Jahr 2005 | Jahr 2004 | Jahr 2003 | Jahr 2002 | Jahr 2001 |
Dezember 2003
W32/Sober.c (20.12.2003)
Alias-Namen: WORM_SOBER.C, Worm/Sober.C, W32.Sober.C@mm, W32/Sober-C, I-Worm.Sober.c
Virentyp: Wurm (Grösse ab 75 KB, häufig jedoch um die 100 KB) - Dateiname variiert
Verbreitung: ber E-Mail als Dateianhang und Filesharing
Betreff/Subject (bei E-Mail): Ebenfalls in englischer und deutscher Sprache. Jedoch weitaus ausgefeiltere Texte als die B-Variante. Siehe mögliche Beispiele, die wir selber erhalten haben.
Mailtext: In englischer und deutscher Sprache. Jedoch weitaus ausgefeiltere Texte als die B-Variante. Wie es scheint, hat der oder die Autor(in) nochmals "nachgelegt", da sich die "B-Variante" vielleicht nicht "genug" verbreitet hat. Siehe mögliche Beispiele, die wir selber erhalten haben.
Dateianhang: In englischer und deutscher Sprache. Jedoch weitaus ausgefeiltere Texte als die B-Variante. Siehe mögliche Beispiele, die wir selber erhalten haben. Auch doppelte Dateiendungen wie z.B. ".txt.pif" möglich.
Erkennbare Anzeichen einer Infektion: Existenz der Datei savesyss.dll im Windows System-Verzeichnis
Bekannte Schäden: Wie Sober.b
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: BitDefender | TrendMicro | McAfee | Kaspersky | F-Secure | Symantec |
Informationen Deutsch:
W32/Sober.b (19.12.2003)
Alias-Namen: I-Worm.Sober.b, Win32.Sober.B, W32/Sober.B@mm, W32/Sober.c@MM, Win32/Sober.B.Worm
Virentyp: Wurm (Grösse 54 bis 60 KB - variiert)
Verbreitung: Über E-Mail als Dateianhang und Filesharing
Betreff/Subject (bei E-Mail): In englischer und deutscher Sprache möglich. Hier einge Beispiele (mehr siehe weiterführende Links): Hihi, ich war auf deinem Computer - Du bist Ge-Hackt worden - Ich habe Sie Ge-Hackt - Der Kannibale von Rotenburg - You Got Hacked - George W. Bush plans new wars - George W. Bush wants a new war - Have you been hacked?. Offensichtlich werden hier aktuelle Themen oder die Angst der Empfänger zum Anlass genommen, damit der E-Mail überhaupt Beachtung geschenkt wird.
Mailtext: Ebenfalls unterschiedlich, in deutscher und englischer Sprache möglich.
Dateianhang: Die Dateinamen selber stellen sich auch unterschiedlich dar, wie z.B.: ALLFILES.CMD, WWW.HCKET-USER-PCS.COM, WWW.GWBUSH-NEW-WARS.COM, YOURLIST.PIF, SERVER.COM, DATEILIST.PIF, DATEN-TEXT.PIF
Erkennbare Anzeichen einer Infektion: Existenz der Datei "mscolmon.ocx" im Windows System Verzeichnis.
Bekannte Schäden: Verschickt mittels einer eigenen SMTP-Routine an Mailadresse weiter, die Sober.b auf einem System finden kann. Hierzu durchsucht der Wurm Dateien recht vieler unterschiedlicher Endungen. Hier nur die wichtigsten bzw. bekanntesten Endungen (mehr siehe weiterführende Links): .rtf, .doc, .mdb, .txt, .htm, .html, .wab, .eml, .php, .asp, .shtml, .shtm.
Der Wurm verfügt über eine "hauseigene Schutzfunktion". Hierzu startet sich der Wurm gleich zwei mal. Sollte ein Wurm beendet werden, so trägt der andere Wurm dafür Sorge, dass dieser neu gestartet oder erneuert wird. Das erschwert für den normalen Anwender die manuelle Entferung ungemein. Denn selbst wenn ein Wurm mittels des Task-Managers beendet wird, so startet der zweite Wurm den fehlenden Prozess wieder. Auch manuell entfernte Registry-Einträge (auch hier trägt der Wurm sich zwecks Autotrun - Start bei jedem Systemstart) werden jeweils sofort wieder "erneuert", da eine sogenannte "Intervall-Funktion" regelmässig in kurzen Abständen die Einträge in der Registry abfragt, ob diese noch vorhanden sind. Diese Technik ist nicht neu, konnten jedoch bisher weniger bei Würmer beobachtet werden. Dazu sperrt jeder der beiden aktiven Würmer jedoch den anderen laufenden Prozess im "Exlusiv Zugriff". Das soll bewirken, dass Virenscanner den Wurm während eines Scanvorgangs nicht finden, da kein Zugriff möglich wäre. Der Wurm löscht Dateien in Peer To Peer Verzeichnissen (File Sharing).
Wer sich also an der manuellen Entfernung versuchen möchte (Beschreibungen siehe weiterführende Links), sollte Windows im abgesicherten Modus starten, da dann die Würmer nicht ausgeführt werden.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: CAI | TrendMicro | McAfee | Symantec | F-Secure | Sophos | Panda |
Informationen Deutsch: H+BEDV |
Oktober 2003
W32/Sober.a
Alias-Namen: I-Worm.Sober, W32.Sober@mm, W32/Sober.A, W32/Sober@MM, Win32/Sober.A.
Virentyp: EXE-Wurm (Grösse um 65 KB)
Verbreitung: Über E-Mail als Dateianhang
Betreff/Subject (bei E-Mail): Wählt der Wurm aus einer Liste, auch deutsche Texte möglich. Zum Beispiel: Viurs blockiert jeden PC (Vorsicht), Re. Kontakt, VORSICHT!!! Neuer Mail Wurm - Vollständige Liste siehe unter den weiterführenden Links.
Mailtext: Ebenfalls sehr unterschiedlich und in englischer, sowie deutscher Sprache. Siehe hierzu auch unter den weiterführenden Links der AntiVirus Hersteller.
Dateianhang: Unterschiedlich, deutsche und englische Dateinamen, sowie verschiedene Dateiendung.
Erkennbare Anzeichen einer Infektion: Existenz der Dateien similare.exe, systemchk.exe, systemini.exe etc. im Windows Systemordner.
Bekannte Schäden: E-Mail Versand, dazu sammelt der Wurm E-Mailadressen, die er auf dem infizierten System finden kann in einer Datei Namens "Media.dll". Das Besondere an diesem Wurm für deutsche Verhältnisse ist die Tatsache, dass auch deutsche Mailtexte, Betreffzeilen und sogar Dateinamen generiert werden. - Dieses ist bisher selten der Fall gewesen und könnte gerade im deutschsprachigen Raum zu einer höheren Verbreitung führen. Diese Befürchtung verhärtet sich noch, wenn dabei berücksichtigt wird, dass der Wurm jeweils einen recht passenden Mailtext im Bezug zum Dateianhang verfasst. Der Wurm fälscht die Absender zum Mailversand und setzt die Absenderadresse in einigen Fällen (je nach verwendeten Mailtext) noch mal an das Ende einer Nachricht. Der Wurm führt zwei laufende Prozesse aus, die von Infektion zu Infektion vom Namen her abweichen. Um es einfach zu erklären: Diese beiden Prozesse passen auf sich gegenseitig auf, damit diese nicht beendet werden um den Wurm manuell zu entfernen.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: Symantec | McAfee | BitDefender | Norman | Kaspersky | CAI | F-Secure |
Informationen Deutsch: TrendMicro | Sophos |
September 2003
W32/Swen (W32/Gibe.F)
Alias-Namen: Win32.Sven.A@mm, I-Worm.Swen, Win32.Swen.A, W32/Gibe.E@MM, Gibe.E, W32/Gibe-F, Worm/Gibe.C
Virentyp: EXE-Wurm (um 106 KB)
Verbreitung: E-Mail (tarnt sich als Microsoft Support Mail!), IRC Kanäle, Freigaben KazaA Netzwerke.
Betreff/Subject (bei E-Mail): Unterschiedlich, werden aus eine internen Liste der Wurmdatei zusammengesetzt.
Mailtext: Langer Text, verfasst in HTML, siehe weiterführende Informationen bei den AntiVirus Firmen.
Dateianhang: Dateinamen mit Worlaut "patch.exe" oder "install.exe". Der Wurm generiert hinter den Begriff noch eine Zahl (z.B. "install897.exe). Jedoch sind auch andere Dateinamen möglich, häufig sogenannter "Buchstabensalat".
Erkennbare Anzeichen einer Infektion: Datei "swen1.dat" im Windows - Ordner
Bekannte Schäden: Nutzt eine bekannte Sicherheitslücke des Internet Explorers im HTML-Code aus (Beschreibung siehe auf der Microsoft Seite ). Dieses kann dazu führen, dass der Wurm schon beim öffnen der E-Mail gestartet wird, ohne den Anhang zu öffnen. Sucht E-Mail Adressen zwecks weiteren Versand über eigene SMTP-Routine. Versucht eine Vielzahl von Security Programmen (Virenscanner) zu beenden. Der Wurmautor scheint sich viel "Mühe" gegeben zu haben, da die gefälschte Microsoft Support Mail täuschend echt ausschaut.
ACHTUNG ! Ungeübte Anwender sollte diesen Wurm nicht einfach unbedarft manuell löschen. Der Wurm nimmt diverse Eintragungen in der Registry vor, die bei Start bestimmter ausführbarer Dateien bewirken, dass zuerst der Wurm startet (was sogar zur Bedingung wird, damit das gewünschte Programm überhaupt startet). Bleiben diese erhalten und nur der Wurm wird entfernt, können keine Programme und andere ausführbare Dateien mehr auf dem System gestartet werden. Bitte gegebenenfalls Rat über die unstehenden Links einholen. Oder das Removal Tool verwenden, welches diese Umständen berücksichtigt.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: McAfee | BitDefender | CAI | F-Secure | Kaspersky | Norman | Symantec | TrendMicro |
Informationen Deutsch: H+BEDV | Sophos |
August 2003
W32/Sobig.F (19.08.2003)
Alias-Namen: W32/Sobig-F, I-Worm.Sobig.f, W32/Sobig.F-mm
Virentyp: EXE-Wurm (ca. 75 KB
Verbreitung: E-Mail und Netzwerkfreigaben.
Betreff/Subject (bei E-Mail): Auswahl aus einer Liste, möglich wären: "Re: That movie"
"Re: Wicked screensaver", "Re: Your application", "Re: Approved", "Re: Re: My details", "Re: Details", "Your details", "Thank you!", "Re: Thank you!"
Mailtext: "Please see the attached file for details" ODER "See the attached file for details".
Dateianhang: Namen wechseln zwischen folgenden Möglichkeiten: movie0045.pif, wicked_scr.scr, application.pif, document_9446.pif, details.pif, your_details.pif, thank_you.pif, document_all.pif, your_document.pif
Erkennbare Anzeichen einer Infektion: winppr32.exe im Verzeichnis c:\windows\
Bekannte Schäden: Versendet sich selber unter gefälschtem Absender an Mailadressen, die der Wurm in verschiedenen Dateien auf dem System finden kann. Der Wurm ist lediglich bis zum 10.09.2003 aktiv und verschickt sich danach nicht mehr weiter. Zur Zeit (19.08.03) ist eine sehr hohe Verbreitung zu beobachten!
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: F-Secure | CAI | McAfee | Norman | Symantec | TrendMicro |
Informationen Deutsch: BitDefender | H+BEDV | Sophos |
W32/Dumaru.A (19.08.2003)
Alias-Namen: W32.Dumaru@mm, W32/Dumaru-A
Virentyp: EXE-Wurm und Dateivirus
Verbreitung: Über E-Mail (patch.exe - 10 KB)
Betreff/Subject (bei E-Mail): Use this patch immediately !
Mailtext: Dear friend, use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!
Erkennbare Anzeichen einer Infektion: Existenz der Datei "dllreg.exe" im Windows - Verzeichnis.
Bekannte Schäden: Mailversand, infiziert andere Programme mittels NTFS Alternate Data Stream (nur unter NTSF-System möglich!). Siehe genauere technische Beschreibung hierzu unter den weiterführenden Links zu den AntiVirus Herstellern.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: Symantec | BitDefender |
Informationen Deutsch: BitDefender | Sophos |
W32/Nachi (Welchia/Lovesan.D) (19.08.2003)
Alias-Namen: W32/Nachi.worm, WORM_MSBLAST.D, Lovsan.D, W32.Welchia.Worm, Welchi
Virentyp: EXE-Wurm (ca. 10 KB)
Verbreitung: Nutzt die gleiche Sicherheitslücke wie "W32/Lovsan - MBlaster" (siehe Beschreibung weiter unten auf dieser Seite). Desweiteren eine Schwachstelle im Pufferüberlauf für die ntdll.dll Library verschiedener Windowssysteme (Patch siehe hier).
Erkennbare Anzeichen einer Infektion: Existenz der Datei "dllhost.exe" im Ordner "\Wins".
Bekannte Schäden: Oben genannte Verbreitungsroutinen, versucht den Wurm "W32/Lovsan - MBlaster" zu entfernen und den entsprechenden Sicherheitspatch vom Microsoft - Server zu laden und installieren. Installiert Backdoor-Komponente und verursacht unter Umständen Systemabstürze.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: BitDefender | McAfee | F-Secure | CAI | Symantec | Norman |
Informationen Deutsch: Sophos | BitDefender |
W32/Lovsan - MBlaster (11.08.2003)
Alias-Namen: MBlaster, W32/Lovsan.worm, MSBlast, W32.blaster.worm, Win32.posa.worm, Win32.poza.worm
Virentyp: EXE-Wurm
Verbreitung: Nutzt eine bekannte Sicherheitslücke der Windowssysteme NT/2000/XP und Server 2003 in Windows DCOM/RPC aus. Eine Beschreibung siehe auf der Webseite der Firma Microsoft.
Microsoft Warnung | Beschreibung des Problems mit Patches und Beschreibungen |
Erkennbare Anzeichen einer Infektion: Eine Datei Namens "msblast.exe" (Variante A), "teekids.exe " (Variante B), "penis32.exe" (Variante C), "ENBIEI.EXE" (Variante F) befindet sich im Verzeichnis c:\windows\... - Dateigrösse: ca. 11 KB
Bekannte Schäden: Infizierte Systeme sollen dazu missbraucht werden einen DOS-Angriff auf die Windowsupdate-Server der Firma Microsoft zu bewerkstelligen. Der Wurm wird von vielen AntiVirus Firmen unter einem anderen Namen geführt. Man sollte sich endlich mal auf einen Namen einigen, da so einige Verwirrungen unter den Anwendern gestiftet werden. Der Wurm tritt zur Zeit in drei Varianten auf, die sich jedoch im Wesentlichen nur durch die verschiedenen Dateinamen unterscheiden.
Gegenmittel bzw. Vorbeugung: Ob bereits eine Infektion vorliegt bzw. eine Bereinigung mit unserem kostenlos erhältlichen Cleaner-Tool. ACHTUNG !! Mit der Bereinigung ist es nicht getan, da sich der Wurm immer wieder einschleichen könnte, daher unbedingt den entsprechenden Patch installieren. Eine sehr gute und deutschsprachige Beschreibung über das Problem, die technischen Hintergründe und so weiter findet Ihr z.B. auf der Webseite von Microsoft Österreich (Links siehe oben!). Die Informationen bitte genau lesen, diese sind auch für Laien recht verständlich beschrieben worden.
Informationen Englisch: Symantec | Sophos | McAfee | Kaspersky | F-Secure | CAI | BitDefender | Alwil | Norman |
Informationen Deutsch: Microsoft | H+BEDV | BitDefender | Ikarus |
W32/Mimail.A (03.08.2003)
Alias-Namen: W32.Mimail.A@mm, W32/Mimail@MM, Mimail, Win32.Mimail.A, W32/Mimail-A, I-Worm.Mimail
Virentyp: EXE-Wurm (Ursprung Russland)
Verbreitung: per E-Mail als Dateianhang "message.zip"
Betreff/Subject (bei E-Mail): your account - und dahinter der Username. Die Absender - Mailadresse setzt sich aus admin@<Domainname des Emfpängers> zusammen. Das der Absender gefälscht ist, dürfte klar sein.
Mailtext: Hello there, I would like to inform you about important information
regarding your email address. This email address will be expiring.
Please read attachment for details.--- Best regards, Administrator
Erkennbare Anzeichen einer Infektion: Existenz der Dateien "videodrv.exe", "exe.tmp" im Verzeichnis c:\windows\
Bekannte Schäden: Die der Mail angehängte ZIP-Datei enthält wiederum eine Datei "message.html", die viele Anwender für harmlos einstufen könnten, da es sich um keine ausführbare Datei in dem Sinne handelt (z.B. EXE). Daher ist scheinbar auch eine recht hohe Verbreitung zu beobachten. Jedoch nutzt genau diese Datei zwei bekannte Sicherheitslücken "Codebase Exploit und MHTML Exploit . Daraus entsteht die Datei "foo.exe", die dafür Sorge trägt, dass die Dateien "videodrv.exe", "exe.tmp" und "zip.tmp" im Windows Ordner angelegt werden.
Verbreitet sich selber über eigene SMTP-Routine per E-Mail weiter. Dazu sucht der Wurm auf dem lokalen System nach Mailadressen in vorhanden Dateien. Autorun-Eintrag zwecks erneutem Start bei Windowsstart in der Registry unter: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\VideoDriver
=C:\<Windows>\videodrv.exe
Lokale Schäden (z.B. Datenverluste) sind bisher nicht bekannt.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: TrendMicro | BitDefender | McAfee | Symantec | CAI | Norman | F-Secure | Alwil | Kaspersky |
Informationen Deutsch: Sophos |
Juni 2003
W32/Sobig.E (25.06.2003)
Alias-Namen: W32.Sobig.E@mm, W32/Sobig-E, WORM_SOBIG.E
Virentyp: Wurm
Verbreitung: via E-Mail und Netzwerkfreigaben.
Betreff/Subject (bei E-Mail): werden aus einer Liste ausgewählt:Re: Application, Re: Movie, Re: Movies, Re: Submited (Ref: 003746), Re: Screensaver, Re: Documents, Re: Re: Application ref. 003644, Re: Re: Document, Your application, Application.pif, Applications.pif,l movie.pif, screensaver.scr, submited.pif, new_document.pif, re.document.pif, 004448554.pif, referer.pif
Mailtext: Please see the attached zip file for details
Erkennbare Anzeichen einer Infektion: Existenz der Datei "winssk32.exe" im Windows Ordner
Bekannte Schäden: E-Mail - Versand, sucht sich dazu Mailadressen aus Dateien der Endungen .wab, .html, .htm, .eml, .dbx und .txt. Der Wurm stellt seine Verbreitung nach dem 14. Juli ein.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: Symantec | BitDefender | CAI | F-Secure | Kaspersky | McAfee | Norman |
Informationen Deutsch: Sophos | TrendMicro | BitDefender | H+BEDV |
W32/Bugbear.B (05.06.2003)
Alias-Namen: W32/Bugbear.b@MM, Win32/BugBear.B.Worm, W32/Kijmo.A-mm, PE_BUGBEAR.B , W32.Shamur. Bugbear.B
Virentyp: ausführbarer Wurm
Verbreitung: via E-Mail (nutzt auch bekannte Sicherheitslücken "I-Frame exploit" [http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp] von Outlook um schon beim öffnen der Mail gestartet zu werden) und Netzwerkfreigaben. Dateinamen sind unterschiedlich, ebenso die doppelten Dateiendungen (daher VORSICHT !). Die zweite Endung kann entweder .scr, .pif oder .exe sein. Es handelt sich somit stets um eine ausführbare Datei von ca. 70 KB Grösse.
Betreff/Subject (bei E-Mail): unterschiedlich, siehe Listen unter weiterführenden Links.
Mailtext: keinen oder ein willkürlich gewählter Text des infizierten Systems, von dem der Wurm weiterverschickt worden ist.
Erkennbare Anzeichen einer Infektion: Existenz einer ausführbaren Datei im Windows - Autostart - Ordner, die einen Namen mit drei Zeichen trägt. Diesen Namen wählt der Wurm willkührlich und kann daher an dieser Stelle nicht allgemein genannt werden.
Bekannte Schäden: Verschickt sich selber über eine eigene SMTP-Routine (benötigt also kein externes Mailprogramm). Verbreitung über Netzwerkfreigabe. Die Trojanerfunktion beinhaltet aufzeichen von Tastaturfolgen und ermöglicht den Zugriff aus dem Internet auf das befallende System. Infiziert ein grosse Anzahl von Systemdateien, aber auch einige sehr bekannte EXE-Dateien häufig genutzer Anwendungen wie z.B. Acrobat Reader 4.0 & 5.0, Ad-aware, Realplayer, ACDSee und so weiter (siehe Liste weiterführender Info-Links). Versucht diverse Securityprogramme wie Virenscanner, Firewalls etc. zu terminieren. Scheinbar hat der Wurm es auch auf Geldinstitute der "halben Welt" abgesehen, da recht viele Domains (auch deutsche Banken sind dabei ! - sie grosse Liste unter Infos "McAfee") im Code enthalten sind, an die sich der Wurm scheinbar verbreiten will.
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: McAfee | F-Secure | BitDefender | GeCAD | CAI | Norman | Kaspersky | Symantec | TrendMicro |
Informationen Deutsch: Sophos | H+BEDV | BitDefender |
W32/Sobig.C
Alias-Namen: W32.Sobig.C@mm, W32/Sobig.c@MM , Win32.Sobig.C, W32/Sobig.dam, Sobig.C
Virentyp: EXE-Wurm
Verbreitung: über E-Mail und Netzwerkfreigaben (Dateinamen abweichend, siehe Info-Links, jedoch wohl nur Dateien mit der Endung PIF), Grösse: um 58 Kilobyte.
Betreff/Subject (bei E-Mail): verschieden, z.B.: "Re: Screensaver", "Re: Movie", "Re: Application". Siehe mehr unter weiterführende Info-Links.
Mailtext: Please see the attached file.
Erkennbare Anzeichen einer Infektion: Existenz der Datei "MSCVB32.EXE" im Windows - Ordner.
Bekannte Schäden: E-Mail versand über das infizierte System. Der Wurm besitzt eine eigene SMTP-Routine und ist auf Mailprogramme daher nicht angewiesen bzw. nutzt diese zu seiner Verbreitung nicht. Mails werden unter gefälschtem Absender verschickt. Diese Absender sucht sich der Wurm aus Dateien eines befallenden Systems unter den Endungen .wab, .dbx, .htm, .html, .eml, .txt. Also durchaus möglich, dass der Absender dem Empfänger bekannt ist, jedoch nichts mit dem Versand der verseuchten Mails zu tun hat. Der Wurm unterscheidet sich kaum zur Variante Sobig.B
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: GeCAD | Symantec | CAI | BitDefender | Norman | F-Secure |
Informationen Deutsch: H+BEDV | TrendMicro | Sophos |
Mai 2003
W32/Palyh (W32/Sobig.B) - (19.05.2003)
Alias-Namen: W32.HLLM.Ccn, W32.HLLW.Manx@mm, I-Worm.Palyh, Mankx
Virentyp: EXE-Wurm
Verbreitung: über E-Mail und Netzwerkfreigaben (Dateinamen abweichend, siehe Info-Links, jedoch wohl nur Dateien mit der Endung PIF), Grösse: um 50 Kilobyte.
Betreff/Subject (bei E-Mail): verschieden, z.B. "Your details", "Your password", Screensaver, Re: Movie. Siehe mehr unter weiterführende Info-Links.
Mailtext: All information is in the attached file
Erkennbare Anzeichen einer Infektion: Existenz einer "msccn32.exe" im Windowsverzeichnis. Eintragungen in der Registry unter:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\System Tray\msccn32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\System Tray\msccn32.exe
Bekannte Schäden: Verschickt sich via E-Mail und versucht sich über Netzwerkfreigaben zu kopieren. Durchsucht .WAB (Windows Adressbuch)-, .dbx-, .htm-, .html-, .eml- und .txt-Dateien nach Mailadressen und verschickt sich an diese unter der Absenderadresse "support@microsoft.com" (diese ist gefälscht) weiter. Unter diesem Aspekt und der Tatsache, dass der Wurm kein fremdes Mailprogramm (z.B. Outlook) benötigt um sich selber zu versenden, kann ein hohe Verbreitung möglich sein bzw. wäre zu erwarten (Stand: 19.05.2003)
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich
Informationen Englisch: BitDefender | Symantec | McAfee | Norman | GeCAD | F-Secure | CAI | Kaspersky |
Informationen Deutsch: H+BEDV | BitDefender | Sophos | Ikarus | TrendMicro |
W32/Fizzer (08.05.2003)
Alias-Namen: W32/Fizzer-A, Fizzer, I-Worm.Fizzer, W32.HLLW.Fizzer@mm, W32/Fizzer@MM, Worm/Fizzu.A
Virentyp: EXE-Wurm (um 200 Kilobyte)
Verbreitung: via E-Mail (unter gefälschten Absendern) und Kazaa Sharing Network. Dateinamen varieren (siehe weiterführende Links), Dateiendungen .exe, .com, .pif oder .scr möglich.
Betreff/Subject (bei E-Mail): zufällig aus einer internen Liste generiert. Texte koennen deutsch- oder englischsprachig sein. Das gilt auch für den Mailtext. Mögliche Texte siehe weiterführende Links.
Erkennbare Anzeichen einer Infektion: Existenz der Dateien ISERVC.EXE (201,216 Bytes), INITBAK.DAT (201,216 Bytes). Autostarteintrag in der Registry unter: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
SystemInit = "%Windows%ISERVC.EXE"
Bekannte Schäden: verschickt sich mittels eigener SMTP-Routine an alle Adresse aus dem Windows- u. Outlook Adressbuch. Kopiert sich ein freigegebene Verzeichnisse unter zufälligen Namen für das Kazaa Netzwerk. AOL und IRC Bot, kann sich selber updaten, Keylogger - Funktion, fungiert als HTTP- und Remote Acces Server auf befallenen PC, beendet verschiedene AntiVirus Programme.
Gegenmittel: Kostenloses Remover-Tool bei uns erhältlich
Informationen Englisch: CAI | Kaspersky | F-Secure | McAfee | Sophos | Symantec | GeCAD | BitDefender | Norman |
Informationen Deutsch: TrendMicro | Ikarus | H+BEDV | Sophos |
Februar 2003
W32/Lovegate.C (24.02.2003)
Alias-Namen: Worm/Lovegate, Win32.Lovgate.C, Supnot, I-Worm.Supnot, W32.HLLW.Lovgate.C@mm, W32/Lovgate.c@M, WORM_LOVGATE.C
Virentyp: EXE-Wurm, Backdoor Trojaner - vermutl. aus China stammend (Dateigrösse: ca. 75 bis 85 KB).
Verbreitung: Über E-Mail und Laufwerksfreigaben (unter gegebenen Voraussetzungen).
Betreff/Subject (bei E-Mail): Verschiedene englischsprachige Texte, siehe entsprechende Links mit weiterführenden Informationen.
Erkennbare Anzeichen einer Infektion: winrpc.exe, syshelp.exe, wingate.exe (nur Beispiele, der Wurm legt noch mehr Dateien an !) im Windows - Ordner
Bekannte Schäden: Legt verschiedene Einträge in der Registry und Win.ini an, damit der Wurm sich auf verschiedene Art und Weise von selber startet, vornehmlich schon bei Systemstart. Der Wurm kann ebenfalls gestartet werden, sobald der Anwender eine TXT-Datei (Endung: .txt") öffnet. Die Backdoorkomponente öffnet Port 10168 und gewährt Zugriff auf das infizierte System von aussen. Verschickt E-Mails (vermutlich) an den Autor mit gespeicherten Zugangsdaten aus den Dateien win32pwd.sys und win32add.sys
Gegenmittel: Kostenloses Remover-Tool bei uns erhältlich
Informationen Englisch: McAfee | BitDefender | CAI | Symantec | F-Secure | Kaspersky | GeCAD |
Informationen Deutsch: TrendMicro | Ikarus | H+BEDV |
Januar 2003
W32/SQL-Slammer (25.01.2003)
Alias-Namen: WORM_SQLP1434.A, W32.SQLExp.Worm, DDOS_SQLP1434.A, Sapphire, Worm.SQL.Helkern, New SQL Worm
Virentyp: SQL-Internetwurm
Verbreitung: Über UDP-Port 1434. Davon sind jedoch nur Microsoft SQL-Server 2000 ohne Service Pack 3 betroffen. Ebenso auch keine Privatanwender !
Erkennbare Anzeichen einer Infektion: Sehr hoher Datentraffic über UDP-Port 1434
Bekannte Schäden: Massiver Datentraffic, dadurch könnten Internetstandleitungen verlangsamt oder völlig lahmgelegt werden. Auch Serverabstürze möglich.
Gegenmittel: Sicherheitspatch der Firma Microsoft | Microsoft SQL Server 2000 Service Pack 3 |
Informationen Englisch: Sophos | Symantec | McAfee | BitDefender | Norman | F-Secure | GeCAD | CAI | Kaspersky | Alwil |
Informationen Deutsch: TrendMicro |
W32/Sobig (14.01.2003)
Alias-Namen: W32.Sobig, W32.Sobig.A@mm, WORM_SOBIG.A, W32/Sobig@MM, Sobig, I-Worm.Sobig, Win32.Sobig.
Virentyp: EXE-Wurm
Verbreitung: über E-Mail (Absender "big@boss.com") und auch Netzwerkfreigaben (Größe: ca. 65 KB). Dateinamen wie Document003.pif, Sample.pif, Untitled1.pif und Movie_0074.pif möglich.
Betreff/Subject (bei E-Mail): Re: Movies, Re: Sample, Re: Document, Re: Here is that sample. Wählt der Wurm zufällig aus.
Erkennbare Anzeichen einer Infektion: Existenz der Datei Winmgm32.exe im Windowsordner.
Bekannte Schäden: Legt Eintragungen in der Registry zwecks Autostart an:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WindowsMGM
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsMGM
Versucht von einem entfernten Server die "reteral.txt" herunterzuladen. Diese TXT-Datei enthält eine weitere URL, die auf eine Datei (Trojanisches Pferd) verweist. Auch hier erfolgt der Versuch, auch diese herunterzuladen. Sucht nach Mailadresse auf dem infizierten System in Dateien der nachfolgenden Endungen: .txt, .html, .eml, .htm., .wab und .dbx
Gegenmittel: als kostenloses Removal Tool bei uns erhältlich.
Informationen Englisch: Symantec | TrendMicro | McAfee | CAI | F-Secure | BitDefender | Norman | GeCAD | Kaspersky |
Informationen Deutsch: H+BEDV | Ikarus | Sophos |
W32/Lirva (08.01.2003)
Alias-Namen: Lirva_A, W32/Naith.A-mm, Win32/Arvil, I-Worm.Lirva, I-Worm.Avron.C
Virentyp: EXE-Wurm
Verbreitung: ICQ (Userliste), IRC (über den Channel, wo sich der infizierte Anwender befindet), KaZaA und E-Mail. Letztes sogar unter gegebenen Voraussetzungen nur beim Betrachten einer E-Mail mittels Outlook (siehe Sicherheitspatch der Firma Microsoft). Die Dateinamen werden aus einer Liste entnommen (Liste siehe weiterführende Links), Dateigrösse um 32 Kilobyte.
Betreff/Subject (bei E-Mail): Wählt aus zehn verschiedenen Möglichkeiten die Betreffzeile. Drei verschiedene Texte in englischer Sprache. (siehe hierzu ebenfalls weiterführende Links unten).
Erkennbare Anzeichen einer Infektion: Eintrag in der Registry unter:
HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Avril Lavigne - Muse = <Systemordner>\"zufälligername".exe
Stellt geometrische Figuren auf dem Bildschirm dar.
Bekannte Schäden: Deaktiviert diverse AntiViren- und Security - Programme. Der Wurm sucht aus verschiedenen Dateien der Endungen .html, .shtml, .eml, .tbb, .nch, .idx, .wab, .mbx und .dbx Mailadressen zusammen, an die er sich weiterverschicken kann. Öffnet am 07., 11. und 24. eines jeden Monats die Webseite www.avril-lavigne.com mittels des Internet Explorers. Legt Autostarteintrag in der Registry an (siehe "Erkennbare Anzeichen einer Infektion"). Verschickt gefundene Passwörter aus dem Arbeitsspeicher an den Autor.
Gegenmittel als kostenloses Removal Tool bei uns erhältlich.
Informationen Englisch: CAI | BitDefender | TrendMicro | McAfee | Symantec | F-Secure | GeCAD | Kaspersky | Norman |
Informationen Deutsch: Sophos | H+BEDV | Ikarus |
