Achtung Virus

Alles was nichts mit Münzen zu tun hat

Moderator: Locnar

Benutzeravatar
Locnar
Administrator
Beiträge: 4482
Registriert: Do 25.04.02 17:10
Wohnort: Halle/Westfalen
Danksagung erhalten: 1 Mal

Achtung Virus

Beitrag von Locnar » Di 16.07.02 18:14

Hurra der erste ist da, und Norten erkennt in noch nicht.

Hallo
Ich habe in eben mit ner Mail bekommen und er nennt sich Win32.Frethem.F@mm

Er ist ein Win32 worm.

Im Betreff steht : Re: Your password!
Im Text:
ATTENTION!

You can access
very important
information by
this password

DO NOT SAVE
password to disk
use your mind

now press
cancel

The message text may also be left blank.
Die angehängte Datei heißt: decrypt-password.exe und password.txt

Zur Info:
FRETHEM benutzt die IFRAME Sicherheitslücke sowie einen MIME Exploit (beschrieben von Microsoft unter http:// http://www.microsoft.com/technet/securi ... 01-020.asp). Wenn der Benutzer seine Email mit einer ungepatchten Version von Microsoft Outlook oder Microsoft Outlook Express liest, wird er infiziert, wenn er auch nur die Vorschau des Mails ansieht.

Der Virus kopiert sich als setup.exe in Startup Verzeichnis des läufigen Profils (wie schon in der Sektion "Symptome" erklärt) und in das Windows Verzeichnis als taskbar.exe. Er trägt sich folgendermaßen in die Registry ein: HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run/Task Bar = %Windows%TASKBAR.EXE.
So ich geh jetzt Virus spielen
Gruß
Locnar

Benutzeravatar
Wuppi
Administrator
Beiträge: 3631
Registriert: Di 16.04.02 16:32
Wohnort: Köln
Hat sich bedankt: 2 Mal
Danksagung erhalten: 11 Mal

Beitrag von Wuppi » Di 16.07.02 18:25

Ich hab Outlook so eingestellt das Grundsätzlich alles Gefährlich ist ;) (sicherheitseinstellung: eingeschränkte seiten) ... da bekomm ich bei jeder 10. Mail nen Hinweis das die Mail gefährlichen Inhalt haben könnte ;) Nervt nen bissel, aber besser als kleinere Probleme ;) AVP hab ich net immer an ;)
Bitte KEINE Anfragen zu Münzen etc. per privater Nachricht - Danke!
Mein gemischter Blog | Fotobastler | gemischte Fotogalerie

Benutzeravatar
Locnar
Administrator
Beiträge: 4482
Registriert: Do 25.04.02 17:10
Wohnort: Halle/Westfalen
Danksagung erhalten: 1 Mal

Beitrag von Locnar » Di 16.07.02 18:31

Gott Wuppy

Wo bleibt der Nervenkitzel, so mach das doch keine Spaß

Die Dinger sind echt witzig, mußte mal drauf klicken :lol:
Gruß
Locnar

Benutzeravatar
Wuppi
Administrator
Beiträge: 3631
Registriert: Di 16.04.02 16:32
Wohnort: Köln
Hat sich bedankt: 2 Mal
Danksagung erhalten: 11 Mal

Beitrag von Wuppi » Di 16.07.02 18:36

Na ;)

mir reicht schon die tägliche belästigung durch Nimda (min. 5mal am Tag angriffe auf meinem webserver @home ;) ) Und sonst hab ich 2 Viren in meinem Outlook-Ordner ;) Meine ersten beiden Viren ;) Letztes Jahr bekommen ;))) Hat lange gedauert bis die sich zu mir verirrt haben, aber jetzt kann ich in Virensachen wenigstens mitprollen ;))
Bitte KEINE Anfragen zu Münzen etc. per privater Nachricht - Danke!
Mein gemischter Blog | Fotobastler | gemischte Fotogalerie

Benutzeravatar
Locnar
Administrator
Beiträge: 4482
Registriert: Do 25.04.02 17:10
Wohnort: Halle/Westfalen
Danksagung erhalten: 1 Mal

Beitrag von Locnar » Di 16.07.02 18:49

komisch, ich habe Nimda seit nen halben Jahr nicht mehr bekommen. Kletz, hatte ich noch vor 4 wochen.

Interessant ist, das fast alle Viren über ehemalige Ebay-Partner kommen.
Gruß
Locnar

Benutzeravatar
Wuppi
Administrator
Beiträge: 3631
Registriert: Di 16.04.02 16:32
Wohnort: Köln
Hat sich bedankt: 2 Mal
Danksagung erhalten: 11 Mal

Beitrag von Wuppi » Di 16.07.02 20:39

Nimda hab ich so auch noch net bekommen, nur mein Webserver wird davon regelmässig attakiert ... muß meine htaccess-umleitung nach Microsoft nochmal überarbeiten, hat mal super gefunzt :(
Bitte KEINE Anfragen zu Münzen etc. per privater Nachricht - Danke!
Mein gemischter Blog | Fotobastler | gemischte Fotogalerie

Benutzeravatar
Locnar
Administrator
Beiträge: 4482
Registriert: Do 25.04.02 17:10
Wohnort: Halle/Westfalen
Danksagung erhalten: 1 Mal

Beitrag von Locnar » Di 16.07.02 21:18

Eh Sorry

Dat Ding bekommst du nicht von außen, der Wurm ist auf deinen Rechner aktiv. Darüber hinaus verbreitet sich Nimda über freigegebene Netzlaufwerke. Der Wurm durchsucht das Netzwerk des PCs nach geteilten Ordnern mit Schreibzugriff. Wird er fündig, legt er nach dem Zufallsprinzip ein Newsgroup Posting oder eine EML-Datei ab, in dem der Wurm sich versteckt.
Ich kenne eine Version die beinhaltet eine Keylogger ähnlich des Klez und Bad Trans, der Virus ist Peng, der Keylogger genial. Ich habe in mal auf meinen Rechner dem Michel untergejubelt, danach hatte ich alle seine Passwörter. Keine Angst, ich habe alles in bei sein von Michel gelöscht
Gruß
Locnar

Benutzeravatar
Wuppi
Administrator
Beiträge: 3631
Registriert: Di 16.04.02 16:32
Wohnort: Köln
Hat sich bedankt: 2 Mal
Danksagung erhalten: 11 Mal

Beitrag von Wuppi » Di 16.07.02 21:55

Ich glaub du bist im Falschen Virus ;)
The latest new worm, NIMDA, is making rounds. Taking advantage of the numerous holes in IIS and Internet Explorer, this worm turns your server into a delivery agent, impacting users visiting your web site with any unpatched version of Internet Explorer 5, while simultaneously using your web server to actively attack other servers on the net.
@ http://www.securityspace.com/newsletter/

Das Teil attackiert Webserver die möglichst mit MS IIS laufen sollten (wg. den vielen schönen Bugs *G* - meiner läuft mit Apache, ist billiger *G* und sicherer). Klappt ein zugriff auf eine Datei, gehts weiter und das Teil breitet sich im Netz hinter dem Server aus.

http://www.securityspace.com/smysecure/ ... a_amm.html hier gehts weiter. Als Homepagebetreiber der seinen Traffic minimieren möchte, sollte man halt ne .htaccess mit umleitungen erstellen (bsp. auf www.microsoft.com *G* die sind schließlich daran schuld *G* oder auf 127.0.0.1 da attackiert Nimda sich dann selber *G*). Bei Strato hab ich auch paar Nimda-Attacken in den logs - aber sehr wenig, anscheinend wird der schon von Strato aus abgewährt ... hab derzeit neue attacken in den logs bei Strato und bei mir @home ... muß wohl nen nachfolger sein. Es wird wieder was neues aufgerufen - aber auch das geht postwendend nach Microsoft ;)

Also soviel zu der Gefahr von Nimda ggü. Webserver. Clients weiß ich net so ;) Juckt mich auch net, sowas kommt net bis nach mir ;)

Bis dann
Wuppi
Bitte KEINE Anfragen zu Münzen etc. per privater Nachricht - Danke!
Mein gemischter Blog | Fotobastler | gemischte Fotogalerie

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast