+ Antworten
Ergebnis 1 bis 7 von 7

extreme vorsicht!!

Eine Diskussion über extreme vorsicht!! im Forum Technik Ecke. Teil des Off Topic-Bereichs; Aktuelle Seuchen: Win32-Wurm Bugbear (alias Tanatos) Die großen Wurmepidemien lagen schon eine Weile zurück, als am 30. September und in ...

  1. #1
    Dumme Nuß
    Avatar von Shadowin
    Registriert seit
    16.04.2003
    Ort
    Bei Frankfurt/M
    Alter
    35
    Beiträge
    4.307

    extreme vorsicht!!

    Aktuelle Seuchen:
    Win32-Wurm Bugbear (alias Tanatos)
    Die großen Wurmepidemien lagen schon eine Weile zurück, als am 30. September und in den Tagen danach ein neuer, fetter Wurm die Runden machte: Bugbear kombinierte dabei die besten und bewährtesten Möglichkeiten aus dem Arsenal des Cyberterrorismus, verbreitete sich massenhaft per Mail (@mm) und schoss große Löcher in so manche sicher geglaubte Festung.
    In nur einer Woche ließ Bugbear den Erreger Klez, der bis dahin als "Virus des Jahres 2002" galt, wie ein müdes Vorspiel aussehen. McAfee, Sophos und Symantec stuften den Erreger in ungewohnter Einigkeit als weit verbreitet und hochgefährlich ein.




    das ding ist schlicht und ergreifend die hölle. ein bekannter von mir hat das ding auf dem rechner, er kauft sich morgen XP (hatte bis heute abend 18 uhr noch ME) und darf sich schon mal von sämtlichen daten verabschieden.
    er bekams offenbar über eine email. MACHT AUF KEINEN FALL ANGHÄNGE AUF!!!!!

    hier die ausführliche beschreibung:


    Wie kriegt man ihn?
    Wie üblich kommt der Wurm als E-Mail-Anhang ist Haus (getarnt mit dem Laufzeitpacker UPX, siehe dazu die Hinweise im Buch zur Tarnung von Würmern und Trojanern mit Laufzeitpackern). Er kann aber auch plötzlich in einem freigegebenen Verzeichnis liegen, da er diese sucht und sich hineinkopiert - irgendeiner wird ihn schon ausführen. Er kann auch als Download getarnt sein oder per Filesharing (P2P) auf die Festplatte kommen, wenn jemand ihn absichtlich verbreiten will.

    Der Aufruf kann auf Systemen, die mit fehlerhaftem Windows arbeiten (hey, gibts auch andere? ;-), eine Sicherheitslücke ausnutzen. Der Wurm sorgt dabei über die IFRAME-Funktion (überflüssiges proprietäres Feature des Internet Explorer, das schon oft Probleme machte und dennoch in Redmond brav weitergepflegt wird) dafür, dass das Attachment automatisch ausgeführt wird - das gilt nur auf Mailprogrammen, die den Internet Explorer als HTML-Viewer benutzen. (Bei Eudora ist der Unfug abschaltbar, The Bat! hat ohnehin einen eigenen.)

    Ist das Windows gesichert (durch Updates auf den neuesten Stand gebracht), kann aber auch ein unvorsichtiger Doppelklick auf das Attachment ihn aktivieren. Auch wer Dateimanager / Windows-Explorer auf eine unscheinbare Programmdatei klickt, die plötzlich irgendwo herumliegt, etwa in einem geteilten Verzeichnis (Windows-Share), kann sich infizieren.

    Nach dem ersten Aufruf installiert sich der Wurm in Form einer EXE-Datei 1. ins Systemverzeichnis von Windows (C:\%System%\****.exe) und 2. auch ins Autostart-Verzeichnis und wählt dabei einen zufälligen Namen. Dies und ein Eintrag in der Registry sorgen dann dafür, dass der Trojaner-Teil beim Neustart des PCs in Aktion tritt.

    Was kann er?
    Als b nutzt Bugbear alle E-Mail-Adressen aus den Mailprogrammen des befallenen Rechners, um sich rasch und effizient zu verbreiten. Das heißt, er nutzt nicht nur Outlook, sondern auch andere Mailprogramme, denn auch wenn er dort nicht automatisch startet, kann er beim Ausführen des Anhangs dennoch aktiv werden.

    Er kommt zwar meist mit dem vom User benutzen E-Mail-Programm ins Haus, aber er verfügt über einen eigenen SMTP-Mailserver, so dass er sich nach Belieben versenden kann, auch wenn die E-Mail-Software gegen MAPI-Zugriffe gefeit ist (Eudora kann sich zum Beispiel dagegen wehren, das hilft hier aber nicht).

    Zusätzlich sucht er nach Freigaben in lokalen Windows-Netzen, die bei Microsoft traditionell extrem ungeschützt sind (vor allem Windows 95 und 98).

    Bugbear ändert Einstellungen Ihrer installierten Sicherheitssoftware und setzt dabei unter anderem einige Antivirenprogramme und Personal Firewalls außer Gefecht. Hierzu sucht Bugbear nach verschiedenen Prozessen und stoppt diese auf der Stelle. Zu den Opfern gehört die gesamte Antiviren-Prominenz, auch Antivir PE, McAfee, Norman, Symantec, Sophos, Trend Micro. (Eine Übersicht über alle betroffen Sicherheitsprogramme finden Sie auf den Bugbear-Seiten am Ende dieses Dokuments.)

    Auch Firewalls wie Sphinx und Outpost müssen dran glauben. Das Ausschalten der installierten Schutzsoftware ist besonders fatal (und teuflisch klug), denn:

    Bugbear installiert einen Keylogger-Trojaner, für dessen Aufspürung normalerweise Personal Firewalls notwendig sind. Ein Keylogger-Trojaner ist ein Trojanisches Pferd beziehungsweise ein verborgener Hintergrundprozess, dessen Hauptarbeit darin besteht, heimlich Ihre Tastatur-Eingaben mitzuschneiden. Und das ist der wirklich gefährliche Teil, denn der Wurm kann damit zum Beispiel Ihre Passwörter oder Kreditkartennummern ausspionieren.

    Die ausspionierten Daten verschickt Bugbear per E-Mail an die Adresse eines Hackers im Internet - möglicherweise der Autor des Virus, vielleicht aber auch eine Gruppe.

    Bugbear schickt seinen eigenen Code als Druckauftrag an alle Netzwerkdrucker, die er finden kann. Gedruckt wird wegen des verwendeten RAW-Formats nichts interessantes, es verschwendet nur Papier und zeigt dabei ganz nebenbei auch gleich eine völlig neue Dimensionen auf, wie man Firmen mit einem Wurm/Virus schädigen kann.

    Über den Port 36794 bietet sich Bugbear als Backdoor-Trojaner an, um Dateien vom infiltrierten Rechner zu stehlen. Die Backdoor-Komponente ist nicht so umfangreich wie die typischer Backdoor-Trojaner, aber zum Kopieren von Dateien und zum Ausführen und Stoppen von Prozessen reicht's allemal. Atemberaubend: Der Wurm bietet die Fernsteuerung über HTML an, indem es eines Webserver einrichtet. Die Schurken können sich nach Herzenslust durch den Operrechner klicken und sich Mail-Konfigurationsdateien, die Registry mit den Passworteinträgen oder PGP-Schlüsselringe unter den Nagel reißen.

    Wie erkennen Sie ihn?

    Mail: Der Mailtext besteht oft aus weitergeleiteten Mails - diese sehen dann besonders echt aus. Der Inhalt kann alles mögliche sein, auch in deutscher Sprache, und der Trick mit den recycleten Mails gibt's der Anschlags-Mail gelegentlich das Aussehen unschuldiger Irrläufer-Nachrichten, wie sie auch von Sex-Spammern immer häufiger eingesetzt werden. Besonders fatal ist, dass die Mails oft so nebulös sind, dass auch der abgebrühteste Virenprofi auf den Attach klicken möchte, nur um rauszukriegen, was zur Hölle die Mail bedeuten soll - und schnapp! ist's passiert.

    Betreffzeile: Sie erkennen Bugbear (mit etwas Glück) an Mails, die seltsame Betreffzeilen haben, die aber leider sehr plausibel klingen, vor allem, wenn Sie international arbeiten. Typische Betreffzeilen einer Mail sind "Lost & Found", "Get a FREE gift!" und "Please Help..." (klar, das liest man), "Daily Email Reminder" oder "Just a Reminder" (das auch), Market Update Report, "Membership Confirmation" und "Your News Alert" (typischer Betreff vieler Newsletter). Allerdings hat Bugbear noch ein paar mehr Betreffzeilen drauf, also verlassen Sie sich nicht darauf. Weitere mögliche Betreffzeilen finden Sie auf den Infoseiten am Ende des Dokuments.

    Anhang: Die Mail besitzt einen Anhang, und da ist der Wurm drin. Der Dateiname variiert und kann jedes Mal anders aussehen, allerdings kommen sehr häufig die Wortteile card, data, docs, image, music, photo, pics, readme, resume, song, video vor. Die Endung des Dateianhangs (EXE, PIF oder SCR) ist eine doppelte, zum Beispiel readme.doc.pif oder data.xls.exe, um die wahre Natur des Dateianhangs zu verschleiern.

    Wurmdateien: Der Größe der Wurmdatei (EXE-Datei im Autostart- und im System-Verzeichnis) beträgt derzeit stets 50.688 Byte und ist oft vier Zeichen lang, also fyom.exe, toyt.exe usw. (Das kann sich aber ändern, sobald jemand an Bugbear herumfummelt und neue Variationen in Umlauf bringt.) Der Dateianhang kann, muss aber nicht diese Größe haben. Zusätzlich existiert noch die DLL-Datei mit dem Keylogger-Trojaner, die leider ebenfalls einen zufälligen Namen hat und 5632 Byte lang ist.

    Port: Die Trojanerkomponente öffnet auf dem Windows des Opfers den TCP/IP-Port 36794. Wenn Sie sich selbst von außen scannen lassen (im Buch steht, wie das geht), dann müsste ein infizierter PC hier einen offenen Port zeigen.

    Registry: In der Registrierungsdatei verweist ein Eintrag in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce auf die Wurmdatei, um dafür zu sorgen, dass Windows bei jedem Neustart ordentlich mit Würmern um sich schießt.

    Wie schützen Sie sich?
    Öffnen Sie keinen, keinen, keinen Dateianhang egal welcher Art, es sei denn, sie wissen ganz gewiss, dass ganz bestimmt diese eine Datei von dieser einen, Ihnen wirklich bekannten Person heute, jetzt und hier wirklich an Sie geschickt werden sollte. Rufen Sie zur Not an und fragen Sie nach.

    Vermeiden Sie es vor allem in Firmennetzen, mit Windows-Freigaben (Shares) zu arbeiten. Schon gemeinsame Verzeichnisse auf dem Server sind eine Brutstätte, Windows-Shares machen sie unkontrollierbar.

    Vermeiden Sie es, Programme über Filesharing-Systeme / Peer-to-Peer-Netzwerke zu tauschen. Mit Programmen Kazaa, Edonkey, Emule, Overnet und so weiter öffnen Sie Ihren Rechner für den gesamten Abschaum in Internet. Programmfehler und strukturelle Schwächen können Exploits mit sich bringen, die von Hackern und Virenprogrammierern schamlos ausgenutzt werden. Würmer werden nicht selten in Umlauf gebracht, indem man sie als angeblich interessante Software unters Volk streut, P2P-Netze bieten sich dazu vermehrt an. Erhöhte Vorsicht ist geboten! Und Firewalls können Sie nicht schützen, wenn sie angewiesen sind, der Filesharing-Software freie Hand zu lassen!

    Deaktivieren Sie in Outlook und Outlook Express die Vorschau. Deaktivieren Sie wie im Buch beschrieben den Empfang von Attachments (ab Outlook Express 6 möglich), updaten Sie bei Bedarf Outlook Express 4.x und 5.x auf Outlook Express 6.x und spielen Sie jeweils die neusten Patches ein. Besser noch: Verwenden Sie kein Outlook und auf gar keinen Fall Outlook Express, sondern die im Buch beschriebenen Alternativen.

    Updaten Sie Windows, Outlook und Ihr Antivirenprogramm. Wichtig gegen Bugbear ist der Patch aus dem Microsoft Security Bulletin MS01-027 http://www.microsoft.com/technet/sec...n/MS01-027.asp

    Kleine Outlook-Wurmkur: Wenn Sie Zugriff auf die Installationsdateien haben (= CD-ROM von Office zur Hand), dann und nur dann gehen auf die Office-Update-Seite bei MS und updaten Sie Ihr Outlook. Gehe Sie nach Installation und Neustart ins Menü Extras / Optionen. Wähle Sie den Reiter Sicherheit. In der Mitte kann man die Zone einstellen, wählen Sie Eingeschränkte Sites. Konfigurieren Sie die Zoneneinstellungen für Eingeschränkte Sites im Internet Explorer, Extras / Optionen, Reiter Sicherheit, Icon Eingeschränkte Sites, Klicken auf Stufe anpassen. Deaktivieren Sie alles, ActiveX, Script, Java oder sonst wie ausführbar riecht. Aber: Das alles hilft nichts, wenn Sie kein Update installiert haben.

    Benutzen Sie dann zum Beispiel den Web-Scanner http://housecall.antivirus.com/ - er scannt Ihren beim Aufruf der Website. Sie brauchen sich nicht mit Namen eintragen, klicken Sie auf scan without registering. Machen Sie dann alles, was gesagt wird. So sehen Sie, ob derzeit ein Virus aktiv ist. Hoffentlich.

    Viren-Schutz: Downloaden Sie bei Gelegenheit ein Gegenmittel wie Antivir PE auf www.free-av.de (privat frei nutzbar) oder kaufen Sie sich eine kommerzielle Soft-ware (nicht McAfee). Alternativ laden Sie sich bei Trend Micro die Testversion von PC Cillin Desktop, die können Sie ca. 90 Tage kostenlos (und vollständig) testen, und müssen dann erst kaufen, bis dahin sollten Sie Ihr Problem behoben haben. Installieren Sie Demos, Testscanner und freie Virenprogramme nur, wenn nicht bereits ein Virenwächter läuft - zwei Virenwächter killen Ihr System.

  2. #2
    Oberleutnant
    Avatar von RhiNoTaNk
    Registriert seit
    09.12.2002
    Ort
    Bautzen
    Alter
    28
    Beiträge
    7.533
    Name
    Christoph
    Nick
    ThriLLseekeR
    Clans
    MUM,HFD,WK
    hab da kein prob hab norton 2004 professional =) ich mach so und so keine mails mit anhand auf wenn ich nicht weiss das ich eine bekomme ^^
    Der Klügere kippt nach!!!

  3. #3
    Ex-Admin

    Registriert seit
    28.07.2001
    Beiträge
    2.783
    Ein Computer braucht Pflege.
    Darunter versteht sich auch ihn aktuell zu halten, und gegen Viren vorzugehgen in dem man auf dem neusten Stand ist.

    Wer das nicht tut, ist meiner Meinung nach selbst schuld.
    Ausser er weiss nicht was es heißt das man sich schützen muss, weil es einem sonst an den Kragen gehen würde.

    Außerdem ist Bugbear ein alter Hut.

  4. #4
    Feldwebel
    Avatar von cifixi0n
    Registriert seit
    30.12.2002
    Ort
    Dortmund
    Alter
    31
    Beiträge
    1.459
    Name
    Christian
    Nick
    Cifixi0n
    Also das erste was man eigentlich "lernt" ist das man keine mails von ihrgendwelchen heinis öffnet die man net kennt.
    Bzw. deren Anhang.

    ist aber trotzdem nett @ Shadowin

  5. #5
    Dumme Nuß
    Avatar von Shadowin
    Registriert seit
    16.04.2003
    Ort
    Bei Frankfurt/M
    Alter
    35
    Beiträge
    4.307
    jop... naja ich habe halt so bekannte die nutzen nen PC ähnlich wie ne kaffeemaschine: use, use, use -> abort.

    sodele... im zuge meiner mittelschweren viren-paranoia durfte mein antivir wieder arbeiten und fand das:

    C:\Programme\ISTbar
    istbar.dll
    Ist das Trojanische Pferd TR/IstBar.U

    WURDE GELÖSCHT!

    hmmzz.. 2

  6. #6
    213.202.195.10:27015
    Avatar von pure30cm
    Registriert seit
    01.11.2001
    Ort
    schweiz,
    Alter
    29
    Beiträge
    2.533
    Clans
    [HF] Hamburger Funclan
    lass ihn doch immer arbeiten hehe

    besonders neu kann der virus ja nicht sein wenn er der gefährlichste im jahre 2002 ist *gg
    Dead Or Freedom will stalk on my gravestone!

  7. #7
    Stabsunteroffizier
    Avatar von MakeTnotWar
    Registriert seit
    11.05.2003
    Ort
    Vom Meer im hohen Norden
    Alter
    45
    Beiträge
    806
    Original geschrieben von TraXX
    Ein Computer braucht Pflege.
    Darunter versteht sich auch ihn aktuell zu halten, und gegen Viren vorzugehgen in dem man auf dem neusten Stand ist.
    Wer das nicht tut, ist meiner Meinung nach selbst schuld.
    Moin moin,

    sicher sollte man das tun. Pech hat man nur, wenn man zu den Erstinfizierten gehört und noch kein Schutz gegen einen Virus vorhanden ist. Ist wie bei echten Krankheiten. Wer sich im Moment mit AIDS oder Ebola infiziert ist diesen Krankheiten nahezu schutzlos ausgeliefert. Ist beim Computer natürlich nicht so dramatisch; letztes Image wieder drauf und gut is.


    Original geschrieben von cifixi0n
    Also das erste was man eigentlich "lernt" ist das man keine mails von ihrgendwelchen heinis öffnet die man net kennt.
    Bzw. deren Anhang.
    Das halte ich für einen Trugschluss. Viren, die sich per E-Mail verbreiten erhält man von Leuten, in deren Adressbuch man steht. Also in der Regel gerade von Leuten, die man kennt. Aufmerksam sollte man werden, wenn ein Attachment zwei Dateiendungen hat (z.B. Virus.jpg.exe). Hab eigentlich noch nie gesehen, dass das kein Virus wäre.

    CU
    PC-Action Forum toleriert Aufruf zum Mord
    Link

+ Antworten

Ähnliche Themen

  1. Vorsicht vor dem Spieler Aigo2Win
    Von drabomb20 im Forum Alarmstufe Rot 2
    Antworten: 3
    Letzter Beitrag: 19.05.2002, 03:54
  2. VORSICHT vor HAVOK die Cheaten ohne ENDE
    Von KlickOff im Forum Alarmstufe Rot 2
    Antworten: 2
    Letzter Beitrag: 19.03.2002, 15:40
  3. vorsicht mit ...
    Von l3eowolf im Forum Tiberian Sun
    Antworten: 6
    Letzter Beitrag: 27.10.2001, 14:28
  4. vorsicht nen depp !
    Von aPaRaGi im Forum Alarmstufe Rot 2
    Antworten: 38
    Letzter Beitrag: 12.10.2001, 03:34
  5. Vorsicht @anGeL* = reconer
    Von inst!nct im Forum Alarmstufe Rot 2
    Antworten: 11
    Letzter Beitrag: 01.10.2001, 17:36

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •