Aktuelle Viren Teil 2

In dieser Kategorie findet ihr aktuelle Infos über Viren Trojaner Würmer natürlich auch Möglichkeiten/Programme und Tips diese wieder loszuwerden

Moderator: hisch

Beitragvon Jazzy » 17.11.2004, 18:36

aja

ich bekomm andauernd solche mails...
hört das auch mal irgendwann wieder auf? *fragendguck* :?
Jazzy
Sr. Member
 
Beiträge: 281
Registriert: 10.01.2004, 12:12
Wohnort: Wolfsburg

Beitragvon hisch » 17.11.2004, 20:56

ich habe da keine ahnung muss mich mal schlau machen
Besuch mal meine Homepage
http://www.pentragon.de.ms

Ein Ring sie zu knechten,
Sie alle zu finden,
Ins dunkel zu treiben,
Und ewig zu binden.

Bild
Benutzeravatar
hisch
phpBB God
 
Beiträge: 1190
Registriert: 28.01.2003, 23:58
Wohnort: weis nix oder Irgendwo wie???

Beitragvon hisch » 06.12.2004, 23:48

Variante Atak.D
Diese Variante wurde am 3.12.2004 entdeckt.

Um sicherzustellen, das er nicht mehrfach aktiv ist, erzeugt diese Variante den Mutex "mtxSSS"

Atak.D kopiert sich nach

[CSIDL_SYSTEM]\a1g.exe

wobei [CSIDL_SYSTEM] für den Namen des Windows-System-Verzeichnis steht.

Er fügt einen Aufruf in die WIN.INI - Datei ein:

[windows]
load="[CSIDL_SYSTEM]\a1g.exe"

wodurch er beim Systemstart aktiv wird.

Verbreitung per E-Mail
quelle percomp
Besuch mal meine Homepage
http://www.pentragon.de.ms

Ein Ring sie zu knechten,
Sie alle zu finden,
Ins dunkel zu treiben,
Und ewig zu binden.

Bild
Benutzeravatar
hisch
phpBB God
 
Beiträge: 1190
Registriert: 28.01.2003, 23:58
Wohnort: weis nix oder Irgendwo wie???

Beitragvon hisch » 10.12.2004, 23:36

Name: Maslan
Der Wurm Maslan besteht aus mehreren Komponenten und installiert eine IRC Backdoor auf dem betroffenen Rechner. Er hat eine Spyware-Komponente, die Daten stehlen kann und kann ausserdem einen DoS (Denial of Service) - Angriff ausführen.

Maslan verbreitet sich per E-Mail und kann auch Rechner direkt infizieren, die anfällig sind gegenüber den LSASS- oder DCOM-Sicherheitslücken.

Der Wurm stammt vermutlich aus Russland.
Wird der Wurm aufgerufen, erzeugt er einige Dateien im Windows-Systemverzeichnis:

___j.dll - führt den DDoS aus, öffnet FTP-Server
___n.exe - IRC-Backdoor
___r.exe - Hauptkomponente des Wurms
___u - Kopie eines Droppers des Wurms
___m - enthält gesammelte E-Mail-Adressen
___e - Mime-codierte Kopie des Wurm-Droppers
___t - ASCII-Datei mit einer Nummer (Netz-Adresse)

Der Wurm kann auch die folgenden Dateien erzeugen. Sie zeigen an, welche Aktion der Wurm gerade durchführt.

___Prior - keine Aktion
___AlaMail - Verbreitung per E-Mail
___AlaScan - Suche nach angreifbaren Computern
___AlaDdos - DDoS-Angriff
___AlaFtp - FTP-Server ist aktiv

Wenn der Wurm im Speicher aktiv ist, sind die Dateien verborgen.

Maslan trägt verschiedene Startup Keys in die Registry ein:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Synchronization Manager" = "___synmgr.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Synchronization Manager" = "___synmgr.exe"
"Microsoft Windows DHCP" = "%WinSysDir%\___r.exe"

wobei %WinSysDir% für den Namen des Windows-Systemverzeichnis steht, also z.B. unter Windows XP "C:\Windows\System32"

Der Wurm erzeugt einen Mutex "ALAxALA"

Maslan kann auch Rechner direkt infizieren, die verwundbar sind gegenüber den Sicherheitslücken LSASS oder DCOM. Dazu scannt der Wurm die TCP-Ports 445 und 135.
Besuch mal meine Homepage
http://www.pentragon.de.ms

Ein Ring sie zu knechten,
Sie alle zu finden,
Ins dunkel zu treiben,
Und ewig zu binden.

Bild
Benutzeravatar
hisch
phpBB God
 
Beiträge: 1190
Registriert: 28.01.2003, 23:58
Wohnort: weis nix oder Irgendwo wie???

Beitragvon hisch » 16.12.2004, 00:15

Adhoc-Virenwarnung H+BEDV warnt vor gefährlichem Trojaner: "TR/Spy.BILL-T-Com" kommt als Telekom-Rechnung getarnt AntiVir Update auf der H+BEDV-Webseite frei verfügbar Tettnang, 15. Dezember 2004 - Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor dem neuen Trojaner TR/Spy.BILL-T-Com. Dieser Trojaner tarnt sich als Telekom-Rechnung und verbreitet sich über Spamlisten mit sehr hoher Geschwindigkeit. Der Computervirus TR/Spy.BILL-T-Com ist ein Trojaner, welcher sich als Telekom-Rechnung tarnt und über Email-Adresslisten, sog. Spamlisten, versendet wird. Die Email führt als Anhang eine .CHM-Datei mit. Beim öffnen dieser Windowshilfedatei (.CHM) wird eine HTML-Seite dargestellt, welche den eigentlichen Trojaner TR/Spy.BILL-T-Com ausführt. Die Datei CSRSS.EXE wird in das Windows Systemverzeichnis kopiert. Die TCP Ports 2050, 2121 und 2355 werden automatisch geöffnet und der Trojaner wartet auf eingehende Kommandos. Eine versandte Email von TR/Spy.BILL-T-Com hat folgendes Aussehen: Absender: Betreff : =?koi8-r?B?VGVsZWtvbS1SZWNobnVuZyAy?= Body : Sehr geehrte Kundin, sehr geehrter Kunde, Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und - soweit von Ihnen beauftragt - die Einzelverbindungsübersicht
Nutzen Sie auch unter
Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!
die vielfältigen Möglichkeiten von Rechnung Online, wie z.B. Sortierungs- und Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links unter "Hilfe/FAQ" auch nützliche Tipps zur Nutzung von Rechnung Online

Mit freundlichen Grüßen Ihre Deutsche Telekom Anhang: Rechnung18745514.chm H+BEDV empfiehlt, Emails mit entsprechender Betreffzeile, die den Trojaner transportieren, nicht zu öffnen, sondern sofort zu löschen

H+BEDV hat bereits reagiert und seit heute Morgen, Mittwoch 10:45 Uhr, ein entsprechendes Update für alle Kunden zur Verfügung gestellt. Die aktuelle Version der Virenschutzsoftware sowie eine ausführliche Virenbeschreibung stehen unter
Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!
zum Download bereit. Privatanwender können sich mit der aktuellen Version der kostenfreien "AntiVir Personal Edition" gegen den ungebetenen Besucher über
Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!
schützen.

über H+BEDV Datentechnik GmbH:
Das Unternehmen H+BEDV Datentechnik GmbH ist seit 1988 auf die Entwicklung systemübergreifender Business-Security-Solutions spezialisiert. Zu den Kunden zählen führende nationale und internationale Unternehmungen im Profit- und Non-Profit-Bereich, diverse Bildungseinrichtungen sowie öffentliche Auftraggeber. Neben einem umfangreichen Produktportfolio im MS-Windows-Umfeld nimmt das Unternehmen eine technologisch führende Position im Wachstumsmarkt der Linux-Betriebssysteme ein. Bereits heute bietet H+BEDV Datentechnik GmbH leistungsstarke Lösungen für File-, Web- und Mailserver sowie Workstations. Der AntiVir-Scanner wurde 2004 wiederholt mit dem VB-100-Prozent-Award ausgezeichnet und besitzt darüber hinaus ein aktuelles TüV-Zertifikat. Mit zahlreichen Resellern in Europa und im außereuropäischen Ausland sowie eigenen Absatzwegen verfügt H+BEDV Datentechnik GmbH über ein dichtes Vertriebsnetz. Darüber hinaus arbeitet das Unternehmen eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen
quelle pressebox
Besuch mal meine Homepage
http://www.pentragon.de.ms

Ein Ring sie zu knechten,
Sie alle zu finden,
Ins dunkel zu treiben,
Und ewig zu binden.

Bild
Benutzeravatar
hisch
phpBB God
 
Beiträge: 1190
Registriert: 28.01.2003, 23:58
Wohnort: weis nix oder Irgendwo wie???

VorherigeNächste

Zurück zu Alles rund um Viren Trojaner Würmer

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste