amiga-news ENGLISH VERSION
.
Links| Forum| Kommentare| News melden
.
Chat| Umfragen| Newsticker| Archiv
.

[Login] [Registrieren] [Passwort vergessen?]

< Nächste MeldungVorige Meldung >
09.Apr.2001
Thomas Würgler im ANF


Trojaner-Warnung (Update II)
Im Aminet ist ein sog. Trojaner aufgetaucht, der dafür sorgt, dass H&P mit unflätigen Mails bombardiert wird. Es handelt sich um das gestern ins Aminet gelangte Archiv ´stackattack.lha´ in util/boot (deutscher Mirror). Einzelheiten dazu finden Sie unter dem Titellink.

Hier die Originalmessage:
Some sort of trojan (apparently the newly uploaded stackattack.lha on Aminet) has caused SMTP bombing of haage-partner. The file is this: StackAttack.lha util/boot 68K 0 V1.2b Kills GURUs (stack problem). It's on the German Aminet mirror.
Could there be hidden backdoors in MorphOS? Read the link and consider for yourself.

Frank Niewiedzial informierte uns, dass möglicherweise auch noch weitere Archive betroffen sind.
"Bitte auch Archive "safe.lha und fblit.lha" nicht herunterladen bzw. installieren. Diese Archive sind Fakes und senden ebenfalls bei geöffneter Onlineverbindung Hassmails an H&P. Erkennbar durch Systemmonitore, es wird ein Prozess "zakahackandpatch" installiert. Erinnert mich an den alten "zakapior"-Fake. Sehr einfallsreich ;-). Mail an VirusHelp ist bereits auf dem Weg. Beste Grüße Wizek"

Mit einem weiteren Eintrag im ANF wurden wir darauf von Silvio K. darauf aufmerksam gemacht, dass auch die neueste Version von ´BlaceWCP´ betroffen sein könnte.
"Die neueste Version von BlaceWCP, die im Aminet liegt, öffnet den Port 113 (auth) ihres Computers und verbindet ihn mit der IP von Haage & Partners Web und FTP-Hauptserver! Das Programm selber ist nicht von Haage & Partner, auch sehe ich nichts dergleichen in dem Readme von Blacewcp. Es muss also auch hier mit einen Trojaner gerechnet werden.
Folgende Logs wurden bei Zurückverfolgung aufgenommen:
tcp 0 0 pD9042BA5.dip.t-.auth haage-partner.co.61797 TIME_WAIT
16:00:46.081940 pD90427BC.dip.t-dialin.net.2865 > haage-partner.com.smtp
16:02:08.530618 pD90427BC.dip.t-dialin.net > 217.5.107.165: icmp: echo request
Außerdem meldet sich der Computer wieder zurück, und will Daten versenden."

Anmerkung der Redaktion:
Haage & Partner bestätigte uns, dass derzeit ca. 15 E-Mails pro Minute eingehen. Jürgen Haage: "Keine Panik, trotzdem geht normale E-Mail nicht verloren."

Das MorphOS-Team hat nichts mit diesen Viren zu tun, und distanziert sich ausdrücklich davon! "Unterste Schublade, das ist nicht unsere Art".

Auch Georg Steger, der Original-Autor von StackAttack distanziert sich in einem Kommentar bei ANN ausdrücklich von diesem Hack.

Virus Help Denmark und der Administrator Matthias Scheler vom Aminet sind informiert und werden die Files prüfen und ggfs. aus dem Aminet entfernen.

Auf der Homepage unter dem Titellink ist auch ein Tool, welches den Prozess aus dem RAM entfernt. Dieses entfernt den Trojaner allerdings nur solange man nicht rebootet, also die Programme sollte man trotzdem entfernen. Es hilft nur temporär!

Nachtrag: Messsage of the day from Aminet
  • TROJAN HORSES FOUND ON AMINET. The following four archives on Aminet were unfortunately infected: util/boot/StackAttack.lha, util/boot/BlazeWCP.lha, util/virus/Safe.lha and util/boot/FBlit.lha. They contain faked releases of the original software linked with a Trojan horse which sends out abusive e-mails. On infected systems a process called "zakahackandpatch" will show up. If your system is infected deleted the software listed abover or replace it with older versions and reboot. As a protest against this abuse of Aminet we will shut down our services on "us.aminet.net" and "de.aminet.net" until Friday.
  • DE3.AMINET.NET NOW COMPLETE. The mirror in Erlangen, Germany now stores all Aminet files.

Nachtrag 10.04.2001:
Hier noch die offizielle Meldung von Virus Help Denmark, die unter auf ihrer Website die alten Archive zum Austausch bereithalten.

Four new 'TCP' trojans was found today on Aminet. If you installed one of these archives, please delete the files. We hope to have a cure for these trojan within the next 24 hours.
The TCP trojan will send an email to 'Haage & Partner', with a very stupid text.

Here is what we know so far:

Virus Type.... : TCP Trojan
Trojan name....: zakahackandpatch

Archive name.. : Safe.lha Archive size.. : About 20 kb
Archive name.. : Fblit.lha Archive size.. : 142.086 bytes
Archive name.. : BlazeWCP.lha Archive size.. : 32.862 bytes
Archive name.. : stackattack.lha Archive size.. : About 32 kb

Thanx to Frank Niewiedzial, Kev Harrison, Luca Longone and many more for your information about these archives.....
(ps)

[Meldung: 09. Apr. 2001, 17:52] [Kommentare: 30 - 11. Apr. 2001, 21:42]
[Per E-Mail versenden]  [Druck-Version]  [ASCII-Version]
< Nächste MeldungVorige Meldung >

.
Impressum | Datenschutzerklärung | Netiquette | Werbung | Kontakt
Copyright © 1998-2021 by amiga-news.de - alle Rechte vorbehalten.
.