Neuer Virus

WolliWan
Boardmeister

Beiträge: 758

Hallo zusammen.

Ein neuer Computer-Virus, der sich derzeit in Umlauf befindet, soll angeblich Windows zerstören können. Wie das Sicherheitsunternehmen F-Secure mitteilt, kann "Haxdoor.Kl" im PC solche Schäden anrichten, dass das Betriebssystem nach seiner Infizierung nicht mal mehr in der Lage sei zu booten . Eine Reparatur des Systems sei danach so gut wie unmöglich.

"Haxdoor" kommt offenbar aus Schweden, wird nach Angaben der Sicherheitsexperten via E-Mail verbreitet und steckt dabei als ausführende Datei in einem Zip-Archiv im Anhang der Spam.
Beim Öffnen des schadhaften Programms werden manipulierte System- und Log-Dateien in Unterverzeichnisse von Windows und von dort aus in den Arbeitsspeicher kopiert, die daraufhin jeden weiteren PC-Start unterbinden.
Zuvor setzen sie die Sicherheitsprozesse außer Kraft, damit PC und Windows gleichermaßen die Infektion weder verhindern noch beheben können.

Die mit "Haxdoor" verseuchten Dateianhänge heißen "rechnung.zip" und "rechnung.exe" - beziehungsweise "rakningen.zip" und "rankningen.exe", die schwedische Übersetzung davon. Im Betreff der E-Mail sowie im Mailtext wird mehr nicht verraten; der Anwender soll nach dem Willen der Betrüger den Anhang öffnen, um scheinbar mehr zu erfahren. Dann ist es jedoch schon zu spät und der PC ist infiziert. Die Experten raten daher dringend, der Neugier nicht zu erliegen und E-Mails mit unbekannter Herkunft ungeöffnet zu löschen.

Nubira
Moderator

Beiträge: 15134

Danke für die Warnung!

Also bitte wie immer:
Nicht zu neugierig sein!

Nubira

TBS-47-AUDIOCLUB
Premium-User

Beiträge: 507

Hhmmm...

"Nubira" hat völlig recht: Wer jeden "Mist" öffnet, ist selbst schuld, wenn`s Ärger gibt!

Ich lösche lieber mal eine Mail zuviel, als zu wenig, wenn mir der Absender unbekannt ist. Abgesehen davon, daß ich via freenet ohnehin kaum Spam bekomme.

Gruß, Euer Gunther

Nubira
Moderator

Beiträge: 15134

Ich bekomme sehr viel Spam, aber auch MS Outlook sortiert vorher und so landet fast alles geich im Junk-E-Mail Ordner.

Nubira

WolliWan
Boardmeister

Beiträge: 758

Gerade aktuelle Warnung von "Buerger-Cert" erhalten!

SICHER o INFORMIERT
Extraausgabe vom 31.08.2006

Vorsicht vor gefaelschten Telekom-Rechnungen

Boeses Erwachen

Aus gegebenem Anlass warnt das Buerger-CERT erneut eindringlich vor
gefaelschten Online-Rechnungen mit schadhaften Dateianlagen. Aktuell
sind wieder E-Mails mit gefaelschten Telekom-Rechnungen im Umlauf, die
ein Trojanisches Pferd enthalten, welches ein Schadprogramm zum
Ausspaehen von Online-Banking-Daten nachinstalliert.

In den vergangenen Monaten hat das Buerger-CERT im Newsletter "SICHER o
INFORMIERT" bereits regelmaessig vor E-Mails gewarnt, die von Angreifern
im Namen von Unternehmen wie eBay oder der Telekom versendet werden und
im Anhang eine angebliche Rechnung im PDF-Format enthalten. Tatsaechlich
handelt es sich bei den angehaengten Dateien jedoch um Schadprogramme.
Die Angreifer versuchen dabei, unter anderem durch die Nennung extrem
hoher Rechnungsbetraege den Empfaenger der E-Mail zum Oeffnen des
Dateianhangs zu verleiten.

Immer haeufiger enthalten diese E-Mails Schadprogramme vom Typ
"Trojan-Downloader". Dabei handelt es sich um Trojanische Pferde, die
durch das Oeffnen des Dateianhangs aktiviert werden und dann weitere
Schadprogramme aus dem Internet nachladen und auf dem PC des Nutzers
installieren. Auf diese Weise ist es dem Angreifer moeglich, die
nachgeladenen Schadprogramme kurzfristig zu modifizieren und
auszutauschen, um eine Erkennung durch aktuelle Virenschutzprogramme zu
verhindern. Die Schadfunktionen der nachgeladenen Programme sind dadurch
nicht vorhersehbar. Meist enthalten sie jedoch Funktionen, um den PC des
Nutzers einem Bot-Netz anzuschliessen, vertrauliche Informationen (z.B.
beim Online-Banking) auszuspaehen und auf dem Rechner installierte
Sicherheitsprogramme zu deaktiveren.

Erfahrungen zeigen, dass Angreifer zunehmend zur Wochenmitte einen
"Testlauf" mit wenigen Empfaengern durchfuehren, um die Funktionen des
Trojanischen Pferds zu testen und dann zum Wochenende die gefaelschten
E-Mails in massivem Umfang versenden. Dabei werden die Inhalte der
E-Mails zunehmen professioneller und sehen den Original-E-Mails der
Firmen taeuschend aehnlich. Bereits im September 2005 hat das BSI vor
dem Schadprogramm "TROJ_YABE.A" [
http://www.bsi.bund.de/av/vb/troj_yabe.htm ] gewarnt, welches als
angebliche eBay-Rechnung per E-Mail versendet wurde und bei Aktivierung
ein Schadprogramm nachinstalliert.

Das Buerger-CERT raet dazu, sich nicht durch die Angabe hoher
Rechnungsbetraege dazu verleiten zu lassen, verdaechtige Anhaenge von
E-Mails unbedacht zu oeffnen. Generell sollten Sie beim Oeffnen von
Dateianhaenge aus unverlangt zugesendeten E-Mails groesste Vorsicht
walten lassen, auch wenn die E-Mail von einem vermeintlich bekannten
Absender stammt. Im Zweifelsfall kann eine Rueckfrage beim Absender
hilfreich sein. Zusaetzlich sollten Sie Ihr Virenschutzprogramm immer
auf dem aktuellen Stand halten.
Weitere Informationen zu Trojanischen Pferden und anderen
Computer-Schaedlingen erhalten Sie unter
http://www.bsi-fuer-buerger.de/viren/index.htm .

-----------------------------------------------------------------------

Die Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses
Service-Angebot des Buerger-CERT. Die Informationen werden vom Bundesamt
fuer Sicherheit in der Informationstechnik, http://www.bsi.bund.de, mit
groesster Sorgfalt recherchiert und aufbereitet. Dennoch kann eine
Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht
uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den
Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: info@buerger-cert.de

Man kann nicht Vorsichtig genug sein.

asbacherbär
Boardkaiser

Beiträge: 3444

[Link zum eingefügten Bild]und hier zum Thema Telekom-Rechnung mit Trojanischem Pferd

[Link zum eingefügten Bild]da ist noch was zum Thema Haxdoor.KL

hennes von köln
Boardkaiser

Beiträge: 3308

Zitat:
da ist noch was zum Thema Haxdoor.KL

Danke für den Link asbacherbär,
aber dies hat WolliWan doch schon ausführlich beschrieben.

asbacherbär
Boardkaiser

Beiträge: 3444

Es ist da aber auch nochmal beschrieben woran man diese erkennt anhand von Bildern. Manche können es sich dann besser verinnerlichen. Darum habe ich nochmal einen Link dazu gemacht Hennes von Köln.

Version 3.1 | Load: 0.003659 | S: 1_2

Autor	Mitteilung
WolliWan Boardmeister Beiträge: 758	Gesendet: 08:46 - 31.08.2006 Hallo zusammen. Ein neuer Computer-Virus, der sich derzeit in Umlauf befindet, soll angeblich Windows zerstören können. Wie das Sicherheitsunternehmen F-Secure mitteilt, kann "Haxdoor.Kl" im PC solche Schäden anrichten, dass das Betriebssystem nach seiner Infizierung nicht mal mehr in der Lage sei zu booten . Eine Reparatur des Systems sei danach so gut wie unmöglich. "Haxdoor" kommt offenbar aus Schweden, wird nach Angaben der Sicherheitsexperten via E-Mail verbreitet und steckt dabei als ausführende Datei in einem Zip-Archiv im Anhang der Spam. Beim Öffnen des schadhaften Programms werden manipulierte System- und Log-Dateien in Unterverzeichnisse von Windows und von dort aus in den Arbeitsspeicher kopiert, die daraufhin jeden weiteren PC-Start unterbinden. Zuvor setzen sie die Sicherheitsprozesse außer Kraft, damit PC und Windows gleichermaßen die Infektion weder verhindern noch beheben können. Die mit "Haxdoor" verseuchten Dateianhänge heißen "rechnung.zip" und "rechnung.exe" - beziehungsweise "rakningen.zip" und "rankningen.exe", die schwedische Übersetzung davon. Im Betreff der E-Mail sowie im Mailtext wird mehr nicht verraten; der Anwender soll nach dem Willen der Betrüger den Anhang öffnen, um scheinbar mehr zu erfahren. Dann ist es jedoch schon zu spät und der PC ist infiziert. Die Experten raten daher dringend, der Neugier nicht zu erliegen und E-Mails mit unbekannter Herkunft ungeöffnet zu löschen.
Nubira Moderator Beiträge: 15134	Gesendet: 09:49 - 31.08.2006 Danke für die Warnung! Also bitte wie immer: Nicht zu neugierig sein! Nubira
TBS-47-AUDIOCLUB Premium-User Beiträge: 507	Gesendet: 12:45 - 31.08.2006 Hhmmm... "Nubira" hat völlig recht: Wer jeden "Mist" öffnet, ist selbst schuld, wenn`s Ärger gibt! Ich lösche lieber mal eine Mail zuviel, als zu wenig, wenn mir der Absender unbekannt ist. Abgesehen davon, daß ich via freenet ohnehin kaum Spam bekomme. Gruß, Euer Gunther
Nubira Moderator Beiträge: 15134	Gesendet: 14:19 - 31.08.2006 Ich bekomme sehr viel Spam, aber auch MS Outlook sortiert vorher und so landet fast alles geich im Junk-E-Mail Ordner. Nubira
WolliWan Boardmeister Beiträge: 758	Gesendet: 14:26 - 31.08.2006 Gerade aktuelle Warnung von "Buerger-Cert" erhalten! SICHER o INFORMIERT Extraausgabe vom 31.08.2006 Vorsicht vor gefaelschten Telekom-Rechnungen Boeses Erwachen Aus gegebenem Anlass warnt das Buerger-CERT erneut eindringlich vor gefaelschten Online-Rechnungen mit schadhaften Dateianlagen. Aktuell sind wieder E-Mails mit gefaelschten Telekom-Rechnungen im Umlauf, die ein Trojanisches Pferd enthalten, welches ein Schadprogramm zum Ausspaehen von Online-Banking-Daten nachinstalliert. In den vergangenen Monaten hat das Buerger-CERT im Newsletter "SICHER o INFORMIERT" bereits regelmaessig vor E-Mails gewarnt, die von Angreifern im Namen von Unternehmen wie eBay oder der Telekom versendet werden und im Anhang eine angebliche Rechnung im PDF-Format enthalten. Tatsaechlich handelt es sich bei den angehaengten Dateien jedoch um Schadprogramme. Die Angreifer versuchen dabei, unter anderem durch die Nennung extrem hoher Rechnungsbetraege den Empfaenger der E-Mail zum Oeffnen des Dateianhangs zu verleiten. Immer haeufiger enthalten diese E-Mails Schadprogramme vom Typ "Trojan-Downloader". Dabei handelt es sich um Trojanische Pferde, die durch das Oeffnen des Dateianhangs aktiviert werden und dann weitere Schadprogramme aus dem Internet nachladen und auf dem PC des Nutzers installieren. Auf diese Weise ist es dem Angreifer moeglich, die nachgeladenen Schadprogramme kurzfristig zu modifizieren und auszutauschen, um eine Erkennung durch aktuelle Virenschutzprogramme zu verhindern. Die Schadfunktionen der nachgeladenen Programme sind dadurch nicht vorhersehbar. Meist enthalten sie jedoch Funktionen, um den PC des Nutzers einem Bot-Netz anzuschliessen, vertrauliche Informationen (z.B. beim Online-Banking) auszuspaehen und auf dem Rechner installierte Sicherheitsprogramme zu deaktiveren. Erfahrungen zeigen, dass Angreifer zunehmend zur Wochenmitte einen "Testlauf" mit wenigen Empfaengern durchfuehren, um die Funktionen des Trojanischen Pferds zu testen und dann zum Wochenende die gefaelschten E-Mails in massivem Umfang versenden. Dabei werden die Inhalte der E-Mails zunehmen professioneller und sehen den Original-E-Mails der Firmen taeuschend aehnlich. Bereits im September 2005 hat das BSI vor dem Schadprogramm "TROJ_YABE.A" [ http://www.bsi.bund.de/av/vb/troj_yabe.htm ] gewarnt, welches als angebliche eBay-Rechnung per E-Mail versendet wurde und bei Aktivierung ein Schadprogramm nachinstalliert. Das Buerger-CERT raet dazu, sich nicht durch die Angabe hoher Rechnungsbetraege dazu verleiten zu lassen, verdaechtige Anhaenge von E-Mails unbedacht zu oeffnen. Generell sollten Sie beim Oeffnen von Dateianhaenge aus unverlangt zugesendeten E-Mails groesste Vorsicht walten lassen, auch wenn die E-Mail von einem vermeintlich bekannten Absender stammt. Im Zweifelsfall kann eine Rueckfrage beim Absender hilfreich sein. Zusaetzlich sollten Sie Ihr Virenschutzprogramm immer auf dem aktuellen Stand halten. Weitere Informationen zu Trojanischen Pferden und anderen Computer-Schaedlingen erhalten Sie unter http://www.bsi-fuer-buerger.de/viren/index.htm . ----------------------------------------------------------------------- Die Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Buerger-CERT. Die Informationen werden vom Bundesamt fuer Sicherheit in der Informationstechnik, http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht uebernommen werden. Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: info@buerger-cert.de Man kann nicht Vorsichtig genug sein.
asbacherbär Boardkaiser Beiträge: 3444	Gesendet: 16:10 - 31.08.2006 [Link zum eingefügten Bild]und hier zum Thema Telekom-Rechnung mit Trojanischem Pferd [Link zum eingefügten Bild]da ist noch was zum Thema Haxdoor.KL
hennes von köln Boardkaiser Beiträge: 3308	Gesendet: 18:31 - 31.08.2006 Zitat: da ist noch was zum Thema Haxdoor.KL Danke für den Link asbacherbär, aber dies hat WolliWan doch schon ausführlich beschrieben.
asbacherbär Boardkaiser Beiträge: 3444	Gesendet: 19:49 - 31.08.2006 Es ist da aber auch nochmal beschrieben woran man diese erkennt anhand von Bildern. Manche können es sich dann besser verinnerlichen. Darum habe ich nochmal einen Link dazu gemacht Hennes von Köln.