Aktuelle Viren warnungen

[hisch]

Variante Sasser.G

Sasser.G ähnelt stark der Variante Sasser.F

Im Unterschied dazu verwendet diese Version den Dateinamen

avserve3.exe

für die Wurm-Datei.

Die erzeugten Mutexe haben bei Sasser.G die Namen

PinaasoSky
und
Jobaka3

[hisch]

W32/Tzet-B

W32/Tzet-B ist ein Netzwerkwurm.
W32/Tzet-B durchsucht das lokale Netzwerk nach Computern mit einfachen oder keinen Kennwörtern für das Administrator- oder Admin-Konto, auf die er sich dann kopieren kann.




Worm.Win32.Tzet
W32/Tzet.worm.e
Win32/Tzet.A.dropper

Verbreitungsweise Netzwerkfreigaben

Anfällige Betriebssysteme Windows

Legt Malware ab
Installiert sich in der Registrierung
Hinterlässt nicht infizierte Dateien auf dem Computer


Wiederherstellen

Windows NT/2000/XP/2003


Unter Windows NT/2000/XP/2003 müssen Sie außerdem den folgenden Registrierungseintrag bearbeiten. Die Entfernung dieses Eintrags ist unter Windows 95/98/Me optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung.


Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor.


Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup.


Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WUPD


Löschen Sie den Eintrag, sofern er existiert.


Schließen Sie den Registrierungseditor.


Überprüfen Sie Ihre Administratorkennwörter und die Sicherheit in Ihrem Netzwerk

[hisch]

Variante Glieder.H
Variante Glieder.I


Alias: Small.kv, Agent.cj

Erstes Auftreten: August 2004


Diese neue Variante wurde ebenfalls per Spam-Mails verteilt.

Die Mail enthielt ein Archiv mit dem Namen

FOTOS.ZIP

In der ZIP-Datei enthalten befindet sich eine HTML-Datei, die eine Sicherheitslücke ausnutzt, um die ebenfalls enthaltene EXE-Datei mit dem Namen

CALC.EXE

zu starten. Die Datei CALC.EXE kopiert sichin das Windows System-Verzeichnis mit dem Namen

DORIOT.EXE

und trägt sich in die Registry ein:

HKLM\Software\Microsoft\CurrentVersion\Run
HKCU\Software\Microsoft\CurrentVersion\Run

Dine Datei mit dem Namen

GDQFW.EXE

wird in das Windows System32-Verzeichnis kopiert. Diese Datei wird in den Prozessraum des Explorer.exe injiziert, so dass kein laufender Prozess mit diesem Namen gelistet wird. Das Programm kann Prozesse beenden, die zu den Update-Funktionen verschiedener Anti-Virus - Programme gehören.

Zudem können weitere Dateien heruntergeladen und ausgeführt werden und URLs im Cache des Rechners manipuliert werden.

[hisch]

Variante Mydoom.T
Alias: Mydoom.R

Erstes Auftreten: September 2004

Länge: 37888


Diese Variante wurde zuerst am 3. September 2004 entdeckt. Sie ist den vorherigen Versionen ähnlich.

Mydoom.T verbreitet sich in E-Mails mit abweichenden Texten, über Kazaa P2P (Peer-To-Peer) und installiert eine Backdoor-Komponente, die Port 5422 überwacht.

Der Wurm führt einen DDoS (Distributed Denial of Service) - Angriff auf die Webseite von Microsoft aus

[hisch]

Böse Grüße aus dem Lautsprecher

Die Programmierer von Viren und Würmern lassen sich immer originellere Dinge einfallen, um Aufmerksamkeit zu erregen. Erstmals ist jetzt ein Wurm aufgetaucht, der den PC-User akustisch anspricht. "Amus" nutzt dazu die in Windows XP integrierte Sprachfunktion. Ebenfalls kurios: Die Autoren des berüchtigten "MyDoom"-Wurms haben in den neuen Varianten des Schädlings ein Stellengesuch versteckt.
"I am cleaning your computer"
Einmal aktiviert, tönt es irgendwann aus den Lautsprechern "How are you. I am back. My name is mister hamsi." Das türkische Wort hamsi meint einen kleinen Fisch, ähnlich einer Sardelle, der im Schwarzen Meer gefischt wird. Weiter heißt es: "I am cleaning your computer. 5.4.3.2.1.0.". Die Sprachausgabe endet mit einem türkischen Abschiedsgruß: "Gule. Gule".
Geringe Gefahr
Der Wurm ist derzeit noch nicht weit verbreitet. Die meisten Hersteller von Antiviren-Software schätzen die Gefährdung gering ein. "Amus" verbreitet sich wie seine Artgenossen per eMail, unter anderem mit der Betreffzeile "Listen and Smile". Ahnungslose Windows-User, die die Datei im Anhang öffnen, verhelfen dem Wurm dazu, sich per eMail weiterzuverbreiten. Auf einem infizierten PC verändert "Amus" die Einstellungen des Internet Explorers derart, dass der Anwender anstelle seiner Startseite eine türkische Nachricht vorfindet. In dieser beschwert sich der Wurm-Autor über die Qualität der örtlichen Telefongesellschaften.

"MyDoom"-Autoren suchen Job
Für Irritationen sorgte in den vergangenen Tagen auch eine Botschaft der "MyDoom"-Autoren. Am vergangenen Wochenende sind neue Varianten des gefährlichen Wurms aufgetaucht, in deren Code Experten ein verstecktes Stellengesuch, gerichtet an die Hersteller von Antiviren-Software, entdeckt haben: "We searching 4 work in AV industry" heißt es dort nach einem Bericht des Softwareherstellers Sophos. Graham Cluley, Senior-Berater bei Sophos, schloss allerdings eine Karriere aus: "Wir werden niemals einen Virenprogrammierer einstellen", sagte Cluley. Antivirensoftware zu erstellen sei wesentlich schwieriger, als einen Virus in die Welt zu setzen. Im Gegensatz zu Viren, deren Funktion für den Autor egal sei, müsse eine Antivirensoftware immer funktionieren.


quelle t-online