| 26.8.03 | Neues zu Sobig Während in Teilen der Republik noch immer schläfrige Urlaubsstimmung vorherrscht, hat einer in diesen Tagen richtig viel zu tun: Mehr als 420.000 mit dem Sobig.F-Wurm infizierte e-mails hat der GMX Virenschutz innerhalb von drei Tagen gefiltert. Und Besserung ist keineswegs in Sicht, wie die GMX interne Virenschutz-Statistik verrät. Seit Dienstag ist die Rate infizierter e-mails vom vorherigen Durchschnittswert von einem Prozent auf mittlerweile 16% angestiegen!In seiner rasanten Verbreitung übertrifft „Sobig.F“ nach Einschätzung von Experten bislang bekannte Schädlinge um das Zehnfache. Der Wurm, der sich per e-mail verbreitet, soll bereits Hunderttausende Windows-Rechner befallen haben. Das Moskauer IT- Sicherheitsunternehmen Kaspersky Lab sprach sogar von der „größten Epidemie“ in den vergangenen eineinhalb Jahren.“Hunderttausende Sobig-F-Kopien geistern nun durch das Internet, so dass bei einigen Unternehmen das E-Mail-System bereits kollabiert ist“, sagte Gernot Hacker, Technik-Experte beim Münchner Anti-Virensoftware-Hersteller Sophos. Wegen der hohen Verbreitungsgeschwindigkeit vermutet das Unternehmen, dass der Wurm so genannte Spam-Technologie zum Massenversand eingesetzt hat. Sein“Erfolg“ beruht nach Angaben des Karlsruher IT-Experten Christoph Fischer auf zwei neuartigen Eigenschaften: Zum einen durchsucht „Sobig.F“ nicht nur das Adressbuch des Empfängers, sondern gleich auch dessen gesamte Festplatte – und zwar „gründlichst“, wie Fischer betont. Zum anderen kann sich der Wurm Dank einer „multi-threading“-Technik hundertfach gleichzeitig statt hintereinander versenden. Fischer spricht von Hinweisen, dass“Sobig.F“ ein Test aus der Spammer-Ecke ist. Denn die Versender von Werbemails im Internet arbeiteten an Techniken, um ihre unerwünschten Botschaften mittels Würmer zu verbreiten. Dann sind die Täter nicht mehr ermittelbar, erklärte Fischer.Sobig.F Kurzprofil (Quelle: Sophos)W32/Sobig-F ist ein Wurm, der sich via E-Mail und über Netzwerkfreigaben verbreitet. Der Wurm versendet sich unter Verwendung seiner eigenen SMTP-Engine als Attachment an e-mail-Adressen, die er in verschiedenen Dateien auf dem Computer des Opfers findet. Wenn er sich per e-mail versendet, fälscht er die Adresse des Senders, so dass nur schwer ermittelt werden kann, wessen Computer tatsächlich infiziert ist.Die e-mail hat folgendes Format:Betreffzeile: Ausgewählt aus: Re: That movie / Re: Wicked screensaver / Re: Your application / Re: Approved / Re: Re: My details / Re: Details / Your details / Thank you!Text: Ausgewählt aus: Please see the attached file for details. / See the attached file for detailsAttachment: Ausgewählt aus: movie0045.pif / wicked_scr.scr / application.pif / document_9446.pif / details.pif / your_details.pif / thank_you.pif / document_all.pif / your_document.pifW32/Sobig-F versucht außerdem, sich zu verbreiten, indem er sich auf Windows-Netzwerkfreigaben kopiert und verwendet das Network Time Protocol eines von verschiedenen Servern, um das aktuelle Datum und die Uhrzeit festzustellen. Wenn das Datum der 10. September 2003 oder später ist, deaktiviert sich der Wurm. |
| 19.8.03 | Neuer Wurm bekämpft Blaster Nachi verbreitet sich über die gleiche Windows-SchwachstelleNieder-Olm (pte, 19. August 2003 13:16) – Ein neuer Wurm namens W32/Nachi-A (W32/Nachi.worm, WORM_MSBLAST.D) ist aufgetaucht, der gegen den seit letzter Woche kursierenden Wurm W32/Blaster-A arbeitet. Das meldet der Anti-Viren-Spezialist Sophos http://www.sophos.de . Wie Blaster verbreitet sich Nachi über die RPC DCOM Schwachstelle von Windows. Nachi verwendet zwei Dateien: dllhost.exe, der die Hauptkomponente des Wurms ist, und svchost.exe, den Standard TFTP-Server, den der Wurm nur zum Übertragen von einem Ausgangsrechner auf einen Zielrechner verwendet.Wenn der Wurm ausgeführt wird, kopiert er sich in das System und erstellt neue Windows-Dienste. Nachi durchsucht dann das Netzwerk nach Computern, auf denen er die RPC DCOM Schwachstelle ausnutzen kann. Wenn er erfolgreich ist, kopiert der Wurm die Wurmdateien von dem Ausgangssystem. Ist das System infiziert, versucht Nachi Sicherheitspatches von den Microsoft Update-Websites herunterzuladen. Dabei verwendet er eine je nach Sprache des Betriebssystems entsprechende URL. Allerdings ist die Liste der Updates auf Sprachen wie Chinesisch oder Koreanisch sowie Englisch beschränkt. Nach dem Download des Sicherheitspatch versucht Nachi das System neu zu starten.Nachi nistet sich allerdings auch auf Systemen ein, die nicht von Blaster angegriffen wurden. Vor allem in Asien verbreitet sich der Wurm momentan sehr schnell. Nachi ist so programmiert, dass er sich am 1. Januar 2004 selbst vom System löscht. |
| 20.8.03 | Sobig.F bremst Mailverkehr Wien (pte, 20. August 2003 15:54) – Seit gestern, Dienstag, bringt ein neuer Wurm weltweit Mailboxen zum Überquillen. Sobig.F nennt sich die neueste Variante des ersmals im Mai dieses Jahres aufgetretenen Wurmes Sobig.A, die immer mehr geplagte Computerbesitzer nach Hilfe rufen lässt. So rennen auch beim Wiener Unternehmen Ikarus Software http://www.ikarus-software.at seit gestern die Telefone heiß. Man hilft gerne, doch hat der 30-Mann-Betrieb selbst mit 70.000 infizierten E-Mails pro Tag zu kämpfen.Im Gegensatz zu seinen Vorgängern besitzt Sobig.F. integrierte SMTP-Engine, wodurch er nicht auf Outlook angewiesen ist, sondern auch ein vorhandenes Netzwerk nützen kann, um sich auf die angeschlossenen Rechner zu verbreiten. „Zudem“, erklärt Ernst Krippl von Ikarus, „kann sich Sobig.F gleichzeitig an mehrere Empfänger versenden.“ Einmal durch einen Doppelklick auf den Anhang aktiviert, beginnt Sobig.F nach E-Mail-Adressen zu suchen und sich weiterzuversenden. Weil Sobig.F die Absenderadresse ebenfalls aus den gefundenen E-Mail-Adressen entnimmt, kann auch in vermeintlichen Nachrichten bekannter Absender der Wurm drinnen sein.Sobig.F verbreitet sich in Nachrichten mit Subjects wie „Re: Thank you!“, „Re: Details“ oder „Re:Re: My Details“ und Attachments wie „your_document.pif“, „thank_you.pif“ oder „details.pif“. Im Textbereich ist entweder „See the attached file for details“ oder „Please see the attached file for details“ zu lesen.Für alle, die an Sobig.F zu knabbern haben, stellt Ikarus unter http://download.ikarus.at/remover/IkarusRem_Sobig.exe ein kostenloses Entfernungstool zur Verfügung. Aber der Wurm kann in drei Schritten auch manuell entfernt werden: 1. Löschen der Registryeinträge, 2. Reboot des PC und 3. Löschen der Dateien „WINPPR32.EXE“ und „WINSTT32.DAT“ aus dem Windows-Verzeichnis. Anfang nächster Woche müsste es laut Krippl mit dem Spuk wieder vorbei sein, jedoch wird man sich wohl schon auf den Nachfolger von Sobig.F gefasst machen müssen. (Ende) |
| Aktuelle Virenmeldung in den vergangenen Tagen erbringen wir gehäuft Einsätze bei Kunden zur Entseuchung von PCs oder ganzen Netzwerken. Auch hier macht der technische Fortschritt nicht halt. Es sind in der jüngsten Zeit Viren unterwegs, die in bislang unbekannter Weise ansteckend sind und zerstörerisch wirken. Es liegt uns fern, die Panikmache der Presse zu unterstützen. Sehr wohl möchten wir unsere Aufklärungspflicht wahrnehmen. Der Nimda-Virus ist ein solcher ganz besonders aggressiver Virus. Er befällt PCs während einer Internetsitzung, direkt über den Browser !!! Es genügt als Besucher auf verseuchte Internet-Homepages zuzugreifen. Selbst renommierte und bisher als sicher angesehene Internet-Seiten sind infiziert worden. Welchen Schaden richtet der Virus an ? Er infiziert im Nu die Daten Ihrer Festplatte in kürzester Zeit, bis zum Datenverlust. Der Virus verbreitet sich danach auch auf sämtliche angeschlossenen PCs und deren Dateien. Er erzwingt selbständig Internetverbindungen, um sich weiter zu verbreiten. Hierzu hackt er sich weiter in am Internet abgeschlossene PCs (möglicherweise in Ihren) oder Webserver, die nicht hinreichend, per Firewall geschützt sind. Hierzu hält er offene Leitung ins Internet und erzeugt eine hohe Telefonrechnung, ohne daß Sie das bemerken. Er nutzt Ihre e-mail-Kontakte, um diese via e-mail zu verseuchen. Da Sie dort bekannt sind, werden Ihre e-mails auch arglos gelesen….und stecken den Adressaten-PC an. Selbst entseuchte PCs erwiesen sich danach als unbrauchbar und deren Betriebsystem mußte komplett neu installiert werden. Auch Datensicherungen können unbrauchbar sein, wenn der Virus sich schon länger auf dem System befand. Die Entseuchung ist sehr aufwendig und nicht immer von Erfolg gekrönt. Und so können Sie Ihre PCs und Ihr Netzwerk schützen: · Netzwerkserver, sofern nicht Linux, sollten nicht direkt am Internet angeschlossen sein. ISDN-Karten oder Modems sollten ggf. vom Server in eine Arbeitsstation umgebaut werden. Auf allen Arbeitsstationen empfehlen wir die neueste Version des Mc-Afee-Virenscanners mit automatischem Updatedienst installieren zu lassen. Dieser kann über uns erworben werden, zusammen mit einem 1- oder 2- Jahres-Updateservice. Nur der neuste Virenscanner schützt auch vor den neusten Viren. Virenscanner mit automatischem Updatedienst müssen sachgemäß installiert und konfiguriert werden, damit sie nicht zu unkontrollierten Anwahlen und einer hohen Telefonrechnung führen. Ein installierter Virenscanner kann die Systemperformance beeinträchtigt. Wenn Ihr Server über hinreichend Ressourcen verfügt, sollte er aber auch mit einem Virenscanner geschützt werden. Ein schlüssiges und zuverlässiges Datensicherungskonzept ist unumgänglich. Öffnen Sie keine Anhänge von e-mails deren Ansender Sie nicht kennen. Virenprogrammierer wollen Berühmtheit erlangen, darum sind viele Viren auf Microsoft-Produkte spezialisiert und tun sich daher schwer mit Linux-Server. Linux und seine Firewall schützen zuverlässig vor Hackattacken von Viren oder Übeltätern. Ein PC, der mit dem Internet verbunden ist, kann schon nach wenigen Minuten angegriffen werden. Ein am Internet dauerhaft angeschlossener Rechner wird mehrmals am Tag von Hackern oder den o.g. Viren auf Sicherheitslücken „abgeklopft“ und ggf. befallen. Gerne schicken wir Ihnen das heutige Protokoll unserer Firewall, die diese Angriffe laufend abwehrt und protokolliert. Bitte, nehmen Sie dieses Thema nicht auf die leichte Schulter. Beschäftigen Sie sich damit !!! Wir stehen Ihnen Rede und Antwort und werden Ihnen einen individuellen, angemessenen Schutz empfehlen. | |
| Warnung. Kein Virenschutzprogramm schützt umfassend und 100%ig. Jeden Tag werden neue Viren erfunden. Die Firmen, die Virenschutzprogramme herstellen, reagieren zwar schnell, manchmal innerhalb von wenigen Stunden. Bis zur Reaktion sind Sie allerdings nicht geschützt. Sie reduzieren aber Ihr Risiko erheblich, in dem Sie eine Software haben mit einem Update-Vertrag, der Sie regelmäßig und kurzfristig nach der Bekanntgabe von Viruswarnungen, mit einem Update versorgt. Linkliste zum Thema: www.free-av.de www.trojaner-info.de www.nai.com | |
| 8.10.02 | Neuer Virus, der dafür sorgt, dass alle erreichbaren Drucker für Papierberge sorgen. Artikel1, Artikel2, Artikel3 |
| 10.06.02 | Virus: Shakira macht krank. Was wird sie jubeln: Endlich wurde auch Shakira ein eigenes Computervirus gewidmet. Langsam wird das langweilig: Wie im Fall Britney, Kurnikowa und Co. sollte man auch diese Mail mit „Sharika pictures“ nicht öffnen. Viele tun es trotzdem. Den vollständigen Artikel erreichen Sie im Internet unter der URL |
| 10.06.02 | Virus: Shakira macht krank. Was wird sie jubeln: Endlich wurde auch Shakira ein eigenes Computervirus gewidmet. Langsam wird das langweilig: Wie im Fall Britney, Kurnikowa und Co. sollte man auch diese Mail mit „Sharika pictures“ nicht öffnen. Viele tun es trotzdem. Den vollständigen Artikel erreichen Sie im Internet unter der URL |
| 13.03.02 | Neuer Virus !!! |
| 7.03.02 | Neuer Wurmvirus !!! |
| 15.02.02 | Website, die Wurmviren erklärt und Infos gibt, zum Thema Sicherheit: http://www.nutz.ch/css.shtml |
| 23.01.02 | Es wurde ein neuer Virus festgestellt, den Microsoft und McAfee als den bisher gefährlichsten Virus überhaupt bezeichnen! Dieser Virus wurde erst am Freitagnachmittag von McAfee festgestellt und wird noch nicht von Virenscannern erkannt. Der Virus zerstört den Null-Sektor der Festplatte, wo wichtige Informationen für die Funktion der Festplatte gespeichert sind. Die Funktionsweise des Virus ist wie folgt: Das Virus versendet sich automatisch an alle Kontaktadressen aus dem Email-Adressbuch und gibt als Betrefftext \“A Virtual Card for You\“ an. Sobald die vorgebliche virtuelle Postkarte geöffnet wird, bleibt der Rechner hängen, so dass der/die Anwender/in einen Neustart vornehmen muss. Wird nun die Kombination [Strg]+[Alt]+[Del] oder der Reset-Knopf am Rechner-Gehäuse gedrückt, löscht der Virus den Null-Sektor der Festplatte, womit die Festplatte dauerhaft unbrauchbar ist. Wenn Sie also eine Nachricht mit dem Betreff \“A Virtual Card for You\“ erhalten, öffnen Sie diese Mail KEINESFALLS, sondern löschen Sie die Nachricht sofort. Am Freitag hat dieser Virus innerhalb weniger Stunden geradezu eine Panik unter EDV-Usern in New York verursacht. Diese Warnung stammt von einem Microsoft-Mitarbeiter.Intel meldet ebenfalls einen neuen und sehr gefährlichen Virus, der sich mit der Betreffzeile \“An Internet Flower For You\“ verbreitet.. Wenn Sie eine derartige Email erhalten, öffnen Sie diese nicht, sondern löschen Sie sofort. Dieser Virus löscht alle DLL-Dateien von eurem Rechner, so dass der Rechner danach nicht mehr hochfahren kann.Diese Nachricht kam heute von der Medien- und Eventagentur Suttner aus Deutschland: Es sind wieder 3 neue enorm gefährliche Viren entdeckt worden, die per E-Mail kommen mit den Titeln: PSYCHOSPIEL, SCREENSAVER „BABY FUN“ oder Emanuel.exe! Diese Übeltäter sind anscheinend noch gefährlicher als der“I LOVE YOU“ Virus, da die komplette Festplatte gelöscht wird. Es existiert noch kein Schutz!ALSO ! NICHTS ÖFFNEN DAS MIT DIESEN TITELN BEZEICHNET IST! Es sind noch wenig Leute informiert, daher bitte diese Mail umgehend weiterleiten! Der Virus ist erst seit 7 Tagen im Umlauf. |
| 20.12.01 | Artikel bei „DER SPIEGEL“ zu einem neuen Virus. |
| 14.12.01 | Artikel bei „DER SPIEGEL“ zum gefährlischen Goner-Virus und den Sicherheitslücken von Microsoft-Produkten. |
| 10.12.01 | San Francisco/Hamburg, 05.12.2001 (wg/dpa) – Mehrere Antiviren-Firmen haben am Dienstag vor einem neuen gefährlichen Computerwurm gewarnt, der sich als Bildschirmschoner tarnt. „W32/Goner@MM“, so die Bezeichnung des Wurms, verbreitet sich über das Adressbuch von Outlook und löscht bei seiner Aktivierung zahlreiche Antivirenprogramme und Software-Firewalls. Zu erkennen ist W32/Goner@MM an der Betreffzeile „Hi“ sowie der Mailanlage „GONE.SCR“. „Es sind sowohl Geschäfts- als auch private Nutzer betroffen“, sagte die für Virusforschung zuständige Managerin des Anti-Virensoftware-Herstellers McAfee.com, April Goostree. Experten stuften den Wurm wegen der Geschwindigkeit, mit der er sich verbreitete, als „hoch riskant“ ein. Wie andere Mailviren auch, lässt sich eine Infektion durch W32/Goner@MM allerdings einfach vermeiden, indem die betreffende Mail gelöscht wird. Nach den bisherigen Erkenntnissen löscht das Programm zwar keine Datenträger und manipuliert keine Daten, verursacht aber unerwünschte Massenmail-Versendungen und kann damit ganze Unternehmen zeitweise lahm legen. Laut McAfee und Symantec wurden im Laufe des Dienstag mehr als 1.000 Firmennetzwerke weltweit von dem Virus befallen. Die Hacker nennen sich „Pentagone“. Das geht aus einer Mitteilung hervor, die auf dem Bildschirm infizierter Computer aufflackert. Der Name ist ein Wortspiel: Pentagon heißt das amerikanische Verteidigungsministerium, „gone“ etwa „verschwunden“. Computerexperten bezeichnen den Wurm entsprechend als „Goner“. Einer Theorie zufolge kommt die Sabotagesoftware aus Frankreich. |
| 6.12.01 | Neuer Wurm-Virus…hier klicken |
| 5.12.01 | Zur Frage eines Kunden: Eine Firewall schützt nicht vor Viren ! Sie schützt lediglich vor Hackerangriffen. |
| 4.12.01 | Kostenlosen Virenschutz gibt es bei http://www.free-av.de/ Zur erinnerung: für die einmalige Nutzung (bei Virenverdacht) sind diese Quellen gut geeignet. Zur Dauerhaften Nutzung hilft aber nur eine Software mit einem regelmäßigen Online-Update-Service. |
| 30.11.01 14h00 | Mc Afee Update 4173 ist endlich verfügbar… Diese Version entdeckt und entfernt BadTransB1 |
| 30.11.01 | Unser Kunde Norbert Gumpert (Freiburg) hat -auf unsere Warnung hin- den Virus bei sich entdeckt und ihn ohne weiteren Schaden beseitigt. |
| 28.11.01 11h25 | Das erste infizierte e-mail ist bei uns eingetroffen als Antwort auf eines unserer e-mails |
| 28.11.01 | Mc Afee 6.0 bei uns erhältlich (DM 79,- inkl USt.). Achtung ! Mc Afee schützt noch nicht gegen BadTrans.B1 !!! |
| 28.11.01 | Gegen den neuen Virus BadTrans.B1! empfehlen wir dringend ein Update auf Outlook-Express 6.0, das auf diesen Virus insofern nicht reagiert, als beim Laden des infizierten e-mails sofort ein fenster aufgeht mit den Alternativen Laden/speichern/abbrechen. Nur mit ABBRECHEN gehen Sie einer Infektion aus dem Weg. Da viele Viren auf Microsoftprodukte optimiert werden, bringt der Einsatz eines anderen e-mail-programms Sie in relative Sicherheit. Eine Alternative ist z.Bsp.: Pegasusmail (download 3,8MB ) oder der e-mail-client von Netscape |
| 27.11.01 | Vorsicht vor einem neuen Worm/Trojaner, namens BadTrans.B1! Dieser Worm hat die Eigenart, sich sofort ausführen zu wollen, wird die verseuchte eMail in Outlook/Outlook Express bereits im Vorschaumodus angezeigt.Es ist nicht möglich, den Worm anhand eines Betreffs zu erkennen, da dieser ständig wechselnd ist und sich auf eine eMail bezieht, die man irgendwann einmal einer Person, deren Rechner mit diesem Worm infiziert ist, geschrieben hat.Viele Virenscanner erkennen diesen Worm noch nicht, jedoch sollten die neuesten Updates von Virenscannern die Signatur filtern können. Die Version ANTIVIR v6.10.00.81 vom 26.11.2001 kann den Virus erkennen. Unter: http://www.pc-special.de/download/search.php3?rubrik=shtools&urubrik=avirkann diese sowohl für Windows 95/98/ME als auch für Windows NT/2000/XP heruntergeladen werden.Es ist unbedingt Vorsicht geboten!Unter folgenden Namen ist der Virus bereits in Erscheinung getreten:-YOU_ARE_FAT!.MP3.scr -HAMSTER.DOC.pif -README.MP3.scr -Sorry_about_yesterday.MP3.pif -S3MSONG.DOC.scr -ME_NUDE.MP3.scr -DOCS.DOC.pif -IMAGES.DOC.pif -New_Napster_Site.MP3.pifBeachtet bitte, dass momentan nur die Funktion von Outlook Express schützt (Outlook öffnet die Viren in verknüpften Anwendungen, wie MS Mediaplayer etc.), die fragt, ob der Anhang geöffnet oder gespeichert werden soll.Diese Abfrage wird angezeigt, sobald die Vorschau verwendet oder die eMail per Doppelklick geöffnet wird.Unbedingt auf Abbrechen klicken. Denn sollte kein aktueller Virenscanner verwende werden, ist das System verseucht und versendet ebefalls den „BadTrans.B1“ |