Trojaner-Info Spezial

Aktuelle Virenwarnungen Jahr 2001

Jahr 2005 | Jahr 2004 | Jahr 2003 | Jahr 2002 | Jahr 2001 |


Dezember 2001

W32/Kerzac - Maldal - Zacker (19.12.2001)

Alias-Namen: WORM_MALDAL.C, KERZAC.A, KERZAC, W32/Maldal.c@MM, W32/Reeezak.A@mm, I-Worm.Keyluc, W32/Zacker-C
Virentyp: Wurm (Visual Basic), EXE-Datei
Verbreitung: Als E-Mail Dateianhang (christmas.exe / Grösse 37 KB) an alle Adressen aus Outlook und MS-Messenger.
Betreff/Subject: Happy New Year
Nachricht:
Hii I can?t describe my fellings But all I can say is Happy New Year :) Bye
Bekannte Schäden: Nimmt Eintragungen in der Registry vor: Damit der Wurm bei Systemstart ausgeführt wird:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion - RunZaCker = "%windows%CHRISTMAS.EXE"
Computername wird in "ZaCker" umbenannt:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlComputerName - ComputerNameComputerName = "ZaCker"
Legt neue Startseite für Internet Explorer fest:

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain - Start page = http://geocites.com/xxxxx/ZaCker.htm

Deaktiviert die Tastatur, Dateien mit den Endungen .dll, .drv, .tsp und .vxd werden aus dem Systemverzeichnis gelöscht. Über die neu eingetragene Startseite wird ein VBScript (Name outlook.vbs) installiert, sobald diese durch den Anwender besucht wird und es die Konfigurationen des zugrundeliegenden Browser zulassen. Auch diese Datei enthält einen Wurm, der an alle Kontaktadressen eine E-Mail mit einem Link zu der infizierten Seite versendet, Systemdateien löscht und versucht Schutzprogramme (Firewalls, Virenscanner etc.) zu deaktivieren. Die AV-Firmen scheinen sich in diesem Fall überhaupt nicht mit der Bezeichnung einig zu sein, siehe "Alias-Namen" !
Informationen Englisch: McAfee | Sophos | CAI | Norman | Panda | Eset | Symantec |
Informationen Deutsch:


W32/Goner-A (05.12.2001)

Alias-Namen: W32/Goner, W32.Goner.A@mm, I-Worm.Goner, WORM_GONE.A
Virentyp: Wurm
Verbreitung: Über E-Mail, sowie IRC und ICQ. Sofern eines der letzten beiden genannten installiert ist. Der Dateianhang ist ca. 38 KB gross und trägt den Namen "gone.scr"
Betreff/Subject:
Hi
Nachricht:
How are you ? "How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!"
Bekannte Schäden: Verschickt sich selber per E-Mail über Outlook. Versucht laufende Prozesse verschiedener Virenscanner und Firewalls zu beenden. Bei Systemstart löscht der Wurm alle Dateien in dem Verzeichnis, dessen laufenden Prozess er vor dem Start beendet hat.
Schreibt sich zwecks Autostart in die Registry: HKLMSoftwareMicrosoftWindowsCurrentVersionRun
%System%gone.scr = %System%gone.scr. Der laufende Prozess heisst genauso wie der o.g. Dateianhang.
Informationen Englisch: CAI | Kaspersky | McAfee | Norman | Symantec | F-Secure | Panda |
Informationen Deutsch: Sophos | Kaspersky |


November 2001

W32/Badtrans-B (25.11.2001)

Alias-Namen: W32.Badtrans.B@mm, WORM_BADTRANS.B, I-Worm.BadtransII, BadTrans
Virentyp: Wurm
Verbreitung: Per E-Mail Dateianhang. Der Anhang ist ca. 30 KB gross. Der Name des Anhangs wird aus einer internen Namenliste nach einem Zufallsprinzip beim automatischen Versand zusammengefügt.
Erster Teil des Dateinamens aus der Liste: FUN, HUMOR, DOCS, S3MSONG, Sorry_about_yesterday, ME_NUDE, CARD, SETUP, SEARCHURL, YOU_ARE_FAT!, HAMSTER NEWS_DOC, New_Napster_Site, README, IMAGES, PICS
Zweiter Teil kann aus folgenden Namen bestehen: .DOC., .MP3., .ZIP.
Dritter Teil: pif, scr
Möglich wäre z.B.: HUMOR.DOC.SCR, New_Napster-Site.ZIP.pif usw., usw.
Betreff/Subject: keiner oder "Re:" bzw. "Re: alter_Betreff_einer_verschickten_Mail"
Nachricht: keine, also leer. Es handelt sich jedoch um eine HTML-Mail
Bekannte Schäden: Installiert den Trojaner "PWS-AV". Dabei handelt es sich um einen Keylogger, der sämtliche Tastatureingaben aufzeichnen kann. Beantwortet (wie oben beschrieben) jede eingehende Mail automatisch. Liest Mailadressen aus dem Windows-Adressbuch und dem Browsercache (aus den gespeicherten Webseiten, die besucht worden sind) aus und verschickt sich auch an diese. Wer viele Mails am Tag erhält und mit diesem Wurm infiziert ist, kann eine gewaltige Lawine ins Rollen bringen ! Informationen werden auch an den Autor des Wurms übermittelt. Der Wurm setzt in der Absender-Adresse in vielen Fällen vor dem Namen das Zeichen "_" (Unterstrich). Beispiel: Statt "mustermann@asdf.com" nun "_mustermann@asdf.com". Wenn ein Empfänger auf die Mail in Form einer Virenwarnungen antworten möchte, unbedingt das Zeichen entfernen bzw. darauf achten !
Gegenmittel als kostenloses Removal Tool bei uns erhältlich.
Informationen Englisch: Sophos | F-Secure | McAfee | Kaspersky | CAI | Eset | Frisk |
Informationen Deutsch: Sophos | Panda | Ikarus | AntiVir |


Oktober 2001

W32/Klez (29.10.2001)

Alias-Namen: Klaz, W32/Klez@MM, TROJ_KLEZ.A, KLEZA.A
Virentyp: Wurm u. Virus
Verbreitung: Per E-Mail Dateianhang (Name abweichend, da durch den Wurm zufällig ausgewählt. Nutzt evtl. Schwachstelle in Outlook, die es ermöglicht, Dateianhänge (EXE) schon im Vorschaufenster zu aktivieren. Auch kann Klez Antiviren-Software deaktivieren.
Betreff/Subject:
Entweder keinen oder zufällig aus einer Liste ausgewählt -
"Hi", "Hello", "How are you?", "Can you help me?", "We want peace", "Where will you go?", "Congratulations!!!", "Don't cry", "Look at the pretty", "Some advice on your shortcoming", "Free XXX Pictures", "A free hot porn site", "Why don't you reply to me?", "How about have dinner with me together?", "Never kiss a stranger"
Nachricht:
Entweder lnhalt leer oder dieser Text: "I'm sorry to do so,but it's helpless to say sorry. I want a good job,I must, support my parents. Now you have seen my technical capabilities How much my year-salary now? NO more than $5,500 What do you think of this fact? Don't call my names,I have no hostility Can you help me?"
Bekannte Schäden: Löscht Daten jeweils am 13. der Monate Februar, April, Juni, August, Oktober, Dezember.
Kann sich auch über Netzwerke verbreiten.
Informationen Englisch: Symantec | McAfee | CAI | F-Secure |
Informationen Deutsch: Sophos


W32/Redesi.b (19.10.2001)

Alias-Namen: I-Worm.Redesi.b, TROJ_UCON.A, W32.Redesi.B@mm
Virentyp: Wurm im EXE-Format
Verbreitung: Verbreitet sich per E-Mail unter den Dateinamen "rede.exe, disk.exe, si.exe, common.exe, userconf.exe "
Betreff/Subject:
abweichend
Nachricht:
A-Variante: "heh. I tell ya this is nuts ! You gotta check it out !"
B-Variante: " I have contacted Microsoft and they say it's real !"
Bekannte Schäden: Die Variante B versucht am 11. November die Festplatte zu formatieren (also löschen)
Informationen Englisch: Kasperksy | Symantec | McAfee |
Informationen Deutsch: Sophos


VBS/Antrax (16.10.2001)

Alias-Namen: VBS_VBSWG.GEN, VBS.VBSWG.L, I-Worm.Lee, VBS/Anjulie.gen@MM, VBS/VBSWG.AF
Virentyp: Visual Basic Script Wurm (generiert mit einem Viren-Construction Kit)
Verbreitung: Über E-Mail und IRC-Kanäle unter den Dateinamen Antraxinfo.vbs und Antrax.jpg.vbs
Betreff/Subject: "Antrax Info" oder "Informacion Sobre El Antrax"
Nachricht: ein spanischer Text mit einem Hinweis bezüglich Infos zu Milzbrand und ein Foto mit den Folgen
Bekannte Schäden: Infektion von VBS- und VBE-Dateien
Informationen Englisch: CAI | Kaspersky | Symantec |
Informationen Deutsch:


W32.Nimda.b (09.10.2001) - W32.Nimda.c (12.10.2001)

Alias-Namen: W32.Nimda.b@mm, I-Worm.Nimda.b, PE_NIMDA.B
Virentyp: Virus und Wurm zugleich
Verbreitung (z.B. Art): siehe Nimbda.a vom 20.09.2001
Unterschiede jedoch:
anderer Dateiname - puta.scr, puta!!.eml, puta!!.scr
Bekannte Schäden: siehe Nimbda.a vom 20.09.2001
Informationen Englisch: F-Secure | McAfee | Symantec |
Informationen Deutsch: Sophos


September 2001

W32.Vote.A (26.09.2001)

Alias-Namen: WinVote.A, W32.Vote.A@mm, WTC, TROJ_VOTE.A, I-Worm.Vote, W32/Vote@MM
Virentyp: Wurm, Virus und auch Trojanisches Pferd
Verbreitung (z.B. Art): Kommt über E-Mail Dateianhänge (wtc.exe).
Betreff: Fwd:Peace BeTweeN AmeriCa and IsLaM!
Mailtext: Hi - iS iT A waR Against AmeriCa Or IsLaM !? Let's Vote To Live in Peace!
Bekannte Schäden: kann einen Trojaner aus dem Web nachladen, löscht Dateien und versucht die Festplatte über Einträge in der autoexec.bat zu formatieren.
Informationen Englisch: Symantec | Sophos | McAfee | Eset |
Informationen Deutsch: Ikarus


W32.Nimda.a (20.09.2001)

Alias-Namen: W32.Nimda.A@mm, Code Rainbow, Minda, Nimbda, W32/Nimda-A, TROJ_NIMDA.A
Virentyp: Virus und Wurm zugleich
Verbreitung (z.B. Art): Kommt als Mail-Dateianhang "readme.exe" (auch Endung .wav und .com wurden gesichtet) und verschickt sich mittels der Mailsoftware selbstständig, Netzwerkfreigaben. Besuch einer Webseite, dessen Webserver infiziert wurde (der Wurm kann somit auch ganze Webserver infizieren die unter Microsoft IIS laufen). Der Internet Explorer lädt eine Datei "readme.eml" beim Aufruf einer Webseite. Je nach Einstellungen des Internet Explorers wird diese sofort ausgeführt und das System infiziert. Die Browser Netscape, Mozilla und Opera sind von diesem Problem nur teilweise betroffen, da zunächst eine Nachfrage erfolgt, ob die Datei heruntergeladen bzw. ausgeführt werden soll. Wir raten dazu den Internet Explorer in diesem Moment entweder gar nicht zu nutzen (Alternativen: Netscape, Mozilla und Opera) oder alle ActiveX und Script Optionen im IE zu deaktivieren. Der Wurm nutzt einen Bug der Mailsoftware (siehe oben) aus. Einen Sicherheitspatch gibt es bei Microsoft.
Bekannte Schäden: lokale Schäden (z.B. Datenverluste) sind ZUR ZEIT noch nicht bekannt. Jedoch werden Netzwerkfreigaben geschaffen bzw. geöfnet.
Informationen Englisch: Symantec | McAfee | Sophos | Norman | F-Secure | Trend Micro |
Informationen Deutsch: Sophos | Trend Micro | Trojaner-Info |


Code Blue (09.09.2001)

Alias-Namen: W32/CodeBlue.worm, Win32/BlueCode.Worm, IIS-Worm.BlueCode
Virentyp: Nutzt Sicherheitslücken in NT und 2000 Server
Verbreitung (z.B. Art): selbständig, sucht Sicherheitslücke auf NT und 2000 Servern
Bekannte Schäden: System wird instabil, legt Virus an und startet DOS-Attacken
Informationen Englisch: McAfee | CAI | F-Secure | Symantec | Microsoft | Kaspersky
Informationen Deutsch: Heise


W32.Magistr.b (06.09.2001)

Alias-Namen: W32.Magistr.39921@mm, PE_MAGISTR.B, I-Worm.Magistr.b, W32/Magistr.B@MM, I-Worm.Magistr.b.poly
Virentyp: Virus und Wurm zugleich
Verbreitung (z.B. Art): hautpsächlich per E-Mail (Dateianhänge) und Netzwerkfreigaben möglich. Der Name des Dateianhangs ist immer unterschiedlich !
Bekannte Schäden: nach 30 Tagen BIOS/CMOS löschen, löscht Daten auf Festplatte und deaktiviert (wenn vorhanden) die Firewall ZoneAlarm
Informationen Englisch: McAfee | F-Secure | Symantec | Panda
Informationen Deutsch: Sophos | Kaspersky