http://satellite-board.de

Neuer Mail Virus
Warnung vor einem neuartigen hochgefährlichen Computervirus, der Mailserver lahm legen kann.

Dieser Virus verbreitet sich über Outlook und hat im Betreff den Begriff "Hi" oder "How Are You?".
Dabei wird ein Bildschirmschoner mitverschickt.

ACHTUNG: BITTE KEINE MAILS MIT DEM BETREFF "Hi" bzw. "HOW ARE YOU?" ÖFFNEN, SONDERN SOFORT LÖSCHEN.


Gruß satKirschner

HI (das ist kein Virus )
Ich empfehöle allen Outlook usern die Sicherheitseinstellungen hoch zu setzten.
Die meisten merken nicht einmal das sie alles vollmüllen.Wer nicht sicher ist sollte wenigstens sein Adressbuch exportieren und im Outlook komplett leeren um unangenehme Folgen zu vermeiden.

franketo

Oder einfach Outlook meiden. Halt ich fuer die beste Loesung, da es wirklich gute und sichere Alternativen gibt.

unix

unix

oder immer die neuesten Updates laden (aber die auf Viren prüfen ).

Ketzer, Virenscanner kann man nicht vertrauen ! Ich habe in der W32Badtrans Welle dieses Ding so an die 20 mal bekommen, alle verschiedenen Varianten. Aber der Scanner (mit den neuesten Signaturen) hat nur ca. jeden zweiten gefunden. Da mein Mailer aber die Attachments nicht aufmacht, koennte ich die Files immer sehen und entsprechend loeschen.

oli, UNIX - zuhause ? Ein bischen Overkill. Sicher im Buero habe ich auch HP-UX, da koennen die mir mit ihren Mist vom Hals bleiben, aber privat. Vielleicht Linux, aber kein richtiges UNIX.

Er hat schon kein UNIX daheim...

Wann bin ich schon mal zuhause
cu oli

P.S. IBM AUX

Axo - ein CATIA'ner

hab hier ein paar Infos zu dem neuen Wurm:

WORM_GONE.A
Risk rating:
Datum: 04.12.2001
Bekannt seit: 04.12.2001
Aliases:
Virus Art: Computerwurm
Schädlich: ja
In The Wild: ja
Triggerbedingungen: Ausführung
Schadteil: sendet Massenmails, plaziert Textfenster
Pattern Datei: 977 - 177
Lösung verfügbar: 04.12.2001
Scan Engine: 5.200
Sprache: englisch
Plattform: Windows
Verschlüsselung: nein
Grö�e: 38,912 Bytes

Fix-Tool Version 1.0


Dieser Computerwurm ist eine in Visual Basic kompilierte ausführbare Datei, die sich via MS Outlook und gegebenenfalls via ICQ verbreitet. Die Datei gone.scr wird als Attachment an alle Einträge der Adressliste der MS Outlook Applikation gesendet:
Subject:
Hi
Message:
How are you ?
When I saw this screen saver, I immediately thought about you I am in a harry, I promise you will love it!
Attachment:
Gone.scr (UPX - komprimiert)

Content: When I saw this screen saver
Durch Doppelklick wird die angehängte Datei ausgeführt und der Virus schreibt sich in die Registry unter:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
%System%gone.scr = %System%gone.scr.

Wird WORM_GONE.A ausgeführt, erscheint ein Textfenster mit folgendem Inhalt:
pentagone
coded by: suid
texted by: ThE_SKuLL and |satan|
greetings to: TraceWar, k9_unit, stef16 ^Reno
greetings also to nonick2 out there where ever you are

Der Prozess heiÃ?t gone.scr.

Der Computerwurm nutzt zudem die mIRC Applikation, um einen Backdoor Trojaner zu installieren. Er erstellt die Datei REMOTE.INI, die ein Script beinhaltet, welches jedes mal beim Start der mIRC Applikation mit startet. Damit kann der Autor des Threats in IRC Channels DOS Attacken starten (Denial of Service Attacken).

Eine weitere Verbreitungsmöglichkeit besteht in der ICQ Chat Applikation. Dabei wird eine Kopie des Wurms mittels ICQAPI an alle Nutzer, die sich online befinden versendet.

WORM_GONE.A beinhaltet einen destrukiven Schadteil! Er sucht nach folgenden Applikationen und beendet sie:

IAMAPP.EXE
IAMSERV.EXE
CFINET.EXE
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWALLICON.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
NAVAPW32.EXE
NAVW32.EXE
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE
Zudem werden alle Dateien, die sich im gleichen Verzeichnis wie eine der o.g. Dateien befinden, gelöscht.

Routinen zur Verschleierung der Existenz:

Auf WIN 9x Systemen registriert sich WORM_GONE.A als Prozess, der in der Task-Leiste nicht auftaucht. Um eine Detektion zu erschweren, erstellt der Wurm einen Eintrag in der WININIT.INI Datei, der Instruktionen enthält, um die momentan aktive Kopie zu löschen.