amiga-news ENGLISH VERSION
.
Links| Forum| Kommentare| News melden
.
Chat| Umfragen| Newsticker| Archiv
.

amiga-news.de Forum > Andere Systeme > MSN - Wurm - Warnung!!! [ - Suche - Neue Beiträge - Registrieren - Login - ]

-1- [ - Beitrag schreiben - ]

02.07.2007, 07:38 Uhr

Petra
Posts: 1121
Nutzer
Seit zwei Tagen ist eine ziemlich übler Genosse (Wurm) unterwegs. Wer mit MSN Messenger chattet, sollte derzeit auf gar keinen Fall Bilder-Archive, Screensaver oder ähnliches annehmen, egal von wem. Ich meine, sollte man sowieso nicht tun, aber derzeit eben auch nicht von Freunden!

Unterwegs ist ein neuer Wurm, der sich einschleicht, wenn man das Archiv entpackt. Er richtet sich ein schönes Hintertürchen (Backdoor) ein und euer System gehört euch nicht mehr. Gleichzeitig schickt er an eure Kontakte unbemerkt das Archiv weiter.

Also wirklich aufpassen und falls es euch erwischt hat, am besten gleich das System neu installieren.
--
[°¿°] Ciao, Petra

[ Dieser Beitrag wurde von Petra am 02.07.2007 um 13:27 Uhr geändert. ]

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 09:29 Uhr

CASSIUS1999
Posts: 918
Nutzer
Hat der auch einen Namen? Woher die erkenntnis?
--

Kabelfreak
--
Der Amiga jedenfalls war 1985 etwa wie ein Stück Hardware,
das man der Wüste von Nevada aus
einem abgestürzten UFO geborgen hatte.

joek_de im heiseforum

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 12:10 Uhr

Cego
Posts: 1560
Nutzer
bei ICQ werden kürzlich auch schon postcards versendet. nicht annehmen, seitdem spinnt mein ICQ...

MfG Cego
--
Tjo, jetzt gibts nix mehr zum lesen, außer das hier :D

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 13:16 Uhr

Petra
Posts: 1121
Nutzer
Hallo Cassius,

> Hat der auch einen Namen?

Als ich das heute morgen geschrieben hatte, waren die Virensignaturen noch nicht da, jetzt hat der Wurm auch einen Namen: W32/IRCBot-WV, nähere Hinweise kannst Du bei Sophos finden -> http://www.sophos.com/security/analyses/w32ircbotwv.html

Er kommt zurzeit vorwiegend mit einer Datei namens myalbum2007.zip, allerdings ist zu lesen, dass der Dateiname variiert. Wenn der Wurm auf einem System "Fuß" gefasst hat, verschickt er unbemerkt an alle im MSN eingetragenen Kontakte den Wurm weiter. Dadurch soll beim Empfänger der Eindruck entstehen, dass es sich um ein für ihn alleine bestimmtes Bilderarchiv handelt. Verbunden mit so harmlosen Texten wie "Hier die lange versprochenen Bilder" ist schnell mal falsch geklickt.

Außerdem öffnet der Wurm vermutlich weitere Hintertürchen, lädt und versteckt zusätzliche Malware für den Fall der Entdeckung der ursprünglichen Infizierung.

> Woher die Erkenntnis?

Ich beschäftige mich seit einigen Wochen intensiv mit dem Thema Malware-Bekämpfung. Ist sehr spannend! :rotate:
--
[°¿°] Ciao, Petra

Edit: Einige Infos nachgetragen

[ Dieser Beitrag wurde von Petra am 02.07.2007 um 13:44 Uhr geändert. ]

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 13:19 Uhr

Petra
Posts: 1121
Nutzer
Hallo Cego,

Zitat:
Original von Cego:
bei ICQ werden kürzlich auch schon postcards versendet. nicht annehmen, seitdem spinnt mein ICQ...

MfG Cego
--
Tjo, jetzt gibts nix mehr zum lesen, außer das hier :D


Welche Symptome zeigt denn Dein ICQ?
--
[°¿°] Ciao, Petra

[ Dieser Beitrag wurde von Petra am 02.07.2007 um 13:28 Uhr geändert. ]

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 15:27 Uhr

Cego
Posts: 1560
Nutzer
ICQ schließt sich von alleine einfach so und andere bekommen von mir automatisch "grußkarten" geschickt, mit nem link auf diesen wurm
--
Tjo, jetzt gibts nix mehr zum lesen, außer das hier :D

[ Dieser Beitrag wurde von Cego am 02.07.2007 um 15:27 Uhr geändert. ]

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 17:13 Uhr

Petra
Posts: 1121
Nutzer
@Cego:

> ICQ schließt sich von alleine einfach so und andere bekommen von mir
> automatisch "grußkarten" geschickt, mit nem link auf diesen wurm

das hört sich danach an, dass Dein System bereits nicht mehr Dir gehört.

Ich mutmaße, dass sich da auch bei Dir ein Backdoor-Trojaner eingeschlichen hat. Ich bin leider erst ganz am Anfang meiner "Virenbekämpfer-Karriere" und kann Dir daher nur die ersten Schritte sagen, was zu tun ist, um das Problem genauer unter die Lupe zu nehmen.

Mit den diversen Möglichkeiten der vielen Removal-Tools kenne ich mich noch nicht aus, könnte aber fragen, was getan werden kann, bzw. ob ein Neuaufsetzen erforderlich ist.

Wenn Du das möchtest, gib Laut.



--
[°¿°] Ciao, Petra

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 17:36 Uhr

Cego
Posts: 1560
Nutzer
ja klar, wär nett :)
...auch wenn ich vorhab mir in so kurzer zeit wie möglich nen Peg und Amiga zuzulegen :)
--
Schon sehr bald steht hier wieder was wirklich interessantes :)

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 18:10 Uhr

Petra
Posts: 1121
Nutzer
Hallo Cego,

ok, da kommt dann ein wenig Arbeit auf Dich zu :)

Das machen wir dann im richtigen Forum: ->
http://www.hijackthis-forum.de/index.php und beschreibe die Symptome. Vielleicht weißt Du ja auch noch, wann das Problem aufgetreten ist.

Eröffne dort einen neuen Thread im Brett HiJackThis Logfiles.

Am besten arbeite vorher schonmal folgende Anweisungen ab:

Auf gehts :)

1. Kannst Du auf Deinem Computer alle Dateien und Datei-Endungen sehen? Falls nein, bitte folgende Änderungen in den Ordneroptionen vornehmen:

  • Windows-Explorer öffnen und unter -> Extras -> Ordneroptionen -> im Reiter "Ansicht"
  • > Dateien und Ordner: Erweiterungen bei bekannten Dateitypen ausblenden deaktivieren
  • > Dateien und Ordner: Geschützte Systemdateien ausblenden (empfohlen) deaktivieren
  • > Dateien und Ordner: Inhalte von Systemordnern anzeigen -> aktivieren
  • > Versteckte Dateien und Ordner: > alle Dateien und Ordner anzeigen aktivieren


2. Fertige nun ein HijackThis Log Deines Systems an. Dazu diese Datei runterladen und in einen eigenen Ordner entpacken, nicht aus dem Zip-Ordner starten. Jetzt benenne die Datei Hijackthis.exe um in HJT.exe. Dieser Schritt ist erforderlich geworden, da es Malware gibt, die das Programm ansonsten erkennt und sich vor ihm versteckt. Nun HJT.exe starten, auf "Scan" klicken und das Logfile posten.

3. Um weitere Informationen über Dein System zu erhalten, erstelle bitte eine Dateiliste. Halte Dich dabei an folgende Anleitung:

  • Downloade von filelist.zip auf Deinen Desktop

  • Entpacke das Programm auf dem Desktop
  • Starte nun mit einem Doppelklick auf die Datei filelist.bat das Stapelverarbeitungsprogramm
  • Es öffnet sich nun Dein bevorzugter Editor (Textprogramm)
  • Markiere den gesamten Inhalt und wähle kopieren, füge nun alles hier in Deinem Beitrag ein
  • Bearbeite nun Deinen Beitrag, es sollten von jedem Ordnerinhalt nur die letzten 30 Tage im Logfile verbleiben, den Rest bitte rauslöschen!


Dies sind die Verzeichnisse, von denen wir jeweils die letzten 30 Tage sehen möchten:

  • Verzeichnis von C:\
  • Verzeichnis von C:\WINDOWS\system32
  • Verzeichnis von C:\WINDOWS
  • Verzeichnis von C:\WINDOWS\Prefetch
  • Verzeichnis von C:\WINDOWS\tasks
  • Verzeichnis von C:\WINDOWS\Temp
  • Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp


Wichtig: Bitte alle Deine Logfiles in Code-Tags setzen.
Wenn Dein Logfile und Deine Dateiliste vorliegen, wird sich einer meiner Kollegen Deiner annehmen.

Am besten machst Du der Vollständigkeit halber auch noch einen Verweis auf diesen Thread.
--
[°¿°] Ciao, Petra

[ Dieser Beitrag wurde von Petra am 02.07.2007 um 22:31 Uhr geändert. ]

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 18:19 Uhr

Bogomil76
Posts: 2800
Nutzer
Also, der Grußkarten Wurm der im Moment grassiert kommt nich von ICQ.

Du solltest mal Dein System auf Viren und Würmer checken.
Es empfiehlt sich ein Online Check

http://www.heise.de/security/dienste/antivirus/links.shtml
diverse Links

Dann solltest Du noch Dein Antivirusprogramm updaten, welches hast Du denn?

Weiterhin SpybotSD herunterladen http://www.safer-networking.org/de/index.html

mfg

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 18:25 Uhr

Andreas_B
Posts: 3121
Nutzer
@Petra:
>> Mit den diversen Möglichkeiten der vielen Removal-Tools
>> kenne ich mich noch nicht aus

Mit einer mal mehr oder weniger großen Wahrscheinlichkeit, kann der Schädling entfernt werden. Ein 100%ig sicheres Entfernen ist prinzipbedingt unmöglich.

>> bzw. ob ein Neuaufsetzen erforderlich ist.

Wenn er 100%ig sicher sein möchte, dass sein System wieder "sauber" ist, dann gibt es dazu keine Alternative. Wenn ihm auch 80% oder 90% (oder was weiß ich, wieviel Prozent,... ;) ) reichen, dann kann er es ja mal mit einem Removal-Tool versuchen,...

Ciao,
Andreas.

[ Dieser Beitrag wurde von Andreas_B am 02.07.2007 um 18:25 Uhr geändert. ]

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 18:40 Uhr

Petra
Posts: 1121
Nutzer
Hallo Andreas und Bogomil,

stimmt, Garantie, dass die Malware 100% eliminiert werden kann, gibt es nicht. Dann muss man formatieren und neu aufsetzen. Aber zunächst muss man sich mal einen Überblick verschaffen, woher das Problem rührt. Und dann das richtige Tool einsetzen.

Cego, bitte daher jetzt erstmal nicht mit Removal-Tools experimentieren, da diese häufig auch wichtige Spuren verwischen. Zum Reinigen kommen wir noch :) .
--
[°¿°] Ciao, Petra

P.S.: Schön, mal wieder vertraute Namen zu lesen :D
P.P.S.: Und nehmt mir nicht die Arbeit weg, Cego ist mein erstes Opfer :P

[ Dieser Beitrag wurde von Petra am 02.07.2007 um 18:44 Uhr geändert. ]

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 20:56 Uhr

Wolfman
Posts: 3668
Nutzer
Ich dachte immer, MSN selbst wäre Malware :lach:
*SCNR* - der Messenger fliegt bei mir nach einer Neuinstallation immer als erstes von der Platte 8)
--
God forgives - who forgives God ?

[ - Antworten - Zitieren - Direktlink - ]

02.07.2007, 21:58 Uhr

Andreas_B
Posts: 3121
Nutzer
@Petra:
>> Und nehmt mir nicht die Arbeit weg, Cego ist mein erstes Opfer

Nicht doch, Du kannst an ihm hemmungslos herumexperimentieren ;)
Wenn der Rechner tatsächlich infiziert ist, dann ist das ja ohnehin eher mit einer Obduktion vergleichbar :D
Dein "Auftakt" liest sich auf jeden Fall schon mal recht gut :)

Ciao,
Andreas.

[ - Antworten - Zitieren - Direktlink - ]

03.07.2007, 16:34 Uhr

CarstenS
Posts: 5566
Nutzer
@Petra:
> P.P.S.: Und nehmt mir nicht die Arbeit weg, Cego ist mein erstes Opfer

Ich werde mich ganz sicher nicht einmischen. :) Nicht, dass wir dich auch noch vergraulen, wie zuvor schon Maja. :(
--
Tipp der Woche -> http://www.tippderwoche.eu

[ - Antworten - Zitieren - Direktlink - ]

03.07.2007, 23:38 Uhr

Petra
Posts: 1121
Nutzer
@CarstenS:

aber nicht doch, was für Gedankensprünge Bild: http://www.cosgan.de/smiliegenerator/ablage/432/259.png

Keine Sorge, amiga-news.de liegt mir nach wie am Herzen, aber es macht mir auch Spaß, meine grauen Zellen mal mit einem völlig neuen Thema auf Trab zu halten :dance2:
--
[°¿°] Ciao, Petra

[ Dieser Beitrag wurde von Petra am 04.07.2007 um 01:43 Uhr geändert. ]

[ - Antworten - Zitieren - Direktlink - ]

04.07.2007, 21:50 Uhr

Petra
Posts: 1121
Nutzer
@Cego:

Waren ja nicht so gute Nachrichten, die Argos Dir überbringen musste. Hast Du Dein System neu gemacht oder willst Du nun entgültig auf einen Peggy umsteigen?

--
[°¿°] Ciao, Petra

[ - Antworten - Zitieren - Direktlink - ]

05.07.2007, 18:41 Uhr

Cego
Posts: 1560
Nutzer
wie es aussieht hab ich nächste woche nen neuen Peg und den alten lass ich reparieren. nen neuen PC bekomm ich auch noch. Vom jetzigen rechner werd ich die wichtigen daten dann noch kopieren und dann den PC entsorgen :)

MfG Cego
--
Schon sehr bald steht hier wieder was wirklich interessantes :)

[ - Antworten - Zitieren - Direktlink - ]

05.07.2007, 18:45 Uhr

Andreas_B
Posts: 3121
Nutzer
@Cego:
>> und dann den PC entsorgen

Aber doch wohl hoffentlich nicht, wegen der Schadsoftware? 8o Der Rechner hat schließlich keinen hardwareseitigen, sondern lediglich einen softwareseitigen Schaden genommen.

Ciao,
Andreas.

[ - Antworten - Zitieren - Direktlink - ]

05.07.2007, 19:20 Uhr

Bjoern
Posts: 1730
Nutzer
@Andreas_B:

Ich vermute einfach mal dass Cego das weiß ;)

Gruß,
Björn

[ - Antworten - Zitieren - Direktlink - ]

06.07.2007, 06:57 Uhr

Andreas_B
Posts: 3121
Nutzer
@Bjoern:
>> Ich vermute einfach mal dass Cego das weiß

Das vermute ich auch, aber man kann nie wissen,... :)

[ - Antworten - Zitieren - Direktlink - ]

06.07.2007, 17:10 Uhr

Cego
Posts: 1560
Nutzer
klar bin ich mir darüber bewusst :)
--
Schon sehr bald steht hier wieder was wirklich interessantes :)

[ - Antworten - Zitieren - Direktlink - ]


-1- [ - Beitrag schreiben - ]


amiga-news.de Forum > Andere Systeme > MSN - Wurm - Warnung!!! [ - Suche - Neue Beiträge - Registrieren - Login - ]


.
Impressum | Datenschutzerklärung | Netiquette | Werbung | Kontakt
Copyright © 1998-2024 by amiga-news.de - alle Rechte vorbehalten.
.