Zur Homepage der Telewerkstatt Leutschach
 

 

> Startseite > Viren > Virenwarnungen
CD


 

Um prinzipiell mehr über Viren zu erfahren, lesen Sie unsere kompakte Definition (neue Seite) und den ausführlichen Insider-Artikel Nr. 1 (neue Seite)!

Hier informieren wir Sie so aktuell als möglich über jene Viren, die zur Zeit in Umlauf sind und sich stark ausbreiten, um Ihnen zu helfen, sich vor einer Ansteckung zu schützen!

Wenn Sie unseren kostenlosen Newsletter abonniert haben, werden Sie per E-Mail so rasch als möglich vom Auftauchen neuer Gefahren gewarnt und über geeignete Vorsichtsmaßnahmen informiert.


Übersicht

Bagle (Beagle)
Dumaru
LoveSan
Matrix.PPS (Powerpoint-Präsentation)
MiMail

MSBlast

Mydoom.A und .B .M .O
Netsky.B .D .P(= .Q)
Sasser.A .B
Sober.A .C .F .N .O .P .S .X .Y .Z
Spyware - Spionage-Software
Swen

Werbung

 

 

 
W32.Sober alias I-Worm.Sober, WORM_SOBER.A, Win32.Sober
   
Schaden Gering, verbreitet sich selbständig über E-Mail, kann die Internet-Verbindung blockieren.
   
Verbreitung hoch!
   
Allgemeine Beschreibung

Verbreitung über E-Mail mit einem attachment (= Beilage), dessen Endung .exe, .pif, .bat, .com oder .scr lautet.

Der Wurm kann nur durch Öffnen des angehängten attachments aktiviert werden.
Löschen Sie sofort jedes Mail, wenn Sie in der Betreff-Zeile einen der unten angeführten Texte finden, öffnen Sie auf keinen Fall die Beilage eines solchen Mails!

   
Besonderheit Sowohl die Betreffzeile als auch der Text des Mails kann auch deutsch sein!
   
Betreffzeile (= subject)

_berraschung
A worm is on your computer!
Advise who I am!
Back At The Funny Farm
Be careful! New mail worm
Ein Wurm ist auf Ihrem Computer!
Hey man, ling not see you
Hi darling, what are you doing now?
Hi Olle, lange niks mehr geh
Hi Schnuckel was machst du so ?
Ich habe Ihre E-Mail bekommen !
Ich Liebe Dich
I love you (I'm not a virus!)
I've become your mail!
Jetzt rate mal, wer ich bin !?
Langsam reicht es mir
Neue Sobig Variante (Lesen!!)
Neuer Virus im Umlauf!
New Sobig-Worm variation (please read)
Now, it's enough
Re: Contact
Re: lol
Re: Kontakt
RE: Sex
Sie haben mir einen Wurm geschickt!
Sie versenden Spam Mails (Virus?)
Sorry, Ich habe Ihre Mail bekommen
Sorry, I've become your mail
Surprise
Virus blocked every PC (Take care!)

Virus blockiert jeden PC (Vorsicht!)
Vorsicht!!! Neuer Mail Wurm
You have sent me a virus!
You send spam mails (Worm?)

 
Sie sind bereits verseucht? Symantec bietet ein wirksames Beseitigungsprogramm an.
Selbstverständlich können Sie auch unsere Hilfe in Anspruch nehmen!
 

 
W32.Sober.C Knapp vor Weihnachten (20.12.2003) hat der Programmierer von Sober neuerlich zugeschlagen und bietet uns eine "nette Überraschung" mit der Version C des weit verbreiteten Wurmes. Betroffen sind alle Windows-Versionen!
   
Allgemeine Beschreibung

Der Wurm kommt als E-Mail-Anhang und zeigt eine erstaunliche Wandlungsfähigkeit, weshalb es nicht einfach ist, ihn zu beschreiben und zu erkennen. Sowohl die Betreff-Zeilen und der Mailtext als auch der Name des attachments (= Beilage) wechseln ständig und können in Deutsch oder Englisch verfasst sein.
Sowohl die Betreffzeile als auch der Text sind jedoch so verfasst, dass sie dem Empfänger Angst einjagen sollen (z.B. Drohung mit einer Anzeige, Warnung vor dem angeblichen Eindringen eines Hackers) oder ihn neugierig machen (z.B. Zusendung der versprochenen Bilder oder Einladung zum Klassentreffen).
Hier ein Beispiel:

Von: <...>
An: <...>
Betreff: Ihre IP wurde geloggt
Datum: Montag, 22. Dezember 2003 00:13

Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 219.200.138.28 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #22629
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"

Hochachtungsvoll

i.A. PK Mollbach

Im Mailtext wird immer darauf hingewiesen, dass genauere Informationen in der Beilage enthalten sind und man diese daher öffnen solle. (Im oberen Beispiel kursiv!) Sollte man sich dazu verleiten lassen, dann wird der Virus auf dem PC installiert!
Die Endung der Beilage ist jedoch immer .exe, .pif, .bat, .com, .cmd oder .scr, oft auch eine Doppelendung, deren erster Teil .txt oder .doc und deren zweiter Teil eine der zuvor angeführten Endungen sein kann.
Es handelt sich dabei also um Dateien, bei denen Sie sowieso immer höchste Vorsicht walten lassen sollten!

Auf der Seite trojaner-info.de finden Sie zahlreiche weitere Beispiele, wie die Betreffzeilen, der Mailtext und die Namen der Beilagen in den ersten Tages des Befalles ausgesehen haben. Folgen Sie bitte diesem Link! (Die Werbung, die dort bisweilen aufpoppt, verschwindet nach einigen Sekunden von selbst wieder.)

 
Erkennung

Nachdem sich der Wurm installiert hat (das macht er übrigens in doppelter Ausführung unter verschiedenen Namen, was seine manuelle Entfernung erschwert!), wird die folgende (natürlich gefälschte) Fehlermeldung angezeigt:
Gefälschte Fehlermeldung Wurm 'Sober'
Anstelle des Wortes "first" kann ein beliebiges anderes (auch deutsches!) Wort stehen. Diese Meldung erhalten Sie jedoch nur einmal!

Der Wurm sucht auf dem PC nach ein- und ausgegangenen Mails sowie nach Adressen; er sammelt alle gefundenen Informationen in einer Datei namens Savesyss.dll, welche er entweder unter C:\Windows\System (Win 95, 98, ME) oder C:\Windows\System32 (Win XP) oder C:\WinNT\System32 (Windows NT / 2000) abspeichert.
Das Vorhandensein der Datei Savesyss.dll ist also ein sicheres Anzeichen für den Befall. Außerdem könnten auch die Dateien syshostx.exe, humgly.lkur oder yfjq.yqwm in den genannten Systemordnern vorhanden sein.

   
Schadensfunktion Bisher weiß man nur, dass der Wurm eifrig versucht, sich selbst möglichst rasch an alle im Adressbuch gefundenen E-Mail-Adressen zu versenden, wobei er den wahren Absender geschickt fälscht und die Betreff-Zeile, den Mailtext und den Namen der Beilage ununterbrochen verändert. Ob und welche Schäden an befallenen Computern noch auftreten, ist noch nicht bekannt (25.12.03)
   
Beseitigung Die manuelle Beseitigung ist schwierig; einige Firmen wie Symantec oder Ikarus (dort im Menü unter Downloads auf Gratis Remover klicken) bieten kleine Programme (Removal tools) zum Aufspüren und Beseitigen dieses Wurmes an. Aber Achtung: Sie suchen nur nach diesem einen Virus.
Sie sollten Ihr Virenschutzprogramm ständig auf dem aktuellsten Stand halten!

 
W32.Sober.F Seit Anfang April 2004 überflutet diese neue Variante auch Österreich. Da die Mails, über die der Wurm sich ausbreitet, wie seine Vorgänger auch deutschsprachig und zudem recht geschickt formuliert sind, hat sich dieser Wurm (neben Netsky.P) im Laufe des Monats April zum absoluten "Hit" entwickelt.
   
Betreffzeilen (deutsch)

Bestätigung
Datenbank-Fehler
Details
Einzelheiten
Fehler
Fehler in E-Mail
Fehlerhafte Mailzustellung
Hallo!
Hallo Du!
Hey Du
Hi, Ich bin's
Ich bin es .-)
Ihr neues Passwort
Ihr Passwort
Illegale Zeichen in Mail-Routing
Info
Information
Mailzustellung fehlgeschlagen
Na, überrascht?!
Registrierungs-Bestätigung
Verbindung fehlgeschlagen
Verdammt
Warnung!

   
Mailtexte (deutsch)
Ich war auch ein wenig überrascht!
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann

Alles klaro bei dir?
Schau mal was Ich gefunden habe!

Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye

Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwörter
rauszubekommen!!!
Passwoerter.txt

Details entnehmen Sie bitte dem Attachment
Nähere Informationen befinden sich im Anhang.

*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte berprüfen Sie nochmals diese E-Mail auf mögliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: http:/ /www.<zufällig gewählte Domain>
--- Mail To: User-Hilfe

Passwort und Benutzername wurde erfolgreich geändert
Ihre Benutzernamen und Passwörter befinden sich im Anhang dieser E-Mail
++++ Im www erreichbar unter: http:/ /www.<zufällig gewählte Domain>
++++ E-Mail: KundenInfo

Wegen eines Datenbank- Fehlers könnte es möglicherweise zu einem Verlust Ihrer
persönlichen Daten wie Kennwörter gekommen sein.
Wenn Sie Unregelmäßigkeiten festgestellt haben, melden Sie uns bitte umgehend
den Datenverlust.
Vielen Dank für Ihr Verständnis
+++ Ein Service von <zufällig gewählte Domain>
+++ http:/ /www.<zufällig gewählte Domain>
+++ E-Mail: Kundenservice

Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:
   
Attachments
deutsch
englisch
     
  Oh-Mann
Dokument
KurzText
AntiVirus-Text
Anleitung
Passwoerter.txt
Text-Inhalt
AMD-System.txt
Benutzer-Daten
Datenbank-Fehler
abuse-liste
schwarze-listen
Block
anitv_text
instructions
your_article
your_passwords
messagedoc
corrected_text-file
attach-message
"zufällig"message
"zufällig"attach
pass-message
text
Textdocument
Lists
     
  Dateinamen-Erweiterung des attachments: zip, pif, exe oder scr
     
  Öffnen Sie keinesfalls eine der hier angeführten Beilagen - denn damit würden Sie den Virus auf Ihrem Computer installieren!
     
Entfernung Symantec hat Programme zum Aufspüren und Entfernen aller Sober-Varianten entwickelt und stellt sie kostenlos zur Verfügung. Folgen Sie diesem Link!
   

 
W32.Sober.N
05. Mai 2005

Offensichtlich kommen die verschiedenen Antiviren-Produzenten mit dem Zählen der Varianten nicht mehr nach:
Bei Sophos heißt der Virus .N, bei F-Secure .P, bei McAfee .P@MM, beim BSI und bei Symantec .O@mm und bei Trend Micro .S.
Die in Österreich zur Zeit grassierende Version wird meist als Sober.O oder Sober.P definiert.

Tatsache ist jedenfalls, dass diese Variante des Sober-Wurmes sich seit 02.05.05 in Europa sehr erfolgreich verbreitet und - wie erst heute bekannt wurde - ein höheres Gefahrenpotential aufweist als ursprünglich angenommen.

Wie schon seine Vorgänger "spricht" diese Variante auch deutsch und behauptet meistens die Weiterleitung eines angeblich irrtümlich erhaltenen Mails oder lockt mit Tickets für die Fußball-WM 2006 in Deutschland, was zu seiner starken Verbreitung im deutschsprachigen Raum erheblich beigetragen haben dürfte:
Bei vielen (männlichen?!) Usern dürften bei der Aussicht auf Gratis-Karten alle Panzerkasten-Sicherungen durchgebrannt sein... smiley

   
Absender Der Absender ist auf alle Fälle gefälscht und lässt keinerlei Rückschlüsse auf den wahren Absender zu. Vertrauen Sie also keinesfalls einem anscheinend vertrauenswürdigen Absender!
   
Betreffzeilen
  • Benachrichtung zum Übermittlungsstatus (Fehlgeschlagen)
  • Glueckwunsch: Ihr WM Ticket
  • Ich bin's, was zum lachen ;)
  • Ihr Passwort
  • Ihre E-Mail wurde verweigert
  • Ihre Nachricht konnte nicht zugestellt werden.
  • Mail-Fehler!
  • Unzustellbar: Ich bin's, was zum lachen ;)
  • Unzustellbar: Ihr Passwort
  • Unzustellbar: Mail-Fehler!
  • WM Ticket Verlosung
  • WM-Ticket-Auslosung
(Die englischsprachigen Betreffzeilen wurden hier nicht aufgenommen!)
   
Nachrichtentext Um den Rahmen dieser Viren-Info nicht zu sprengen, werden hier nicht alle möglichen Texte angeführt; wenn Sie auf die Betreffzeile und den Datei-Anhang achten, sollten Sie ausreichend geschützt sein.
   
Datei-Anhang
(Attachment)
  • account_info.zip
  • account_info-text.zip
  • autoemail-text.zip
  • Fifa_Info-Text.zip
  • LOL.zip
  • mail_info.zip
  • okTicket-info.zip
  • our_secret.zip
  • _PassWort-Info.zip
  • <möglicherweise weitere>

Wie Sie sehen, ist der Anhang immer eine *.zip-Datei; das ist die Endung für gepackte Dateien.

Sie können sich den Wurm nur "einfangen", wenn Sie diese Datei (durch einen Klick auf sie) öffnen!
Also tun Sie das keinesfalls, sondern löschen Sie das Mail aus dem Posteingang und dann aus dem Ordner Gelöschte Objekte!

   
Schaden

Sober.N wird erst nach einem Computer-Neustart aktiv.
Er deaktiviert die Windows XP-Firewall, das automatische Windows-Update und kann die meisten Virenschutz-Programme abschalten.
Er deaktiviert auch das LiveUpdate von Symantec, das ist der Hersteller von Norton-AntiVirus.

Sober.N erzeugt im Windows-Ordner sowie in der Registrierung zahlreiche Dateien bzw. löscht vorhandene.

Er verbreitet sich mit gefälschten Absender-Daten an alle E-Mail-Adressen, die er auf dem befallenen System findet und ändert dabei ununterbrochen den Betreff, den Mail-Text und/oder das Attachment.

   
Entfernung

Wenn Sie diese Meldung auf Ihrem Monitor schon gesehen haben, dann sind Sie leider bereits infiziert:

Infektion mit Sober N

Laden Sie sich in diesem Fall den neuesten Stinger herunter, starten Sie im abgesicherten Modus und lassen Sie Stinger laufen.
Auch bei Symantec ist ein Entfernungstool speziell für Sober und alle seine Varianten erhältlich.

Sollten Sie ein eher unerfahrener Anwender sein, dann empfehlen wir Ihnen, kompetente Hilfe in Anspruch zu nehmen, wobei Sie sich natürlich auch gerne an uns wenden können - wenn die Entfernung zu Ihrem Wohnort nicht zu groß ist.

   

 
W32.Sober.Y
22. Nov. 2005

Alias: Sober.X, Sober.X/Z, Sober.AG

Wie schon bei Sober.N erwähnt, sind sich die Hersteller von Virenschutz-Programmen bei der Zählung der zahlreichen (zahllosen?) Sober-Varianten schon lange nicht mehr einig, weshalb ein und derselbe Virus neuerlich unter den verschiedensten Varianten-Bezeichnungen (Buchstaben) herumgeistert.
Eines aber ist sicher: Sober - und sein(e) Programmierer wird/werden immer besser...

  • Tatsache ist jedenfalls, dass in der Nacht vom 22. auf den 23.11.05 allein in Österreich mehr als 400.000 Mails registriert wurden, welche diese neue Variante im Gepäck (spich: im Attachment) mit sich führen.
  • Sober.Y ist damit im wahrsten Sinne des Wortes "über Nacht" zur größten Bedrohung dieses Jahres avanciert.
  • Und die neueste Situation (23.11.05 - ca. 19:00 Uhr):
    Jetzt sind es an die fünf Millionen - a net schlecht, - oder?!

Es scheint, dass die meisten Virenschutz-Programmierer noch fleißig an der Entschlüsselung sowie an Abwehr- und Entfernungsstrategien arbeiten.
Auf den Homepages zahlreicher Firmen (darunter auch sehr renommierter!) fand er bis in die Mittagsstunden des heutigen Tages noch nicht einmal eine Erwähnung...
Die zur Zeit präzisesten Informationen bekommt man beim österreichischen Virenkiller Ikarus, der gegen 13:00 Uhr auch schon ein Entfernungstool (Remover) zum Download anbot.
Unsere ersten Informationen beruhen daher auch vorwiegend auf dieser Quelle; aber auch durch einige Anrufe von betroffenen Personen konnten wir bereits einiges in Erfahrung bringen.


Der Wurm W32.Sober.Y (auch Sober.X, .X/Z oder .AG genannt) verbirgt sich im Anhang (= Attachment) eines E-Mails und kann sich nur auf Ihrem Computer einnisten, wenn Sie diesen Anhang öffnen.
Seien Sie also extrem vorsichtig, öffnen Sie keine Attachments und löschen Sie E-Mails, die Ihnen verdächtig erscheinen.

Sobald die Virenschutz-Firmen diesen neuen Wurm analysiert haben, werden Updates zur Verfügung stehen, bis jetzt (22.11., 12:00 Uhr) ist dies jedoch noch nicht der Fall.

Hier die ersten, uns zur Verfügung stehenden Informationen:
(Die englischsprachigen Varianten haben wir weggelassen, damit diese Informationen nicht zu umfangreich werden.
Wir hoffen, dass Sie bei Mails in englischer Sprache ohnehin prinzipiell misstrauisch sind!)

Betreffzeile:

  • Ihr Passwort
  • Account Information
  • SMTP Mail gescheitert
  • Mailzustellung wurde unterbrochen
  • Ermittlungsverfahren wurde eingeleitet
  • Sie besitzen Raubkopien
  • RTL: Wer wird Millionaer
  • Sehr geehrter Ebay-Kunde
Mailtext:
  • Bei uns wurde ein neues Benutzerkonto mit dem Namen beantragt.
    Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
    Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
    Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
    Vielen Dank,
    Ihr Ebay-Team
  • Aktenzeichen NR.:#
    (siehe Anhang)
    Hochachtungsvoll
    i.A. Juergen Stock
    --- Bundeskriminalamt BKA
    --- Referat LS 2
    --- 65173 Wiesbaden
    --- Tel.: +49 (0)611 - 55 - 12331 oder
    --- Tel.: +49 (0)611 - 55 - 0
  • Sehr geehrte Dame, sehr geehrter Herr,
    das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP xxx.xxx.xxx.xxx erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt. Aktenzeichen NR.:#1363 (siehe Anhang) Hochachtungsvoll
  • Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
    Sie sitzen demnaechst bei Guenther Jauch im Studio!
    Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
    +++ RTL interactive GmbH
    +++ Geschaeftsfuehrung: Dr. Constantin Lange
    +++ Am Coloneum 1
    +++ 50829 Koeln
    +++ Fon: +49(0) 221-780 0 oder
    +++ Fon: +49 (0) 180 5 44 66 99

Anhang (Attachment):
(Schrägstriche bedeuten ODER)

Service / Webmaster / Postman / Info / Hostmaster / Postmaster / Admin

  • zip
  • TextInfo.zip
  • Email.zip
  • Email_text.zip
  • .zip


Akte / Downloads / BKA / Internet / Post / Anzeige / BKA.Bund .zip

Kandidat / WWM / Auslosung / Casting / Gewinn / Info / RTL-Admin / RTL / Webmaster / RTL-TV

  • .zip
  • _Text.zip
  • Bzw. auch als:
  • Ebay.zip
  • Ebay-User_RegC.zip

Sollte Sie diese Warnung zu spät erreicht haben und Ihr Computer bereits infiziert sein, raten wir Ihnen, die Internet-Verbindung sofort zu trennen, da Sie ansonsten eine Quelle zur weiteren Verbreitung des Wurmes sind:

  • Der Wurm versendet sich ohne Ihr Zutun an alle Adressen, die in Ihrem Adressbuch enthalten sind.
  • Es ist auch gut möglich, dass weitere Schadprogramme über das Internet herunter geladen werden.

Alle bisherigen Sober-Varianten verstanden es mehr oder weniger gut,

  • Virenschutz-Programme auszutricksen,
  • den Download von Updates für diese Programme zu verhindern und auch
  • den Download des meist top-aktuellen Virenkillers Stinger unmöglich zu machen.

Sie sollten also kompetente Hilfe in Anspruch nehmen, wenn Sie ein solches Mail erhalten und den Anhang geöffnet haben. Näheres können Sie demnächst hier nachlesen.

   
Seitenanfang
   
 
Dumaru alias W32.Dumaru@mm, PE_DUMARU.A, Win32.Dumaru, I-Worm.Dumaru
Schaden Groß! Verbreitet sich wie alle Würmer über E-Mail, kann aber auch *.EXE-Dateien (das sind Programm-Dateien) zerstören, die darauf hin nicht wieder gesäubert werden können.
Wie viele andere Schädlinge kann eine Variante des Wurmes auch einen Trojaner auf dem infizierten System absetzen und zahlreiche Virenschutzprogramme deaktivieren.
 
Verbreitung Über E-Mail. Schon Mitte August 2003 gesichtet, kommt bei uns aber erst jetzt zur Ausbreitung (11/03).
 
Allgemeine Beschreibung

Dumaru ist sehr leicht zu erkennen, wenn man die einfachsten Grundregeln der Sicherheit kennt (und beachtet!):
Der (natürlich gefälschte!) Absender heißt security@microsoft.com.
(Niemals würde Microsoft Mails an Anwender senden!)
Der Betreff lautet "Use this patch immediately !" ("Verwenden Sie umgehend diese Reparatur-Datei !")
Der Name der Beilage (das ist natürlich der Virus!) lautet patch.exe.
Der in holprigem Englisch verfasste Mail-Text lautet:
"Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!"
("Lieber Freund, verwende diese Reaparatur-Datei für den Internet Explorer sofort! Zur Zeit gibt es im Internet gefährliche Viren! Mehr als 500.000 sind bereits angesteckt!")

Öffnen Sie keinesfalls die beigefügt Datei patch.exe!

 
Sie sind bereits verseucht? Einige Varianten können mit dem Stinger (McAfee) entfernt werden.
Leider können trotzdem viele Dateien verseucht bleiben und Programme nicht mehr laufen. Im schlimmsten Fall muss das ganze System neu aufgesetzt werden.
Seitenanfang
 

Powerpoint-Präsentation Matrix.PPS

Zur Zeit kursieren Mails, in denen vor einem Mail mit der Beilage "Welcome to the matrix.PPS" gewarnt wird. Sollte man dieses Mail erhalten und die genannte Beilage starten, würde unverzüglich die Festplatte zerstört und alle Daten gingen verloren.
Wer den Abschnitt über Hoaxes in unserem Viren-Insider gelesen hat, wird bei den folgenden Textpassagen im "Warnmail" sofort hellhörig:

"Besondere Vorsicht ist bei Internet-Anschlüssen wie MSN, Yahoo, Wanadoo, AOL, Infonie bzw kostenlose Anschlüsse geboten. - Diese Information kommt von Microsoft, Norton."
"Es muss alles Mögliche unternommen werden um diesen Virus zu stoppen. Auch Microsoft hat bereits seine Aggressivität bestätigt und bisher ist kein Antivirusprogramm fähig ihn zu zerstören."

Und natürlich die obligate Aufforderung:
"Bitte, diese Information kopieren und an alle ihre Kontakte weiterleiten!"

Vergessen Sie den Schmarr'n und leiten Sie diese "Warnung" keinesfalls weiter - das Mail, vor dem gewarnt wird, gibt es gar nicht, und Sie vergeuden nur Ihre Zeit und Ihr Geld und tragen überdies auch noch zur Verstopfung der Leitungen bei!

Seitenanfang
 
   
MSBlast alias W32.Blaster, W32.Lovesan
 
Befallene Systeme Windows NT, Windows 2000, Windows XP (Home und Pro).
Nicht befallen werden Windows 95 und 98 sowie Millenium Edition.
 
Schaden

Der Computer wird in unregelmäßigen Abständen heruntergefahren, wenn eine Internetverbindung besteht, kann dann aber wieder normal gestartet werden.
Meist erscheint vorher ein Popup-Fenster mit dem Titel System herunterfahren und einer Uhr, die 60 Sekunden herunterzählt. Dieses Fenster kann nicht geschlossen werden.
Der PC kann aber auch infiziert sein, ohne dass Sie irgendetwas davon bemerken! Lesen Sie daher unter Erkennung weiter!

 
Verbreitung Der Virus sucht nach ungeschützten Systemen, sobald eine Internetverbindung besteht. Ausnahmsweise (und leider...) keine Ausbreitung über Mail-Attachements!
Der Wurm tauchte erstmals am 12. August 2003 in Deutschland auf und verbreitete sich in der Folge rasant. In der Südsteiermark erreichte die Infektion Ende August / Anfang September ihren Höhepunkt, um dann rasch wieder abzuklingen, denn der Virus hatte ein "Ablaufdatum",
Seit Mitte November 2003 ist wieder eine deutliche Zunahme zu verzeichnen, meist allerdings in einer anderen Variante (MSBlast.E bzw. Lovesan.E)
 
Erkennung Klicken Sie auf Start - Suchen - Dateien und Ordner und geben Sie dann im obersten weißen Eingabefeld msblast.exe ein. Falls Sie über mehrere Festplatten verfügen, können Sie unter Suchen in: die Suche auf das Laufwerk C: einschränken.
Starten Sie dann die Suche mit dem Schalter Suchen.
Wiederholen Sie anschließend den Suchvorgang, indem Sie der Reihe nach die Suchbegriffe mslaugh.exe, teekids.exe und penis32.exe (tschuidgn - heißt wirklich so!) eintippen.
Sollte einer dieser Suchvorgänge "erfolgreich" sein, dann werden die betreffenden Dateien normalerweise im C:\Windows\System32 - Ordner gefunden: Sie sind befallen!
 
Maßnahmen Wir müssten hier einige Seiten füllen, um die einzelnen Schritte genau aufzuzählen; auch der routinierte "Virendoktor" benötigt für die Säuberung mindestens 45 Minuten.
Besonders wichtig ist ein Windows-Update, denn nur dadurch können Sie vor weiteren künftigen Attacken dieses Wurmes geschützt werden.
Wir empfehlen Ihnen daher, uns sofort zu kontaktieren, wenn Sie die oben angeführten Symptome feststellen oder eine der genannten Dateien auf Ihrem System finden.
 
Maßnahmen für Profis -
kurz gefasst

Um das Herunterfahren nach einer Minute zu verhindern, gehen Sie, sobald dieses Fenster sich meldet, auf Start - Ausführen und geben shutdown -a ein!

1. Deaktivieren Sie die Systemwiederherstellung.
2. Löschen Sie in der Registrierung unter [HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run] den Aufruf von "msblast.exe", "mslaugh.exe", "teekids.exe" und /oder "penis32.exe".
3. Fahren Sie neu hoch und löschen Sie die genannten Dateien aus dem System- bzw. System32-Ordner.
4. Spielen Sie den Sicherheits-Patch Microsoft Security Bulletin MS03-026 ein (achten Sie dabei auf Ihr Betriebssystem!) und installieren Sie ihn. Starten Sie anschließend wieder neu.
5. Laden Sie den Stinger von NAI (McAfee) herunter, installieren Sie ihn und scannen Sie das gesamte System. (Der Stinger sucht auch nach anderen Viren.)
6. Wenn Sie jetzt virenfrei sind, aktivieren Sie die Systemwiederherstellung wieder und fahren ein letztes Mal neu hoch.
7. Aktivieren Sie die Windows-eigene Firewall (nur Windows XP).
Beachten Sie auch eventuelle verdächtige Einträge in den Autostart-Ordnern und entfernen Sie diese.

 
Seitenanfang
 
 
W32.Mimail.A (bis M) alias W.Mimail, WORM_MIMAIL, W32/MimAil, Win32.Mimail...
 
Schaden Daten auf dem befallenen Computer werden ausspioniert, in einer Datei gespeichert und bei der nächsten Internet-Sitzung an den Autor des Wurmes gesendet. Ob in den neuesten Varianten (K, L, M) weitere Schadensfunktionen implantiert sind, kann noch nicht abgeschätzt werden.
   
Befallene Systeme Alle Windows-Versionen
 
Verbreitung Über E-Mail attachments, die vom Empfänger des Mails geöffnet werden müssen. Die attachments haben häufig eine Doppelendung (z.B. paypal.asp.scr) oder die Endungen *.zip oder *.exe.
Befallene Systeme versenden das Mail weiter, sobald Internet-Verbindung besteht, wobei sie den Absender fälschen.
 
Erkennung

Durch die vielen Varianten (schon 13 Versionen zwischen 01.08. und 03.12. 2003!) ziemlich schwierig, da viele Varianten mit verschiedenen Betreffzeilen, verschiedenen Textinhalten und verschiedenen Beilagen daherkommen.
Alle sind jedoch in englischer Sprache - Ihre Alarmglocken müssten also sofort klingeln!

Hier die häufigsten Absender:
PayPal.com [account_verification51059@juno.com]
admin@<lokale Domäne> - also der gleiche Provider, den auch Sie haben!
james@<lokale Domäne>
john@<lokale Domäne>
Wendy <eventuell + lokale Domäne>
Do_Not_Reply@paypal.com

Hier die häufigsten Betreffzeilen:
your account <plus weitere zufällige Zeichen>
Re[2]: our private photos <eventuell weitere zufällige Buchstabenkombinationen>
don't be late! <eventuell weitere zufällige Buchstabenkombinationen>
YOUR PAYPAL.COM ACCOUNT EXPIRES
Problems with your PayPal account
Re[3]
Re[2] We are going to bill your credit card:
IMPORTANT <
eventuell weitere zufällige Buchstabenkombinationen>

Löschen Sie derartige Mail sofort - öffnen Sie keinesfalls die attachments (Beilagen)!

 
Auf Befall prüfen

Sollte Ihnen dämmern, dass Sie ein derartigel Mail erhalten und das attachment geöffnet haben, dann suchen Sie nach den unten genannten Dateien!
Auch diese Aufzählung erhebt keinen Anspruch auf Vollständigkeit!

Suchen Sie im Windows-Hauptordner nach dem Vorhandensein der folgenden Dateien. Da es so viele sind, wird nicht empfohlen, die Suchen-Funktion von Windows zu verwenden, sondern den Windows-Ordner im Explorer zu öffnen und dann die Liste der enthaltenen Dateien zu durchsuchen. Klicken Sie vorher im Menü Ansicht auf Details, darauf werden im rechten Fenster die grau hinterlegten Spaltenüberschriften Name, Größe, Typ usw. dargestellt. Klicken Sie hier auf Typ, dann sind alle *.exe und *.tmp - Dateien in Paketen vereint sichtbar.
(Näheres zu den Ansichts-Optionen finden Sie bei den Windows-Tipps.)

Im Hauptordner C:\
ppinfo.sys
PP.HTA
PP.GIF

Im Ordner C:\Windows oder C:\WinNT
cnfrm.exe
cnfrm33.exe
netmon.exe
netwatch.exe
svchost32.exe (löschen Sie aber keinesfalls die Datei svchost.exe!!!)
sysload32.exe
Videodrv.exe

ee98af.tmp
el388.tmp
eml.tmp
exe.tmp
xjwu2.tmp

Xu298da.tmp
zip.tmp
ZP3891.TMP

Sollten Sie fündig werden, dann ist Ihr PC infiziert!
(Dann haben Sie aber auch gegen die grundlegenden Vorsichtsmaßnahmen im Umgang mit Mails verstoßen! Lesen Sie doch einmal unseren Viren-Insider! Aber Sie sind nicht allein: Die Ausbreitungsrate dieses Wurmes ist enorm!)

   
Sie sind bereits verseucht?

Von Symantec wird ein spezielles Entfernungs-Programm für W32.Mimail in all seinen Varianten zum kostenlosen Download bereitgestellt (Englisch).

Sie können auch unsere Hilfe in Anspruch nehmen.

Seitenanfang
 
   
Swen alias W32.Swen.A@mm, W32/Gibe-F, WORM_SWEN.A, Win32.HLLM.Gibe2
   
Befallene Systeme alle Windows-Versionen
Ausbreitung Sehr hoch! Neben Mimail und Sober der "Renner" des Monates November 2003
000  
Schaden Auf befallenen Computern werden in unregelmäßigen Abständen (gefälschte) "MAPI32 Exception" - Meldungen angezeigt.
In der Registrierung werden zahlreiche Änderungen durchgeführt und der Registrierungs-Editor Regedit kann nicht mehr geöffnet werden.
Zahlreiche laufende Prozesse, darunter alle gängigen Virenwächter, werden beendet und dauerhaft "Schachmatt" gesetzt.
 
Verbreitung

1. Über E-Mail
In älteren Internet-Explorer u. Outlook Express - Versionen (kleiner als 6.0) besteht eine Sicherheitslücke, die es dem Virus erlaubt, sich sofort nach dem Abholen des Mails vom Provider auf dem Rechner zu installieren. Genauere Informationen zu den verschiedenen Versionen erhalten Sie hier, über Update-Möglichkeiten lesen sie hier! Wenn Sie eine solche ältere Version nicht updaten können oder wollen (was wir Ihnen aber dringend empfehlen!), dann besorgen Sie sich zumindest diesen Patch von Microsoft, der diese Sicherheitslücke schließt (Englisch).
Bei neueren Versionen kann der Wurm nur aktiviert werden, wenn das beigefügte attachment (= Beilage) vom Mail-Empfänger geöffnet wird.
2. Über Kazaa und IRC
Über Kazaa werden hauptsächlich Musik und Bilder ausgetauscht, IRC (Internet Relay Chat) - Kanäle dienen zum Chatten, also zur Informationsübertragung in Echtzeit durch Eintippen der Nachrichten.
Beides ist besonders bei Kindern und Jugendlichen sehr beliebt!
3. Über Netzwerke
In lokalen Netzwerken sucht der Wurm nach freigegebenen Autostart - Verzeichnissen. Da diese im Englischen aber nicht Autostart, sondern Startup heißen, sollte er sich in deutschsprachigen Netzwerken nicht verbreiten können - es sei denn, der Autor des Wurmes liefert noch eine modifizierte Fassung nach...

Wenn ein Computer befallen ist, dann verbreitet er den Virus ebenfalls auf alle oben angeführten Weisen, wobei er in E-Mails die Absender-Adressen geschickt fälscht, sodass der Empfänger des Mails über den wirklichen Absender getäuscht wird.

   
Erkennung

Ausgesprochen schwierig, da infizierte Mails ununterbrochen sowohl den Absender und die Betreff-Zeile, als auch den Mail-Inhalt sowie den Namen des beigefügten attachments modifizieren!
Häufig gibt sich das Mail als eine Security (= Sicherheits) - Benachrichtigung von Microsoft (in englischer Sprache) aus, und sieht der tatsächlichen Microsoft-Seite tatsächlich erstaunlich ähnlich [Abbildung].

In solchen Fällen sollten Ihre Alarmglocken prinzipiell nicht nur klingeln, sondern schon schmerzhaft laut läuten: Glauben Sie wirklich, Microsft bietet Ihnen per E-Mail ein Sicherheits-Update an??

Auch die den Virus-Code enthaltenden Dateien, die in das Windows-Verzeichnis kopiert und bei jedem Systemstart aufgerufen werden (und die dem Virendoktor das Erkennen des Virus häufig sehr erleichtern!), ändern bei diesem raffiniert programmierten Wurm bei jedem neu gefundenen Opfer ihre Namen!
Ein sicheres Zeichen für einen Befall ist das Vorhandensein der Dateien Germs0.dbv und Swen1.dat im Windows-Ordner.
Sie haben gerade gelesen, dass auch alle bekannten Virenwächter-Prozesse beendet werden. Wenn Sie versuchen, einen dieser beendeten Prozesse wieder zu starten, erhalten Sie die Meldung "Memory access violation in module kernel32 at Nummer", wobei Nummer eine beliebige hexadeziamle Zahl (die auch Buchstaben enthalten kann) ist. Auch eine solche Meldung ist also für Sie ein sicheres Kennzeichen für die Existenz des Wurmes auf Ihrem Rechner.

   
Sie sind bereits verseucht? Ikarus und Symantec bieten Reparatur-Programme an, die aber nicht ganz leicht zu bedienen sind, meist mehrere Durchläufe erfordern und häufig im DOS-Modus gestartet werden müssen - je nach der Schwere der Verseuchung.
Sie sollten daher die Hilfe eines Spezialisten in Anspruch nehmen - auch wir haben einen "Virendoktor" in unserem Team!
   
Seitenanfang
 
 
Mydoom.A + .B alias Win32.Novarg.A@mm, Mimail.R, Shmg
Zeitpunkt:

30.01.04 - verbreitet sich rasend schnell!

   
Schadensfunktion

Auf befallenen Cpmputern wird unter anderem ein sogenanntes Backdoor-Programm installiert, wodurch ein Zugriff aus dem Internet auf Ihren Computer möglich ist, sobald Internet-Verbindung besteht - also eine ungute Sache, da es dadurch jederzeit möglich ist, weitere Programme aus dem Internet zu laden und auszuführen.
Die Variante B der Wurmes sperrt des weiteren den Internet-Zugang zu allen bekannten Erzeugern von Virenschutzprogrammen. Dadurch ist es weder möglich, diese Programme upzudaten, noch die Entfernungsprogramme für den Wurm herunter zu laden. Auf diese Weise schützt sich der Wurm sehr wirksam vor seiner eigenen Enttarnung und Vernichtung!

Wir haben auch beobachtet, dass der Wurm nach dem (erfolgreichen) Versand von E-Mails diese nicht aus dem Ordner Postausgang löscht, sondern alle dort vorhandenen Mails bei jedem neuerlichen E-Mail-Versand immer wieder verschickt!
So erhalten Ihre Mail-Partner ein- und dasselbe Mail immer wieder - und mit diesem vielleicht auch den Wurm! Auf diese Weise machen Sie sich sicherlich sehr beliebt...

   

Verbreitung

 

 

 

 

 

 

 

 

 

 

 

 

 

Wie jeder W32-Wurm sieht auch MyDoom es als seine Hauptaufgabe an, sich möglichst rasch zu verbreiten. Er versendet sich daher sofort an alle E-Mail-Adressen, die im Adressbuch des befallenen Computers gefunden werden, sobald das Mail-Programm (Outlook oder Outlook Express) gestartet wird.
Öffnen Sie daher diese Programme nicht mehr, wenn Sie den Verdacht haben, dass Ihr PC befallen sein könnte (siehe Erkennung)!

Aber auch über das beliebte Datenaustausch-Programm KaZaA kann sich der Wurm auf Ihrem Computer einnisten! Mit diesem Programm laden sich besonders Jugendliche in der Regel Musik-Dateien im *.mp3-Format von anderen KaZaA-usern herunter.

Ab dem 01.02.04 versuchen beide Würmer, von allen infizierten Systemen, die an diesem Tag online gehen (und das sind dann weltweit mit Sicherheit bereits mehrere Millionen!), die Homepage www.sco.com zu erreichen, - und diese dadurch lahmzulegen.
(Diese Firma versucht zur Zeit, das bei Windows-Gegnern äußerst beliebte Betriebssystem LINUX für sich juristisch zu beanspruchen; - die Linux-Fans sind deshalb aber (berechtigt!!) mehr als aufgebracht - und die meisten von ihnen sind gute Programmierer...)
Nach dem 03. Februar 2004 greift MyDoom.B auch die Website www.microsoft.com an - und ist damit bei seinem Lieblingsfeind angelangt.

Nach dem 1. März 2004 verbreitet sich MyDoom nicht mehr, - ein Ablaufdatum zu diesem Zeitpunkt ist in seinem Code enthalten.
Aber Achtung: Das Backdoor-Programm bleibt auf befallenen Systemen erhalten!

Nachtrag 02.02.2004 Seit gestern wird die Firma SCO tatsächlich ständig mit hunderten Millionen sinnloser Anfragen bombardiert und die Webseite ist natürlich längst außer Gefecht!
Leider ist davon aber auch weltweit jeder Internet-Nutzer betroffen, denn durch den enormen Datenverkehr sind auch die Leitungen völlig überlastet. Wundern Sie sich also nicht, wenn die Verbindungen unerträglich langsam sind und selbst das Abrufen der E-Mails zur unendlichen Geschichte werden kann! Von größeren Downloads ist daher zur Zeit abzuraten!
   
Vorsicht bei diesen E-Mails

Die Absender des Mails sind gefälscht; meist eine Kombination aus einem im Adressbuch gefundenen Namen (vor dem @) und einer anderen gefundenen Domain (nach dem @).
Sie wissen also nicht, wer Ihnen das Ei gelegt hat, - beschuldigen Sie daher nicht vorschnell eine bestimmte Person, nur weil das für Sie so aussieht!

Sie erkennen MyDoom an einer der folgenden Betreffzeilen:

Delivery Error
Error
hello
hi
Mail Delivery System
Mail Transaction Failed
Returned mail
Server Report
Status
Test
Unable to deliver the message

oder anderen Kombinationen aus diesen Wörtern.

Der Mail-Text enthält eine der folgenden Mitteilungen:

Mail transaction failed. Partial message is available.
sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
test
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
The message contains MIME-encoded graphics and has been sent as a binary attachment.
The message contains Unicode characters and has been sent as a binary attachment.

Das attachment, also die mitgeschickte Beilage, kann folgende Namen haben:

body
data
doc
document
file
hello
message
readme
test
text

Diese Namen können allerdings ebenfalls variieren - diese Aufzählung ist daher nur eine Hilfe!

Nach dem Namen der Beilage folgt die Dateinamen-Erweiterung, - also die drei Buchstaben nach dem Punkt. Es kann sich auch um zwei Erweiterungen handeln, was sowieso in jedem Fall auf einen Virus hinweist!
Bei zwei Erweiterungen lautet die erste auf jeden Fall

HTM, DOC oder TXT (auch in Kleinschreibung).

Die zweite (oder einzige) Erweiterung lautet in jedem Fall

PIF, SCR, EXE, CMD, BAT oder ZIP, - also genau jene Endungen, vor denen wir Sie laufend warnen!
(Die *.zip - Datei ist tatsächlich eine *.zip-Datei, die eine gepackte Kopie des Wurmes mit demselben Dateinamen wie die *.zip-Datei enthält. Beispielsweise enthält die Datei readme.zip eine Datei namens readme.pif.)

Größe des Anhanges:
MyDoom.A:
22.528 Byte. Die Größe in den gezippten Beilagen variiert .
MyDoom.B: 29.184 Bytes; 6.144 Bytes in der gezippten Version.

Sie können sich den Wurm nur einfangen, wenn Sie diese Beilage öffnen!!

Obwohl es sich also um altbekannte gefährliche Datei-Endungen handelt, und obwohl sowohl Betreffzeilen, Inhalt und Beilagen in englischer Sprache sind, verbreitet sich der Wurm interessanterweise in Europa schneller, als in den Vereinigten Staaten und Kanada.

   
Erkennung

Zuerst müssen Sie wissen, wo Ihr Systemordner ist:

Windows 95/98/ME: C:\Windows\System
Windows NT/2000: C:\Winnt\System32
Windows XP: C:\Windows\System32

Wenn Sie in diesem Systemordner die Dateien Shimgapi.dll und /oder Taskmon.exe entdecken, dann ist ihr Computer von der A-Variante befallen!
Wenn Sie in diesem Systemordner die Dateien Ctfmon.dll und /oder Explorer.exe entdecken, dann ist ihr Computer von der noch gefährlicheren B-Variante befallen!

Achtung: Sowohl die Datei Taskmon.exe (in Windows 95/98/ME) als auch Explorer.exe (in allen Windows-Versionen) sind legitime Dateien des Betriebssystemes und dürfen deshalb keinesfalls gelöscht werden!
Diese Dateien befinden sich jedoch nicht im Systemordner, sondern im direkt darüber liegenden Windows-Ordner, also C:\Windows oder C:\Winnt!

Der Wurm kann sich auch in den frei gegebenen Ordner (Downloadbereich - My Shared Folder) von KaZaA unter einem der folgenden Namen kopieren:

MyDoom.A:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

MyDoom.B:
NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

Die verwendeten Dateinamen-Erweiterungen sind dabei PIF, SCR, BAT oder EXE.

Für Experten: Selbstverständlich tragen sich sowohl der Virus als auch das Backdoor-Programm in die Registrierung ein, und zwar unter

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\,
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
sowie
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32.

   
Entfernung

Da eine Verbindung zu Virenschutz-Seiten im Internet bei Befall mit Variante B nicht möglich ist, holen Sie sich alternativ ein Entfernungsprogramm von heise.de (dort wird auf keine Virenschutz-Firma weiter gelinkt!).
Sie finden zwei Links im Absatz "Entfernung des Wurmes".

Selbstverständlich können auch wir Ihnen gerne helfen. Wir können Ihnen auch ein Entfernungsprogramm auf Diskette mit nach Hause geben.

Experten löschen erst die genannten Einträge in der registry, starten dann abgesichert neu und entfernen im Explorer die zitierten Dateien.
Nach einem weiteren Neustart im abgesicherten Modus muss auch der Temp-Ordner geleert werden. (Auf die Dateien, die dort vom Wurm abgelegt werden, sind wir hier nicht näher eingegangen - achten Sie auf eine Datei namens Message!)
Laden Sie danach ein Virenschutz-update oder ein removal-tool herunter und scannen Sie Laufwerk C:\ - zweimal ist besser als keinmal!
Vergessen Sie unter Windows XP nicht, zuvor die Systemwiederherstellung zu deaktivieren und diese abschließend wieder zu aktivieren; bei einer eventuell notwendigen Systemwiederherstellung würde ansonsten natürlich auch der Wurm wieder hergestellt - und das wollen wir doch nicht... ;-))


Mydoom.M alias Mydoom.O
Zeitpunkt

30. Juli 2004
Diese Variante, über deren Benennung man sich bei den Herstellern von Antiviren-Software mal wieder nicht einig ist, erlebte in den letzten Tagen ein heftiges Medienecho. Sogar von einer "totalen Verseuchung von Google" war reißerisch die Rede.
Mehrmals wurden wir gefragt, warum wir vor dieser Variante hier nicht ausführlich warnen. Die Erklärung ist einfach:

Mydoom.M ist nicht mehr oder weniger gefährlich als alle anderen Variationen dieses Wurmes, er bedient sich der üblichen Verbreitungskanäle (Anhang in E-Mails, der vom Empfänger geöffnet werden muss!) und er fand in Deutschland und Österreich auch keine besonders starke Verbreitung.
Wohl aber kann er mit einer Besonderheit aufwarten, die erstmals beobachtet wurde und der er auch seine starke Beachtung durch die Medien verdankt: Wie jeder andere Wurm sucht er auf befallenen Systemen sofort nach E-Mail-Adressen, um sich an diese weiter zu senden, dann aber sucht er auf den bekanntesten Suchmaschinen nach weiterem Adressenmaterial, um möglichst viele weitere potentielle Opfer zu finden.
Diesem Ansturm an Anfragen waren Google & Co am 27.07. für einige Stunden nicht gewachsen und gingen bedenklich in die Knie. Die Suchmaschinen sind und waren also nicht verseucht, wie fälschlich zu lesen war, sondern schlicht und einfach überlastet.

Wenn Sie die üblichen Vorsichtsmaßnahmen walten ließen (keine verdächtigen attachments öffnen; das Virenschutzprogramm regelmäßig, am besten täglich, updaten; prinzipielles Misstrauen bei Mails in englischer Sprache), dann waren und sind Sie durch diesen Wurm nicht gefährdet.

Für ausführlichere Informationen über Mydoom.M empfehlen wir die Lektüre des Artikels bei PCtipp.ch.

   
Seitenanfang
 
   

NetSky.B

alias W32/Netsky-B, Win32.Netsky.B, Moodown.B
Ausbreitung

Seit 18.02.2004, hohe Verbreitung besonders in Europa, auch in Österreich.

   
Schadensfunktion Der Wurm versucht, sich möglichst schnell zu verbreiten und ist dabei sehr erfolgreich (Massenmailer).
Andere Schäden auf befallenen Systemen sind bisher (25.02.04) nicht bekannt.
Kurioserweise löscht der Wurm die weitaus gefährlicheren Viren MyDoom.A und .B sowie MiMail.T, falls er diese auf dem befallenen Computer vorfindet. Will da ein Virenprogrammierer dem anderen eins auswischen?
Noch was zum Thema Kuriositäten: An zweiter Stelle der Zahl von infizierten Computern steht (nach Dänemark) Tadschikistan - ja, Sie haben richtig gelesen (21.000 befallene Computer am 24.02.04 - würde man gar nicht annehmen, dass es dort überhaupt so viele gibt)! Naheliegend: der Programmierer des Wurmes ist dort zu Hause!
   
Verbreitung Über E-Mail; der Wurm wird installiert, wenn man das beigefügte attachment (die Beilage) öffnet.
In Netzwerken verbreitet er sich auch über alle frei gegebenen Verzeichnisse.
   
Vorsicht bei diesen E-Mails

Betreff, Nachricht und attachment sind in Englisch.

Die Betreff-Zeile kann lauten:
fake
hello
hi
information
read it immediately
something for you
stolen
unknown
warning

Der Name des attachments (der Beilage) kann heißen:
aboutyou
attachment
bill
concert
creditcard
details
dinner
disco
doc
document
final
found
friend
information
jokes
location
mail2
mails
me
message
misc
msg
nomoney
note
object
part2
party
posting
product
ps
ranking
release
shower
story
stuff
swimmingpool
talk
textfile
topseller
website

Die Dateinamenserweiterung (das sind die drei Buchstaben nach dem Punkt) des attachments kann einfach oder zweifach sein. Sind zwei Erweiterungen vorhanden, dann lautet die erste
DOC,
HTM,
RTF
oder
TXT.
Die zweite (oder einzige) heißt
COM,
EXE,
PIF
oder
SCR; in nahezu der Hälfte aller Fälle auch
ZIP.

Öffnen Sie keinesfalls ein solches attachment, sondern löschen Sie solche Mails unverzüglich!

   
Erkennung

Wenn der Wurm (durch Öffnen der Beilage!) installiert wird, erscheint das folgende Fenster:
Gefälschte Fehlermeldung während der Installation von 'Netsky'

Dieses Fenster erscheint jedoch nur einmal!

Sodann kopiert sich der Wurm mit der Datei SERVICES.EXE in das Windows-Verzeichnis (C:\Windows oder C:\Winnt).
Das Vorhandensein dieser Datei ist ein sicheres Anzeichen eines Befalles.

   
Entfernung
(
für Fortgeschrittene)

Aktualisieren Sie Ihr Virenschutzprogramm und starten Sie einen Suchlauf!

Sollten Sie kein Virenschutzprogramm installiert haben, dann starten Sie im abgesicherten Modus und entfernen die oben genannte Datei Services.exe aus dem Windows-Verzeichnis.
Öffnen Sie dann den Registrierungs-Editor und löschen Sie den folgenden Eintrag:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
service = %Windows%\services.exe -serv
Starten Sie anschließend den Computer neu und holen Sie sich bei Symantec ein Entfernungsprogramm für diesen Virus. Durchsuchen Sie mit Hilfe dieses Programmes alle Festplatten und löschen Sie alle infizierten Dateien.

Selbstverständlich können Sie - wie in allen Fällen - auch unsere Hilfe in Anspruch nehmen!


 
NetSky.D Diese neue Variante von Netsky verbreitet sich seit dem 1. März 2004 und war dabei innerhalb weniger Tage höchst erfolgreich, mit einer weiteren rasanten Ausbreitung ist leider zu rechnen.
Seine Wirkungsweise ist jener seines Vorgängers sehr ähnlich. Der wirksamste Schutz ist natürlich ein sofortiges update Ihres (hoffentlich vorhandenen!) Virenschutz-Programmes!
   
Verbreitung Natürlich wieder über E-Mail. Der Wurm kann sich nur installieren, wenn man das dem Mail beiliegende attachment öffnet.
   
Vorsicht bei diesen E-Mails

Die Betreffzeile kann stark variieren, wir wollen daher hier nicht alle aufzählen. Öffnen Sie keinen Datei-Anhang, wenn die Betreff-Zeile
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file

lautet oder wenn Sie mit
Re:
beginnt und der Text nach dem Re: in englischer Sprache ist, z. B.
Re: Your software!

Die eigentliche Nachricht kann lauten:
Your document is attached.
Here is the file.
See the attached file for details.
Please have a look at the attached file
Please read the attached file.
Your file is attached.

Das attachment, welches den Wurm enthält, variiert ebenfalls sehr stark, hat aber in jedem Fall die Namenserweiterung
pif,
also zum Beispiel
mp3music.pif

   
Erkennung

Im Windows-Verzeichnis befindet sich eine Datei namens Winlogon.exe, die bei jedem Windows-Start aufgerufen wird. Das einfache Löschen dieser Datei befreit Sie allerdings nicht von dem Wurm!

Achtung: In den Windows-Versionen NT, 2000 und XP gibt es eine gleichnamige (unentbehrliche!) Datei, die nicht gelöscht werden darf. Diese Datei steuert nämlich das An- und Abmelden beim Hoch- bzw. Hinunterfahren des Computers und ist daher ein integraler Bestandteil dieser Betriebssysteme!
Sie befindet sich aber nicht im Windows-Hauptordner, sondern im System32-Unterordner von Windows!


 
NetSky.P (= .Q) Seit Anfang April 2004 starke Verbreitung auch in Österreich!
Diese Variante von Netsky nützt eine Sicherheitslücke im Outlook Express 5.0 und 5.5; Outlook Express 6.0 ist davon nicht betroffen:
Der Wurm kann sich installieren, auch wenn der Mail-Anhang nicht geöffnet wird!
Wie Sie feststellen können, mit welcher Version Sie arbeiten, können Sie hier nachlesen.
Sollten Sie also noch mit einer dieser älteren Outlook-Versionen arbeiten, dann empfehlen wir Ihnen dringend, diese Sicherheitslücke zu schließen, indem Sie dieses Patch von Microsoft herunterladen.
Sie müssen auf dieser Seite rechts oben unter DOWNLOAD zunächst die Sprache German auswählen und dann daneben auf Go klicken. Auf der darauffolgenden Seite finden Sie die Patches wieder ganz rechts; Sie müssen nun auf jenen klicken, der Ihrer Outlook-Version entspricht (5.0 oder 5.5)!
Noch empfehlenswerter wäre allerdings eine Aktualisierung auf Internet Explorer 6.0! Lesen Sie Näheres dazu hier.
   
Erkennung

Im Ordner C:\Windows oder C:\WinNT befindet sich die Datei FVProtect.exe.

Sollten Sie diese Datei entdecken, dann laden Sie sich das Entfernungsprogramm von Symantec herunter, welches Sie hier finden.
Im Downloadfenster klicken Sie dann links unten auf Öffnen oder Ausführen. Der Download geht recht rasch, dann öffnet sich das Symantec-Fenster und Sie klicken auf Start.

   
Seitenanfang
 
   
Bagle (Beagle) alias W32.Bagle, W32.Bagle@mm
   
 

Die Urversion dieses Massenmailer-Wurmes (Bagle.A) ist seit 18.01.04 bekannt, aber erst in seiner zweiten Fassung vom 17.02. (Bagle.B) wurde der Wurm bekannt, da sich diese Version einerseits sehr "erfolgreich" ausbreitete und andererseits in den "Krieg der Hacker" zwischen MyDoom und Netsky als dritter im Bunde eintrat.

Mittlerweile (14.04.04) scheint man mit dem Zählen der verschiedenen Versionen kaum noch nachzukommen, denn die letzte Version wird von einem Teil der Entwickler von Antiviren-Software als Bagle.M, von einem anderen Teil bereits als Bagle.N bezeichnet. Es gibt zur Zeit also bereits 13 (oder 14?) Versionen dieses Wurmes, und jede wurde gefährlicher als die vorhergehende, da die Ausbreitungsmechanismen immer raffinierter und die Auswirkungen auf befallenen Computern immer vielfältiger wurden. Die letzte Version Bagle.M (oder doch .N?) ist eine raffinierte Kombination aus Wurm, Virus und Trojaner, die überdies auch noch eine Backdoor-Komponente enthält!

Jede einzelne Bagle-Version hat andere Betreffzeilen, andere Textinhalte und andere attachments, also Beilagen. Und zwar nicht nur jeweils eine, sondern gleich bis zu einem Dutzend verschiedene.
Sie werden verstehen, dass wir diese daher hier nicht alle aufzählen können - das würde auch niemand lesen!
Gemeinsam ist jedoch allen Varianten, dass Betreffzeilen, Texte und Beilagen immer ausschließlich in englischer Sprache sind. Seien Sie also bei englischen Mails prinzipiell vorsichtig und öffnen Sie keinesfalls die Beilagen solcher Mails! Löschen Sie diese vielmehr sofort und löschen Sie sie dann auch gleich noch aus dem Ordner Gelöschte Objekte!

   
Ein Beispiel für Bagle.M

Der Wurm findet heraus, über welche Domain Sie sich ins Internet verbinden. Die Domain ist jener Teil der E-Mail-Adresse, der sich nach dem "Klammeraffen" @ befindet, also beispielsweise @aon.at, @uta.at.
Ich, der Autor dieser Zeilen, bin beim Provider surfeu.at und erhielt kürzlich das folgende E-Mail:

Absender: noreply@surfeu.at

Betreff: Important notify

Attachment: Document.zip

Mailtext:

Dear user of " Surfeu.at " mailing system,

Our antivirus software has detected a large ammount of viruses outgoing
from your email account, you may use our free anti-virus tool to clean up
your computer software.

Advanced details can be found in attached file.

Archive password:

Best wishes,
The Surfeu.at team
http://www.surfeu.at

Übersetzung:

Lieber Anwender des "Surfeu.at" Mail-Systems,
unsere Antivirus-Software hat eine große Menge (wobei man "amount" nur mit einem m schreibt!) Viren entdeckt, die von Ihrem E-Mail-Anschluss ausgehen. Sie können unser kostenloses Anti-Viren-Programm zum Säubern Ihrer Computer-Software benutzen.
Weitere Details finden Sie in der beigelegten Datei.
Mit besten Wünschen
das Surfeu.at - Team

Nun ist zwar in Computerkreisen die Verwendung der englischen Sprache sehr häufig - aber dass ein österreichisches Unternehmen einen österreichischen Kunden auf Englisch vor einer Virenverseuchung warnt, das ist natürlich lächerlich (übrigens auch nicht auf deutsch)!
Was glauben Sie, was passiert wäre, wenn ich die beigelegte Datei geöffnet hätte? Auf diese "weiteren Details" kann man getrost verzichten, denn ein bis dahin sauberes System wäre dann endlich auch verseucht gewesen!

   
Entfernung

Wenn Sie - was Sie eigentlich sollten! - einen guten Virenschutz installiert haben und ihn ständig updaten, dann sollte Ihnen ja ohnehin nichts passieren. (Die bekanntesten Schutzprogramme finden Sie auf unserer Downlaodseite.)
Andernfalls sollten Sie sich (mindestens wöchentlich!) das stets topaktuelle und kostenlose Programm Stinger herunterladen und das Laufwerk C:\ damit scannen! Auch dazu finden Sie Näheres bei unseren Downloadempfehlungen.

   
Seitenanfang
 
   
I-Worm Sasser
02.05.04
aktualisiert 04.05.04
Nach einer wahren Flut von E-Mail-Würmern, die nur aktiviert werden konnten, wenn die beigelegten attachments geöffnet wurden, tritt nun wieder eine "echte" Bedrohung auf, die keinerlei Aktivität des Anwenders erfordert - also ein "Wurm" im ursprünglichen Sinne des Wortes: Die bloße Verbindung mit dem Internet genügt, damit der Wurm in das System eindringen kann!
(Zuletzt schaffte dies der Blaster im Sommer 2003.)
   
Voraussetzungen Betroffen sind nur die Betriebssystem MS Windows 2000, Windows NT, Windows XP und Windows Server 2003. Und von jenen wiederum nur diese, die nicht durch eine ausreichende Firewall geschützt sind.
Der Wurm nützt eine Sicherheitslücke in diesen Betriebssystemen.
   
Anzeichen

Nach den uns bisher vorliegenden Erkenntnissen verwendet Sasser unterschiedliche Angriffsmethoden, um weitere Computer zu infizieren.

Möglichkeit 1:
Die Infektion geht völlig unbemerkt über die Bühne. Nach erfolgreicher Infektion befindet sich im Windows-Verzeichnis die Datei avserve.exe oder avserve2.exe. Im selben Verzeichnis oder im Windows-Unterverzeichnis Ssystem32 kann der Wurm Kopien von sich selbst anlegen, welche die Namen ?????_up.exe haben. (????? sind beliebige Ziffern, also beispielsweise 34672_up.exe; es können auch nur vier Ziffern sein.)

Möglichkeit 2:
Beim Versuch der Infektion kommt es zu folgender Fehlermeldung:

Deutsch:
Wurm Sasser: Versuch einer Infektion - deutsche Fehlermeldung
Englisch:
Wurm Sasser: Versuch einer Infektion - englische Fehlermeldung

Egal, auf welchen Schalter Sie klicken, - im folgenden Fenster wird der Countdown Ihres Computers innerhalb von 60 Sekunden eingeleitet (das kennen Sie vielleicht schon, wenn Sie mit MSBlast32 schon unliebsame Bekanntschaft gemacht haben!):

Deutsch:

Wurm Sasser: System herunterfahren, deutsch

Englisch:

Wurm Sasser: System herunterfahren, englisch

Die Dateien, die den Virus enthalten, haben sich zu diesem Zeitpunkt höchstwahrscheinlich noch nicht auf dem PC eingenistet, aber die Wahrscheinlichkeit, dass Sie bei Ihrem nächsten Besuch im Internet wieder auf die gleiche Weise attackiert werden, ist groß!
Sie können den Countdown abbrechen, indem Sie auf Start und dann auf Ausführen... klicken. Tippen Sie nun in die weiße Kommandozeile shutdown -a ein und klicken Sie dann auf OK. Das macht aber nur Sinn, wenn dieser Countdown bereits begonnen hat!

Trennen Sie zunächst die Internet-Verbindung!
Wenn Sie mit dem Betriebssystem Windows XP arbeiten, aktivieren Sie umgehend die Firewall; wie das geht, können Sie hier nachlesen.
Fahren Sie den PC hinunter. Auch dabei könnte es noch zu der folgenden unliebsamen Überraschung kommen:

Wurm Sasser: System herunterfahren - nicht berechtigt

Drücken Sie in diesem Fall die Tastenkombination Strg+Alt+Entf und dann auf den Schalter (oder den Menüeintrag) Herunterfahren!

   
Sofortmaßnahmen

Microsoft hat am 13. April 2004 ein Patch (= Reparatur-Datei) veröffentlicht und dieses am 28. April noch einmal aktualisiert, nachdem der Wurm Sasser damit begonnen hatte, diese Sicherheitslücke zu nützen. Sie sollten dieses Patch umgehend installieren, wenn Sie zum gefährdeten Personenkreis zählen!
Das kann allerdings zum Problem werden, wenn Sie - wie oben beschrieben - von dem Virus andauernd attackiert werden. Die Patch-Datei ist mehr als 2,5 MB groß, und wenn Ihre Internet-Verbindung langsam ist, kann es schon sein, dass Sie mit dem Herunterladen einfach nicht fertig werden. Vielleicht kann ein Bekannter für Sie das Patch herunterladen, auf seinem PC speichern und für Sie auf eine CD brennen oder in einem memory-stick speichern.
Sie können sich natürlich auch an uns wenden!

Wenn Ihre Verbindung noch einigermaßen stabil ist bzw. wenn Sie noch gar nicht betroffen sind, klicken Sie auf den unten stehenden Link, scrollen Sie auf der (englischen) Seite etwas hinunter und suchen Sie das richtige Betriebssytem aus; klicken Sie daneben auf Download the update.
Nun öffnet sich ein neues Fenster; im rechten oberen Kästchen klicken Sie unter Change language in der Zeile English auf den Listenpfeil und wählen dann in der Auswahl-Liste German (Achtung: Nicht "Dutch"!). Klicken Sie jetzt daneben auf den kleinen Schalter Go.
Neuerlich ändert sich der Bildschirm - und jetzt spricht man wieder deutsch mit Ihnen. Scrollen Sie hinunter und folgen Sie dort den weiteren Anleitungen!
Und hier ist der erwähnte Link!

   
Gefahrenpotential Hat der Wurm einen Computer erfolgreich infiziert, startet er - sobald Internet-Verbindung besteht, parallel 128 Scan-Prozesse, die im www nach weiteren potentiellen Opfern suchen - also ungeschützten (= ungepatchten) Computern mit den oben angeführten Betriebssystemen, um diese ebenfalls zu infizieren.
Nun hatten sicherlich auch Sie schon des Öfteren mehrere Internet-Explorer - Fenster gleichzeitig geöffnet - aber 128? Die alle noch dazu ununterbrochen große Datenmengen transferieren??
Sie können sich vorstellen, dass auch die leistungsfähigsten Prozessoren unter dieser Rechenbelastung in die Knie gehen, - der Computer ist also zu nichts anderem mehr zu gebrauchen, wenn er nicht sowieso gleich abstürzt.
Wir konnten noch nicht herausfinden, worin der Sinn dieser Infektionen liegen soll - aber auf infizierte Computer kann zu einem späteren Zeitpunkt sicherlich aus dem Internet zugegriffen und auf diese weitere Programme (mit ganz anderen Funktionen) geladen werden...
   
Entfernung
(für Fortgeschrittene)
Sollte es Sie schon "erwischt" haben, ist eine Entfernung relativ einfach:
Starten Sie im abgesicherten Modus und löschen Sie die Datei avserve.exe (Sasser.B: avserve2.exe; Sasser.D: skynetave.exe) im Windows-Verzeichnis. Löschen Sie im gleichen Verzeichnis sowie im Windows\System32-Verzeichnis alle Dateien mit dem Namen ?????_up.exe (????? sind vier oder fünf variable Zahlen).
Löschen Sie sodann in der Registrierung unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run den Wert avserve.exe=%windir%\avserve.exe bzw. die oben angeführten Nachfolger.
Installieren Sie nach dem nächsten Hochfahren schleunigst das oben erwähnte Patch!
Holen Sie sich anschließend bei Symantec dieses Entfernungs-Programm (klicken Sie im Downloadfenster links unten gleich auf Öffnen) und scannen Sie das gesamte System noch einmal gründlich!
Holen Sie sich auch ein Update Ihres Virenschutzprogrammes!
Wenn Sie mit Windows XP arbeiten, fahren Sie umgehend die Firewall hoch!
   

   
I-Worm Sasser.B
(03.05.2004)

Die zweite Variante des Wurmes, die sich seit 01.05.2004 ausbreitet, ist ein Abziehbild der ersten, inzwischen als Sasser.A bezeichneten Variante.
Sasser.B unterscheidet sich nur dadurch, das die Wurm-Datei im Windows-Verzeichnis den Namen aserve2.exe hat und natürlich mit diesem Namen auch in der Registrierung eingetragen ist.

Die beiden Sasser-Würmer, deren Ursprung in Lateinamerika zu liegen scheint, erstürmten in vielen europäischen Ländern innerhalb weniger Tage die Nummer 1 der Viren-Hit-Liste!

   

   
I-Worm Sasser.D
(04.05.2004)

Der Autor von "Sasser" scheint leider ein fleißiger Mensch zu sein und hält die Programmierer der Virenschutz-Programme auf Trab. In den Nachmittagsstunden des 04.05. tauchte schon die vierte Variante, Sasser.D, auf. Die Art der Verbreitung ist natürlich die Gleiche - die Sicherheitslücke in Windows 2000 und Windows XP. (Bei NT-Betriebssystemen dagegen hatte der Wurm so gut wie keinen Erfolg.)

Im Gegensatz zu den ersten drei Versionen hat sich nun jedoch der Name der Datei geändert, die den Virus enthält und die (durch einen entsprechenden Eintrag in der Registrierung) bei jedem Systemstart aufgerufen wird. Diese Datei, die ebenfalls im Windows-Hauptverzeichnis gespeichert wird, heißt in der Variante D nun skynetave.exe!

   
Seitenanfang
 
   
Spyware Spyware ist eine Zusammensetzung der englischen Wörter spy (= Spion) und software (= Computerprogramm) und kann daher am besten als Spionageprogramm bezeichnet werden.
Zwar werden viele dieser Programme auch mit Würmern auf unsere PC's eingeschleust, dennoch handelt es sich bei ihnen aber nicht um Viren im eigentlichen Sinn des Wortes. Sie finden daher eine ausführlichere Erklärung nicht hier auf unserer Virenseite, sondern in einem unserer Insider-Artikel. Dort lesen Sie auch, worauf Sie achten sollten und wie Sie sich gegen Spyware schützen können.
   
Seitenanfang