|
||||||||||||||||||||||||||||
SQL-Wurm legt teilweise Internet lahm
Ein
winziger SQL-Wurm mit einer Größe von lediglich 376 Byte legt derzeit
weite Teile des Internets lahm. W32.SQLExp.Worm" - ebenfalls
bekannt als "SQL Slammer", "DDOS.SQLP1434.A" sowie
"W32/SQLSlammer" nutzt dabei eine seit einem halben Jahr
bekannte Lücke des Microsoft SQL Servers. Alle
großen Anbieter von Antivirensoftware warnen vor dem neuen Wurm, der
Rechner mit Microsofts "SQL Server 2000" oder der
"Microsoft Desktop Engine (MSDE) 2000" lahm legt. Der Wurm löst
über ein modifiziertes UDP-Packet auf Port 1434 einen Bufferoverflow
aus und beginnt dann, sich mit der vollen Bandbreite des Rechners an zufällige
IP-Adressen weiterzuverschicken. Da
er in einem einzigen Datenpaket Platz findet, kann er sich mit einer
bisher nie da gewesenen Geschwindigkeit verbreiten. Auch erzeugen die
vielen Datenpaket ein Datenvolumen, dass bereits Teile des Internets
lahm zu legen droht. Der
Wurm wird derzeit als extrem gefährlich eingestuft. Internet
Security Systems http://www.iss.net/security_center/
hat mit AlertCon 4 die höchste Bedrohungsstufe ausgerufen und geht
davon aus, dass dieser Zustand noch das Wochenende über aufrecht
erhalten bleibt. Code Red und Nimda hatten nur Stufe 3 erreicht. Microsoft bietet seit dem 24. Juli letzten Jahres
einen passenden Patch,
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
der diese Lücke schließt. Wie die gegenwärtige Eskalation zeigt,
scheinen aber viele Rechner ungeschützt zu sein. Auch alle
Antiviren-Software-hersteller arbeiten derzeit fieberhaft an Lösungen
und bieten erste Updates zum Schutz gegen SQL Slammer an. Wir empfehlen
als erste Notfalllösung, sofort den UDP-Port 1434 in beide Richtungen
in Ihrer Firewall zu blocken. Einen Patch von Symantec finden sie auf unserem FTP
Server hier
Zwei Windows32-Würmer verbreiten sich derzeit rasant im Netz:
Bugbear - |
||||||||||||||||||||||||||||
Source-Wurm infiziert tausende
Linux-Webserver
Slapper nutzt einen Buffer Overflow im mod_ssl-Modul von
Apache-Servern, um |
||||||||||||||||||||||||||||
Proof-of-Concept: Trojaner umgeht
Firewall
Bei der "Def Con" in Las Vegas haben drei südafrikanische
Entwickler einen |
||||||||||||||||||||||||||||
MS: General-Patch heilt Internet Explorer
Neue Wurm-Variante: W32.Klez.H@mm Erneut ist ein modifizierter Klez-Abkömmling im Netz unterwegs: Bei W32.Klez.H@mm handelt es sich um eine Spielart des Mail-Wurms Klez.E. Er installiert sich im Windows-Systemverzeichnis und erzeugt einen Autostart-Eintrag in der Registry. Zudem infiziert der Wurm Dateien auf lokalen bzw. Netzwerk-Verzeichnissen und injiziert einen Virus (W32.Elkern.4926 ) ins System. Zur Weiterverbreitung via E-Mail nutzt Klez.H neben dem Windows-Adressbuch auch die ICQ-Datenbank. ------------------------------------------------------------------------------------------------- Unter dem gefälschten Absender info@microsoft.de kursiert derzeit eine falsche Viruswarnung. Die Empfänger des vermeintlichen Microsoft-Services werden darin aufgefordert, sich durch Download einer Virenschutz-Software gegen einen neuen Virus namens "Sweartheart" zu schützen. Bei Ausführung des Programmes wird allerdings ein teurer ISDN-Dialer installiert. Microsoft veranlasste die sofortige Sperrung der URL, so dass gegenwärtig keine weiteren Schäden mehr verursacht werden können. Seinen Kunden, die sich den ISDN-Dialer bereits installiert haben, bietet Microsoft unter der Anwender-Hotline 01805-672255 unter dem Stichwort "Sweatheart" telefonische Hilfe an. www.microsoft.de-------------------------------------------------------------------------------------------------- |
||||||||||||||||||||||||||||
Antivirenhersteller wie Symantec
haben entdeckt, dass die Schadensroutine im Wurm W32.MyLife.B@nmm eine
Gefahr darstellt. Bei der ersten Prüfung waren die Virenjäger von
einer fehlerhaft programmierten Funktion ausgegangen.
Der Wurm selbst verspricht in der zugehörigen Mail eine lustige Karikatur des ehemaligen US-Präsidenten Bill Clinton ("look to bill caricature it's vvvery verrrry ffffunny"). Nach dem Ausführen des Anhangs "cari.scr" wird auch eine Karikatur angezeigt. Unterdessen kopiert sich der Wurm ins Windows-Systemverzeichnis und trägt sich in die Registry ein. Die Schadensroutine des Wurms versucht, nach dem Neustart des Systems alle Dateien (*.*) aus den Laufwerken C: bis F: zu löschen. Symantec und anderen Antivirenherstellern war es in der ersten Prüfung in Laborumgebung nicht gelungen, diesen Löschvorgang zu reproduzieren. Nun hat sich die Lage verändert. Den neuen Erkenntnissen zufolge liest der Schädling die Systemzeit aus und schlägt zwischen acht und neun Uhr morgens zu, einer Zeit also, in der viele PCs gestartet werden. Dann allerdings funktioniert die Schadensroutine wie geplant und löscht Dateien. |
||||||||||||||||||||||||||||
Nach Informationen von mehreren Herstellern von
Antivirensoftware treibt mit W32.GonerA@mm befällt tausende PCs --------------------------------------------------------------------------------------------- -------------------------------------------------------------------------------------------- ------------------------------------------------------------------------------------------- Seit dem 18. 9. 2001 erreichen uns Meldungen über einen neuen Wurm namens "Nimda" (auch "W32/Nimda" oder "Concept Virus (CV) v.5.") der sich auf Systemen mit Windows 95, 98, ME, NT und 2000 auf folgende Weise verbreitet:Arbeitsweise des Wurms
---------------------------------------------------------------------------------------------- |
||||||||||||||||||||||||||||
CodeRed-Tool von Microsoft
Um auch der Mutation des CodeRed-Wurms Herr zu werden, hat Microsoft ein Tool bereitgestellt, welches vor Angriffen durch CodeRed II schützen soll. Diese Variante verbreitet sich noch schneller als die erste Version im Netz. http://www.eu.microsoft.com/germany/ms/produktsupport/aktuell.htm |
||||||||||||||||||||||||||||
Virenwarnung:
Neuer Computerwurm VBS.SST@mm
erscheint als E-Mail-Anhang "AnnaKournikova.jpg.vbs" Die Schadensroutine von VBS.SST@mm wird aktiv, wenn der Anwender den Dateianhang namens "AnnaKournikova.jpg.vbs" anklickt, der angeblich ein Bild der russischen Tennisspielerin Anna Kournikova beinhalten soll. Die Betreffzeile lautet: "HERE YOU HAVE, ;o)" zuzüglich des Textes "HI: CHECK THIS!" Die Verhaltensweise von VBS.SST@mm: Er nutzt die Netzwerkinfrastruktur und kopiert sich selbst in das Windows Directory. Anschließend verschickt er sich eigenständig via MS Outlook an das gesamte Outlook-Adressverzeichnis. Symantec hat für seine Kunden bereits eine Virensignatur bereitgestellt, sie liegt zum Herunterladen bereit unter: www.symantec.com/avcenter/download.html. Laut Eric Chien, Leiter des Virenforschungslabors von Symantec in Europa (Leiden, Niederlande), gehört dieser Wurm zwar nicht zu einer neuen Kategorie von Computerviren, birgt aber dennoch ein hohes Gefahrenpotenzial: "VBS.SST zerstört zwar keine Dateien, verbreitet sich aber rasend schnell. Wann immer er sich verschickt hat, versucht er, sich wieder herzustellen und erneut zu versenden. Dies könnte im schlimmsten Fall dazu führen, dass Mailserver wegen Überlastung für mehrere Stunden lahm gelegt werden - vergleichbar mit einer Denial-of-Service-Attacke". Chien warnt jedoch auch vor Panikreaktionen: "Wer seine Virenschutzsoftware aktualisiert, der sollte auf der sicheren Seite sein." Fact Sheet Name des Virus: VBS.SST@MM Auch bekannt als: VBS.OnTheFly, VBS.Lee-o, AnnaKournikova-Wurm Art des Virus: Wurm Wurde mit einem im Internet verfügbaren Viren-Programmier-Tool erstellt Herkunft des Virus: vermutlich Niederlande Ähnliche bekannte Viren: VBS.Pica, VBS.Lee gehören zu der gleichen Familie Erscheinungsbild: Der Wurm hängt an einer E-Mail mit der Betreffzeile: Here you have, ; o ) Der Text der E-Mail lautet: Hi: Check This! Der E-Mail-Anhang, in dem sich der Virus versteckt, heißt: AnnaKournikova.jpg.vbs Funktion des Virus: Es handelt sich bei VBS.SST@MM um einen Wurm, der durch Doppelklicken auf den E-Mail-Anhang ausgelöst wird. Daraufhin kopiert sich der Wurm in das Windows Directory, und verschickt sich anschließend über Microsoft Outlook selbstständig an alle im Adressverzeichnis aufgeführten E-Mail Adressen. Potenzieller Schaden: Zusammenbruch der E-Mail Server in Unternehmen Zeitpunkt der Endeckung: 12. Februar 2001 erhielt das Symantec AntiVirus Research Center (SARC) mehrfache Einsendungen mit diesem Virus von Symantec Kunden Bekannte infizierte Organisationen: Mehr als 20 weltweit geschätzte Anzahl der infizierten Organisationen laut SARC: Tausende weltweit Gefahrenstufe laut SARC: 4 ( 1=niedrigste Gefahrenstufe; 5=höchste Gefahrenstufe) Der Wurm breitet sich sehr schnell aus. Er hat dennoch NICHT die gleiche Gefahrenstufe wie VBS.Loveletter und Melissa. -------------------------------------------------------------------------------------------------- Wurm beantwortet jede eingehende Mail mit infizierter Nachricht Die Virenforscher von Network Associates warnen vor dem "New Navidad Internet Worm". Dieser wurde zwar erst vor wenigen Tagen entdeckt, aber jetzt vom Status "niedriges Risiko" auf "mittleres Risiko, noch unter Beobachtung" heraufgestuft. Hat sich der Virus auf einem Rechner eingenistet, versucht er, auch andere PCs zu infizieren, indem er alle eingehenden Mails beantwortet. Die Reply weist einen Anhang mit einer "navidad.exe" auf. Ein Doppelklick auf das Attachment infiziert auch den neuen Rechner. Der Wurm nutzt das MAPI (Messaging Application Programming Interface) und damit konforme Mailprogramme wie Outlook und Outlook Express. Wer bereits mit dem Virus infiziert ist, sollte den Rechner auf keinen Fall neu starten, da der Wurm den Start aller ".exe"-Dateien verhindert. Ein Anzeichen einer Infektion ist entweder ein kleiner Auge in der Task Leiste rechts unten am Bildschirmrand oder das Vorhandensein einer "winsrvc.vxd". Um den Rechner wieder virenfrei zu kriegen, löschen Betroffene "Navidad.exe" und "winsrvc.vwd". Um in der Registry die beiden Einträge des Wurms zu entfernen, muss der User zunächst die regedit.exe in regedit.com umbenennen. Weitere Informationen gibt es unter anderem bei Network Associates. Internet-Wurm Hybris unterwegs Erstmals ist ein Virus "in der Wildnis" update-fähig / Taucht in mehreren Varianten auf! Kaspersky Lab warnt vor einem neuen Internet-Wurm namens Hybris. Meldungen über sein Auftauchen gingen von überall auf der Welt ein. Eine erste Version des Wurms sei bereits im September ausgemacht worden, sei aber als harmlos eingestuft worden. Nun aber sollen mindestens fünf Abarten des Wurms flotieren, laut Kapersky Lab ist mit weiteren Variationen zu rechnen. Hybris verbreitet sich selbst als Anhang in E-Mails und befällt ausschließlich Windows-Rechner. Nach dem Öffnen des Attachment nistet er sich in der WSOCK32.DLL ein und scannt die Netzwerkverbindungen. Er versendet sich anschließend an alle E-Mail-Adressen, derer er habhaft werden kann. Betreff, Text und Name des Anhangs können variieren, lautet aber in der Regel ähnlich wie: Kapersky vermutet, dass der Wurm demnächst dazu eingesetzt wird, um ein Trojanisches Pferd zu installieren. Darauf deute seine erstmals "in Freiheit" gefundene "Update-Fähigkeit" hin. Der Virus kann sich selbst Komponenten von der Site des Autors herunterladen! Das russische Unternehmen hat Details: http://www.viruslist.com/eng/viruslist.asp?id=4112&key=00001000130000100044 zum Wurm veröffentlicht. |
||||||||||||||||||||||||||||
Symantec LiveUpdate birgt Probleme
11.07.2000 15:30:39 |
Symantec hat das betroffenen Update vom 30. Juni inzwischen durch eine unkritische Version ersetzt. Neben den Virendefinitionen kam mit dem LiveUpdate via Internet eine neue Viren-Engine für die Antivirensoftware. Laut Vincent Weafer, Direktor des Antivirenlabors von Symantec, hat die neue Viren-Engine Probleme mit ATA-Ultra 66-Festplattencontrollern. Nachdem das Problem erkannt sei, soll bis Dienstag Abend (Ortszeit) ein funktionierendes Update zur Verfügung stehen. Für Benutzer, die Probleme mit ihren PCs gemeldet haben, will man Instruktionen zur manuellen Behebung des Fehlers auf der Websites bereitstellen. Laut Symantec waren nur wenige Windows 2000-Anwendern mit bestimmten Hardwarekonfigurationen betroffen. Eine Möglichkeit der Selbsthilfe ist laut Weafer, in den Optionen der Antivirensoftware die Funktion "Bootsektor prüfen" auszuschalten und es aus dem Scheduler zu entfernen, falls dieses Ereignis für jeden Start vorgesehen ist. Inzwischen haben wir weitere Hilfen und Informationen
über den "I love you" Virus
für Sie: Einen
kostenlosen Online-Service zur Beseitigung des „I-Love-You“-Virus
bietet Wie kann man sich schützen? Die wichtigste Regel sollte eigentlich selbstverständlich sein - LoveLetter beweist, dass
immer noch Massen von Anwendern sie nicht beherzigen: Führen Sie keine Dateianhänge aus, die Sie nicht kennen! Das gilt auch, wenn Ihnen der
Absender bekannt ist! Infiziert werden können durch LoveLetter nur Systeme, auf denen Windows 95 mit Internet Explorer 5.0, Windows 98, Windows 98SE, Windows NT 4.0 mit Internet Explorer 5.0 oder Windows 2000 laufen. Das schließt auch beispielsweise Macs ein, die mit einer Emulator-Software arbeiten. Die ursprüngliche Installation des Wurms läuft über den Windows Scripting Host (WSH), der sich bei Windows 98 und SE über Systemsteuerung/Software/Windows Setup/Zubehör deinstallieren
lässt. Wie sich der WSH unter Windows 2000 deaktivieren lässt, ist
derzeit noch ungeklärt. In jedem Fall sollten unbekannte Dateianhänge nicht ausgeführt werden. Die Datei, die LoveLetter enthält, heißt „LOVE-LETTER-FOR-YOU.TXT.vbs“. Bei manchen Mail-Programmen wird die Endung „.vbs“, die
ein Visual-Basic-Skript identifiziert, nicht angezeigt - hier ist
besondere Vorsicht geboten. Der Wurm legt folgende Dateien an, die seinen Code enthalten. Zum Entfernen der eigentlichen Funktionalität
von LoveLetter genügt es, diese im Verzeichnis (Windows-Verzeichnis)\SYSTEM
zu löschen: MSKernel32.vbs,
Win32DLL.vbs, LOVE-LETTER-FOR-YOU.HTM, LOVE-LETTER-FOR-YOU.TXT.vbs Wenn sich LoveLetter schon einige Zeit im System austoben konnte, hat er alle Dateien mit folgenden Endungen
überschrieben: .css, .hta, .jpeg, .jpg, .js, .jse, .mp2, .mp3, .sct, .vbe,
.vbs, vsh. Bei denen, die nicht schon die Endung .vbs trugen, wird sie hinzugefügt. Das Lieblingsstück heißt dann beispielsweise musik.mp3.vbs. Jeder Doppelklick auf diese Dateien kann den Virus wieder neu installieren, da sie nun als Skript ausgeführt werden. Der Inhalt der Originaldateien ist verloren, da LoveLetter sie schlicht überschreibt. Im Glücksfall finden sie sich noch im Papierkorb von Windows. Die infizierten Dateien mit der Endung .vbs sollte man in jedem Fall löschen.
Manipulationen an der Registry: LoveLetter
trägt sich an vielen Stellen der Registry ein. Die folgenden Keys sollte
man mit regedit Start/Ausführen/regedit.exe) löschen. Dabei ist jedoch
Vorsicht geboten: Ein falscher Klick in der Registry kann das komplette
System lahm legen. Wer keine Erfahrungen mit RegEdit hat, sollte die
Arbeit einem Spezialisten überlassen: HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run\MSKernel32 und HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunServices\Win32DLL. Wenn
der Wurm sich schon per E-Mail verbreiten konnte, finden sich unter diesem
Key noch weitere Einträge in der Registry, sie müssen allesamt gelöscht
werden: HKEY_CURRENT_USER\Software\Microsoft\WAB\. Der
Wurm versucht außerdem über die Startseite des Internet Explorer eine
Datei von einem philippinischen Server herunterzuladen. Zwar ist das File
dort inzwischen gelöscht worden, man sollte die Startseite aber unter
diesem Registry-Key wieder löschen: HKCU\Software\Microsoft\InternetExplorer\Main\Start
Page Wenn
das Programm bereits geladen wurde, muss der Key zur Ausführung gelöscht
werden: HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run\WIN-BUGSFIX.
Die
Datei selbst steht im aktuellen Download-Verzeichnis, sie heißt WIN-BUGSFIX.EXE
und muss ebenfalls gelöscht werden. Wer den IRC-Client „mIRC“ benutzt, muss die Datei script.ini im mIRC-Verzeichnis, sofern vorhanden, löschen - LoveLetter verbreitet sich sonst auch beim IRC-Chat über eine HTML-Datei, die per DCC an andere Chatter geschickt wird. Die Warnungen in dieser Datei kann man getrost ignorieren - mIRC funktioniert nach dem Löschen immer noch, nur der Wurm wird nicht mehr verschickt. LoveLetter hat im Laufe des 5. Mai zwei kleine Brüder bekommen. Unter den Betreffzeilen „Funny News“ und „Joke“ sind zwei neue Versionen unterwegs, die den gleichen Schaden anrichten und sich ebenso verbreiten wie LoveLetter. Die beiden neuen Varianten sind dilettantisch modifizierte Varianten von LoveLetter, der von den Antiviren-Herstellern inzwischen einheitlich als „VBS/LoveLetter“ bezeichnet wird. Unter „Joke“ wird eine Mail verschickt, die den Dateianhang „Very Funny.vbs“ enthält. Dieses Visual-Basic-Skript enthält einen LoveLetter-Ableger. Wie auch schon bei LoveLetter gilt: Die Mail sollte ungelesen gelöscht werden. Das angegriffene Mail-Programm Outlook von Microsoft kann Dateianhänge unter Umständen automatisch ausführen. Schon die Vorschaufunktion reicht dafür. |