Aktuelle Viren warnungen

In dieser Kategorie findet ihr aktuelle Infos über Viren Trojaner Würmer natürlich auch Möglichkeiten/Programme und Tips diese wieder loszuwerden

Moderator: hisch

Re:Aktuelle Viren warnungen

Beitragvon hisch » 05.04.2004, 17:29

Düsseldorf (rpo). Virenexperten warnen vor einer neuen Variante des Sober-Wurms. Der Trick von Sober-F (W32/Sober-F): Der Wurm kann eine Nachricht am Textende der infizierten E-Mail anhängen, die behauptet, die E-Mail sei bereits auf Viren geprüft und virenfrei.
Sober-F trat erstmals am Wochenende auf und verbreitet sich via E-Mail, warnt das Antiviren- und Antispam-Software-Unternehmen Sophos. Die Betreffzeile kann stark variieren. Die Texte reichen von 'Oh my God', 'Hi, it's me', 'Well, surprise?!' bis zu 'Bad Gateway'. Sobald die angehängte Datei geöffnet ist, beginnt der Virus, nach E-Mail-Adressen auf der Festplatte des Computers zu suchen, an die er sich anschließend selbst verschickt.

Stößt Sober-F auf eine deutsche E-Mail-Adresse, wechselt er die Sprache und leitet sich mit einem deutschen Text weiter. 'Der Trick mit der gefälschten Virenprüfung ist für alle ungeduldigen PC-Benutzer fatal. Aber angesichts des Schadens, den Viren anrichten, lohnt es sich etwas Zeit in die IT-Sicherheit zu investieren', meint Gernot Hacker, Senior Technical Consultant bei Sophos. 'Die Tatsache, dass Sober-F während des Wochenendes auftrat, zeigt wie wichtig vor allem automatische Antiviren-Updates geworden sind.'
Besuch mal meine Homepage
http://www.pentragon.de.ms

Ein Ring sie zu knechten,
Sie alle zu finden,
Ins dunkel zu treiben,
Und ewig zu binden.

Bild
Benutzeravatar
hisch
phpBB God
 
Beiträge: 1190
Registriert: 28.01.2003, 23:58
Wohnort: weis nix oder Irgendwo wie???

Re:Aktuelle Viren warnungen

Beitragvon Jazzy » 06.04.2004, 13:42

hatte heut bei yahoo (online nicht mailprogramm) ne mail mit anhang bekommen

"
Nur registrierte Benutzer können in diesem Forum Links sehen!
Registriere dich oder logge dich ein!
Info Mo 05.04     58k"

bei Info war der Anhang....
Yahoo bietet ne Funktion zum scannen der Datei bevor man diese runterlädt...
und hat prompt bei dieser Mail n Virus gefunden
wenn ich mich nicht alles täuscht war es einer von der Sorte Win32.Sober.F bin mir aber nicht mehr sicher.... :-\
Jazzy
Sr. Member
 
Beiträge: 281
Registriert: 10.01.2004, 12:12
Wohnort: Wolfsburg

Re:Aktuelle Viren warnungen

Beitragvon hisch » 06.04.2004, 14:49

na denke ein sober f ist das nicht
hier info zum sober variante f
Sober.F wurde das erste Mal am 04. April 2004 in Deutschland gefunden.

Der Wurm wurde in Visual Basic programmiert. Der Wurm-Code befindet sich in einer PE EXE-Datei, die mit einer modifizierten Variante von UPX komprimiert wurde. Für den Versand infizierter E-Mails benutzt der Wurm eine eigene SMTP-Engine.

Der Wurm installiert sich im System, indem er seinen Code im Windows System-Verzeichnis unter einem zufällig gewählten Namen ablegt und zwei Startup-Keys in der Registry einträgt. Für die Generierung des Namens verwendet er folgende Zeichenketten:

crypt
data
diag
dir
disc
expolrer
host
log
run
service
smss32
spool
sys
win
32

Zusätzlich generiert er zwei leere Dateien im gleichen Verzeichnis:

bcegfds.lll
zmndpgwf.kxx

In die Registry fügt er einen Startup Key ein:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Der Name des Subkeys wird ebenfalls zufällig festgelegt. Der Wert des Subkeys ist der Pfad zum Wurm-Code im Windows System-Verzeichnis.
Besuch mal meine Homepage
http://www.pentragon.de.ms

Ein Ring sie zu knechten,
Sie alle zu finden,
Ins dunkel zu treiben,
Und ewig zu binden.

Bild
Benutzeravatar
hisch
phpBB God
 
Beiträge: 1190
Registriert: 28.01.2003, 23:58
Wohnort: weis nix oder Irgendwo wie???

Re:Aktuelle Viren warnungen

Beitragvon hisch » 06.04.2004, 14:55

Erstes Auftreten: April 2004

Länge: 18432


Netsky.T wurde das erste Mal am 06.April 2004 gefunden. Diese Variante ist mit Netsky.S eng verwandt und besitzt ebenfalls weniger Funktionen.Netsky.T breitet sich nicht in lokalen und P2P-Netzwerken aus und deinstalliert nicht Bagle. Das Backdoor überwacht den Port 6789.

Der Wurm-Code befindet sich in einer PE EXE-Datei, die mit PE-Patch und UPX komprimiert wurde. Einige Text im Wurm-Code wurden verschlüsselt.

Wird der Wurm aufgerufen, kopiert er seinen Code unter dem Namen

EastAV.EXE

in das Windows Verzeichnis. In die Registry fügt er einen Startup-Key ein:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"EasyAV" = "%WinDir%\EasyAV.exe"

ein. Zusätzlich legt der Wurm die Datei

uinmzertinmds.opm

im Windows-Verzeichnis ab. Diese Datei enthält die MIME-verschlüsselte Kopie des Wurms für den Versand infizierter E-Mails..

Netsky.T hat jeweils zwei Kopien seines Codes im Speicher resident. Wird eine beendet, wird diese von der anderen Kopie erneut gestartet. Zusätzlich schützt der Wurm seine Kopien gegen das Löschen. Dadurch wird die manuelle Säuberung infizierter Systeme erschwert.
Besuch mal meine Homepage
http://www.pentragon.de.ms

Ein Ring sie zu knechten,
Sie alle zu finden,
Ins dunkel zu treiben,
Und ewig zu binden.

Bild
Benutzeravatar
hisch
phpBB God
 
Beiträge: 1190
Registriert: 28.01.2003, 23:58
Wohnort: weis nix oder Irgendwo wie???

Re:Aktuelle Viren warnungen

Beitragvon hisch » 06.04.2004, 14:56

Lovgate.W wurde das erste Mal am 05. März 2004 gefunden.

Der Wurm-Code wurde mit ASPack und JDPack komprimiert. Einige Texte im Wurm-Code wurden mit ROT13 "verschlüsselt".

Beim Aufruf des Wurms kopiert er seinen Code nach

%sysdir%\RAVMOND.EXE
%sysdir%\hxdef.exe

und fügt den Eintrag

[HKLM\'SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Hardware Profile" = %sysdir%\hxdef.exe

in die Registry ein.

Lovgate.W wird auch von einem Eintrag in der WIN.INI gestartet
Besuch mal meine Homepage
http://www.pentragon.de.ms

Ein Ring sie zu knechten,
Sie alle zu finden,
Ins dunkel zu treiben,
Und ewig zu binden.

Bild
Benutzeravatar
hisch
phpBB God
 
Beiträge: 1190
Registriert: 28.01.2003, 23:58
Wohnort: weis nix oder Irgendwo wie???

VorherigeNächste

Zurück zu Alles rund um Viren Trojaner Würmer

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste