Technik-Servicebereich:

Da die Technikredaktion immer wieder zum Thema "Viren" Emails erhält dürfen wir Sie als German News Leser sporadisch zu diesem Thema informieren und Ihnen ein paar wichtige Informationen zur Hand geben. Trotz immer wieder neuer Viren im Netz bleiben die gesammelten Informationen aktuell und sollen den German News Lesern helfen Probleme zu erkennen, zu verstehen und diese zu beheben.

Unsere Empfehlung bei vermeintlichen und ernsten Problemen: Testen Sie mit dem kostenlosen SymantecTM Security Check Ihren PC oder Mac auf Virenbefall und entdecken Sie potenzielle Sicherheitslücken per ONLINE !

Aktuelle Nachrichten zu PC-Viren finden Sie hier

Gesammelte Informationen und Bereinigungsmöglichkeiten der bekanntesten Viren:

Sober-G unterwegs

Der Mailwurm Sober-G ist nun auch in Deutschland angekommen.

Sober-G verschickt sich an Email-Adressen, die der Wurm auf einem infizierten Rechner finden kann. Sober-G verwendet dabei unterschiedliche Betreffzeilen, die zwischen „Mail Delivery failure“, „Your Password“ oder auch „Registration confirmation“ wechseln.

Sober-G ist ein typischer Massenmail-Wurm, der sich nach seinem Start automatisch in die Windows-Systemordner kopiert und automatisch bei jedem Hochfahren des Rechners startet.

Um den Wurm wieder zu entfernen, stellen die bekannten Antivirensoftwarehersteller aktualisierte Tools bereit, oder erklären auf ihren Webseiten die entsprechenden Arbeitsschritte.

Weitere Infos erhalten Sie z.B. von Sophos oder ein Prüftool mit der Option den Sober-G-Virus zu entfernen von Symantec unter www.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html

MSBlast will Update-Seite lahm legen

Im Internet ist ein Wurmvirus aufgetaucht, der sich eine Schwachstelle in Windows zunutze macht. Die Gefahr ist ähnlich dem Wurm „CodeRed“.

Der Wurm nutzt die Windows-Schwachstelle - eine Buffer-Overflow-Verwundbarkeit im so genannten Remote Procedure Call (RPC) - aus, indem es auf Standard-Virentools zurückgreift.

MSBlast hinterlässt dabei auf infizierten Rechnern unter anderem die Nachricht "Billy Gates why do you make this possible? Stop making money and fix your software". Ist der Wurm einmal auf dem Rechner, kann das infizierte System unkontrolliert abstürzen. Außerdem versucht der elektronische Schädling, dass einige Ports des befallenen PCs als sogenannte „Hintertüre“ geschlossen werden. Der PC kann so ferngesteuert werden.

Gleichzeitig wird eine Denial-of-Service-Attacke auf die Windows-Update-Seite vorbereitet. Angeblich soll der Angriff ab dem 15. August starten und bis einschließlich 31. Dezember dauern, schreibt der Spiegel. Insbesondere Privatuser und Unternehmen sind von der Gefahr bedroht.

Patch von Microsoft zum installieren

Wenn Sie sich den Virus eingefangen haben, dann können Sie auf dieser Seite Informationen abrufen. Den W32.Blaster.Worm von Ihrem Rechner entfernen sie mit dem dort beschrieben Tool. Der normale Norton Antivirus findet den Wurm kann ihn aber nicht entfernen.

W32/Gruel-D-Wurm tarnt sich als Sicherheitspatch des Softwareherstellers Microsoft und verbreitet anschließend Beleidigungen gegen das Unternehmen.

Der Antivirensoftwarespezialist Sophos stuft Gruel-D als gefährliche Variante des Wurms ein, da er das Betriebssystem von zwei Richtungen aus angreife. Der Wurm enthält in der Betreffzeile „Microsoft Windows Critical Update“. Im Textfeld der Nachricht kündigt der Virenautor einen wichtigen Patch für eine Sicherheitslücke im Betriebssystem an. Öffnet der User jedoch die angehängte Datei, erscheinen ausführliche Beleidigungen gegen Microsoft und sein Betriebssystem.

Gleichzeitig versendet sich der Virus an alle im Adressbuch des Users eingetragenen eMail-Adressen. Windows-Funktionen wie das Ausloggen und das Herunterfahren des Rechners werden deaktiviert. Aus dem Windows-Systemordner löscht der Virus wahllos Dateien. Sophos

Wurm "Benjamin" befällt Kazaa-Netz

Im Peer-to-Peer-Netz (P2P) von Kazaa wütet derzeit ein Wurm namens "W32.Benjamin". Tückisch: der Schädling unter der Bezeichnung "EXPLORER.SCR" kopiert sich in das Systemverzeichnis von Windows und sorgt außerdem durch entsprechende Einträge in die Registrierdatenbank dafür, dass er automatisch beim Hochfahren des Systems gestartet wird.

 

Verbreitungsgebiet von Benjamin ist das Download-Verzeichnis der Tauschbörse, das er für alle Nutzer des Netzes freigibt. Den Antiviren- Experten von Symantec zufolge tarnt er sich als Spiele- oder Musikdatei mit den folgenden Namen:

Acrobat Capture 3.0-full-downloader
Age of Empires-Games-full-downloader
American Pie 2-divx-full-downloader
Baseball 2001-Games-full-downloader
Metallica - Blackened
ac dc - Fight For Your Right

Bei Kazaa-Betreiber Sherman Networks will man die Situation untersuchen. Angeblich seien bisher nur wenige Rechner infiziert worden. Wenn man sich Benjamin auf dem PC eingefangen hat, lässt sich das Problem beheben, indem man folgende Registry-Schlüssel löscht:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "
 System-Service"="C:\\WINDOWS\\SYSTEM\\EXPLORER.SCR"

HKEY_LOCAL_MACHINE\Software\Microsoft] "syscod"="0065D7DB20008306B6A1"

Zudem sollte die Datei "EXPLORER.SCR" aus dem Systemverzeichnis und das Verzeichnis "Sys32" aus dem Temp-Ordner entfernt werden.

Weitere Informationen unter:

http://www.kazaa.com/en/index.htm

http://securityresponse.symantec.com/w32.benjamin.worm.html

Wurm W32.Klez.H@mm

Derzeit verbreitet sich ein neuer Email-WURM in rasanter Weise und hat schon viele Rechner befallen. Problem dabei: Es wird ständig traffic erzeugt. Emails mit einem Anhang *.EXE und *.BAT sollten grundsätzlich nicht geöffnet werden.

Die russischen Virenexperten von Kaspersky Labs warnen vor einem Trojaner, der sich als Heilmittel gegen den Wurm Klez.H tarnt. Als Absender wird Kaspersky Labs mit der E-Mail-Adresse support@kapersky genannt; die HTML-Mail enthält einen Trojaner. Die Betreffzeile der gefälschten E-Mail: "You are under serious threat". Der Text der Nachricht fordert die Benutzer auf, Vorkehrungen gegen den Wurm Klez.H zu treffen. In der HTML-Mail ist allerdings ein Javascript, das beim Öffnen der Mail versucht, den Trojaner "Smokedown" herunterzuladen und zu installieren.

Das US-Außenministerium hat offensichtlich eine Variante des Internet-Wurms "Klez" mit regelmäßigen Reisewarnungen an Bürger verschickt. Wie Behörden-Sprecher Philip Reeker mitteilte, sollen rund 23.000 E-Mail-Empfänger von dem Schädling bedroht sein. Der Wurm, der als Absender die offizielle E-Mail-Adresse des Außenministeriums trug, muss irrtümlicherweise an einen entsprechenden Mail-Verteiler der Behörde gelangt sein. Dabei wurde seine Schadensroutine wirksam: er verschickte sich automatisch selbst an alle in dem E-Mail-Adressbuch eingetragenen Empfänger. Die elektronische Post sei jedoch nicht direkt vom Außenamt versendet worden, betonte Reeker gegenüber US-Agenturen.

Ebenso seien weder die Mailing-Server noch das interne Netzwerk des Ministeriums durch den Wurm zu Schaden gekommen. Der Wurm "Klez" ist seit 1999 bekannt und war zuletzt Mitte April dieses Jahres in der Variante "Klez.H" aktiv, in der er sich als Schutz-Tool vor einer älteren Mutation ausgab. Tatsächlich benennt der Schädling alle ausführbaren Dateien um und verschickt sich selbst mit einer beliebigen Datei an gespeicherte E-Mail-Adressen.

Weitere Informationen und ein Tool zum entfernen finden Sie hier

Seit 4.12.2001 hat Goner.A auch Europa erreicht, und verbreitete sich rasend schnell und ist leider weiterhin aktiv.

Der Goner.A genannte Wurm arbeitet nach altbekanntem Muster. Per Email erreicht der Virus die Computer der User. In der Betreffzeile der Mail steht „Hi“, und im Body „How are you ? When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!.”. Klickt man auf den Dateianhang „Gone.SCR“, infiziert man sein System mit dem in Visual Basic geschriebenen Wurm. Goner.A verbreitet sich anschließend über die im Outlook-Adressbuch eingetragenen Emailadressen.

Die Verbreitung soll nicht nur über Microsofts Outlook, sondern auch über ICQ und das Chat-Programm mIRC erfolgen. Bei ICQ scannt der Wurm alle Benutzer, die online sind. Über IRC versucht er die Datei Remote.ini als Trojaner zu installieren, um so jederzeit im System DOS-Attacken starten zu können.

Nehmen Sie bitte ein update Ihrer Virensoftware vor. 

Informationen in englischer Sprache finden Sie im Virus Information Center

Virus Win32.Badtrans.B@mm weiterhin unterwegs

Name: Win32.Badtrans.B@mm
Aliases: I-Worm.BadtransII (KAV) Win32/Badtrans.B@mm (RAV)
Type: Executable Mass Mailer
Size: ~29Kbytes
Detected: 11-26-2001 12:00 (GMT+2)
Damage: Low

Anhang:
E-Mails mit dem Anhang bzw. den folgenden Worten enthalten diesen Virus:
fun, Humor, docs, info, Sorry_about_yesterday, Me_nude Card, SETUP, stuff, YOU_are_FAT!, HAMSTER, news_doc, New_Napster_Site, README images, Pics
Der Anhang list immer in der Kombination .MP3. .DOC. .ZIP. mit .scr .pif oder .scr oder .pif

Microsoftinformation hierzu: http://www.microsoft.com/windows/ie/downloads/

Antivirenprogramm zum Download von Bitdefender

Code Blue Virus

Dieser Wurm infiziert Systeme mit dem Betriebssystem Windows NT (Service Pack 7 bereits abgefangen) und Windows 2000 (im Service Pack 2 bereits abgefangen).

Informationen und Sicherheitspatches erhalten Sie auf den folgenden Webseiten:

Microsoft Patch Information und Download zum installieren.

Viruswurm SirCam: Aufgrund der zahlreichen Meldungen über Sir Cam, scheint diese Wurm/Virus Kombination langsam aber sehr sicher seinen Weg auch nach Deutschland gefunden zu haben. Einige User berichten über den Eingang von mehr als 20 mit W32/SirCam verseuchten E-Mails die den Text "Hi how are you" oder Hallo, wie geht es" enthalten. 

Das Programm liegt als selbstentpackende EXE-Datei vor. Nach dem Download die Datei "sircamcleaner.exe" doppelklicken und in das vorgegebene Verzeichnis (oder einen anderen Pfad auswählen) entpacken. 

Download: http://www.trojaner-info.de/news/sircamcleaner.shtml

Code RED für Supervisor und Webmaster mit IIS 4.0/5.0

Die entdeckte neue Variante des Internet-Computer-Wurms Code Red kursiert auch in Deutschland. Code Red II macht die befallenen Rechner offenbar anfällig für Hacker-Angriffe. Deshalb unbedingt den Microsoft Patch installieren. (Bitte beachten Sie die Hinweise)

Step by step Information:
http://www.spiegel.de/netzwelt/

Microsoft Download Center: http://www.microsoft.com/technet/security/

Neue Sicherheitslücke in Microsofts IIS (15.8.2001)
Microsoft hat wieder eine Sicherheitslücke im Internet Information Server (IIS) entdeckt und bekannt gegeben. 

Wie das PC-Magazin mitteilt  ist es nach Angaben von Microsoft versierten Hackern möglich, mit nur geringem Aufwand auf einer mit IIS betriebenen Webseite als Gast Administrator-Rechte zu erlangen. Mit Hilfe dieser Administrator-Rechte wiederum ist theoretisch eine Übernahme des Servers denkbar. Für die Attacke reicht es angeblich, ein Programm im DLL-Format ins IIS Virtual Directory zu überspielen.

Eine Schwäche im IIS-Prozessablauf macht das Programm verwundbar für diesen neuen Attackentyp, der dem Code-Red-Prinzip vergleichbar sein soll. Die Prozess-Isolation bei IIS kann auf drei Sicherheitsstufen eingestellt werden. In der niedrigsten dieser Sicherheitsstufen werden DLL-Dateien immer ausgeführt - eine Schwachstelle, die nach Ansicht von Microsoft Hacker ausnutzen könnten.

Hacker hätten sogar zwei Möglichkeiten, von der Sicherheitslücke zu profitieren. Entweder können Dateien ins Virtual Directory von IIS kopieren und von dort ausführen, oder sie laden Programme direkt in den IIS Virtual Tree. Die Folgen können in beiden Fällen gravierend sein. Microsoft hat mehrere Patches gegen die Sicherheitslücke ins Netz gestellt.

Der Microsoft-Patch ist abrufbar unter:
http://www.eu.microsoft.com/downloads/release.asp?releaseid=32012