erneuter Virus

Betsy

mexican Tequilahexe
Veteran
Beiträge
3.983
Reaktionspunkte
41
Alter
41
Ort
DORNBIRN
W32.Beagle.B@mm

Erneut versucht ein Computerwurm, PC-Nutzern elektronisch über die Schulter zu schauen. Mehr Info

"´W32.Beagle.B@mm´ kommt per E-Mail und baut eine Hintertür ein, durch die der Rechner ferngesteuert werden kann“, sagte der Karlsruher Virenexperte Christoph Fischer am Mittwoch.

Der Schädling wird auch unter anderen Namen geführt, weil sich die Hersteller der unterschiedlichen Antiviren-Software nicht auf einen Namen einigen konnten. So geistert der Wurm unter den Bezeichnungen "Worm.Bagle", "I-Worm.Bagle.B", "W32/Tanx.A", "W32/Yourid.A" oder "W32.Alua@mm" durch die virtuellen Postfächer. Aus den Quellcodes habe man aber erkennen können, dass er sich nur noch bis zum 25. Februar verbreite, erklärte Fischer.

"W32.Beagle.B@mm" ist momentan nicht die einzige Bedrohung für die Rechner. "Aus den Aufzeichnungen der Firewalls sehen wir, was an die Tür klopft und nicht reinkommt." Seit 11. Februar sei die Anzahl der abgewiesenen Schädlinge auf das 6- bis 7 Fache gestiegen. "Da läuft momentan was aus dem Ruder", sagt Fischer. Bei diesen Schädlingen handle es sich allerdings nicht um E-Mail-Anhänge, sondern um solche, die sich über das Internet verbreiten.."Wenn der Bug ein verwundbares System findet, kann er sich ohne E-Mail verbreiten".

Mit dem kürzlich ausspionierten Quellcode der Betriebssysteme Windows 2000 und NT 4.0 habe die jetzige Virenbedrohung allerdings nichts zu tun. Im Zusammenhang damit sei allerdings schon ein anderes Problem dokumentiert worden, sagte Fischer. Verfälschte Bitmap (.bmp)-Dateien, die per E-Mail verschickt werden, bringen den Rechner zum Absturz - allerdings bislang ohne Wurm- oder Virenverseuchung.

Um für alle Fälle und Bedrohungen gewappnet zu sein, rät Fischer, sowohl Anti-Viren-Software als auch das Betriebssystem immer auf den neuesten Stand zu bringen und von den wichtigsten Daten ein Backup zu machen.

DAS VOL-SUPPORT-TEAMS RÄT:

I-Worm.Bagle.B

Das eMail hat folgendes Aussehen:

Betreff: ID xyz thanks

Mailtext:
Yours ID xyz
--
Thank

(xyz ist variabel)

Das Attachment ist eine EXE-Datei mit einem Sound-Icon. Der Dateiname ist ebenfalls variabel.

Wird der I-Worm.Bagle.B durch den Empfänger per Doppelklick aktiviert, öffnet sich der Soundrecoder von Windows und der Wurm kopiert sich unter dem Namen "au.exe" in das Windows-System(32)-Verzeichnis.

Der folgende Registryeintrag startet den Wurm bei jedem Systemneustart:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "au.exe" = C:\WINNT\SYSTEM32\AU.EXE

Weiters wurden folgende Registryeinträge angelegt:

HKEY_CURRENT_USER\Software\Windows2000 "frn"
HKEY_CURRENT_USER\Software\Windows2000 "gid"

Mit seiner eigenen SMTP-Engine versendet sich der Wurm an alle eMailadressen, die er in den Dateien .WAB, .TXT, .HTM oder .HTML findet. Als Absenderadressen sind folgende TLDs möglich:

@hotmail.com
@msn.com
@microsoft
@avp

Wie schon der I-Worm.Bagle.A hat auch sein Nachfolger eine Hintertür - der Bagle.B lauscht auf dem Port 8866 auf weitere Befehle seines Programmierers.

Die folgenden Domains werden vom I-Worm.Bagle.B per GET angesprochen und eine PHP-Datei sollte abgerufen werden, welche aber auf den jeweiligen Servern nicht vorhanden ist.

http://www.47df.de
http://www.strato.de
http://intern.games-ring.de

Ab dem 25.Februar dürfte es um diesen Wurm auch wieder ruhiger werden, da an diesem Tag seine Weiterbreitung gestoppt wird.

Manuelle Entfernung:

1. Beenden Sie den Task des Wurmes
2. Löschen Sie die Registryeinträge
3. Löschen Sie die Datei

# Nähere Information und ein Remove-Tool unter www.ikarus.at
# Hilfe unter support.vol.at

-------------------

Mydoom "töten"

Derzeit treibt der Mydoom-Wurm sein Unwesen im Internet. So werden sie den Wurm wieder los.

Vorarlberg Online möchte als Internet-Provider seine Kunden nicht nur ins, sondern auch durchs Internet führen. Wir sehen es als unsere Pflicht an, unseren Kunden neben schnellen Informationen aus Vorarlberg und der Welt, bester Unterhaltung und umfassendem Service auch den nötigen Schutz vor Viren und anderem „Internet-Ungetier“ zu bieten.

Derzeit geistert der giftige Wurm „Mydoom“ (von dem es zwei Versionen A und B gibt) durch viele PCs und richtet großen Schaden an. Der Wurm ist meistens im Anhang einer E-Mail-Fehlermeldung versteckt. Bei der Öffnung startet ein Programm, das in 30 Sekunden rund 100 mit dem Wurm infizierte E-Mails an Adressen im E-Mail-Verzeichnis versendet. Betroffen sind die Windows-Betriebssysteme von Microsoft. Sollte auch Ihr PC bereits mit dem Wurm Bekanntschaft gemacht haben, können Sie unter http://www.ikarus-software.at/portal/index.php eine Softwart herunterladen, die dem Wurm den Garaus macht – und zwar gratis.

Hier noch drei Tipps, wie Sie Ihren PC am besten „sauber“ halten:
# Den besten Schutz bieten Virenschutzprogramme, die aber regelmäßig upgedatet werden müssen.
# Öffnen Sie keine Mails mit Attachment, wenn Ihnen der Name des Absenders nicht vertrauenserweckend scheint.
# Betreffzeilen wie „Ich liebe dich“, „Ihre IP wurde geloggt“, etc. sind sehr verdächtig, auch wenn Ihnen der Absender bekannt ist. Im Zweifelsfall das Mail lieber nicht öffnen.

Weitere Infos zum Wurm Mydoom:
http://www.antivir.de/vireninfo/mydoom.htm
http://www.antivir.de/vireninfo/mydoomb.htm

quelle: www.vol.at
 

Tha Rage

Mexican Stageprayer
Beiträge
5.770
Reaktionspunkte
64
Hab den Wurm heute schon auf meiner Kiste gehabt, gut das ich ein gutes Antiviren Programm drauf hab, das stehts aktuell ist!
 

faccenda

Parkrocker
Beiträge
112
Reaktionspunkte
0
Ort
Vorarlberg bzw. Wien
ich hatte jetzt eine zeit lang kein anti-viren programm usw. und hab jetzt endlich wieder was installiert.. wurde auch höchste zeit! der hat nämlich gleich mal so ca. 10 trojaner und über 60 viren und so unnütze programme gefunden..!!! :shock: :smt088 jetzt ist mein pc wieder sauber :D
 

ChopSuey

Veteran
Beiträge
1.212
Reaktionspunkte
0
Alter
42
Ort
Nürtingen
A message for this address contained a virus
and was not delivered.

Virus detected - W32.Netsky.B@mm W32.Netsky.B@mm
The message was from <info@hotelvajolet.it>
Subject: unknown


das krieg ich zur zeit regelmäßig vom rechenzentrum der uni geschickt! scheint wohl noch unter weiteren namen zu agieren!