GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene

    

 · Home · Impressum & Datenschutz · Suche

Seiten mit Postings: 1 2

zum Seitenende

 Forum Index —› PC Sicherheit —› Neuer Wurm ?
 


Autor Mitteilung
martin8
Boardkaiser

Beiträge: 2418


Gesendet: 16:03 - 01.02.2006

Hallo,
habe gestern (im Videotext) von einem neuen Wurm mit dem Namen "Nyxem.e" gelesen. Wer hat eine Ahnung, wie gefährlich er wirklich ist und wie er sich verbreitet ?

Gruss Martin
shark-bay
Boardkaiser

Beiträge: 2350


 

Gesendet: 16:08 - 01.02.2006

Quelle Antiviruslab:

Allgemeine Beschreibung:
Bei Email-Worm.Win32.Nyxem.e handelt es sich um eine Variante von 'Email-Worm.Win32.Vb.bi' mit einer gefährlichen Schadensfunktion. Er verbreitet sich in hohem Maß per E-Mail oder über die Standardfreigaben Admin$ und C$ im lokalen Netzwerk. Die E-Mails kommen mit Betreffs wie '*Hot Movie*', 'A Great Video', 'Arab sex DSC-00465.jpg', 'eBook.pdf', 'Fuckin Kama Sutra pics', 'Fw: DSC-00465.jpg', 'Fw: Funny :)', 'Fw: Picturs', 'Fw: Sexy', 'Fwd: image.jpg', 'Fwd: Photo', 'Miss Lebanon 2006', 'My photos', 'Part 1 of 6 Video clipe', 'Re: Sex Video', 'School girl fantasies gone bad', 'The Best Videoclip Ever', 'the file', 'Word file', 'You Must View This Videoclip!'. Der Dateianhang ist im Dateiformat PIF, SCR oder ZIP oder kann in MIME-Formaten wie MIM, HQX, B64, BHX, UUE, UU vorliegen.

Wer den Dateianhang öffnet startet den Wurm, der sich auf den Rechner kopiert, in die Registry einträgt. Dann beendet er Prozesse von Antiviren-Software und löscht deren Dateien und Registry-Einträge. Dann durchsucht er den Rechner nach E-Mailadressen an die er sich mit der integrierten SMTP-Engine versendet.

Email-Worm.Win32.Nyxem.e hat eine fiese Schadfunktion. An jedem 3. eines Monats überschreibt er auf allen zugänglichen Laufwerken (also auch Netzlaufwerken) Dateien im Format "DMP", "DOC", "MDB", "MDE", "PDF", "PPS", "PPT", "PSD", "RAR", "XLS", "ZIP".

Schadensfunktionen:
Überschreibt Dateien im Format "DMP", "DOC", "MDB", "MDE", "PDF", "PPS", "PPT", "PSD", "RAR", "XLS", "ZIP" an jedem 3. eines Monats auf allen zugänglichen Laufwerken, inklusive Netzlaufwerke. Die Inhalte der Datei werden mit dem Text "DATA Error [47 0F 94 93 F4 K5]" überschrieben.

Systemvoraussetzungen:
Windows, VisualBasic Runtime

Symptome:
Dateien:
%WINDOWS%\rundll16.exe
%WINDOWS%\Winzipi_TMP.exe
%SYSTEM%\scanregw.exe
%SYSTEM%\Update.exe
%SYSTEM%\Winzip.exe
%SYSTEM%\Winzip_TMP.exe
%SYSTEM%\Sample.ZIP
%SYSTEM%\MSWINSCK.OCX (Internet Connectivity, 55.808 Bytes)
\C$\Dokumente und Einstellungen\All Users\StartMenü\Programme\AutoStart\WinZip Quick Pick.exe
\C$\Dokumente und Einstellungen\All Users\StartMenü\Programme\AutoStart\WinZip Quick Pick.lnk

Registry:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanRegistry" = "%System%\scanregw.exe /scan"

Verbreitung:
Email-Worm.Win32.Nyxem.e nutzt drei Möglichkeiten sich zu verbreiten.
1. Netzwerkfreigaben
Er kopiert sich als "WINZIP_TMP.exe" in die Standard-Netzwerkfreigaben Admin$ und C$ oder als "WinZip Quick Pick.exe" in den Autostart-Ordner von "All users".

2. Active Desktop
Nyxem nutzt auch eine ungewöhnliche Art der Verbreitung. Er verändert die Einstellungen in der Datei "desktop.htt" so, dass bei jedem Start des Active Desktop die Datei C:\WINZIP_TMP.exe geladen wird. Auch die entsprechende desktop.ini Datei wird so modifiziert, dass sie auf eine verseuchte Datei namens "Temp.htt" verweist

3. Verbreitung per E-Mail
Email-Worm.Win32.Nyxem.e verbreitet sich per E-Mail mit seiner integrierten SMTP-Engine. Die Emailadressen sucht er auf dem lokalen Rechner in -Dateien. Er sendet sich nicht an Adressen, die folgende Zeichenketten enthalten:

"ANTI", "AVG", "BLOCKSENDER", "CA.COM", "CILLIN", "EEYE", "GROUPS.MSN", "HOTMAIL", "MICROSOFT", "MSN", "MYWAY", "NOMAIL.YAHOO.COM", "PANDA", "SCRIBE", "SECUR", "SPAM", "TREND", "YAHOOGROUPS"

Die E-Mails, in denen er sich versendet haben folgendes Format:
Betreff:

* *Hot Movie*
* A Great Video
* Arab sex DSC-00465.jpg
* eBook.pdf
* Fuckin Kama Sutra pics
* Fw:
* Fw: DSC-00465.jpg
* Fw: Funny :)
* Fw: Picturs
* Fw: Sexy
* Fwd: image.jpg
* Fwd: Photo
* give me a kiss
* Miss Lebanon 2006
* My photos
* Part 1 of 6 Video clipe
* Re:
* Re: Sex Video
* School girl fantasies gone bad
* The Best Videoclip Ever
* the file
* Word file
* You Must View This Videoclip!


Nachrichtentext:

* ----- forwarded message -----
* >> forwarded message
* Fuckin Kama Sutra pics
* forwarded message attached.
* Hot XXX Yahoo Groups
* how are you?
* i just any one see my photos. It's Free :)
* i send the details.
* Note: forwarded message attached.
* OK ?
* Please see the file.
* ready to be FUCKED ;)
* VIDEOS! FREE! (US$ 0,00)


Dateianhang:

"007.pif", "04.pif", "677.pif", "Adults_9,zip .sCR", "ATT01.zip .sCR", "Atta[001],zip .SCR", "Attachments,zip .SCR", "Attachments[001],B64 .sCr", "Attachments[001].B64", "Attachments00.HQX", "Attachments001.BHX", "Clipe,zip .sCr", "document.pif", "DSC-00465.Pif", "DSC-00465.pIf", "eBook.PIF", "eBook.Uu", "image04.pif", "New Video,zip .sCr", "New_Document_file.pif", "Original Message.B64", "photo.pif", "Photos,zip .sCR", "School.pif", "SeX,zip .scR", "SeX.mim", "Sex.mim", "Video_part.mim", "WinZip,zip .scR", "WinZip.BHX", "WinZip.zip .sCR", "Word.zip .sCR", "Word_Document.hqx", "Word_Document.uu"



Tarnung:
Um sich vor AntiViren-Software zu schützen löscht Email-Worm.Win32.Nyxem.e die Einträge in den Registry-Schlüsseln [Software\Microsoft\Windows\CurrentVersion\Run], [Software\Microsoft\Windows\CurrentVersion\Run] und [Software\Microsoft\Windows\CurrentVersion\RunServices], wenn sie eine der folgenden Zeichenketten enthalten: "APVXDWIN", "avast!", "AVG_CC", "AVG7_CC", "AVG7_EMC", "AVG7_Run", "Avgserv9.exe", "AVGW", "BearShare", "ccApp", "CleanUp", "defwatch", "DownloadAccelerator", "kaspersky", "KAVPersonal50", "McAfeeVirusScanService", "MCAgentExe", "McRegWiz", "MCUpdateExe", "McVsRte", "MPFExe", "MSKAGENTEXE", "MSKDetectorExe", "NAV Agent", "NPROTECT", "OfficeScanNT Monitor", "PCCClient.exe", "pccguide.exe", "PCCIOMON.exe", "PCClient.exe", "PccPfw", "Pop3trap.exe", "rtvscn95", "ScanInicio", "ScriptBlocking", "SSDPSRV", "TM Outbreak Agent", "tmproxy", "Vet Alert", "VetTray", "VirusScan Online", "vptray", "VSOCheckTask"

Historisches:
Email-Worm.Win32.Nyxem.e sorgte für die erste große Infektionswelle in 2006. Innerhalb weniger Tage hat er mehr als 500.000 Rechner infiziert. Mit seiner aggressiven Payload ist er der erste weit verbreitete Wurm seit langer Zeit, der die Dateien eines Rechners überschreibt.

Technische Details:
Programmiersprache: Visual Basic

gruß

shark
Größe: 95744 Bytes komprimiert mit UPX
Magneto
Board-Champion

Beiträge: 4009


 

Gesendet: 16:10 - 01.02.2006

Ja, gibt es, näheres hier:

Zitat:
Computerwurm «Nyxem.e» findet jede Stunde 2500 neue Opfer

Hamburg - Ein neuer bösartiger Computerwurm verbreitet sich mit rasender Geschwindigkeit über das Internet. Der PC-Schädling mit dem Namen «Nyxem.e» hat nach einem Bericht der Tageszeitung «Welt kompakt» weltweit bereits mehr als 540 000 Rechner erfasst.

Dem Bericht zufolge kommen stündlich etwa 2500 neue Computer hinzu. Seit dem Wochenende befällt der Wurm nach Erkenntnis der Fachleute auch massenhaft Computer in Deutschland. Das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht bereits von einer starken Verbreitung und mahnt zur Vorsicht.

«Ist "Nyxem.e" einmal auf dem PC, so rührt er noch keine Daten an. Er ist so programmiert, dass er erst an diesem Freitag (3. Februar) aktiv wird», wird ein Experte zitiert. Unter anderem suche er nach Microsoft-Office-Formaten wie Word, Excel oder Powerpoint und lösche diese. Anschließend bleibe «Nyxem.E» auf dem Computer und schlage an jedem dritten eines Monats wieder zu. Eine weitere Gefahr: Entspricht das Datum des Rechners dem Monatsdritten, vernichtet er 30 Minuten nach dem Start Teile der aufgefundenen Dateien der gängigsten Formate und ersetzt sie durch eine sinnlose Auswahl an Symbolen.

Besonders unangenehm sei es, dass der Wurm vorhandene Antiviren- Programme auszuschalten versuche, sagte der Karlsruher Virenexperte Christoph Fischer der dpa. Problematisch werde es vor allem, wenn der Wurm bereits den Computer infiziert habe.

«Ich bitte alle Computer-Anwender, ein paar einfache Schutzmaßnahmen zur Verhinderung einer Infektion durch diesen - und jeden anderen - Wurm zu ergreifen: Aktivieren Sie keine unbekannten, unerwarteten E-Mail-Anhänge, aktualisieren Sie die Antivirus- Signaturen Ihres installierten Antiviren-Schutzes auf dem PC und führen Sie einen Komplett-Scan Ihres Rechners durch», riet Eugene Kaspersky, Leiter der AntivirenForschung bei Kaspersky Lab am Dienstag in einer Mitteilung. Kaspersky gilt als international anerkannter Experte für den Schutz vor Computerviren.

Das BSI bietet über seine Internetseite spezielle Werkzeuge (Tools) an, Computerwürmer von bereits befallenen Rechnern zu entfernen. Darüber hinaus empfiehlt auch das BSI, ausschließlich aktuelle Antivirenprogramme zu verwenden.

© dpa - Meldung vom 31.01.2006 15:24 Uhr



ALSO VORSICHT, UND ALLES AKTUALISIERT HALTEN !!!
martin8
Boardkaiser

Beiträge: 2418


 

Gesendet: 16:39 - 01.02.2006

Man, Ihr seid ja wirklich schnell dabei ! Danke für die Anworten. Und nun warten wir auf übermorgen.......mal sehen, was passiert.

Gruss Martin
Magneto
Board-Champion

Beiträge: 4009


 

Gesendet: 16:40 - 01.02.2006

Also wenn du einen vernünftigen Virenscanner hast, sollte nichts passieren !

LG, Magneto
shark-bay
Boardkaiser

Beiträge: 2350


 

Gesendet: 16:41 - 01.02.2006

wiso auf übermorgen...?
Magneto
Board-Champion

Beiträge: 4009


 

Gesendet: 16:42 - 01.02.2006

Schau mal in meinen Post...

Magneto
Board-Champion

Beiträge: 4009


 

Gesendet: 16:43 - 01.02.2006

Nochmal nur für Shark:

Zitat:
«Ist "Nyxem.e" einmal auf dem PC, so rührt er noch keine Daten an. Er ist so programmiert, dass er erst an diesem Freitag (3. Februar) aktiv wird», wird ein Experte zitiert. Unter anderem suche er nach Microsoft-Office-Formaten wie Word, Excel oder Powerpoint und lösche diese. Anschließend bleibe «Nyxem.E» auf dem Computer und schlage an jedem dritten eines Monats wieder zu. Eine weitere Gefahr: Entspricht das Datum des Rechners dem Monatsdritten, vernichtet er 30 Minuten nach dem Start Teile der aufgefundenen Dateien der gängigsten Formate und ersetzt sie durch eine sinnlose Auswahl an Symbolen.


LG, Magneto
Koal
Boardmeister

Beiträge: 720


 

Gesendet: 16:44 - 01.02.2006

ja und was mache ich mit Ikarus als Virenscanner? :shock:
Ich kann nur hoffen, dass der Virus sich dadurch nicht bei mir einnistet, weil ich eingeschränkter Benutzer bin, aber eher nicht.
Naja, werde ich mal das Datum um 1 Tag zurückstellen.
shark-bay
Boardkaiser

Beiträge: 2350


 

Gesendet: 16:50 - 01.02.2006

so jetzt hab ich es auch verstanden , das kommt davon wenn man die Posts nicht all zu gründlich ließt

Zitat:
Naja, werde ich mal das Datum um 1 Tag zurückstellen


gute Idee

gruß

shark
Magneto
Board-Champion

Beiträge: 4009


 

Gesendet: 16:53 - 01.02.2006

Macht ja nix, "Nobody is perfect" !!!

Geht mir ja auch manchmal so...

LG, Magneto

P.S. Dann müsst ihr aber jeden Tag euer Systemdatum umstellen...

Seiten mit Postings: 1 2

- Neuer Wurm ? -

zum Seitenanfang



 Forum Index —› PC Sicherheit —› Neuer Wurm ?
 



Version 3.1 | Load: 0.003109 | S: 1_2