Security Patch BID 11515 zu installieren und ein Update der eingesetzten Antivirensoftware durchzuführen. (pte)

news.at

[Starlight]

Trojaner lockt Sex-Surfer auf Pornoseiten: Betreiber fangen die Kunden mit Schädling

Lenkt Besucher von Sex-Seiten auf andere Page um
Pornoanbieter erhofft sich so offenbar Vorteil am Markt

Der britische Security-Experte Sophos warnt vor einem neuen Trojaner, der User automatisch auf pornografische Seiten lockt. "Troj/Delf-IT" lauert in den Weiten des Webs, infiziert PCs und wartet darauf, dass der Surfer Webseiten mit bestimmten Schlagwörtern besucht. Sobald der Trojaner Hinweise bekommt, dass der Netz-Reisende eine Hardcore-Website besucht, lädt er schädlichen Code auf den befallen Rechner. Dieser Malicious-Code lenkt den Surfer automatisch auf eine andere pornografische Seite um.

Delf kennt etwa 50 Schlagwörter, die ihn auf die Fährte des vermeintlichen Sex-Surfer setzt, darunter: "amateur", "barelylegal", "beauty", "bikini", "closeup", "domination", "extreme", "ladyboy, "lesbian", "lolita", "nympho", "outdoor", "spanked" und "pornstars". Laut Sophos können Wörter wie "outdoor" und "beauty" aber auch arglose Internet-Surfer auf pornografische Seiten umleiten. Es kann deshalb auch passieren, dass jemand, der sich eigentlich für Nordic Walking, Snowboarden oder andere Outdoor-Aktivitäten interessiert, plötzlich virtuell vom Weg abkommt.

"Der Delf-Trojaner scheint absichtlich so programmiert zu sein, dass er Besucher von Webseiten mit 'zweifelhaften' Inhalten zu einer eigenen Site weiterleitet", erklärt Graham Cluley, Senior Technology Consultant bei Sophos. "Da es scheinbar immer noch möglich ist, mit pornografischen Webseiten Berge von Geld anzuhäufen, könnte es sein, dass sich einige Pornoanbieter mit dem Trojaner einen 'Wettbewerbsvorteil' verschaffen wollen", so Cluley. (pte)

news.at

[Sofix]

http://www.n-tv.de/technik/Sober-J-t...icle76810.html

[Starlight]

HANDY-VIREN

Schädel aus Troja


Es war nur eine Frage der Zeit: Nun gibt es die ersten Handy-Trojaner. Die Software Skulls gibt sich als Programm zur Gestaltung der Bedienmenüs aus. Tatsächlich aber legt sie rasch fast alle Funktionen lahm.

...

http://www.manager-magazin.de/untern.../a-329185.html

[PC-Oldie-Udo]

15.12.04 |
Führende Hersteller von Anti-Viren-Software haben erneut vor elektronischen Weihnachtsgrüßen gewarnt. Der Wurm „Zafi.D“ verbreite sich derzeit verpackt in einer vorweihnachtlichen Grußkarte, teilten unter anderen F-Secure und Sophos mit. Er ermöglicht Hackern den Zugriff auf infizierte Rechner.

...

http://focus.msn.de/hps/fol/newsausg...be.htm?id=9489

[crazy_coco]

Symantec warnt vor neuem Virus



Der Sicherheits-Softwarespezialist Symantec hat eine Warnung zu dem Schädling „Phel“ ausgesprochen. Demnach würde sich Phel über eine Sicherheitslücke im Windows-Betriebssystem XP verbreiten. Der Virus werde beim Besuch von speziell aufbereiteten Webseiten eingefangen. Symantec spricht jedoch von einer vergleichsweise geringen Gefahr, zumal sich Phel aufgrund eines Programmierfehlers meist fehlerhaft installiere. Schutz würde die Installation des Service Pack 2 für Windows XP garantieren.


Börse Go

[Starlight]

Media Player als Virenschleuder: Trojaner
"Downloader" versteckt sich in Videos!

Internet-Bösewicht lädt Spyware, Dialer und Viren nach


Zwei neue Trojaner verbreiten sich als Videodateien! Das Virenlabor des deutschen Konzerns Panda Software warnt vor den Schädlingen "Downloader.A" und "Downloader.B". Infizierte Videos haben die Dateiendung ".wmv" und sind angeblich durch Lizenzen der Firmen overpeer (Trj/WmvDownloader.A) oder protectedmedia (Trj/WmvDownloader.B) geschützt.

Die Namen der Video Dateien variieren sehr stark, sie können nicht nur durch P2P-Systeme wie KaZaA oder eMule herunter geladen werden sondern sich auch in Dateianhängen von e-Mails oder in FTP Downloads verbergen. Beim Start einer infizierten Videodatei wird der User aufgefordert, die entsprechende Lizenz von bestimmten Webseiten zu holen. Die beiden Trojaner leiten den Anwender dann auf andere Webseiten um, von denen jede Menge Adware, Spyware, Dialer und Viren automatisch heruntergeladen werden.

Beide Trojaner nutzen das in den Microsoft Windows Media Player integrierte "Windows Media Digital Rights Management (DRM)", das eigentlich die Verwendungsrechte der Videos und Musiktitel verwalten sollte. Sobald der Anwender eine DRM-geschützte Windows Media Datei abspielen will, fragt die Technologie eine Lizenz ab. Ist diese Lizenz nicht auf dem Rechner hinterlegt, kann danach online gesucht werden, so dass der Nutzer diese dort erwerben kann. Und genau diesen Mechanismus nutzen die Trojaner aus. (apa)

Quelle: news.at

[PC-Oldie-Udo]

MS Windows-Tool zum Entfernen bösartiger Software 1.0

http://www.soft-ware.net/system/date...rus/p04543.asp

[PC-Oldie-Udo]

Trojaner in gefälschten Telekom-E-mails unterwegs

Quelle: http://www.heise.de/newsticker/meldung/55183

[Starlight]

Makabere Masche: Neuer Wurm tarnt sich als Spendenaufruf für Flutopfer in Asien!

Tsunami: Hilfsbereitschaft der Leute missbraucht
Vorsicht vor Mails mit "Tsunami Donation!"-Betreff!

Im Internet kursiert derzeit ein Computervirus mit einer besonders makabren Masche: "W32/VBSun-A" tarnt sich als Spendenaufruf für die Opfer der Flutkatastrophe in Südostasien, warnte die deutsche Sicherheitsfirma Sophos in einer Aussendung. Sobald das Attachment ausgeführt wird, verbreitet sich der Wurm nicht nur über das Internet an andere User, sondern startet außerdem eine Denial-of-Service-Attacke, mit Hilfe derer eine deutsche Hacker-Website lahm gelegt werden soll.

Die Betreffzeile der verseuchten E-Mails lautet: "Tsunami Donation! Please help!", berichtete Sophos. Nach dem Öffnen erscheint die Nachricht: "Please help us with your donation and view the attachment below! We need you!". Der Wurm selbst versteckt sich im Attachment "tsunami.exe".

"VBSun-A" ist nicht der erste Virus, der bei seiner Verbreitung versucht, aus der Flutkatastrophe einen Vorteil zu schlagen. Bereits Anfang des Monats begann der Wurm "VBS/Gevben-B", die geschmacklose Nachricht zu verbreiten, die Flutkatastrophe sei "Gottes Strafe für alle bösen Menschen auf Erden", so Sophos. Des Weiteren gebe es eine Menge an verbrecherischen Spam-Mails, die einzig darauf aus waren, den Usern das Geld aus der Tasche zu ziehen. (apa)

news.at

[Starlight]

Wurm mit Backdoor-Trojaner-Komponente:
"Baba" versendet sich selbst via Outlook!

Durch die Hintertür können Fremde den PC kontrollieren
Vorsicht: Öffnen Sie keine verdächtigen Nachrichten!

Der britische Security-Experte Sophos warnt vor einem neuen Massenmailing-Wurm, der einen Backdoor-Trojaner mit sich führt. Die Trojaner-Komponente soll es Dritten ermöglichen, die Kontrolle über infizierte Computer zu übernehmen. "W32/Baba-C" verbreitet sich via E-Mail und verwendet dazu seine eigene SMTP-Engine. Nach der Attacke sucht er in allen auffindbaren Outlook-Adressbüchern nach neuen Adressen, an die er sich anschließend weiter versendet.

Nach der Infektion legt Baba-C einer Trojaner im Ordner C:/ des infizierten Computers ab und fügt einen Registrierungseintrag hinzu. Dieser Eintrag startet die Komponente bei der Computeranmeldung. Weiters erzeugt er die harmlose Textdatei "csrss.bin" im gleichen Ordner. Anschließend versucht der Wurm E-Mail-Adressen in Dateien mit folgenden Erweiterungen aufzuspüren: ASP, CGI, DAT, DBX, DOC, EML, HTM, HTML, MBX, PHP, RTF, TBB, TXT, WAB und INBOX.

Die Betreffzeile der Mails lautet dabei immer: "Important! XXX sites found on your computer! ". Das Attachement beinhaltet den Text: "quick shortcut to evidence cleaner length %d bytes evidence-cleaner-system.com". Wobei %d immer eine Dezimalzahl ist. Laut Sophos ist die Verbreitung des neuen Wurms derzeit noch gering. Trotzdem empfehlen die Virenexperten alle vorhandenen Virensignaturen zu aktualisieren. Auf seiner Homepage bietet Sophos eine aktuelle Virenerkennungsdatei (IDE) zum Downloaden, mit der Sophos Anti-Virus Baba-C erkennen und desinfizieren kann. (pte)

news.at

[Starlight]

Extrem gefährlicher Internet-Wurm: Neue Bagle-Variante kommt via Mail und P2P!

Bagle kann Antiviren- und Firewall-Programme beenden
Er versendet sich sofort an alle E-Mail-Adressen weiter

Der deutsche Antivirenspezialist H+BEDV Datentechnik warnt alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor einer neuen Variante des Bagle-Wurms. "Bagle.AX" verbreitet sich mit sehr hoher Geschwindigkeit via E-Mail- und P2P-Versand. Das Schadens- und Verbreitungspotenzial des Schädlings wird von den Virenexperten als extrem hoch eingeschätzt.

Der Wurm verbreitet sich über Peer-To-Peer (P2P)-Netzwerke und via E-Mail mit Hilfe seiner eigenen SMTP-Engine. Nach erfolgreicher Attacke durchsucht er die lokalen Festplatten und versendet sich umgehend an alle gefundenen Adressen. Beim Versenden sucht er auf dem System nach Verzeichnissen, die den Textstring "SHAR" enthalten und kopiert sich in die jeweiligen Ordner. Bagle ist in der Lage verschiedene Prozesse wie Antiviren- und Firewall-Programme zu beenden und bestimmte Einträge in der Windows-Registry zu löschen.

Die vom Wurm versendeten E-Mails nennen als Absender "%spoofed%" und als Betreff "Delivery by mail", "Delivery service mail", "is delivered mail", "registration is acepted" oder "you are made activate". Der E-Mail-Text lautet: "Before use read the help" oder "thanks for use of our". Der Anhang kann unterschiedliche Dateinamen besitzen. Die Dateierweiterung aus .com, .cpl, .exe oder .scr wird zufällig ausgewählt. (pte)


news.at

[Starlight]

TREND MICRO löst Yellow Alert aus:BROPIA.F verbreitet sich über Instant Messaging

TREND MICRO löst Yellow Alert aus:BROPIA.F verbreitet sich über Instant Messaging

TREND MICRO (NASDAQ: TMIC, TSE 4704) hat einen globalen Yellow Alert ausgelöst, um die Ausbreitung von WORM_BROPIA.F zu verhindern. Der Malicious Code verbreitet sich über den MSN Messenger, eine der populärsten Instant Messaging (IM) Plattformen. Nach der Infektion eines Systems versucht WORM_BROPIA.F, Kopien von sich an alle aufgefundenen Online-Kontakte zu versenden. Dabei tarnt sich der Wurm als Bilddatei und verwendet verschiedene, neugierig machende Namen. Tatsächlich erhalten Anwender das Foto eines gebratenen Hühnchens, auf dem sich die Umrisse eines Bikinis abzeichnen. Der Schadteil (Payload) umfasst darüber hinaus den AGOBOT-Wurm, der auf infizierten Systemen Hintertüren öffnen kann. Bislang wurde TREND MICRO das Auftreten von WORM_BROPIA.F aus den USA, Taiwan, China und Korea gemeldet.

Nach dem Start legt der Speicher-residente Wurm zunächst eine Kopie von sich im Windows-Systemordner ab und versucht daraufhin, sich an andere Anwender des MSN Messenger zu versenden. Die infizierten Dateien können einen der folgenden Namen tragen:

* Bedroom-thongs.pif
* Hot.pif
* LMAO.pif
* LOL.scr
* Naked_drunk.pif
* New_webcam.pif
* ROFL.pif
* Underware. Pif
* Webcam.pif

Darüber hinaus wird die Datei "SEXY.JPG" ausgeführt. Das Foto zeigt ein gebratenes Huhn, das im Ofen offensichtlich einen Bikini getragen hat.

Auf dem infizierten System legt WORM_BROPIA.F zudem ein Bot-Programm ab, das von TREND MICRO als WORM_AGOBOT.AJC erkannt wird. Dieser Malicious Code installiert eine Backdoor (Hintertür) und ermöglicht so die Ausführung von Aktionen durch einen Hacker. WORM_AGOBOT.AJC verfügt außerdem über die Fähigkeit, die Windows Produkt ID sowie CD-Schlüssel bestimmter anderer Applikationen zu stehlen.

"Viele Unternehmen blockieren bereits die Verwendung von Instant Messaging Programmen durch ihre Mitarbeiter. Dabei stand bislang der Schutz der Produktivität im Vordergrund. WORM_AGOBOT.AJC beweist jetzt, dass IM auch hinsichtlich der Unternehmenssicherheit streng kontrolliert werden muss", so David Kopp, Leiter der EMEA TrendLabs bei TREND MICRO. "Aufgrund der übergreifenden Popularität von Instant Messaging dürften aktuell vor allem Privatanwender gefährdet sein. Der Wurm setzt gezielt Humor ein, um Nutzer über die Infektion ihres Systems und die Installation von Backdoors hinwegzutäuschen."

Die mit WORM_BROPIA.F infizierte Datei hat eine Größe von 19KB. Gefährdet sind Systeme mit Windows 95, 98, ME, NT, 2000 und XP.

TREND MICRO stellt Pattern-Files zum Download bereit
Kunden von TREND MICRO sind ab dem Pattern-File 2.390.00 vor WORM_BROPIA.F geschützt. Anwender der TREND MICRO Outbreak Prevention Services sollten zudem die OPP 144 herunterladen, um der Verbreitung des Wurms entgegenzuwirken. Im Rahmen der TREND MICRO Damage Cleanup Services wird ab sofort das Damage Cleanup Template 505 bereitgestellt, mit dem BROPIA.F zuverlässig von befallenen Systemen entfernt werden kann.

Darüber hinaus bietet TREND MICRO unter
http://de.trendmicro-europe.com/ente...all_launch.php
einen kostenlosen Online-Scanner für alle Computernutzer.

Weitere Informationen zu BROPIA.F finden sich unter
http://de.trendmicro-europe.com/ente...=WORM_BROPIA.F

[OMI]

SADDAM-VIRUS


Mehrere Hersteller von Virenschutzsoftware warnen derzeit vor dem Wurm "Bobax-H". Dieser versteckt sich in einer eMail als angebliches Beweisfoto für den Tod Saddam Husseins. Offensichtlich kann sich der Virus selbständig über Internet verbreiten. Wer mit einem ungeschützten Computer im Internet surft, läuft leicht Gefahr, sich den Bösewicht ins System zu holen.

Hacker bekommen Fernsteurung
Einmal im System, deaktiviert der Wurm zunächst alle vorhandenen Sicherheitsprogramme und verschickt sich selbst an alle eMail-Adressen weiter, die er auf dem befallenen Computer findet. Über eine spezielle Programmroutine können Hacker die verseuchten PC ferngesteuert für weitere Attacken missbrauchen.

Schutzprogramme aktualisieren
Zum Schutz vor dem neuen Wurm sollten Internet-Surfer ihren PC mit den aktuellen Patches für Windows und Internetexplorer ausrüsten. Zur Kontrolle des Datenverkehrs sollte zudem eine Firewall installiert sein und die Virenschutzsoftware auf den neuesten Stand gebracht werden.

Unterschätztes Risiko: Spyware
PC-Nutzer werden ausspioniert - ohne dass sie es merken. Bei Stichproben unter 4100 Teilnehmern zählten die Sicherheits-Profis von Webroot Software durchschnittlich 20 Spionage-Programme pro Rechner.Viele Anwender, so Webroot, sind sich der Gefahr nicht bewusst, installieren Programme aus zwielichtigen Quellen oder sind für den Web-Ausflug unzureichend geschützt.


Sind Sie sicher?
Viele Computer-Nutzer besitzen eine Virenschleuder, ohne es zu wissen. Erst wenn sich Freunde und Kollegen über verseuchte eMails oder Viren auf selbst gebrannten CDs beschweren, kommt die Wahrheit ans Licht.

Quelle: t-online

[Sofix]

Wurm "Mydoom.AK" stoppt Firewalls und Antivirenprogramme

Quelle: http://www.zdnet.de/news/security/0,...9130244,00.htm