Trojaner-Info Spezial

Aktuelle Virenwarnungen Jahr 2002

Jahr 2005 | Jahr 2004 | Jahr 2003 | Jahr 2002 | Jahr 2001 |


November 2002

W32/Winevar-A (27.11.2002)

Alias-Namen: WORM_WINEVAR, I-Worm.Winevar, W32/Winevar-A, W32/Korvar, Worm/Bride.C, W32.HLLW.Winevar, Win32.Bride.C@mm, Win32.HLLM.Seoul
Virentyp: Wurm (Ursprung Korea)
Verbreitung: über E-Mail und nutzt dabei auch Schwachstellen des Internet Explorers (Microsoft VM ActiveX-Komponente IFRAME Vulnerability). Es werden mehrere Dateianhänge verschickt: WINXXXX.TXT, MUSIC_1.HTM, WINXXXX.GIF, MUSIC_2.CEO und WINXXXX.PIF. "XXXX" steht für eine vierstellige Zahl, die der Wurm zufällig generiert.

Erkennbare Anzeichen einer Infektion: WIN****.pif Datei im Windows System Ordner. Wobei hier die vier Sterne für eine vierstellige Zahl steht, die der Wurm selber nach einem Zufallsprinzip generiert.
Bekannte Schäden: Nutzt schon bei der Verbreitung Schwachstellen des IE-Browsers und ein blosses Betrachten der Mail kann unter gegebenen Voraussetzungen schon ausreichen ein System zu infizieren. Nimmt verschiede Autostarteinträge in der Registry vor. Versucht diverse Virenscanner, Firewalls etc. zu deaktivieren. Verschickt sich selbständig an alle Mailadressen, die der Wurm in Dateien der Endungen ".htm" und ".dbx" auf dem zugrundeliegenden System finden konnte. Wenn eine Internetverbindung besteht, wird die Hauptseite von www.symantec.com heruntergeladen und DOS-Attacken getätigt. Startet Virus W32/Funlove, den der Wurm zuvor schon in den Windows-System Ordner kopiert hatte.

Informationen Englisch: Kaspersky | Norman | BitDefender | McAfee | CAI | F-Secure | GeCAD |
Informationen Deutsch: BitDefender | TrendMicro | Kaspersky | Sophos |


Oktober 2002

W32/Opasoft (01.10.2002 - im Umlauf seit 28.09.2002)

Alias-Namen: Backdoor.Opasoft, W32.Opaserv.Worm, WORM_OPASOFT.A, W32/Opaserv-A, W95/Scrup.worm, Scrup, BackDoor-ALB
Virentyp: EXE-Wurm
Verbreitung: via Netzwerkfreigaben (auch Druckerfreigaben !), scannt ständig nach neuen Netzwerkrechnern, nutzt u.a. auch eine alte und längst bekannte Sicherheitslücke.
Erkennbare Anzeichen einer Infektion: Existenz der Datei "SCRSVR.EXE" auf Laufwerk C
Bekannte Schäden:
Könnte schädliche Dateien von der Domain "opasoft.com" herunterladen. Diese Domain ist jedoch zum jetzigen Zeitpunkt gesperrt. Der Wurm verschickt alle gefundenen Rechneradressen (Computernamen und Netzwerkdomains). Damit der Wurm bei jedem erneuten Systemstart ebenfalls ausgeführt wird, erfolgt ein Eintrag in die Registry unter:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRun, ScrSvr = "%Windows%SCRSVR.EXE"
Gegenmittel als kostenloses Removal Tool bei uns erhältlich.
Informationen Englisch: McAfee | CAI | Kaspersky | F-Secure | Symantec | Norman |
Informationen Deutsch: Kaspersky | Sophos | AVG |


September 2002

W32/Bugbear (30.09.2002 - Abendstunden)

Alias-Namen: Tanat, Tanatos, Natosta.A, Worm_Natosta.A, W32.Bugbear@mm, I-Worm.Tanatos
Virentyp: EXE-Wurm & Backdoor-Trojaner / Keylogger (Ursprung Malaysia)
Verbreitung: via E-Mail mittels I-Frame bzw. Dateianhang (je nach Mailprogramm u. Konfiguration). Dateigröße: ca. 50 KB (Endungen .pif, .scr oder .pif möglich). Vorsicht ! Datei weist Doppelendungen auf ! Der Wurm kann sich auch unter gegebenen Voraussetzungen über das Netzwerk verbreiten.
Betreff/Subject:
Der Wurm sucht sich Betreffzeilen und Mailtext aus vorhanden E-Mails zusammen und verschickt diese an Mailadressen aus verschiedenen Datenbanken, die er finden kann. Ist dieses nicht möglich werden aus einer internen Liste durch den Wurm diese generiert. Diese Liste hier zu veröffentlichen wäre etwas zu lang (siehe hierzu unter den Informations-Links, die fast alle entsprechende Listen veröffentlicht haben. Daher sind Betreffzeilen in allen Sprachen denkbar, auch deutsch.
Nachricht: gar keine oder unterschiedlich (siehe unter "Betreff/Subject)
Erkennbare Anzeichen einer Infektion: Existenz der Dateien: iccyoa.dll, lgguqaa.dll, roomuaa.dll, okkqsa.dat, ussiwa.dat. Die Wurmdatei selber weicht bei jeder Infektion ab und kann als eindeutiges Erkennungszeichen hier nicht genannt werden.
Bekannte Schäden:
Der Wurm nutzt eine längst bekannte Sicherheitslücke der Versionen 5.01 und 5.5 des Internet Explorer. Der Dateianhang wird somit unter gegebenen Umständen bereits beim öffnen der Mailnachricht mittels der Mailprogramme Outlook und Outlook Express ausgeführt. Die Firma Microsoft hält hierzu auch Sicherheitspatches bereit. Der Wurm kopiert sich in das Windows Autostartverzeichnis und versucht eine große Anzahl von Security Programmen (Viren- Trojanerscanner und Firewalls) zu beenden um unentdeckt zu bleiben. Bugbear verschickt sich selber über eine eigenen SMTP-Routine, nutzt somit keine vorliegenden Mailprogramme. Auch TXT-Dateien des infizierten Systems können diesen Mails beigefügt worden sein. Die Zieladressen sucht sich der Wurm aus dem Windows Adressbuch und anderen Dateien bestimmter Endungen. Der Wurm verfügt über einen kleinen eingebauten "Filter", tauchen bestimmte Strings in einer Zieladresse auf, so versendet Bugbear an diese keine Mail. Beispiel: Auch der String "trojan" ist darin zu finden, somit dürften z.B. Mailadressen von uns (trojaner-info.de) mit dem Empfang derartige Mails wahrscheinlich verschont bleiben. Warum das so ist, darüber kann nur spekuliert werden. Die Trojanerkomponente öffnet den Port 36794 und ermöglicht den Zugriff auf das infizierte System von anderen Rechnern aus. Der Wurm installiert desweiteren einen Keylogger zwecks Aufzeichnung von Tastatureingaben. Bugbear ist unter allen Windows-Systemen lauffähig.
Gegenmittel als kostenloses Removal Tool bei uns erhältlich.
Informationen Englisch: Symantec | F-Secure | Norman | McAfee | Kaspersky | CAI | GeCAD | BitDefender |
Informationen Deutsch: Sophos | BitDefender | H+BEDV | Ikarus | Kaspersky |


Juli 2002

W32/Frethem in über 10 verschiedenen Varianten (15.07.2002)

Alias-Namen: WORM_FRETHEM.K, W32/Frethem.l@MM, Win32.Frethem.F@mm , W32.Frethem.K@mm
Virentyp: EXE-Wurm
Verbreitung: via E-Mail als Anhang (decrypt-password.exe). Unter ungünstigen Voraussetzungen reicht es schon, die Mail nur zu öffnen und eine Infektion wird gestartet. Der Worm ist in weit über 10 verschiedenen Varianten gesichtet worden !
Betreff/Subject: Unterschiedlich, u.a. Your password!
Erkennbare Anzeichen einer Infektion: taskbar.exe im Verzeichnis c:\windows\taskbar.exe
Bekannte Schäden: Legt Autostart Schlüssel in der Registry an: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunTask Bar = %Windows%TASKBAR.EXE
Verbreitet sich mittels einer eigenen SMTP-Routine. Sucht die SMTP-Daten aus dem Registry Schlüssel: HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts0000001
Ist dieser Account nicht vorhanden, verbreitet sich der Wurm auch nicht. Mailadressen sucht Frethem aus dem Windows Adressbuch, .mbx,.eml, .mdb, .dbx Dateien zusammen. Desweiteren werden Verbindungen zu verschieden Webservern (Seiten) aufgebaut. Der Wurm lädt sich ein Backdoorprogramm von einem entfernten Server aus dem Netz.
Einige Virenscanner erkennen neue Varianten mitunter nicht. Daher empfehlen wir ständig Updates der Defintitionsdateien durchzuführen. Frethem tritt erst seit um dem 15. Juli 2002 auch sehr verstärkt in Deutschland auf.
Gegenmittel als kostenloses Removal Tool bei uns erhältlich.
Informationen Englisch: McAfee | CAI | Symantec | F-Secure | BitDefender |
Informationen Deutsch: Sophos | Ikarus |


Juni 2002

VBS/VBSWG-AQ

Alias-Namen: Shakira, VBS/VBSWG.aq@MM, VBS_VBSWG.AQ
Virentyp: Visual-Basic-Script- Wurm
Verbreitung: Über E-Mail als Dateianhang (ShakiraPics.jpg.vbs - ca. 7 KB) oder IRC
Betreff/Subject:
Shakira's Pics
Erkennbare Anzeichen einer Infektion: ShakiraPics.jpg.vbs im Windows-Ordner
Bekannte Schäden: Verschickt sich an selber an alle Mailadressen aus dem Outlook Adressbuch. Überschreibt alle Dateien mit VBE- oder VBS-Erweiterung, die er auf lokalen Festplatten oder gegebenfalls im Netzwerk finden kann mit seinem eigenen Code. Kann sich auch per IRC über den Chatclienten "mIRC" verbreiten, legt die Datei "script.ini" im entsprechenden Ordner an.
Informationen Englisch: CAI | McAfee | Symantec | BitDefender | Norman | F-Secure | Command |
Informationen Deutsch: Sophos |

W32/Yahaa-D (07.06.2002)

Alias-Namen: I-Worm.Lentin.e, Win32/Yaha.D.Worm
Virentyp: Win32-Wurm
Verbreitung: Über E-Mail als Dateianhang (Dateiname variiert stark ! - Icon: blaues Herz)
Betreff/Subject: Stark abweichend, fügt aus interner Liste der Wurmdatei zusammen (gilt auch für Dateianhang)

Erkennbare Anzeichen einer Infektion:
Meldung auf dem Bildschirm: "U r so cute today #!#!" "True Love never ends" "I like U very much!!!" "U r My Best Friend"
Eventuell unbekannte Datei im Windows Papierkorb.
Bekannte Schäden:
Verschickt sich mittels eigener SMTP-Routine (benötigt also kein Mailprogramm des betroffenen Systems), deaktiviert verschiedene Sicherheits-Software (Firewalls, Virenscanner etc.). Autstart des Wurm erfolgt über Shell-Parameter, sobald der Anwender nach Neustart eine EXE-Datei ausführt. Dazu wird ein Eintrag in der Registriy unter: HKCR\exefile\shell\open\command\default angelegt. Vorsicht bei der manuellen Entfernung ! Wird die Eintragung in der Registry nicht entfernt, kann unter Umständen das Betriebssystem in einen unbrauchbaren Zustand versetzt werden. Es können danach keine EXE-Dateien mehr gestartet werden, da das System nach dem Wurm sucht bzw. diesen zum Start "benötigt". Also unbedingt auch Registry Eintrag VOR dem nächsten Neustart prüfen und korrigieren, sollte der Wurm manuell gelöscht worden sein.
Gegenmittel als kostenloses Removal Tool bei uns erhältlich.
Informationen Englisch: CAI | Symantec | BitDefender |
Informationen Deutsch: Sophos |


April 2002

W32/Klez.h (18.04.2002)

Alias-Namen: W32/Klez.G@mm, W32/Klez.gen@MM , W32/Klez.I, W32/Klez.K-mm, WORM_KLEZ.G
Virentyp: Wurm (EXE)
Verbreitung: über E-Mail als Dateianhang (um 92 KB, mit teilweise gefälschten Absendern) sowie Netzwerkfreigaben. Bei E-Mail muss noch nicht einmal unter gegebenen Umständen der Dateianhang geöffnet werden, da der Wurm eine alte und bekannte Sicherheitslücke (Automatic Execution of Embedded MIME) im Zusammenspiel zwischen Mailsoftware und dem Internet Explorer (ätere Versionen ohne Sicherheitsupdates !) nutzt.
Betreff/Subject:
unterschiedlich (gilt auch für den Mailtext)
Erkennbare Anzeichen einer Infektion:
WQK.EXE und Wink????.exe im Verzeichnis c:\windows\system(32)\
Bekannte Schäden: Kann Dateien infizieren und löschen, deaktiviert verschiedene AntiVirus Programme und löscht deren DAT-Dateien. Automatischer E-Mail Versand. Schleust das Trojanische Pferd W32/Elkern.c ein.
Gegenmittel (Removal Tools) z.B. bei BitDefender.
Hinweis:
Die Klez-Familie ist zwischenzeitlich recht gross geworden. In den Bezeichnungen unterscheiden sich dieser jeweils durch den Versionsbuchstaben (wie in dieser Beschreibung Klez.h). Die Routinen sind alle recht ähnlich, trotzdem haben viele AntiViren Programme Probleme neu auftretende Versionen dieser "Familie" zu erkennen. Daher raten wir dringend jedem Anwender seine AntiViren Programm regelmässig zu aktuallisieren. Das gilt im übrigen nicht nur im Bezug auf diesen Wurm !
Informationen Englisch: CAI | F-Secure | Kaspersky | McAfee | Symantec | GeCAD | Norman | BitDefender |
Informationen Deutsch: H+BEDV | Ikarus | Kaspersky |


März 2002

W32/FBound (14.03.2002)

Alias-Namen: I-Worm.Zircon.c, W32.Dotjaypee@mm, W32.Impo@mm, W32/FBound-C, W32/FBound.C@mm, Win32.Fbound.C, WORM_FBOUND.B, WORM_JAPANIZE.A, Fidao, W32.Impo.gen@mm, Impo
Virentyp: Wurm (EXE)
Verbreitung: Über E-Mail mit Dateianhang "patch.exe" (ca. 12 KB Grösse)
Betreff/Subject:
important oder zufällig generiert in Form von japanischen Schriftzeichen (Die E-Mail enthält keine Textnachricht)
Bekannte Schäden: Verschickt sich weiter per E-Mail. Nimmt keinerlei Änderungen am System vor.
Informationen Englisch: McAfee | Symantec | CAI | F-Secure | Alwil | Command | GeCAD | Kaspersky | BitDefender |
Informationen Deutsch: Sophos | Ikarus | H+BEDV |


W32/MyLife (07.03.2002)

Alias-Namen: WORM_MYLIFE.A, Win32.MyLife.A, W32.MyLife@mm, I-Worm.MyLife
Virentyp: Wurm (EXE)
Verbreitung: Über E-Mail Datei: My Life.scr ca. 31 KB (UPX komprimiert). Der Absender ist verschieden.
Betreff/Subject:
my life ohhhhhhhhhhhhh
Bekannte Schäden: Verschickt sich selber weiter, löscht Dateien der Endungen .exe, .dll, .ini, .sys, .vxd, .com
Informationen Englisch: Symantec | F-Secure | Kaspersky | McAfee | CAI | Quick Heal | Frisk | Norman |
Informationen Deutsch: Sophos


W32/Gibe (04.03.2002)

Alias-Namen: W32.Gibe@mm, I-Worm.Gibe, WORM_GIBE.A
Virentyp: Trojanisches Pferd und Wurm (EXE)
Verbreitung: Über E-Mail (Datei: Q216309.exe, um 120 KB), Absender: rdquest12@microsoft.com (GEFÄLSCHT !)
Betreff/Subject:
Internet Security Update
Bekannte Schäden: Verschickt sich einmal weiter per E-Mail, sowie Daten vermutlich an den Autor der Malware. Der Trojanerteil öffnet einen Port für den Fernzugriff auf das befallende System aus dem Internet.
Informationen Englisch: Symantec | McAfee | Norman | BitDefender | CAI | GeCAD | F-Secure | Quick Heal |
Informationen Deutsch: Sophos


Februar 2002

W32/Yarner (19.02.2002)

Alias-Namen: I-Worm.Yarner.a, Trojan.Yaw.20, W32.Yarner.A@mm, Win32/Yarner.A worm , Win32/Yarner.B@mm, Win32/Yawer, Yaw , yawsetup.exe
Virentyp: Wurm (EXE)
Verbreitung: über E-Mail als Dateianhang "yawsetup.exe" (Größe um 427 KB). Diese E-Mails tarnen sich als unseren Newsletter von Trojaner-Info.de und geben vor, bei der Datei handelt es sich um unsere neue Version YAW 2.0, die zu diesem Zeitpunkt noch gar nicht erschienen ist, sondern noch in der Entwicklung steckt. Der Absender "Trojaner-Info" ist gefälscht, ebenso die Mailadresse "webmaster@trojaner-info.de".
Betreff/Subject:
Trojaner-Info Newsletter 18.02.02 (trägt jedoch stets das Versanddatum, welches durch den Wurm generiert wird)
Bekannte Schäden: verschickt sich an alle Mailadressen aus dem Adressbuch von Outlook, sucht nach Mailadresen verschiedener Dateiendungen auf dem System. Benötigt kein Mailprogramm, da Yarner über eine eigene SMTP-Routine verfügt. Eine Infektion kann zum völligen Datenverlust führen, da zu einer Wahrscheinlichkeit von 1:10 bestehende Daten gelöscht werden.
Gegenmittel (Removal Tools) z.B. bei BitDefender.
Informationen Englisch: F-Secure | Symantec | McAfee | Kaspersky | Norman | BitDefender |
Informationen Deutsch: Sophos | G-Data | Trojaner-Info 1 | Trojaner-Info 2 | Ikarus | perComp |


Januar 2002

W32/MyParty (28.01.2002)

Alias-Namen: W32.Myparty@mm, WORM_MYPARTY.A, MYPARTY, W32/Myparty.a@MM
Virentyp: Wurm (EXE)
Verbreitung: über E-Mail als Dateianhang unter dem Namen "www.myparty.yahoo.com" (Grösse 29 Kilobyte). Dateien unter der Endung ".com" sind ausführbare Dateien !!!
Betreff/Subject: new photos from my party !
Nachricht:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

Bekannte Schäden: Bekannte Schäden: verschickt sich lediglich über einen eigenen SMTP (benötigt zum Weiterversand also kein Mailprogramm !) an alle Mailadressen aus dem Windows - Adressbuch (.wab) und Outlook Dateien (.dbx). Weitere Schäden sind nicht bekannt, die der aus Russland stammende Wurm verursacht. Installation eines Backdoor-Trojaners "Troj/Msstake-A" unter dem Dateinamen "msstask.exe".
Erkennbares Anzeichen einer Infektion: Datei REGCTRL.EXE in C:\ (NT/2000/XP) bzw. C:\Recycled (Win9x/ME)
Informationen Englisch: Panda | McAfee | Norman | TrendMicro | F-Secure | Frisk | Kaspersky | Symantec | CAI |
Informationen Deutsch: G Data | Sophos | Ikarus |


W32/Klez.E, W32/Klez.F (17.01.2002)

Alias-Namen: W32.Klez.gen, TROJ_KLEZ.C, W32.Klez.D@mm, Win32.Klez.D@mm, Win32/Klez.F, I-Worm.Klez, Klaz
Virentyp: Wurm (EXE)
Verbreitung: über E-Mail unter wechselnden Namen im Betreff, Mailtext und Dateianhang. Auch über Netzwerke sucht der Wurm nach freigegebenen Verzeichnissen etc.
Betreff/Subject:
wechselnd
Bekannte Schäden: Verschickt sich selbständig und kann Dateien entfernen sowie Virenscanner deaktivieren. Kann System nachträglich mit dem Virus W32/Elkern infizieren. Die Existenz des Wurms kann dahingehend erkannt werden, indem die Dateien "Wqk.exe" und "Wink*-.exe" (Stern für eine unterschiedliche Anzahl von Zeichen) sich im Verzeichnis c:\windows\system\ befinden.
Gegenmittel (Removal Tools) z.B. bei BitDefender.
Informationen Englisch: McAfee | Symantec | Kaspersky | CAI | F-Secure | BitDefender | Alwil | GeCAD | Norman |
Informationen Deutsch: Sophos | H+BEDV | Ikarus |