2.5.2005: Sober.O Massenwurm-VirusInfos: Sober.O Virus
18.2.2005: Neuer Mydoom-VirusInternet-Wurm - Eine neu entdeckte Variante des Internet-Wurms Mydoom wird von Sicherheitsexperten als "besonders gefährlich" eingestuft. Mydoom.bb verbreitet sich über E-Mails, hängt eine Kopie von sich als Anhang an und lädt den Trojaner BackDoor-CEB.f herunter, der dann ausgeführt wird. Die meisten Angriffe sind in den USA gemeldet worden, jedoch sei der Virus auch schon in Australien und Grossbritannien aufgetreten wie McAfee mitteilte. Die vom Wurm infizierten Maschinen werden zu einem leichten Ziel für weitere Angriffe bzw. Zugriffe durch potentielle Hacker. Der Wurm installiert eine SERVICES.EXE Datei im Windows Verzeichnis und öffnet den TCP Port 1034 bei infizierten PC/Servern und wartet auf Verbindungen von aussen.
8.2.2005: Warnung - Neuer Phishing-Trick über Domains mit UmlautenMelani - Mit Umlauten im Domainnamen ist es möglich, warnt Melani, die Melde- und Analysestelle des Bundes, Webseiten vorzugaukeln. Damit können Betrüger mit Pishing Login-Daten wie Benutzernamen und Passwort von Anwendern sammeln. Selbst verschlüsselte Domains sind nicht wirklich gesichert, weil die Links im Browserfenster vorgeschoben werden können. Nutzer der Standardversion des Internet Explorers sind durch diesen Trick nicht gefährdet, sehr wohl gefährdet sind aber alle IDN-fähigen (IDN = Internationalized Domain Names), Mozilla-basierten Web-Browser wie z.B. Opera 7.54, Konqueror 3.2.x, Mozilla, Firefox 1.0. Fies ist, das mit dem neuen Phishing-Trick die Domainerweiterung auf die U mlaute benutzt wird, um Sicherheit vorzugaukeln. Beim Bund warnt man davor, Links von irgendwelchen Seiten aufzurufen, die man nicht kennt. Speziell Seiten von Banken, vielleicht noch durch fingierte Mails als Links zu gestellt, sind eine grosse Gefahr. Internet-Adressen sollte man deshalb immer von Hand eingeben oder per Buchzeichen anwählen. Niemals sollte ein Link, der angeblich zu einem vermeintlichen Finanzdienstleister führen soll, in einer E-Mail oder von einer Homepage aus angeklickt werden.
28.1.2005: Warnung vor dem Wurm Beagle.AX H+BEDV Datentechnik - Der deutsche Antivirenspezialist H+BEDV Datentechnik hat eine Warnung für die Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 herausgegeben. Die neue Variante des Bagle-Wurms, der "Bagle.AX" verbreitet sich mit sehr hoher Geschwindigkeit via E-Mail- und P2P-Versand. Der Virus kann einen sehr hohen Schaden anrichten, da er sich zu allem Überfluss auch noch sehr schnell verbreitet. Der Wurm durchsucht nach gelungenem Angriff die lokalen Festplatten und versendet sich umgehend an alle gefundenen Adressen. (aps) http://www.antivir.de
23.11.2004: Sober-Wurm neu mit deutschen SubjectsOnline-Viren - Seit dem Wochenende breitet sich im deutschsprachigen Internet eine neue Variante des Sober-Wurms zügig aus. Sober.H und Sober.I haben die Einstufung "high risk" erhalten. Der Wurm ist in Visual Basic geschrieben und 56 KB lang. Er täuscht in der Betreffzeile eine Fehlermeldung vor, z.B. "Re: Auftragsbestätigung", Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407", "Mailzustellung fehlgeschlagen -Damon: 4440", "Mail- Verbindung wurde abgebrochen -Code: 4358", "Ihre E-Mail wurde verweigert", "Re: Ihre neuen Account-Daten", "Mailer-Fehler -8362" und andere. Der eigentliche Wurm steckt in Attachments. Inzwischen haben alle führenden Antivirus-Firmen schon Updates gegen den neuen Sober veröffentlicht.
14.11.2004: Bufra-Wurm umgeht Anti-Viren-SystemeWarnung - Der neu entdeckte Bofra-Wurm ist das erste Exemplar einer neuen Spezies von Würmern, die Antiviren-Systeme umgehen können. Es braucht eigentlich nicht besonders betont zu werden, welch verherrende Wirkung Infektionen mit solchen Angreifern ausrichten können. Gemäss der Content-Sicherheitsfirma Clearswift, ermöglicht die MyDoom-Variante, die eine Buffer-Overflow-Schwäche in Microsoft's Internet Explorer ausnützt, eine neuartige Ausbreitungsstrategie, die es traditionellen Anti-Virus-Systemen massiv erschwert, den Angreifer zu erkennen. Das Problem konzentriert sich hierbei auf die Tatsache, dass Bofra-Würmer im Gegensatz zu konventiollen Würmern weder einen Anhang noch einen fehlerhaften HTML-Skript-Code besitzen. Wichtig an diesem Tatbestand ist, dass Hacker immer schneller ihre Angriffstrategien verändern können und dass diese immer mehr bestehende Sicherheitssysteme umgehen können. Im Internet herrscht mittlerweile ein Krieg um Codes und Gegen-Codes, der den Kampf um den ENIGMA-Code im 2. Weltkrieg wie Mickymouse-Spiele aussehen lässt. (aps)
16.9.2004: Neuer Wurm erfasst DatenverkehrVirus - Wie das Journal New Scientist berichtet, ist mit "SDBot.UJ" der erste Wurm aufgetreten, der vom infizierten Computer den gesamten Datenverkehr abhört. SDBot.UJ scannt den vorbeigehenden Verkehr, um Passwörter, finanzielle Daten u.ä. zu entdecken. Wie üblich bedient sich dieser Wurm eines Windows-Fehlers, um sich auf einem Netzwerk einzunisten und dann andere Rechner im gleichen Lokalnetz zu infizieren. Dabei probiert er offensichtliche Passwörter aus wie "administrator", "1234" u.ä. Gelingt die Infektion, wird eine Spyware installiert, mit der elementar wichtige Daten ausgespäht werden. SDBot.UJ stellt dann eine IRC-Verbindung her, über die Aussenstehende die Kontrolle des befallenen Computers übernehmen können. Allerdings stufen Sicherheitsexperten die Gefahr nicht als extrem hoch ein, da dieser Wurm alte, unterdessen gepatchte Sicherheitslücken verwendet. Die Gefahr liegt darin, dass jemand das jetzt gefundene kriminelle Konzept nachahmt und in einen gefährlichen Virus einbaut.
15.9.2004: Schwerwiegende Sicherheitslücke in JPEG-DateienMicrosoft - In einem Security Bulletin beschreibt Microsoft eine höchst gefährliche Sicherheitslücke bei den heute weithin üblichen JPEG-Bildern. Durch einen Fehler in der JPEG-Parsin-Komponente (gdiplus.dll) kann ein infiziertes Bild einen Buffer Overflow auslösen. Ein Angreifer könnte so Dialer, Trojanische Pferde oder Hintertüren öffnen. Voraussetzung ist, dass das Opfer das infizierte Bild - völlig ahnungslos! - mit einer Software betrachtet, die die fehlerhafte Komponente verwendet. Es genügt dabei aber schon das Lebens eines Mails, der Besuch einer Homepage oder das Betrachten eines Files mit eingebettetem Bild. Betroffen ist tatsächlich eine Vielzahl von Anwendungen (vgl. Bulletin MS04-028 von Microsoft). Nicht betroffen sind Windows 98, NT, 2000 und Windows XP mit Service Pack 2. Wo die Patches zu haben sind, kann dem Bulletin entnommen werden. (pol)
http://www.microsoft.com/technet/security/bulletin/MS04-028.mspx
4.6.2004: Neuer Wurm bringt Key Logger mit sich
Würmer - Kaum haben sich die Anwender von der auslaufenden Sasser-Plage einigermassen
erholt, tritt der nächste Schädling auf. "Korgo" verbreitet sich schnell über
eine Sicherheitslücke in Windows, die mit einem Patch aus dem Monat April
bereits behoben werden kann. Der Wurm infiziert die Computer über den Port 445
und öffnet ein paar Hintertüren, in dem er unter anderem die Ports 113 und 3067
frei gibt. Als wäre das noch nicht genug, versuchen einige der zahlreichen
Varianten von Korgo an Bankpasswörter heran zu kommen. Des Weiteren versucht er
sich mit verschiedenen Servern des Internet Relay Chats (IRC) zu verbinden. Eine
Art Key Logger soll dann alle Chat-Gespräche des infizierten Computers
ausspionieren. Anti-Virenexperten empfehlen das neue Removal Tool von Symantec
einzusetzen und alle Passwörter zu ändern.
http://securityresponse.symantec.com/avcenter/venc/data/w32.korgo.f.removal.tool
18.5.2004: Sober in der G-Variante
Virenwarnung - Immer noch taucht der Sober-Virus in den Viren-Hitparaden
auf, in mehreren Varianten wird der Virus bereits unter den Top 10 gelistet. Seit Sonntag ist nun die
Variante G im Internet unterwegs, deren neue Ausführung hat bereits wieder viele
zur Installation bewegt. "W32/Sober-G" verbreitet sich wie seine Vorgänger mit
einem Mail an E-Mail-Adressen, die im infizierten Computer eingesammelt werden.
Dabei verwendet er eine ganze Reihe von verschiedenen Betreffzeilen, wie zum
Beispiel "Mail Delivery failure", "Your Password" und "Registration
confirmation". Weil der Wurm auch einige deutschsprachige Betreffzeilen kennt,
ist die Installationshäufigkeit höher als bei reinen englischen Viren.
14.5.2004: Neuer Wurm löscht Windows Media Player
Wurmvirus - Schon seit einigen Wochen ziehen Würmer wie Sasser durch das Internet
und befallen einen Rechner nach dem anderen. Während es mittlerweile
wirkungsvolle Gegenmassnahmen gegen den Schädling Sasser gibt und dieser damit
aus dem Rempenlicht gerät, tritt nun erneut ein Wurm auf. Der neue digitale
Schädling wurde auf den Namen "Wallon" getauft. Nach Angaben von Virusexperten
hat Wallon allein in Deutschland schon zahlreiche Computer befallen. Wallon
nützt eine Schwachstelle des stark verbreiteten E-Mail-Klienten Outlook aus, um
sich an die Bekannten im lokal gespeicherten Adressbuch zu verschicken. Der
Empfänger erhält eine Mail, in der ein Link auf eine Yahoo-Webseite zu sehen
ist. Folgt der nichts ahnende User dem Lockruf, nimmt das Unheil seinen Lauf und
Komponenten des Wurmes werden automatisch auf den Rechner des Opfers übertragen.
Erst einmal heruntergeladen, startet der Schädling entweder ein Adware-Programm
oder versucht, eine Internetseite mit pornographischen Inhalten zu öffnen. Nach
der ersten Ausführung erscheint eine Fehlermeldung mit einer kleinen
Zahlenabfolge. Als wäre das nicht genug, überschreibt Wallon auch noch den
Windows Media Player mit sich selbst. Wenn also der Nutzer künftig den Media
Player starten will, wird statt dessen der Wurm gestartet und neu an Freunde und
Bekannte versendet. Von TrendMicro gibt es Hinweise, wie Wallon entfernt werden
kann. Nach einem Befall muss der Windows Media Player aber auf jeden Fall neu installiert werden.
12.5.2004: Neue Sasser-Varianten trotz Festnahme des Urhebers
Würmer - Am letzten Freitag wurde in Niedersachsen ein 18jähriger Schüler
festgenommen, der als Programmierer des Wurmes Sasser gilt. Nach der Festnahme
des Urhebers rechnete man eigentlich mit einem Stopp der Sasser-Wellen, nun aber
sind am Wochenende zwei Würmer aufgetreten, die klar auf Sasser basieren und nur
leicht erweitert wurden. Die neuen Versionen Sasser.E und Sasser.F wurden wohl
von anderen Programmierern entwickelt. Laut Mikko Hypponen, Experte für solche
Schädlinge, stecke sogar ein ganzes Netzwerk von Programmierern hinter den zwei
neuen Versionen von Sasser, die auch noch im Ausland wohnhaft sind. Die
russischen Kommentare im Quellcode deuten also auf die Staaten im Osten. Das
niedersächsischen Landeskriminalamts und Microsoft jedoch wollen von dieser
Komplizentheorie nichts wissen und sehen den deutschen Schüler trotzdem als
Urheber. Laut Microsoft sei es auch möglich, dass der junge Mann den Wurm kurz
vor seiner Festnahme freigesetzt hatte. Die Experten der großen
Antiviren-Software-Hersteller halten dies aber für unwahrscheinlich, da Sasser.F
und Sasser.E erst einige Stunden nach der Festnahme des Schülers auftraten.
Normalerweise verbreiten sich solche Schädlinge schon innerhalb weniger Minuten,
deshalb sei es sehr unwahrscheinlich, dass der Schüler erneut dahinter stecke.
Wer also jetzt wirklich hinter den zwei neuen Wurm-Varianten steckt, ist noch unklar.
10.5.2004: Sasser-Plage geht weiter - Autor programmierte auch Netsky
Sasser - Der am Freitag verhaftete und geständige 18-Jährige Schüler aus
Niedersachsen ist nicht nur für den Sasser-Virus verantwortlich, er hat auch den
Netsky Wurm programmiert. Dabei hat der bislang unbescholtene Jung-Programmierer
sehr viel Schaden angerichtet, Netsky programmierte der Virenautor, um die
grassierenden Virenwellen von MyDoom und Bagle zu entfernen. Dabei war er
erfolgreich, bei einigen Varianten entstand aber Schaden. Durch den Erfolg
motiviert, hat er dann den Sasser-Wurm entwickelt, der durch eine hohe
Eigendynamik aus dem Ruder lief. Obwohl der Täter verhaftet ist, geht es mit der
Sasser-Plage weiter. Inzwischen wurden weitere Varianten entdeckt, Sasser.E kann
aber wie die Vorgänger mit dem Entfernungstool gestoppt werden. Eklig ist es
aber, dass der Virus den Rechner alle 60 Sekunden neu startet, da kann nur ein
Profi den Computer retten. Kritik wurde nun auch an Microsoft geübt, die Lücke
für Sasser war seit oktober 2003 bekannt, geflickt wurde sie aber erst im April
2004. Nur wenige Tage später gab es den ersten Virus dafür und das ist auch
Microsoft zu zu schreiben.
6.5.2004: Virus nutzt Sasser und Co
Viren/Würmer - In den letzten Tagen hat der Wurm "Sasser", der eine
Windows-Schwachstelle ausnützt, enorm viele PCs auf der Welt befallen, die jeweils ohne
Firewall ungeschützt waren. Allerdings gibt es gegen diesen Schädling bereits Gegenmassnahmen
in Form eines Patches und eines Removal-Tools, welche den Wurm vom Computer verbannen.
Nun aber ist der gefährliche Virus "Phatbot" aufgetreten, der wahlweise ganz
verschiedene Lücken von Windows ausnutzt. Der neue Phatbot geht wie ein Trojaner
vor: Er befällt das System, macht den Rechner fernsteuerbar und stiehlt
Passwörter, die lokal gespeichert geworden sind. Durch die vielen verschiedenen
Varianten des Schädlings sind Virenscanner dem Ansturm nur teilweise gewachsen,
wichtiger ist das Sasser-Patch, mit dem der Rechner gegen den Virus geschützt
werden kann. Noch gravierender ist die starke Verbreitung des Quellcodes dieses
Schädlings! Mit diesem Quellcode kann jeder den Wurm in eine eigene Variante
umändern und auch verschiedene Programme mischen. Der Virus, der aus einer
Trojaner-Familie stammt, die 500 verschiedene Mitglieder zählt, kann leicht
erweitert werden und falls es wieder zu einer Lücke in Windows kommt, wird diese
schnell missbraucht.
5.5.2004: Neue Varianten von Sasser mit grösserer Wirkung
Sasser Virus - Der Sasser Virus arbeitet sich seit Samstag durch das weltweite
Internet und der Virus verbrietet sich ganz ohne zutun der Nutzer. Nur wer über
eine Firewall verfügt, ist gegen Befall geschützt. Der Virus ist inzwischen in
drei Varianten unterwegs und jede davon ist gefährlicher als die erste Version
Sasser.A vom Freitag. Laut aktuellen Schätzungen von IT-Experten wurden bislang
rund 500'000 Rechner vom Virus infiziert, frühere Angaben mit 6 Millionen
infizierten Rechnern sind total übertrieben. Allerdings könnten sich die Viren
Sasser.B, Sasser.C und Sasser.D über die Sicherheitslücken noch weiter
verbreiten, wenn die Nutzer nicht ihre Ports verschliessen und Sicherheit ernst
nehmen. Übers Wochenende war der Wurmvirus eher zurückhaltend, seit Montag
Morgen hat die Verbreitung aber stark zugenommen. Kommt hinzu, dass die neueren
Varianten des Virus deutlich aggressiver agieren als die frühere Version
Sasser.A. Sasser.C und Sasser.D prüfen nach Angaben von Virenforschern 1024
IP-Adressen gleichzeitig, damit können viele ungepatchte Rechner ausfindig gemacht werden.
4.5.2004: Netsky-Bande bekennt sich auch zu Sasser
Sasser Virus - Die Bande, die
die letzte Variante des Netsky Virus in Umlauf gesetzt hatte, nennt sich selbst
Skynet Antivirus Team. Diese Gruppe will nun neu auch für den verheerenden
Sasser Wurm verantwortlich zeichnen. Tatsächlich haben Antivirus-Experten im
Code des Virus Netsky.AC eine Text-Passage gefunden, in der es ganz stolz heisst
"(...) do you know we have programmed the sasser virus?!? (...)". Experten
halten dieses "Bekennerschreiben" vorab für glaubwürdig, da Netsky und Sasser in
vielen Teilen auch den gleichen Code enthalten. In der Szene heisst es auch
schon, Microsoft werde vielleicht wieder eine Belohnung aussetzen für Hinweise,
die zur Festnahme der Urheber von Sasser führen (wie bereits für MSBlast, Sobig
und MyDoom). Bestätigt wurde dies bis jetzt seitens Microsoft aber noch nicht.
16.4.2004: Roter Virenalarm : Netsky.V ist beim Lesen schon gefährlich
Sophos - Die Experten der Virenbekämpfungsfirma Sophos haben
heute roten Alarm vor Netsky.V ausgelöst. Der neueste Netsky-Clon schafft es,
die gestern durch Microsoft gepatchten Sicherheitslücken auszunutzen. Wer sein
Windows bislang noch nicht erneuert hat, läuft nun Gefahr, mit Netsky.V
infiziert zu werden. Der neue Virenwurm funktioniert ohne Anhang, alleine beim
Lesen der Mail kann der Virus aktiviert werden. Die E-Mail-Botschaft des Wurms
kommt mit dem Nachrichtentext "Converting message. Please wait..." oder "Please
wait while loading failed message...", mit diesem Wartevorgang installiert sich
der Wurm auf dem PC des Anwenders. W32/Netsky-V kopiert sich als
KasperskyAVEng.exe in den Windows-Ordner und fügt einen Registrierungseintrag in
der Startroutine hinzu. Wer den Microsoft Update noch nicht ausführte, wird nun
dazu aufgefordert, das schleunigst nachzuholen.
14.4.2004: Vorsicht: Gefälschte Virenwarnungen
Symantec - Virenschreiber narren mit immer findigeren
Betreffzeilen und gefälschten Adressen die Internetuser. Neueste Variante: Viele
erhalten neuerdings E-Mails, die angeblich von Virenschutzanbietern stammen. Der
Text besagt zum Beispiel, dass in der eingeschickten Datei ein Virus gefunden
worden sei. Um diesen vom Computer zu entfernen, solle das angehängte
Entfernungsprogramm benutzt werden. Das führt viele PC-Anwender in die Irre,
sind solche E-Mails mit Adressen wie support@symantec.com im Internet unterwegs.
Der Absender ist hier jedoch nicht Symantec, sondern dahinter stecken
E-Mail-Würmer wie die neueste Variante von Sober (W32Sober.F@mm).
Entfernungstools für Viren oder Software-Updates werden laut Symantec nicht per
E-Mail verschickt!
5.4.2004: Neuer Wurmvirus mit gefährlicher Verbreitung unterwegs
Virenwarnung - Vom Sober-Virus wurde am Wochenende die
neue Variante Sober.F entdeckt und anfänglich niederig, später wieder höher
eingestuft. Der Sober-Wurmvirus schafft es, je nach Empfangsadresse eine
deutsche oder eine englische Textvariante vorzulegen, damit können die Anwender
scheinbar immer noch überlistet werden, wie die Verbreitung zeigt. Der Wurmvirus
versendet sich nach der Infizierung selbst als Dateianhang an eingetragene
Adressen, die Absenderangaben werden dabei gefälscht. Weil der Wurmvirus
vorgibt, durch die Virenprüfung gekommen zu sein, besteht in Unternehmen für
Montag erhöhte Gefahr, zuviele haben den Virus am Wochenende trotz aller
Warnungen aktiviert.
30.3.2004: Warnung vor neuem Wurm Netsky.Q
Virenwarnung - Erneut ist ein
Wurm unterwegs, der zur Netsky-Klasse hinzugeordnet werden muss. Die
Antivirenfirmen haben zum Teil die höchste Warnstufe herausgegeben, weil der
Wurm viel intensiver als gedacht verbreitet hat. Der Wurm nistet sich auf den
Systemen mit ungepatchten Internet Explorern 5.1 und 5.5 automatisch ein, bei
den anderen Browserversionen unter Windows muss man den Code aktivieren. Ist ein
Rechner befallen, beginnt er im Normalfall zu piepen und richtet sich
gleichzeitig dafür ein, zwischen dem 8. Und 11. April 2004 eine DOS-Attacke
gegen verschiedene Tauschbörsen zu starten. Der Wurm zielt auf
www.edonkey2000.com, www.kazaa.com, www.emule-project.net, www.cracks.am und
www.cracks.st. Die Antivirensoftware-Hersteller haben aktuelle Signaturen bereitgestellt.
16.3.2004: Beagle.M und Beagle.N als ein Wurm unterwegs
Virenwarnung - Die Virenwellen ebben
vorläufig nicht ab, obwohl jede Welle kleiner als die letzte ist. Die neueste
Beagle-Mutation mit der Bezeichnung Beagle.M ist nun als Systemmeldung
aufgebaut, deshalb haben die Virenschützer die Warnstufe etwas höher gesetzt als
zuvor. Beagle.M, auch als Beagle.N unterwegs, versendet sich wiederum als
Massenmailer-Wurm über die eigene SMTP-Engine. Sofern auf dem befallenen Rechner
Netzwerke eingerichtet sind die unter dem Textfragment shar" ansprechbar sind,
infiziert sich der Wurm auch auf den angeschlossenen Rechnern. Nicht ganz neu
ist die Infizierung von .Exe-Dateien und eine Backdoor auf Port 2556.
13.3.2004: Norman Data Defense Systems meldet neuen Wurm NetSky.M
Norman - Der Internetwurm NetSky.M ist die neueste Variante
einer Serie von NetSky-Würmern, die während einer besonders regen Phase von
Wurmattacken über das Internet verbreitet werden. Diese neue Variante wurde von
der Norman Sandbox erkannt und beseitigt. Die Technologie entdeckt gefährliche
Codes, bevor Viren-Signaturen veröffentlicht werden. Die erhöhten
Virenaktivitäten in letzter Zeit wirken wie ein anhaltender Krieg zwischen
verschiedenen konkurrierender Virenautoren. Ein Nebeneffekt dieses "Krieges"
ist, dass zufällig Betroffene - Endverbraucher und Organisationen - eine Unmenge
von infizierten eMails erhalten. Der "Kampf der Viren" scheint Ende Januar
begonnen zu haben. Der Wurm MyDoom erzeugte die erste Phase von Angriffen und
sorgte für massive weltweite Störungen. Darauf folgten die Würmer Bagle und
NetSky. Beiden gemeinsam ist die enthaltene Nachricht an die gegnerischen
Wurm-Autoren. Die Würmer enthalten Zeichenketten wie: "be aware! Skynet.cz -
-->AntiHacker Crew<--" (Netsky.D). Die Aufgabe von Norman Data Defense
Systems ist es, Nutzer effizient und schnellstmöglich zu schützen. Der
traditionelle Weg dies zu tun ist, so schnell wie möglich nach dem Bekanntwerden
des Virus einen Signatur-basierte Virenschutz zu veröffentlichen. Das ist aber
nur eine zeitversetzte Reaktion auf einen unbekannten Virus oder Wurm, der
bereits einige Zeit im Umlauf war. Wenn die Signatur veröffentlicht wird, die
ihn stoppt, ist es oft schon zu spät. Ziel im Kampf gegen diese schädlichen
Aktivitäten sollte sein, die Malware proaktiv aufzuhalten, bevor sie Nutzer
schädigt. Die Norman SandBox-Technologie ist eine proaktive Technik, die neue
und unbekannte Viren, Würmer und Trojaner aufhält. Die ständig steigende Zunahme
solcher Attacken im Internet zeigt, wie notwendig ein proaktiver Schutz
ist.
8.3.2004: Neue Variante des Wurms Sober verunsichert Anwender
F-Secure - F-Secure warnt vor einer neuen Variante des
E-Mail Wurms Sober, die heute am frühen Morgen in Deutschland entdeckt wurde.
Sober.D täuscht Anwender, indem er sich als Update von Microsoft zur Entfernung
des Mydoom-Wurms ausgibt. Der Wurm wurde mit Visual Basic programmiert und mit
einer modifizierten Version des UPX File Compressor gepackt. Zu seiner
Verbreitung durchsucht der Wurm die Festplatten infizierter Rechner nach E-Mail
Adressen und nutzt seine eigene SMTP-Engine, um E-Mails mit dem Wurm-Code in
einem EXE-Anhang oder in einem ZIP-Archiv zu verschicken. Klickt der Anwender
auf den Anhang, installiert sich statt des Microsoft Patches der Wurm. Wenn
Sober.D sich an E-Mail-Adressen mit der Endung DE, CH, AT, LI, NL oder BE sowie
an Adressen mit dem Bestandteil '@gmx' verschickt, nutzt er eine deutsche
E-Mail-Nachricht. Bei allen anderen Adressen ist die E-Mail in Englisch
verfasst.
|
ExpressPro Webmail
