BadTrans.B

Der Wurm Badtrans (W32/Badtrans.B) wird als E-Mail-Attachment versendet und nutzt eine Sicherheitslücke in den Internet Explorer-Versionen 5.01 und 5.5 aus. Installieren Sie daher ein Explorer-Update.

Entfernen: Als Service bieten wir Ihnen ein Programm zum Auffinden und Entfernen des Virus: Anti-BadTrans (ZIP-Datei).

Erkennen:
1. Der Wurm beantwortet Mails, indem er den Betreff mit "Re:" und zurückschickt. Im Schreiben zitiert er den Originaltext und fordert "Take a look to the attachment." als Antwort unter das Zitat.
2. Bei Mails an Adressen aus dem Cache des Internet Explorer besteht die Betreffzeile nur aus einem "Re:" und einem leeren Nachrichtentext.
3. Das Attachment mit dem Virus trägt u. a. folgende Namen:
Fun, Humor, docs, info, Sorry_about_yesterday, Me_nude, Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README, images, pics, SEARCHURL, S3MSONG

Melissa

Melissa, der berühmte Makrovirus des Jahres 1999 ist 2001 in veränderter Gestalt wieder aufgetaucht. Die neue Version heißt Melissa-X und wird als Office 2001 Datei verbreitet. Eine Variante ist als Mac-Dokument "anniv.doc" unterwegs. Häufig wird Melissa-X per Mail mit dem Betreff "Important Message From (Absendername)" verschickt.

Wie wird er verbreitet?

• Durch an die Mail angehängte Dateien (Attachments) mit den Endungen .doc und .xls. Weitere Mutationen können täglich entstehen. Daher: Nur RTF-Dateien akzeptieren (s. Schutz).

Welche Programme werden befallen?

• Die Programme Word 97 resp. Word 2000 mit Microsoft Outlook 97, 98 or 2000: Melissa verankert sich in Word und infiziert alle in Hinkunft erzeugten Word-Dokumente und verschickt infizierte Word-Dokumente an 50 gespeicherte Mailadressen.
• Word 97 resp. Word 2000 mit einem anderen Mailprogramm: Melissa verankert sich in Word und infiziert alle in Hinkunft erzeugten Word-Dokumente.

Schutz

• Anwender von Word 97 resp. Word 2000 (Windows 95/98): Makrovirus Schutz einstellen.
  Diesen findet man in Word 97 im Menü EXTRAS > OPTIONEN > ALLGEMEIN. Die Option "Makrovirus-Schutz" anklicken (s. Bild).
  In Word 2000: EXTRAS > MAKRO > SICHERHEIT > "Hohe Sicherheit" einstellen. Dann kommt beim Öffnen von Dokumenten per Doppelklick immer eine Abfrage, die nur bei eigenen Dokumenten bestätigt werden sollte.
  
• Dokumente nur im Rich Text Format (RTF) entgegennehmen. DOC-Files nicht öffnen sondern in der Antwort eine RTF-Fassung verlangen.

Nachweis

• Die automatisch verschickten Mails sind - ursprünglich - durch die Betreffzeile " Important Message From (Name des Absenders)" erkennbar. Mittlerweile sind Varianten mit anderen Betreffzeilen aufgetaucht.
• Zu bestimmten Datums- und Uhrzeitkombinationen schreibt Melissa folgende Meldung in Dokumente:
  "Twenty-two points, plus triple-word-score, plus fiftys points for using all my letters. Game´s over. I´m outta here."

Tschernobyl

Der auch als CIH bekannte Virus befällt PCs unter Windows 95 oder Windows 98 und wird jeweils am 26. des Monats aktiv, bevorzugt am 26. April, dem Jahrestag des Atomreaktorunfalls von Tschernobyl.
Der Virus schreibt sich die exe-Dateien und kann auf manchen PCs das BIOS überschreiben, wodurch es unbrauchbar wird. Mehr zum Thema Tschernobyl/CIH finden Sie unseren Homepages vom 30.4. 1999 und vom vom 26.4. 2000.

W32/Magistr@MM / W32/Magistr.39921

W32/Magistr@MM ist eine Kombination aus Mailwurm und Virus. Er befällt .exe-Dateien und versendet sich selbst an Mail-Adressen, die aus dem Windows Address Book, Eudora, Outlook Express oder Netscape Mail stammen.
Der Virus wird mit unterschiedlichen Betreffs und unterschiedlich benannten Attachments (häufig "W32.Magistr.24876@mm") verschickt. Bisweilen werden zur Tarnung zusätzlich nichtinfizierte Dateien mitversandt.
W32/Magistr@MM befällt .exe-Dateien und
- kann laut Symantec das CMOS löschen
- kann laut Symantec das BIOS verändern
- den Zone Alarm einer Firewall ausser Kraft setzen

Die Variante, Magistr.B (W32/Magistr.39921) wird seit Anfang September 2001 in einem Mail-Attachment mit der Endung mit .bat, .exe, .pif oder .com verschickt. Magistr.B enthält einen eigenen SMTP und umgeht damit Microsofts Outlook Security Patch. Das Programm verbreitet sich zusätzlich zur Mail über Netzwerke auf Windows-Rechnern.
Nach dem Überschreiben von Files gibt er am Schirm die unfreundliche Meldung aus:

Another haughty bloodsucker.......
YOU THINK YOU ARE GOD,
BUT YOU ARE ONLY A CHUNK OF SHIT

W32 Klez

(W32/Klez.a@MM, W32/Klez.b@MM, W32/Klez.gen@MM, W32.Klez.H@mm)

W32 Klez wird als Wurm mit Mails mit unterschiedlichen Betreffzeilen und Attachments versandt. Verbreitet sind "Can you help me?", "Congatulations", "We want peace", "Why don't you reply to me?" (s. unten).

Aufgrund einer Sicherheitslücke im Internet Explorer 5.01 und 5.5 (Akzeptieren eines unkorrekten MIME Headers) wird das Attachment ausgeführt. Verhindert werden kann dies durch ein Explorer-Update.

Der eigentliche Virusbestandteil des Wurms ist PE Elkern.

Für die Entfernung bietet Trend Micro ein kostenloses Programm an, das man hier herunterladen kann.

Der Wurm

• legt im Verzeichnis \Windows\System eine Kopie mit dem Namen krn132.exe an (bei W32/Klez.d@MM heißt die Datei WinSvc.exe)
• kopiert in dieses Verzeichnis die Virusdatei Elkern.cav als wqk.exe
  
• und ruft beide durch Einträge in der Registry auf

W32 Klez verbreitet sich auch über Netzwerke.
Am 13. jedes ungeraden Monates löscht der Virus alle Dateien, indem er sie mit Nullen überschreibt.

Achtung falsche Hilfsangebote:
1) W32/Klez.h@MM maskiert sich bisweilen als Immunisierungswerkzeug, das in Wirklichkeit den Wurm verbreitet. Wenn Sie folgende Mitteilung erhalten, führen Sie das Programm nicht aus:

Klez.E is the most common world-wide spreading worm. It's very dangerous by corrupting your files. Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.We developed this free immunity tool to defeat the malicious virus. You only need to run this tool once,and then Klez will never come into your PC.

NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it. If so,Ignore the warning,and select 'continue'. If you have any question,please mail to me.

2) Seit Mai 2002 ist ein zweites Pseudo-Hilfsangebot im Umlauf, das ein Attachment transportiert, welches eine Sicherheitslücke im Internet Explorer 5.01 und 5.5 ausnützt. Die Mail kommt mit dem Betreff You're under a serious threat! und der - gefälschten - Absenderadresse support@kaspersky.com.
Der Text lautet:.

Kaspersky Labs urging users to take the necessary measures to protect themselves against the mounting threat from the latest version of the Internet-worm Klez, most users lightly regarded the problem of securing their personal data, resulting in a global Internet virus epidemic. Over the past several days our technical support services have received over twelve thousand inquiries concerning Klez Internet worm infections.

Bekannte Betreffzeilen

W32 Kriz

W32 Kriz wird nur einmal im Jahr aktiv und zwar am 25.12. Er überschreibt das Flash-BIOS (sozusagen das Stammhirn) des Computers. Seine wesentlichen Merkmale:
- Umbenennung von c:\windows\sytem\kernel32.ll in krized.tt6
- Anlage einer veränderten c:\windows\sytem\kernel32.ll
- Anlage der Datei c:\windows\wininit.ini
Der PC muss im Fall einer Infektion sofort gesäubert werden. Ansonsten lässt sich der PC nicht mehr starten, und das BIOS muss ausgetauscht werden!

W32.Nimda

Nimda kennt alleine 16 verschiedene Möglichkeiten, den Internet Information Server (IIS) von Microsoft anzugreifen, verbreitet sich darüber hinaus per Mail und über das Netzwerk und hat die Fähigkeiten eines Massenmailers. Seine wesentlichen Merkmale:
- Befällt Web-Server, die unter Microsofts IIS laufen und baut in deren Web-Seiten Java-Skript-Code ein, der eine Datei namens "readme.eml" nachlädt.
- Verbreitet sich per E-Mail: Die Mails enthalten ein Attachment namens "readme.exe", das den MIME-Typ Audio/WAV trägt.
- Breitet sich über Windows-Datei-Freigaben aus.

Betroffen sind von dieser Attacke alle Nutzer des Internet Explorer 5.5 (Service Pack 1) oder früherer Versionen. Viren-Experten raten daher dringend auf den IE 5.5 (Service Pack 2) oder den IE 6.0 upzudaten. Außerdem sollten in den Sicherheitseinstellungen des Browsers ActiveX und Active Scripting deaktiviert werden. Die Einstellungen können im Menü "Extras/Internetoptionen/Sicherheit" vorgenommen werden. Alternativ kann der Anwender auch auf einen anderen Browser, wie Netscape oder Opera ausweichen. Microsoft hat außerdem einen Patch zum Download bereit gestellt, um die Sicherheitslücke zu schließen, bei der "Embedded MIME Types (.eml)" automatisch ausgeführt werden. Zum Download gibt es zahlreiche Patches, Updates sowie Anti-Virus-Software.

VBS.Elva-Wurm

Der Wurm verschickt sich an alle im MS Outlook-Adressbuch eingetragenen E-Mail-Adressen. Elva wird als HTA-Datei verschickt wird und umgeht somit geschickt diverse Filtereinstellungen auf Gateways. Wer eine E-Mail mit dem Betreff "Birthday Card" und dem Attachment Card.hta erhält, sollte am besten die Mail löschen.

Der Text der E-Mail beinhaltet die Textzeile: "Hello Jo, Happy birthday ELVA forever. This I made birthday card for you. Please open it and I hope you like". Es wird empfohlen, unbedingt den Scripting Host zu deaktivieren.

Resume-Janet Simons

Der Virus kommt in einer Mail mit dem Text To: Director of Sales/Marketing
Attached my resume with a list of references contained within. Please fell free to call or mail me if you my experience. I am looking forward to hearing from you.
Sincerely, Janet Simons

"Resume-Janet Simons" versendet verseuchte Mails an alle im Adressbuch gespeicherten Adressen und versucht, Dateien der Festplatte C:\ zu löschen. Schließlich kopiert sich der Virus in das Windows Autostartverzeichnis - und wird so beim nächsten Start des PC wieder aktiviert.

Newlove

VBS.LoveLetter.FW.A verändert seinen Code und seinen Namen mit jedem Sendevorgang, überschreibt verschiedene Dateien und kann E-Mail-Server lähmen. Der Programmcode hat keine Ähnlichkeit mit dem des "ILOVEYOU"-Virus, verbreitet sich aber gleichfalls über die Office-Programme des Herstellers Microsoft und die Adressdateien der Benutzer.

Der Virus überschreibt nicht nur Bild- und Musikdateien wie "ILOVEYOU" sondern auch Systemdateien und setzt damit den PC binnen kurzem außer Gefecht. In der Mail wird der Virus mit unterschiedlichen Betreffzeilen verschickt, jeweils mit vorangestelltem "FW:". Der gefährliche Anhang des Briefes trägt die Endung ".vbs" mit wechselnden Namen.

Timofonica

Ein bösartiges VB-Script bombardiert seit 5.6.2000 die Mobiltelephone der spanischen Telekomfirma "Moviestar". Der Wurm nutzt wie seine Verwandten das Adressbuch von Outlook und versendet von dort aus an alle Einträge Mails mit dem Attachment "TIMOFONICA.TXT.vbs" sowie SMS-Nachrichten an Moviestar-Kunden.

Der spanische Text mit dem Betreff "TIMOFONICA" nimmt gegen die monopolistischen Tendenzen in der Telekom-Branche Stellung.

Funny

Funny ist Mailwurm, der nach Software für Online-Banking sucht und dort die Tastatureingaben registriert, um Passwörter auszulesen. Die Betreffzeilen der Varianten lauten: "Funny Story" (Variante A), "Rechnungsabschrift" (B) oder "When did you die?" (C).

Wenn man das Attachment öffnet, zeigt es entweder Links zu einer Website mit Witzen (A und B) oder eine Textdatei (C). Die Weiterverbreitung erfolgt nach dem bekannten Muster über die Outlook-Maillisten.

ILOVEYOU

Offizieller Name: "vbs.loveletter.a" oder "W95.ILOVEYOU.bin.worm"
Üblicher Name: Loveletter-Virus, I love you-Virus

Art: Ein in Visual Basic programmierter Mailwurm

Merkmale: Durch Mailnachrichten mit der Betreffzeile "ILOVEYOU" und dem Text "kindly check the attached LOVELETTER coming from me." Das Attachment (die angefügte Datei) trägt den Namen "LOVE-LETTER-FOR-YOU.TXT.vbs".

Funktionsweise:
1. Durch das Aufrufen des Attachments (Doppelklick) wird das Visual Basic Script ausgeführt und verankert sich im System des Anwenders. Betroffen sind im Normalfall Systeme mit Windows 98 und Windows 2000 sowie solche unter Windows NT 4.0 and Windows 95, wenn dort der Windows Scripting Host (WSH) installiert ist.
2. Der Wurm kopiert sich unter verschiedenen Namen in zahlreiche Verzeichnisse. In Directory /Windows unter dem Namen "Win32DLL.vbs", im Ordner Windows/System als MSKernel32.vbs und LOVE-LETTER-FOR-YOU.TXT.vbs.
3. Der Wurm verändert verschiedene Registry-Einträge von Windows und überschreibt alle Dateien mit den Endungen CSS, HTA, JS, JSE, JPG, SCT, MP2, MP3, VBS und WSH mit einer Kopie des eigenen Codes und hängt zusätzlich die Erweiterung VBS an. Eine Datei mit dem Namen allgemein.CSS wird somit zu allgemein.CSS.VBS.
4. Falls ein IRC-Client auf dem System installiert ist, erzeugt der Wurm eine HTML-Datei, mit der er sich über IRC verschickt.
5. Der Wurm verschickt sich an alle Einträge, die er im Adressenverzeichnis findet.

[Mehr]

Wscript.KakWorm

Wscript.KakWorm ist ein Wurm, der sich mit Hilfe von Microsoft Outlook Express verbreitet. Der Vorbeugung dient ein Update.

Bei Infektion erscheint an jedem Monatsersten ein Fenster mit der Meldung "Kagou-Anti-Kro$oft says not today!" Bei Bestätigung der Meldung fährt Windows den PC herunter.

Prolin

Der W32/Prolin genannte Wurm kommt seit Ende November 2000 mit dem Betreff "A great Shockwave flash movie" und verbreitet sich über das Adressbuch von Outlook.

Der Virus verschiebt Dateien mit den Extensions .jpg und .zip samt einer Änderung des Namens auf c:\. Die neuen Namen enthalten die Mitteilung "change at least now to LINUX".

Auf der Festplatte sind im File c:\Messageforu.txt alle Änderungen dokumentiert, was beim Reinigen des PCs eine gewisse Hilfe ist. Die Mitteilung in dem File lautet:

Hi, guess you have got the message. I have kept a list of files that I have infected under this. If you are smart enough just reverse back the process. i could have done far better damage, i could have even completely wiped your harddisk. Remember this is a warning & get it sound and clear... - The Penguin

SirCam

Der von verschiedenen Experten zunächst als harmlos bezeichnete Trojaner/Wurm TROJ_SIRCAM.A hat durchaus schlechte Eigenschaften.

SirCam kopiert eine Datei mit der Endung .gif, .jpg, .doc oder .xls aus dem Ordner "Eigenen Dateien", fügt seinen Code an und versendet sich an alle Adressen im Outlook-Adressbuch. Darüber hinaus kann sich der Virus über Netzwerke verbreiten. Im Windows Systemordner setzt er sich in einer Datei namens scam32.exe fest.Durch Veränderung der Windows Registry wird er bei jedem Neustart geladen.

Seine destruktiven Taten reichen vom Füllen der Platte C: gegen Mitte Oktober bis zum Löschen aller Dateien.

Sehr flexibel: SirCam wird auf Grund der oben geschilderten Kopiermethode mit unterschiedlichen Attachments verbreitet. Auch die Betreffzeilen ändern sich.

Der Text ist entweder in Spanisch oder Englisch gehalten. In der hierzulande verbreiteten englischen Version taucht stets eine der folgenden Zeilen auf:

• I hope you can help me with this file that I send
• I hope you like the file that I send you
• I send you this file in order to have your advice
• This is the file with the information that you ask for

Naked Wife

DerWurm mit dem Namen "Naked Wife" oder "W32/Naked@MM" ist seit dem 3.6.2001 bekannt. Er sendet Kopien von sich an alle E-Mail-Adressen, die sich im Adressbuch von Outlook des infizierten Rechners befinden.

Das Visual Basic-Programm NakedWife.exe läuft unter Visual Basic 6+. Es kopiert sich ins Verzeichnis TEMP und startet mit einem Fenster mit dem Titel "JibJab Loading".

Beim Aufruf des Hilfemenüs zu diesem Fenster erscheint die Botschaft "You're are now FUCKED! (C) 2001 by BGK (Bill Gates Killer)"

Die Virusdatei löscht alle Files mit den Extensionen .bmp, .com, .dll, .exe und .ini-Files.

VBS/Linda-A

VBS/Linda-A verbreitet sich per Mail, IRC und übers Netzwerk. Die Post mit dem Betreff "important message for Name des Empfängers" beinhaltet ein Attachment mit beliebigem Namen und der Endung ".jpg.vbs". Wird diese Datei aufgerufen, so erhalten zahlreiche Dateien die Endung ".vbs" verpasst, die Originale werden gelöscht. Schutz bieten die Outlook-Updates

VBS.LoveLetter.CL

Eine Variante des Loveletter-Virus mit dem Betreff "!!!" und dem Attachment "echelon.vbs" überschreibt Dateien mit den Endungen .html, .jpg, .js, .mp3 und .vbs und verbreitet sich über die Outlook-Maileinträge. Im Quellcode stehen zahlreiche Wörter, die das geheimdienstliche Überwachungssystem Echelon bei seinen Filteraktivtäten nutzt.

Emanuel (W32/Navidad@M)

Der berüchtigte W32/Navidad@M-Wurm ist seit dem Frühjahr 2001 unter neuem Namen im Umlauf.

Die über die Outlook-Adressen verbreitete Datei heißt statt navidad.exe nun emanuel.exe. Im Betreff der Mail steht "Feliz Navidad". Der Text lautet "Lamentablemente cayo en la tentacion y perdio su computadora".

Auf infizierten Computern erscheinen kleine Fenster mit Botschaften, sobald Windowsprogramme aufgerufen werden. Das Programm setzt sich auch in der Taskleiste fest (s. Bild). Die extensive Verbreitung wird durch einen kleinen Programmierfehler unterbunden.Wer grundsätzlich keine .exe-Dateien aufruft, ist sicher.

Romeo & Juliet

Romeo & Juliet ist ein Mailwurm, der von einer HTML-Mail transportiert wird, die eine ausführbare Datei namens "Myromeo.exe" und einer kompilierten Hilfe-Datei namens "MyJuliet.chm" enthält. Die Mails werden mit Betreffzeilen wie "ble bla, bee", "sorry", "Hey you!", "Matrix", "my picture", "from shake-beer" und "I Love You" versandt.

Der HTML-Kode löst automatisch die ausführbare Datei aus. Dann verbreitet er sich im Internet, indem er sich an diverse offene Zwischenstellen anschließt.

Troj_Vote.C

Troj_Vote.C kommt zumeist mit dem Betreff "Fwd:Peace BeTween AmeriCa And IsLam !" und dem Text "Hi! iS iT A waR Against AmeriCa Or IsLam! Let’s Vote To Live in Peace!".

Das Attachment wtc.exe kopiert sich in den Windows-Ordner und erzeugt dann die ausführbaren Dateien DaLaL.vbs, Mixdalal.vbs und wail.vbs. Anschließend werden alle .html and .htm Files infiziert, weiters wird die Startseite des Explorers geändert.

Die Verbreitung erfolgt wie üblich über das Outlook-Adressbuch.

Goner

Goner ist ein Mailwurm mit dem Betreff "Hi" und dem Text "How are you? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!!".

Ein als Screensaver getarntes Attachment namens "gone.scr" verbreitet sich beim Öffnen (s. Bild) über die Mailprogramme "Outlook" und "Outlook Express" bzw. über das Chat-Programm ICQ.

Zusätzlich werden Antiviren-Dateien gelöscht und Firewalls zerstört.

McAfee hat eine Anleitung zur Entfernung. Besser ist die Vorbeugung.

Urheber der Attacke sind allem Anschein nach vier israelische Jugendliche. Die Polizei nahm die vier Oberschüler im Alter von 15 und 16 Jahren am Freitag in der nordisraelischen Stadt Naharija fest. Sie haben nach Angaben der Polizei gestanden, die Urheber des Computervirus zu sein.

Der VBS/Niloj-A

VBS/Niloj-A-Wurm (VBS/Jolin@MM ) verspricht nackte Tatsachen aus Asien mit dem Betreff "FW: Check this out..." und dem Text "This was the first naked picture taken by a Taiwan singer! Jolin... please don't get over steam by staring at the picture! keke~".

Wer das Attachment !!jolin_caught_naked!!!!.jpg.vbs öffnet, riskiert das Löschen aller .exe- .dll- und .inf-Dateien im Ordner \Windows\System.

Wie üblich verbreitet sich der Wurm über das Outlook Addressbuch.

Homepage

Die Mails kommen mit dem Subject " Homepage" und dem Text "Hi! You've got to see this page! It's really cool ;O)". Das Attachment heißt homepage.HTML.vbs oder Batlle_Desnudo.JPG.vbs.

Der Virus ist weitgehend harmlos. Er öffnet den Browser mit einer pornographischen Website.

Code Red

Der Internet Wurm befällt ausschließlich Microsoft Index Server 2.0, oder Indexing Service mit Windows 2000 oder IIS, auf denen nicht zusätzliche Sicherheits-Updates durchgeführt wurden.

Das Gefinkelte an dem Wurm ist, dass er ausschließlich im RAM existiert und nie auf die Harddisk geschrieben wird. Daher ist er mit Antivirenprogrammen sehr schwer zu entdecken.

der Virus nutzt einen Buffer Overflow ("Unchecked Buffer in Index Server ISAPI Extension Could Enable Web Server Compromise"), um sich zu verbreiten. Webseiten werden mit einer Meldung versehen:

"Welcome to http://www.worm.com !
Hacked By Chinese!"

XMas

Der weitgehend harmlose Mailvirus kommt mit dem Betreff "News vom Weihnachtsmann" und der Bewerbung einer Homepage. Das Attachment heißt xmas.vbs und verbreitet sich wie gewohnt durch die Adressbücher von Outlook.

Er verschickt sich an die ersten 50 Einträge, richtet aber keinen weiteren Schaden an.

Mawanella

Der erste bekannte politische Virus weist auf ein Massaker in Sri Lanka hin. Die Mail mit dem Betreff "Mawanella" und dem Text "Mawanella is one of the Sri Lanka's Muslim Village" kommt mit dem Attachment Mawanella.vbs.

Der Virus verschickt sich an die Outlook-Adressen und zeigt beim Hochfahren ein Fenster mit Informationen über den Überfall auf eine muslimische Gemeinde in Sri Lanka.

Updater

Der Wurm, der auch als I-Worm.Updater und W32/Updatr.gen@MM geführt wird, erzeugt ein Visual Basic Script und verbreitet sich seit dem 6.12.2001 in gewohnter Manier über die Outlook Adressbücher (s. Schutz), wobei er sich sowohl das To: wie das Bcc:-Feld nutzt.

Die Betreffzeile wird per Zufall aus vier Wortgruppen erzeugt:

• Gruppe 1 = "Have you ", "You Should ", "Just ", "Why Not you ", "How to ", "Re: ", "Fwd : "
• Gruppe 2= "Check ", "Check out", "Watch out ", "Open ", "Look at "
• Gruppe 3= "this ", "my ", "For this ", "The ", "Subject ", "Picture ", "Program "
• Gruppe 4= "Report", "Documment", "Quotation", "Transaction", "Bank Account", "WTC Tragedy", "Osama Vs Bush", "Account", "Private Pic"

Das Attachment: hat einen der folgenden Namen: setup.exe, files.exe, install.exe, letter.doc.exe, picture.exe, picture.jpg.exe, quotation.doc.exe, readme.exe.

Meldung

Updater gibt folgende Meldung aus:

Schaden

• Der Virus erzeugt die Datei C:\windows\update.exe und zeigt beim Hochfahren eine (gefälschte) Fehlermeldung.
• Die Datei update.vbs schreibt sich in alle Verzeichnisse, die .doc, .exe oder .txt-Dateien beinhalten.
• Am 12. jedes Monats gibt das VBScript eine Infektionsmeldung aus (s. Bild oben).

Reeezak

"Reeezak" (W32/Maldal.c@MM, W32/Zacker@MM) ist seit Weihnachten 2001 im Umlauf. Er wird in Mails mit dem Betreff "Hi," und dem Text "I can't describe my feelings, but all I can say is Happy New Year :-) Bye" verschickt. Beigefügt ist die Datei Christmas.exe.

Wenn man das Programm aufruft erscheint eine Animation, die sich als Flash tarnt, aber in Wahrheit ein VB-Script ist und den Namen des Computers auf "Zacker" ändert und alle Dateien im Systemordner zerstört. Außerdem werden ältere Versionen einiger Antivirenprogramme gelöscht.

Weiters versucht der Virus an alle Einträge im Outlook eine Mail mit dem Betreff ": Very Important !!!" und einem Text, der zum Besuch einer Website rät, zu versenden.

FunLove

In PC-Netzen mit Win9x (oder höher) und NT-Rechnern verbreitet sich FunLove alias W32/FunLove.4099.

Beim ersten Aufruf hinterlegt er das File FLCSS.exe im Systemordner. FunLove verbreitet sowohl lokal wie über Netzlaufwerke und versucht, alle Dateien mit den Endungen exe, .ocx und .scr zu infizieren. Da er sich auch in der eExplorer.exe einnistet, wird er bei jedem Neustart aufgerufen.

Unter Windows NT 4.0 verändert FunLove die Dateien ntldr.exe und ntoskrnl.exe derart, dass alle Anwender unbegrenzten Dateizugriff haben. Diese Files müssen nach einer behandelten Infektion mit dem Service Pack wiederhergestellt werden.

Beim Aufruf von FLCSS.exe unter DOS erscheint die Botschaft "~Fun Loving Criminal~" gefolgt von einem Neustart.

Gokar.A

Gokar.A alias W32/Gokar@MM ist ein klassischer Visual Basic-Wurm, der sich sowohl über Microsoft Outlook wie in mIRC-Kanälen verbreitet. Tückischerweise hat der seit 10.12.2001 bekannte Wurm keine erkennbare Betreffzeile, und auch das Attachment wird nach dem Zufallsprinzip benannt.

Auf dem PC nistet sich der Virus im Windows-Ordner als karen.exe ein.

Gokar ist nicht destruktiv, verschickt sich aber an alle Outlook-Einträge. Trend Micro stellt ein Programm zur Reinung des PCs zu Verfügung, das Sie hier beziehen können.

MyParty (W32/Myparty@mm)

MyParty wird zumeist mit dem Betreff "new photos from my party!" verschickt.

Der Text lautet "Hello! My party ... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!". Das Attachment heißt www.myparty.yahoo.com.

MyParty ist nicht destruktiv.

Mit dem eingebauten SMTP-Modul verschickt sich MyParty per E-Mail zwischen 25. und 29.1.2002 an alle Adressen aus dem Windows Adressbuch. TrendMicro bietet eine Software zur Entfernung an, die man hier beziehen kann.

Marker (W97M/Marker.go)

Der seit April 2001 bekannte Makrovirus ist nicht destruktiv und infiziert Word 97-Dokumente. Er schreibt sich in die Vorlage normal.dot und infiziert alle Dateien, die neu erzeugt oder gespeichert werden. In die infizierten dateien schreibt er "this is a marker!".

NumGame

Der VBS/NumGame@MM genannte Wurm kommt seit Februar 2001 mit dem Betreff "Are you [Name] my valentine?" und dem Attachment GuessGame.html oder GuessGame.vbe. Er versendet sich über die Adressbücher des Anwenders.

Die Botschaft lautet:

Hi (Name) my valentine, remember me? I ain't seen you in ages! Anyway, check-out and play the attached guess-the-number-game to guess who I am. See you soon, bye-bye!

Wenn man den Wurm aufruft, zerstört er verschiedene Dateien und Ordner auf der Festplatte C: und auf Netzwerk-Laufwerken. Anschließend versucht er, den Anwender mit einem Nummern-Ratespiel zu unterhalten.

GuessGame.html setzt das Systemdatum auf den 8.4.1981 und gibt die folgende Meldung aus:

"Guess Game instructions:
1. Save it on your computer Desktop or in My Documents, don't open as attachment else it won't load.
2. This game requires ActiveX technology, press Yes on the following dialog to play."

JS.Exception.Gen

Der auch Coolsite genannte Trojaner ist seit Mitte 2001 im Umlauf. und kommt mit dem Betreff "Hi!" und dem Text
Hi. I found cool site!
[hier steht ein URL] It's really cool!

Beim Klick auf die Adresse öffnet sich eine Pornosite und mehrere Pop up-Fenster, von denen eines versucht, ein bösartiges PHP Script auf den Computer zu laden, wobei eine Java Script-Sicherheitslücke der Microsoft Virtual Machine ausgenutzt wird.

Anschließend verschickt sich der Trojaner das obige Schreiben an alle Outlook-Einträge.

Einige Varianten ändern das Aussehen des Internet Explorer, and leiten Links auf bestimmte Websites um.

Fbound (New Worm)

Der New Worm tritt in Varianten auf. Eine davon ist W32/Fbound.c@MM (Zircon.C, DotJayPee) und kommt seit März 2002 mit dem Betreff "Important" oder einer japanischen Betreffzeile und verschickt sich über das Windows-Adressenverzeichnis. Die angehängte Datei patch.exe versendet an alle darin gefundenen Adressen eine Nachricht mit dem Text "I-Worm.Japanize".

Eine weitere Variante stellt W32/Shrew@MM dar, die mit dem Subject "Try this, pretty cool" und dem Attachment ActiveM.exe verschickt wird. Diese Datei quält den Anwender bei Aufruf mit einigen Fenstern, die vorgeben, die Mauseinstellungen zu ändern:


Als reine Mass Mailer richten beide Varianten keinen Schaden an.

W32/Gibe

W32/Gibe@MM richtet als reiner Mass Mailer keinen Schaden an und tarnt sich im Betreff als "Internet Security Update" von Microsoft. Das File q216309.exe ruft ein Fenster auf und verschickt sich über den SMTP Server und über das Outlook Adressbuch.

Achtung: Eine gefährliche Weiterentwicklung stellt Swan dar.

W32 Gorum

Gorum wird in unterschiedlichen mit Mails oder via IRC verbreitet.
Die Mails haben die Betreffzeilen "You know what it is. ;-P" oder "STU-CMH" und den Text "Check it out!" oder "Hey, here you have!" oder "School Name:SHU-TE Institute of Technology". Das Attachment heißt oft "STU-CMH.txt.vbe". Gorum verschickt sich über das Outlook-Adressbuch weiter.

Auf einem infizierten PC findet sich eine der folgenden Dateien im Verzeichnis \Windows:

• guormex.vbs
• winuser.exe
• winuser.dll

Gorum versucht zahlreiche Dateien zu löschen, darunter solche mit den Endungen .mp3, .jpg, .jpeg, .bmp, .exe, und .zip.

W32/Elkern

W32/Elkern ist ein Bestandteil des Klez-Wurms.

Wenn der Elkern-Virus ausgeführt, wird legt er eine Kopie von sich unter dem Namen wqk.exe resp. wqk.dll (bei Win NT / 2000) im Ordner \System ab. Anschließend infiziert er alle ausführbaren Dateien im System-Ordner und verbreitet sich auch übers Netzwerk.

Frethem

Der Frethem-Wurm (W32/Win64.a) existiert in zahlreichen Varianten und ist nicht destruktiv. Die Variante A mit dem Betreff "Re: Do your Windows looks like Windows XP? I have found very nice desktop themes! " und dem Text "Hello! Do you like modern design of new Windows XP?! I have found FREE and easy to use desktop themes! You can open attach with web site and samples! Enjoy it!!!". Das Attachment heißt www.freedesktopthemes%random number%.com .

Auf Systemen mit ungepatchtem Internet Explorer wird das Attachment automatisch bei der Öffnung der Mail mit Microsoft Outlook oder Outlook Express ausgeführt.

Frethem.F verwendet seinen eigenes SMTP (Simple Mail Transfer Protocol) Programm. Der Betreff lautet ebenfalls "Re: Your password!", im Text der Nachricht steht"Your password is W8dqwq8q918213". Als Attachments werden die Files Your password placed in password.txt und yourpassword.exe geschickt.


Frethem.K (W32.Frethem.K@mm) kommt mit dem Betreff "Re: Your password!" und dem Text "You can access very important information by this password DO NOT SAVE password to disk use your mind now presscancel ". Als Attachments werden die Files DECRYPT-PASSWORD.EXE und PASSWORD.TXT geschickt.

Chir.B

Der auch W32/Chir.Worm genannte Internet Wurm nutzt zur Verbreitung die bereits seit langem bekannten IFRAME- und MIME-Sicherheitslücken im Internet Explorer im Zusammenspiel mit Outlook oder Outlook Express. Der Softwarekonzern bietet bereits seit März 2001 einen Patch für diese Sicherheitslecks an. Er verschickt sich an Adressen aus dem Windows Address Book (WAB) mit Mails im folgenden Format

From: imissyou@btmail.net.cn
Subject: Name des Absenders is comming!
Message:
Attachment: pp.exe

Dateien mit den Endungen .exe, .scr, htm, .html werden infiziert. Außerdem werden am ersten jedes Monats die ersten 4660 Bytes folgender Dateien überschrieben:

• ADC
• R.DB
• DOC
• XLS

Ein Patch zum Schließen der Sicherheitslücke steht bei Microsoft.

Yaha

Der Yaha-Wurm (W32/Yaha) ist in mehreren Varianten verbreitet, u.a. als Worm_Yaha.c, Worm_Yaha.d, Worm_Yaha.g und Worm_Yaha.e. Er verschickt sich über Adressbücher, die auf Windows-Systemen findet. Auf dem Zielcomputer schreibt es sich als unsichtbare, ausführbare Datei in den Windows-Papierkorb.

Sowohl der Betreff wie das Attachment von Yaha existieren in zahlreichen Varianten. Das Attachment besitzt immer eine doppelte Dateiendung, etwa *.scr.exe. Files mit solchen Doppelendungen sind immer höchst verdächtig und sollten in jedem Fall ohne Aufruf gelöscht werden.

Im Verzeichnis Windows legt Yaha eine Textdatei mit Zufallsnamen an, die folgende Mitteilung enthält:

iNDian sNakes pResents yAha.E
iNDian hACkers,Vxers c0me & w0Rk wITh uS & f--k tHE GFORCE-pAK s--tes
bY
sNAkeeYes,c0Bra

Auf infizierten Computern erscheint bei manchen Varianten eine Mitteilung mit einem der folgenden Texte. Bisweilen ist die Mitteilung auch als Screensaver ausgeführt (s. Bild):

• Ur My Best Friend!!
• No Configuration is availabile Now
• Config
• madd
• U r so cute today #!#!
• True Love never ends
• I like U very much!!!
• U r My Best Friend

Shakira

Die Mails des auch VBS/VBSWG.AO@MM genannten Visual Basic-Wurms kommen mit dem Subject "Shakira's Pictures" und dem Text "Hi : i have sent the photos via attachment have funn...". Das Attachment heißt ShakiraPics.jpg.vbs.

Wenn das Attachment ausgeführt wird, kopiert sich das Script ins Outlook Address Book und überschreibt die Datei c:\mirc\script.ini, wodurch es sich auch über IRC verbreiten kann. Eine Message Box teilt mit:

You have been infected by the ShakiraPics Worm

Der Wurm versucht alle .vbs und .vbe-Dateien zu überschreiben.

Anna Kournikova

Die Mails des offiziell VBS/VBSWG.gen@MM genannten Visual Basic-Wurms kommen mit dem Subject "Here you have, ;o)" und dem Text " Hi: Check This! ". Das Attachment heißt AnnaKournikova.jpg.vbs.

Wenn das Attachment ausgeführt wird, kopiert es eine Kopie von AnnaKournikova.jpg.vbs in das Verzeichnis \Windows und verschickt sich über das lokale Adressbuch. Am 26. Jänner versucht der Wurm eine holländische Website aufzurufen.

Exploit-MIME.gen

Der auch als HTML_IFRMEXP.gen bekannte Virus nutzt eine Verwundbarkeit im Internet Explorer 5.01 und 5.5, die als "Automatic Execution of Embedded MIME Type" bekannt ist. Dem Browser wird ein bekanter MIME-Type (ein Standard zur Klassifizierung von Dateien) vorgegaukelt, um ausführbaren Code auf das Zielsystem zu übertragen.

Der Virus tritt in mehreren Varianten auf und ist nicht schädlich. Wer unbedingt einen älteren Browser verwenden möchte, sollte sich bei Microsoft den Sicherheitspatch besorgen.

Bugbear.A und Bugbear.B

Download Flash-Info

Der auch als W32/Bugbear@MM und Tanatos bekannte Wurm wird seit Anfang Oktober 2002 als E-Mail-Attachment versendet und nutzt dabei sein eigenes SMTP (Simple Mail Transfer Protocol) Programm. Die Absenderadresse wird gefälscht. Darüber hinaus kann er sich auch über lokale Netzwerke verbreiten.

Seit Juni 2003 ist die Variante Bugbear.B im Umlauf. [s. unten]

Der Name des Attachments setzt sich aus einer Kombination der Wörter "card, docs, image, images, music, news, photo, pics, resume, setup, song data, video" und den Endungen .exe, .pif oder .scr zusammen. Zumeist wird dabei eine doppelte Endung vergeben, beispielsweise card.doc.pf

Verhalten: Bugbear öffnet den Port 36794, wodurch ein Zugriff von außen auf den befallenen Computer möglich wird. Außerdem setzt er Techniken zur Übertragung von Tastatureingaben ein, mit denen etwa Paßwörter ausspioniert werden können.

Um sich zu tarnen, versucht Bugbear die installierte Sicherheitssofware auszuschalten, darunter etwa dieProgramme Cleaner, Safeweb und Zonealarm. Eine übersicht der betroffenen Programme finden Sie hier.

Vorbeugung: Der Wurm nutzt eine Sicherheitslücke in den Internet Explorer-Versionen 5.01 und 5.5 aus. Installieren Sie daher ein Explorer-Update

Der erweiterte Virus verfügt zusätzlich zu den Eigenschaften von Bugbear.A über eine Routine zur Infektion vorhandener Dateien.

Unter anderem befällt er den Acrobat Reader, den Internet Explorer, den Mediaplayer, das Notepad, CuteFTP, ICQ, Outlook Express, QuickTime, RegEdit, Winamp und Winzip.

Js_Noclose

Bei dem auch Trojan.Noclose genannten Programm handelt es sich um ein ein Javascript, das in einer HTML-Mail oder in einer Webseite eingebunden ist. Es öffnet verschiedene Fenster und versteckt sie anschließend, so das der Benutzer diese nicht schließen kann. Js_Noclose ist nicht destruktiv, ist aber beim Surfen lästig.

Js_Noclose lässt sich mit gängigen Antivirenprogrammen leicht entfernen.

Roron

Der Wurm Roron (I-Worm.Roron.12) verbreitet sich seit Anfang November 2002 sowohl per Mail als Attachment wie über lokale Netzwerke und über das Filesharing-Netzwerk KaZaA. Die Mails kommen unterschiedlichen Betreffzeilen und Texten.

Die Virendatei speichert sich unter einem Zufallsnamen mit einer Zahlenendung auf dem Computer des Users ab, die Endungen sind jeweils 98.exe, 16.exe oder 32.exe (z.B. meinedatei98.exe). Im Windows verzeichnis legt er die Datei winfile.dll an. Beim Aufruf registriert sich die Datei im System.

Roron hat mehrere negative Eigenschaften wie

• Versand per Mail an Adressen in der Mail-Box des Users
• Speicherung als Datei im KaZaA-Verzeichnis des Users
• Backdoor-Eingang, der Fernsteuerung des Computers ermöglicht: Diese nutzt Roron zur Verbreitung über IRC (mIRC-Client): Dieser Programmbestandteil kann für DoS-Attacken (Denial of Service) benutzt werden, mit denen server im Netz lahmgelegt werden.

Roron kann alle Dateien auf allen Laufwerken eines infizierten Computers löschen:

• am 9. und 19. jeden Monats (Systemdatum) ·
• wenn eine der Hauptkomponenten des Wurms gelöscht wird (WINFILE.DLL) ·
• wenn die Registrierschlüssel des Wurms aus dem Windows-Systemverzeichnis entfernt werden ·
• oder nach einem Zufallsprinzip, je nach internem Zähler des Wurms

Zudem versucht der Wurm, Antiviren-Programme ganz von der Festplatte zu entfernen. Kaspersky hat allerdings bereits am 7.11.2002 bereits einen wirksamen Schutz bereitsgestellt.

Verbreitete Namen des Mail-Attachments sind:

• Zip Password Recovery v4.5.exe
• Star Craft 2 Trailer.exe
• WWF!!_The_ROCK(sHOw).exe
• cRedit CarDs gEn v1.2.exe
• WinZip 8.2 (Cracked).exe
• GTA 3 Bonus Cars.exe
• Eminem Desktop.exe
• DMX tHeMe (full).exe
• NFS 5 Bonus Cars.exe
• Counter Strike 1.5 (Editor).exe
• Madonna - My Life (Review).exe
• DivX 5.4 Bundle.exe
• KaZaA Media Desktop v1.8.3.exe
• Win XP key gen 2.1B.exe
• Serials 2002 Update.exe

Meldungen

Manche Varianten des Wurms lassen folgende Meldung am Schirm erscheinen:

WinZip Self-Extractor License Confirmation Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.

Slammer

Der auch als W32.SQLExp.Worm, W32/SQLSlammer.A und Sapphire bekannte Wurm wird seit der 25.1. 2003 verbreitet. Erstaunlich ist, dass der Slammer-Wurm das gleiche Angriffs-Verhalten wie schon der vor 2 Jahren aktive CodeRed Wurm aufweißt und dabei eine Sicherheitslücke ausnützt, die mittlerweile schon seit Juli 2002 bekannt ist.

Diese Sicherheitslücke nutzt das Virus dafür um sich mit einer sogenannten "Buffer-overflow" Attacke im Speicher des betroffenen Servers zu initialisieren und von dort nach anderen "ungepachten" Servern im Netz zu suchen.

Der Slammer Wurm befällt ausschließlich Microsoft SQL Server 2000 Microsoft Desktop Engine (MSDE) 2000 auf denen kein aktueller Patch installiert wurde. Alle Systeme auf denen der Patch von Microsoft installiert wurde sind nicht betroffen.

Verhalten und Entfernung

Das Virus bleibt im Speicher der infizierten Server und schreibt sich nicht auf die Festplatte der betroffenen System und wird daher von vielen Virenschutzprogrammen erkannt. Ein Neustart jedoch löscht SQLSlammer zuverlässig aus dem Speicher und ein Einspielen Patches verhindert eine Neuinfektion.

Hintergrund

Der Slammer-Wurm ist deshalb so erfolgreich in seiner Verbreitung, weil er wesentlich kleiner (376 Byte) als andere Viren ist und er sich somit innerhalb eines einzigen UDP-Pakets verschicken kann. Dies tut das Virus auch indem es sich über ein eigenes UDP-Paket auf Port 1434 verschickt. Auf ungepachten Microsoft SQL Server verursacht dies eine sogenannte Buffer-Overflow Attacke die dazu führt das sich das Virus in den Speicher der betroffenen Server schreiben kann. Nachdem das Virus einen eigenen Prozess (WS2_32.DLL) auf dem infizierten Server gestartet hat versucht es über diesen zufällig ausgewählte IP Adressen über den gleichen UDP-Port (1434) zu infizieren. Dieser Prozess läuft in einer endlosen Schleife und nimmt die dazu gesamte Bandbreite der infizierten Server in Beschlag. Daraus resultiert in Summe auch das massive Aufkommen von Traffic das durch den Wurm verursacht wird.

Lovegate

Der auch als W32/Lovgate@M bekannte Wurm kommt in zahlreichen Varianten, die sich kaum voneinander unterscheiden. Die Wurm- Modifikationen Lovegate.H, I, J, K und L verfügen zusätzlich über ein SpyWare-Programm, mit dem Hacker den Computer unbemerkt kontrollieren und so an vertrauliche Daten gelangen können.

Lovegate.C ist seit Ende Februar 2003 bekannt. Er wird als Attachment von Mails verbreitet, die mit unterschiedlichen Betreffzeilen ankommen:

• Verbreitet ist die Tarnung als Auto-Reply-Schreiben: Im Betreff steht dabei Re: und das Originalbetreff. Im Text der Begriff auto-reply auf. Der weitere Text lautet I'll try to reply as soon as possible. Take a look at the attachment and send me your opinion!' . Die Adressen entnimmt er den einlaufenden Mails in Outlook und Outlook Express . Der versand erfogt über eine eigene SMTP-Komponente.
• Weiters versendet sich der Wurm an Mailadressen, die er in den HTML-Dateien im "Meine Dateien"-Ordner eines infizierten Systems findet. Dabei sind bislang folgende Betreffzeilen bekannt:

• Beta
• Cracks!
• Do not release
• Documents
• Evaluation copy
• Help
• Last Update
• PrOn
• Roms
• The patch

Der Wurm kann sich über Netzwerke verbreiten und schreibt sich mit unterschiedlichen Dateinamen (s. rechts) auf die Festplatten.

Backdoor

Schließlich besitzt Lovegate.C noch eine Backdoor-Komponente, die das befallene System ausspioniert und die Ergebnisse der Rechereche (etwa das System-Passwort) an die Adressen hacker117@163.com, 54love@fescomail.net oder hello_dll@163.com übermittelt. Zu diesem Zweck legt der Wurm folgende Dateien an:

• 1.dll
• ily.dll
• reg.dll
• task.dll

Redlof

Der polymorphe (vielgestaltige) Virus ist in Visual Basic geschrieben und infiziert auf Systemen unter Windows 95, 98, NT, 2000, ME und XP Dateien mit folgenden Endungen:

• VBS
• HTML
• HTM
• ASP
• PHP
• JSP
• HTT

W32/Nicehello@MM

Der Mailwurm ist seit März 2003 bekannt und verschickt sich ausschließlich an Einträge in der Adressendatei von MS Messenger.

Auf befallenen Systemen kopiert sich der Wurm als Sys64dvr.exe in das Verzeichnis c:\windows\system respektive in c:\winnt\system32 . Auf den Systemen ist eine dieser drei Dateien zu finden:

• sys64dvr.exe
• systemsys64dvr.exe
• system32sys64dvr.exe

Folgende Betreffzeilen und Attachments sind bekannt:

Subject: Animaciones en flash de nuestros politicos
Body: Mira las animacio nes sobre la clase politica del pais, recuerda que es solo para vos
Attachment: Politicos.exe

Subject: Video de la ultima reunion de amigos, recuerda que es solo para vos
Body: Hola, te mando el video de la ultima fiesta, no se ve muy bien pero algo es algo, recuerda que es solo para vos
Attachment: Video.exe
or

Subject: Fotos ultima fiesta
Body: Hola, como estas, te mando las fotos de la ultima fiesta, por cierto tienes una cara!!!. , recuerda que es solo para vos. bye
Attachment: Fotos.exe
or

Subject: ahora el juego va a funcionar
Body: El parche para el juego que mas te gusta, esta comprimido, recuerda que es solo para vos
Attachment: ParcheJuego.exe
or

Subject: Presentaciones PowerPoint
Body: Las presentaciones en power point que tenia que mandarte, estan comprimidas en el archivo adjunto, recuerda que es solo para vos
Attachment: Presentaciones.exe
or

Subject: Datos ultimo trimistre
Body: Los datos del ultimo trimestre esta en el archivo adjunto, estan comprimidos, recuerda que es solo para vos
Attachment: Datos.exe
or

Subject: Actualizacion de programa
Body: Recien puedo enviarte la actualizacion, es que tuve mucho trabajo, recuerda que es solo para vos
Attachment: Actualizacion.exe
or

Subject: parche
Body: El parche del programa que me pediste. Cualquier cosa estoy para ayudarte. recuerda que es solo para vos
Attachment: Parche.exe
or

Subject: Mis primeras animaciones
Body: Te mando la primera animación en flash sobre nuestros amigos; espero tus comentarios, recuerda que es solo para vos
Attachment: Animacion.exe
or

Subject: Codigo fuente
Body: Hola, te mando el codigo fuente que te prometi, esta comprimido; ya sabes esto es solo para vos!!. Saludos
Attachment: Codigo.exe

Deloder

Der unter dem Aliasnamen W32/Deloder.worm bekannte Wurm verbreitet sich in über Netzwerke mit Windows 2000/XP-Rechnern.

Der Wurm versucht, sich über den TCP Port 445 mit dem Programm psexec.exe und einer Liste möglicher Paßwörter (s. unten) mit einem Rechner zu verbinden und auf diesem Administratorenrechte zu erlangen.

Der Wurm selbst lebt in der Dvldr32.exe. Weiters installiert er folgende Dateien, um den PC zu administrieren: inst.exe, hypertrm.exe, AdmDll.dll, raddrv.dll und psexec.exe. In der Folge ist ungewöhnlich starker Traffic über den Port 445 nachweisbar.

Die folgenden Paßwörter, die der Wurm ausprobiert, sollten Sie in Zukunft nicht mehr verwenden:

Lisa

Der unter den Aliasnamen VBS.Lisa.A@mm und VBS.Charlene bekannte Wurm verbreitet sich via Microsoft Outlook, Kazaa, and mIRC. Er kommt als HTML-Mail mit dem Betreff "Click YES and vote against war!".

Das eingebettete Script sendet die Botschaft an alle Kontakte im Outlook Adressenverzeichnis.

Anschließend macht er sich ans böse Werk und

• löscht .doc Dateien
• löscht Systemdateien wie in.com und Regedit.exe
• erzeugt bis zu 5.000 Ordner mit Texten
• versteckt Desktop Icons and
• und formatiert auf Maschinen unter Windows 98 oder ME das Laufwerk C:!

Tipp: Deaktivieren Sie auf alle Fälle den Scripting Host, der Programme ohne ihr Wissen ausführen kann. [Mehr...]

XM_Laroux.A

Vorbeugung

Achten Sie darauf, dass unter dem Menü Extras > Optionen im Register Allgemein der Punkt Makrovirus-Schutz aktiviert ist.

Der auch als Macro.Excel.Laroux.cs und Laroux bekannte nicht bösartige Makrovirus lauert in Excel-Dateien (Versionen 5.x, 7.x und 97 ) und schreibt sich in alle Excel-Files, die ab dem Zeitpunkt der Infektion geöffnet oder angelegt werden.

Die Makros heißen:

• AUTO_OPEN
• CHECK_FILES

Varianten: Einige Varianten von Laroux erzeugen zusätzlich eigenständig infizierte Excel-Dateien im Startverzeichnis von Excel. Bei Laroux.D heißt die Datei Binv.xls, bei Laroux.E heißt sie Pldt.xls. Mit dem Löschen dieser Dateien wird das Programm vom PC entfernt.

Nolor

Der harmlose Wurm, der auch als W32/Lovelorn@MM geführt wird, verbreitet sich über ein eigenes SMTP-Modul über Systeme unter Windows 95 oder höher. Der einzige Schaden, den er anrichtet, ist, Prozesse (Programme) zu beenden, in deren Namen die Buchstabengruppen BKAV oder NAVA vorkommen.

Er wird mit unterschiedlichen Betreffzeilen verschickt, wobei eine sehr erfolgreiche lautet "Re: Binladen_Sexy.jpg". Die zugehörige Nachricht teilt mit: "run File Attach to extract:BinladenSexy.jpg..."

Das Attachment trägt einen beliebigen Namen mit der Endung
*.Kiss.ok.exe oder *.htm

Infektion

Auf dem betroffenen System infiziert Nolor folgende Dateien:

• Explorer.exe
• Bsbk.dll
• Kernel32.exe
• mssys.dll
• netdll.dll
• netsn.dll
• serscg.dll
• setup.htm

Palyh

Der variantenreiche Wurm, der auch unter den Namen "Mankx", "W32/Palyh@MM" und "W32/Sobig.b@MM" seit Mai 2003 bekannt ist, verbreitet sich übers Netzwerk und per Mail, wozu er ein eigenes SMTP-Modul nutzt.

Am verbreitetsten dürfte die Mail mit dem Betreff "My application" sein, die vorgibt, von support@microsoft.com zu stammen.

Das Attachment hat die Endung .pif oder .uue.

Die Grundform des Wurms sollte sich am 31.5.2003 deaktivieren. Er ist eng verwandt mit Sobig.E.

Sobig

Der nicht-destruktive Wurm Sobig kommt zumeist in einer Mail mit dem Betreff Re: Application oder Re: Movie und dem Text Please see the attached zip file for details. Die Absenderadresse des Wurms ist gefälscht und stammt aus den Adressbüchern des befallenen Geräts. Es macht also keinen Sinn, den Absender zu warnen, denn von dort haben Sie die Mail sicher nicht erhalten.

Sobig infiziert Win9x, ME, NT, 2000 und XP Systeme. Er verschickt sich über ein eigenes SMTP Modulan Adressen, die er auf dem System in Dateien mit den Endungen .txt, .eml, .htm, .html, .dbx und.wab findet.

Neben der Mailverbreitung nutzt der Wurm auch lokale Netzwerke, um von einem Rechner auf den nächsten zu gelangen. Eine Backdoorkomponente ermöglicht den Zugriff von außen auf befallene PCs - so diese nicht durch eine Firewall geschützt sind. Er ist eng verwandt mit Palyh.

Varianten:

• Sobig.F kam ab Mitte August 2003 mit variierenden Attachmentnamen und Betreffszeilen in Umlauf. Diese Version ändert auch die Größe des Attachments, was die Erkennung schwierig macht. Sobig.F stellt seine Verbreitung am 10.9.2003 ein.
• Am 14.7.2003 stellte Sobig.E seine Verbreitung ein.
• Sobig.D kommt mit den Betreffzeilen
  • Application Ref: 456003
  • Your Application
  • Re: Movies
  • Re: Your application
  • Re: Documents
  • Re: App. 00347545-002
  • Re: Your Application (Ref: 003844)
  • Re: Screensaver
  • Re: Accepted
• Sobig.C
• Sobig.B tauchte am 21.5.2003 auf.
• Sobig.A kommt mit den Betreffzeilen
  • Re: Document
  • Re: Here is that sample
  • Re: Movies
  • Re: Sample

Lovesan

Der Wurm Lovesan, der auch als W32/Blaster-A , MSBlaster oder Poza bekannt ist, verspottet Bill Gates und versucht, eine Denial-of-Service-Attacke auf eine der Microsoft-Websites zu starten.

Der Lovesan/Blaster Wurm verbreitet sich nicht per E-Mail, sondern direkt über das Internet, indem er nach den Computern Ausschau hält, bei denen die Mitte Juli erstmals gemeldete Sicherheitslücke von Microsoft noch nicht geschlossen ist. Unternehmen sollten daher unbedingt den Patch von Microsoft installieren.

"Blaster hat die Absicht, die Microsoft Website windowsupdate.com aus dem Internet zu werfen", erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. Ab dem 16. August 2003 startet der Wurm eine Denial-of-Service (DoS)-Attacke gegen die Webseite www.windowsupdate.com, auf der sich Patches zur Abwehr von Würmern befinden.
Der Wurm enthält eine Nachricht an Bill Gates von Microsoft, die jedoch nicht angezeigt wird:

I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!!

• Das System wird instabil, ein Fenster erklärt, dass der "RPC-Dienst" ausgefallen sei. Anschschließend stürzt Windows ab.
• Im Verzeichnis "Windows/System32" befindet sich die Datei "msblast.exe".

Wenn Sie kein Antivirenprogramm besitzen, könen Sie eine kostenloses Werkzeug von Kaspersky Labs einsetzen. Das Programm entdeckt aktive Wurm-Kopien im Speicher des Computers, deaktiviert sie und entfernt alle infizierten Dateien von der Festplatte und von allen Netzwerklaufwerken. Zudem stellt es das Windows-Systemregister wieder her. Die Datei finden Sie hier.

Js-Fortnight

JS/Fortnight ist ein Virus, der JavaScript und Java Applets kombiniert und eine Schwachstelle in Microsoft VM ActiveX -Komponente ausnutzt, um Webadressen auf falsche IP-Adressen umleiten. Das Attachment der infizierten Mail öffnet eine Website, auf der ein Java Applet als Trojaner wartet. Fortnightexistiert in zahlreichen Varianten.

Der Wurm legt die Datei s.htm oder sign.htm und eine Datei namens hosts im Windows-Ordner an. Zu den Favoriten werden die folgenden Einträge hinzugefügt:

• Nude Nurses.url
• Search You Trust.url
• Your Favorite Porn Links.url

Microsoft stellt einen Patch zur Verfügung.

W32/Mimail

Dieser Wurm gefährdet User von Outlook / Outlook Express, Internet Explorer 5.01, 5.5 und 6.0.
Er existiert in unterschiedlichen Varianten:

Mimail.r

ist vor allem unter dem Namen Mydoom bekannt.

Mimail.g

Die Absender Adresse lautet: john@(Domainname des Empfängers)
Betreff: don't be late! plus eine zufällige Zeichenkombination

Das Atachment heißt readnow.zip

Im Text der Mail steht

Will meet tonight as we agreed, because on Wednesday I don't think I'll make it, so don't be late. And yes, by the way here is the file you asked for. It's all written there. See you.

Mimail.c

Die Absender Adresse lautet: james@(Domainname des Empfängers)
Betreff: Re[2]: our private photos

Das Atachment heißt photos.jpg.zip

Im Text der Mail steht

Hello Dear!,
Finally i've found possibility to right u, my lovely girl :)
All our photos which i've made at the beach (even when u're without ur bh:)) photos are great! This evening i'll come and we'll make the best SEX :)
Right now enjoy the photos.
Kiss, James.

Mimail.a

Die Absender Adresse lautet: admin@(Domainname des Empfängers)
Betreff: your account plus eine zufällige Zeichenkombination
Im Text der Mail steht

Hello there,
I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details
---
Best regards, Administrator

Das Attachment hat den Namen message.zip

Der Wurm legt im Windows-Ordner eine Datei namens videodrv.exe ab und trägt diese in die Windows-Registry ein, so dass er bei jedem Start automatisch geladen wird.
Weiters werden im Windows-Ordner folgende Files angelegt:

• exe.tmp
  
• zip.tmp
• eml.tmp

In eml.tmp stehen die Mailadressen, die der Wurm auf dem Rechner gefunden hat und an die er sich weitersendet.

Infizierte PCs als Angreifer

Alle infizierten Computer werden dazu ausgenutzt, Denial-of-Service-Attacken gegen Websites auszuführen.

Patch

Microsoft stellt einen Patch zur Verfügung.

Ganda

Der auch W32/ganda@MM genannte Wurm versendet sich als Mail, wozu ein eigener SMTP Client zum Einsatz kommt an Adressen aus Dateien mit den Erweiterungen HTM und .HTML sowie aus dem Windows Adressbuch.

Das Attachment legt eine scandisk.exe sowie eine weitere exe-Datei mit einem Zufallsnamen an.

Der Wurm infiziert Dateien mit den Endungen .EML, .EXE, .LNK und kann diverse Antiviren-Programme und Firewalls lahmlegen.

Swen

Der ursprünglich als W32/Gibe@MM bekannte Wurm wurde als W32/Swen@MM weiterentwickelt. Der Wurm tarnt sich als Microsoft Security Update respektive als Microsoft Windows Update. Dabei imitiert Swen das ein Layout der Ms-Website (s. weiter unten).

Betreff: und Nachrichtentext variieren stark. Im Text wird dem Anwender empfohlen, den anhängten "speziellen Patch" von Microsoft zu installieren.

Ein inkorrekter MIME Header bringt die ursprünglichen Explorer-Versionen 5.0 und 5.01 dazu, das Attachment auszuführen. Ein Patch ist hier erhältlich.

Verbreitung: Er versendet sich als Mail, wozu ein eigener SMTP Client zum Einsatz kommt sowie über gemappte Laufwerke in Netzwerken und über IRC. Außerdem wird er über KaZaa verbreitet. Die Mailadressen entnimmt er lokalen dateien mit den Endungen .html, .asp, .eml, .dbx, .wab und .mbx.

Schaden: Der Wurm kann diverse Antiviren-Programme und Firewalls lahmlegen.

Sober

Sober ist ein Wurm, der sich als Virenwarnung tarnt. Er kommt in Mails mit unterschiedlichen Betreffs und deutschen oder englischen Texten. Bekannte Betreffzeilen sind etwa "New Sobig-Worm variation (please read)", "RE: Sex", "Ein Wurm ist auf Ihrem Computer!" oder "Langsam reicht es mir".

Betreffzeilen

Back At The Funny Farm Ein Wurm ist auf Ihrem Computer! Hi Olle, lange niks mehr geh Hi Schnuckel was machst du so ? Ich habe Ihre E-Mail bekommen ! Ich Liebe Dich Jetzt rate mal, wer ich bin !? Langsam reicht es mir Neue Sobig Variante (Lesen!!) Neuer Virus im Umlauf! Re: Kontakt Re: lol RE: Sex Sie haben mir einen Wurm geschickt! Sie versenden Spam Mails (Virus?) Sorry, Ich habe Ihre Mail bekommen Überraschung Virus blockiert jeden PC (Vorsicht!) VORSICHT!!! Neuer Mail Wurm

Interessanterweise kann der Wurm die Sprache der Betreffzeilen der Empfängeradresse anpassen und deutsche Betreffs für Adressen in den Domains .at, .de, .ch und .li generieren.

Bei den mitgeschickten Dateien handelt es sich um die üblichen Verdächtigen (s. Liste). Wenn das Attachment geöffnet wird, erscheint die Meldung File not complete! und der Wurm schreibt sich in mehreren Kopien ins Systemverzeichnis und in die Registry.

Die Adressen aus zur weiteren Verbreitung holt Sober aus Dateien mit den Erweiterungen .HTM .HTML und .EML sowie aus dem Windows Adressbuch. Das bedeutet, dass der vorgebliche Absender der Mail nicht der tatsächliche Sender ist.

Im Quellcode verleiht der Autor seiner Begeisterung für den Autoren eines anderen Internet-Wurms, Sobig, Ausdruck.

Sober ist nicht bösartig und wird von den diversen Antiviren-Spezialisten als wenig gefährlich eingestuft.

• Im Dezember 2003 tauchten die Varianten B und C auf.
• Seit Mai/Juni 2004 gibt es die Varianten G und H.
• Seit November 2004 gibt es die Varianten I.

Dasmin

Der auch als Troj_Dasmin existiert in mehreren Varianten.

• Version A setzt die Homepage auf eine leere Seite und schreibt ins Windows-Verzeichnis die Dateien jdbgmrg.exe und avirchk.exe.
• Version B lädt einen Porno Dialer (s. Dossier Dialer) per FTP (File Transfer Protocol) und installiert ihn im Windows-Verzeichnis als Dateien regcpm32.exe und iexpres.exe. Schließlich versucht der Trojaner eine Porno-Website zu laden.
• Version C schreibt ins Windows-Verzeichnis als Datei msfindosa.exe.

Alle Varianten lassen sich entfernen, indem sie aus dem Task-Manager entfernt und die angegebenen Dateien gelöscht werden.

Sober.B und Sober.C

Sober.B und Sober.C sind Varianten des Sober-Wurms, die in Mails mit unterschiedlichen Betreffs und deutschen oder englischen Texten verbreitet werden. Bekannte Betreffzeilen sind etwa "Bankverbindungs- Daten", "Du hast einen Trojaner drauf!" oder "Ich hasse dich". Sie werden außerdem über Peer-to-peer Netzwerke wie Kazaa verbreitet.

Betreffzeilen

Anime, Pokemon, Manga, Handy Anmeldebestätigung Bankverbindungs- Daten Betr: Klassentreffen Du hast einen Trojaner drauf! du wirst ausspioniert Ein Trojaner ist auf Ihrem Rechner! Ermittlungsverfahren wurde eingeleitet Hi, Ich bin's Ich hasse dich Ich zeige sie an! Ihre IP wurde geloggt Neu! Legales Filesharing Neuer Dialer Patch! Sie Drohen mir!! Sie sind ein Raubkopierer Sie tauschen illegal Dateien aus Testen Sie ihren IQ Umfrage: Rente erst mit 80!

Bei den mitgeschickten Dateien handelt es sich um die üblichen Verdächtigen (s. Liste). Die C-Variante benutzt doppelte Dateiendungen wie txt.exe oder.doc.pif .

Wenn das Attachment geöffnet wird, erscheint eine gefälschte Fehlermeldung über einen unknown error und der Wurm schreibt sich in mehreren Kopien ins Systemverzeichnis und in die Registry. Im Windows System Ordner legt Sober.C folgende Dateien an, die man gefahrlos löschen kann.

• ms16taskwin.exe
• savesyss.dll
• Humgly.lkur
• yfjq.yqwm

Außerdem schreibt er sich in die ausführbaren Dateien in einem allfällig vorhandenen Shared-Unterordner in einem KaZaA-Ordner.

Die Adressen aus zur weiteren Verbreitung holt Sober aus Dateien mit den Erweiterungen .HTM .HTML und .EML sowie aus dem Windows Adressbuch. Das bedeutet, dass der vorgebliche Absender der Mail nicht der tatsächliche Sender ist. Verschickt werden die Mails über eine eigene SMTP-Engine.

Wie das Original können die Würmer die Sprache der Betreffzeilen der Empfängeradresse anpassen und deutsche Betreffs für Adressen in den Domains .at, .de, .ch und .li generieren.

Nachi

Der auch Win32/Nachi.Worm genannte Wurms hat im August 2003 für Aufsehen gesorgt, weil er laut einem Bericht des Sicherheitsmagazins SecurityFocus sGeldautomaten zweier US-Banken mit dem infiziert hat. Er nutzt dieselbe Sicherheitslücke wie Lovsan, den er übrigens netterweise entfernt.

Bei der Infektion legt der harmlose Wurm die Datei dllhost.exe im Ordner \Wins an.

Eine simple Methode zur Entfernung wird auf der Uni Trier empfohlen:

Am Einfachsten entfernen Sie den Wurm, indem Sie die Uhr des Rechners auf 1.1.2004 setzen und den Rechner neu starten. Das Datum können Sie z.B. im Dos(Eingabe)fenster mit dem Befehl date 1-1-2004 ändern.

Dort findet man auch alle Links zum Sicherheitsupdate.

Avron

Avron ist ein Internetwurm, den Kaspersky für 2003 an sechster Stelle der verbreitetsten Schädlinge führte. Er verfügt über eine eigene SMTP-Engine, mit der er sich an Mailadressen versendet, die er auf einem infizierten Rechner findet.

Bekannt sind folgende Betreffzeilen:

• Fw: Avril Lavigne - CHART ATTACK!
• Fw: Avril Lavigne - the best
• Fw: F. M. Dostoyevsky"Crime and Punishment"
• Fw: IREX Fields Description
• Fw: Prohibited customers...
• Fw: Redirection error notification
• Fwd: Re: Admission procedure
• Fwd: Re: Have U requested Avril Lavigne bio?
• Fwd: Re: Reply on account for Incorrect MIME-header
• Fwd: RFC-0841 Specification requested...
• Re: ACCELS Awards results for 2003
• Re: According to Daos Summit
• Re: According to Purges Statement
• Re: ACTR/ACCELS Transcriptions
• Re: Antique themes
• Re: Avril Fans will rock you
• Re: Brigada Ocho Free membership
• Re: Ha perduto qualque cosa signora?
• Re: IREX admits you to take in FSAU 2003
• Re: Junior Achievement
• Re: Reply on account for IFRAME-Security breach
• Re: Reply on account for IIS-Security
• Re: Reply on account for IIS-Security Breach (TFTP)
• Re: The real estate plunger
• Re: Vote seniors masters - dont miss it!

Bei der Infektion schreibt der Wurm eine Datei mit Zufallsnamen wie 9aff681a.exe in den Systemordner von Windows. Am 7. und 24. jedes Monats schickt der Wurm den Cursor wild über de Schirm und öffnet eine Webpage. Einige Varianten veranstalten den Unsinn auch an jedem 11. eines Monats. Eine weitere Routine verschickt Passwörter aus dem Cache an die Adresse otto_psws@pochta.ws.

Dort findet man auch alle Links zum Sicherheitsupdate.

Bagle

Der Bagle-Wurm ist bereits in zahlreichen Varianten im Umlauf. Die 26 Buchstaben des Alphabets wurden bereits verbraucht, weshalb nun Doppelbezeichner wie .AA zum Einsatz kommen.

Bagle.AS/AT

Text

:) :))

Attachment

Joke Price price + .cpl .com .exe .scr.

Bagle.AS (seit Ende September 2004) und Bagle.AT (seit Ende Oktober 2004) kommen mit einem Text, der aus Smileys besteht. Wie die Vorgänger versuchen sie, Antivirenprogramme zu beenden, verschicken sich selbstständig über ein eigenes Mail-Modul und kopieren sich in Ordner, deren Namen die Buchstabenfolge 'shar' enthalten.
Der Wurm Bagle.AT terminiert sich selbst am 26.4. 2006.

Bagle.AO und Bagle.AN kommen mit dem Attachment FOTO.ZIP, das eine FOTO.HTML und eine FOTO1.EXE enthält. Diese ist unsichtbar, wenn die Windows-Option "versteckte Dateien zeigen" nicht genutzt wird. Er kopiert sich in den Systemordner als WINDLL.EXE.

Bagle.AL ist seit 9. August 2004 unterwegs und kommt ohne Subjekt mit Attachments, die das Wort "price" beinhalten (new_price.zip, price_11.zip etc.). Er verschickt sich über ein eigenes SMTP-Modul und kopiert sich in Ordner, deren Namen die Buchstabenfolge 'shar' enthalten.

Bagle.AH it eine Variante von Bagle.Z. Bisweilen kommt er in gezippten Attachments. In der Mail wird der Anwender aufgefordert, die Zip-Datei mittels eines beigefügten Passwortes zu entsperren.

Bagle.AF und Bagle.AF (endet erst am 5.5.2006!) sind Varianten von Bagle.Z. Bisweilen kommen sie in gezippten Attachments. In der Mail wird der Anwender aufgefordert, die Zip-Datei mittels eines beigefügten Passwortes zu entsperren.

Bagle.Y verschickt sich in Mails und kopiert sich in Ordner, deren Namen die Buchstabenfolge 'shar' enthalten. Er versucht Sicherheitssoftware zu beenden und öffnet den TCP Port 2535 und versucht sich eine Verbindung zu verschiedenen Websites herzustellen. Das Icon der exe-Datei stellt drei Kirschen dar.
Bagle.Z, Bagle.AA (endet am 6.7. 2004) und Bagle.AC sind leichte Variante davon.

Bagle.V kommt mit einem leeren Subjekt und dem Attachment game.exe.

Bagle.U kommt mit unterschiedlichen Betreffs und einem Attachment mit der Endung .exe, das mit dem nebenstehenden Icon angezeigt wird. Die Variante versucht über den TCP Port 4751 eine Verbindung zu einem Remote Computer herzustellen und ist bis 1.1.2005 aktiv.

Bagle.Q, R, S, T kommen mit unterschiedlichen Betreffs und kopieren sich als directs.exe in den Systemordner und schreiben sich auch in Ordner, die den Wortteil Share enthalten, etwa My Shared Folder, was die Verbreitung über Tauschbörsen beschleunigt. Die Variante versucht über den TCP Port 2556 eine Verbindung zu einem Remote Computer herzustellen.

Bagle.N und .P schreiben sich auch in Ordner, die den Wortteil Share enthalten, etwa My Shared Folder, was die Verbreitung über Tauschbörsen beschleunigt. Wie andere Varianten versuchen sie, das Ausführen des Netsky-Wurms zu verhindern. Beide Versionen versuchen über den TCP Port 2556 eine Verbindung zu einem Remote Computer herzustellen, der den PC übernehmen kann. Weiters unterdrücken Bagle.N und P verschiedene Antivirus- and Firewallprogramme.

Bagle.M und .O wurden aufgrund späterer Varianten umbenannt.

Bagle.L legt neben seiner Kopie im Windows System Ordner die Fateien IINJ4.EXE und den Trijaner SYSTEM.EXE auf dem PC ab, verbindet sich mit verschiedenen Servern, um die PI-Adresse und den Proxy Port des Anwenders zu übermitteln. Weiters unterdrückt Bagle.L verschiedene Antivirus- und Firewallprogramme. Bagle.W und Bagle.X sind Varianten, die sich allerdings nicht selbst replizieren können.

Bagle.H und .I (W32.BAGLE.H@MM, W32.BAGLE.I@MM) werden uns bis März 2005 quälen, ihr Ablaufdatum ist der 25.3.2005. Beide Versionen versuchen über den TCP Port 2745 eine Verbindung zu einem Remote Computer herzustellen, der den PC übernehmen kann. Weiters unterdrücken sie verschiedene Antivirus- and Firewallprogramme.

Bagle.C und .D(W32/Bagle.c@MM, W32/Bagle.c@MM) sind seit Ende Februar 2004 bekannt und werden in Mails mit unterschiedlichem Betreff und ohne Text verschickt. Das Attachment hat stets die Endung .zip und enthält die Wurmdatei readme.exe.

Der Wurm öffnet den TCP Port 2745 und versucht sich eine Verbindung zu verschiedenen Websites herzustellen.

Wird die Datei ausgerufen, so installieren sich folgende Dateien im Systemordner von Windows:

• readme.exe (die Kopie des Wurms)
• onde.exe
• doc.exe
• readme.exeopen

Bagle.B (W32/Bagle.b@MM, W32/Tanx-A) ist seit Februar 2004 bekannt und wird in Mails mit unterschiedlichem Betreff und sinnlosem Text verschickt. Das Attachment hat stets die Endung .exe.

Der Wurm öffnet den TCP Port 8866 und versucht sich eine Verbindung zu verschiedenen Websites herzustellen.

Bagle.A: Der originale Bagle-Wurm (W32/Bagle.a@MM) wird in Mails mit dem Subject Hi und einem Attachment mit der Endung .exe verschickt.

Er kopiert sich ins in den System-Folder von Windows und verschickt sich an Mail-Adressen mittels eines eigenen SMTP-Moduls. Er ist nur bis 28.1. 2004 aktiv.

Bei der versucht der Wurm Daten von einer Reihe von Web-Seiten downzuloaden und startet das Programm den Windows Taschenrechner.

Mydoom

Der Wurm Mydoom alias I-Worm.Mydoom.B alias W32/Mydoom.b@MM ist eine Variante von Mimail (Mimail.R) und seit 26.1.2004 bekannt. Mydoom wird mit laufend geänderten Betreffzeilen und Mailtexten versendet. Oft als gibt sich die Nachricht als Benachrichtigung über ein nicht zustellbares Mail aus. Mydoom verbreitet sich auch über die Tauschbörse Kazaa.

Das gefährliche Attachment trägt eine der folgenden Endungen: .batm, cmd, .exe, .pif, .scr oder .zip.

Mydoom versendet sich selbstständig an Adressen weiter, die in Adressbüchern oder HTML-Dateien auf dem befallenen Rechner stehen.

Kennzeichen des Befalls

• Beim Start erscheint das Program Notepad mit unsinnigen Zeichen.
• Anlage der Datei C:\Program Files\KaZaA\My Shared Folder\activation_crack.scr
• Anlage der Datei taskmon.exe im Systemverzeichnis von Windows.
• Anlage der Datei shimgapi.dll im System3-Verzeichnis von Windows.

Wirkung

• Mydoom startet ab 1. Februar Denial-of-Service Attacken gegen www.sco.com.
• Mydoom öffnet ein Backdoor (einen unbefugten Zugangs) am Port 3127 zum befallenen Rechner.
• Mydoom überschreibt die HOST-Datei, so dass die Webseiten vieler Sicherheitssoftware-Unternehmen nicht mehr abrufbar sind und somit auch keine Virensignaturen oder Removal-Tools heruntergeladen werden können.

Mydoom stellt am 12. Febuar 2004 seine Tätigkeit ein. Eine neue MyDoom-Variante wurde im Februar 2005 entdeckt, die sich wie ihre Vorgänger über einen eigenen smpt-Server verbreitet und sich an E-Mail-Adressen verschickt, die sie aus dem Adressbuch, temporären Internet-Dateien und der Festplatte "ausliest". Sollte es dem Wurm gelingen, ein System zu infizieren, installiert er sich als java.exe im Windows-Verzeichnis und installiert zusätzlich die Datei services.exe im selben Pfad. Findet er dabei ein anderes System, das infiziert werden kann, wird die IP-Adresse dieses Systems in einem verschlüsseltem File mit den Namen "zincite.log" abgelegt.

Einige Mailtexte von Mydoom

• Delivery to the following recipients failed.
• Mail transaction failed. Partial message is available.
• The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
• The message contains Unicode characters and has been sent as a binary attachment.
• This is an automatically generated Delivery Status Notification.
• Diese Nachricht enthält Unicode-Zeichen und wurde als binärer Anhang verschickt.

Netsky

Netsky ist ein Massenmailer-Wurm, der sich mit einer eigenen SMTP-Maschine per E-Mail sowie über freigegebene Laufwerke selbst an Adressen verschickt, die er auf der Festplatte findet. Betreff, Nachrichtentext und Anhang der E-Mail variieren. Die Absenderadressen sind gefälscht.

Es sind zahlreiche Varianten im Umlauf, etwa W32/Netsky.d@MM, W32/Netsky.l@MM, W32/Netsky.m@MM, W32/Netsky.p@MM.

Der Wurm löscht die Backdoors von Mydoom.A, Mydoom.B und Mimail.T, durchsucht die Laufwerke C bis Z nach den Namensbestandteilen "Share" oder "Sharing" und kopiert sich in diese Verzeichnisse.

Netsky ist nicht destruktiv.

Die Versionen ab L dürften nicht mehr vom Originalautor stammen und versuchen nicht mehr, den Bagle Wurm zu neutralisieren. Sie enthalten auch keine Angriffe auf den Autor von Bagle.

Sasser

Der Wurm, der seit Ende April 2004 in mehreren Varianten im Umlauf ist, nutzt eine Windows-Sicherheitslücke im "Local Security Authority Subsystem Service" (LSASS) unter Windows 2000, Windows XP und Windows Server 2003 aus. Er verbreitet sich, indem er über zufällig gewählte IP-Adressen nach anfälligen Systemen sucht.

Typische Symptome sind

• Eine Meldung, dass das System heruntergefahren wird.
• Eventuell eine Meldung über Fehler bei lsass.exe bei LSA Shell.

Auf einem infizierten System startet der Wurm einen FTP-Server, der über den TCP-Port 5554 läuft und verbreitet sich damit auf andere Systeme.

Bekämpfung

• Für Sasser.a und Sasser.b bietet Microsoft eine Online-Prüfung auf Infektion an. Überprüfen Sie Ihren PC entweder damit oder mit einem aktuellen Antivirenprogramm-
• Werkzeuge zur raschen Entfernung des Wurms finden Sie bei
  • McAffee
  • Symantec

Vorbeugung

• Installieren Sie das Windows-Update.
• Blockieren Sie mit einem Firewall alle nicht verwendeten Ports für eingehenden Verkehr, insbesonders die Nummern 445, 5554, 9995 und 9996.

Die Jagd nach dem Täter

Wie im Film ging es bei der Jagd nach dem Autor des zerstörerischen Wurms "Sasser" zu. Zunächst erhielt Microsoft Deutschland einen telefonischen Hinweis. Dann traf sich der Ms-Mitarbeiter Sascha Hanke nachts mit den Anrufern, die ihm Teile des Quellcodes übergaben. Kurz darauf führte die Polizei von Niedersachsen eine Hausdurchsuchung durch, in deren Verlauf ein 18-Jähriger ein volles Geständnis ablegte. Nach der voraussichtlichen Verurteilung will Microsoft den Informanten eine Belohnung von 250.000 Dollar zahlen.

Sober.G, Sober.H, Sober.I

Sober.I: Sober.J ist eine nicht-destruktive Variante des bekannten Sober-Wurms, die seit Mitte November 2004 in Umlauf ist. Die Betreffzeilen und Texte können variieren. Nach Angaben von MessageLab kann sich der Schädling auch als Antivirus-Scan-Report tarnen.

Beim Aufruf des Wurms folgende erscheint die Meldung "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error". Danach werden im Systemverzeichnis von Windows zwei Dateien mit dem Code des Wurms angelegt, die die Festplatte nach Mail-Adressen scannen und Kopien des Wurms über ein eigenes SMTP-Modul verschicken. Wie schon die erste Fassung kann auch Sober.I die Sprache der Betreffzeilen der Empfängeradresse anpassen und deutsche Betreffs für Adressen in den Domains .at, .de, .ch und .li generieren.

Ein verseuchtes System enthält die Dateien clsobern.isc und nonzipsr.noz (Kopien des Wurmes) sowie clonzips.ssc und zippredsr.piz (Kopien des Wurmes).

Sober.H: Die am 10. Juni im gesamten deutschsprachigen Teil des Internet losgetretene Flut rechtsradikaler E-Mails hat sich über jene Computer verbreitet, die von Sober.G befallen sind.
Die Variante H nutzt die von Sober.G geöffneten Lücken, um von befallenen Systemen rassistische Spam-Mails mit gefälschten Absenderadressen zu versenden. Die Ziel-Adressen stammen aus Adressbüchern und anderen Dateien auf dem befallenen PC.

Sober.G: Ab Mitte Mai 2004 verbreitete sich in Europa die Variante Sober-Variante G (W32/Sober-G). Die Betreffzeile wechselt und lautet zum Beispiel "Mail Delivery failure", "Your Password" oder "Registration confirmation".

Der Wurm kopiert sich als exe-File in den Windows-Systemordner mit einem Namen, der aus Folgenden zusammengesetzt ist: 32, crypt, data, diag, dir, disc, explorer, host, log, run, service, smss32, spool, sys und win.

Amusa

Amusa (W32/Amus-A) wird seit 9.9.2004 per Mail mit Betreffzeilen wie "Listen and Smile" oder "Hey. I beg your pardon. You must listen" verbreitet.

Das Besondere an Amusa ist, dass er - nach gelungener Infektion - zum Anwender spricht:"How are you? I am back. My name is mister hamsi. I am seeing you. Haaaaaaaa. You must come to turkiye. I am cleaning your computer. 5. 4. 3. 2. 1. 0. Gule. Gule."

Amusa löscht abhängig vom Datum alle .dll-Dateien oder alle .ini-Dateien im Windows-Verzeichnis.

Bizex-E

Der Trojaner Bizex-E nutzt die Drag&Drop-Sicherheitslücke im Internet Explorer, um in Windows-Systeme einzudringen und PIN- und TAN-Codes für elektronisches Banking zu stehlen. Er wird manuell per Mail versendet.

Er versucht, Antivirenprogramme zu beenden, liest die PINs und TANs mit und sendet sie per FTP an einen Server. Dieser ist zwar mittlerweile nicht mehr erreichbar, doch können Varianten die Bedrohung rasch wieder herstellen.

Nachweise

Wichtige Merkmale des Befalls sind die Existenz des Verzeichnisses C:\Windows\system32\x3yy sowie der Dateien C:\Windows\system32\op32mp.log, C:\Windows\system32xtempx.xxx, C:\Windows\system32\unic2_32.dll.

Anig-A

Der Wurm Anig-A (W32/Anig-A) verbreitet sich über gemeinsam genutzte Laufwerke im Netzwerk. Er sammelt Login-Informationen, wozu er sich unter anderem eines Keyloggers bedient. Damit werden alle Tastatureingaben aufgezeichnet. Zur Übermittlung öffnet er eine Verbindung über den TCP Port 5190.

Bacros

Bacros ist eine bösartige Software des Jahres 2004, die sich althergebrachter Techniken bedient. Sie wird ausschließlich auf Disketten und CD-ROMs verbreitet.

Am 24. Dezember löscht Bacros alle Dateien eines Systems löscht. Den Befall kann man freilich schon vorher feststellen, denn scon vorher werden alle Dateien mit der Endung .txt in .exe umbenannt. Am finnischen Unabhängigkeitstag, dem 6. Dezember, erscheint die finnische Flagge auf dem Bildschirm.

Es ist dies nicht das erste ungeliebte Weihnachtsgeschenk. Am 25.12.1999 formatierte Prilissa, ein Abkömmling von Melissa, die Festplatten unvorsichtiger Anwender.

Rbot

Rbot oder Win32/RBot ist der Sammelname für eine variantenreiche Art von Backdoor-Viren, die es Angreifern ermöglichen, die Kontrolle über einen befallenen Rechner zu erlangen. Die Verbreitung erfolgt über Netzwerkfreigaben und Windows-Sicherheitslücken.

Die verschiedenen Varianten können folgende unangenehme Tätigkeiten ausführen:

• Antivirus-Anwendungen abschalten
• Angreifern via IRC den Zugriff auf den Computer ermöglichen
• Software installieren
• Daten stehlen
• Tastenfolgen aufzeichnen (z.B. Passwörter oder PIN-Codes)

Die Variante Rbot-GR kann die Kontrolle über lokale Webcam und Mikrophone übernehmen und Bilder und Töne an den Angreifer übertragen.

F-Secure bietet ein Programm zur Beseitigung an.

Bagle

Der Bagle-Wurm ist bereits in zahlreichen Varianten im Umlauf. Die 26 Buchstaben des Alphabets wurden bereits verbraucht, weshalb nun Doppelbezeichner wie .AA zum Einsatz kommen.

Bagle.AS/AT

Text

:) :))

Attachment

Joke Price price + .cpl .com .exe .scr.

Bagle.AS (seit Ende September 2004) und Bagle.AT (seit Ende Oktober 2004) kommen mit einem Text, der aus Smileys besteht. Wie die Vorgänger versuchen sie, Antivirenprogramme zu beenden, verschicken sich selbstständig über ein eigenes Mail-Modul und kopieren sich in Ordner, deren Namen die Buchstabenfolge 'shar' enthalten.
Der Wurm Bagle.AT terminiert sich selbst am 26.4. 2006.

Bagle.AO und Bagle.AN kommen mit dem Attachment FOTO.ZIP, das eine FOTO.HTML und eine FOTO1.EXE enthält. Diese ist unsichtbar, wenn die Windows-Option "versteckte Dateien zeigen" nicht genutzt wird. Er kopiert sich in den Systemordner als WINDLL.EXE.

Bagle.AL ist seit 9. August 2004 unterwegs und kommt ohne Subjekt mit Attachments, die das Wort "price" beinhalten (new_price.zip, price_11.zip etc.). Er verschickt sich über ein eigenes SMTP-Modul und kopiert sich in Ordner, deren Namen die Buchstabenfolge 'shar' enthalten.

Bagle.AH it eine Variante von Bagle.Z. Bisweilen kommt er in gezippten Attachments. In der Mail wird der Anwender aufgefordert, die Zip-Datei mittels eines beigefügten Passwortes zu entsperren.

Bagle.AF und Bagle.AF (endet erst am 5.5.2006!) sind Varianten von Bagle.Z. Bisweilen kommen sie in gezippten Attachments. In der Mail wird der Anwender aufgefordert, die Zip-Datei mittels eines beigefügten Passwortes zu entsperren.

Bagle.Y verschickt sich in Mails und kopiert sich in Ordner, deren Namen die Buchstabenfolge 'shar' enthalten. Er versucht Sicherheitssoftware zu beenden und öffnet den TCP Port 2535 und versucht sich eine Verbindung zu verschiedenen Websites herzustellen. Das Icon der exe-Datei stellt drei Kirschen dar.
Bagle.Z, Bagle.AA (endet am 6.7. 2004) und Bagle.AC sind leichte Variante davon.

Bagle.V kommt mit einem leeren Subjekt und dem Attachment game.exe.

Bagle.U kommt mit unterschiedlichen Betreffs und einem Attachment mit der Endung .exe, das mit dem nebenstehenden Icon angezeigt wird. Die Variante versucht über den TCP Port 4751 eine Verbindung zu einem Remote Computer herzustellen und ist bis 1.1.2005 aktiv.

Bagle.Q, R, S, T kommen mit unterschiedlichen Betreffs und kopieren sich als directs.exe in den Systemordner und schreiben sich auch in Ordner, die den Wortteil Share enthalten, etwa My Shared Folder, was die Verbreitung über Tauschbörsen beschleunigt. Die Variante versucht über den TCP Port 2556 eine Verbindung zu einem Remote Computer herzustellen.

Bagle.N und .P schreiben sich auch in Ordner, die den Wortteil Share enthalten, etwa My Shared Folder, was die Verbreitung über Tauschbörsen beschleunigt. Wie andere Varianten versuchen sie, das Ausführen des Netsky-Wurms zu verhindern. Beide Versionen versuchen über den TCP Port 2556 eine Verbindung zu einem Remote Computer herzustellen, der den PC übernehmen kann. Weiters unterdrücken Bagle.N und P verschiedene Antivirus- and Firewallprogramme.

Bagle.M und .O wurden aufgrund späterer Varianten umbenannt.

Bagle.L legt neben seiner Kopie im Windows System Ordner die Fateien IINJ4.EXE und den Trijaner SYSTEM.EXE auf dem PC ab, verbindet sich mit verschiedenen Servern, um die PI-Adresse und den Proxy Port des Anwenders zu übermitteln. Weiters unterdrückt Bagle.L verschiedene Antivirus- und Firewallprogramme. Bagle.W und Bagle.X sind Varianten, die sich allerdings nicht selbst replizieren können.

Bagle.H und .I (W32.BAGLE.H@MM, W32.BAGLE.I@MM) werden uns bis März 2005 quälen, ihr Ablaufdatum ist der 25.3.2005. Beide Versionen versuchen über den TCP Port 2745 eine Verbindung zu einem Remote Computer herzustellen, der den PC übernehmen kann. Weiters unterdrücken sie verschiedene Antivirus- and Firewallprogramme.

Bagle.C und .D(W32/Bagle.c@MM, W32/Bagle.c@MM) sind seit Ende Februar 2004 bekannt und werden in Mails mit unterschiedlichem Betreff und ohne Text verschickt. Das Attachment hat stets die Endung .zip und enthält die Wurmdatei readme.exe.

Der Wurm öffnet den TCP Port 2745 und versucht sich eine Verbindung zu verschiedenen Websites herzustellen.

Wird die Datei ausgerufen, so installieren sich folgende Dateien im Systemordner von Windows:

• readme.exe (die Kopie des Wurms)
• onde.exe
• doc.exe
• readme.exeopen

Bagle.B (W32/Bagle.b@MM, W32/Tanx-A) ist seit Februar 2004 bekannt und wird in Mails mit unterschiedlichem Betreff und sinnlosem Text verschickt. Das Attachment hat stets die Endung .exe.

Der Wurm öffnet den TCP Port 8866 und versucht sich eine Verbindung zu verschiedenen Websites herzustellen.

Bagle.A: Der originale Bagle-Wurm (W32/Bagle.a@MM) wird in Mails mit dem Subject Hi und einem Attachment mit der Endung .exe verschickt.

Er kopiert sich ins in den System-Folder von Windows und verschickt sich an Mail-Adressen mittels eines eigenen SMTP-Moduls. Er ist nur bis 28.1. 2004 aktiv.

Bei der versucht der Wurm Daten von einer Reihe von Web-Seiten downzuloaden und startet das Programm den Windows Taschenrechner.