Du bist nicht angemeldet.

W32.Badtrans.B@mm

  • 1
  • 2

Chris

WSB-Gespenst

  • »Chris« ist der Autor dieses Themas

Beiträge: 2 010

  • Private Nachricht senden

1

Montag, 26. November 2001, 12:02

W32.Badtrans.B@mm

Hi,
hab heute und auch gestern sehr oft den Wurm/Virus
"W32.Badtrans.B@mm" bekommen.
Bin nur drauf aufmerksam geworden weil der Rechner von einem Kumpel plötzlich gaaaanz langsam wurde....

Heute bisher zwei invizierte Mails, aber Norten passt zum Glück auf mich auf :D

Die Mails haben als Topic "Re:" und sind auf den ersten Blick leer...

Würd gern mal wissen ob ihr's auch in letzter Zeit bekommen habt?

[Edit]
Hier die Erklärungen von Symantec:
http://securityresponse.symantec.com/avc…trans.b@mm.html
[/Edit]
Signatur von »Chris« Auch ein Bonsai träumt von Größe.

TheNobody Style

alter Sack, aber Chef :D

Beiträge: 4 678

Vorname: Andreas

  • Private Nachricht senden

2

Montag, 26. November 2001, 15:27

danke für den Tipp ...

Ich hatte das Ding gerade 2 Mal im Mailkasten ....

der Anhang hat scheinbar immer die Endung .scr
Signatur von »TheNobody Style«

andy

Fortgeschrittener

Beiträge: 194

  • Private Nachricht senden

3

Montag, 26. November 2001, 15:39

ja den selben habe ich auch bekommen..ich depp hab den natürlich geööfnet. aber virenscanner hat nichts gefunden.
meint ihr der versteckt sich noch irgendwo? ich hab auch schonmal gebootet und alles geht ganzw wunderbar. ich denke da sollte nichts sein oder?

betreff: Re endunf scr. oder mp3

mfg andy
Signatur von »andy« www.amrumsurfers.de
Basket Case!!! rock on!

Chris

WSB-Gespenst

  • »Chris« ist der Autor dieses Themas

Beiträge: 2 010

  • Private Nachricht senden

4

Montag, 26. November 2001, 15:40

Jo hier:

Dieser Massenemail Wurm versucht sich selbst an alle Absender ungelesener Emails im Programm Microsoft Outlook zu versenden. Er hinterläßt außerdem einen Fernsteuerungs-Trojaner.

Wird der Wurm ausgeführt wird folgendes Fenster angezeigt:

"ie Datei die der Wurm erstellt und in das Windows Verzeichnis kopiert heisst "Inetd.exe". Damit diese Datei bei jedem Start von Windows ausgeführt wird, wurde die Datei "Win.ini" modifiziert. Außerdem werden die Dateien "Kern32.exe" (ein Hintertür Trojaner) und "Hksdll.dll" (eine gültige Keylogger-DLL) in das Windows System Verzeichnis kopiert. Um auch den Trojaner bei jedem Windows-Start auszuführen wurde eine Registrierungs-Schlüssel erstellt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kern32.exe

Anmerkung: Unter Windows NT und Windows 2000 wird anstelle der modifizierten Datei "Win.ini" ein weiterer Registrierungs-Schlüssel erstellt:

HKEY_USERS\Software\Microsoft\Windows NT\CurrentVersion\Windows\RUN=%WinDir%\INETD.EXE

Ist der Trojaner aktiviert worden, wird die TCP/IP-Adresse des infizierten PCs an den Autor gesendet. Liegt diese Information vor, kann der Urheber des Virus den betroffenen PC über das Internet ausspionieren und persönliche Information, wie z.B. Benutzernamen und Passwörter auslesen. Die Keylogger-Komponente des Virus ist zusätzlich in der Lage Kreditkarten-Daten und Kontonummern zu übertragen.

Wird Windows das nächste Mal gestartet sendet sich der Wurm an alle noch nicht gelesenen Emails im entsprechendnen Microsoft Outlook Ordner. Der Wurm hängt sich an diese Nachrichten mit den folgenden Dateinamen an (die teilweise auch von dem Virus W95/MTX.gen@M benutzt werden):

Card.pif
docs.scr
fun.pif
hamster.ZIP.scr
Humor.TXT.pif
images.pif
New_Napster_Site.DOC.scr
news_doc.scr
Me_nude.AVI.pif
Pics.ZIP.scr
README.TXT.pif
s3msong.MP3.pif
searchURL.scr
SETUP.pif
Sorry_about_yesterday.DOC.pif
YOU_are_FAT!.TXT.pif

Der Betreff der Nachrichten kann folgenden Text enthalten:

Take a look to the attachment.

Manuelle Desinfektion

Sarten Sie den Computer im MS-DOS Modus
Löschen Sie angegebenen Dateien
Starten Sie Windows neu
Löschen Sie die angegebenen Registrierungs-Schlüssel
Signatur von »Chris« Auch ein Bonsai träumt von Größe.

Child of the sun

«« the 1st WSBlerin »»

Beiträge: 374

  • Private Nachricht senden

5

Montag, 26. November 2001, 15:41

Hab den Heut auch schon bekommen!
Hui, glück gehabt hab ihn gelöscht und nicht geöffnet, kam mir gleich so komisch vor.
Signatur von »Child of the sun« 8) 8) 8) FUN IN THE SUN 8) 8) 8)

Chris

WSB-Gespenst

  • »Chris« ist der Autor dieses Themas

Beiträge: 2 010

  • Private Nachricht senden

6

Montag, 26. November 2001, 15:50

mich nervt er langsam....bisher 6 Stück bekommen.

Ich glaub er verschickt automatisch Rückantworten auf noch nicht gelesene Emails....owohl ich ihn teilweise auch von Leuten bekommen hab die ich nicht kannte...
Signatur von »Chris« Auch ein Bonsai träumt von Größe.

Investorman

Erleuchteter

Beiträge: 3 610

  • Private Nachricht senden

7

Montag, 26. November 2001, 22:12

Hi zusammen!

Habe zwar auch einige solcher leeren Mails mit dem "Re" im Betreff bekommen, aber da war nie ein attachment angehangen.

hab ich nun den wurm oder bin ich einfach nur "belästigt" worden durch emails, von den leuten, die den wurm haben?

und wie kille ich das ding?

danke euch,
the Investorman
Signatur von »Investorman« ______________________________

Investorman.com || Webmasterrecht.de || Recht interessant - Die Linksammlung zum Internetrecht

Chris

WSB-Gespenst

  • »Chris« ist der Autor dieses Themas

Beiträge: 2 010

  • Private Nachricht senden

8

Dienstag, 27. November 2001, 13:51

normalerweise wird bei outlook sofert du die autovorschau aktivert hast, der anhang sofort ausgeführt :(

Schau wie oben erklärt in der Registrirung nach oder mach einen kompletten Viruscheck um sicher zu gehen....
Signatur von »Chris« Auch ein Bonsai träumt von Größe.

andy

Fortgeschrittener

Beiträge: 194

  • Private Nachricht senden

9

Dienstag, 27. November 2001, 14:50

so
mein norton hat herausgefunden das kernel32.exe und kdll.dll infiziert sind, ich habde die beiden isoliert, reparieren ging nicht.

bringt das was wenn ich diese beiden datein von nem anderen pc kopiere? ich habe win98 2te ausgabe
Signatur von »andy« www.amrumsurfers.de
Basket Case!!! rock on!

TheNobody Style

alter Sack, aber Chef :D

Beiträge: 4 678

Vorname: Andreas

  • Private Nachricht senden

10

Dienstag, 27. November 2001, 15:50

Zitat

normalerweise wird bei outlook sofert du die autovorschau aktivert hast, der anhang sofort ausgeführt

wer das zulässt is selber schuld ....

Einstellung bei Outlook 2000

Extras => Optionen
Registerkarte "Sicherheit"
Button "Anlagensicherheit"

dort sollte die Einstellung auf "hoch" stehen, dann fragt Outlook vorher nach, ob was geöffnet werden soll ... :D
Signatur von »TheNobody Style«

Chris

WSB-Gespenst

  • »Chris« ist der Autor dieses Themas

Beiträge: 2 010

  • Private Nachricht senden

11

Dienstag, 27. November 2001, 16:19

sry TNS, aber auch wenn du das auf Hoch eingestellt hast bringt dir das wenig, da die Mails standartmäßig im HTML-Format angezeigt werden und da liegt das Problem. Es befindet sich ein Script in dem eigentlich leeren HTML-Dokument das den Anhang öffnet ohne das Outlook davon etwas mitbekommt ;(

Zwar hilft die von dir genannte Einstellung vor unüberlegtem manuellen öffnen von Anhängen aber nicht gegen den Wurm (vorausgesetzt HTML Format ist on)....
Signatur von »Chris« Auch ein Bonsai träumt von Größe.

andy

Fortgeschrittener

Beiträge: 194

  • Private Nachricht senden

12

Dienstag, 27. November 2001, 16:36

bringt das was wenn ich diese beiden datein von nem anderen pc kopiere? ich habe win98 2te ausgabe
Signatur von »andy« www.amrumsurfers.de
Basket Case!!! rock on!

TheNobody Style

alter Sack, aber Chef :D

Beiträge: 4 678

Vorname: Andreas

  • Private Nachricht senden

13

Dienstag, 27. November 2001, 20:53

Zitat

Es befindet sich ein Script in dem eigentlich leeren HTML-Dokument das den Anhang öffnet ohne das Outlook davon etwas mitbekommt

Stimmt so nicht ganz ... oder warum bekam ich die Meldung, ob die Datei ausgeführt werden soll????
Signatur von »TheNobody Style«

Neumanns

Profi

Beiträge: 759

  • Private Nachricht senden

14

Dienstag, 27. November 2001, 22:12

Ich habe den auch schon eingige male bekommen....

Jetzt sagt mal, habe ich das richtig gemacht.


Ich habe sie nicht geöffnet!
Signatur von »Neumanns« [align=center]meine Seiten
Unterstützt meinen Kampf für M&Ms[/align]

Child of the sun

«« the 1st WSBlerin »»

Beiträge: 374

  • Private Nachricht senden

15

Mittwoch, 28. November 2001, 08:00

Bei Outlook Express öffnet er zwar auch automatisch den Anhang, aber dann wird gefragt, ob man die Datei speichern oder direkt öffnen möchte, wenn man dann auf abbrechen geht und die eMail löscht, wurde der Virus doch auf keinster Weise aktiv oder?
Signatur von »Child of the sun« 8) 8) 8) FUN IN THE SUN 8) 8) 8)

Chris

WSB-Gespenst

  • »Chris« ist der Autor dieses Themas

Beiträge: 2 010

  • Private Nachricht senden

16

Mittwoch, 28. November 2001, 09:05

@TNS
hmmm hab die EMailsicherheit auf Hoch....naja egal ;)

@all
wenn ihr nicht wisst ob ihr den Wurm habt schaut in eurer Registrirung nach, ob dieser Eintrag vorhanden ist:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\kernel32=kern32.exe

Des weiteren wurde das System eines Freundes nachdem er sich mit dem Wurm invitziert hatte sehr langsam, merkt man z.B. wenn es länger als 30sek brauch Notepad zu öffnen :D



Signatur von »Chris« Auch ein Bonsai träumt von Größe.

Investorman

Erleuchteter

Beiträge: 3 610

  • Private Nachricht senden

17

Mittwoch, 28. November 2001, 12:07

Chris, Du meinst damit die Datei win.ini, oder??

Dort soll doch der Eintrag stehen ...
Signatur von »Investorman« ______________________________

Investorman.com || Webmasterrecht.de || Recht interessant - Die Linksammlung zum Internetrecht

Child of the sun

«« the 1st WSBlerin »»

Beiträge: 374

  • Private Nachricht senden

18

Mittwoch, 28. November 2001, 12:13

Mist! Wer Outlook Express 5 oder niedriger benutzt wird automatisch infiziert, wenn die eMail in Outlook auftaucht!
Da hilft bloß update auf 6.0 und unter Extras/Sicherheit das Ausführen von potentiell gefährlichen Attachements zu deaktivieren. In dieser Version und Konfiguration fragt der Client den User wenigstens noch, ob er die Attachements wirklich ausführen soll und gibt ihm damit die Möglichkeit, über "Abbrechen" das Schlimmste zu verhindern.
Signatur von »Child of the sun« 8) 8) 8) FUN IN THE SUN 8) 8) 8)

Chris

WSB-Gespenst

  • »Chris« ist der Autor dieses Themas

Beiträge: 2 010

  • Private Nachricht senden

19

Mittwoch, 28. November 2001, 13:31

@Investorman

ne eigentlich nicht *g*
Klick auf "Start" dann auf "Ausführen" anschließend gibst du "regedit" ein und dort suchst du den Eintrag.

Vorsichtig solltest du aber sein, da man in der Registrierung auch eine Menge Schaden anrichten kann :D
Signatur von »Chris« Auch ein Bonsai träumt von Größe.

Investorman

Erleuchteter

Beiträge: 3 610

  • Private Nachricht senden

20

Mittwoch, 28. November 2001, 13:52

aaaaahsoooooo!! ;-)

also suche ich dort nach der von dir angegebenen eintragung ...

alles klar. danke
Signatur von »Investorman« ______________________________

Investorman.com || Webmasterrecht.de || Recht interessant - Die Linksammlung zum Internetrecht
  • 1
  • 2

Lesezeichen: