"Bagle - Nachwuchs ohne Ende" ("The Neverending Story")
Mehrere Fehler in HP's WebJetAdmin
Virus / Wurm.
Moderatoren: Elvira, AdminTeam
-
LarsU
Hallo sonten,sonten hat geschrieben: Für mich hört sich das andererseits nach einer kaputten Registry an.
danke für die Antwort.
Kann sein.
Mein Computer mußte auch mal zum Kundendienst, weil ich mir mit mit "rechter-Mausklick-Menue: Eigenschaften" die Eigenschaften der Cookies-Datei im Systremordner habe anzeigen lassen, wärend ich online war, danach kam ich nicht mehr ins Internet.
Na ja... vor dem Kundendienst stand dann noch die Idee "Der Computer ist neu, warum nicht gleich die Festplatte formatieren?", die mit der Erkenntnis endete, dass die Grafiktreiber nur auf der Festplatte waren, nicht auf der mitgelieferten CD-ROM
Danke nochmal + herzliche Grüße
LarsU
-
Frank
- Redaktion Reikiland
- Beiträge: 10195
- Registriert: 12.12.2001, 02:00
- Reiki-System: Usui Reiki Ryoho, Usui-Do
- Wohnort: Saarlouis
- Kontaktdaten:
Mittlerweile kann man sich fast alles an Treibern aus dem Netz laden - und nach einer Neuinstallation tut's erst mal ein Standard-VGA-Treiber.LarsU hat geschrieben:dass die Grafiktreiber nur auf der Festplatte waren, nicht auf der mitgelieferten CD-ROM
"Hallo ihr inneren Kinder, ich bin der innere Babysitter" (Terry Pratchett, Hogfather)
Fragen zu Reiki, Forum oder Reikiland bitte nicht via PN oder eMail, sondern im Forum posten.
Fragen zu Reiki, Forum oder Reikiland bitte nicht via PN oder eMail, sondern im Forum posten.
Zum gegenwärtigen Stand der Dinge :
Das ist im Grunde ganz einfach : Ein Virus oder Wurm nimmt sich eine E-Mail - Adresse aus einer Liste (Outlook Kontakte ?) , fügt den Text an, daß von dieser Adresse angeblich virenverseuchte E-Mails kommen, fügt ein angebliches Entfernungsprogramm an (natürlich ist das ein Virus) , das der Empänger möglichst öffnen sprich ausführen soll, im Glauben, damit etwas gegen den angeblich auf der *eigenen* Festplatte sitzenden Wurm zu tun - und fertig. Mehr braucht der Wurm nicht.
Was mich beunruhigt, ist, daß ich eine exakt so gestrickte E-Mail letztes Jahr von einem Bekannten bekam ...
Schlimmer noch : Wenn die Sache so stimmt, wie von der C'T recherchiert, daß Virenschreiber nämlich IP-Nummern und Adressen an Spammer verkaufen , dann kann es durchaus sein, daß Millionen Adressen nichtahnender Mitmenschen in irgendwelchen Spammer-Adreßdatenbanken sitzen - zu beiderlei (Spammer + Virenschreiber) Nutzen.
Das ist das Szenario, von dem ich ausgehe.
Und besonders perfide ist, daß E-Mails von "Guten Bekannten" - sprich Leuten, denen man vertraut - "besonders gerne" öffnet - das heißt ohne Vorsichtsmaßnahmen - weshalb Spammer + Virenschreiber bevorzugt Verknüpfungen benutzen. Das heißt im Endeffekt, daß Virenschreiber + Spammer besonders gerne Adressen von Adreßbüchern benutzen, die lokal irgendwo gelagert werden - denn damit können sie am Besten "Freunde" oder Bekannte des infizierten PCs (sozusagen) anschreiben, ohne Aufsehen zu erregen ... Eine E-Mail des besten Freundes öffnet sich leichter als die eines Unbekannten, dessen Namen ich noch nie gehört habe.
Konsequenterweise habe ich für mich persönlich ein "Vertrauensmodell" aufgebaut : E-Mail von Absendern, die ich nicht kenne, werden sofort ignoriert. E-Mails mit bekannten Absendern werden unter die Lupe genommen; Anhänge werden rücksichtslos gelöscht, wenn ich nicht explizit welche angefordert habe.
Und ich benutze Pegasus Mail, das sich bisher als sehr resistent gegenüber Viren gezeigt hat - vermutlich ist die installierte Basis an Pegasus-Nutzern aus der Sicht der Virenschreiber zu klein. Ich kann mit Pegasus alles machen, was ich will : E-Mails in Rohansicht nsehen (und dabei im Header (KOpf) die Herkunft begutachten, selbst, wenn ich nicht viel davon verstehe), HTML-Ansicht glbal ausschalten, und Scripte führt Pegasus sowieso nicht aus. Ich kann Anhänge einzeln löschen oder speichern, zudem hat Pegasus einige Betrachter eingebaut. Oder ich verknüpfe alles mit IrfanView.
VBScript (VBS) und VBA habe ich ebenso wenig auf meinem Rechner wie den „Windows Scripting Host“, weil sie in meinen Augen potentielle Gefahrenquellen darstellen (Vertrauensmodell). Ich will nicht, daß mein SYstem Dinge macht, die ich nicht will, also will ich auch kein Scripting. Ich bin bisher gut damit gefahren.
Da ich kein MS Office habe, habe ich auch kein VBA; insofern ist die Abkehr von der MS-Office-Monokultur mit einem deutlichen Plus an Sicherheit verbunden.
Der letzte Schrei ist übrigens ein Bagle (oder Netsky ? ) - Wurm, der eine E-Mail generiert, die als HTML-Link ein eingebettetes VBA oder VBS - Script enthält ... bloßes Anschauen reicht also schon. Damit wird der eigentliche Virus oder Wurm aus dem Internet nachgeladen.
Ein solches Fake ist zum Beispiel folgende E-Mail, die mich neulich erreichte :
Einmal abgesehen davon, daß GMX inzwischen von einigen Servern generell gebannt ist (GMX wird scheinbar von einigen Servern inzwischen ähnlich wie Hotmail und aol in einer Blacklist geführt) - was mit in der Tat mit www.TheForce.Net passiert ist, einem großen Star Wars Portal - und ich daher den Verdacht habe, daß deswegen die transatlatische Kommunikation in unbekanntem Ausmaß gestört sein könnte ... ist meine Haupt- dressebei GMX nur noch als „Spam-Fänger“ da.
Ich habe zudem den dringenden Verdacht, daß meine "Spam-Fänger" - E-Mail - Adresse in irgendeiner Spammer-Adressenliste gelandet ist; da ich hin & wieder entsprechende Meldungen von Mail-Servern bekomme.
Bei mir läuft die Kommunikation fast nur noch über Foren, PMs oder PNs, und E-Mails nur bei Leuten, die einen hohen Status in meinem „Vertrauensmodell“ haben. Für Firmen-Korrespondenz (Bewerbungen, Leserbriefe usw.) benutze ich bereits eine andere Adresse.
Ein- bis zwei Mal im Monat mache ich mir die Mühe, und schiebe mir den ganzen Spam bei GMX vom „Spamverdacht“ - Ordner in meinen Posteingang, und lade mir alles mittels Pegasus herunter. Ziel ist, abzuchecken, ob sich im Spamfänger nicht vielleicht eine seriöse E-Mail verfangen hat (ist mir mit zwei Newslettern passiert). Würde ich nicht Pegasus benutzen, würde ich das nicht tun, denn nur so habe ich einigermaßen die Gewißheit, daß eine E-Mail nicht ungefragt Scripte abarbeitet oder „was“ installiert. Das ist ziemlich Mühselig, bringt mich aber des öfteren zu Lachen, wenn ich zum Beispiel eine Spam-Mail erhalte, die mich davon unterrichtet, daß meine Domain www.gmx.de nicht in einer ominösen Liste (die sich den Schein einer Art „Gelben Seiten“ gibt) eingetragen sei und daß ich dies „jetzt“ nachholen könne. Oder wenn ich Spam bekomme, die mich dazu auffortdert, mein e Kreditkarteninformationen (Paßwort undsoweiter) zu „aktualisieren“, obwohl ich niemals Kreditkarten benutze. (Die „Aktualisierung“ ist selbstverständlich mit einem Link mit einer seriösen Adresse hinterlegt, der erst in der Rohansicht seine Maske fallen läßt und eine undefinierbare IP-Adresse anstelle der scheinbar seriösen zum Vorschein kommen läßt).
Ich finde, gerade dieses Beispiel illustriert sehr gut, wie Spam funktioniert.
So weit von mir. „Seid Wachsam !“
Alrik.
Anhang :
quote aus dem GMX-Newsletter :
Exakt. Im Anhang solcher E-Mails (schon mal nach Sober oder Netsky geschaut ? ) befionden sich oft Würmer oder Trojaner oder so.Ich bekomme in letzter Zeit öfter mails von mir völlig unbekannten Personen, die mich freundlich darauf hinweisen, meine an sie gesendeten mails litten unter Netsky-Befall. Natürlich Blödsinn. Offenbar sollen Leute dazu verlockt werden sich auf dubiosen pages irgendwelche Anti-Virus-Tools herunterzuladen, die dann selber Viren und Trojanern Tür und Tor öffnen.
Das ist im Grunde ganz einfach : Ein Virus oder Wurm nimmt sich eine E-Mail - Adresse aus einer Liste (Outlook Kontakte ?) , fügt den Text an, daß von dieser Adresse angeblich virenverseuchte E-Mails kommen, fügt ein angebliches Entfernungsprogramm an (natürlich ist das ein Virus) , das der Empänger möglichst öffnen sprich ausführen soll, im Glauben, damit etwas gegen den angeblich auf der *eigenen* Festplatte sitzenden Wurm zu tun - und fertig. Mehr braucht der Wurm nicht.
Was mich beunruhigt, ist, daß ich eine exakt so gestrickte E-Mail letztes Jahr von einem Bekannten bekam ...
Schlimmer noch : Wenn die Sache so stimmt, wie von der C'T recherchiert, daß Virenschreiber nämlich IP-Nummern und Adressen an Spammer verkaufen , dann kann es durchaus sein, daß Millionen Adressen nichtahnender Mitmenschen in irgendwelchen Spammer-Adreßdatenbanken sitzen - zu beiderlei (Spammer + Virenschreiber) Nutzen.
Das ist das Szenario, von dem ich ausgehe.
Und besonders perfide ist, daß E-Mails von "Guten Bekannten" - sprich Leuten, denen man vertraut - "besonders gerne" öffnet - das heißt ohne Vorsichtsmaßnahmen - weshalb Spammer + Virenschreiber bevorzugt Verknüpfungen benutzen. Das heißt im Endeffekt, daß Virenschreiber + Spammer besonders gerne Adressen von Adreßbüchern benutzen, die lokal irgendwo gelagert werden - denn damit können sie am Besten "Freunde" oder Bekannte des infizierten PCs (sozusagen) anschreiben, ohne Aufsehen zu erregen ... Eine E-Mail des besten Freundes öffnet sich leichter als die eines Unbekannten, dessen Namen ich noch nie gehört habe.
Konsequenterweise habe ich für mich persönlich ein "Vertrauensmodell" aufgebaut : E-Mail von Absendern, die ich nicht kenne, werden sofort ignoriert. E-Mails mit bekannten Absendern werden unter die Lupe genommen; Anhänge werden rücksichtslos gelöscht, wenn ich nicht explizit welche angefordert habe.
Und ich benutze Pegasus Mail, das sich bisher als sehr resistent gegenüber Viren gezeigt hat - vermutlich ist die installierte Basis an Pegasus-Nutzern aus der Sicht der Virenschreiber zu klein. Ich kann mit Pegasus alles machen, was ich will : E-Mails in Rohansicht nsehen (und dabei im Header (KOpf) die Herkunft begutachten, selbst, wenn ich nicht viel davon verstehe), HTML-Ansicht glbal ausschalten, und Scripte führt Pegasus sowieso nicht aus. Ich kann Anhänge einzeln löschen oder speichern, zudem hat Pegasus einige Betrachter eingebaut. Oder ich verknüpfe alles mit IrfanView.
VBScript (VBS) und VBA habe ich ebenso wenig auf meinem Rechner wie den „Windows Scripting Host“, weil sie in meinen Augen potentielle Gefahrenquellen darstellen (Vertrauensmodell). Ich will nicht, daß mein SYstem Dinge macht, die ich nicht will, also will ich auch kein Scripting. Ich bin bisher gut damit gefahren.
Da ich kein MS Office habe, habe ich auch kein VBA; insofern ist die Abkehr von der MS-Office-Monokultur mit einem deutlichen Plus an Sicherheit verbunden.
Der letzte Schrei ist übrigens ein Bagle (oder Netsky ? ) - Wurm, der eine E-Mail generiert, die als HTML-Link ein eingebettetes VBA oder VBS - Script enthält ... bloßes Anschauen reicht also schon. Damit wird der eigentliche Virus oder Wurm aus dem Internet nachgeladen.
Ein solches Fake ist zum Beispiel folgende E-Mail, die mich neulich erreichte :
Der Virus befindet sich in einer .ZIP - Datei, ist mit einem Online-Packer (bisher UPX, neuerdings ein anderer) verpackt [“online“ nicht im Sinne von „Internet“ sondern im Sinne von „während der (ab)Laugfzeit des Programms“], und die .ZIP - Datei ist verschlüsselt ... Benutzer sollen sie mittels dem Paßwort öffnen, in der Hoffnung, damit ein Gegenmittel zu haben. In Wirklichkeit setzen sie damit den Wurm frei.Dear user, the management of Gmx.de mailing system wants to let you know that,
Some of our clients complained about the spam (negative e-mail content)
outgoing from your e-mail account. Probably, you have been infected by
a proxy-relay trojan server. In order to keep your computer safe,
follow the instructions.
For details see the attached file.
For security reasons attached file is password protected. The password is "23154".
Cheers,
The Gmx.de team http://www.gmx.de
Einmal abgesehen davon, daß GMX inzwischen von einigen Servern generell gebannt ist (GMX wird scheinbar von einigen Servern inzwischen ähnlich wie Hotmail und aol in einer Blacklist geführt) - was mit in der Tat mit www.TheForce.Net passiert ist, einem großen Star Wars Portal - und ich daher den Verdacht habe, daß deswegen die transatlatische Kommunikation in unbekanntem Ausmaß gestört sein könnte ... ist meine Haupt- dressebei GMX nur noch als „Spam-Fänger“ da.
Ich habe zudem den dringenden Verdacht, daß meine "Spam-Fänger" - E-Mail - Adresse in irgendeiner Spammer-Adressenliste gelandet ist; da ich hin & wieder entsprechende Meldungen von Mail-Servern bekomme.
Bei mir läuft die Kommunikation fast nur noch über Foren, PMs oder PNs, und E-Mails nur bei Leuten, die einen hohen Status in meinem „Vertrauensmodell“ haben. Für Firmen-Korrespondenz (Bewerbungen, Leserbriefe usw.) benutze ich bereits eine andere Adresse.
Ein- bis zwei Mal im Monat mache ich mir die Mühe, und schiebe mir den ganzen Spam bei GMX vom „Spamverdacht“ - Ordner in meinen Posteingang, und lade mir alles mittels Pegasus herunter. Ziel ist, abzuchecken, ob sich im Spamfänger nicht vielleicht eine seriöse E-Mail verfangen hat (ist mir mit zwei Newslettern passiert). Würde ich nicht Pegasus benutzen, würde ich das nicht tun, denn nur so habe ich einigermaßen die Gewißheit, daß eine E-Mail nicht ungefragt Scripte abarbeitet oder „was“ installiert. Das ist ziemlich Mühselig, bringt mich aber des öfteren zu Lachen, wenn ich zum Beispiel eine Spam-Mail erhalte, die mich davon unterrichtet, daß meine Domain www.gmx.de nicht in einer ominösen Liste (die sich den Schein einer Art „Gelben Seiten“ gibt) eingetragen sei und daß ich dies „jetzt“ nachholen könne. Oder wenn ich Spam bekomme, die mich dazu auffortdert, mein e Kreditkarteninformationen (Paßwort undsoweiter) zu „aktualisieren“, obwohl ich niemals Kreditkarten benutze. (Die „Aktualisierung“ ist selbstverständlich mit einem Link mit einer seriösen Adresse hinterlegt, der erst in der Rohansicht seine Maske fallen läßt und eine undefinierbare IP-Adresse anstelle der scheinbar seriösen zum Vorschein kommen läßt).
Ich finde, gerade dieses Beispiel illustriert sehr gut, wie Spam funktioniert.
So weit von mir. „Seid Wachsam !“
Alrik.
Anhang :
quote aus dem GMX-Newsletter :
GMX Virenreport
===========================================================
+++ Holzauge, sei wachsam: Bagle kann's jetzt auch ohne
Attachment! +++
Eine neue Folge der Bagle-Saga: Bei den vier neuen Varianten, Q
(W32/Bagle-Q), R (W32/Bagle-R), S (W32/Bagle-S) und T
(W32/Bagle-T) ist besondere Vorsicht geboten, denn sie enthalten
im Gegensatz zu den meisten e-mail-Viren kein Attachment und
sind damit schwieriger zu identifizieren. Wenn Anwender die
e-mail öffnen - und ihre Version von Microsoft Outlook nicht vor
der 5 Monate alten kritischen Sicherheitslücke geschützt ist -
wird automatisch schädlicher Code von dem PC heruntergeladen,
der die sogenannte "Carrier" (Träger)-e-mail versendet hat.
Sobald sie installiert sind, stoppen die Würmer zahlreiche
Sicherheitsanwendungen und machen damit Ihren Computer
potentiell anfällig für weitere Viren- oder Hackerangriffe. Die
Würmer versuchen außerdem, sich über Datei-Austausch-Netzwerke
zu verbreiten und andere ausführbare Dateien zu infizieren.
+++ Was bisher geschah: Bagle tarnt sich als Service-Mail +++
Aus gegebenem Anlass an dieser Stelle nochmals die Warnung vor
einer anderen Variante bösartiger e-mails aus der "Bagle"
Wurm-Familie, die sich als angebliche Service-Nachricht eines
e-mail-Providers tarnt. Der Wurm bedient sich dabei eines ebenso
einfachen wie wirkungsvollen Tricks und setzt in den e-mail-Text
beim Versenden an geeigneter Stelle die Domain des
e-mail-Dienstes der Empfängeradresse ein - ganz ähnlich wie bei
einem Serienbrief. Der fertig getarnte Wurm sieht dann zum
Beispiel so aus:
Hello user of Gmx.net e-mail server,
Your e-mail account will be disabled because of improper
using in next three days, if you are still wishing to use it,
please, resign your
account information. For further details see the attach.
Kind regards,
The Gmx.net team
http://www.gmx.net
Wenn Sie eine solche e-mail erhalten sollten: Den Dateianhang
bitte keinesfalls öffnen, anklicken oder ausführen! Oder noch
besser: Schützen Sie sich vor dieser und anderen Viren- und
Wurmattacken mit dem GMX Virenschutz, Deutschlands erstem
TÜV-zertifizierten Virenschutz mit 100% Erkennungsquote aller
aktuellen Viren (nach WildList, Stand Februar 2004)! Weitere
Infos zum GMX Virenschutz Sie hier:
Any sufficiently advanced technology is indistinguishable from magic.
Arthur C. Clarke, "Profiles of The Future", 1961
Arthur C. Clarke, "Profiles of The Future", 1961
-
sonten
im Anhang war eine Benutzer-Daten.Pif- Datei, die unser zentraler Viren-Scanner gestern unbeanstandet durchließ und erst seit heute morgen als:Passwort und Benutzername wurde erfolgreich geändert
++++ Im www erreichbar unter: http://www.t-online.de
++++ E-Mail: KundenInfo@t-online.de
*** Anti- Virus: Es wurde kein Virus erkannt
identifizieren kann.Found virus WORM_SOBER.F in file Benutzer-Daten.pif
The file Benutzer-Daten.pif is moved to /etc/iscan/virus/virFvLawi.
Diese deutschsprachige Variante der Viren-Email ist offenbar erst seit gestern öffentlich bekannt: siehe hier
cu
sonten
-
Spiralfrau
-
Frank
- Redaktion Reikiland
- Beiträge: 10195
- Registriert: 12.12.2001, 02:00
- Reiki-System: Usui Reiki Ryoho, Usui-Do
- Wohnort: Saarlouis
- Kontaktdaten:
Na, den Virenscanner wechseln 
Im Ernst: Der Virus liegt wohl in einem zip-Verzeichnis - zur Zeit eine beliebte Methode eines Wurms. Wenn Dein Virenscanner nicht das ganze Verzeichnis löscht, solltest Du ihn entweder anders konfigurieren (damit er das im Zweifelsfall darf) oder die Datei von Hand löschen.
Im Ernst: Der Virus liegt wohl in einem zip-Verzeichnis - zur Zeit eine beliebte Methode eines Wurms. Wenn Dein Virenscanner nicht das ganze Verzeichnis löscht, solltest Du ihn entweder anders konfigurieren (damit er das im Zweifelsfall darf) oder die Datei von Hand löschen.
"Hallo ihr inneren Kinder, ich bin der innere Babysitter" (Terry Pratchett, Hogfather)
Fragen zu Reiki, Forum oder Reikiland bitte nicht via PN oder eMail, sondern im Forum posten.
Fragen zu Reiki, Forum oder Reikiland bitte nicht via PN oder eMail, sondern im Forum posten.
-
Spiralfrau
-
Spiralfrau
-
Frank
- Redaktion Reikiland
- Beiträge: 10195
- Registriert: 12.12.2001, 02:00
- Reiki-System: Usui Reiki Ryoho, Usui-Do
- Wohnort: Saarlouis
- Kontaktdaten:
Wie schon an anderer Stelle gesagt: Der gross umworbene 3-Wege-Spam-Filter von web.de ist schrottig. Er filtert laut Test nur relativ wenig Spam raus, lässt dafür aber so manche wichtige Mail nicht durch.
Ei Spidalfrau, da haste aber ne unglückliche Kombination...
Ei Spidalfrau, da haste aber ne unglückliche Kombination...
"Hallo ihr inneren Kinder, ich bin der innere Babysitter" (Terry Pratchett, Hogfather)
Fragen zu Reiki, Forum oder Reikiland bitte nicht via PN oder eMail, sondern im Forum posten.
Fragen zu Reiki, Forum oder Reikiland bitte nicht via PN oder eMail, sondern im Forum posten.
-
Spiralfrau
-
LarsU
Kann ich aus meiner Erfahrung heraus nicht sagen. Ok, einmal ist eine freigeschaltete Absenderin in "unbekannt" gelandet, weil sie als Betreff "hey" angegeben hatte... aber ansonsten bin ich echt sehr zufrieden. Der meiste Spam landet da wo er hingehört.Frank hat geschrieben:Der gross umworbene 3-Wege-Spam-Filter von web.de ist schrottig. Er filtert laut Test nur relativ wenig Spam raus, lässt dafür aber so manche wichtige Mail nicht durch.
Herzliche Grüße!
LarsU
-
Frank
- Redaktion Reikiland
- Beiträge: 10195
- Registriert: 12.12.2001, 02:00
- Reiki-System: Usui Reiki Ryoho, Usui-Do
- Wohnort: Saarlouis
- Kontaktdaten:
RNL
Tja, nach dem Erhalt des Reiki-Newsletter erhalte ich folgende eMails von einigen Usern von web.de:
Und das geht dann bei jedem unbekannten Absender so.
Ich werde mich ganz sicher nicht bei jedem dieser Leute ins Adressbuch eintragen (vor allem, da sich ab dem nächsten Mal die Absenderadresse ändert). Entweder checken sie also den Ordner "unbekannt" oder sie werden den bestellen Newsletter niemals zu Gesicht bekommen...Für dieses Postfach ist der WEB.DE Drei-Wege Spam-Schutz aktiviert.
Dadurch werden zum Schutz vor unerwünschten Nachrichten nur E-Mails in den Posteingang sortiert, deren Absender dem Inhaber bekannt sind.
Ihre Absenderadresse war nicht im Adressbuch oder der Liste der erwünschten Absender enthalten, daher wurde die Nachricht in den Ordner "Unbekannt" sortiert.
Und das geht dann bei jedem unbekannten Absender so.
"Hallo ihr inneren Kinder, ich bin der innere Babysitter" (Terry Pratchett, Hogfather)
Fragen zu Reiki, Forum oder Reikiland bitte nicht via PN oder eMail, sondern im Forum posten.
Fragen zu Reiki, Forum oder Reikiland bitte nicht via PN oder eMail, sondern im Forum posten.
Habe eine interessante (leider Englische) Seite zum "Troubleshooting" gefunden : http://www.grc.com
Da gibt es einige kleine Programme, die eventuell (mit)helfen können ...
EDIT : http://www.sophos.com/virusinfo/analyse ... botgi.html
Eine neue Bedrohung : Agobot.
Da gibt es einige kleine Programme, die eventuell (mit)helfen können ...
EDIT : http://www.sophos.com/virusinfo/analyse ... botgi.html
Eine neue Bedrohung : Agobot.
Any sufficiently advanced technology is indistinguishable from magic.
Arthur C. Clarke, "Profiles of The Future", 1961
Arthur C. Clarke, "Profiles of The Future", 1961
Sasser
Hatte neulich ein paar Infos zum Wurm zusammengestellt. Vielleicht hilft sie dem ein oder anderem.
Ein neuer Wurm treibt sein Unwesen vor allem auf Systemen mit Windows 2000 und Windows XP. Er nutzt dabei eine Sicherheitslücke im LSASS von Windows. LSASS ist eine Service, der unter anderem zur Authentifizierung von Systemen in Netzwerken dient ( Local Security Authority Subsystem Service ). Ist man mit diesem Wurm infiziert, kann das genau wie beim Wurm Blaster/Lovesan zu einer Abschaltung des Systems durch den NT Autiritätsdienst führen. Obwohl eine Verbreitung des Schädlinges noch
relativ gering ist, sollte man das Update von Microsoft einspielen.
Um in Zukunft vor weiteren Viren oder Worm Attacken geschützt zu sein, empfehle ich den Download von Stinger. Dieses kostenlose Programm findet und entfernt in der derzeitigen Version ca. 40 aktuelle Viren und Würmer. Eine Aktualisierung von Stinger erfolgt in der Regel jede Woche. Da immer neue Viren und Würmer auftauchen sollte man ebenfalls ein wöchentliches Update durchführen.
Ist die Infizierung schon erfolgt, hilft auch eine manuelle Abschaltung des NT Autoritätsdienstes. Für diese Aktion haben sie nach dem Erscheinen des Hinweises, "Das System wird heruntergefahren", genau 60 Sekunden Zeit. Mausklick auf Start -> Ausführen. Im nun erscheinendem Fenster geben sie "shutdown -a" ohne die Anführungszeichen ein und bestätigen die Eingabe durch einen Mausklick auf OK.
Ich persönlich habe festgestellt, das nach der manuellen Abschaltung der Befehl "Kopieren" und "Einfügen" nicht mehr funktionierte. Das ist aber sicher systemabhängig und mit der Einspielung des oben genanntem Update wird dieses Mango hoffentlichder Vergangenheit angehören...bis zum nächsten Wurm...
Gruß Uwe
Ein neuer Wurm treibt sein Unwesen vor allem auf Systemen mit Windows 2000 und Windows XP. Er nutzt dabei eine Sicherheitslücke im LSASS von Windows. LSASS ist eine Service, der unter anderem zur Authentifizierung von Systemen in Netzwerken dient ( Local Security Authority Subsystem Service ). Ist man mit diesem Wurm infiziert, kann das genau wie beim Wurm Blaster/Lovesan zu einer Abschaltung des Systems durch den NT Autiritätsdienst führen. Obwohl eine Verbreitung des Schädlinges noch
relativ gering ist, sollte man das Update von Microsoft einspielen.
Um in Zukunft vor weiteren Viren oder Worm Attacken geschützt zu sein, empfehle ich den Download von Stinger. Dieses kostenlose Programm findet und entfernt in der derzeitigen Version ca. 40 aktuelle Viren und Würmer. Eine Aktualisierung von Stinger erfolgt in der Regel jede Woche. Da immer neue Viren und Würmer auftauchen sollte man ebenfalls ein wöchentliches Update durchführen.
Ist die Infizierung schon erfolgt, hilft auch eine manuelle Abschaltung des NT Autoritätsdienstes. Für diese Aktion haben sie nach dem Erscheinen des Hinweises, "Das System wird heruntergefahren", genau 60 Sekunden Zeit. Mausklick auf Start -> Ausführen. Im nun erscheinendem Fenster geben sie "shutdown -a" ohne die Anführungszeichen ein und bestätigen die Eingabe durch einen Mausklick auf OK.
Ich persönlich habe festgestellt, das nach der manuellen Abschaltung der Befehl "Kopieren" und "Einfügen" nicht mehr funktionierte. Das ist aber sicher systemabhängig und mit der Einspielung des oben genanntem Update wird dieses Mango hoffentlichder Vergangenheit angehören...bis zum nächsten Wurm...
Gruß Uwe
Hüte dich vor Menschen mit nur einem Buch!
Spiralfrau hat geschrieben:@ Frank
jep! Outlook - aber zwischengeschalteter SPAM Filter von Web.de - die verklag ich....................grmpfffff....................
Es gibt bei web.de auch die Möglichkeit, den Spam Filter manuell einzurichten. Hab ich so gemacht und bin den Spam incl. der netten Anhänge auch los. Bei Bedarf stelle ich die Liste, die derzeit ca. 20 -30 Filterregeln beinhaltet, mal hier rein. Die Einrichtung dauert dann eine knappe Stunde.
Gruß Uwe
Hüte dich vor Menschen mit nur einem Buch!
ja der ist echt läßtig, man kann ihn eigentlich nicht verhindern. Hab am we meinen pc neu aufgesetzt natürlich ist der patch bei der neuinstallation noch nicht drauf. Beim ersten verbinden mit dem internet wooops is er drauf. das ist der erste wurm der es sogar auf meinen pc schafft. echt ärgerlich.Alrik die Ameise hat geschrieben:Nach Agobot macht nun Sasser den Leuten das Leben schwer.
lg
Tom
Was du erhältst nimm ohne stolz an, was Du verlierst gib ohne trauer auf.
-
Spiralfrau
Tolle Idee! Mach das mal bitte!"Husky, den Spam Filter manuell einzurichten. Hab ich so gemacht und bin den Spam incl. der netten Anhänge auch los. Bei Bedarf stelle ich die Liste, die derzeit ca. 20 -30 Filterregeln beinhaltet, mal hier rein. Die Einrichtung dauert dann eine knappe Stunde.
Gruß Regina
Zuletzt geändert von Spiralfrau am 04.05.2004, 10:51, insgesamt 1-mal geändert.
Der neue Wurm Sasser schafft es nicht, auf den Rechner zu kommen, wenn man einen Router benutzt, auf dem eine Firewall läuft, die den eingehenden Datenverkehr auf allen Ports blockiert.
Seitdem ich den Router benutze und zusätzlich einen Virenscanner benutze, habe ich keine Probleme mehr.
Seitdem ich den Router benutze und zusätzlich einen Virenscanner benutze, habe ich keine Probleme mehr.
Ich bin nicht die Signatur, ich putz hier nur !
-
Kobold
Moderne DSL-Router haben meist eine eingebaute Firewall.
Alternativ kann man auch eine Softwarefirewall benutzen, z.B. ist eine solche bereits in Windows XP eingebaut.
Wesentlich effektiver ist jedoch die Hardwarefirewall im Router, weil schädliche Daten erst gar nicht in den Computer gelangen können.
Zum Verständnis was eine Firewall überhaupt ist:
Programme kommunizieren mittlerweile üblich über das TCP/IP-Protokoll miteinander. Damit die Programme sich verstehen, benutzen sie zusätzlich Ports. z.B. benutzt ein Internet-Web-Server den Port 80. Er schickt auf diesem Port Daten ins Netz. Ein Browser wiederum lauscht genau auf diesem Port auf die Daten und zeigt sie dann an.
Insgesamt gibt es 65000 dieser Ports.
Prinzipiell sind die Betriebssysteme standardmässig so konfiguriert, dass diese 65000 Ports alle offen sind, d.h. ein Angreifer aus dem Internet kann versuchen, auf einem dieser Ports in den PC einzubrechen.
Eine Firewall blockiert nun physisch und logisch diese Ports, indem sie zwei Netze voneinander trennt. Nämlich das Internet und das Heimnetzwerk.
Nur bestimmte Daten (vom Anwender konfigurierte Ports) werden durchgelassen und natürlich der ausgehende Datenverkehr.
Sämtliche anderen Daten, die ohne Anforderung aus dem Internet an den Heim-PC übermittelt werden, ignoriert die Firewall einfach.
Alternativ kann man auch eine Softwarefirewall benutzen, z.B. ist eine solche bereits in Windows XP eingebaut.
Wesentlich effektiver ist jedoch die Hardwarefirewall im Router, weil schädliche Daten erst gar nicht in den Computer gelangen können.
Zum Verständnis was eine Firewall überhaupt ist:
Programme kommunizieren mittlerweile üblich über das TCP/IP-Protokoll miteinander. Damit die Programme sich verstehen, benutzen sie zusätzlich Ports. z.B. benutzt ein Internet-Web-Server den Port 80. Er schickt auf diesem Port Daten ins Netz. Ein Browser wiederum lauscht genau auf diesem Port auf die Daten und zeigt sie dann an.
Insgesamt gibt es 65000 dieser Ports.
Prinzipiell sind die Betriebssysteme standardmässig so konfiguriert, dass diese 65000 Ports alle offen sind, d.h. ein Angreifer aus dem Internet kann versuchen, auf einem dieser Ports in den PC einzubrechen.
Eine Firewall blockiert nun physisch und logisch diese Ports, indem sie zwei Netze voneinander trennt. Nämlich das Internet und das Heimnetzwerk.
Nur bestimmte Daten (vom Anwender konfigurierte Ports) werden durchgelassen und natürlich der ausgehende Datenverkehr.
Sämtliche anderen Daten, die ohne Anforderung aus dem Internet an den Heim-PC übermittelt werden, ignoriert die Firewall einfach.
Ich bin nicht die Signatur, ich putz hier nur !