Viren, Würmer, Trojaner & Co.

[EO]

Hatte auch den Mist drauf.denke schon wer hat mir diese Mails geschickt.antivirus konnte nichts entdecken.avast hat dann trojaner entdeckt.legte mein System selbst langsamer.avast wieder weg .System wieder schnell.dafür aber wieder %spyroot%
trojaner onboard.

 

[Rene]

Pishing-Attacke auf eBay-Kunden
06.06.2005
eBay - Derzeit kursiert wieder eine gefälschte E-Mail, die aber für einmal auf Deutsch für die Eingabe von Passwortinformationen zu eBay-Konten wirbt. Wer den angegebenen Link besucht, landet statt bei eBay auf einem Zombie-Rechner in Thailand. Der Zombie-Rechner in Thailand wirbt für den Besuch mit der Absender-Adresse "aw-benutze@ebay.de", der anklickbare Link geht auf https://signon.ebay.de. Der Text ist an sich unglaubwürdig, bei einem Klick auf den Link kommt man aber auf eine gefälschte Fake-Seite in Thailand, die genau so aussieht wie die Seite in Deutschland. Die IP-Adresse des Zombie-PCs in Thailand gehört oder gehörte dem thailändischen Erziehungsministerium, die Maschine dürfte also geknackt worden sein.

Quelle: Online PC

 

[woma]

Heise: Phishing-IQ-Test: Finde die echten und falschen Mails

woma

 

[JT29]

"Die IP-Adresse des Zombie-PCs in Thailand gehört oder gehörte dem thailändischen Erziehungsministerium, die Maschine dürfte also geknackt worden sein. "

Das ist ja wieder interessant - ich habe früher SPAMs zurückverfolgt und dabei wurde genau dort durch ein offenes Relay die Spam verschickt - offen wie ein Scheunentor. Es scheint also immer noch dort etwas im Argen zu liegen :-(

Juergen

 

[Rene]

E-Mail zu Michael-Jackson-Fakemeldung schleust Trojaner ein

Hersteller von Antivirensoftware warnen vor einer kursierenden E-Mail, die über einen angeblichen Selbstmordversuch des US-Sängers Michael Jackson berichtet. Ein Link in der Nachricht soll dem Leser einen Blick auf einen angeblichen Abschiedsbrief des Sängers erlauben. Nach Angaben des Software-Herstellers Sophos installiert die so aufgerufene Website jedoch per Javascript den Trojaner Troj/Borobt-Gen auf dem Rechner des Anwenders, während sie eine – bei diesem Thema gar nicht unwahrscheinliche – Überlastung des Webservers anzeigt. Am heutigen Samstagmorgen ist der Server bereits nicht mehr erreichbar gewesen.

Quelle: heise

 

[a_2]

Hallo,

heute morgen fand ich die folgende Mail in meinem Posteingang:

Received: from [213.165.64.100] (helo=mx0.gmx.net)
by mx16.web.de with smtp (WEB.DE 4.105 #297)
id 1E30UJ-0008UR-00
for ###(at)web.de; Thu, 11 Aug 2005 01:59:59 +0200
Received: (qmail 23680 invoked by alias); 10 Aug 2005 23:59:58 -0000
Delivered-To: GMX delivery to ###(at)gmx.de
Received: (qmail invoked by alias); 10 Aug 2005 23:59:58 -0000
Received: from host128.ipowerweb.com (HELO host128.ipowerweb.com) [66.235.192.134]
by mx0.gmx.net (mx040) with SMTP; 11 Aug 2005 01:59:58 +0200
Received: from srikxiu (189.167.219.58)
by host128.ipowerweb.com; Wed, 10 Aug 2005 17:01:11 -0700
Message-ID: <005a01c4c2e3$c10ba335$82858050@srikxiu>
Reply-To: <####(at)opodo.de>
From: <####(at)opodo.de>
To: <####(at)gmx.de>
Subject: Ihre Opodo Tickets wurden bereits versandt
Date: Wed, 10 Aug 2005 17:01:11 -0700
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_005A_01C48050.8285A335"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-GMX-Antispam: -2 (not scanned, spam filter disabled)
X-Resent-By: Forwarder <####(at)gmx.de>
X-Resent-For: ####(at)gmx.de
X-Resent-To: ####(at)web.de
Sender: SRS0=+D4A=WN=opodo.de=####(at)gmx.de



Sehr geehrter Opodo-Kunde,

vielen Dank für Ihre Buchung bei Opodo.

Wir schicken Ihnen Ihre Reisedokumente umgehend mit der Deutschen Post zu.
Sollten Sie Ihre Tickets nicht innerhalb der nächsten drei Werktage
erhalten, setzen Sie sich bitte mit unserem Kundenservice in Verbindung.

Bitte begleichen Sie umgehend die offene Rechnung: 869.99 Euro (im Anhang beigelegt)

Bitte überprüfen Sie Ihre Tickets umgehend nach Erhalt. Sollten Sie
Unstimmigkeiten feststellen oder weitere Fragen haben, rufen Sie uns an oder
schreiben uns eine E-Mail. Wir sind von Montag bis Freitag von 8 bis 23 Uhr
und am Wochenende von 8 bis 18 Uhr für Sie da.

Denken Sie daran, Ihre Flüge frühestens 48 Stunden vor Abflug bei der
gebuchten Fluggesellschaft rückzubestätigen. Wenn Sie versäumen Ihre Buchung
direkt bei der Fluggesellschaft rückzubestätigen, kann dies zu einer
Stornierung führen.

Die empfohlene Check-In-Zeit vor Abflug beträgt bei internationalen
Flügen 120 Minuten und 60 Minuten bei innerdeutschen Flügen.

Wir wünschen Ihnen eine gute Reise!


Ihr Opodo-Team

Besonders da Attachment, hat mich skeptisch gestimmt:

Attachments: rechnung.pdf.exe

Zudem glaube ich kaum das bei Opodo mit Outlook Express gearbeitet wird.

Also wieder nur ein blöder Wurm..

Abgeschickt von einem (warscheinlich mit einem Spam-Trojaner infiziertem) Rechner in Südamerika

Search results for: 189.167.219.58


OrgName: Latin American and Caribbean IP address Regional Registry
OrgID: LACNIC
Address: Potosi 1517
City: Montevideo
StateProv:
PostalCode: 11500
Country: UY

Stefan

-18

 

[Kali]

Ja, es grassiert im Moment ;-D

Ich selbst bin auch seit neuestem Kunde der Commerzbank, die wollten mal eben zum Datenabgleich meine Angaben checken - natürlich aus Sicherheitsgründen.

Die Commerzbank habe ich noch nie von innen gesehen ;-D

 

[Rene]

Trojaner tarnt sich als Rechnung für Flugtickets

Pünktlich zur Reisezeit haben sich die Virenautoren eine neue Masche einfallen lassen, um ihre Schädlinge an den Mann zu bringen. Als angebliche Rechnungs-Mail für einen beim Online-Reisedienst Opodo gebuchten Flug landet ein Trojaner im Anhang beim Empfänger[..]

Quelle: heise

René

 

[Maenamstefan]

Commerzbank, die wollten mal eben zum Datenabgleich meine Angaben checken - natürlich aus Sicherheitsgründen.

Hatte ich auch schon von der Deutschen Bank und Citibank
Gruss aus Berlin

 

[Rene]

Plug&Play-Wurm Zotob im Internet unterwegs

Ein neuer Wurm namens Zotob nutzt die letzte Woche bekannt gewordene Schwachstelle der Windows Plug&Play-Schnittstelle, um Windows-Systeme übers Netz zu infizieren. Microsoft hat letzte Woche einen Patch für dieses Problem bereit gestellt; bereits wenige Tage danach sind erste Exploits veröffentlicht worden. Gefährdet sind vor allem ungepatchte Windows-2000-Systeme, weil hier der Zugriff auf die Plug&Play-Dienste anonym übers Netz möglich ist.

Windows-XP-Systeme mit Service Pack 2 und Windows 2003 Server erfordern dazu laut Microsoft eine erfolgreiche Authentifizierung als Administrator, bei Windows XP mit Service Pack 1 genügt der Zugang zu einem eingeschränkten Benutzerkonto. Diese Systeme kann Zotob folglich nicht infizieren, ohne beispielsweise Zugangsdaten zu erraten.

Plug&Play-Wurm Zotob nicht nur auf Windows 2000 beschränkt

Das Internet Storm Center weist darauf hin, dass der Plug&Play-Wurm Zotob nicht nur Windows 2000 über das Netzwerk befallen kann, sondern in bestimmten Fällen auch Windows Server 2003. So nutzt Zotob zum Infizieren von Windows 2000 so genannte Null Sessions, mit denen sich ohne echte Authentifizerung beispielsweise Nutzerkonten, Shares, Gruppen und andere Informationen abfragen lassen.

In Standardinstallationen von Windows XP SP2 und Windows Server 2003 sind diese Null Sessions deaktiviert. Unter Umständen ist es jedoch laut ISC erforderlich, diese wieder zu aktivieren, beispielsweise wenn ein System als SQL- oder Exchange-Server oder als Domänen-Controller arbeiten soll. Dann kann Zotob auch in diese System eindringen.

Quelle: www.heise.de

 

[Rene]

news 17.08.2005 08:58

Plug&Play-Wurm befällt US-Medien, Firmen und Capitol

Der Computerwurm Zotob in einer seiner mittlerweile vielen Varianten hat die IT-Systeme zahlreicher Unternehmen in der ganzen Welt befallen. Wie US-Medien berichteten, seien die Computer der amerikanischen Fernsehanstalten CNN und ABC, der Nachrichtenagentur AP, der Tageszeitung New York Times sowie des Capitols in Washington und verschiedener US-Unternehmen teilweise lahm gelegt worden. CNN meldete, dass auch der größte US-Baumaschinenkonzern Caterpillar in Peoria (Illinois) betroffen war. Laut dem Wall Street Journal sind zudem die IT-Systeme von Disney, Kraft Foods und United Parcel betroffen gewesen, es sei aber kein größerer Schaden entstanden. Ein Sprecher von DaimlerChrysler in den USA erklärte gegenüber dem Blatt, in 13 Produktionswerken des Konzerns sei der Wurm massiv aufgetaucht; es habe aber keine Störungen gegeben.

Der Wurm namens Zotob nutzt die Schwachstelle der Plug&Play-Schnittstelle, um Windows-Systeme übers Netz zu infizieren. Microsoft hat letzte Woche einen Patch für dieses Problem bereit gestellt; bereits wenige Tage danach sind erste Exploits veröffentlicht worden. Mittlerweile zählt beispielsweise Symantec bereits die Variante E des Wurms, Nach Informationen der Antiviren-Hersteller läuft der Wurm nicht nur auf Windows 2000, sondern kann, auf Systemen mit Windows 95/98/Me, NT4 und Windows XP gestartet, diese Systeme nutzen, um andere Rechner, die übers Netz erreichbar sind, zu infizieren. Die Backdoor-Funktionen etwa entfaltet Zobot bislang nur unter Windows 2000. Trend Micro warnt zudem vor dem Wurm unter dem Namen WORM_RBOT.CBQ, der an den Infektionen der US-Systeme über die Plug&Play-Sicherheitslücke beteiligt sein soll und auf infizierten Systemen über IRC-Channel auf Befehle wartet. McAfee beschreibt diesen Wurm als W32/IRCbot.worm!MS05-039.

Anwender sollten so schnell wie möglich die von Microsoft herausgegebenen Patches für die jüngst bekannt gewordenen Sicherheitslücken, darunter das Leck in der Plug&Play-Schnittstelle, installieren. Weitere Hinweise zum Schutz vor Viren und Würmen bieten die Antiviren-Seiten von heise Security.

Quelle: Heise

 

[Rene]

Webseiten können Windows-Zwischenablage auslesen

Anwender des Internet Explorer sollten vor dem Surfen den Inhalt der Windows-Zwischenablage löschen. Andernfalls können präparierte Webseiten unter Umständen vertrauliche Daten auslesen, die der Anwender zuvor in die Ablage kopiert hat. So bietet etwa die aktuelle Version 9.0 der Verschlüsselungs-Suite PGP Funktionen, um Daten in der Zwischenablage zu ver- und entschlüsseln, zu signieren sowie zu prüfen. Ist währenddessen eine Seite in Microsofts Browser geöffnet, kann diese ohne Warnung oder Nachfrage auf die Daten zugreifen.

Quelle: heise

 

[Rene]

"Katrina" als Trojaner-Falle missbraucht

Im Rahmen einer groß angelegten Spam-Aktion sind derzeit verschiedene Mails im Umlauf, die angeblich neue Informationen zum Wirbelsturm Katrina versprechen. Der Hurrikan hatte weite Teile der US-amerikanischen Golfküste verwüstet; inzwischen werden tausende Tote befürchtet. In der Betreffzeile der vermeintlichen Info-Mails steht beispielsweise "Katrina killed as many as 80 people" oder auch "Hurricane! We probably have 80 percent of our city underwater". Im Text wird dann auf Web-Seiten verlinkt, wo zusätzliche News zu den Folgen des Wirbelsturms abrufbar sein sollen -- jedoch sind die fraglichen Web-Seiten mit Trojanern präpariert.

Quelle: heise

 

[Rene]

Trojaner nutzt Mitleid mit Hurrikan-Opfern aus

(cid) - Keinerlei Mitgefühl haben die Autoren verschiedener Trojaner mit den Opfern der Hurrikan-Katastrophe von New Orleans. Sie verschicken E-Mails in alle Welt hinaus, in denen neue Informationen zur Tragödie versprochen werden, die der Wirbelsturm "Katrina" ausgelöst hat. Tatsächlich aber fängt sich der E-Mail-Adressat eine Datei ein, die Fremden Zugriff auf seinen PC ermöglicht. Das schädliche Programm gelangt über eine Sicherheitslücke im Internet Explorer in den PC. Die Lock-Mails enthalten unter anderem die Betreffzeilen "Tropical storm flooded New Orleans", "80 percent of our city underwater" oder "Katrina killed as many as thousand people". Abwandlungen dieser Zeilen sind dabei wahrscheinlich. Der Text der Mail enthält nur eine kurze Nachricht mit dem Verweis auf eine weiterführende Webseite. Wer auf diesen Link klickt, fängt sich den Trojaner ein. Unterdessen versuchen andere, mit dem Unglück bei Ebay Profit zu machen: Dort wird zurzeit eine Katrina-Domain versteigert. Höchstgebot im Moment: über 25 000 US-Dollar.

Quelle: yahoo

 

[Rene]

Trojaner verbreitet islamische Moral

Yusufali-A zitiert Koran und zwingt User zum Neustart

Abingdon (pte) - Yusufali-A heißt das kürzlich entdeckte trojanische Pferd, das die Titelanzeige des gerade aktiven Webbrowsers absucht. Der Trojaner wird tätig sobald er eines von vorgegebenen einschlägigen Worten, wie sex, xxx und exibitionism, entdeckt, berichtet das EDV-Security-Unternehmen Sophos Sobald Yusufali-A eine Webseite auf diese Weise als pornographisch identifiziert hat, wird das Browserfenster minimiert und stattdessen eine Koransure angezeigt. Wird die Seite des Anstoßes nicht umgehend geschlossen, erscheint ein Button mit dem Text "For Exit Click Here". Bewegt man jedoch den Mauszeiger auf diesen Knopf, so wird der Coursor in dem Fenster eingefroren und der User wird gezwungen den PC neu zu starten, so Sophos. Aufgrund der Programmierung von Yusufali-A werden jedoch auch harmlose Webseiten blockiert, teilte das Unternehmen mit.

Quelle: yahoo

 

[Rene]

Trojaner tarnt sich als eBay-Mahnung

Ähnlich den gefälschten E-Mails vor sechs Wochen, die angeblich vom Versandhändler Otto stammten, sind seit heute Mails im Umlauf, die eine Kontosperrung in sieben Tagen androhen, sollte man die eBay-Gebühren in Höhe von 600,59 Euro nicht umgehend zahlen. Durch diesen Schreck werden sicher wieder einige Empfänger den Anhang Ebay Rechnung.pdf.exe per Doppelklick öffnen -- zumal die .exe-Datei als Icon das PDF-Symbol enthält.

Bei Ausführung des E-Mail-Anhangs aktiviert sich der Download-Trojaner TROJ_RECHNUNG.A und lädt Schadcode von mehreren Systemen im Internet nach. Es handelt sich dabei um eine Wurm-Komponente für Peer-to-Peer-Netze wie Kazaa und Imesh, einen Keylogger, der für den Trojaner Goldun entwickelt wurde (mcfCC4.dll), sowie ein Rootkit für Goldun (mcfdrv.sys), mit dem sich der Trojaner versteckt.

Quelle: heise

 

[a_2]

Virus auf Download-Seiten eines Board-Herstellers

Vorsicht beim Download von den Web-Seiten des BIOS- und Motherboard-Herstellers American Megatrends: Zumindest ein Utility zur Identifizierung des Motherboards ist mit einem Virus infiziert. Wer das Programm mbid14.exe von den AMI-Seiten herunterlädt und unter Windows startet, infiziert sein System mit dem Virus Parite. Dabei präsentiert das selbstentpackende Archiv den normalen Dialog zur Abfrage, wohin das Tool entpackt werden soll. Das ausgepackte Utility ist zwar voll funktionsfähig, aber im Hintergrund beginnt der Virus bereits, alle ausführbaren Dateien zu infizieren.

Quelle: Heise Online

 

[Rene]

Auch Linux-Thunderbird führt Shell-Befehle aus

Auch Thunderbird weist die gestern in Firefox bekannt gewordene Schwachstelle auf, durch die beim Programmaufruf mit URLs als Parameter Shell-Befehle ausgeführt werden. Dies könnte über mailto:-Links in Web-Seiten ausgenutzt werden, wenn Thunderbird als Standard-Mailprogramm im Browser eingerichtet ist.

Quelle: heise

 

[Rene]

Office-Trojaner dringt über seit sechs Monaten ungepatchte Lücke ein

Microsoft untersucht nach US-Berichten einen kürzlich aufgetauchten Trojaner, der eine seit April bekannte Lücke in Microsoft Office ausnutzt -- ein Patch haben die Redmonder dafür bisher nicht veröffentlicht. Der von Symantec Backdoor.Hesive getaufte Schadcode versteckt sich in Access-Dateien (.mdb) und verursacht beim Laden in Access einen Buffer Overflow, über den er sich auf den Rechner kopiert und startet.

Quelle: heise

 

[martinus]

mein persönlicher Tip (ist fast schon ne Binsenweisheit)

Nicht auf jeden Anhang klicken und auch nicht unbedingt in der Vorschau betrachten, wenns ein dubioser Absender ist.

Das sagen wir unseren Anrufern auch immer wieder.... infizierte Rechner laufen meist nicht so toll und verursachen ne Menge Arbeit.

Wenn ihr mal nen hartnäckigen Browser-Hi-Jacker oder ne andere Malware auf dem Rechner habt und Windows garnichtmehr startet, dann probiert mal das:

Ins BIOS und das Datum auf ca. 2 Jahre zurückstellen, Windows starten und dann in Ruhe auf die Prisch gehen.
Dann braucht man nur noch Geduld und die richtigen Tools.

Martin