Sicherheitshinweis - Wurm

  • So richtig paßt das hier zwar wohl nicht hin, aber vielleicht für den einen oder anderen doch von Interesse - ein paar hilfreiche und verständliche Infos für ne

    [blink]Wurmkur[/blink]

    C l a v e l i n a

    In jedem Ende liegt ein Neubeginn

  • Und hier noch was Aktuelles - Microsoft stößt Warnungen aus ;) - öfter mal was Neues. Es wird dringend angeraten, Security Updates für Windows, IE und Outlook Express zu installieren.

    T-Online hat die relevanten Updates und ein paar Infos dazu HIER ganz übersichtlich zusammengestellt - also auf, auf!

    C l a v e l i n a

    In jedem Ende liegt ein Neubeginn

  • Mal noch ein kleiner Hinweis am Rande. Ich habe kürzlich mehrere Rechner installiert, die noch nicht mit Firewall geschützt waren. Und bei jeder Einwahl hatte ich mir ruck-zuck den Lovesan A eingefangen - zwar abgefangen durch den AntiVir XP - aber ständig fuhr mir der PC runter.

    Also immer schön auf dem Laufenden bleiben!

    C l a v e l i n a

    In jedem Ende liegt ein Neubeginn

  • W32/Cissi-B
    Alias: Worm.Win32.Pinom.c, W32/Imbiat.worm, Win32/Pinom.C, W32.Cissi.A@mm

    Typ : Win32-Wurm

    Zum jetzigen Zeitpunkt hat Sophos lediglich eine Meldung dieses wurms als "in the wild" erhalten.


    Erläuterung :
    W32/Cissi-B ist ein Wurm, der versucht, sich per E-Mail über SMTP zu verbreiten, und indem er sich auf Netzwerkfreigaben mit einfachen Kennwörtern kopiert. Der Wurm ermöglicht unbefugten Fernzugriff auf den Computer via IRC-Kanälen.

    Der Wurm kopiert sich als PENIS.EXE in den Windows-Systemordner und ändert das [boot]-Feld in der SYSTEM.INI (oder WIN.INI unter MS Win NT/2000/XP), damit er beim Systemstart aktiviert wird. Unter Windows NT basierten Systemen kann der Wurm den folgenden Eintrag in der Registrierung ändern, damit der Wurm beim Systemneustart aktiviert wird:

    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

    W32/Cissi-B kann versuchen, sich per E-Mail an Adressen zu senden, die er auf der Festplatte des Anwenders aufgespürt hat.

    W32/Cissi-B versucht, sich in den Autostart von remoten freigegebenen Computern zu kopieren als !IMPORTANT!.EXE oder SETUP.EXE.

  • Troj/HacDef-100
    Alias
    Backdoor.HacDef.084, Win32/HacDef.084, Backdoor.HackDefender

    Typ
    Trojaner

    Zum jetzigen Zeitpunkt hat Sophos lediglich eine Meldung dieses Trojaners als "in the wild" erhalten.


    Erläuterung
    Troj/HacDef-100 ist ein Backdoor-Trojaner, der auf NT/2000/XP-Betriebssysteme abzielt. Neben unbefugten Fernzugriff zu ermöglichen, kann dieser Trojaner Informationen über das System des Opfers versteckten, u. a. Dateien, Ordner, Prozesse und Registrierungseinträge.

  • W32/Hiton-A
    Typ
    Win32-Wurm

    Zum jetzigen Zeitpunkt hat Sophos keine Meldungen von Anwendern erhalten, die von diesem wurm betroffen sind. Dieser Hinweis wird aufgrund von Kundenanfragen an unsere Supportabteilung herausgegeben.


    Erläuterung
    W32/Hiton-A ist ein Massmailing-Wurm, der sich per E-Mail mit Hilfe seiner SMTP-Engine an Adressen sendet, die er in Adressbüchern und Dateien auf der Festplatte aufgespürt hat.

    Wenn er erstmals ausgeführt wird, zeigt W32/Hiton-A folgende gefälschte Fehlermeldung an:

    "Connection Error 66473:

    Please check you Internet Connection or
    Firewall. If the Error occurs again you
    should Contact your ISP"

    Der Wurm kopiert sich als SVCHOST.EXE in den Windows-Systemordner und erstellt die folgenden Dateien im selben Ordner:

    MSSVC.DLL - eine Komponente des Wurms
    WSUCK32.DLL - eine Liste mit Dateinamen
    WSICK32.DLL - eine Liste mit E-Mail-Adressen, an die sich der Wurm versendet hat

    W32/Hiton-A erstellt Registrierungseinträge an folgenden Stellen, so dass er gestartet wird, sobald sich ein Benutzer an dem Computer anmeldet:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    HKCU\Software\Microsoft\Command Processor\AutoRun
    HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

    Die von dem Wurm versendeten E-Mails haben folgende Merkmale, die aus den nachfolgenden Listen ausgewählt werden:

    Betreffzeile:

    TONA, you have to see this!
    hey wuts up?
    hey wuts up TONA?
    Very funny
    Useful
    Happy Times :)
    gift for you TONA :)
    Attatchments
    Hiiiiiii TONA
    Hiiiiiii
    Wait for more :)
    elegant ppl should satisfy thier taste with elegant things :)
    heyyy TONA
    Heyyyyyyyy Lola Wussaaap??
    Another one?
    Hey Wussap?
    Hey I thought you trusted me but ...
    unknown
    leaked
    stolen
    information for you, TONA
    information
    warning
    something for you
    read it immediately
    Undeliverable mail --
    Server Report
    Status
    Returned mail --
    Mail Delivery System
    La Transazione Della Posta
    venuto a mancare
    La Transaction De Courrier A
    Mail Transaction Failed
    s the document you requested
    s the document
    s a nice Picture
    s the archive you requested
    New Internal Rls...
    Do not release, its the internal rls!
    hola TONA
    hello TONA
    hi TONA
    Ciao TONA
    Darling

    Text:

    i found this amazing file in my Recycled , i know u love this kind of things
    ) cyaaa

    Hummm , i hope u accept this show as an apology. save it for hard times
    i will be waiting for u emaill to remind me of your self.

    im fine , thanx for asking :) and thanx for the nice attachements. but
    unfortunately, i don't remember you

    you seem to be mad @ me coz i didnt send u anything for along time, i
    didn't forget u , but i was kinda busy , i've got all of ur emails thanx :)
    and i hope u accept this one as an apology.

    ive got this surprise from a friend :) it really deserves a few minutes of
    your time. Never mind !

    i thing the subject is enough to describe the attached file ! check it out
    and replay your opinion

    heyyyy i tried many times to send u this email but ur account was out of
    storage as i think any way , make sure that i didnt and i won't forget
    u :) Cya Forgotten :P

    Ive got your email , but you forgot to upload the attachments. Don't be
    selfish , i sent you all the files i have, send me anything :(

    i just wanted to say sorry for last night and .. i wish u accept this as an
    apology bye dear I cant be online tonight :(anyway , i sent u something u r
    gonna love :) cya tomorrow

    i lost FRNAs Email plzz send this file to her :) and tell her i can't be
    online tonight Bye

    YO TONA , IM SICK OF UR EMAILS , IF U LOSE IT AGAIN I WONT GIVE IT TO U, SAVE
    IT BYEEE

    I forgot to tell u , the other file is with FRNA:) bye

    Heyyyy TONAI lost the other email , anyway i sent u all u need i have just
    got it , plz tell me if u need more.bye

    Here is the FRNA :) Dont tell Sam abt it Cya

    i havent ever thought i should send u my briefcase to gain ur Trust. Have
    it all :) bye

    HEY TONA, call FRNA a virus text stealer =)

    Hi TONA its FRNA. I was shocked, when I found out that it wasnt you but
    your twin brother, that's amazing, you're as like as two peas. No one in
    bed is better than you TONA. I remember, I remember everything very well,
    that promised you to tell how it was, I'll give you a call today after 9.
    He took my skirt off, then my panties, then my bra, he sucked my t**s, with
    the same fury you do it. He was writing alphabet on my pussy for 20 minutes,
    then suddenly stopped, put me in doggy style position and stuck his dagger.
    But TONA, why didn't you warn me that his dick is 15 inches long? I was
    struck, we fucked whole night. I'm so thankful to you, for acquainted me to
    your brother. I think we can do it on the next Saturday all three together?
    What do you think? O yes, as you wanted I've made a few pictures check them
    out in archive, I hope they will excite you, and you will dream of our new
    meeting... Greetz FRNA

    something is fool

    something is going wrong

    you are bad

    you try to steal

    you feel the same

    you earn money

    thats wrong

    take it easy

    do you?

    thats funny

    here, the cheats

    here, the introduction

    here, the serials

    from the chatter

    about me

    information about you

    something is going wrong!

    stuff about you?

    greetings

    see you

    here it is

    that is bad

    yes, really?

    i found this document about you

    your name is wrong

    i hope it is not true!

    kill the writer of this document!

    something about you!

    I have your password!

    you are a bad writer

    is that from you?

    i wait for a reply!

    is that your account?

    is that your name?

    is that true?

    my hero

    read it immediately!

    here is the document.

    read the details.

    im waiting

    what does it mean?

    anything ok?

    Have a look at the attatchment.

    Heres the answer to all your questions.

    Thats the document that you had requested.

    Have a look the Pic attached !!

    Real outtakes from Sex in the City!! Adult content!!! Use with parental
    advisory =)

    Send me your comments.

    The Archive is attached...

    I have a document attached, which should solve your problems.

    See the attached file for details.

    Mail transaction failed. Partial message is available.

    The message cannot be represented in 7-bit ASCII encoding and has been
    sent as a binary attachment.

    The message contains Unicode characters and has been sent as a binary
    attachment.

    The message contains MIME-encoded graphics and has been sent as a binary
    attachment.

    Angehängte Datei (Erweiterung: EXE, BAT, PIF, SCR oder ZIP):

    object, ranking, dinner, release, location, friend, website, nomoney, aboutyou,
    shower, topseller, product, swimmingpool, concert, textfile, posting,
    attachment, details, creditcard, message, document, party, disco, me

    Beachten Sie, dass die angehängte Datei auch einen zufälligen Namen und eine doppelte Erweiterung (oder beides) haben kann, z. B. <Dateiname>.htm.exe

    W32/Hiton-A ändert die HOSTS-Datei, so dass verschiedene Internet-Domänennamen, die mit Antiviren-Software im Zusammenhang stehen, nicht von dem lokalen Computer aus erreicht werden können:

    sophos.com
    sophos.co.jp
    kaspersky.com
    symantec.com
    trendmicro.co.jp

    W32/Hiton-A beendet die folgenden Prozesse:

    ZONEALARM.EXE
    WINMX.EXE
    XOLOX.EXE
    SPHINX.EXE
    OUTLOOK.EXE
    OPERA.EXE
    MSIMN.EXE
    NETSCP6.EXE
    NETSCAPE.EXE
    IEXPLORE.EXE
    KAZAA.EXE
    ICQLITE.EXE
    ICQ.EXE
    EDONKEY.EXE
    EMULE.EXE
    AIM.EXE

  • So langsam geht mir die Wurmerei echt auf den Geist!! X( :evil: - So viele Idioten kann's doch gar nicht geben :aua:

    C l a v e l i n a

    In jedem Ende liegt ein Neubeginn

  • Quote

    Original von leocat
    bitte, redet deutsch mit mir :balla:


    Deutscher gehts nicht mehr, ich hab schon vermieden die englischen oder französischen Beschreibungen zu posten :lach:

    Clavelina
    Ich weis nichrt mehr exact wo, bei spiegel.de oder heise.de wurden die Würmer genauer untersucht und dabei festgestellt das ein "Krieg" zwischen den Hackern entstanden ist und die Würmer quasi die Boten zwischen den Parteien sind :] :irre:

  • Na super - das wäre doch ein feines Thema für Band 7 von Harry Potter :rofl:

    C l a v e l i n a

    In jedem Ende liegt ein Neubeginn

  • Heute hatten wir den Spaß mit "Sasser" in der Firma. In Windeseile breitete sich das Würmchen aus und wo man hinsah, starteten alle PCs neu. Lustig war das eigentlich nur, wenn man nichts zu tun hatte :evil:

    Für den Fall, daß es Euch auch erwischt hat (oder ihr das gleich verhindern wollt ;) :

    Hier kann man nachlesen, was dagegen zu tun ist:
    http://oncomputer.t-online.de/c/18/47/38/1847382.html

    C l a v e l i n a

    In jedem Ende liegt ein Neubeginn

  • So geht's meinem Bruder mit seinem Privatrechner auch :lol: - den hab ich wohl auch zu sicher gemacht :DD und mein Firmenlaptop hat das Update mit dem MS-Sicherheitspatch nicht überstanden, den muß ich jetzt neu installieren :evil:

    C l a v e l i n a

    In jedem Ende liegt ein Neubeginn

  • Hier ein Test für alle Browser :
    http://bcheck.scanit.be/bcheck/sid-c20…286e4b19114b44/

  • Oh oh, das schaut nicht gut aus:

    High Risk Vulnerabilities 4
    Medium Risk Vulnerabilities 4
    Low Risk Vulnerabilities 0


    Hab wohl schon länger kein Windows Update mehr gemacht. :DD

    Heute abend lass ich den auch Zuhause mal laufen, da müsste es eigentlich besser aussehen.