AnnoZone Forum

Mehrere Antivirus-Hersteller warnen vor einer neuen Variante des Mydoom-Wurms. Es wurde eine mittlere Warnstufe ausgelöst, was bedeutet, dass der Wurm bereits in mehreren Regionen gesichtet wurde und sich weiter ausbreitet. McAfee nennt die neue Variante "W32/Mydoom.bb", bei Symantec heißt er "W32.Mydoom.AX", bei Trend Micro "WORM_MYDOOM.BB", AntiVir erkennt ihn als "Worm/MyDoom.BB".

Es handelt sich um eine modifizierte Version von Mydoom.m, der seit letzten Sommer bekannt ist. Mydoom.bb verbreitet sich per Mail mit gefälschten Absenderangaben wie "Postmaster" oder "Mail Administrator" und täuscht in Betreff und Nachricht eine Mitteilung über ein angeblich aufgetretenes Problem vor. Im englischen Text heißt es, vom Account des Empfängers sei Spam verschickt worden oder eine versandte Mail habe nicht zugestellt werden können. Als Betreff verwendet er:

delivered
delivery failed
Delivery reports about your e-mail
error
hello
hi
Mail System Error - Returned Mail
Message could not be delivered
report
Returned mail: Data format error
Returned mail: see transcript for details
status
test

Die Mails enthalten einen Anhang variabler Größe (ca. 25 KB), dessen Dateiname aus mehreren Teilen zusammen gesetzt wird. Einer dieser Namen:

attachment
document
file
instruction
letter
mail
message
readme
text
transcript

wird kombiniert mit einer dieser Endungen:

bat
cmd
com
exe
pif
scr
zip

Es können auch zweifach gezippte Dateien auftreten. Mydoom.bb kopiert sich als "java.exe" ins Windows-Verzeichnis und legt dort unter dem Dateinamen "services.exe" ein Trojanisches Pferd ab. Sollten bereits Dateien mit diesen Namen vorhanden sein, können sie überschrieben werden. Er trägt beide als "JavaVM" respektive "Services" in diesen Registry-Schlüssel ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Dadurch werden beide Dateien bei jedem Windows-Start geladen. Der Wurm sucht in diversen Dateitypen nach Mail-Adressen und verwendet die Suchmaschinen Google, Altavista, Lycos und Yahoo zur Suche nach weiteren Adressen, an die er sich versendet. Mydoom.bb lädt noch ein zweites Trojanisches Pferd von einem Web-Server herunter. Die meisten Antivirus-Hersteller haben bereits außer der Reihe Updates bereit gestellt, mit denen der Wurm erkannt wird. Die beiden Trojanischen Pferde sind schon seit einigen Monaten bekannt.

Quelle: www.pcwelt.de

Wer seinen Webspace und seine Email bei der Annozone hat, kommt in den Genuss eines automatischen Virus-Checks mit täglichem Update der Signaturdateien, ohne etwas auf seinem PC tun zu müssen.

Ich sollte vielleicht mal mehr Werbung machen...

Selbstgemacht?

Wie meinen?

Ob der Virenchecker selbst gebastelt wurde.

@André, wie will Sir Henry denn rechtzeitig an Signaturdateien kommen. Er ist doch keine Antivirenfirma.

Nö, noch nicht...

Ist der ganz normale AntiVir von H+BEDV, den gibt's für nicht-kommerzielle Sites kostenlos (die Bedingungen großzügig ausgelegt... ) und dazu Updates soviel man will. Hier auf der Site läuft der Update einmal täglich und es gibt wirklich auch fast täglich eine neue Signaturendatei.

Der von Robinson gemeldete Wurm MyDoom.BB wurde tatsächlich erst heute früh entdeckt. Schon nach kurzer Zeit gab es den Update bei AntiVir. Da ich mir noch immer eine Mail für jeden gefundenen Virus zuschicken lasse, bin ich gespannt, wann der erste dieser Sorte gefasst wird...

Über das Wochenende sind mehrere neue Varianten des Mydoom-Wurms entdeckt worden. Sie werden von McAfee als " W32.Mydoom.bc ", " W32.Mydoom.bd " und " W32/Mydoom.be " bezeichnet. Bei anderen Antivirus-Herstellern weichen die Bezeichnungen wegen einer anderen Zählweise davon ab. So fasst Symantec die zwei erstgenannten neuen Varianten unter "W32.Mydoom.AZ@mm" zusammen. Alle drei Varianten ähneln sich stark.

der ganze artikel ist hier nachzulesen.

Quelle: pcwelt.de

Die Hersteller von Antivirus-Software F-Secure und H+BEDV warnen Windows-Anwender vor einer neuen Variante des Internet-Wurms "Bagle". Beide Firmen beobachten gegenwärtig eine massenhafte Verbreitung des Schadprogramms per E-Mail.

Hauptzweck des Schädlings ist die Störung von Aktualisierungsroutinen von Virenschutz-Software. Dazu soll unter anderem die "Hosts"-Datei von Windows modifiziert werden. Mit neuen Einträgen in diesem File unterbindet der Wurm den Aufruf der Internet-Seiten von F-Secure, McAfee, Kaspersky und Symantec.

Außerdem verändert "Bagle.BB" die Einträge in der Registrierungsdatenbank von Windows, die die "Background Intelligent Transfer Services" steuern. Diese Betriebssystem-Dienste werden von "Windows Update" genutzt, um unter anderem Sicherheits-Patches automatisch einzuspielen.

Die Bagle-Variante verschickt selbst erzeugte Dateien mit den Namen "Winhost.EXE" oder "Wiwshost.EXE" an alle auf einem Computer gefundenen E-Mail-Adressen. Der aktive Wurm versucht daneben, eine Datei "Zo2.JPG" von mehreren Internet-Seiten zu laden. Dies schlägt oftmals fehl, da ein entsprechendes File auf den Webservern nicht vorhanden ist.

Unter anderem F-Secure und der AntiVir-Hersteller H+BEDV bieten neue Versionen ihrer Viren-Definitionen zum Download an, die den Wurm erkennen und so eine Infektion verhindern sollen.
Zum Artikel

Quelle:chip.de

Quoted

Original von Robinson Crusoe
Die Hersteller von Antivirus-Software F-Secure und H+BEDV warnen Windows-Anwender vor einer neuen Variante des Internet-Wurms "Bagle".

Durch irgendwas müssen die ja ihre Produkte loswerden.

Trojaner statt Windows-Update

Mit Spannung wartet die Fachwelt auf den morgigen Patch-Day von Microsoft. Offenbar versucht aber ein Virenautor, Vorteile aus der Patch-Euphorie zu ziehen - per eMail lockt er zu einer gefälschten Downloadseite. Fingierte Sicherheitsmeldungen, die vorgeben, von dem Microsoft-Dienst "Windows Update" (update@microsoft.com) zu stammen, geistern derzeit durch etliche Mail-Postfächer.

Simpler Trick zeigt Wirkung

Wer dieses "Update" anklickt, bekommt statt Sicherheit einen Trojaner geliefert - und der spioniert fortan das befallene System aus. Potenziell könnte der Trojaner dazu benutzt werden, die Steuerung über den Rechner oder Teile seiner Funktionen zu übernehmen, melden die Sicherheitsexperten von Sophos.

Die Mails tragen Betreffs wie "Urgent Windows Update" und "Update your Windows machine" und locken per Link auf eine gefälschte Updateseite, die der originalen Windows-Update-Seite nachempfunden ist: Man kennt das inzwischen von unzähligen Phishing-Seiten. Phishing-Mails täuschen eine seriöse Herkunft vor - meist von Banken, Online-Auktionshäusern- und Bezahldiensten - und fordern den Empfänger zur Eingabe persönlicher Zugangsdaten und PIN-Codes auf.

Quelle T-online

Seit gestern verbreitet sich ein deutschsprachiger Virus aus der Sober-Familie rasant im Internet.

Betroffen sind alle GMX-Adressen und Email-Adressen, deren Domain-Endung .de, .ch, .at oder .li lautet.

Betreff: FwD: Ich bins nochmal

Verdammt, ich hatte vergessen Dir meinen Text mitzuschicken.

Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!

Ich melde mich. Bis bald

Mit diesem Text versucht der Virus das Interesse des Lesers zu weccen, in der angehängten Zip-Datei "Private_Texte.zip" befindet sich dann der Virus.

hier gehts zum Artikel:
Computer-Hilfen News

Quelle: symantec (englisch)

Hi Jochen...

von der Mail hatte ich gestern schon zwei....

Absender war mit unbekannt und so hab ich se glei gelöscht...

...nochmal Schwein gehabt !!!

Hinweis an alle Fussballfans
Eine neue Version des Soberwurms treibt sich in die Postfächer. Die Betreffzeilen haben meist etwas mit der WM oder sonst was mit der Fifa zu tun.
Auf jeden Fall sollten die Dateianhänge der Mails gemieden werden.

Es handelt sich hierbei um die Mitteilung über vermeintlich gewonnene Tickets bei der Verlosung der Karten. Die neue Kartenserie, die es seit gestern gibt, wird aber nicht verlost, sondern direkt verkauft. Mails werden in diesem Zusammenhang auch keine verschickt! Man kann die Mails also getrost ungelesen löschen...

tja, da ist den viren-programmern aber was gelungen....

meine frau wollte mir ne freude machen, weil sie weiß wie fußballverrückt ich ja bin....
na den rest brauch ich wohl nicht beschreiben

so durfte ich meine kieferhöhleneiterung vorm compi auskurieren und ihn neu machen

(meld mich somit auch wieder nach längerer abstinenz zurück... )

an alle, die bei www.gmx.de eine E-Mail Adresse haben: Ich hab gestern 14 Spam Mails mit anhängen im Ordner "Spamverdacht" gefunden. Alle wurden von gmx als Spam identifiziert. Die meisten E-Mails enthielten folgenden Text:

Betreff: Ich bins was zum Lachen!

Text: Ich hab hier was für dich. So eine Sauerei!



Vielleicht war der Text auch anders.Ich hab vermutet, dass die Mails Viren enthielten, also hab ich alle gelöscht.
Ist das bei jemandem von euch auch passiert?

Ich hatte heute eine Online-Rechnung von der Telekom, über 8466,53 €. [URL=http://www.winfuture.de/news,18763.html]klick mich[/URL]

gnihi,

solche summen kenn´ ich eigentlich nur von der telefonrechnung meiner großen tochter.

Schon wieder befinden sich gefälschte Telekomrechnungsmails im Umlauf. Sie sehen täuschend echt aus, unbedarfte Zeitgenossen könnten da leicht auf die Idee kommen sie zu öffnen.
Der Anfang heisst Rechnung.pdf.zl9
Am besten gleich löschen.