neuer e-mail-Virus, hat mich gerade erwischt! - 500 Beiträge pro Seite

Hallo!

Soeben habe ich eine e-mail mit verdächtigem Anhang bekommen. Nicht öffnen, dachte ich mir, man hat ja schon gewisse Ängste, doch dann öffnet sich das Teil einfach selbst!

Hier die Beschreibung:

Aus aktuellem Anlaß: Derzeit scheint sich ein Virus recht rasant auszubreiten - auch mich selber hatte es erwischt, denn selbst Virenscanner auf dem aktuellstem Stand, wie ich etwa inzwischen mehrere einsetzte, erkannten den Virus nicht. Der Virus verbreitet sich scheinbar über Email mit Attachment - nimdaa-ähnlich muss das Attachment aber nicht unbedingt geöffnet werden(zumindest in meinem Fall), ein simpler Click auf die Email genügt, um den Virus auf dem System zu installieren.

Nach einigen fruchtlosen Suchen auf bekannten AntiViren-Seiten konnte mir Saco glücklicherweise weiterhelfen, der mir diese Email von sophos.de weiterleitete:
Name: W32/Badtrans-B
Type: Win32 worm
Date: 24 November 2001
[...]
At the time of writing Sophos has received just one report of
this worm from the wild.

Description:

W32/Badtrans-B is a worm which uses MAPI to spread. The worm
arrives in an email message with no message text. The attachment
filename is randomly generated from three parts. If the attached file is run, it copies itself into the Windows
system directory with the filename KERNEL32.EXE and changes the
registry key
HKLM SOFTWARE Microsoft Windows CurrentVersion RunOnce so that
the worm runs the next time Windows is started. The worm also
drops a file named kdll.dll, which is the password stealing
Trojan Troj/PWS-AV.

Der Virus verschickt sich sofort an weitere Personen, meist als Antwort auf eine existierende Mail getarnt...wer heute Antworten von mir bekommen hat, sollte diese sofort löschen.
Virusbefallene können diesen u.U. mit der Software von Sophos entfernen - in meinem Fall wirkte auch die manuelle Entfernung (unter Win98):
* Booten, Bootvorgang mit F8 abbrechen "Nur Eingabeaufforderung"
* per cd in c:windows system wechseln
* del kernel32.exe
* del kdll.dll
* neu booten
* per Run/Ausführen regedit und obengenannten Key in der Registry löschen

Und in diesen Kombinationen gibt es ihn:

This worm arrives as an email with one of several attachment names and a combination of two appended extensions.

The list of possible file names is:
HUMOR
DOCS
S3MSONG
ME_NUDE
CARD
SEARCHURL
YOU_ARE_FAT!
NEWS_DOC
IMAGES
PICS

The first extension that is appended to the file name is one of the following:
.DOC
.MP3
.ZIP

The second extension that is appended to the file name is one of the following:
.pif
.scr

The resulting file name would look something like this:
CARD.DOC.PIF
NEWS_DOC.MP3.SCR
etc.


Gruß, Mucker

P.S.: Bitte keine Schadenfreude, konnte ihn mittlerweile mit Norton Antivirus unschädlich machen.

Danke für die Nachricht.

Mit Norton-Antivirus hast Du den unschädlich gekriegt ? Nicht schlecht.

Gruss
Roger

Outlook, stimmts?

Wann wird dieses fehlerhafte Produkt endlich vom Markt genommen.
Mit fast allen alternativen Mailsystemen sind eMail-Viren so gut wie wirkungslos.

Liebe Grüße
Verona V.

Ja, Outlook. Ich bin ja eigentlich selber schuld...

Gruß, Mucker

Laß Dich von der Norton Meldung nicht täuschen ! Warte mal ab wenn Du den PC das 3. mal hochfährst !!

Aber Norton scheint das richtige Programm zu sein, habe ich auch,

Gruß
dubaro

@freefly: Schon geschehen, nichts passiert. Wieso, hattest Du ihn auch?

Gruß, Mucker

@Mucker: Fällt Dir selbst wahrscheinlich gar nicht auf Nachdem Deine Schrift aber nicht mehr lesbar ist, scheinst Du ihn aber bereits mehrfach hochgefahren zu haben

Leute , könnt ihr ihm mal bestätigen, daß seine Schrift nur noch in Hyroglyphen erscheint !!!

@freefly: LOL! Hatte meinen Sinn für Humor kurzzeitig verloren. Aber Du und Herr Benz (Vorstand der MMC AG, hat mir gerade gemailt, dass er den Anhang meiner e-mail nicht lesen konnte...), haben dazu beigetragen, dass er wiederhergestellt wurde, danke!


Gruß, Mucker

Nein, im Ernst ! Danke für`s reinstellen - mittlerweile hab ich `ne richtige Outlook-Abneigung

Mein Outlook führt keine *.pif oder *.scr Dateien automatisch aus.
Übrigens: Immer nach Patches suchen! Auch andere Progs haben Sicherheitslücken!

@Adhick:

Liegt nicht am Dateityp, sonder an einem anderen Trick.
Hole mir 1x im Monat über das Online-Update alle wichtigen Updates, war diesmal wohl nicht häufig genug.

Gruß, Mucker

Habe mir auch heute den virus YOU ARE FAT eingefangen.

Norton und Zone alarm sind installiert und das System arbeitet normal, was kann denn jetzt passieren ?

Entschuldigung ich bin absoluter Laie, auch Norton und zone alarm habe ich nicht selbst installieren können.

Habe alle Dateien auf CD und Disc kopiert, die e-mails soweit erreichbar gelöscht, was ist noch zu tun ?

Mein zone alarm meldet : The firewall has blocked Internet access to your computer ! (Mit Uhrzeit)

und behauptet YOUR COMPUTER IS SAFE !

Allerdings habe ich wenn ich mir Muckers posting durchlese bereits gegen Mittag eine mail mit SEARCHURL vergeblich versucht zu öffnen.

Hi Eierdieb!

Symantec (die Macher von Norton Antivirus) scheinen auch nichts näheres zu wissen, lediglich ein "damage low"-rating haben sie ihm verpasst. http://securityresponse.symantec.com/avcenter/venc/data/w32.…

Da es den Virus scheinbar erst seit 2 Tagen gibt, bin ich auch bei deja.com noch nicht fündig geworden, sorry!


Gruß, Mucker

Hi Mucker,

in meinem Norton-Programm befinden sich (19) isolierte Elemente alle mit der Bezeichnung SEARCHURL oder YOU ARE FAT mit dem Status nicht gesendet Virenname W32.BadtransB.

Kann ich die einfach löschen, oder was soll ich damit machen ohne das mir die Kiste um die Ohren fliegt ?

Hallo Eierdieb!

Lass sie lieber in Quarantäne. Theoretisch könntest Du sie löschen, aber manche Viren nutzen das aus... In Quarantäne bist Du vor ihnen sicher...

Gruß, Mucker

Wird seit April 2001 von Sophos Anti-Virus erkannt.

Kommentar
W32/Badtrans-A ist ein Wurm, der sich mit Hilfe von MAPI verbreitet. Der Wurm erscheint in einer E-Mail mit dem Text "Take a look to the attachment".

Der Dateiname des Attachments wird zufällig aus der folgenden Liste gewählt:

fun.pif
Humor.TXT.pif
docs.scr
s3msong.MP3.pif
Sorry_about_yesterday.DOC.pif
Me_nude.AVI.pif
Card.pif
SETUP.pif
searchURL.scr
YOU_are_FAT!.TXT.pif
hamster.ZIP.scr
news_doc.scr
New_Napster_Site.DOC.SCR
README.TXT.pif
images.pif
Pics.ZIP.scr

Wird die angehängte Datei gestartet, erscheint die Meldung "File data corrupt probably due to bad data transmission or bad disk access.". Der Wurm kopiert sich selbst in das Windows-Verzeichnis mit dem Dateinamen INETD.EXE und ändert die win.ini, so dass diese Datei beim Start von Windows gestartet wird.

Wenn eine neue E-Mail ankommt, sendet der Wurm eine Antwort mit dem infizierten Attachment.

Der Wurm legt ebenfalls eine Datei namens kern32.exe im Windows-Systemverzeichnis ab, ein Trojanisches Pferd, das Kennwörter stiehlt, Troj/Keylog-C, und ändert den Registry-Key

HKLMSOFTWAREMicrosoftWindows
CurrentVersionRunOnce,
so dass das Trojanische Pferd mit Windows gestartet wird.


Altes Virus!!
Wenn man auf sowas klickt "mail mit SEARCHURL vergeblich versucht zu öffnen", sollte man ...

Im Netz jede Menge Infos dazu:
Z.B.: http://www.fz-net.com/www/software/virus/mtx.shtml
Virus/Wurm: W32/MTX (I-Worm.MTX, W32/Apology)
Mehrteiliger Wurm/Virus tarnt sich u.a. als PIF-Datei
MTX besteht aus mehreren Teilen: Einem Wurm, der für die Verbreitung sorgt; einem Virus, der Dateien infiziert und einem RAT (Remote Administration Tool, Backdoor).
Der Wurm benutzt eine ähnliche Technik wie Happy99 (W32/Ska): Er ersetzt die Datei WSOCK32.DLL durch eine modifizierte Version, die er zuvor als WSOCK32.MTX angelegt hat (er legt aber nicht wie Happy99 eine Kopie der Original-Datei ab). Der Austausch geschieht durch einen Eintrag in der Datei WININIT.INI beim nächsten Systemstart:

NUL=C:WINDOWSSYSTEMWSOCK32.DLL
C:WINDOWSSYSTEMWSOCK32.DLL=C:WINDOWSSYSTEMWSOCK32.MTX


Der Pfad ist nicht fest `verdrahtet`, sondern wird ggf. den Gegebenheiten angepasst.
Damit sendet sich MTX als Attachment (einer ansonsten leeren Mail) an alle Adressen, an die Sie Mails schicken. Die Namen dieser Dateianhänge variieren je nach Datum:

README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_$100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!.TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!.TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif

Achtung: Die Endung .pif wird auch im Explorer nicht angezeigt, selbst wenn dieser so eingestellt ist, dass er alle Endungen anzeigen sollte. Die Datei kann folglich auch nicht im Explorer mit einer harmlosen Endung versehen werden. Abhilfe: Löschen Sie in dem Schlüssel

HKEY_CLASSES_ROOTpiffile

den Unterschlüssel " NeverShowExt="" " oder ändern Sie seinen Namen (nicht den Wert!) in " AlwaysShowExt ".
Im Gegensatz zu DOS- und Win16-Programmen werden Win32-PE-Programme direkt ausgeführt, wenn sie die Erweiterung `.pif` haben. Normalerweise enthalten PIF-Dateien Informationen über die Ausführung von DOS-Programmen in einer Windows-Umgebung.

MTX unterbindet ausserdem E-Mail- und WWW-Kontakt zu Antivirus-Firmen.

Die Virus-Komponente infiziert Win32-EXE-Dateien (PE-Typ) im aktuellen Verzeichnis, im TEMP-Verzeichnis und im Windows-Verzeichnis. Sie installiert folgende versteckte Dateien im Windows-Verzeichnis:

IE_PACK.EXE - der Wurm
WIN32.DLL - der Wurm, mit dem Virus infiziert (diese Datei wird per Mail versandt)
MTX_.EXE - Backdoor

Die Backdoor-Komponente trägt sich in die Registry ein:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup=%WinDir%MTX_.EXE
%WinDir% steht für das jeweilige Windows-Verzeichnis, meist C:Windows.

Sie nimmt Verbindung mit einem Server im Internet auf, um weitere Dateien und Programme herunterzuladen und zu installieren. Die geschieht bei jedem Windows-Start. MTX_.EXE ist nicht in der Taskliste sichtbar.

[ W32/MTX manuell entfernen ]

Infos und Updates von Antivirus-Firmen zu W32/MTX:
Symantec (engl.)
Network Associates (engl.)
AVP (engl.)
Adressen, wo Sie auch mit einem MTX-befallenen Rechner Updates bekommen.

ENTFERNEN MÜSST IHR IHN ABER SELBER!!

Hallo nochmal Adhick!

Wir reden hier von Badtrans-B, dem heimtückischeren Nachfolger. Und den gibt`s wirklich erst seit vorgestern.

Entfernung wie ganz oben beschrieben.


Gruß, Mucker

P.S.: Sämtliche von Adhick beschriebenen Registry-Änderungen treffen auf Badtrans-B nicht zu, nur die im ersten Posting von mir geschilderten. (habe Norton auf die Finger geschaut beim Entfernen )


Gruß, Mucker

W32/Badtrans.B@mm
Allgemeine Eigenschaften
Typ: Wurm
Verteilmechanismus: Email
Email Eigenschaften:
Betreff: unterschiedlich
Anhang: unterschiedlicher Name, wird aus verschiedenen Teilen zusammengestellt
Zerstörungsgrad: mittel
Payload: Backdoor Funktionalität
Wird entdeckt mit den Virensignaturen vom: 25. Nov. 2001
Virus Eigenschaften erstmals veröffentlicht am: 26. Nov. 2001 00:00 (CET)
Virus Eigenschaften letztes Update: 26. Nov. 2001 09:52 (CET)
Zusätzliche Beschreibung dieses bösartigen Programmes
Typ
Diese Variante vom bereits bekannten Badtrans.A Wurm wurde um einige neue “Features” ergänzt.

Wenn er ausgeführt wird, kopiert der Wurm sich selber in das Windows System Verzeichnis unter dem Namen KERNEL32.EXE – diese Datei sollte NICHT mit der Windows Hauptbibliothek KERNEL32.DLL verwechselt werden!

Er setzt auch einen Key in der registry
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceKernel32 = KERNEL32.EXE
sodass er sich automatisch beim Startup aktiviert.

Verteilmechanismus
Der Wurm verwendet die Microsoft Mail API um sich zu verbreiten.

Der Mailanhang kann aus verschiednen Teilen zusammengesetzt werden:

fun
Humor
docs
info
Sorry_about_yesterday
Me_nude
Card
SETUP
stuff
YOU_are_FAT!
HAMSTER
news_doc
New_Napster_Site
README
images
pics
S3MSONG
SEARCHURL

Die Attachments werden jeweils doppelte Erweiterungen haben. Die erste setzt sich mit DOC, MP3 oder ZIP, und die zweite Erweiterung entweder mit PIF oder SCR zusammen.

Zerstörungsgrad und Payload
Der Wurm installiert ein Utility, KDLL.DLL, im Windows System Verzeichnis, welches die Tastatureingaben aufzeichnet.

Zusätzliche Erläuterungen
Dieser Wurm, ähnlich den aktuellen W32/Aliz und W32/Nimda Wurms, benutzt einen speziellen Trick um ausgeführt zu werden, ohne dass das Mail in Outlook/Outlook Express erst geöffnet, oder als Vorschau angezeigt wurde.

Dies wird durch das bekannte Sicherheitsloch "Incorrect MIME Header Can Cause IE to Execute E-mail Attachment" erreicht.

Informationen und Patches sind hier verfügbar: http://www.microsoft.com/technet/treeview/default.asp?url=/t…

Die Sicherheitslücke ist eine bekannte Auflage mit dem Internet Explorer Versionen 5.01 und 5.5 ohne SP2 . Benutzer mit dieser Konfiguration sollten unbedingt die verfügbaren Patches verwenden, oder das Active Scripting deaktivieren. Informationen wie das Patchen zu vollziehen ist, sind in Norman`s Security Information zu finden: http://www.norman.no/security_info/1999_43.shtml.

Erkennung und Entfernung
Der Wurm wird von Norman Virus Control mit Definitionsdateien vom 25. November 2001 oder neuer erkannt und entfernt. Das Utility, KDLL.DLL, welches die Tastatureingaben aufzeichnet, kann gelöscht werden.
Der Registry Eintrag HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceKernel32
kann mit REGEDIT manuell gelöscht werden.
Aktuelle Virenwarnungen
Nov 24: W32/Badtrans.B
Nov 20: W32/Aliz.4096
Sep 19: W32/Nimda.A
Sep 05: W32/Magistr.B
Jul 20: W32/Sircam
Mar 14: W32/Magistr.A
Nov 16: W32/Hybris

Weitere Virenbeschreibungen

New viruses MEDIUM RISK
Nov 05: W32/Klez.A
Oct 30: W32/Nimda.E

Virenwarnungen LOW RISK
Oct 25: W32/Anset.A

Security News
Riesiges Sicherheitsloch in Microsoft Windows
Buffer overflow in Outlook
Gefährlicher Bug in Windows entdeckt
Windows Scripting Host - Schlupfloch für Virenverbreitung
Security News-Archiv

Norman News
Norman konzentriert seine Kern-kompetenzen auf Virenschutz und Personal Firewall
Safer Surfen mit Norman und Tiscali
Sicherheit für den elektronischen Geschäftsverkehr mit Norman Redmark Kooperation
Europaweit sichere PCs mit Actebis Norman Partnerschaft
Weitere Norman News

@AdHick:

Perfekt, das ist er! Danke!

Gute Nacht,

Mucker

@ all

Dazu die Frage:

Tauchen die mails, die dieser Wurm/Virus generiert und versendet eigentlich im Ordner Gesendete Objekte bzw. Postausgang auf ?

eigentor

Tja,

so passiert`s.

Hatte ihn auch heute morgen von einem Bekannten erhalten.

Trotz "Pegasus"-Mail und Opera-Browser scheint er aktiv geworden.

Datei war humor.scr - Mail selbst ohne Text.

Im Windows-System-Ordner war die Kdll.dll aktiv.
Löschen somit nur auf DOS-Ebene möglich.
Dto. war kernel32.exe im WinSys-Ordner, löschbar unter Windows.

Dann Registry abgesucht, jedoch kein Eintrag.
Als vernünftiger User über ERD.exe die stets gesicherte Registry wieder aufgespielt.

Adios Badtrans B
Das machst Du nur einmal!

Fanny

@eigentor:

Nein, sind unsichtbar.


Gruß, Mucker

BadTrans-Wurm überschwemmt Internet
Dienstag, den
27.11.01 14:24

aus dem Bereich Security Related


Schlimmer als jemals zuvor wütet ein neuer E-Mail-Wurm im Internet – sein Name: BadTrans. Kaum ein Tag vergeht, an dem die onlinekosten.de Redaktion genauso wie Tausende anderer Internet-Nutzer eine E-Mail mit der Betreffszeile "Re:" und keinem Text erhalten. Als Anlage liegt jeweils eine zufällig zusammengewürfelte Kombination bei.

Diese besteht aus drei Bestandteilen. Der erste enthält Worte, die der Wurm per Zufallsgenerator aus einer Liste auswählt, wie zum Beispiel "FUN", "HUMOR", "DOCS", "S3MSONG", "Sorry_about_yesterday" oder "ME_NUDE, CARD". Der zweite Teil enthält die Dateiendungen ".MP3" oder ".DOC". Als dritter Teil schließt sich noch die Dateiendung ".pif" oder ".scr" an. Durch die Ausnutzung einer Outlook-Sicherheitslücke muss die Anlage jedoch nicht geöffnet werden, um den Wurm zu installieren.

Wurm verschickt sich über eigene Routine

Gefährlich für den infizierten Rechner scheint der Wurm allerdings nicht zu sein. Er löscht zwar keine Dateien, führt sich aber bei jedem Systemsart selbst aus und verschickt eine E-Mail an jeden Absender einer neu eingegangenen E-Mail. Einmalig werden auch die Dateien des Outlook-Adressbuchs und der Internet-Explorer-Cache sowie ungelesene E-Mails in Outlook auf neue Adressen durchsucht, an die der Trojaner ebenso eine Mail sendet. Gefährlich könnte jedoch eine Trojaner-Routine werden, die Tastenanschläge und damit auch Passwörter mitloogt und an die Adresse "ld8dl1@mailandnews.com" schickt.

Onlinekosten.de empfiehlt, immer einen aktuellen Virenscanner im Hintergrund am laufen zu haben. Für Benutzer von Outlook Express hat Microsoft einige Patches zur Verfügung gestellt, die das Mailprogramm sicherer und gegen Würmer resistent machen sollen. Generell empfehlen wir Ihnen, keine unbekannten oder unaufgefordert zugeschickten Dateianhänge, selbst wenn sie von bekannten Personen kommen, zu öffnen.
(swa)

http://www.onlinekosten.de/news/artikel.php3?id=7634

Fuller

eigentlich müßte ich mir das ding auch gefangen haben, da ich eine entsprechende mail in der vorschau versucht hatte zu öffnen, ich dann aber eine kryptische fehlermeldung bekam.

die oben angegebenen dateien finden sich aber nicht auf meinem rechner (nach mehreren starts).

kann es sein, daß bei älteren outlook-programm-versionen (4.**) die selbstentpackung des virus im voransichtsmodus nicht gestartet hat?


falls das etwas unfachmännisch klingt, liegt es daran, daß ich kein fachmann bin .

SUUUUUUPER!!!!

Habe gerade eine E-Mail von einem WO-User aufgemacht, drei Sekunden kam eine Antwort von einem E-Mail was ich überhaupt nicht versendet habe!

Es wurde abgwehrt!!!!

>>>>>>>>These recipients of your message have been processed by the mail server:
xxxxxxxx@d2mail.de; Failed; 5.3.0 (other or undefined mail system status)

Remote MTA smtp.d2mail.de: network error


- SMTP protocol diagnostic: 550 5.3.0 Mail-Worm `W32/BadTrans.B-mm` detected - message NOT accepted!

WAS mache ich jetzt genau????????????????

Hi Weisvonnix!

Möglichkeit 1) Wie oben beschrieben manuell entfernen

Möglichkeit 2) http://pc-special.de/nlrdr.php?nummer=544673&linknr=51

(kostenlos)


Gruß, Mucker

Danke Mucker!

Ich habe das zuerst gemacht wie Du es geschrieben hast >>>

del kernel32.exe und del kdll.dll, weiß allerdings nicht was , bzw. ich in die registry komme und was ich da genau weglöschen muß!


PS:
Der Virenscanner hat bei mir eine zerstörte Datei in Outlook gefunden, die ich gelöscht habe.

Ja, Mucker besten Dank auch von mir!

Die E-Mail nannte sich bei mir Frank Re: