zwei neue Würmer im Umlauf

[PC-Oldie-Udo]

Wurm hatte Millionenschäden verursacht


Deutscher Schüler züchtete wohl Computerwurm

veröffentlicht: 08.05.04 - 09:00, akt.: 08.05.04 - 10:25


...


http://www.rp-online.de/public/artic...computer/46813

[Goldfisch]

Eine kleine Hilfe um festzustellen ob Phatbot das System infiziert hat, ist das Auffinden von der Datei "wormride.dll" auf dem Rechner.

[Sofix]

Neuer «Sasser»-Wurm aufgetaucht

10. Mai 09:27

Trotz der Festnahme des 18-jährigen «Sasser»-Autors ist am Wochenende eine Variante des Datenschädlings aufgetaucht. «Sasser.e» könnte von Trittbrettfahrern stammen.


...


Quelle: http://www.netzeitung.de/internet/viren/285740.html

[Starlight]

Wurm-Alarm: "Wallon" überschreibt den Windows Media Player

Vorsicht bei Yahoo-Links in e-Mails ohne Attachement
Computer-Schädling kommt in Form einer HTML-Mail

Ein neuer Schädling bedroht die Computer: Nachdem immer mehr Nutzer E-Mail-Attachments nur noch zögerlich öffnen, wählt der Wurm "Wallon" eine alternative Verbreitungsmethode. "Wallon" kommt in Form einer HTML-Mail, die anscheinend nur einen Link zu Yahoo enthält, allerdings nur den Umleitungsservice von Yahoo benutzt. Von dort wird die Verbindung allerdings zu einer Seite umgeleitet, von der wiederrum der Wurm in Form der Datei "sys.exe" heruntergeladen wird.

Die Datei "sys.exe" überschreibt nach dem Download das File "wmplayer.exe" des Windows Media Player. "Wallon" selbst wird erst dann wieder aktiv, wenn der Windows Media Player genutzt werden soll: Statt den gewünschten Inhalt abzuspielen, verschickt der Wurm dann Mails an alle auf dem befallenen Rechner gefundenen E-Mail-Adressen. Betroffene Nutzer müssen zuerst den Wurm entfernen und anschließend den Windows Media Player neu installieren.

Der Computer-Schädling missbraucht offenbar eine Sicherheitslücke des Microsoft Internet Explorers, für die aber schon seit Anfang 2004 ein Sicherheitsupdate zur Verfügung steht. Wenn der Benutzer (bzw. die noch ungepatchte Sicherheitslücke) dies zulässt, überschreibt diese Datei die Programmdatei des Windows Media Players (wmplayer.exe) und anstatt des richtigen Media Players wird die Wurm-Datei ausgeführt. (Red.)


.................................................. ..............................


Achtung Computerschädling: Neuer Tojaner verbreitet sich über Spam-Mails!

Schadprogramm "yes2k.exe" sucht nach Passwörtern
Spam-Mails machen Verbreitung besonders leicht

Ein neuer Trojaner mit dem Namen "yes2k.exe" geht um. Das Schadprogramm, das sich auf das Ausspionieren von Passwörtern spezialisiert hat, verbreitet sich über Spam-typische Mechanismen, berichtet MessageLabs, der Managed-Service-Provider für E-Mail Sicherheit. Hat es sich auf dem Wirt-Rechner eingenistet, erfolgt der Download eines HTML-Skripts von einer bestimmten IP-Adresse.

Ein FTP-Sript sorgt dabei für das "reibungslose" Herunterladen und die unbemerkte Installation. Zum "Einnisten" verwendet der Malicious-Code den Internet Explorer Exploit, der auch als "Object Type" bekannt ist. Laut MessageLabs nutzen Virenprogrammierer immer häufiger Spammer-Technologien zur Verbreitung ihrer Schadprogramme.

Vor allem die große Anzahl von Spam-E-Mails macht es Viren leicht unbemerkt auf einen Rechner zu gelangen. Im April hat der Sicherheitspezialist insgesamt 841 Mio. E-Mails gescannt, davon waren 67 Prozent Spam, neun Prozent der Spam-E-Mails waren mit Viren infiziert.
(pte/red)


News.at

[Starlight]

Neuer Sober-Wurm verbreitet sich


https://www.boerse-go.de/nachricht/N...ch,a33179.html

[PC-Oldie-Udo]

19.05.2004, 12:00


Wurm-Angriffe: Schädlinge nutzen Sasser-Lücke
Mehrere Internet-Würmer sind dafür verantwortlich, dass die Scans auf Port 5000 in den letzten Tagen rapide zugenommen haben. Das SANS-Institut macht dafür die Schädlinge Bobax und Kibuv verantwortlich – beide nutzen die gleiche Schwachstelle wie Sasser.


...


http://www.chip.de/news/c_news_11942796.html

[PC-Oldie-Udo]

Neuer Wurm gefährlicher als «Sasser»

19. Mai 14:51

«Bobax» nennt sich ein neuer Windowswurm, der über ähnliche Sicherheitslücken in das Betriebssystem eindringt, wie «Sasser». Allerdings gilt der Schädling als gefährlicher.


...


http://www.netzeitung.de/internet/viren/287225.html

[Starlight]

Neuer Wurm ist im Umlauf: "Bobax" öffnet ein Hintertürchen zum Computer!

Ziele des neuen Schädlings sind bisher noch unklar
Ausbreitung des Wurms kann noch nicht zu verhindern

Ein neuer Internet-Wurm ist im Umlauf. Um mit seinem Trojaner zu kommunizieren, nutzt "Bobax" den Service eines deutschen DNS-Dienstes. Wie Andreas Wilkens vom DNS4BIZ-Betreiber Companity mitgeteilt hat, wurden aber bereits Gegenmaßnahmen eingeleitet und die Kommunikationswege des Wurms unterbrochen.

Bobax dringt über die gleiche LSASS-Sicherheitslücke wie Sasser in Windows-XP-Systeme ein. Die Ziele, die er verfolgt, sind bisher aber noch unklar. Laut Companity kann eine weitere Ausbreitung des Wurms vorläufig nicht verhindert werden. Sicher scheint hingegen, dass das Schadprogramm zunächst über einen Portscan prüft, ob das jeweilige System unter Windows-XP läuft. Ist das der Fall, nistet sich der Trojaner auf dem jeweiligen Rechner ein.

Anders als der Sasser-Virus macht er sich jedoch vorerst nicht durch ständiges Abstürzen bemerkbar. Stattdessen öffnet er offenbar ein Hintertürchen, das einen Zugriff von außen erlaubt und vermutlich zur SPAM-Verbreitung aber auch zu anderen Zwecken dienen könnte. Nach derzeitigen Erkenntnissen ist Companity neben einem US-amerikanischen Unternehmen der zweite DNS-Dienst, den der Trojaner für seine Zwecke zu nutzen versucht. (pte/red)

News.at

[PC-Oldie-Udo]

03.06.2004 10:37 Uhr

Neuer Wurm W32.Korgo bedroht derzeit Windows-Systeme

Quelle: http://www.heise.de/newsticker/meldung/47888

[Starlight]

Zwei neue Würmer im Umlauf: "Netsky-P" tarnt sich als Potter-Spiel, "Korgo" klaut!

"Korgy" stiehlt Passwörter - Sicherheitsupdate schützt
Vor allem Kinder könnten auf "Netsky" hereinfallen

Der Kinostart des neuen "Harry Potter"-Films lässt die Virenschützer bangen: Wie der deutsche Softwarehersteller "Sophos" warnte, tarnt sich der "Netsky-P"-Wurm als Computerspiel mit den Zauberlehrling. Viele Kinder könnten auf den Trick hereinfallen, befürchtet die Firma.

Die Finte ist nicht neu, schon im Jahr 2000 hat der Wurm "Pikachu" eine ähnliche Methode verwendet. Auch dieser hat einen Zusammenhang mit "Harry Potter"-Büchern und -Filmen vorgegaukelt. Eltern kleiner Zauberlehrlinge sollten ihre Kinder kontinuierlich über die Gefahren im Internet aufklären, raten die Virenschützer.

"Netsky-P" verbreitet sich über E-Mail und Filesharing-Systeme. Bereits im vergangenen Monat wurde der Wurm am zweithäufigsten an Sophos gemeldet, gleich nach dem berüchtigten Virus "Sasser". Im Gegensatz zum "Sasser"-Wurm, der sich ohne jegliches Zutun verbreitet hat, muss beim "Netsky-P" die infizierte Datei vom PC-Nutzer gestartet werden.

"Korgo" stiehlt Online-Banking-Passwörter
Im Internet ist ein angeblich besonders gefährlicher Wurm aufgetaucht. "Korgo" (oder "Korbo") soll über ein sogenanntes "Backdoor"-Programm sensible Daten wie Online-Banking-Passwörter stehlen. Der Virenschutzexperte Joe Pichlmayr vom österreichischen Softwarehersteller "Ikarus" sieht allerdings kein großes Bedrohungspotenzial. Bei Systemen, die durch ein Sicherheitsupdate von Microsoft geschützt sind, könne der Schädling nichts ausrichten.

Der Schädling verbreitet sich nicht per E-Mail, sondern nutzt eine Sicherheitslücke in den Microsoft-Betriebssystemen ab Windows 98. Über die so genannte LSASS-Lücke hatte sich schon der Computerwurm "Sasser" verbreitet. Da dieser Wurm viele PC-Nutzer dazu bewogen hat, ihre Rechner zu "patchen", also Sicherheitsupdates einzuspielen, steht "Korgo" bei den meisten Computern ohnehin schon vor verschlossenen Türen, wie Pichlmayr glaubt.

Auch der kolportierte Klau von Daten sei nichts neues, betonte er. Dazu reiche aber nicht der Wurm allein, vielmehr müsse gleichzeitig auch ein eigenes "Backdoor"-Programm gestartet werden, um Geheimzahlen oder Ähnliches zu stehlen. Das mögliche Schadenspotenzial von "Korgo" werde "gehypt", kritisierte Pichlmayr, schließlich wäre beim ungleich weiter verbreiteten "Sasser"-Wurm bereits ebenfalls eine solche Funktion möglich gewesen. (APA/red)

News.at

[621Paul]

So sieht "Korgo" aus.

[Starlight]

Maskierter Wurm zerstört Anti-Viren-Schutz: "Plexus.a" nutzt Sicherheitslücken!

Schädling aktiviert sich bei jedem Computer-Start neu
Plexus.a basiert auf Quellcode von Mydoom-Virus


Der neue Internet-Wurm "Plexus.a" lässt sich nicht einmal von Anti-Viren-Software beeindrucken. Wie der russische Anti-Viren-Spezialist Kaspersky Lab berichtet, versucht der Schädling den Schutzschild des PCs zu zerstören, indem er das automatische Herunterladen von Anti-Viren-Updates verhindert.

Zu seiner Verbreitung maskiert sich der Wurm als Distributiv gängiger Anwenderprogramme und kann PCs über lokale Netzwerke, als E-Mail-Anhang oder via Dateitauschbörsen infizieren. Der Großteil der Infektionen erfolgt jedoch über die Sicherheitslücke der Microsoft Windows-Dienste LSASS und RPC/DCOM.

Plexus.a wird bei jedem Hochfahren des PCs aktiviert
Nach seinem Start kopiert sich der Wurm in den Systemordner von Windows und registriert sich als "automatisch auszuführen". Dadurch wird er bei jedem Hochfahren des PCs aktiviert. Nach dem Start scannt er das gesamte Dateisystem des Computers und versendet sich selbst an alle gefundenen E-Mail-Adressen. Eine weitere Gefahr stellt der "trojanische Teil" von Plexus dar. Der Virus öffnet Port 1250 für einen Port-Scan und initiiert den Download und die Aktivierung bestimmter Dateien. Dadurch wird eine Remote-Steuerung des Rechners durch den Virenautor ermöglicht.

Schädling basiert auf Mydoom-Quellcode
Der Malicious Code taucht in fünf unterschiedlichen E-Mail-Varianten auf, wobei Betreffzeile, Briefkorpus und Dateiname jeweils unterschiedlich sein können. Unverändert ist jedoch die Größe. Als komprimierte FSG-Datei beträgt sie 16.208 Bytes, entpackt 57.856 Bytes. Laut Analyse von Kaspersky basiert der Schädling auf dem Quellcode des Mydoom-Virus. (pte/red)

news.at

[Goldfisch]

Meldung vom 05.06.2004 00:32

Neue Würmer und altbekannte Schädlinge verbreiten sich

...

Quelle: http://www.heise.de/security/news/meldung/47946

[Goldfisch]

Dienstag, den 15.06.04 11:30

Erster Smartphones-Wurm aufgetaucht


http://www.onlinekosten.de/news/arti...rm-aufgetaucht

[crazy_coco]

Attacke auf Internet Explorer: Millionen Anwender von Virenangriff bedroht

Viren werden von Software nicht als solche erkannt
Sind in Grafiken auf präparierten Websites versteckt

Eine neue Angriffswelle auf den Internet Explorer rollt durchs Internet und bedroht Millionen Anwender. Sicherheits-Experten haben gestern vor einer noch ungepatchten Bedrohung im Netz gewarnt. Allein der Besuch von speziell präparierten Websites könne demnach eine Virusinfektion auslösen. Möglich ist das durch zwei Sicherheitslücken im Webbrowser von Microsoft.

Auf völlig neuartige Weise schleicht sich der Virus in die Betriebssysteme ein: über Web-Grafiken auf Internetseiten. Wie eWeek berichtet, sind unter den infizierten Seiten auch einige von größeren Unternehmen zu finden.

Virus klaut heikle Daten wie Online-Banking-Passwörter
Beim Besuch bestimmter Websites lädt sich automatisch ein Code auf den PC des Anwenders. Der Code öffnet ein "Backdoor" zum System des Anwenders, über die Eindringlinge auf den Computer zugreifen können. Hat er sich erst auf dem Rechner eingenistet, lädt er einen Trojaner nach, der unter anderem einen Keylogger enthält. Dadurch können auch heikle Daten, wie Passwörter für Online-Banking, abgefangen werden.

Verbindung zu Spammer-Netzwerk
Nach der Installation nimmt der Code Kontakt zu zwei IP-Adressen auf, einer US-amerikanischen und einer russischen. Die russische Adresse ist bekannt als Teil eines Spam-Netzwerks.

Ziel der Attacke noch unklar
Die Sicherheitsexperten von NetSec haben den Code noch nicht fertig analysiert. Das Ziel der neuen Attacke ist demnach noch nicht klar. Man geht im Moment davon aus, dass der Schädling, er von den meisten Anti-Viren-Programmen nicht erkannt wird, eine größere Attacke vorbereiten soll.

Eigener PC als Spam-Relay
Die Vermutung liegt nahe, dass die infizierten Rechner als Spam Relays verwendet werden sollen. Spammer hätten so die Möglichkeit, noch mehr Müll-Mails zu verschicken. Die Verteilung auf viele Computer macht es nahezu unmöglich, die Urheber der Attacke oder den Aussender von Spam-Mails ausfindig zu machen.

Schutz: Ausweichen auf Alternativ-Browser
Da nur Microsofts Internet Explorer betroffen ist, ist im Moment die einzige Möglichkeit, der Attacke zu entkommen das Ausweichen auf einen anderen Browser. Mozilla hat erst vor kurzem Mozilla 1.7 auch in deutscher Version zum Download bereit gestellt. (red)

Quelle: News.at