[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[infowar.de] !!! Re: Re: VIRUS IN IFSH-Mail! Achtung!

To: infowar - de -! - infopeace - de
Subject: [infowar.de] !!! Re: Re: VIRUS IN IFSH-Mail! Achtung!
From: Georg Schoefbaenker <schoefbaenker -! - aon - at>
Date: Wed, 05 Dec 2001 20:49:23 +0100
In-reply-to: <3C0E57E1.639A88BB@zedat.fu-berlin.de>
References: <NBBBKNDCJLNIPALLIPGKOEIMCGAA.kutz@brainfart.de>
Sender: bendrath -! - zedat - fu-berlin - de

Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------
At 18:22 05.12.2001, you wrote:
>Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
>-------------------------------------------------------------
>Soweit ich es mitbekommen habe, blieb diese Liste bisher verschont. Ich
>bin jedenfalls virenfrei und hatte auch keine komischen Mails aus
>infowar.de in der Inbox.
>
>Ralf
>
>----------------------------------

Doch, da war in der Tat etwas. Ein Mail von der IFSH vom 29.11, ein reply auf ein mail von mir.

Dieses ist bei mir in der Inbox gelandet, hatte kein attachment, auch keinen Text, aber offensichtlich trotzdem was Bösartiges. Meine beiden parallel laufenden antiviren Programme haben jedoch damals nicht aufgeschrien. Jetzt jedoch nach dieser Warnung habe ich einen voll virusscan jenes Verzeichnises, in dem mein mailprogramm steht (Eudora professional 5.1), samt aller Unterverzeichnisse gemacht. Dort fand sich imVerzeichnis ..\embedded der W95 -
 Badtrans -!
- mm Wurm mit Datum vom 29.11, DER TASTATUREINGABEN AUFZEICHNET!
Meine Firewall hat zum Glück erkannt, daß, was unten steht, im Beginn war zu starten, nämlich kernel32.exe.


GS

Das war die Warnung vom 26.11., vom BSI

Viruswarnung -  Virusbeschreibung


Name:                   W32 -
 Badtrans -
 B -!
- mm 

Alias:          -
Art:                    Wurm
Betriebssystem: Microsoft Windows 
Verbreitung:    mittel
Risiko:         mittel
Handlungsbedarf:        Update der Virensignaturen
Schadensfunktion:       Installiert Trojanisches Pferd


W32 -
 Badtrans -
 B -!
- mm ist ein MAPI-basierender Wurm, der sich selbst per
Email-Nachricht versendet. Dabei verwendet er unterschiedliche Namen für die
angehängte Datei. Außerdem installiert W32 -
 Badtrans -
 B -!
- mm ein Trojanisches
Pferd, mit dem Tastatureingaben aufgezeichnet werden.

Der Name der angehängten Datei wird aus folgenden möglichen Namen
zusammengesetzt:

HUMOR
DOCS
S3MSONG
ME_NUDE
CARD
SEARCHURL
YOU_ARE_FAT!
NEWS_DOC
IMAGES
PICS
README
SETUP

Erste Dateinamenerweiterung:
.DOC
.MP3
.ZIP

Zweite Dateinamenerweiterung:
.pif
.scr

Daraus resultieren Dateinamen wie zum Beispiel:
CARD.DOC.PIF
NEWS_DOC.MP3.SCR
Möglicherweise wird die zweite Dateinamenserweiterung nicht angezeigt.


Wird diese Datei ausgeführt, installiert der Wurm das Trojanische Pferd als
Datei "kernel32.exe" im Verzeichnis "\windows\system". Anschließend wird ein
Registry-Key gesetzt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Kernel3
2=kernel32.exe.


Email-Filter sollten so eingestellt werden, dass sie Email-Anhänge mit der
Erweiterung .pif und .scr blockieren.

Ein Update der Viren-Schutzsoftware ist erforderlich.      

      

>-----------------------------
>Liste verlassen: 
>Mail an infowar -
 de-request -!
- infopeace -
 de mit "unsubscribe" im Text.


---------------------------------------------------------------
Liste verlassen:
Mail an infowar -
 de-request -!
- infopeace -
 de mit "unsubscribe" im Text.

Follow-Ups:
- [infowar.de] Re: !!! Re: Re: VIRUS IN IFSH-Mail! Achtung!
  - From: tim.wilkens

References:
- [infowar.de] VIRUS IN IFSH-Mail! Achtung!
  - From: Magnus Kutz
- [infowar.de] Re: VIRUS IN IFSH-Mail! Achtung!
  - From: Ralf Bendrath

Prev by Date: [infowar.de] Re: VIRUS IN IFSH-Mail! Achtung!
Next by Date: [infowar.de] FBI fixes focus on technology
Previous by thread: [infowar.de] Re: VIRUS IN IFSH-Mail! Achtung!
Next by thread: [infowar.de] Re: !!! Re: Re: VIRUS IN IFSH-Mail! Achtung!
Index(es):
- Date
- Thread