|
|
Bug Bear Virus |
superman0087ch
Aufsteiger
Dabei seit: 13.06.2002
Beiträge: 52
Herkunft: Schweiz; Bern
|
|
Bug Bear Virus |
|
Hi Leutz ich weiss nicht ob ich hier im richtigen Forum bin??
sonst bitte verschieben
)
Also vor ca. 2 Tagen geisterte einen neuen Virus im Internet herum namens Bug Bear!!!!
Hatt mir jemand genauere Infos darüber??? Wie verbreitet er sich??? Wie kann man sich gegen ihn schützten???
reicht ein Antivirenprogramm???)
In welcher Sprache wurde er geschrieben???? Ich schätzte in VB oder etwa nicht???
THX für Antworten
|
|
07.10.2002 22:26 |
|
|
LX
El Comandante en Jefe
Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx
|
|
Nuja, wie üblich ein Outlook-Problem. Wann lernen die Leute es endlich, dass der simple Wechsel zu einem vernünftigen eMail-Programm ihnen den ganzen Mist ersparen könnte?
__________________ JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett
|
|
08.10.2002 01:01 |
|
|
xaitax
Neuling
Dabei seit: 08.10.2002
Beiträge: 12
Herkunft: Stade
|
|
Wenn ich dir noch diese Seite ans Herz legen darf, lies sie.
|
|
08.10.2002 03:47 |
|
|
fmann
Referee
Dabei seit: 11.10.2001
Beiträge: 1.230
Herkunft: Germany
|
|
Hier infos von Network-Secure :
"Ein neuer und mit dem Laufzeitpacker UPX versteckter Wurm verbreitet sich offenbar mit größerer Geschwindigkeit im Netz. Der Wurm wird als Anhang einer Email verschickt, die wechselnde Überschriften und Texte enthalten kann:
$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
hello!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert
Der Dateianhang kann, muss aber nicht folgende Namen tragen:
Setup.exe
3 July 2002.doc.pif
Wird die Datei ausgeführt, beendet der Wurm zunächst die Prozesse folgender Schutzprogramme:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE
Danach kopiert der Wurm infektiöse Dateien unter:
C:\%System%\iccyoa.dll
C:\%System%\lgguqaa.dll
C:\%System%\roomuaa.dll
C:\%Windir%\okkqsa.dat
C:\%Windir%\ussiwa.dat
Sowie:
C:\WINDOWS\Startmenü\Programe\Autostart\CUU.EXE (wenn ein Betriebssystem unter Windows2000 läuft)
C:\Dokumente und Einstellungen\<aktueller Benutzername>\Startmenü\Programme\Autostart\CTI.EXE
Anschließend trägt er einen Schlüssel zwecks Autostart in die Windows Registry ein:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunOnce
Hier sollte der Prozessname der oben aufgeführten angehängten Dateien stehen
Schlußendlich durchsucht der Wurm folgende Dateien nach Email-Adressen:
MMF
NCH
MBX
EML
TBB
DBX
OCS
Der Wurm benutzt eine Sicherheitslücke des Internet-Explorer zur Verbreitung. Benutzer von Outlook und Outlook-Express sollten also besonders vorsichtig sein und unbedingt überprüfen, ob das Secure-Update bereits installiert ist. Sie finden es unter:
Microsoft Secure-Update
Zur Information:
Besonders Benutzer von Email-Clienten wie MS Outlook oder Outlook-Express und andere Email-Clienten mit automatischer Vorschau sollten besonders vorsichtig mit Nachrichten wie dieser umgehen, denn auch das Attachment wird automatisch gestartet. Aktualisieren Sie also unbedingt die Signaturfiles Ihres bevorzugten Virenscanners oder führen bei Verdacht auf Befall mit dem Wurm einen Online-Scan unseres Kooperations-Partners TrendMicro durch."
Weiterhin ein Link zu Bitdefender mit einen Removal-Tool: Bitdefender Bugbear-Removal-Tool
__________________ Viele Menschen wissen, dass sie unglücklich sind. Aber noch mehr Menschen wissen nicht, dass sie glücklich sind.
Albert Schweitzer (14.01.1875 - 04.08.1965)
|
|
08.10.2002 08:09 |
|
|
superman0087ch
Aufsteiger
Dabei seit: 13.06.2002
Beiträge: 52
Herkunft: Schweiz; Bern
Themenstarter
|
|
Danke, danke, danke 8)
für die ausführlichen Antworten und den nützlichen Links !!!!
|
|
08.10.2002 12:15 |
|
|
HeaD
Hoffnungsloser Sozialfall in Behandlung bei Styx
Dabei seit: 31.08.2001
Beiträge: 4.142
Herkunft: Mama
|
|
Zitat: |
Original von LX
Nuja, wie üblich ein Outlook-Problem. Wann lernen die Leute es endlich, dass der simple Wechsel zu einem vernünftigen eMail-Programm ihnen den ganzen Mist ersparen könnte?
|
Eben nicht nur ein Outlook Problem, denn der Virus besitzt eine eigene Mail-Engine, mit der er sich unabhängig von Mailprogrammen verbreiten kann
__________________
|
|
08.10.2002 18:10 |
|
|
LX
El Comandante en Jefe
Dabei seit: 25.11.2001
Beiträge: 5.372
Herkunft: Berliner Bronx
|
|
Zitat: |
Original von head
Zitat: |
Original von LX
Nuja, wie üblich ein Outlook-Problem. Wann lernen die Leute es endlich, dass der simple Wechsel zu einem vernünftigen eMail-Programm ihnen den ganzen Mist ersparen könnte?
|
Eben nicht nur ein Outlook Problem, denn der Virus besitzt eine eigene Mail-Engine, mit der er sich unabhängig von Mailprogrammen verbreiten kann
|
Verbreiten ja, aber wie kommt er denn überhaupt erst auf den Rechner drauf?
__________________ JS-Games.de - Misled Scripting Skills Gone Mad | Meine Filmkritiken | Urban Photography
Kommt mal in den IRC-Channel: irc.eu.freenode.net | Port 6667 | #blackboard
"Ever tried. Ever failed. No matter.
Try again. Fail again. Fail better."
- Samuel Beckett
|
|
08.10.2002 18:24 |
|
|
HeaD
Hoffnungsloser Sozialfall in Behandlung bei Styx
Dabei seit: 31.08.2001
Beiträge: 4.142
Herkunft: Mama
|
|
Das ist mir ja egal. Das Problem ist das ich genug Leute kenne die sämtlichen Mist tauschen (meine Mutter bekommt ca. 1000 Mails am Tag (wahnsinn) und wenn die den dann bekommen und der verschickt sich... tztz.. naja ich öffne eh keine "You are a rich man" Mails *g*
__________________
|
|
08.10.2002 21:53 |
|
|
xaitax
Neuling
Dabei seit: 08.10.2002
Beiträge: 12
Herkunft: Stade
|
|
Zitat: |
Original von head
(meine Mutter bekommt ca. 1000 Mails am Tag (wahnsinn) * |
Arbeitet sie auf einer Seite wo sie Chattet und von einer Webcam aufgenommen wird?
Sorry.
|
|
09.10.2002 11:54 |
|
|
fmann
Referee
Dabei seit: 11.10.2001
Beiträge: 1.230
Herkunft: Germany
|
|
@xaitax: Mal ganz langsam, junger Freund !!!!
__________________ Viele Menschen wissen, dass sie unglücklich sind. Aber noch mehr Menschen wissen nicht, dass sie glücklich sind.
Albert Schweitzer (14.01.1875 - 04.08.1965)
|
|
09.10.2002 12:05 |
|
|
HeaD
Hoffnungsloser Sozialfall in Behandlung bei Styx
Dabei seit: 31.08.2001
Beiträge: 4.142
Herkunft: Mama
|
|
@xaitax: Nein, aber ich kann Dir mal zeigen wie man eine Webcam mit Säure auflösen, und anschließend trinken kann...
Dann kannst aber net mehr chatten...
__________________
|
|
09.10.2002 12:08 |
|
|
xaitax
Neuling
Dabei seit: 08.10.2002
Beiträge: 12
Herkunft: Stade
|
|
Zitat: |
Original von fmann
@xaitax: Mal ganz langsam, junger Freund !!!! |
1.] Wir sind Freunde?
2.] Langsam? Ich bin mir nicht darueber im Klaren gewesen, zu schnell getippt zu haben.
3.] Ein Ausrufezeichen haette auch gereicht. Obowohl .... Interpunktion ist ein uebles Kapitel in der Schule gewesen. Ich verzeihe dir.
Zitat: |
Original von head
@xaitax: Nein, aber ich kann Dir mal zeigen wie man eine Webcam mit Säure auflösen, und anschließend trinken kann... Dann kannst aber net mehr chatten...
|
Verstehe den Sinn mit der Saeure zwar nicht, aber egal.
Ich habe kein Problem damit, nicht mehr chatten zu koennen, wuerde ich viel Zeit sparen.
|
|
09.10.2002 12:20 |
|
|
fmann
Referee
Dabei seit: 11.10.2001
Beiträge: 1.230
Herkunft: Germany
|
|
Zitat: |
1.] Wir sind Freunde? |
Wusstest Du das nicht ???? Bin ich jetzt enttäuscht von Dir
Zitat: |
2.] Langsam? Ich bin mir nicht darueber im Klaren gewesen, zu schnell getippt zu haben. |
Das ist das Problem. Man merkt das NIE selber. Also, nimm mein Rat an und tippe langsamer
Zitat: |
3.] Ein Ausrufezeichen haette auch gereicht. Obowohl .... Interpunktion ist ein uebles Kapitel in der Schule gewesen. Ich verzeihe dir. |
War schon immer mein Problem. DANKE, daß Du so rücksichtsvoll bist
fmann
__________________ Viele Menschen wissen, dass sie unglücklich sind. Aber noch mehr Menschen wissen nicht, dass sie glücklich sind.
Albert Schweitzer (14.01.1875 - 04.08.1965)
|
|
09.10.2002 12:24 |
|
|
xaitax
Neuling
Dabei seit: 08.10.2002
Beiträge: 12
Herkunft: Stade
|
|
Zitat: |
Wusstest Du das nicht ???? Bin ich jetzt enttäuscht von Dir
|
Sorry. Kann ich mit leben. Aber wir schaffen das. *scnr*
Ausserdem: Siehe Punkt 3.
Zitat: |
Das ist das Problem. Man merkt das NIE selber. Also, nimm mein Rat an und tippe langsamer
|
Ah... ne, verliere ich ja noch mehr Zeit, Zeit ist Geld.
Zitat: |
War schon immer mein Problem. DANKE, daß Du so rücksichtsvoll bist
|
Macht nix, Probleme kann man loesen.
Ja, weiss auch nicht, habe gerade meine ruecksichtsvolle Ader entdeckt, mal schaun ob die auch wieder verschwindet.
|
|
09.10.2002 12:31 |
|
|
fmann
Referee
Dabei seit: 11.10.2001
Beiträge: 1.230
Herkunft: Germany
|
|
Hier die Ausführungen von Trend Micro zum Wurm:
Der Computerwurm öffnet Port 36794 und erlaubt damit einem angeschlossenen Remote User Informationen zu erhalten, Dateien zu manipulieren und Programme am betroffenen System auszuführen.
Die versendeten eMails haben keinen Textinhalt, folgende Betreffszeilen sind möglich:
$ 150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
hello!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your News Alert
Your Gift
Der Computerwurm verändert das VON-Feld der eMail, das AN-Feld enthält Adressen aus dem Outlook-Adressbuch und aus empfangenen und geschriebenen eMails des Benutzers. Das Attachement der eMail kann eines der folgenden sein:
Eine Kombination aus den Textzeilen: setup, card, docs, news, image, images, pics, resume, photo, video, music oder song data. Die Endungen sind entweder SCR, PIF oder EXE. Oder eine bestehende Systemdatei mit einer dieser Endungen: SCR, PIF oder EXE.
Die infizierte eMail nutzt eine bekannte Sicherheitslücke des Internet Explorers 5.01 und 5.5, die die angefügte .EXE-Datei automatisch ausführt, wenn die eMail geöffnet oder in der Vorschau angeschaut wird.
Der Computerwurm ist in einem UPX_komprimierten Attachement enthalten und legt eine Kopie von sich selbst im Windows System Verzeichnis ab. Der Dateiname enthält vier Zeichen und ist zufällig generiert.
Um seinen automatischen Start bei jedem Hochfahren des Computers sicher zu stellen, legt er folgenden Registry Eintrag ab:
HKEY_LOCAL_MACHINE/Software/MicrosoftWindows/CurrentVersion/RunOnce random string = %System%/random filename.EXE
Um weiter sicher zu stellen, dass der Computerwurm ausgeführt wird, wenn der Computer neu gestartet wird, kopiert er sich selbst in den Windows Start Ordner. Der Dateiname enthält drei Zeichen und ist zufällig generiert. Er nutzt den folgenden Registry Eintrag:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders, Startup
Nachdem sich der Computerwurm selbst installiert hat, stellt er folgende Bedrohungen dar:
Bedrohung 1: Mass Mailer
Dieser Computerwurm nutzt Simple Mail Transport Protocol (SMTP) Kommandos und liest den Registry Schlüssel um einen SMTP Server zu bekommen, den er nutzen kann, um sich selbst zu verteilen:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager/Accounts/%Default Mail Account%, “SMTP Server”
Der Wert der %Default Mail Account% Variablen wird von diesem Registry Schlüsse, genutzt:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager, Default Mail Account.
Der Computerwurm ergänzt mit seinen drei ähnlichen SMTP Engines die Kommunikationsaktivitäten, zwei davon werden genutzt um gefälschte eMails zu verschicken. Diese enthalten eine verschlüsselte Version des Computerwurms und gehen an ausgewählte Adressen.
Die eMailadressen stammen aus dem Adressbuch, gecachten eMails und der Mailbox des infizierten Computers. Der Computerwurm findet die Adressen indem er das ganze Stammverzeichnis nach Dateien mit den folgenden Endungen durchsucht:
.ODS
.INBOX
.MMF
.NCH
.MBX
.EML
.TBB
.DBX
Die eMails werden an die ersten 170 gefundenen Adressen geschickt. Der Computerwurm sendet sich nicht an eMail-Adressen, die in folgendem Verzeichnis gefunden wurden. Dies dient dazu, dass der Computerwurm nicht an bereits infizierte Computer geschickt werden.
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager/Accounts/%Default Mail Account%, “SMTP Email Address”
Dieser Registry Schlüssel bezieht sich normalerweise auf die eMail-Adresse des eingelogten Benutzers.
Er verändert das VON-Feld der eMails in dem er die eMail-Adresse des Benutzers einsetzt. Dafür nutzt er diesen Registry Schlüssel:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Internet Account Manager/Accounts/%Default Mail Account%, “SMTP Display Name”
Das Attachement enthält den verschlüsselten Computerwurm. Der Dateiname ist SETUP.EXE, der Computerwurm nimmt jedoch teilweise auch den ersten gefundenen Dateinamen der persönlichen Ordner des Users. Dies erzeugt doppelte Dateiendungen.
Der Pfad dieses Ordners ist gewöhnlich C:/My Documents oder C:/Documents and Settings/%User Name%/My Documents und wird vom Computerwurm durch folgenden Registry Eintrag genutzt:
HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders, Personal
Da der persönliche Ordner oft eine Datei namens DESKTOP:INI enthält, um ein Customizing zu ermöglichen, entfernt der Computerwurm .INI von der Liste der möglichen Attachement-Namen.
Für den Fall, dass der Computerwurm keine Dateien im persönlichen Ordner des Benutzers findet, nutzt er eine Kombination aus den Textzeilen: setup, card, docs, news, image, images, pics, resume, photo, video, music oder song data. Die Endungen sind entweder SCR, PIF oder EXE.
Eine SMTP Engine versendet die verschlüsselte Version dieses Computerwurms mit einer leeren eMail, die “application/x-msdownload” enthält.
Die andere SMTP Engine enthält "audio/x-midi" und erzeugt eine HTML-eMail, die die bekannte MIME-Sicherheitslücke ausnutzt.
Dies erlaubt der HTML-eMail eine automatische Ausführung, wenn die eMail geöffnet oder im Vorschaufenster angeschaut wird. Der User wird davon nicht informiert. Der nicht korrekte MIME Header ist bei IE 5.01 und 5.5 bekannt.
Bedrohung 2: Local Network Infection
Dieser Computerwurm verteilt sich über das Netzwerk durch gemeinsam genutzte Ordner. Er sucht ständig nach gemeinsam genutzten Netzwerk Ressource, die die genutzten Ordner enthalten. Wenn er einen findet, kopiert er sich selbst:
///%Startup%/.exe
Da er die Art der Ressource nicht überprüft, kann sich der Computerwurm beispielsweise auch in Drucker kopieren. Wenn dies geschieht kommt es zu einem Stau von Druckeraufträgen, die alle die gleiche Dateigröße wie der Computerwurm haben.
Bedrohung 3: Backdoor Server Komponente
Dieser Computerwurm verhält sich wie ein Backdoor Malware Server. Er öffnet Port 36794 und erlaubt Remote Usern sich über den offenen Port zu verbinden. Der Remote User kann dann jede der folgenden Aktionen am infizierten Rechner durchführen:
Downloaden und ausführen von Dateien
Kopieren und Löschen von Dateien
Laufende Prozesse auflisten
Laufende Prozesse beenden
Finden und Darstellen von Dateien
Einen HTTP-Server bilden
Informationen vom infizierten Rechner entfernen
Die weitergeleiteten Informationen können folgende sein:
Rechnername
Momentan eingelogter Benutzer
Prozessorart
Informationen über das Betriebssystem
verfügbarer Speicherplatz
Spezifikationen über Speichermedien -Festplatten, CDRom-Laufwerke - und Netzwerk Ressourcen
Auflistung von Netzwerk Ressourcen, auf die der User zugreifen kann - gemeinsam genutzte Ordner, Domains, Workstations, Drucker, etc.
Durch die Komplexität der Instruktionen, die der Backdoor Server braucht, kann es sein, dass es ein Client Programm gibt, um den Computerwurm zu manipulieren.
Jedes Mal wenn der Backdoor Server aktiv wird, normalerweise wenn auf Port 36794 angesprochen wird, werden die folgenden temporären Dateien im Windows Temorary Ordner abgelegt:
· ~PHGGUM.TMP
· ~EAYLNLF.TMP
Die abgelegte Datei, ~PHGGUM.TMP, enthält eine Zeile mit 20 Zeichen, die von diesem Backdoor Computerwurm als Session ID benutzt wird, um mit dem Client zu kommunizieren. Ein verbundener Nutzer kann keine Kommandos an diesen Computerwurm senden ohne diese ID.
Bedrohung 4: AntiVirus Retaliation
Dieser Computerwurm beendet folgende Prozesse, die hauptsächlich AntiVirus Applikationen sind:
_AVP32.EXE _AVPCC.EXE
_AVPM.EXE ACKWIN32.EXE
ANTI-TROJAN.EXE APVXDWIN.EXE
AUTODOWN.EXE AVCONSOL.EXE
AVE32.EXE AVGCTRL.EXE
AVKSERV.EXE AVNT.EXE
AVP.EXE AVP32.EXE
AVPCC.EXE AVPDOS32.EXE
AVPM.EXE AVPTC32.EXE
AVPUPD.EXE AVSCHED32.EXE
AVWIN95.EXE AVWUPD32.EXE
BLACKD.EXE BLACKICE.EXE
CFIADMIN.EXE CFIAUDIT.EXE
CFINET.EXE CFINET32.EXE
CLAW95.EXE CLAW95CF.EXE
CLEANER.EXE CLEANER3.EXE
DVP95.EXE DVP95_0.EXE
ECENGINE.EXE ESAFE.EXE
ESPWATCH.EXE F-AGNT95.EXE
FINDVIRU.EXE FPROT.EXE
F-PROT.EXE F-PROT95.EXE
FP-WIN.EXE FRW.EXE
F-STOPW.EXE IAMAPP.EXE
IAMSERV.EXE IBMASN.EXE
IBMAVSP.EXE ICLOAD95.EXE
ICLOADNT.EXE ICMON.EXE
ICSUPP95.EXE ICSUPPNT.EXE
IFACE.EXE IOMON98.EXE
JEDI.EXE LOCKDOWN2000.EXE
LOOKOUT.EXE LUALL.EXE
MOOLIVE.EXE MPFTRAY.EXE
N32SCANW.EXE NAVAPW32.EXE
NAVLU32.EXE NNT.EXE
NAVW32.EXE NAVWNT.EXE
NISUM.EXE NMAIN.EXE
NORMIST.EXE NUPGRADE.EXE
NVC95.EXE OUTPOST.EXE
PADMIN.EXE PAVCL.EXE
PAVSCHED.EXE PAVW.EXE
PCCWIN98.EXE PCFWALLICON.EXE
PERSFW.EXE RAV7.EXE
RAV7WIN.EXE RESCUE.EXE
SAFEWEB.EXE SCAN32.EXE
SCAN95.EXE SCANPM.EXE
SCRSCAN.EXE SERV95.EXE
SMC.EXE SPHINX.EXE
SWEEP95.EXE TBSCAN.EXE
TCA.EXE TDS2-98.EXE
TDS2-NT.EXE VET95.EXE
VETTRAY.EXE VSCAN40.EXE
VSECOMR.EXE VSHWIN32.EXE
VSSTAT.EXE WEBSCANX.EXE
WFINDV32.EXE ZONEALARM.EXE
Bedrohung 5: Password Stealer
Dieser Computerwurm ist normalerweise getriggert, wenn er zum ersten Mal auf dem betroffenen System ausgeführt wird. Er sammelt gecachte Passwörter, indem er APIs nutzt und sendet sie zu einem speziellen User. Der Body des Computerwurms enthält diese Information, zusammen mit dem Rechnernamen und dem momentan angemeldeten Benutzer.
Die Sender- und Empfängereinträge sind in diesem Fall die gleichen. Sie können einer der folgenden sein:
boxhill@teach.com
brdlhow@ml1.net
c.willoughby@myrealbox.com
erisillen@canada.com
gili_zbl@yahoo.com
jacopo58@excite.com
jwwatson@excite.com
langobaden@excite.com
mannchris@gala.net
mshaw@hispostbox.com
rvre2736@fairesuivre.com
rwilson@singmail.com
sc4579@excite.com
sctanner@myrealbox.com
sdsdfsf@callme.as
sergio52@mac.com
sm2001@mail.gerant.com
stevechurchis@excite.com
stickly@login.pe.kr
t435556@email.it
vique@aggies.org
zr376q@yahoo.com
Die Betreffzeile der eMail ist der Domainname, den der Computerwurm von der SMTP Default Adresse erhalten hat. Wenn die SMTP eMail-Adresse beispielsweise test@nowhere.com ist, ist die Betreffzeile "nowhere".
Keylogger Komponente und andere abgelegte Dateien
Dieser Computerwurm legt drei .DLL und zwei .DAT Dateien im Windows System und Windows Ordner ab und benutzt zufällige Dateinamen. Eine der .DLL Dateien ist ein Keylogger Programm.
Diese Keylogger Komponente fängt die Tastatureingaben des infizierten Users ab und speichert sie verschlüsselt in einer .DLL Datei ab. Die Keylogger Komponente wird auch als WORM_BUGBEAR.A erkannt, während die anderen beiden .DLLs nicht schädlich sind. Die zwei .DAT Dateien sind nicht schädlich und verschlüsselt.
__________________ Viele Menschen wissen, dass sie unglücklich sind. Aber noch mehr Menschen wissen nicht, dass sie glücklich sind.
Albert Schweitzer (14.01.1875 - 04.08.1965)
|
|
10.10.2002 08:44 |
|
|
fmann
Referee
Dabei seit: 11.10.2001
Beiträge: 1.230
Herkunft: Germany
|
|
@head: Laß uns einfach über das Thema reden und den Rest vergessen. Steh drüber !
cu
fmann
__________________ Viele Menschen wissen, dass sie unglücklich sind. Aber noch mehr Menschen wissen nicht, dass sie glücklich sind.
Albert Schweitzer (14.01.1875 - 04.08.1965)
|
|
10.10.2002 13:04 |
|
|
SirME
gesperrt
Dabei seit: 13.02.2002
Beiträge: 181
Herkunft: Bundesstaat Baden - Württemberg
|
|
xaitax ist besser als ich ! Nach 10 Posts schon unbeliebt ,bei mir fings später an(stimmt´s Leute?)
nun ja zum Thema!Ich habe eine e-mail bekommen von einem der obengenannten addis!Ich öffne und da stand irgenetwas von Andreas braucht Hilfe für seine HP,komm und helf ihm!
und seitdem bekomme ich keine mails mehr(alles dazu kann man bei ALLGEMEINES /E_MAILS VERSCHWUNDEN durchlesen)
Mit freundlichen Grüssen!
Euer SirME!
|
|
10.10.2002 16:38 |
|
|
|
|
|
|