Viren & andere nette Haustiere

[Enkidu]

Danke für eure Tipps.

Für die, die es noch interessiert:
Nachdem ich im Internet nach verschiedenen Trojaner-Scannern gestöbert und mich durch die Logs von Hijack, FileMon und RegMon gearbeitet habe, glaube ich nun die Ursache gefunden zu haben. Meine neue Antivir-Version, die ich runtergeladen habe (nachdem der Virus gefunden wurde), funktioniert nicht richtig. Der AVGuard, der normalerweise im Hintergrund läuft, kann komischerweise nicht gestartet werden. Alle paar Sekunden versucht Antivir ihn zu starten, was zu diesem "Zucken" in der Task-Leiste führt. Ich versuch jetzt eine Neu-Installation und hoffe, dass es dann klappt.


Was sind eigentlich eure Erfahrungen mit Antivir, bzw. wie gut kann man sich auf ihn verlassen?

[Nager]

Enkidu: Möglicherweise hat der Virus noch einen Mechanismus im System zurückgelassen, der das Ausführen eines Residenten Virenscanners verhindert? Keine Ahnung sonst.. probiers aus.

Ich selbst habe mit Antivir beste Erfahrungen gemacht. Die Software ist schlank, unaufdringlich und zuverlässig. Ich habe damit schon einige "befallene" PCs gesäubert. Aus meiner Sicht heraus ist es ziemlich unverständlich, wieso jemand für einen Virenscanner Geld bezahlt, wo es Antivir kostenlos gibt.

Gerade bei NAV höre ich immer und immer wieder von irgendwelchen Problemen im Zusammenhang mit dem speicherresidenten Virenscanner.

Im übrigen ist oft *kein* Virenscanner gegen aktuelle Viren gefeit, denn Signaturen werden mitunter erst Tage nach Ausbrechen einer neuen Virenwelle aktualisiert (so gerade erst wieder bei MyDoom geschehen).
Gegen Spyware hilft er wie gesagt meistens gar nicht - dafür benötigt man zusätzliche Software (siehe oben).

Sicherheit fängt meiner Meinung nach nicht bei der Wahl des "richtigen" Virenscanners an, sondern bei der Einrichtung einer personal firewall, der Verwendung von alternativer Mail / Browser-Software (oder dem ständigen Einspielen neuer Sicherheitspatches für die verbreiteten MS-Produkte) und vorallem dem verantwortungsbewussten Umgang mit eben diesen Programmen und dem Internet im allgemeinen. Benutzer sollten sich selbst im Klaren darüber sein, dass man eine .exe-Datei im Mailanhang, auch wenn die Mail angeblich von der Kriminalpolizei Düsseldorf oder einem guten Freund stammt nicht einfach ausführt - auch wenn der Virenscanner beim Anblick der .exe gleich Alarm schreit und einen gar nicht an die Datei ranlässt. Niemand sollte der Illusion vertrauen, dass das Installieren eines Antivirenprogrammes automatisch für Rundum-Sicherheit sorgt. Die nächste angehängte .pif-Datei lässt der Scanner dann passieren und schon ist der neue Virus im System..

[BLOODTHIRST]

was auch für antivir spricht ist, dass er von der updatesperre von mydoom (oder wars der vorgänger?) nicht betroffen war. während besitzer von symantec und 2-3 weiteren nichts tun konnten.

[Dr.BrainFister]

beim scan wurde in der datei "sctasks.exe" die signatur des wurmes Darce.A.4 entdeckt. die datei konnte gelöscht werden. ist das ein neuer wurm? antivir entdeckte ihn erst heute nachdem ich das letzte update installierte. bei einem intensiv-scan gestern wurde noch nix gemeldet.

[Falcon]

Tach allemiteinander.

Ist es mittlerweile "üblich", dass sich Viren-E-Mails auch mit fremden E-Mail-Adressen verschicken? Ich hab gestern nämlich zwei Fehlermeldungsmail von zwei Mailservern bekommen, in denen stand, dass sie je eine E-Mail von mir nicht zustellen konnte. Ich hab an die angegebenen Adressen jedoch nie E-Mails verschickt. Bei den beiden beanstandeten Mails handelte es sich wohl jeweils um mit Viren verseuchten Mails ( Die eine Fehlermeldung besagte, dass ein Virus in der Mail gefunden worden wäre, die andere besagt, dass die Mail nicht angenommen wurde, da eine .pif-Datei angehängt war, was ja gerne für Viren benutzt wird).
Die erste Möglichkeit wäre natürlich, dass mein Rechner mit einem Virus infiziert ist und jetzt seinerseits fleißig E-Mails mit Viren verschickt. Allerdings findet mein Virenscanner nix und außerdem war ich dem besagten Zeitraum auch gar nicht online. Dann kann es natürlich grundsätzlich sein, dass die Fehlermeldungsmails selbst Virenmails sind, was aber eigentlich wegfällt, da sie keinen Anhang haben.
Lange Rede, kurzer Sinn oder besser Frage:
Werden solche Virenmails mittlerweile auch mit gefälschten Adressen verschickt? Ist ja keine allzugroße technische Schwierigkeit. Mich wundert es nur, dass mir sowas letzter Zeit öfters passiert und vorallem mittlerweile eine E-Mail-Adresse von mir betroffen ist, die ich eigentlich kaum verwende und nicht vielen bekannt ist. Aber okay, vielleicht hat's ja irgeneinen der "wenigen" erwischt.
Ist denn momentan ein Virus unterwegs, der genau nach dieser Methode vorgeht: also irgendwelche Rechner infiziert, dort Mailadressen sucht und sich nicht, wie sonst üblich, mit der Adresse des infizierten PCs an diese Adressen verschickt, sondern diese Adressen als Absenderadressen benutzt?

CU Falcon

[mukenukem]

Leider ist das Mail-Protokoll so veraltet, daß eigentlich jeder unter falschem Namen mails verschicken kann.

Ich denke, daß irgendwo ein Virus diese e-mail Adresse in irgendeinem Adressbuch gefunden hat und diese verwendet.

Außerdem ist ein gängiger Trick, solche "Bestätigungs" oder "Fehler" Mails von angeblichen Mailservern zu verschicken, welche einen Virus im Anhang haben. Der Unwissende öffnet die Mail und bamm.

Also, verdächtige Mails löschen und gar nicht erst öffnen. Und natürlich nicht Outlook verwenden !

[Falcon]

Originally posted by mukenukem@27.03.2004, 15:22
Außerdem ist ein gängiger Trick, solche "Bestätigungs" oder "Fehler" Mails von angeblichen Mailservern zu verschicken, welche einen Virus im Anhang haben. Der Unwissende öffnet die Mail und bamm.

Ist schon klar. Wie gesagt, kommt das in dem Fall eigentlich nicht in Frage, da die Mails gar keinen Anhang hatten. Hatte aber auch schon solche gefälschte, verseuchten Fehlermails erhalten.

Der Virenscanner von meinen E-Mail-Provider scheint auch recht zuverlässig zu arbeiten, da kommt eigentlich (fast) kein Virus mehr durch. Kann mich zumindest nicht mehr an den letzten erinnern. Allerdings hat die Virenflut bei mir in den letzten Monaten deutlich zugenommen. War es vor einem Jahr noch extrem selten, dass ich einen Virus geschickt bekam, sind es jetzt mal mitunter mehrere pro Woche.

CU Falcon

[Dr.BrainFister]

VORSICHT!

zur zeit werden anscheinend mails mit dem absender @rtl.de verschickt, die in den anlagen eine variante des virus sober enthalten.

ich erhielt sie 2mal von 2 absendern:

RTL-Admin@RTL.de

Auslosung@RTL.de

inhalt der mail:

Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.



+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-780 0 oder
+++ Fon: +49 (0) 180 5 44 66 99

antvir läutete alarm.

also: auf keinen fall die anhänge öffnen!

[Dr.BrainFister]

NOCHMEHR VORSICHT!!!

gerade erhielt ich weitere dubiose mails mit scheinbar bekannten absendern, die den sober-virus im anhang enthalten.

hier die mails inkl. absender, betreff und anhang-bezeichnung:

From: Anzeige@BKA.de
To: ...
Subject: Sie besitzen Raubkopien


Sehr geehrte Dame, sehr geehrter Herr,


das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 234.226.114.230 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.


Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:#5987 (siehe Anhang)


Hochachtungsvoll
i.A. Juergen Stock

--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0


Anhang:
Akte5987.zip

From: Info@yahoo.de
To: ...
Subject: Mailzustellung wurde unterbrochen


This is an automatically generated Delivery Status Notification.


SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.


The full mail-text and header is attached!


Anhang:
Email.zip

From: Hostmaster@weishaupt.de
To: ...
Subject: SMTP_Mail_gescheitert


This is an automatically generated Delivery Status Notification.


SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.


The full mail-text and header is attached!


Anhang:
Email_text.zip

From: Postman@amazon.de
To: ...
Subject: SMTP Mail gescheitert


This is an automatically generated Delivery Status Notification.


SMTP_Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.


The full mail-text and header is attached!


Anhang:
Email_text.zip

From: Webmaster@klaeschen-architekt.de
To: ...
Subject: Ihr Passwort


Ihre Nutzungsdaten wurden erfolgreich geaendert. Details entnehmen Sie bitte dem Anhang.



*** http://www.klaeschen-architekt.de
*** E-Mail: PassAdmin@klaeschen-architekt.de


Anhang:
klaeschen-architekt-TextInfo.zip

AM BESTEN GLEICH LÖSCHEN! ANHÄNGE AUF GAR KEINEN FALL ÖFFNEN!



.

[Dr.BrainFister]

das BKA wiesbaden, das in einer der viren-mails fälschlicherweise als absender angegeben wird, schaltete mittlerweile selbst eine meldung zu dem problem:

BKA warnt vor gefälschten E-Mails mit BKA-Absender - Variante des Sober-Wurms

E-Mail-Anhänge auf jeden Fall löschen!

Wie dem BKA heute (21.11.05) bekannt wurde, ist derzeit eine gefälschte E-Mail in Umlauf, die als angeblichen Absender das BKA vorgibt. Der Betreff dieser E-Mail lautet: "Sie besitzen Raubkopien".

Diese E-Mails stammen nicht vom BKA.

Das Bundeskriminalamt warnt dringend davor, den Dateianhang der E-Mails zu öffnen. Es handelt sich um einen Massenmailer-Wurm (wahrscheinliche Variante: W32.SoberX), der sich beim Öffnen des Dateianhangs automatisch an die im Adressbuch des Rechners gelisteten Adressen weiterversendet.

Der Inhalt der gefälschten E-Mails besagt, dass angeblich "der Inhalt Ihres Rechners" als "Beweismittel sichergestellt" wurde und gegen den Empfänger angeblich ein Ermittlungsverfahren eingeleitet wurde.

Das BKA rät, die E-Mails zu löschen und einen Virenscanner über den Rechner laufen zu lassen.

E-Mails dieser Art kursieren momentan vor allem in Deutschland, Österreich und der Schweiz.

quelle: www.bka.de

[mukenukem]

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 234.226.114.230 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Der gesunde Menschenverstand sagt einem, daß das schon mal ein Gschichtl ist.

1. Das Herunterladen von Filmen, Software und MP3s ist nicht illegal. Seit wann dar ich keine Software runterladen ? Schon lam was von Freeware gehört ?

2. Wenn das "BKA" vorab etwas mitteilt, wären sie blöd, doch lieber gleich den Rechner beschlagnahmen, ohne vorher die Möglichkeit zu geben, ihn leerzuputzen.

3. "Der Inhalt Ihres Rechners wurde als Beweismittel sichergestellt...."
Soso, 200GB, über einen 512kbit Uplink, das dauert in etwa 2 Tage (oder hab ich mich da verrechnet, kommt mir etwas wenig vor). Außerdem setzt das voraus, daß irgendeine Backdoor am Rechner installiert wurde, was unter Computersabotage fällt. Und außerdem müssen die Kerlchen mal durch die Firewall kommen. Naja, wers glaubt.....

4. In Österreich hat das BKA kaum was zu melden

5. Ich bezweifle, daß die Jungs anhand der IP ne mail-Adresse rausfinden können. Wie soll das gehen ? Sind die die Scheffs über das gesamte Internett ?



Normalerweise wandert sowas in den Spam. Falls ihr euch unsicher wegen irgendwelchen dubiosen mails seid, fragt hier einfach nach, hier werdet ihr geholfen, NUR NIE !!!!! DIE ATTACHMENTS ÖFFNEN !

[SF-Home Team]

Websense warnt vor gefälschten Windows-Patches

Hacker wollen Anwender zur Installation eines Trojaners bewegen

Websense warnt in einem Advisory vor einer E-Mail, die Anwendern einen Patch für eine Windows-Lücke anbietet. In Wirklichkeit handle es sich dabei um einen Trojaner.
"Die Leute fallen immer noch darauf rein. Es ist für Hacker sehr einfach, aus der Angst auf dem Markt Vorteile zu ziehen", sagte Websense-Manager Joel Camissar.
Die E-Mail der Hacker gibt vor, einen Patch für die Windows-Schwachstelle MS06-039 bereitzuhalten. Anwender sollten auf keinen Fall auf die Nachricht reagieren und Patches immer nur direkt von der Microsoft-Website oder über Windows Update herunterladen.
Quelle: zdnet.de

Was das Herunterladen von Patches betrifft koennen alternativ natuerlich auch serioese Seiten wie "Winbord.org" und "Winfuture" genutzt werden.

und auch der altbewaerte TelekomTrick ist wieder aktiv

--->>weiterlesen Und wieder nen neuer Trojaner Trick

[cronos]

Hi Leute

habe ein kleines Problem mit meinem Laptop. Hier habe ich XP home am laufen und seit gestern fing das ganze an. Ein kleiner Prozess, im Taskmanger als AVservices.exe angeführt, frisst sämtliche CPU-Zeit und wird speichermäßig immer größer, bis nach einer gewissen Zeit überhaupt nix mehr geht.

Ein Virus? mein Scanner hat nicht angeschlagen, ist immer auf dem neuesten Stand.

hat davon schon wer gehört? wie krieg ich den mist weg. zwar ist ruhe, wenn ich ihn einfach beende, aber nach jedem neustart hab ich das gleiche problem...

edit: bin mir jetzt nicht mehr sicher ob der mist AVserve oder AVservices heisst...

mfg
cronos

[Nager]

Ich glaube nicht, dass das ein Virus ist. Das "AV" könnte eher darauf hindeuten, dass das Teil zu einem Antivirus-Programm gehört. Wenn du nicht weisst, was es ist, solltest du es auf jeden Fall ausschalten. Dazu gehst du auf Start > ausführen und gibst "msconfig" ein. Dort schaust du die Autostartliste durch und nimmst das Häkchen vor "AVservices" weg. In welchem Verzeichnis liegt denn diese Datei? Windows oder ein eigenes Programmverzeichnis?

[cronos]

Hi Nager

tja, dachte ja zuerst auch, dass das irgendwas mit meinem Anti Vir zu tun hat, aber nach einiger zeit konnte ich nicht mal mehr den Taskmanager öffnen. Hab das Mistding, AVserve.exe schließlich im Windows Ordner gefunden...

Aber AVserve.exe ist anscheinend nicht alleine gekomen. habe noch ein paar exes, die sich selbst gestartet haben und die CPU auf Volllast bringen. Doch damit nicht genug, meine W-lan Verbindung ist ausgefallen, musste den Chip Hardware und Softwaremäßig de und aktivieren...

sie haben sich in windows\system32 festgesetzt und nennen sich xxxxx_up.exe, statt xxxx steht eine beliebige Zahl.
ebenfalls ein xxxx_up.exe-yyyyy.pf im Windows\prefetch , statt yyyy steht eine hexzahl...

ausserdem scheinen die generiert zu werden, habe alle gelöscht, jetzt ist schon wieder eine da und kappt mir die Leitung

vielleicht weiss ja wer was näheres.

mfg
cronos

[Nager]

Da scheint wohl doch ein Virus am Werk zu sein.
Update mal die Signatur deines Scanners..

Um das "selbstkopieren" des virus zu verhindern, musst du den Hauptprozess killen, der dafür zuständig ist. Hau mal alle beteiligten Dateien in ein Backupverzeichnis (zur späteren Einsicht) und versuche, wirklich *alle* Prozesse loszuwerden, die da mit drinstecken (via msconfig ganz bequem - alle Windowsprozesse ausblenden und einfach erstmal testeshalber alles ausschalten, was du nicht kennst. Wenn dann irgendwas nicht mehr funktioniert, kannst du das entsprechende Häkchen jederzeit wieder zurücksetzen).

[cronos]

tja, ein neuer scan mit AntiVir hat gebracht:

Agobot.81920
dedler.f

seltsam nur, dass sich über die keine details finden lassen.

das *_up.exe schein ich jetzt los zu sein, aber der avserv.exe hat einfach mit einem avserv2.exe losgelegt, und da schlägt antivir nicht an...

Nachtrag:

nope, mit antivir werd ich dieses viech anscheinend nicht los

gibts da bessere freeware virenscanner? jetzt fangt dieses scheißteil schon an, meine lsass.exe abzuschießen...


mfg
cronos

[mukenukem]

Also:
1. Mit dem Taskmanager alles abschießen, was nicht koscher scheint.

2. Rechte Maustaste auf Arbeitsplatz, "Verwalten" -> Dienste:
dort suchst du nach Diensten, welche keine Beschreibung haben, diese gehst du dann durch, und wenn dir einer Spanisch vorkommt, dann kannst du ihn beenden und die Startart auf "deaktiviert" setzen (du solltest nur die beenden, welche wie dein virus heißen)

3. In der Registry (mit Regedit) My Computer\HKEY_CURRENT_USER\Software&#092 ;Microsoft\Windows\CurrentVersion\R un die Einträge rauslöschen, welche dir unbekannt sind (kannst ja nach den Dateien suchen und schauen, wo sie herkommen).

Leider kann man damit auch das System ziemlich beleidigen, wenn man was falsch macht, deswegen Vorsicht !

Allerdings hab ich so noch jedes Mitsviech erledigt.
Wenn du bei Dateien unsicher bist, laß dir die Eigenschaften (mit rechter Maustaste) anzeigen, wenn es dort Version, Hersteller, etc. gibt, ist es meist ok, Viren haben keine Herstellernagaben).

[Nager]

Wenn es dir die lsass.exe abschiesst, bist du vielleicht Opfer von "Sasser" geworden, der (mal wieder, siehe msblaster / lovesan > RPC-sicherheitslücke) eine Schwachstelle in einem Windowsdienst in WinXP und Win2k ausnutzt (diesmal LSASS).

Microsoft-Patches gibts schon seit zwei Wochen, die sich auch jeder reinziehen sollte, der seinen Rechner nicht per Firewall gesichert hat

Zu deinem "avservice"-Problem:

Auch hier nochmal: Manuelle Griffe in die "Run"-Schlüssel der Registry sind unnötig und sogar gefährlich, da man leicht Dinge entfernt, die vielleicht doch wichtig waren und man nicht so einfach per Hand ersetzen kann. Zu dem Zweck gibts das (undokumentierte) tool "msconfig" das alles bequem zum ausschalten und bei Bedarf wieder anschalten auflistet - und einiges mehr, als nur die "run"-Schlüssel.

Mach dich doch einfach mal daran, wie oben schon beschrieben, dir unbekannte Prozesse testeshalber auszuschalten. Wie Muke schon sagte, lässt sich damit immer noch fast jeder Virus kleinkriegen..

[Drago]

@cronos: das was du beschreibst ist nicht nur vieleicht sasser, sondern es ist die beschreibung von dem was sasser standardmässig macht.
Die Hauptbeschreibung des Vorgangs hab ich in den Newsgroups gelesen, weiss aber leider nicht mehr genau wo. Ansonsten findest du hier eine kürzere Beschreibung.
Löusng und Beschreibung von McAffee
Lösung und Beschreibung von Symantec (Norton)
Und damit das Ganze sich nicht wiederholt hier der Patch von Microsoft


edit: ups, der Link zu Heise von Nager ist der Gleiche wie bei mir, hatte ich beim Posten nicht bemerkt da die Seiten anders aussehen. Der Inhalt ist aber gleich.

edit2: zu der avservice Sache, hier nochmal der wichtigste Abschnitt

The worm spreads with the file name: avserve.exe . Unlike many recent worms, this virus does not spread via email. No user intervention is required to become infected or propagate the virus further. The worm works by instructing vulnerable systems to download and execute the viral code.

edit3: @mod (muke): der Thread sollte in Sasser Wurm umbenannt werden, damit das Thema direkt schon vorhanden ist, und nicht jemand den nächsten Thread zum Thema startet. Ich möchte wetten, das einige Forenuser mit dem Wurm bald infiziert sein werden.