Nyxem.D und .E Einstellungen

[Remover]

Mich wundert das dieser Wurm noch keine grossartige Erwaehnung gefunden hat.
Vielleicht ist es ja auch die Namensverwirrung, mal heisst er Nyxem, dann wieder Blackmal und andere nennen ihn Grew, da blickt ja wirklich kaum noch jemand durch.

Das allein waere aber keine Erwaehnung wert.
Doch die Verbreitung dieses Wurms, steigt von Stunde zu Stunde und noch dazu
besitzt er einen destruktiven Teil, mit dem er am jeden 3.Tag des Monats
diverse Files loescht und das auch auf Netzlaufwerken.

Zudem existiert eine Analyse von Fortinet, die aufzeigt wie der Wurm diverse Eintraege modifiziert um sich wieder aufzustarten. (Bei Symantec steht sogar etwas von AT Kommandos, ueberhaupt glaube ich das fast keine Analyse wirklich vollstaendig ist!)
http://www.fortinet.com/VirusEncyclopedia/...ctly&fid=119856

Dieser Wurm koennte erstmals am 03.Februar fuer ein Disaster sorgen, wenn der aktuelle Zaehler stimmt, den er nach jeder erfolgreichen Infektion betaetigt (derzeit ueber 630.000).

Ich sehe jetzt schon einige Leute, die ploetzlich folgende Files mit DATA Error [47 0F 94 93 F4 K5]" ueberschrieben vorfinden.....

"DATA Error [47 0F 94 93 F4 K5]". Overwrite Files: DOC, XLS, MDB,
MDE, PPT, PPS, ZIP, RAR, PDF, PSD and DMP.

Hat vielleicht jemand die genaue Counter Adresse (ohne REMOVED)?
[http://]webstats.web.rcn.net/[REMOVED]/Count.cgi?df=765247

Der Beitrag wurde von Remover bearbeitet: 24.01.2006, 09:44

[Domino]

Seid langem mal wieder ein Wurm mit echter Schadfunktion für den Betroffenen.

Ich wollte auch schon was dazu posten aber ich habe weder Adresse noch Sample.


Domino

[Remover]

Wobei ich ehrlich sagen muss, das es mich auch schon fast irgendwo freut.
Ich tue taeglich Leute vor Malware warnen und manche belaecheln dies
schon fast, weil sie mittlerweile die Einstellung haben, "na und!? ist ja nur ein Wurm",
der richtet ja sowieso kein Schaden an, dann loesche ich das Teil irgendwann
und gut ist. Vielleicht brauchen die Leute wirklich erstmal einen echten schaden,
damit sie begreifen das Malware durchaus nicht harmlos ist.

Ach ja, bisher ist mir auch noch kein Sample untergekommen, aber mich meiden
die Viecher ja sowieso immer . ;-)


EDIT: Habe gerade eine alte Meldung gefunden, ich glaube da sieht man deutlich das es ein Wurm aus dieser alten "Familie" ist und sicherlich kein neuer .A Wurm.

Variante Nyxem.D
Zeige alle Varianten

Alias: Mywife.C, Blackmal.C, Blackworm.C

Erstes Auftreten: September 2004

Länge: 72874

Nyxem.D wurde das erste Mal im September 2004 gefunden. Er breitet sich über E-Mails aus und löscht Dateien verschiedener Sicherheitssoftware.

Der Wurm erzeugt diese Datei;

\windows\system32\About_Blackworm.C.txt

Wird der Wurm aufgerufen, startet er eine leere Kopie des Windows Media Player und führt einen Denial of Service (DoS) - Angriff gegen diese Seite aus:

webstats.web.rcn.net

Netterweise hielt man den Counter damals fuer einen DOS Angriff ;-)

Der Beitrag wurde von Remover bearbeitet: 24.01.2006, 11:56

[Universum]

Aus dem Handelsblatt

Jede Stunde 2 500 neue Opfer
Ein neuer bösartiger Computerwurm verbreitet sich mit rasender Geschwindigkeit über das Internet. Der PC-Schädling mit dem Namen „Nyxem.e“ hat nach einem Medienbericht weltweit bereits mehr als 540 000 Rechner erfasst.
Handelsblatt
mfg

[Gast_skep_*]

The destructive deadline of the Nyxem.E worm is based on the clock of the infected machine. So if you're infected and your clock is not set right, things could start to happen at any time - even though the official activation time is the 3rd of the month. We've already received first reports from users who've had files on their system overwritten by the worm.
...
The number of machines that have been infected by this worm is over 300,000. Many of those have been disinfected already, though. But thousands of computers will get their files overwritten on February 3rd - most of them in India, Turkey and Peru.

Quelle: http://www.f-secure.com/weblog/#00000797

Ja, endlich mal eine richtige Schadroutine..hoffen wir das es viele erwischt (so bloed das zwar ist, aber aus Fehlern lernt man)

Der Beitrag wurde von skep bearbeitet: 31.01.2006, 18:23

[Domino]

So, nun wird er dann doch noch als Epidemie eingestuft.



Domino

[Domino]

Wer hat ein Sample ?



Domino

[Stefan]

Hier mal ein Link von F-Secure mit einer Weltkarte, auf der die Verbreitung zu erkennen ist.

[Universum]

Verivox meldet dazu:

Gefährlicher Computerwurm "Nyxem.e" verursachte kaum Schäden
dpa-Meldung, 03.02.2006 (12:56)

dpa-Meldung bei Verivox
mfg

[Remover]

Microsoft hat mittlerweile veroeffentlicht das man zuviel Wirbel um diesen
Wurm gemacht habe, es waeren letztendlich ja nur 400.000-900.000 Systeme
infiziert worden und die Warnungen waeren uebertrieben.
Das sollen sie denen mal erzaehlen, die gerade wegen dem Wurm einen
grossen Datenverlust erlitten haben.
Auch wenn es diesmal mehr Laender wie Indien waren und man deswegen hier
nicht soviel davon mitbekommt, heisst das nicht, das Nyxem keinerlei Schaeden
angerichtet hat. Und nur die Warnungen haben dazu gefuehrt das die User auf
der Hut waren und vielleicht gerade noch rechtzeitig den Wurm vom System geloescht haben.

Der Beitrag wurde von Remover bearbeitet: 09.02.2006, 09:57

[Domino]

Ausserdem war er wohl wieder einmal schlecht programmiert.

So soll die Infektion auch nur stattgefunden haben wenn der Rechner neugestartet wurde, am betreffenden Tag.



Domino