Achtung: neuer Virus im Umlauf |
|
|
|
Troll
Atoll-Manager
meine Galerie (367)
Dabei seit: 21.12.2003
Beiträge: 8.714
Besuchte Resorts: Ari Beach, Bandos, Eriyadu, Ellaidhoo, Embudu, Ihuru, Komandoo, 2 x Helengeli, Reethi Beach, Angaga, Veligandu Island, 2 x Vakarufalhi, Fihalhohi, Lily Beach, Thulhagiri, Dhonveli, Royal Island, Safari Island, Dreamland, Gangehi Herkunft: Deutschland
|
|
Bringt Eure Virenscann-Pattern auf den neuesten Stand! Mittlerweile habe ich an die 30 Mails erhalten die den Worm NETSKY inne hatten!
Bschreibung:
Am 01.März 2004 um 00.51 PST wurden TrendLabs mehrere Infektionen mit dieser neuen NETSKY-Variante aus Frankreich, den Vereinigten Staaten und Japan gemeldet.
Bei WORM_NETSKY.D handelt es sich um einen speicher-residenten Computerwurm, der für seine Verbreitung per eMail eine eigene SMTP-Engine verwendet. Die von WORM_NETSKY.D versendete Massen-eMail sieht folgendermaßen aus:
Betreff: (einer der folgenden)
Re: Your website
Re: Your product
Re: Your letter
Re: Your archive
Re: Your text
Re: Your bill
Re: Your details
Re: My details
Re: Word file
Re: Excel file
Re: Details
Re: Approved
Re: Your software
Re: Your music
Re: Here
Re: Re: Re: Your document
Re: Hello
Re: Hi
Re: Re: Message
Re: Your picture
Re: Here is the document
Re: Your document
Re: Thanks!
Re: Re: Thanks!
Re: Re: Document
Re: Document
Text der Nachricht: (einer der folgenden):
Your file is attached.
Please read the attached file.
Please have a look at the attached file.
See the attached file for details.
Here is the file.
Your document is attached.
Dateianhang: (einer der folgenden)
your_website.pif
your_product.pif
your_letter.pif
your_archive.pif
your_text.pif
your_bill.pif
your_details.pif
document_word.pif
document_excel.pif
my_details.pif
all_document.pif
application.pif
mp3music.pif
yours.pif
document_4351.pif
your_file.pif
message_details.pif
your_picture.pif
document_full.pif
message_part2.pif
document.pif
your_document.pif
Die Malware platziert eine Wurmkopie unter dem Namen WINLOGON.EXE im Windows Ordner.
(Bitte beachten Sie: Unter Windows NT, 2000 und XP befindet sich eine normale Anwendung namens WINLOGON.EXE im Windows System-Ordner.)
Die Malware verbreitet sich üblicherweise als eine mit Petite komprimierte ausführbare Datei. Sie wurde in MS Visual C++, einer hochentwickelten Programmiertsprache, erstellt.
Die Malware infiziert Windows 95, 98, NT, 2000, ME und XP Systeme.
Lösung:
Erkennen des Malware Programms
Zum Entfernen der Malware, muss diese zunächst identifiziert werden. Durchsuchen Sie dazu Ihren Computer mit Ihrem Virenschutzprodukt von TREND MICRO und löschen sie alle Dateien, die als WORM_NETSKY.D erkannt werden. Spielen Sie hierfür unbedingt vorher die neueste Viren-Patterndatei ein!
Andere Internet-Nutzer: Bitte benutzen Sie Housecall, den kostenlosen Online-Virenscanner von TREND MICRO.
Beenden des Malware-Programms
Folgendermassen beenden sie den laufenden Prozess der Malware aus dem Speicher. Legen Sie hierfür bitte nochmals den Namen / die Namen der bereits ermittelten Dateien zurecht:
Öffnen Sie den Windows Task Manager.
Auf Windows 95/98/ME Systemen, drücken Sie bitte folgende Tasten
STRG+ALT+LÖSCHEN
Auf Windows NT/2000/XP Systemen, drücken Sie bitte folgende Tasten
CTRL+SHIFT+ESC, und klicken dann auf Prozesse .
Durchsuchen Sie die Liste der laufenden Programme* nach der Malware-Datei oder der vorher entdeckten infizierten Dateien.
Markieren Sie den Malware-Prozess und klicken Sie entweder auf die Schaltfläche Task beenden oder Prozess beenden (abhängig von der Windows-Version auf Ihrem Computer):
Wiederholen Sie diesen Vorgang für alle Malware-Dateien, die sie in der Liste der laufenden Prozesse finden.
Überprüfen Sie nun, ob der Malware-Prozess tatsächlich beendet ist, indem Sie den Task Manager beenden und erneut öffnen.
Schliessen Sei den Task Manager.
*Bitte beachten Sie: Auf Windows 95/98/ME – Systemen, zeigt der Task Manager bestimmte Prozesse möglicherweise nicht an. In diesem Fall kann es nötig sein ein „Process-Viewer“-Tool einzusetzen. Ansonsten fahren Sie bitte wie folgt fort.
Entfernen der Autostart Einträge aus der Registrierungsdatei
Nach Entfernen der Autostart-Einträge aus der Registrierungsdatei wird die Malware bei einem Systemstart nicht mehr automatisch ausgeführt.
Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start>Ausführen, tippen Sie Regedit und drücken Sie die Eingabe-Taste.
Auf der linken Spalte führen Sie bitte auf folgende Schlüssel einen Doppelklick aus:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
Auf der rechten Spalte löschen Sie nun den Eintrag:
ICQ Net = "C:\Windows\winlogon.exe -stealth"
Schliessen Sie den Registrierungs-Editor.
BITTE BEACHTEN SIE: Sollte es Ihnen nicht gelungen sein, die Malware-Prozesse im Speicher wie oben beschrieben zu beenden, führen Sie nun einen System-Neustart aus.
Zusätzliche Cleanup-Hinweise für Windows ME/XP
Ausführen eines TREND MICRO AntiViren-Produkts Durchsuchen Sie Ihren Computer mit Ihrem Virenschutzprodukt von TREND MICRO und löschen sie alle Dateien, die als WORM_NETSKY.D erkannt werden. Spielen Sie hierfür unbedingt vorher die neueste Viren-Patterndatei ein!
Andere Internet-Nutzer: Bitte benutzen Sie Housecall, den kostenlosen Online-Virenscanner von TREND MICRO.
Quelle: http://de.trendmicro-europe.com
__________________ Rechtschreibfehler sind gewollt und dienen lediglich zur Belustigung der Foren-Teilnehmer!
|
|
|
|
|
|
|
|
|
Penguin
Inselbesitzer
Dabei seit: 29.12.2003
Beiträge: 8.897
Besuchte Resorts: Ne Menge ! Aber da meine letzten LAP s Malediven nix abgewinnen konten, war das letzte Reethi Raa, vor Jahren.Davor:Fiha Llohi. Davor Full Moon usw usw Herkunft: Trinidad & Hamburg
|
|
TIPP DES TAGES
Achtung! Virus attackiert Reise-Websites!
Vorsicht, Sie sollten derzeit nicht auf Reise-Websites aus Italien gehen. Grund ist ein Computer-Virus, das sich seit vergangenem Samstag rasend schnell ausbreitet. Laut Medienberichten sind in Italien mehr als tausend Tourismus-Homepages infiziert. Zu den Betroffenen gehören etwa adriahotel.it und bestoftuscany.it. Weltweit sollen inzwischen 10.000 Computer befallen sein. Das Virus mit dem Namen "Italian Job" ist ein so genannter Trojaner, der die Computer der Besucher nach Daten wie der Kreditkarten-Nummer ausspäht und sie an einen Server in Chicago schickt. Den Berichten zufolge kann das Virus die Browser Internet Explorer, Firefox und Opera attackieren.
Weitere Infos unter http://blog.trendmicro.com
__________________
|
|
|
|
|
|
|
|
|
Penguin
Inselbesitzer
Dabei seit: 29.12.2003
Beiträge: 8.897
Besuchte Resorts: Ne Menge ! Aber da meine letzten LAP s Malediven nix abgewinnen konten, war das letzte Reethi Raa, vor Jahren.Davor:Fiha Llohi. Davor Full Moon usw usw Herkunft: Trinidad & Hamburg
|
|
Das Gemeine daran ist, dass man nichtmal auf eine Italienische Webside gehen muss, sondern nur eine unschuldige E Mail öffnet, und da hängt das Biest möglicherwiese mit dran. Weil der Absender auf einer dieser Sides war und anschliessend ne E Mail verschickt, an dem sich der Virus - unsichtbar - drangehängt hat.
Penguin
__________________
|
|
|
|
|
|
|
|
|
Storm
Inselbesitzer
meine Galerie (46)
Dabei seit: 12.02.2006
Beiträge: 5.637
Besuchte Resorts: Holiday Island (Nov.2005), Bolifushi (Juni 2006) Herkunft: Schweiz
|
|
Jetzt muss ich mal ganz blöde fragen. Ich dachte bisher immer das Öffnen einer Mail wäre ok NUR den Anhang dazu dürfe man nicht öffnen. Liege ich da falsch? Kann sich ein Virus auch in einem Mail ohne Anhang befinden?
|
|
|
alzberger
Inselbesitzer
meine Galerie (159)
Dabei seit: 19.06.2005
Beiträge: 3.196
Besuchte Resorts: Veligandu, Mirihi, Komandoo Herkunft: Vogtland
|
|
Zitat: |
Original von Storm
Kann sich ein Virus auch in einem Mail ohne Anhang befinden? |
|
klar doch, deswegen soll man ja das Vorschaufenster deaktivieren
(macht natürlich kein Mensch
).
Ich nehme PopTray von poptray.org,
da sehe ich schon mal, was so reinkommt.
Grüße
__________________
|
|
|
Storm
Inselbesitzer
meine Galerie (46)
Dabei seit: 12.02.2006
Beiträge: 5.637
Besuchte Resorts: Holiday Island (Nov.2005), Bolifushi (Juni 2006) Herkunft: Schweiz
|
|
Danke Alzberger für die schnelle Antwort. Wieder etwas gelernt. Ich hab auch sofort das Vorschaufenster deaktiviert.
|
|
|
alzberger
Inselbesitzer
meine Galerie (159)
Dabei seit: 19.06.2005
Beiträge: 3.196
Besuchte Resorts: Veligandu, Mirihi, Komandoo Herkunft: Vogtland
|
|
Zitat: |
Original von Storm
Danke Alzberger für die schnelle Antwort. Wieder etwas gelernt. Ich hab auch sofort das Vorschaufenster deaktiviert. |
|
Sei aber nicht zu ängstlich, sonst kannst Du den Rechner
gleich aus lassen.
no risk - no fun
Grüße
__________________
|
|
|
Storm
Inselbesitzer
meine Galerie (46)
Dabei seit: 12.02.2006
Beiträge: 5.637
Besuchte Resorts: Holiday Island (Nov.2005), Bolifushi (Juni 2006) Herkunft: Schweiz
|
|
Ich bin nicht übertrieben ängstlich
nur vorsichtig. Und damit bisher auch gut gefahren
|
|
|
|
|
|
|
|
|
Troll
Atoll-Manager
meine Galerie (367)
Dabei seit: 21.12.2003
Beiträge: 8.714
Besuchte Resorts: Ari Beach, Bandos, Eriyadu, Ellaidhoo, Embudu, Ihuru, Komandoo, 2 x Helengeli, Reethi Beach, Angaga, Veligandu Island, 2 x Vakarufalhi, Fihalhohi, Lily Beach, Thulhagiri, Dhonveli, Royal Island, Safari Island, Dreamland, Gangehi Herkunft: Deutschland
Themenstarter
|
|
also das ganze kann eigentlich nur passieren wenn der webbrowser nicht mit den aktuellen sicherheitsupdates versehen ist.
es wird über html code einer webseite oder in einem email (@storm: html im emailprogramm erlaubt) nach sicherheitslücken des systems gesucht.
das ganze ist nichts neues, solche sachen werden schon seit jahren praktiziert.
wer wissen möchte wie anfällig sein browser ist, sollte sich mal den browsercheck bei heise zu gemüte führen.
__________________ Rechtschreibfehler sind gewollt und dienen lediglich zur Belustigung der Foren-Teilnehmer!
|
|
|
|