GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: 1 2 | zum Seitenende |
|
Autor | Mitteilung |
martin8 Boardkaiser Beiträge: 2418 | Gesendet: 16:03 - 01.02.2006 Hallo, habe gestern (im Videotext) von einem neuen Wurm mit dem Namen "Nyxem.e" gelesen. Wer hat eine Ahnung, wie gefährlich er wirklich ist und wie er sich verbreitet ? Gruss Martin |
shark-bay
Boardkaiser Beiträge: 2350
|
Gesendet: 16:08 - 01.02.2006 Quelle Antiviruslab: Allgemeine Beschreibung: Bei Email-Worm.Win32.Nyxem.e handelt es sich um eine Variante von 'Email-Worm.Win32.Vb.bi' mit einer gefährlichen Schadensfunktion. Er verbreitet sich in hohem Maß per E-Mail oder über die Standardfreigaben Admin$ und C$ im lokalen Netzwerk. Die E-Mails kommen mit Betreffs wie '*Hot Movie*', 'A Great Video', 'Arab sex DSC-00465.jpg', 'eBook.pdf', 'Fuckin Kama Sutra pics', 'Fw: DSC-00465.jpg', 'Fw: Funny :)', 'Fw: Picturs', 'Fw: Sexy', 'Fwd: image.jpg', 'Fwd: Photo', 'Miss Lebanon 2006', 'My photos', 'Part 1 of 6 Video clipe', 'Re: Sex Video', 'School girl fantasies gone bad', 'The Best Videoclip Ever', 'the file', 'Word file', 'You Must View This Videoclip!'. Der Dateianhang ist im Dateiformat PIF, SCR oder ZIP oder kann in MIME-Formaten wie MIM, HQX, B64, BHX, UUE, UU vorliegen. Wer den Dateianhang öffnet startet den Wurm, der sich auf den Rechner kopiert, in die Registry einträgt. Dann beendet er Prozesse von Antiviren-Software und löscht deren Dateien und Registry-Einträge. Dann durchsucht er den Rechner nach E-Mailadressen an die er sich mit der integrierten SMTP-Engine versendet. Email-Worm.Win32.Nyxem.e hat eine fiese Schadfunktion. An jedem 3. eines Monats überschreibt er auf allen zugänglichen Laufwerken (also auch Netzlaufwerken) Dateien im Format "DMP", "DOC", "MDB", "MDE", "PDF", "PPS", "PPT", "PSD", "RAR", "XLS", "ZIP". Schadensfunktionen: Überschreibt Dateien im Format "DMP", "DOC", "MDB", "MDE", "PDF", "PPS", "PPT", "PSD", "RAR", "XLS", "ZIP" an jedem 3. eines Monats auf allen zugänglichen Laufwerken, inklusive Netzlaufwerke. Die Inhalte der Datei werden mit dem Text "DATA Error [47 0F 94 93 F4 K5]" überschrieben. Systemvoraussetzungen: Windows, VisualBasic Runtime Symptome: Dateien: %WINDOWS%\rundll16.exe %WINDOWS%\Winzipi_TMP.exe %SYSTEM%\scanregw.exe %SYSTEM%\Update.exe %SYSTEM%\Winzip.exe %SYSTEM%\Winzip_TMP.exe %SYSTEM%\Sample.ZIP %SYSTEM%\MSWINSCK.OCX (Internet Connectivity, 55.808 Bytes) \C$\Dokumente und Einstellungen\All Users\StartMenü\Programme\AutoStart\WinZip Quick Pick.exe \C$\Dokumente und Einstellungen\All Users\StartMenü\Programme\AutoStart\WinZip Quick Pick.lnk Registry: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ScanRegistry" = "%System%\scanregw.exe /scan" Verbreitung: Email-Worm.Win32.Nyxem.e nutzt drei Möglichkeiten sich zu verbreiten. 1. Netzwerkfreigaben Er kopiert sich als "WINZIP_TMP.exe" in die Standard-Netzwerkfreigaben Admin$ und C$ oder als "WinZip Quick Pick.exe" in den Autostart-Ordner von "All users". 2. Active Desktop Nyxem nutzt auch eine ungewöhnliche Art der Verbreitung. Er verändert die Einstellungen in der Datei "desktop.htt" so, dass bei jedem Start des Active Desktop die Datei C:\WINZIP_TMP.exe geladen wird. Auch die entsprechende desktop.ini Datei wird so modifiziert, dass sie auf eine verseuchte Datei namens "Temp.htt" verweist 3. Verbreitung per E-Mail Email-Worm.Win32.Nyxem.e verbreitet sich per E-Mail mit seiner integrierten SMTP-Engine. Die Emailadressen sucht er auf dem lokalen Rechner in -Dateien. Er sendet sich nicht an Adressen, die folgende Zeichenketten enthalten: "ANTI", "AVG", "BLOCKSENDER", "CA.COM", "CILLIN", "EEYE", "GROUPS.MSN", "HOTMAIL", "MICROSOFT", "MSN", "MYWAY", "NOMAIL.YAHOO.COM", "PANDA", "SCRIBE", "SECUR", "SPAM", "TREND", "YAHOOGROUPS" Die E-Mails, in denen er sich versendet haben folgendes Format: Betreff: * *Hot Movie* * A Great Video * Arab sex DSC-00465.jpg * eBook.pdf * Fuckin Kama Sutra pics * Fw: * Fw: DSC-00465.jpg * Fw: Funny :) * Fw: Picturs * Fw: Sexy * Fwd: image.jpg * Fwd: Photo * give me a kiss * Miss Lebanon 2006 * My photos * Part 1 of 6 Video clipe * Re: * Re: Sex Video * School girl fantasies gone bad * The Best Videoclip Ever * the file * Word file * You Must View This Videoclip! Nachrichtentext: * ----- forwarded message ----- * >> forwarded message * Fuckin Kama Sutra pics * forwarded message attached. * Hot XXX Yahoo Groups * how are you? * i just any one see my photos. It's Free :) * i send the details. * Note: forwarded message attached. * OK ? * Please see the file. * ready to be FUCKED ;) * VIDEOS! FREE! (US$ 0,00) Dateianhang: "007.pif", "04.pif", "677.pif", "Adults_9,zip .sCR", "ATT01.zip .sCR", "Atta[001],zip .SCR", "Attachments,zip .SCR", "Attachments[001],B64 .sCr", "Attachments[001].B64", "Attachments00.HQX", "Attachments001.BHX", "Clipe,zip .sCr", "document.pif", "DSC-00465.Pif", "DSC-00465.pIf", "eBook.PIF", "eBook.Uu", "image04.pif", "New Video,zip .sCr", "New_Document_file.pif", "Original Message.B64", "photo.pif", "Photos,zip .sCR", "School.pif", "SeX,zip .scR", "SeX.mim", "Sex.mim", "Video_part.mim", "WinZip,zip .scR", "WinZip.BHX", "WinZip.zip .sCR", "Word.zip .sCR", "Word_Document.hqx", "Word_Document.uu" Tarnung: Um sich vor AntiViren-Software zu schützen löscht Email-Worm.Win32.Nyxem.e die Einträge in den Registry-Schlüsseln [Software\Microsoft\Windows\CurrentVersion\Run], [Software\Microsoft\Windows\CurrentVersion\Run] und [Software\Microsoft\Windows\CurrentVersion\RunServices], wenn sie eine der folgenden Zeichenketten enthalten: "APVXDWIN", "avast!", "AVG_CC", "AVG7_CC", "AVG7_EMC", "AVG7_Run", "Avgserv9.exe", "AVGW", "BearShare", "ccApp", "CleanUp", "defwatch", "DownloadAccelerator", "kaspersky", "KAVPersonal50", "McAfeeVirusScanService", "MCAgentExe", "McRegWiz", "MCUpdateExe", "McVsRte", "MPFExe", "MSKAGENTEXE", "MSKDetectorExe", "NAV Agent", "NPROTECT", "OfficeScanNT Monitor", "PCCClient.exe", "pccguide.exe", "PCCIOMON.exe", "PCClient.exe", "PccPfw", "Pop3trap.exe", "rtvscn95", "ScanInicio", "ScriptBlocking", "SSDPSRV", "TM Outbreak Agent", "tmproxy", "Vet Alert", "VetTray", "VirusScan Online", "vptray", "VSOCheckTask" Historisches: Email-Worm.Win32.Nyxem.e sorgte für die erste große Infektionswelle in 2006. Innerhalb weniger Tage hat er mehr als 500.000 Rechner infiziert. Mit seiner aggressiven Payload ist er der erste weit verbreitete Wurm seit langer Zeit, der die Dateien eines Rechners überschreibt. Technische Details: Programmiersprache: Visual Basic gruß shark Größe: 95744 Bytes komprimiert mit UPX |
Magneto
Board-Champion Beiträge: 4009
|
Gesendet: 16:10 - 01.02.2006 Ja, gibt es, näheres hier: Zitat: ALSO VORSICHT, UND ALLES AKTUALISIERT HALTEN !!! |
martin8
Boardkaiser Beiträge: 2418
|
Gesendet: 16:39 - 01.02.2006 Man, Ihr seid ja wirklich schnell dabei ! Danke für die Anworten. Und nun warten wir auf übermorgen.......mal sehen, was passiert. Gruss Martin |
Magneto
Board-Champion Beiträge: 4009
|
Gesendet: 16:40 - 01.02.2006 Also wenn du einen vernünftigen Virenscanner hast, sollte nichts passieren ! LG, Magneto |
shark-bay
Boardkaiser Beiträge: 2350
|
Gesendet: 16:41 - 01.02.2006 wiso auf übermorgen...? |
Magneto
Board-Champion Beiträge: 4009
|
Gesendet: 16:42 - 01.02.2006 Schau mal in meinen Post... |
Magneto
Board-Champion Beiträge: 4009
|
Gesendet: 16:43 - 01.02.2006 Nochmal nur für Shark: Zitat: LG, Magneto |
Koal
Boardmeister Beiträge: 720
|
Gesendet: 16:44 - 01.02.2006 ja und was mache ich mit Ikarus als Virenscanner? :shock: Ich kann nur hoffen, dass der Virus sich dadurch nicht bei mir einnistet, weil ich eingeschränkter Benutzer bin, aber eher nicht. Naja, werde ich mal das Datum um 1 Tag zurückstellen. |
shark-bay
Boardkaiser Beiträge: 2350
|
Gesendet: 16:50 - 01.02.2006 so jetzt hab ich es auch verstanden , das kommt davon wenn man die Posts nicht all zu gründlich ließt Zitat: gute Idee gruß shark |
Magneto
Board-Champion Beiträge: 4009
|
Gesendet: 16:53 - 01.02.2006 Macht ja nix, "Nobody is perfect" !!! Geht mir ja auch manchmal so... LG, Magneto P.S. Dann müsst ihr aber jeden Tag euer Systemdatum umstellen... |
Seiten mit Postings: 1 2 | - Neuer Wurm ? - | zum Seitenanfang |
|
Version 3.1 | Load: 0.003109 | S: 1_2 |