Aktuelle Viren warnungen

[hisch]

Name: Win32.Netsky.Q@mm
Aliases: W32/Netsky-Q
29.03.2004

- presence of the following files in Windows directory (%WINDIR%):
SysMonXP.exe
Firewalllogger.txt
- presence of the following entry
SysMonXP = %WINDIR%\SysMonXP.exe
in HKLM\Software\Microsoft\Windows\CurrentVersion\Run registry key

[hisch]

Netsky und Bagle: Böses Spiel geht weiter



Die eMail-Würmer "Netsky" und "Bagle" bedrohen weiter die Internet-Gemeinde. Mit Netsky.Q und Bagle.U verstopfen derzeit zwei neue Varianten die eMail-Postfächer unzähliger PC-Besitzer. Bei beiden Würmern steckt der schädliche Code in angehängten Dateien. Während es im Fall von Bagle reicht, den Anhang zu ignorieren, führt Netsky.Q die Schadensroutine bereits bei der eMail-Vorschau aus - allerdings nur, sofern man noch die alten Versionen 5.01 und 5.5 des Internet Explorers verwendet.
Bagle.U lenkt mit Kartenspiel ab
Die neue Bagle-Variante legt nach dem Öffnen des Anhangs zunächst die Datei gigabit.exe in den Windows-Systemordner und startet dann automatisch das Kartenspiel "Hearts" von Microsoft. Anschließend durchsucht der Wurm den PC und versendet sich an alle gefundenen eMail-Adressen. Dabei öffnet er eine Hintertür, die dem Angreifer den Zugriff auf den infizierten PC ermöglicht. Der Angreifer kann diese Hintertür auch dazu mutzen, den Wurm unbemerkt zu aktualisieren.


Netsky.Q attackiert Tauschbörsen
Netsky.Q kopiert sich in die Datei sysmonxp.exe in den Windows-Ordner und legt eine DLL-Datei als firewalllogger.txt im Windows-Ordner ab. Anschließend verbreitet sich auch dieser Wurm mit Hilfe von eMail-Adressen, die er beim Durchsuchen der Festplattte aufspürt. Zudem startet Netsky.Q zwischen dem 8. und 11. April eine Massenanfrage an diverse Tauschbörsen, mit dem Ziel, die Server lahmzulegen.
Wie gefährlich sind Netsky und Bagle wirklich?
Symantec, Hersteller der Antiviren-Software Norton Antivirus, schätzt die Gefahr der Schädlinge als "moderat" ein. Keiner der aktuellen Würmer vernichtet direkt Daten auf der Festplatte, keiner richtet also unmittelbaren Schaden an. Auch Hardware-Defekte können von Computerviren nicht verursacht werden. Dennoch sind Netsky&Co ernstzunehmen. Alle in den letzten Monaten grassierde Würmer machen den PC verwundbar, indem sie so genannte Ports für den Zugriff von außen öffnen. Angreifer können somit ohne weiteres Zugriff auf sämtliche Daten des PC erhalten und sogar den Rechner fernsteuern.

[hisch]

Deutschsprachiger Wurm unterwegs



Eine neue Mutation des Sober-Wurms breitet sich sehr schnell im Datennetz aus. Nachdem die Gefahrenstufe bei diversen Herstellen von Schutzsoftware bereits hochgesetzt wurde, gab nun auch das Bundesamt für Sicherheit in der InforDeutsche Betreffzeilen und Nachrichten-Texte
Da sich Sober.F zum Teil mit Betreffzeilen und Texten in deutscher Sprache versendet, erwarten die Sicherheits-Experten eine hohe Verbreitung. So sind bisher zum Beispiel die Absender "Fehler-Info", "Kundenservice" oder "Abuse" aufgetaucht, die Betreffzeilen können unter anderem "Fehlerhafte Mailzustellung", "Hallo Du!" oder auch "Warnung!" lauten.


Post vom Internet-Provider
Einige der Sober-Mails versuchen sogar vorzutäuschen, vom Kundenservice des jeweiligen Internet-Anbieters zu stammen. Dazu zeigen sie einen Text mit der entsprechenden Provider-Domain an:
-------------------------------------------------------------------------------
+++ Ein Service von
+++ http:/ /www.<zufällig ausgewählte Internet-Domain>
+++ E-Mail: Kundenservice
-----------------------------------------------------------------------------


Wurm lauert im Mail-Anhang
Sober.F verschickt sich eigenständig als Dateianhang mit gefälschtem Absender an Adressen, die er auf dem infizierten System gefunden hat. Zur Infektion ist ein Klick des Anwenders auf den etwa 42 Kilobyte großen Dateianhang ausreichend.
mationstechnik eine Warnung vor dem Wurm aus.

[hisch]

Download Symantec Sober.A-F Removal Tool 1.0.5.0

Mit dem Symantec Sober.A-F Removal Tool lässt sich nachprüfen, ob das System vom Sober-Wurm (A bis F), befallen ist. Falls dies der Fall ist, kann der Virus gelöscht werden.

Der Schädling Sober.A tarnt sich als Warnung vor einem neuen Virus oder Trojaner, dazu kommen verschiedene deutschsprachige Texte zum Einsatz. Als Mail-Anhang wird ein angebliches "Removal-Tool" verschickt - darin versteckt lauert eben dieser Sober-Virus auf gutgläubige Nutzer. Wird der Anhang ausgeführt, zeigt der Wurm eine vermeintliche Fehlermeldung in Form einer Dialogbox an. Zur Verbreitung durchsucht der Schädling lokale Dateien nach eMail-Adressen und versendet sich über ein eigenes Mail-Programm an diese.

Die B-Variante des Sober-Wurms verbreitet sich ebenfalls per Mail-Anhang, wobei die Dateigröße der Beilage variiert. Auch die Betreffzeilen sind unterschiedlich und recht aktuell. Vom Vorgänger unterscheidet sich Sober.B vor allem durch tagesaktuelle Betreffzeilen und Nachrichtentexte, die beispielsweise "Ich habe Sie Ge-hackt", "Re: George W.Bush plans new wars" lauten. Darüber hinaus besitzt der Neuling nach Meldungen des deutschen Sicherheitsunternehmens H+BEDV eine raffinierte Schutzvorrichtung, die das Entfernen erheblich erschweren soll.

Die dritte Variante Sober.C verwendet deutschsprachige eMails mit drohenden Texten, die sich vor allem um das Filesharing drehen. Sober.C verschickt sich ebenso wie Sober.D über seine eigene SMTP-Engine an im Rechner gespeicherte Mail-Adressen.

Sober.D tarnt sich als Warnung vor einer neuen MyDoom-Variante. Absender sind stets gefälschte Microsoft-Adressen. Förderlich für die Verbreitung des Wurms ist, dass momentan tatsächlich neue MyDoom-Varianten im Umlauf sind.

Sober.F verschickt sich selbst mit gefälschtem Absender an Adressen, die er auf dem infizierten System gefunden hat. Dabei täuscht der Wurm vor, vom Virenschutz des Empfängers überprüft worden zu sein

http://download.t-online.de/download/dn/61LY3cTnXtYs/21933

[hisch]

Beseitigungs-Tools sind keine Virenschutz-Programme
Die Beseitigung von digitalen Schädlingen ist lediglich eine Sofort-Maßnahme und stellt keinen Ersatz für einen leistungsfähigen Virenscanner dar. Aktuell bedrohen noch gefährliche Würmer wie "Bagle" und "Netsky" die elektronischen Postfächer. Um sich langfristig besser zu schützen, sollten Internet-Nutzer für ihren PC zusätzliche Sicherheits-Strategien entwerfen.