Trojaner-Info Spezial

Aktuelle Virenwarnungen Jahr 2005

Jahr 2005 | Jahr 2004 | Jahr 2003 | Jahr 2002 | Jahr 2001 |


August 2005

W32/Zotob.e (16.08.05)

Alias Namen: W32/IRCbot.worm!MS05-039, CME-540, W32.Zotob.E, W32/Tpbot-A, WORM_RBOT.CBQ, W32/Tpbot-A
Verbreitung: Nutzt Sicherheitslücke (Port 445 im Netzwerk/Internet). Es handelt sich um die sogenannte "Plug & Play" - Sicherheitslücke (MS05-039) und "LSASS" (MS04-011). Folgende Windows - Versionen können betroffen sein: XP, Windows2000, Windows 2003 Server.
Erkennbare Anzeichen einer Infektion: Datei "wintbp.exe" im Windows - Systemverzeichnis.
Bekannte Schäden: Installiert Backdoor (Port 8080)
Informationen Englisch: F-Secure | McAfee | Kaspersky | CA | Alwil |
Informationen Deutsch: H+BEDV | TrendMicro | Symantec | Sophos |



Mai 2005

W32/Sober.p (03.05.05)

Alias Namen: W32/Sober.p@MM, WORM_SOBER.S, Win32Sober.N, W32/Sober-N, W32.Sober.O@mm, Sober.P
Verbreitung:
Über E-Mail mit gefälschten Absendern.
Betreff/Subject: Ihr Passwort / Mail-Fehler! / Ihre E-Mail wurde verweigert / Ich bin's, was zum lachen ;) / Glueckwunsch: Ihr WM Ticket / WM Ticket Verlosung / WM-Ticket-Auslosung
Mailtext:
Verschiedene Texte, alles in deutscher Sprache. Siehe hierzu weiterführende Links der AV-Hersteller.
Dateianhang: LOL.zip / autoemail-text.zip / _PassWort-Info.zip / Fifa_Info-Text.zip / okTicket-info.zip - Dateigrösse ca. 54 KB.
Erkennbare Anzeichen einer Infektion:
Vorgetäuschte Fehlermeldung "Error: CRC not complete". Es befinden sich die Dateien "services.exe", "csrss.exe" und "smss.exe" im Verzeichnis "%WinDir%\Connection Wizard\Status"
Bekannte Schäden: Versucht AV-Programme, XP-Firewall und Windows-Update zu deaktivieren. Versendet E-Mails vom infizierten PC aus. Es ist noch eine weitere Variante "q" im Umlauf, die sich lediglich in den Texten unterscheidet, die politisch sehr stark rechts orientiert sind.
Informationen Englisch (Sober.p): McAfee | CA | F-Secure | Kaspersky |
Informationen Englisch (Sober.q): McAfee | CA | F-Secure | Symantec |
Informationen Deutsch (Sober.p):
Sophos | TrendMicro | Symantec |
Informationen Deutsch /Sober.q): Sophos | TrendMicro | Kaspersky |



März 2005

W32/Sober.m (07.03.05)

Alias Namen: W32/Sober.gen@MM, W32.Sober.L@mm, Email-Worm.Win32.Sober.l, W32/Sober-L, WORM_SOBER.L
Verbreitung: Über E-Mail mit gefälschten Absendern.
Betreff/Subject: "Ich habe Ihre E-Mail bekommen!" oder "Your Password & Account number"
Mailtext:
" Hallo, jemand schickt ihre privaten Mails auf meinem Account. Ich schaetze mal, das es ein Fehler vom Provider ist. Insgesamt waren es jetzt schon 6 Mails! Ich habe alle Mail-Texte im Texteditor kopiert und gezippt. Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich. Gruss
ODER
i've got an admin mail with a Password and Account info! but the mail recipient are you! it's probably an esmtp error, i think. i've copied the full mail text in the Windows text-editor & zipped. ok, cya...
Dateianhang: "MailTexte.zip" oder "acc_text.zip" (jeweils ca. 42 KB)
Erkennbare Anzeichen einer Infektion:
Es befinden sich die Dateien "smss.exe" und "zipzip.zab" im Verzeichnis "%WinDir%\msagent\system".
Bekannte Schäden: Beendet laufende Prozesse (Programme etc.) mit dem Textstring: gcas / gcip / giantanti / hijackthis / stinger. E-Mail Versand.
Informationen Englisch:
Informationen Deutsch:



Februar 2005

W32/Mydoom.bb (17.02.05)

Alias Namen: W32/Mydoom.bb@MM, Email-Worm.Win32.Mydoom.m, W32.Mydoom.AX@mm, W32/MyDoom-O, Win32.Mydoom.AU, WORM_MYDOOM.BB.
Verbreitung: E-Mail und Netzwerkfreigaben.
Betreff/Subject: hello / hi / error / status / test / report / delivery failed / Message could not be delivered / Mail System Error - Returned Mail / Delivery reports about your e-mail / Returned mail: see transcript for details / Returned mail: Data format error delivered
Mailtext:
Text variiert stark, wird mit Hilfe eigener Optionen zusammengesetzt. Siehe hierzu auch weiterführende Links zu den AV-Herstellern.
Dateianhang: ATTACHMENT / DOCUMENT / FILE / INSTRUCTION / LETTER / MAIL / MESSAGE / README / TEXT / TRANSCRIPT. Wählt dazu zufällig eine dieser Dateiendungen: .bat, .cmd, .com, .exe, .pif, .scr, .zip - Grösse ca. 25 KB.
Erkennbare Anzeichen einer Infektion:
"services.exe" und "java.exe" im Windows - Verzeichnis.
Bekannte Schäden: Lädt Backdoor aus dem Netz, E-Mail Versand. Der Wurm startet eine Suchanfrage an diverse Suchmaschinen um darüber neue E-Mail Adressen zur weiteren Verbreitung zu finden.
Informationen Englisch: F-Secure | Kaspersky | McAfee | TrendMicro |
Informationen Deutsch: Sophos | Symantec |



Januar 2005

W32/Bagle.bj & W32/Bagle.bk (26.01.05)

Alias Namen: W32/Bagle.bj@MM, Win32.Bagle.AT , Bagle.AX, Email-Worm.Win32.Bagle.ax, W32/Bagle-AY, WORM_BAGLE.AY, Win32.Bagle.AU, Email-Worm.Win32.Bagle.ay, W32/Bagle.bk@MM, W32/Bagle-BK, WORM_BAGLE.AZ, W32.Beagle.AY@mm.
Verbreitung: E-Mail & Netzwerk-Tauschbörsen.
Betreff/Subject: Delivery by mail / Delivery service mail / Is delivered mail / Registration is accepted / You are made active
Mailtext:
Before use read the help / Thanks for use of our software.
Dateianhang: Jol03 / guupd02 / siupd02 / upd02 / viupd02 / wsd01 / zupd02. Wählt dazu zufällig eine dieser Dateiendungen: .com, .cpl, .exe, .scr - Dateigrösse ca. 18 bis 19 KB
Erkennbare Anzeichen einer Infektion:
Im Windows - Systemverzeichnis befinden sich die Dateien "sysformat.exe" und "sysformat.exeopen".
Bekannte Schäden: E-Mail Versand, versucht Firewall- und Antivirus - Programme zu deaktiveren, Backdoor - Funktion.
Informationen Englisch (Bagle.bj): TrendMicro | Symantec | McAfee | F-Secure | CA |
Informationen Englisch (Bagle.bk): TrendMicro | Symantec | McAfee | F-Secure | CA |