Reiki Forum

@Akita : Ich persönlich würde raten, dort einmal mich persönlich zu erkundigen, ob das so seine Richtigkeit hat.

Du wirst dann ja an der Reaktion erkennen können, ob das jetzt offiziell war, oder nicht.

Hallo!
Die Viren sind schon wieder unterwegs!

Als ich gestern im Internet surfte, bekam ich einen Virus und jetzt weiß ich nicht ob ich noch etwas machen muß, bzw. ob ein Schaden angerichtet wurde.

Als ich auf einer Internetseite auf einen Link kickte, meldete sich die Firewall und fragte ob ich die Active X zulassen möchte. Ich klickte auf "nein" und wurde wieder gefragt. Als ich 3-4 x auf nein klickte, öffnete sich etwas, so daß der komplette Hintergrund blau wurde und dort stand mit weißer Schrift:

System error # FF
Probably at this moment a spy software installed in your computer is registering the address of the sites you visited or sending via internet the photos depicted on your computer now.

Spy progron has tracked your computer and trying to transfer this information sowhere in a network

Your IP Addrss: ........
Spy know yóu´re using Mozilla / 4.0 (compatible: MSIE 5.0) Windows 98 Dip Ext
Your computer is Windows 98
Risk status for further investigation: very high risk
Time ov investigation 01/23/04 13:28:33 PST

Your computer is full of evidence. You need help now.

If you want that years of internet data can be used by the police and FBI - Press Enter
For urgent help and stop spy program and this investigation - press "ESC"

Keine Ahnung ob ich jetzt von dem Virenprogramm, der Firewall gewarnt wurde, oder ob dieser Text auch zum Virus gehört. Keine Ahnung ob ich jetzt wirklich Hilfe brauche.

Ich machte anschließend einen Virenscan und im C; Ordner wurde ein "stmtdlr.exe Backdoor: W32/Dyfuca.E" gefunden. Die selbe Datei fand der Scanner auch im Windows/Local settings/Temp. Int. Files.

Ich klickte auf säubern und bekam als Meldung "Datei in Quarantäne". Keine Ahnung ob das Problem jetzt aus der Welt ist.

In den entsprechenden Ordner fand ich anschließend die Datein nicht mehr, aber dafür befanden sich 2 neue Datein im C Ordner: NPF - USER.Dat Datei DAT und Perform.log. / Datei LOG.

Wer kennt sich aus, bzw. hat Erfahrung?

Liebe Grüße
Rudi

Das scheint nur ein Werbegag zu sein, der nur bei aktiviertem Javascript funktioniert . Der blaue Screen kann mit der Tastenkombi ALT/F4 ins Nirwana geschickt werden!

In einem niederländischen Forum, an das sich jemand hilfesuchend gewandt hat, wurde ein Beispiellink gesetzt, der dieses nervige Script enthält: http://www.sex-true.com/mau/new.html !

Wer nix von Sexkram und dem blöden Script hält, sollte den Link NICHT anklicken!!!

cu
tengu

Hallo Tengu,
ich habe auf Stgr/Alt und Entf. geklickt. Der Link befand sich auf einer Seite zum Musikrunterladen. Es befand sich eine ganze Liste von Links zu anderen Musikseiten. Als ich einen davon anklickte, meldete sich die Firewall. Allerdings stammte das nicht aus dem Niederlande, sondern aus USA. Das sieht man auch an der angegebenen Uhrzeit (13 uhr irgendwas), während es bei uns schon Abend war, sowie mit der Meldung ans FBI.
Liebe Grüße
Rudi

Rudi,

nun mach dir mal keine unnötigen Sorgen! Es ist nur eine saudämliche Werbung für eine Software (Evidence-Terminator etc), die zum Surf-Spurenverwischen UND zum Löschen von Spyware auf dem heimischen PC dienen soll.

Das ganze ist kein Virus sondern ein Javascript, das den randlosen "Bluescreen of death"-ähnlichen Screen mit dem Text und deinen per Script ermittelten Daten aufbaut.

Du kannst solche Screens i.d.R mit ALT-F4 stoppen (nicht immer , aber hier geht es)

Gegen echte Spyware hilft übrigens das für Private kostenlose Tool "adaware" und zum Spurenverwischen gibt es auch eine Reihe von Programmen (Webwasher etc.).

Wenn Webseiten versuchen Viren u. so'n Zeug zu setzen hilft immer noch die Software von Symantec (Norton AV).


cu
tengu

Hallo Tangu,
es war mehr als nur Werbung, denn mein Virenscanner hat ja eine Backdoor gefunden. Mir fällt aber ein - habe ich hier vor 3 Tagen auch geschrieben - daß ich eine verdächtige Mail bekommen habe, die ich zwar gelesen habe (Inhalt habe ich auch hier vor 3 Tagen zitiert), aber gelöscht ohne die Anlage zu öffnen. Kann es sein daß man einen Virus von einer Anlage bekommt, ohne die Anlage zu öffnen? Irgendwie kommt mir das schon komisch vor, denn immerhin wußte die "Werbung" daß ich Windows 98 habe und auch wurde die IP zitiert. Bei mir wird die IP ja vom Server vergeben und der vergibt jedes mal eine andere (Schein) IP, aber was ist wenn daß Ding die richtige weiß? Dort wo normalerweise die IP steht, ist das Kästchen für die Zahlen deaktiviert und es ist angehakt daß sie vom Server vergeben wird. Bin leider kein Computerspezialist. Irgendwie schon ein ungutes Gefühl, nicht zu wissen ob sich jemand meine IP unter den Nagel gerissen hat.... Werde am Montag mit meinen Provider reden. Vielleicht war es der Virus im Mail, der mich erst mit dieser Werbung verbunden hat?
Liebe Grüße
Rudi

Es GIBT eine altbekannte Schwachstelle im INternet Explorer : OBWOHL man dort ActiveScripting bzw. Active X AUSgeschaltet sind, KANN ein sogenannter "Exploit" Code ausführen !

Das ist bekannt (ich dachte, ich hätte irgendwo bereits darauf hingewiesen, meinen Links folgen) aber MS hat keinen Patch dazu bereitgestellt.

Ein weiterer Grund mehr, NICHT den Internet Explorer zu benutzen !

Nebenbei : Mit scripten ist es möglich, herauszubekommen, was für einen Browser und was für ein Betriebssystem ein User benutzt, der eine Webseite besucht. Das nur als Beispiel. Ich habe sowas mal selber programmiert.


"Your computer is full of evidence. You need help now."

Psychologisch interessant : Man versetze den Leser in Panik, damit seine Logik ausschaltet, und er etwas unüberlegtes tut.

WEnn ihr euch über Virenscanner und darüber, welche Tricks Hacker anwenden, um in Rechner einzubrechen, informieren wollte, lege ich euch die am Montag erscheinende Ausgabe 3/2004 der Zeitschrift C'T ans Herz.

Immer mal reingucken : http://www.f-prot.de/news.htm

Zitat aus dem Artikel "unter fremder Kontrolle" , erschienen aus der C'T , Ausgabe 3 / 2004 :

In jüngster Zeit finden sich auch vermehrt speziell präparierte Webseiten, die Fehler in Microsofts Internet Explorer ausnutzen, um ein Programm aus dem Internet herunterzuladen und auszuführen.
In den letzten Monaten sind mehrere solcher Sicherheitslücken im Internet Explorer bekannt geworden. Zum Einen vergehen typischerweise mehrere Wochen oder gar Monate, bis Microsoft einen Patch dagegen bereitstellt. So gab es beispielsweise bis zum Redaktionsschluß immer noch keinen Patch für das im November veröffentlichte Problem in der showhelp-Funktion, über das eine Webseite beliebige Dateien installieren und starten kann. Zum Anderen finden sich auch danach noch genügend Surfer, die diese Patches immer noch nicht installiert haben.
Solche Webseiten werden dann häufig in News-Gruppen oder via Chat und Instant Messenger "beworben" und sind oft nicht auf den ersten Blick als dubios erkennbar.. heise Security wurde kürzlich auf eine Seite hingewiesen, die wie eine ganz normale private Seite eines Metallica-Fans aussah, im Hintergrund aber versuchte, einen Trojaner zu installieren. Im Dezember präparierten Einbrecher sogar eine Webseite des Landtags Mecklenburg-Vorpommern so, daß sie automatisch einen Keylogger installierte, der die ausspionierten Daten an verschiedene Server im Internet verschickte.

[Keylogger = Programm zur Aufzeichnung von Tastatureingaben. Besonders kritisch, da Paßwörter immer über die Tastatur eingegeben werden.]
[Anmerkung : Selten bekannt ist übrigens auch, daß Webcams auch "entführt" werden können.]

http://www.heise.de/ct/04/03/118

Eine gute Bekannte hatte mir gestern berichtet, dass sie eine email mit einer Zip-Datei als Anlage geöffnet hatte, die von jemandem kam, der ihr tatsächlich ein eingescanntes Dokument habe zusenden wollen.

Beim Öffnen der Anlage habe ihr Norton Antivirus mit einem grünen Warnscreen auf einen aktiven unbekannten "Wurm" hingewiesen. Dann sei noch eine kleiner roter Screen aufgetaucht, der ebenfalls vor einem Virus gewarnt habe.

Nach ein paar Klicks auf die jew. Dialogboxen habe Norton Antivirus schliesslich mitgeteilt, sie könne beruhigt weiterarbeiten...der Virus sei entfernt.

Mir kam die Gechichte mit dem grünen Warnscreen und der Entwarnung komisch vor und überredete sie schließlich, sich mit mir spätabends nocheinmal an ihren PC zu setzten und einen Systemscan NACH einem update der Virendefinitionsdatei zu machen.

Nach einer Stunde Arbeit stand fest, dass der Virus immer noch aktiv war und einen Neustart im Diagnosemodus mit abgestellter Systemwiederherstellung erforderte, um dann noch einmal einen Scan durchzuführen. Der brachte allerdings nur eine der beiden Dateien zum "Schweigen", die andere konnte immer noch nicht gelöscht werden.

Über die Symantec-Website erfuhr ich von der Notwendigkeit ggfls noch etliche Registry-Einstellungen zu ändern....und erst nach dieser Arbeit konnte die letzte Virusdatei entfernt werden.

Ein guter Riecher , dem "Entwarnungshinweis" vom Nachmittag mit Misstrauen zu begegnen und allerdings mehr als 3 Stunden Arbeit bewahrten hier vor Schlimmerem.

Inzwischen trudeln auch auf meinem priv. Account stündlich mit diesem Wurm infizierte emails ein:

es geht um den neuen Wurm "W32.Novarg.A@mm/MyDoom", der von NAV-Anwendern nur mit der Definitionsupdate-Datei v. 26.01.04 erkannt wird.

http://securityresponse1.symantec.com/s ... .a@mm.html

cu
tengu

Hallo Tengu,
die von Norton sind etwas langsam mit den Updates. War mal bei einer Firma wo wir Norton hatten und auch mit dem neusten Update waren Viren nicht erkennbar, für die mein eigener Virenscanner schon seit 2 Wochen die aktuellen updates hatte.
Liebe Grüße
Rudi

P.S. Zur Zeit sind wieder ein paar neue Viren unterwegs. Hier die Info, die ich von der Firma wo ich meinen Scanner gekauft habe, bekommen habe:wieder sind neue aktuelle Viren im Umlauf, über die wir Sie informieren möchten.

Es handelt sich um die Viren:
W32/MyDoom und
W32/Dumaru

Bitte starten Sie schnellstmöglich ein NVC-Internet-Update, falls nicht schon automatisch erfolgt.

Hinweis: Öffnen Sie keine Mails, vor allem keine Mail-Anlagen, deren Inhalt in der Betreffzeile oder im eigentlichen Mailtext eigenartig erscheint. Löschen Sie solche Mails sofort!

Eine ausführliche Virenbeschreibung finden Sie auf unserer Internetseite www.promus.de unter Menüpunkt 'Viren aktuell' und dann oben im Menü 'Beschreibung deutsch'.

Kurzinfo zum Virus W32/MyDoom:
Alias: Novarg.A, Shimg.A, Mimail.R
Type: Wurm
Verteilungsmechanismus: E-Mail und anderes
Emailcharakteristik:
Betreff: variabel
Mailinhalt: variabel
E-Mail Anlage (Attachment): variabel
Virenerkennung: Der Virus wird mit den Updates ab 27. Jan 2004 oder später erkannt.

Hier handelt es sich um einen neuen Wurm mit einer Dateigröße von 22528 Bytes, obwohl die Größe variieren kann, da es sich um eine ZIP-Datei handelt. Ebenso wie andere Viren, welche 'Social Engineering' Techniken nutzen, versucht auch dieser Wurm dem ahnungslosen PC Nutzer zu suggerieren, dass er den Anhang unbedingt öffnen muss. Der Virus infiziert nicht nur den befallen Computer sondern sendet sich via E-Mail an alle, auf dem System vorhandenen, E-Mail Adressen.
Virenverteilung
Der Wurm kopiert sich selbst in den Windows-System Ordner mit dem Dateinamen TASKMON.EXE. Das Original löscht sich selbst.


Der Wurm erzeugt in der Registrierungs-Datei die folgenden Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Taskmon = [SYSTEM]\taskmon.exe
or
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Taskmon = [SYSTEM]\taskmon.exe

Der Wurm prüft nun die Einträge in der Registrierungs-Datei wie folgt:
HLCU\Software\Kazaa\Transfer DlDir0 ob das Default-Download-Verzeichnis von Kazaa Peer-to-Peer vorhanden ist.

Sollte KaZaa auf dem befallen System installiert sein, kopiert sich der Wurm in den Ordner, in welchem sich die zum Tausch angebotenen Dateien befinden.
Der Hauptverteilmechanismus ist per E-Mail. Der Wurm durchsucht verschieden Dateien und Verzeichnisse nach E-Mail-Adressen um sich dahin selbst zu versenden.

Eine Datei mit dem Namen SHIMGAPI.DLL wird ebenfalls in den Windows-Sytem Ordner erzeugt. Die installierte DLL-Datei erzeugt den folgenden Eintrag in der Registrierungs-Datei:
HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InprocServer32 = shimgapi.dll

Dieser Eintrag wird vom Wurm erzeugt, damit er nach jedem Rechnerneustart automatisch aktiviert wird. Wenn der Wurm gestartet ist, schreibt er einige Daten in den Notepad-Editor. Der Wurm wird seine Verteilung am 12. Februar 2004 einstellen. Jedoch behält er seine Backkdoor funktionalität.

Prüfen Sie bitte, ob sich die Datei SHIMGAPI.DLL im Ordner 'WINDOWS/system' befindet'. Wenn ja, sprechen Sie uns bitte zur Beseitigung des Virus per Telefon unter 0208 / 450 89 20 oder per Mail unter technik@promus.de an.
-----------------------------------------------------------------------------

Kurzinfo zum Virus W32/MyDoom:
Alias: W32/Capegold-mm
Type: Wurm
Verteilungsmechanismus: Email
Emailcharakteristik:
Betreff: Important information for you. Read it immediately !
Mailinhalt: Hi!

Here is my photo, that you asked for yesterday.
E-Mail Anlage (Attachment): myphoto.zip
Virenerkennung: Der Virus wird mit den Updates ab 24. Jan 2004 19:23 Uhr (CET) oder später erkannt.
Typ: Es handelt sich um einen E-Mail Wurm der Dumaru-Familie

Virenverteilung:
Wenn der Wurm gestartet wird, kopiert er sich in das Windows System-Verzeichnis mit dem Namen l32x.exe, und vxd32v.exe, und in das Autostart-Verzeichnis mit dem Namen dllxw.exe.

Außerdem erzeugt er in der Registrierungsdatei einen Eintrag mit der Bezeichnung:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run" "load32"="[SYSTEM]\l32x.exe".

Weiterhin fügt er in der Systemboot-Datei system.ini den Inhalt:

C:\WINDOWS\SYSTEM\VXD32V.EXE"in der shell= Zeile hinzu.

Diese Änderungen werden vom Wurm erzeugt, damit er nach jedem Rechnerneustart automatisch aktiviert wird. Der Wurm W32/Dumaru-Y überwacht laufende Anwendungen und speichert gedrückte Tastenfolgen in die Datei vxdload.log und winload.log im Windows-Ordner.

Der Wurm sucht in folgenden Datei-Arten nach E-Mail-Adressen um sich an diese selbst zu versenden:

*.htm *.wab *.html *.dbx *.tbb *.abd

Danke Rudi!

hier noch ein aktueller spiegel.de-Artikel:

http://www.spiegel.de/netzwelt/netzkult ... 79,00.html

cu
tengu

Dieser Viren/Wurmscanner ist auch immer ziemlich aktuell:

http://vil.nai.com/vil/stinger/

Uwe

Danke , daß ihr mir die Arbeit abgenommen habt.

Hier die optimale Software gegen Viren, Webdialer, Pop Ups und andere Störenfriede:

Ein ganz anderer Virus hat die Grenze überschritten!

Welcher Dunkel-Freak programmiert eigentlich solche Viren?

Und unsere Anfälligkeit dagegen? Hat die auch mit Fehlern in unserem Betriebssystem oder unserem eingebauten Explorer zu tun?

Manchmal ist mir die Ähnlichkeit zwischen dem , was sich auf Computern abspielt und dem biologischen Bedrohungsszenario echt unheimlich.

cu
tengu

tengu hat geschrieben:...Manchmal ist mir die Ähnlichkeit zwischen dem , was sich auf Computern abspielt und dem biologischen Bedrohungsszenario echt unheimlich...

...ist mir auch schon aufgefallen (*stirne runzel und wieder böse ideologische Diversion des Klassenfeindes vermut* )

Um zum Thema noch was beizusteuern: testen lassen kann der DAU (die Nerds auch...) sein System hier: http://webscan.security-check.ch/test

...dauert ein bisschen, ist aber ganz nützlich...

grüßelnd, Kattugla

Auf www.heisec.de gibt es unter "Dienste" (unten links) auch einen "Browsercheck". Nützlich.

Gestern kam ne ganz merkwürdige mail mit folgendem Anhang:

[virus entfernt]aktenz.44641.bat(198Byte)

Angeblich von:
"Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads""
diverse Telefonnummern folgen - mit nem langen Text und irgendeiner IP Nummer, dass wir angeblich Musik aus dem Net geladen hätten und wir ne Anzeige kriegen usw......


Nett - oder?!

Hallo Spiralfrau,
hate ich auch vor kurzem, aber bei mir gilt: jeder Absender, den ich nicht kenne, besonders mit Anhang, wird sofort gelöscht.

Liebe Grüße

Lehrling

Hallo, Spiralfrau, das ist ein Wurm, von dem ich irgendwo weiter oben bereits berichtet hatte.

ich muss auch ehrlich sagen, dass ich eigentlich alles lösche und nichts aufmache....es sei denn, ich bekomme nach absprache eine anlage.
sicherlich ist da vielleicht schon mal was aus versehen gelöscht worden, aber wer mich erreichen will, weiss , wie er mich findet!!!

Spiralfrau hat geschrieben:Gestern kam ne ganz merkwürdige mail mit folgendem Anhang:

[virus entfernt]aktenz.44641.bat(198Byte)

Nett - oder?!

Hi Spiralfrau,


Mein Schwager hat gestern auch so ein Ding bekommen. Nehme an, da hängt der Wurm W32/sober.c mit dran.
Hier erfährst du mehr über deine email und den dazugehörigen Hoax (übler Scherz, Ente) :
http://www.tu-berlin.de/www/software/sh ... rus/soberc

Liebe Grüße
Uwe

Danke für Eure Antworten - mail wurde natürlich sofort gelöscht!
So etwas machen wir nie auf!