Achtung: Neuer Trojaner verbreitet sich!, Trojaner Einstellungen

[Gast_Faith_*]

Achtung: Neuer Trojaner verbreitet sich!
von xylen für WinFuture.de
Derzeit verbreitet sich ein neuer Trojaner über diverse IRC-Server und Newsgroups. Dazu wird eine URL verschickt, die zumindest im Quakenet auf britney.jpg endet. Wird diese Datei mit dem Internet Explorer geöffnet, wird der Rechner infiziert.

Die bekannten AntiViren-Programme sind zur Zeit noch nicht in der Lage, den Schädling zu erkennen bzw. zu entfernen. Es hilft lediglich die Formatierung der befallenen Festplatte.

Um sich vor dem Trojaner zu schützen, der wahrscheinlich eine Sicherheitslücke in Windows nutzt, für die Microsoft noch keinen Patch veröffentlicht hat, gibt es mehrere Möglichkeiten:


1. Das Abschalten von ActiveX im Internet Explorer

2. Der Einsatz des c't-IEControllers

3. Die Installation eines neuen Standardbrowsers, beispielsweise Mozilla Firebird
Quelle: heise.de

[Gast_Bo Derek_*]

Hm, hast Du dazu eine URL zu der konkreten Quelle bei HEISE? Weder Cert noch Heise meldet zur Zeit einen Trojaner, der offensichtlich die ActiveX Schnittstelle nutzt und letztlich nur eine Formatierung der Festplatte zulässt. IMHO halte ich diese Meldung für fragwürdig, allerdings kann ich mich dem Vorschlag, sich Alternativbrowser anzusehen, nur anschliessen

[JFK]

Alle großen AV Hersteller verbreiten Ruhe.
Die Heise Meldung ist von 00.06 Uhr.
Ich glaube nicht, dass da ein "Renner" auf uns zukommt

JFK

[Gast_skep_*]

http://www.heise.de/newsticker/data/ju-26.10.03-000/

och menno..JFK war schneller

Der Beitrag wurde von skep bearbeitet: 27.10.2003, 16:08

[Gast_Gladiator_*]

AntiVir erkennt den selbstverstaendlich schon
Ist in Delphi programmiert, mit UPX 1.24 gepackt und 156.672 Bytes gross.

[JFK]

AntiVir erkennt den selbstverstaendlich schon 
Ist in Delphi programmiert, mit UPX 1.24 gepackt und 156.672 Bytes gross.

Gib mal dem Kind einen Namen

JFK

[Lucky]

Ja genau, her mit dem Namen *g*

Björn

[Gast_Gladiator_*]

Worm/Fagot

[Internetfan1971]

Nein, ich war der Schnellste!!

http://www.rokop-security.de/board/index.php?showtopic=953

Außerdem soll KAV der erste Scanner gewesen sein der den Trojaner erkannt haben soll!

http://www.dslreports.com/forum/remark,833...ity,1~mode=flat

[Gast_Faith_*]

Hi Bo,

hier ist der Link:

http://www.heise.de/newsticker/data/ju-26.10.03-000/

Faith

[Gast_Bo Derek_*]

Danke! JFK und skep waren auch schon so freundlich

[Internetfan1971]

Oh Faith!

Jetzt dürften wir den Link wohl auswendig kennen! Oft genug gepostet wurde der ja jetzt wohl...

[JFK]

Worm/Fagot 

Da hat sich bisher nur F-Secure geäußert.

JFK

[Gast_Bo Derek_*]

Oh Faith!

Jetzt dürften wir den Link wohl auswendig kennen! Oft genug gepostet wurde der ja jetzt wohl... 

Welcher Link?

[Gast_Faith_*]

ochmenno *hihi*

aber ich habe von Kaspersky gerade ne schöne Mail erhalten:

- 1. Sober singt Sobig eine Ode

Der neue Internet-Wurm ist vom Sobig-Autoren begeistert und tarnt sich als Anti-Virus

Kaspersky Labs, ein international anerkannter Experte im Bereich IT-Sicherheit, warnt vor einer neuen Epidemie durch den I-Wurm Sober.
Diese Malware ist bereits am Samstag entdeckt worden, doch erst jetzt scheint er richtig aktiv zu werden, was wohl im Zusammenhang mit dem Wochenbeginn steht.

Sober ist ein klassischer Internet-Wurm, der sich über eMails verbreitet. Infizierte eMails können verschiedene Betreffzeilen, Texte in Englisch und in Deutsch sowie Namen und Erweiterungen (PIF, BAT, SCR, COM, EXE) der angehängten Dateien enthalten, was seine Identifizierung nach äußeren Merkmalen deutlich erschwert.

Beispiel:

Betreff: New Sobig-Worm variation (please read)

Textkörper: New Sobig variation in the net. You must change any settings before the worm control your computer! But, read the official statement from Norton Anti Virus!

Name der angehängten Datei: NAV.pif

Wenn der Anwender unvorsichtig genug war, die angehängte Datei einer infizierten Mail zu öffnen, lässt Sober eine falsche Warnmeldung auf dem Bildschirm erscheinen:

File not complete!

Danach erstellt der Wurm im Windows-Systemverzeichnis drei Kopien von sich mit verschiedenen Namen und registriert sie im Registrierschlüssel des Betriebssystems. Danach startet Sober seine Verbreitungsprozedur. Dazu sucht er im infizierten Rechner zunächst nach Dateien, welche eMail-Adressen enthalten können (z.B. HTML, WAB, EML, PST) liest die Daten und verschickt vom Inhaber des Rechners unbemerkt in dessen Namen Kopien von sich an die gefundenen Adressen.

Der Wurm enthält in seinem Körper Strings, in denen der Autor von Sober seine Begeisterung für den Autoren eines anderen Internet-Wurms, Sobig, äußert.

Schutzverfahren gegen Sober sind bereits der Antiviren-Datenbank des KasperskyR Anti-Virus hinzugefügt worden. Mehr Informationen über die Malware entnehmen Sie bitte der Kaspersky Virus Encyclopedia (http://www.viruslist.com/eng/viruslist.html?id=302666).



ist doch interessant oder ?


Faith

[Gast_Gladiator_*]

Ich sags doch... die schreiben doch tatsaechlich in die ganze neue Malware rein dass es ein Wurm, Trojaner oder ein Virus ist. Im Prinzip koennten sie auch gleich eine Messagebox mit der Frage nach einem Uninstall des Wurms hochreisen... Mit der Bitte das man diesen Wurm doch per Hand an 20 oder 30 Bekannte vorwardet, weil man sich mit der Programmierung der SMTP Engine des Wurmes noch nicht ganz so ausgekannt hat.

[Gast_Faith_*]

Neuer Mail-Wurm verbreitet sich im Internet
von xylen für WinFuture.de
Ein neuer Mail-Wurm namens W32/Sober-A (oder auch I-Worm.Sober, Win32/Sober.A, W32.Sober@mm) verbreitet sich zur Zeit rasend schnell im Internet. Er kopiert sich mit einem der folgenden Dateinamen in den Windows-Systemordner: similare.exe, systemchk.exe, systemini.exe.

Außerdem fügt er den Dateinamen in einem Registrierungseintrag hinzu, so dass der Wurm gestartet wird, sobald sich ein Anwender an dem Computer anmeldet. Man erkennt ihn an folgenden Betreffzeilen (Auswahl):


VORSICHT!!! Neuer Mail Wurm

Sie haben mir einen Wurm geschickt!

Neue Sobig Variante (Lesen!!)

ch Liebe Dich

New internet virus!

Weiterhin enthält er einer der folgenden Dateianhänge:


anti-Sob.bat

Check-Patch.bat

Liebe.com

Screen_Doku.scr

nacked.com

Eine komplette Liste mit allen Betreffzeilen und Dateianhängen findet man auf Sophos.de.




also ich frage mich, was da schon wieder los ist !

Faith

[Gast_skep_*]

also ich frage mich, was da schon wieder los ist !

Na was wohl ?
Tausende DAU's öffnen Mails mit Betreff's und Anhängen die eigentlich jeden mit einem IQ einer Pflaume zurückschrecken lassen müßten....

Der Beitrag wurde von skep bearbeitet: 27.10.2003, 22:01

[Muehle]

Hey Skep,

Tausende DAU's öffnen Mails mit Betreff's und Anhängen die eigentlich jeden mit einem IQ einer Pflaume zurückschrecken lassen müßten....

der ist gut das muß ich mir merken

bis denne Muehle

Der Beitrag wurde von Muehle bearbeitet: 27.10.2003, 23:06

[Internetfan1971]

Ja, der war gut!

Der Beitrag wurde von Internetfan1971 bearbeitet: 28.10.2003, 01:09