Virus Wurm Warnung

[heini]

seit gestern habe ich etliche mails mit dem
virus W32.Klez.E bekommen!
diesen meist von bekannten ohne anschreiben.
norton antivirus hat ihn erkannt und isoliert.
er verschickt sich wohl selbstständig über outlook.
also mails ohne anschreiben mit anhang sofort löschen.
gruss heini

 

[Jakraphong]

Abart des W32.Klez.A@mm deaktiviert Virenscanner und einige ältere Würmer
 

Ein neuer E-Mail-Wurm mit großer Verbreitungsgefahr treibt laut Symantec sein Unwesen: Der W32.Klez.A@mm verbreitet sich hauptsächlich über noch nicht aktualisierte Versionen von Microsoft Outlook und Outlook Express, da diese den Schädling bei Vorschau und Ansicht der E-Mail automatisch ausführen. 

Der aktive W32.Klez.A@mm versucht bekanntere Antiviren-Produkte zu deaktivieren, Gleiches versucht er mit einigen älteren E-Mail-Würmern wie W32.Nimda and CodeRed. Mittels der Windows-Registry-Einträge "Wink[random characters] %System%\Wink[random characters].exe" und "WQK %System%\Wqk.exe" im Registry-Key "HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run" sorgt der Wurm dafür, dass er (Dateiname besteht aus Wink + zufälligem Anhang + .exe-Endung) und ein mitgeschleppter Dateiinfektionsvirus (Wqk.exe = Win32.Elkern.B) bei jedem Systemstart aufgerufen werden.

Der Wurm kopiert sich zudem in Form einer ausführbaren Datei mit zufälligem Namen (setup, install, demo, snoopy, picacu, kitty, play oder rock) und einer doppelten Dateiendung wie Dateiname.txt.exe auf lokale Partitionen und Netzwerklaufwerke. Außerdem kopiert er sich noch selbst als ein .rar-Archiv, ebenfalls mit zufälligem Namen und doppelter Dateiendung (Dateiname.txt.rar).

Außerdem durchsucht der Wurm das von Outlook genutzte Windows-Adressbuch nach E-Mail-Adressen und versendet sich selbst an alle gefundenen Adressen. Die mit W32.Klez.E@mm infizierten E-Mails haben zufällige generierte Betreffzeilen und Textnachrichten. Eine genaue Auflistung der Möglichkeiten hat Bitdefender auf seiner Website gelistet.

Der W32.Klez.A@mm soll ein großes Verbreitungspotenzial haben, indem er ein Sicherheitsloch in Outlook ausnutzt und Antiviren-Software deaktiviert. Symantecs Antiviren-Software Norton AntiVirus soll den W32.Klez.A@mm mit den Virusdefinitionen ab Montag, dem 21. Januar 2002 erkennen und löschen können. Konkurrenzprodukte dürften ebenfalls bald auf den W32.Klez.A@mm reagieren können.

Es ist auch hier wieder dringend anzumerken, dass die Nutzung von Microsoft Outlook und Outlook Express ein hohes Sicherheitsrisiko birgt, wenn nicht der von Microsoft angebotene Patch für den Internet Explorer 5.01 und 5.5 installiert wurde. Der Service Pack 2 für den Internet Explorer 5.01 enthält diesen Patch bereits. Eine Verbreitung des Wurms wäre so auch über eine entsprechend präparierte Website möglich.

Schrecklich, wenn sich der Wurm schon durch die Vorschau verbreitet.
Ich bin nicht geschützt. Mist, weil ich hasse Norton.
Jak

 

[Jinjok]

@Jakraphong
Durch die von Visitor angepriesenen Updates für den Internet Explodierer, sollte das Sicherheitsloch eigentlich geschlossen sein. Also ist es nur noch die Frage ob Du schon geupdatet hast oder nicht.
mfg jinjok

 

[Jakraphong]

ich hab immer noch den alten Spruch im Hinterkopf
"einen schlafenden Wolf soll man nicht wecken"
Seuffz


Letzte Änderung: Jakraphong am 04.03.02, 17:47

 

[Kali]

Und wieder ein neuer.....

Trend Micro und Kaspersky Labs warnen vor Virus KLEZ.G

Der Wurm tritt unter einer Vielzahl verschiedener und zufällig ausgewählter Betreffzeilen und Attachments auf.


Unter anderem Trend Micro und Kaspersky Labs haben roten Alarm ausgelöst: Der Computerwurm WORM_KLEZ.G verbreitet sich weltweit in raschem Tempo über E-Mail. Der Wurm trete unter einer Vielzahl verschiedener und zufällig ausgewählter Betreffzeilen und Attachments auf und besitze einen Schadteil, der Dateien im Windows Systemordner platziert, Massenmails sendet und Dateien löscht.

Der neue Computerwurm WORM_KLEZ.G sei eine Variante des bereits bekannten Massmailers WORM_KLEZ.A. Die aktuell kursierende Version unterscheide sich durch die vorhergehenden dadurch, dass sie bei Ausführung des Attachments eine Kopie von sich namens "WINK*.EXE" im Windows Systemverzeichnis schreibe und folgenden Registry-Eintrag erstelle:

HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunWink*=%system%\WINK*.EXE

Die Datei WQK.EXE (ungefähr 13KB) wird in das Windows Systemverzeichnis geschrieben (Attribute: versteckt, Systemdatei, Lesezugriff ). Diese wird von der TrendMicro Produktpalette als PE_ELKERN.B detektiert.

Die Infektion erfolge über das Netzwerk oder über E-Mail. Im Firmennetzwerk finde der Wurm Verbreitung, indem er Shares mit Lese-/Schreibzugriff ausfindig mache und Kopien mit den Endungen ".exe", ".pif", ".com", ".bat", ".scr" oder ".rar" von sich platziere. In einigen Fällen würden auch Kombinationen verschiedener Dateiendungen erzeugt.

Die Verbreitung via E-Mail erfolge über die eigene SMTP-Engine. Die Empfängeradressen erhalte der Wurm aus dem Windows Adressbuch (WAB), aus Dateien mit den Endungen ".mp8", ".exe", ".scr", ".pif", ".bat", ".txt", ".htm", ".html", ".wab", ".doc", ".xls", ".cpp", ".c", ".pas", ".mpq", ".mpg", ".bak" oder ".mp3" oder aus erhaltenen E-Mails.

Der Mailbody enthält den folgenden Text:

Win32 Klez V2.01 & Win32 Foroux V1.0
Copyright 2002, made in Asia
About Klez V2.01:
1,Main mission is to release the new baby PE virus, Win32 Foroux
2,No significant change. No bug fixed. No any payload

 

[Niko]

Jo so ne scheise,
mein Rechner ist total verseucht.

Bin schon seid stunden am Virenscannen, hab von Bruno die löschsoftware geholt.
Und die läst sich scheinbar nicht installieren.

Wenn nichts mehr geht geht nur noch "format c:"

Nun schon mehr als 13000 Daten und noch kein Virus gefunden.
Bekomme aber ständig Mails zurück die nicht bekannte User zeigen.
Wie kann der Wurm Mails an leute senden die ich nicht drin hab?

 

[Jinjok]

@Niko
Der Wurm durchsucht wie oben von Kali gepostet alle möglichen Arten von Dateien. Zum Beispiel auch Deine temporären Internetdateien. Da sind z.B. auch von Dir gelesene Forumsseiten gespeichert. Manche Foren haben im Quelltext die Mailadresse, die der Poster angegeben hat.

Wenn Der Wurm nun Deinen Browser-Cache mit den Seiten eines offenen Forums durchsucht, findet er natürlich auch die Mailangaben wie keine@web.de und sendet in Deinem Namen nun ein kleines Mail. Das kommt zurück, da die Adresse ein Fake ist. Die meisten werden aber ankommen.

Ich habe vorgestern den Iframe.Exploit zugesendet bekommen. Namen sag ich hier natürlich nicht. Da meine Foren-Mail kein Pop3-Account ist, hab ichs auch nicht runtergelden, sondern mein Scanner hat sofort beim Aufrufen der Mailer-Webseite das Teil erkannt, isoliert und ich habs dann in Seelenruhe gelöscht.

Aber das hat mich nur noch mal daran erinnert, daß es auch ohne MS Outlook als Mailer sinnvoll ist, die Patche für den Internet Explodierer draufzuspielen. Hatte ich bisher nicht für nötig befunden :- (

Allerdings würde ich sagen, bei Virusverdacht ist unverzüglich die Kabelverbindung zum Internet ausstöpseln, um nicht noch mehr Leute zu infizieren.
mfg jinjok

PS: Viel Erfolg als Kammerjäger

 

[Talkrabb]

Bei Puretech kannst du deine Emails schon auf dem Server nach Viren durchsuchen und reinigen lassen.

Nach anfänglichen Schwierigkeiten klappt das ganz hervorragend.
(Da www.thaifrau.de ca. 2000 Besucher pro Tag hat bekommen wir entsprechen viele virenverseuchte Emails)

 

[Visitor]

Hallo Niko,

Leider hast Du hier keinen Header einer gebouncten[1] Wurm-Mail zum besten gegeben. Evt. kann man daraus schlüsse ziehen um welchen Wurm es sich genau handelt.

Bei mir hier schlagen z.B. noch öfter Wurm-Mails vom "W32/Badtrans.B@mm"-Wurm auf, werden jedoch durch meinen Hamster über angegebene Killregeln auf dem Server gelöscht.


[1] Bouncing
Rücksendung einer E-Mail wegen eines Fehlers (z.B. ungültige E-Mail Adresse). Der Begriff stammt aus dem englischen und bedeutet eigentlich 'Aufprall' oder 'Zurückprall'.

 

[Niko]

Bis um 3:00 am virenjagen gewessen nun läuft der Rechner wieder.
Hatte Ihn über die Mailadresse vom Nelson eingefangen, ob es von ihm kam ist fraglich.

Der wurm hat hier so zimmlich alles gepackt was es gab sogar das Virenprogramm hat er geknackt.

 

[Visitor]

"...vom Nelson eingefangen, ob es von ihm kam ist fraglich."

Auch dies könnte evt. aus dem Header der Mail hervorgehen.
Eine Mail perfekt zu faken ist nicht ganz unmöglich, aber es gehört schon einiges dazu.

 

[Kali]

Einen Killer für alle Fälle...

 

[heini]

@alle,
folgender wurm? versucht täglich mehrmals auf meinen pc zu gelangen:
W32KlezH@mm
dank der wurmfalle von norton gelingt es ihm nicht
letzte nacht von folgender adresse:
mts@emirates.net.ae
betreff: Telephone Number

scheint recht harmlos.......... also vorsicht!

gruss heini

 

[Kali]

Gebe einfach einmal diese aktuelle Information weiter:

[hr:0fbc1575d0]

Hallo Freunde,

war ja lange Zeit etwas ruhiger, heute gleich drei neue Meldungen von der Virenfront, also bitte Augen auf und die Wiederholung: "Keinen Anhang öffnen von Mails nicht bekannter Absender und im Zweifelsfall lieber die Neugier besiegen und ab damit in den Orkus." Einen ordentlichen Virenscanner, den haben wir wohl in der Zwischenzeit alle.

--------------------------------------------------------------------------------


1. Falscher Win XP Patch unterwegs

Seit Pfingstmontag wird eine Nachricht über einen T-Online Account verschickt, in der angeblich ein Patch zum Betriebssystem enthalten ist.

Betreff und Text:

A WinXP patch

This is a WinXP patch I hope you would like it.

Diese Nachricht ist eine Fälschung. Tatsächlich befindet sich im Anhang der aktuelle Wurm KLEZ.

So etwas löschen wir ohne Kommentar!


--------------------------------------------------------------------------------


2. KLEZ-Infektionen über Webseiten?

Der aktuelle Internet-Wurm KLEZ und seine zahlreichen Varianten entwickeln sich zunehmend zu einer andauernden
weltweiten Epidemie im Netz. KLEZ setzt auf clevere schädliche Strategien, benutzt eine eigene SMTP-Engine für
seine Verbreitung und tarnt sich vielfach als angebliches Removal-Tool bekannter Hersteller von Sicherheitssoftware.

Bisher war man von einer Infektion ausgegangen, die ihren Ursprung in einer infektiösen Datei besitzt, die als Anhang einer Email an ahnungslose Internet Nutzer verschickt wird. In einem Fall wurden infektiöse Dateien allerdings im temporären Cache Verzeichnis des Internet-Explorers gefunden, was heißt, die Datei kann unmöglich über ein Email gestartet worden sein.

Bei den gefundenen Dateien handelt es sich um die typischen Dateien der Endung BAT und PIF. Dies nährt den Verdacht, dass der Wurm auch durch den Besuch von präparierten Webseiten das System infizieren kann, da die Infektion selbst völlig unbemerkt verläuft und auch die Versendung des Wurms als Bestandteil seiner schädlichen
Funktionen über eine eigene SMTP Engine völlig unbemerkt vom Anwender verläuft.

Virenscanner aktualisieren

--------------------------------------------------------------------------------


3. Trojaner Emulbox.A

Ein weiterer Trojaner macht sich im Netz breit, der einzig nur Einkommen generieren soll, indem er kommerzielle und pornographische Webseiten mit Werbe-Zähler aufruft, wobei der Seitenzugriffszähler automatisch angeklickt wird.

Der Trojaner wird als Anhang einer Email verschickt, die unterschiedliche Betreffzeilen und Inhalte haben kann. Eine sichere Identifizierung über die eingegangene Nachricht ist so nicht möglich.

Alternativ wird EMULBOX.A als XBox-Emulator auf verschiedenen Webseiten angeboten.

Die Downloaddatei trägt gewöhnlich den Namen:

EMU_xbox.exe

Wird die Datei ausgeführt, versteckt der Trojaner seine böswillige Aktivität hinter einer falschen Message-Box. Wenn der Benutzer auf den OK-Button klickt, fährt der Trojaner mit seinen böswilligen Aktivitäten fort, legt eine Datei
mit dem Namen NetNuie.exe im Windows System Verzeichnis ab und generiert Schlüssel zum Autostart in der Windows-Registry:

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/run NETBUIE %SYSDIR%NETBUIE.EXE

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/run NETBUIE%SYSDIR%NETBUIE.EXE

In den Datei-Eigenschaften gibt sich der Trojaner als Microsoft-Programm aus. Die Eigenschaften und der Name sind denen eines Windows Netzwerkprotokolls NETBUI sehr ähnlich.

Der Trojaner ist einzig zum Zweck der Einkommensgenerierung entwickelt worden, da er bisher keine weiteren schädlichen Funktionen enthält. Er nutzt die infizierten Rechner einfach nur als Zombie, um möglichst häufig die Ziel-Adressen aufzurufen.

Abhilfe: nach den Schlüsseln in der Registry suchen und gezielt löschen, ach die Datei NETBUIE.EXE muss im WIN Systemverzeichnis gelöscht werden.

[hr:0fbc1575d0]

 

[Kali]

Für Musik-Liebhaber, Kazaa-Freunde und Wurm-Benjamin-Anhänger.....

http://www.pcwelt.de/news/viren_bugs/23758/
http://www.pcwelt.de/news/viren_bugs/23758/2.html
http://www.pcwelt.de/news/viren_bugs/23775/
http://www.sophos.com/virusinfo/analyses/w32benjamina.html

Schönen Freiertag noch....

 

[Kali]

noch'n update-Hinweis....

 

[MadMac]

Wow, das iss ja ein ganz cooler und gerissener Wurm....laut PC Welt kann der "...gezielt Raubkopien und Kinderpornografien aufspüren." Wie macht der das? Waere ja gut, wenn sowas wirklich funktionieren wuerde, nicht die Raubkopien, aber die wirkliche Sauerei aufzuspueren. Bleibt aber wohl ein unrealisierbarer Wunschtraum...

Mac

 

[Kali]

Noch einen für die Viren-Freunde, aktuell von der Senioren-Front:

Hallo Freunde,
war ja einige Zeit Ruhe, hier ist der nächste Virus:

Ein neuer Virus stellt die Hersteller von Antiviren-Software vor Probleme: Simile.D kann nicht nur Microsoft- und Linux-Rechner gleichermaßen befallen. Er tarnt sich auch noch so perfekt, dass er von AV-Software kaum erkannt wird.

http://securityresponse.symantec.com/avcenter/venc/data/linux.simile.html
http://news.com.com/2100-1001-932423.html

Der Virus ist dabei derzeit nicht sehr weit verbreitet und richtet auch keinen größeren Schaden an. Er produziert lediglich zu bestimmten Terminen Meldungen auf dem Bildschirm, vernichtet dabei aber keine Daten.
Dennoch sehen die Hersteller von AV-Software in Simile eine Gefahr. Der Virus ist ein echter Verwandlungskünstler und kann sich an den herkömmlichen Kontrollen der AV-Produkte vorbeimogeln.

News.com sieht darin ein klares Problem: Um Viren dieser Art zu entdecken, müssen die AV-Produkte noch sorgfältigere Prüfungen vornehmen. Doch dabei besteht die Gefahr, dass diese Prüfungen so ausführlich und umfangreich geraten, dass man sie kaum noch als praktikabel bezeichnen kann. Der Einsatz von AV-Software würde sich dann als Hindernis bei der täglichen Anwendung erweisen.

Simile wurde bisher nur als "Concept Virus" veröffentlicht. Er soll nur die Machbarkeit seines Angriffsschemas beweisen. Jetzt stellt sich die Frage, wann er erstmals mit einer echten "Payload" ("Bombenfracht", Schadenspotential) befrachtet wird.
--

 

[Kali]

...keine echte Warnung, ein Hinweis. Gerade frisch reinbekommen...

da haben wir den ersten echten noch ungefährlichen JPEG-Virus!

McAfee hat den nach eigenen Angaben ersten JPEG-Virus gefunden, W32/Perrun. Anlass zur Besorgnis besteht derzeit aber nicht. Es handelt sich um einen "Proof of Concept" (Beweis des Machbaren) und nicht um eine sich ausbreitende Plage.

Der Virus besteht auch nicht aus der Grafikdatei alleine, sondern vielmehr aus zwei Komponenten:

Einem Extraktor und dem befallenen JPEG.

Befindet sich der Extraktor im gleichen Verzeichnis und ist in der Registry mit dem Aufruf von JPEG-Dateien verknüpft, so wird die virale Komponente des JPEG extrahiert und ausgeführt. Das bedeutet unter anderem, dass eine weitere JPEG-Datei infiziert wird.

Mit einer Verbreitung des Virus ist derzeit nicht zu rechnen, da er ohne den Extraktor wirkungslos ist. Ist der Extraktor allerdings auf einem Rechner installiert, hat der JPEG-Virus ein beträchtliches Schadenspotential, da seine "Bombenfracht" (Pay Load) variiert werden kann.

 

[Kali]

I-Worm.Frethem.K

wer ihn hat, kann sich hier was runterholen: