Virus / Wurm.

[Spiralfrau]

So - nun hatte es meinen PC auch erwischt. Lovsan und noch son ekliges Getier hatte sich ausgebreitet! Und zwar so schlimm, dass ich ne Woche brauchte die zu lokalisieren und zu entfernen. Selbst "platt" machen der Festplatte nutzte nichts - Lovsan war noch da!
Dann hatte ich zu allem Überfluss noch Probleme mit t-online - die hatten sich durch ein Upgrade diverse Modems zerschossen und meine Leitung war somit tot. Aber jetzt funktioniert es wieder!

[sonten]

Im Sinne des bislang hierzu Berichteten, sorgten am WE emails auf T-online bei uns wieder mal für Verwirrung, weil sie in deutscher Sprache abgefasst - und Empörung vortäuschend- auf eine Virenverseuchung unserer Rechner hinwiesen. Sie enthielten entweder sogenannte genaue "Informationen" oder Patchprgramme gegen die angebliche Verseuchung im Anhang, die beim Runterladen auf den lokalen Rechner von NAV und/oder Mcaffee natürlich sofort als Viren erkannt und entfernt wurden. T-online selbst hatte die Dinger natürlich nicht entfernt.

Hier ein Beispiel für einen der Textinhalte (mit Meldungen des Antivirenprogrammes):

Found virus WORM_SOBER.A in file AntiVirusDoc.pif
The file AntiVirusDoc.pif is moved to /etc/iscan/virus/vir8ZzSqW.

----------------------------------------------------------------------------
Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!!
Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen Mailbox sprengen!

Mit freundlichen Grüßen:

[Klee]

Ich denke wenn`s den PC trotz allem mal erwischt ist dieses Removaltool vielleicht ganz hilfreich:

http://de.bitdefender.com/html/free_tools.php

Aber die Beurteilung darüber überlasse ich lieber den Experten
Irene

[Ameise]

@tengu : Hm, diese Meldung habe ich neulich woanders schon mal gelesen ... ein neuer Wurm ? Ich bin noch etwas ratlos ...

EDIT : Es gibt einen neuen Wurm !

Bitte hier lesen, besonders den zweiten Absatz ! :
http://www.heise.de/security/news/meldung/41617


Zu tengus's Bericht oben : Das könnte immernoch Sober sein : http://www.heise.de/newsticker/data/dab-28.10.03-000/

[Abendsonne]

Aus aktuellen Anlass:

heute habe ich gleich zwei E-Mail erhalten mit dem Hinweis ich hätte wohl einen Wurm weil mein Programm ganz viele Mails mit Wurm verschickt und ich solle doch den beiliegenden patsch nehmen um meine Festplatte zu schecken..........

was auch immer im Anhang war.....es war bestimmt nichts Gutes.....
Also paßt auf was ihr öffnet...

alles Liebe
Gita

[Ameise]

Hättest du den Link oben gelesen, wüßtest du, daß das eine Variante von Sober ist. Es gibt übrigens eine weitere Variante von Sober, der einen Dialer installiert. Im Link nachzulesen.

[Abendsonne]

Danke Alrik...

ich wollte ja auch nur aus aktuellem Anlass drauf hinweisen, dass es jeden Treffen kann!!! (Selbst auch mich...)

liebe Grüße
Gita

[Ameise]

Das ist allerdings richtig.

[Ameise]

Virus klaut Kreditkartennummern !

Sicherheitslücken dürfen laut US-Gesetz nicht mehr veröffentlicht werden !

[Ameise]

Wurm wütet in US-Behörde

Cisco erklärt Krieg gegen Würmer

Kritisches Sicherheitsloch in Kerio WinRoute

phpWebFileManager erlaubt beliebigen Zugriff

KDE-Konfiguration manipulierbar (Nachgewiesen auf SuSE 8.2 )

AT&T besitzt Patent zur Umgehung von Anti-Spam - Methoden

[Ameise]

Warnung vor Sober.c : Der Wurm gibt vor, eine Mail von der Kripo zu sein ...

[Judith]

habe im internet herumgestöbert,kam dann auch auf den link"Esoterik Park" dann blätterte ich weiter.....und mit einmal hatte ich ein Virus

Name:JS.Exception.Exploit

über den link http://neu.toplist24.de/free/monolith/index.html

Alle Virusscanner schalteten sich sofort ein,Glück gehabt


LG. Judith

[Ameise]

Infos dazu :

http://www.symantec.com/avcenter/venc/d ... ploit.html (Englisch)

http://www.sophos.com/virusinfo/analyse ... ptfam.html (Englisch)

http://spotlight.de/zforen/sec/m/sec-10 ... 19696.html (Deutsch)

Der Virus benutzt eine veraltete Java-Laufzeitumgebung (VM) von Microsoft.

Tip : Die von Sun nehmen !


Habe leider keine deutschsprachige INformation dazu gefunden.

[Rudi]

habe im internet herumgestöbert,kam dann auch auf den link"Esoterik Park" dann blätterte ich weiter.....und mit einmal hatte ich ein Virus

Name:JS.Exception.Exploit

über den link http://neu.toplist24.de/free/monolith/index.html

Alle Virusscanner schalteten sich sofort ein,Glück gehabt


LG. Judith

Hallo Judith,
wie nett daß Du die Seite gleich verlinkt hast. Da muß ich doch sofort draufklicken und den Virus runterladen.
Liebe Grüße
Rudi

[Ameise]

Du wirst diesen Virus in der Regel (ich drücke mich immer vorsichtig aus !) nicht bekommen, wenn du zwei Dinge tust :

- Nicht die Java VM von Microsoft verwenden

- Einen anderen Browser als den Internet Explorer verwenden.

Das dumme ist, daß "Active scripting" im Internet Explorer (kürze ich immer mit IEX ab) unter Umständen selbst dann funktioniert, wenn es abgeschaltet ist - also selbst dann noch ein Sicherheitsproblem darstellt.

Ich persönliche gehe nach dem Vertrauensprinzip vor : Seiten, die ich kenne, und denen ich vertzraue, besuche ich mit dem IEX, andere, die ich nicht kenne, oder nicht vertraue (wie z.B. Suchmaschinen-Ergebnisse) besuche ich ausschließlich mit dem Mozilla mit abgeschaltetem Java und abgeschaltetem JavaScript.


Technischer Artikel zu diesem "Exploit" :
http://www.microsoft.com/technet/treevi ... 00-081.asp (Englisch)

[Rudi]

Du wirst diesen Virus in der Regel (ich drücke mich immer vorsichtig aus !) nicht bekommen, wenn du zwei Dinge tust :

- Nicht die Java VM von Microsoft verwenden

- Einen anderen Browser als den Internet Explorer verwenden.

Das dumme ist, daß "Active scripting" im Internet Explorer (kürze ich immer mit IEX ab) unter Umständen selbst dann funktioniert, wenn es abgeschaltet ist - also selbst dann noch ein Sicherheitsproblem darstellt.

Ich persönliche gehe nach dem Vertrauensprinzip vor : Seiten, die ich kenne, und denen ich vertzraue, besuche ich mit dem IEX, andere, die ich nicht kenne, oder nicht vertraue (wie z.B. Suchmaschinen-Ergebnisse) besuche ich ausschließlich mit dem Mozilla mit abgeschaltetem Java und abgeschaltetem JavaScript.


Technischer Artikel zu diesem "Exploit" :
http://www.microsoft.com/technet/treevi ... 00-081.asp (Englisch)

Hallo Waldameise,
ich fand es nur lustig daß sich da ein Link direkt zu einem Virus befand.

Also ich gehe lieber auf Nummer sicher und wenn es auf der Seite einen Virus gibt, dann klicke ich sie gar nicht an. Leider kenne ich mich mit Computer nicht so gut aus, daß mir active scripting etwas sagt und außer den internet Explorer habe ich keinen anderen Browser. Ich habe mir jetzt probeweise (30 Tage kostenlos )eine Firewall zugelegt. Nicht daß ich damit umgehen kann, aber bevor auf meinem PC ein Active X Steuerelement oder ein Java-dings abgeladen wird, werde ich gefragt ob ich das zulassen will und habe dann die Möglichkeit "nur für diese Sitzung" anzukreuzen. So bleibt der PC sauber.

Habe jetzt gerade einiges an Müll vom PC gesäubert, weil er immer langsammer wurde und auch das Laufwerk defragmentiert, aber ich merke daß da manchmal noch etwas "mitläuft" wenn ich im Internet war, weil wenn ich unmittelbar danach ein anderes Programm starte, dann habe ich eine Minute die Sanduhr. Das dumme an diesen Acive-X ist daß wenn man sie alle löscht, man ja nicht weiß ob man etwas löscht was man vielleicht braucht, was dann verloren geht. Habe also "nach Gefühl" alle Active-X bis auf vier gelöscht und der PC geht noch puuuuhhhh Hin und wieder habe ich aber trotzem noch die Sanduhr 1 Minute lang, oder es kommt eine Meldung daß die Anwendung auf Grund eines ungültigen Vorganges geschlossen wurde, obwohl ich gar kein Programm mehr laufen hatte und bereits aus dem Internet ausgestiegen bin. Die letzten 4 traue ich mich nicht löschen, denn eines davon glaube ich zu wissen daß ich es brauche und bei den anderen steht "status unbekannt" und es gibt kein Erstellungsdatum.
Liebe Grüße
Rudi

[Kattugla]

Hi Rudi,

Ja, ja, schon wieder ich...
Laß Dir die lästige Arbeit doch von so einem Progrämmchen wie Spybot abnehmen. (http://www.safer-networking.org/index.php?lang=de, ist kein Virus *kicher*, und Freeware).
Da kannst Du an- bzw. abwählen, was Du behalten/ verwerfen willst und den Rechner "immunisieren". Ich laß das Programm aller zwei bis drei Tage durchlaufen.
Der Window Washer (http://www.webroot.com/?pc=4060&rc=1&ps ... =&mo=&sid=) übernimmt dann den lästigen Rest. Ich hab´ beim ersten "Waschgang" fast 53 MB Müll von der Festplatte gefegt... Danach hab´ich mich wieder erinnern können, daß das hier ein 1,2 GHz-Rechner ist . Seitdem mach ich nach jedem Tag so einen "Waschgang".

So. Ich guck´ gleich den definitiv langsamsten Film, den ich bislang gesehen habe (The Straight Story, 23.55 im ZDF) - und einen der schönsten...

bless, Kattugla

[Ameise]

Bei www.zonelabs.com gibt's die kostenlose Firewall "Zonealarm", die ist zwar Englisch, aber dafür sehr leicht zu bedienen (eher auf Anfänger abgestimmt).

In meinen Augen ist heutzutage eine Firewall ein "must have", also Pflicht für jeden sicherheitsbewußten Mensch. Vorbei sind die unschuldigen Zeiten des Internets der 80er und 90er.

Ansonsten : Natürlich ist es schon heikel, gerade den Link hier zu posten, aber damit weiß man andererseits auch, was man NICHT tun sollte : Eben diesen Link besuchen ! Nur wer die Gefahren und Sicherheitslücken kennt, kann sich umsichtig verhalten !

[Rudi]

Hi Rudi,

Ja, ja, schon wieder ich...
Laß Dir die lästige Arbeit doch von so einem Progrämmchen wie Spybot abnehmen. (http://www.safer-networking.org/index.php?lang=de, ist kein Virus *kicher*, und Freeware).
Da kannst Du an- bzw. abwählen, was Du behalten/ verwerfen willst und den Rechner "immunisieren". Ich laß das Programm aller zwei bis drei Tage durchlaufen.
Der Window Washer (http://www.webroot.com/?pc=4060&rc=1&ps ... =&mo=&sid=) übernimmt dann den lästigen Rest. Ich hab´ beim ersten "Waschgang" fast 53 MB Müll von der Festplatte gefegt... Danach hab´ich mich wieder erinnern können, daß das hier ein 1,2 GHz-Rechner ist . Seitdem mach ich nach jedem Tag so einen "Waschgang".

So. Ich guck´ gleich den definitiv langsamsten Film, den ich bislang gesehen habe (The Straight Story, 23.55 im ZDF) - und einen der schönsten...

bless, Kattugla

Hallo Kattugla,
danke für die Tipps. Ich muß mir das mal zu einer früheren Uhrzeit ansehen, da ich gerade etwas "im Eimer" bin, nachdem ich 2 Stunden das Runenspiel gespielt habe, um Deinen Rekord zu brechen.
Damit die Diskussion in der ursprünglichen Spalte bleibt, werde ich dort den neuen Rekord posten.
Liebe Grüße
Rudi

[Ameise]

Besucher der Seite von Mecklenburg-Vorpommern bekommen einen Trojaner als "Geschenk".

[Frank]

Hi,
ich bekomme seit einiger Zeit ganz seltsame eMails in folgendem Stil:

Code: Alles auswählen

From: "Dixie Shultz" <wzxqlhuzgu@att.net>
To: ***@web.de
Subject: accra emblazon
Date: Thu, 01 Jan 2004 04:54:42 -0600
Reply-To: "Dixie Shultz" <wzxqlhuzgu@att.net>

buggy droplet lath nimbus enemy 
every fauna sagacious arbitrary rye huxley 
gpo fantasy decorum shaken augite purloin bantus 

Sonst nix. Keine Anhänge, kein Malcode in der Mail, einfach nur ca. 18 Worte, die keinen Sinn ergeben. Die To-Adresse ist fast identisch mit einer meiner kaum benutzten web.de-Adressen, aber eben nur fast. Sehr seltsam... ob ich mir alle diese eMails von einem Sprachprogramm rückwärts vorsagen lassen muss, um irgendwelche satanischen Botschaften rauszuhören?

Ein automatisches Übersetzungsprogramm macht folgendes daraus:

Code: Alles auswählen

Buggytröpfchenlatte-Nimbus Feind jedes Phantasie gpo huxley Roggen der Fauna sagacious willkürliches Dekorum gerüttelte augite
entwenden Bantus

Noch 'ne Kostprobe?

Code: Alles auswählen

nubia Protagonist heterozyklisches christenson rhapsodic sepia
genehmigt ambulatorische Deliriumlaufbahn shopkeep Dialektik Stichtag
Celsiusdementiajeep auerbach gastronome nimh

Und zum Schluss:

Code: Alles auswählen

DelegiertHysteriezollverbot hess stellen doktrinäre Zyste des
anspruchsvollen Entspannungbauteileaufwand disziplinären holyoke
planck Verlängerung des Augenblicks möglicherweise täglichen
habitant Zopfes vernunftwidrige Kamera verbotene neal
Giebelgenehmigung fest

[Frank]

Hab die eMails mal durchgecheckt. Anfangs gingen sie an mehrere Adressen durch, alle relativ ähnlich bei web.de Könnte sich also um einen reinen Accountcheck von Spammern handeln. Dann müsste allerdings eine Reply-Adresse vorhanden sein und die sind sicher gefälscht. Hmmm. Allen Mails gemeinsam ist jedenfalls, dass der Betreff mit Re: beginnt und dann erstmal ein paar Grossbuchstaben folgen, danach IMMER drei Worte (ausser bei den letzten dreien, die ich oben gepostet habe).

Oh Göttin, was mach ich nur, wenn mir irgendwann der CIA mitteilt, dass ich für sie arbeite und ich weiss von nichts

[Kattugla]

*kicher* - gestern gab´s im Fernsehen wiedermal "Sie leben...", vermutlich fehlt Dir die bewußte Sonnenbrille, um das zu entziffern...

Ist die Mail in html oder im reinen Textformat? Bei html könnte Dir ein Cookie mitgeschickt worden sein. Ich habe entdeckt, daß ich in schöner Regelmäßigkeit Spammails mit den Betreffs bekommen habe, die sich ein, zwei Tage vorher zum Beispiel als Suchbegriff in meiner Google-Leiste gefunden haben. Hm...
Habe auch so eine web.de-Wegwerfadresse, da ist aber, obwohl kein Spamfilter eingeschaltet, alles ratzekahl leer.
Nicht lachen: ist Dein Fensterhintergrund weiß? Meiner nämlich nicht ganz, da finden sich dann in den html-Mails auch Textzeilen in weißer Schrift, die ich sonst nicht sehen würde. Keine Ahnung, was damit passiert...

auch ´n bisserl ratlos, aber wieder zum Highscore-Fight mit Rudi zurückkehren müssend

bless, Kattugla

[Ameise]

In meinem "Giftschrank" gefinden sich neben einigen anderen Mail noch zwei besonders kuriose : Eine mit einem einzelnen Fragezeichen als Text, und eine ganz ohne, nur mit dem Subject bitte ignorieren.

@Frank : Ich könnte mir vorstellen, daß dieser Text von Suchmaschinen von Spammern gesucht wird, sobald er in irgendeinem Forum oder auf einer Webseite auftaucht, um damit die Mail-Adresse zu verifizieren. Ich habe auch gehört, daß scheinbar zufällige Buchstabebkombinationen auch dafür verwendet werden.

Es soll laut C'T eine Newsgroup geben, die sich mit Spam und allem drumherum beschäftigt.

[Rudi]

"ambulatorische Deliriumlaufbahn"

"Hysteriezollverbot" MUAHAHAHAHAHA!!!