PDA

Vollständige Version anzeigen : WICHTIGER HINWEIS wegen Viren - Bitte alle lesen!!!


Günther Kramer
30.11.2001, 22:00
Hallo Forenteilnehmer,

die Moderatoren und ich, als Betreiber des Forums, bekommen seit Tagen von sehr vielen Forenteilnehmer Mails mit Viren.

Ist der Rechner einmal mit dem Virus W32.Badtrans.B@mm befallen, hängt es sich an Mails und versendet sich selbst. zudem spioniert dieser Kennwörter aus und sendet diese ans Internet.

Sofern Ihr Rechner noch nicht geschützt ist, besorgen Sie sich einen Virenschutz.

Wir empfehlen <A HREF="http://www.amazon.de/exec/obidos/ASIN/B00005OA5D/accessparadialle" target="_blank">Norton Internet Security 2002 4.0</A>. In diesem Paket ist ein Virenschutz und eine Software Firewall enthalten.


Den Virenschutz erhalten Sie aber auch ohne Firewall.
Der <A HREF="http://www.amazon.de/exec/obidos/ASIN/B00005O7OK/accessparadialle" target="_blank">Norton AntiVirus 2002 8.0 deutsch</A> ist das ideale Produkt um den PC vor Viren zu schützen. Dateien, Disketten, Festplatten und Email werden geprüft. Mit dem LifeUpdate erhalten Sie immer die aktuellsten Daten und sind somit vor den neuesten Viren geschützt.

Mit dieser Software können auch keine Mails mit Viren von Ihnen versandt werden, da sämtliche Mails vor dem Senden auf Virenbefall geprüft werden.


Handeln Sie jetzt und schützen Sie sich und Andere vor Viren!

<font size="1" face="Century Gothic">Moderatorenanmerkung: Überarbeitung, durch den Wechsel der Forensoftware zum 01.01.2003 verursacht: in diesem Beitrag Link(s) korrigiert.
jinx – 01.07.2003</font>

Sandrine
03.12.2001, 07:09
Das Ding hab ich auch schon x-mal bekommen, dank Virencsanner und mail-Einstellungen glücklicherweise ohne Folgen, dennoch für alle hier noch genauere Infos vom Bundesamt für Sicherheit in der Informationstechnik
mit Link für Tools zum Prüfen und ggf. Entfernen bzw. Anleitung zum manuellen Entfernen:

Informationen zu Programmen mit Schadensfunktionen

_____

Name:
W32.Badtrans.B@mm
Alias:
IWorm_Badtrans, I-Worm.Badtrans
Art:
Wurm
Betriebssystem:
Windows 32 bit
Verbreitung:
Versendung von Email-Nachrichten
Risiko:
Mittel
Handlungsbedarf:
ja, Update der Viren-Schutzkennungen
Schadensfunktion:
Verschickt Daten per E-Mail, Installation eines Trojanischen Pferdes
Beschreibung
W32.Badtrans.B@mm ist ein MAPI-basierender Email-Wurm, der sich selbst per Email-Nachricht versendet. Außerdem installiert er ein Trojanisches Pferd, welches in der Lage ist, Informationen aus dem infizierten System zu stehlen.

Die trojanische Komponente wird als Datei KDLL.DLL in das Verzeichnis \Windows\System abgelegt.
W32.Badtrans.B@mm selbst kopiert sich als Datei kernel32.exe in dieses Verzeichnis. Danach registriert sich der Wurm im System mit dem Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32=ke rnel32.exe


Der Dateiname der angehängten Datei wird zufällig aus einer Liste von Dateinamen gewählt.

FUN
HUMOR
DOCS
S3MSONG
Sorry_about_yesterday
ME_NUDE
CARD
SETUP
SEARCHURL
YOU_ARE_FAT!
HAMSTER
NEWS_DOC
New_Napster_Site
README
IMAGES
PICS

Erste von zwei Dateinamenerweiterungen:

DOC
MP3
ZIP

Zweite Erweiterung (wird u.U. nicht angezeigt):

pif
scr

Beispiel:
CARD.DOC.PIF
NEWS_DOC.MP3.SCR

Durch eine bekannte Schwachstelle im Internet Explorer kann es dazu kommen, dass W32.Badtrans.B@mm aktiviert wird, wenn der Anwender seine Email-Nachricht liest, bzw. die AutoVorschau aktiviert ist.
Diese Schwachstelle kann durch den Patch:
www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp (http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp)
geschlossen werden.

Entfernung:
Aktuelle Viren-Schutzprogramme erkennen diesen Wurm und können ihn auch entfernen.
"Ein kostenloses Programm zur Entfernung des Virus ist unter http://securityresponse.symantec.com/avcenter/venc/data/w32.badtrans.b@mm.removal.tool.html zu finden."
Zur manuellen Entfernung muß der oben genannte Registry-Key entfernt und die infizierten Dateien gelöscht werden (bei Windows 95/98 im abgesicherten Modus).
Zu beachten ist, das es auch eine Datei "kernel32.dll" gibt. Diese Datei ist eine Systemdatei und darf nicht gelöscht werden.
Bei Windows NT existiert ein verborgener Prozess "kernel32", den man vorher über den Taskmanager beenden muß.
Email-Filter sollten so eingestellt werden, dass sie Email-Anhänge mit der Erweiterung .pif und .scr blockieren.
Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
(Erstellt: 26.11.2001)

_____

© Copyright by Bundesamt für Sicherheit in der Informationstechnik: All Rights Reserved.


Gruß, Sandra

Günther Kramer
15.12.2001, 22:26
D er neue Virus wurde bisher unterschätzt und verbreitet sich jetzt in rasantem Tempo. Dies, obwohl die Anbieter von Anti-Virensoftware seit zwei Tagen vor Gokar/Goker warnen, wie ZDNet am Freitag berichtete.

Zur Verbreitung nutzte der Wurm E-Mails und IRC-Kanäle. Wie viele andere Viren nutze Gokar die Sicherheitslücken von Microsoft Outlook, um PCs via Mail zu infizieren. Er verschaffe sich Zugriff auf das Adressbuch und verschicke seine Kopien an alle dort gefundenen Adressen.

Ohne Antiviren-Software auf dem Computer erschwere die Erkennung der verseuchten Mails erheblich, dass der Eindringling keine konstanten Merkmale besitze. So sei der Betreff zufällig aus rund 15 Varianten gewählt. Für den Body gebe es ungefähr elf Variationen, die von einem einfachen „Hey“ über „Happy Birthday“ bis zu „They say love is blind ... well, the attachment probably proves it“ reichen würden.

Auf Endungen wie .SCR, . COM, .EXE, .BAT oder .PIF sollen die angehängten Wurm-Trägerdateien lauten, die einen willkürlich ausgewählten Namen haben könnten, so der Bericht weiter.

Quelle: http://www.focus.de

Wie, immer noch keine Anti-Virensoftware?

AWSW
15.12.2001, 22:42
Hi,
hatte das gestern schon mal im Access-Forum gepostet, vielleicht erreicht der nachfolgende Text auch hier ein paar Leser...

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

... und da es wohl in die nächste Runde geht - Bitte den Virenschutz aktualisieren oder falls gar nicht vorhanden - zulegen

Aus einer heute erhaltenen Mail von Symantec:
**********************************************************************


**** Ein weiterer Virus treibt sein Unwesen! ****

W32.Gokar.A@mm wurde am 12. Dezember entdeckt. Die Gefahr, die von
diesem Virus ausgeht ist relativ hoch. Es ist definitiv Vorsicht
geboten, denn der Wurm verschickt sich bei Infektion eines Rechners
an alle Adressen des Microsoft Outlook Adressbuchs und fuegt den
Namen des vermeindlichen Absenders automatisch an das Ende der E-Mail
hinzu.


Es gibt eine Reihe von Betreffs, mit der der Wurm sich verschickt:
- If I were God and didn't belive in myself would it be blasphemy
- The A-Team VS KnightRider ... who would win ?
- Just one kiss, will make it better. just one kiss, and we will be
alright.
- I can't help this longing, comfort me.
- And I miss you most of all, my darling ...
- ... When autumn leaves start to fall
- It's dark in here, you can feel it all around. The underground.
- I will always be with you sometimes black sometimes white ...
- .. and there's no need to be scared, you re always on my mind.
- You just take a giant step, one step higher.
- The air will hold you if you try, trust my wings of desire.
Glory, Glorified.......

Im Mailtext selbst steht eine der folgenden Zeilen:
- Happy Birthday
- Yeah ok, so it's not yours it's mine
- The horizons lean forward, offering us space to place new steps
of change.
- I like this calm, moments before the storm
- Darling, when did you fall..when was it over ?
- Will you meet me .... and we'll fly away ?!
- You should like this, it could have been made for you
speak to you later
- They say love is blind ... well, the attachment probably proves it.
- Pretty good either way though, isn't it ?
still cause for a celebration though, check out the details I
attached
- This made me laugh
- Got some more stuff to tell you later but I can't stop right now
- so I'll email you later or give you a ring if thats ok ?!
- Speak to you later


Der Anhang hat unterschiedlichste Dateinamen:
tgfdfg jhfxvc cgfd2 trevc t6tr ffdasf glkfh fhjdv qesac kujzv
weafs twat rewfd gfdsf hgbv fdsc p0olik 3tgf rf43dr t54refd ut545a
r4354gkjw vgrewu xw54re y343rv z3vdf

Die unterschiedlichen Endungen lauten:
.pif
.scr
.exe
.com
.bat

Selbstverstaendlich stehen Ihnen die neuen Virendefinitionen per
LiveUpdate bereits zur Verfuegung.
Sollte ein Rechner infiziert sein, zeigt die Anleitung Schritt fuer
Schritt, wie das Entfernungswerkzeug von Symantec einzusetzen ist. http://www.symantec.com/avcenter/venc/data/w32.gokar.a@mm.html


Wir wünschen Ihnen ein froehliches Weihnachtsfest.

Ihr connected@symantec-Team


**********************************************************************


Ich hoffe das hilft Euch & Schönen (Virenfreien) Abend noch :)