|
#1
29-04-2002, 18:11
|
||||
|
||||
Klez-Virus und Board-Nicks...
Mich deucht, ein Schlaumeier mit der Adresse 520009402471-0001@t-online.de versucht, den aktuellen Klez mithilfe von Nicks von Teilnehmern unseres Boards zu verteilen. In den letzten Tagen erhielt ich diverse emails, unter anderem angeblich von present99 und ecxytee, die mit dem Virus verseucht waren.
Der Witzbold verschickt alle emails mit der o.g. t-Online-Addy (bis ich *das* erstmal geschnallt hab  ) und hängt einfach verschiedene Namen dahinter.Ich weiß nicht, ob ich das richtige Forum dafür gefunden habe, aber dachte mir, es sei von Interesse. 
__________________
Sprachkürze gibt Denkweite Jean Paul Komm spiel mit mir: http://www.tetrisfriends.com/ 
|
|
#3
29-04-2002, 18:30
|
||||
|
||||
|
Ich hab bis vor kurzem auch solche Mails bekommen, und das in Massen. Aber dann hab ich an die oben genannte Adresse eine Wüste Mail geschrieben, und ich hab keine mehr bekommen
Ich weiss zwar nicht, ob das richtig war. Aber ich denke es ist nicht allzu gefährlich, da ich meine Mails direkt von GMX öffne.
|
|
#4
29-04-2002, 18:37
|
|||
|
|||
|
*aufklär*
Der Klez-Virus sucht sich beliebige Namen aus Outlook, ICQ und anderen Windows-Kontakten heraus und verschickt sich selbst unter diesem Namen weiter. Ich habe den Virus bisher genau 64 mal bekommen unter anderem "von" Sammy, Sven, Gersultan, present, Sternchen, Susiebond, Excytee, Mitdaun, etc  Zitat:
|
|
#5
29-04-2002, 19:25
|
||||
|
||||
|
Iss mir auhc schon aufgefallen, dass die alle von dieser Adresse kommen.Daher hab ich auch bei Outlook eingestellt, dass emails von dieser Adresse mir nciht in die Mailbox kommen
Aber, dass die mails hauptsächlich von membern de sBoards kommen sieht mir nciht so aus - ich hab die täglich bekommen, und nur ein sehr kleiner Bruchteil war von membern des Boards...
|
|
#6
29-04-2002, 20:01
|
||||
|
||||
|
|
|
#7
29-04-2002, 20:25
|
||||
|
||||
|
Ja, schon recht, Herr Chef
Mir ging's hierbei ja speziell um diesen Tonnlein-Hirni 
__________________
Sprachkürze gibt Denkweite Jean Paul Komm spiel mit mir: http://www.tetrisfriends.com/
|
|
#8
29-04-2002, 20:30
|
||||
|
||||
|
Ähm, wenn es mir nochmal jemand erklären könnte
 Wenn ich jetzt so 'ne Mail von Excytee bekomme und erkenne, daß es sich um eine Virus-Mail handelt, heißt das, daß ich oder daß Excytee den Virus hat?
__________________
Status: Logged off
|
|
#10
29-04-2002, 21:02
|
||||
|
||||
|
Was ist das eigentlich fürn virus will eigentlich nur wissen wasser macht fallser doch mal durchkommt....
@Razy von welcher E-Mail addy den von mir  Da ich selber mal von mir Post bekommen habe die addy ist aber schon etwas länger aufgelöst.
|
|
#11
30-04-2002, 02:04
|
||||
|
||||
 <520009402471-0001@t-online.de> ... 550 Mailbox quota exceeded / Mailbox voll.>... Hatte dem Wicht eine email geschickt, mich doch bitte in Ruhe zu lassen Ich hab wirklich nicht die große Ahnung, aber man hat mir gesteckt, daß ich spätestens in einem ungeraden Monat (also Mai, in diesem Fall) erfahren werde, ob ich diesen Virus - trotz aller Nortons und hastenichtgesehen - habe, da er dann diverse Dateien überschreiben und somit unbrauchbar machen wird. Ob nun infiziert oder nicht, ein backup vitaler Daten lohnt sich allemal - reparieren kann man die Sachen dann ja vielleicht später, *nach* der Neuinstallation des OS *schauder*
__________________
Sprachkürze gibt Denkweite Jean Paul Komm spiel mit mir: http://www.tetrisfriends.com/ Geändert von susiebond (30-04-2002 um 02:08 Uhr).
|
|
#14
01-05-2002, 20:18
|
|||
|
|||
|
Buhu, alle kriegen wieder Virenmails nur ich nicht.
Is nicht so, dass ich welche will aber es geht ums Prinzip
__________________
 Baboon201 Sei Herr über Dich selbst, so wirst Du es auch über andere Spinner sein 
|
|
#15
01-05-2002, 20:52
|
||||
|
||||
|
Nach dem Motto, 'keine Viren keine Freunde'??
__________________
Sprachkürze gibt Denkweite Jean Paul Komm spiel mit mir: http://www.tetrisfriends.com/
|
|
#16
01-05-2002, 21:03
|
|||
|
|||
|
So in etwa
Immer wenn wieder ne Viruswelle unterwegs is,wer kriegt keinen?me
__________________
Baboon201Sei Herr über Dich selbst, so wirst Du es auch über andere Spinner sein
|
|
#17
01-05-2002, 23:01
|
|||
|
|||
|
Zitat:
__________________
|
|
#18
01-05-2002, 23:04
|
|||
|
|||
|
Wird WORM_KLEZ.E ausgeführt, dekodiert er seine Daten in den Speicher. Danach kopiert er sich in eine WINK*.EXE im Systemverzeichnis, wobei * für eine zufällige Anzahl von Zeichen steht.
Er erstellt folgenden Registry-Eintrag, mit dem er bei jedem Systemneustart aktiv werden kann: HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/ CurrentVersion/Run, Wink*, "wink*.exe Ähnlich dem WORM_KLEZ.A besitzt er verschiedene Verbreitungs- und Schadteilmöglichkeiten: Plazieren des PE_ELKERN.B: PE_ELKERN.B schreibt sich immer wieder in die Datei WQK.EXE in das Systemverzeichnis. Außerdem werden kontinierlich folgende Registry-Einträge vorgenommen: Auf WIN 9x Systemen schreibt sich PE_ELKERN.B in die Datei WQK.EXE in das Systemverzeichnis und erstellt den Registry-Eintrag: HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun, WQK = ô%system%wqk.exeö Auf WIN 2000 Systemen schreibt er sich in die WQK.DLL und erstellt den Registry-Eintrag: HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NT CurrentVersionWindows, AppInit_DLLs = Wqk.dll Beide haben als Attribute: hidden, system sowie read-only. Diese Dateien werden von der TREND MICRO Produktpalette als PE_ELKERN.B detektiert. Infektion via Netzwerk: Über freigegebene Verzeichnisse mit Lese/Schreibzugriff kann eine Verbreitung stattfinden. Dazu scannt der Computerwurm das gesamte Firmennetzwerk nach diesen Verzeichnissen, in die er Kopien von sich mit einer der folgenden Extensionen anlegt: EXE PIF COM BAT SCR RAR Manchmal wird auch eine Doppelextension benutzt, deren erste eine aus der folgenden Liste ist: MP8 EXE SCR PIF BAT TXT HTM HTML WAB DOC XLS CPP C PAS MPQ MPEG BAK MP3 Die zweite wird dann aus diesen gewählt: EXE PIF COM BAT SCR RAR eMail-Verbreitung: Zur Verbreitung benutzt er einen SMTP-Server, den er aus dem Domänen-Namen der eMail-Adresse des Absenders erstellt. Wenn z.B. der Absender any_user@somewhere.com lautet, dann benutzt er smtp.somewhere.com zum versenden der eMail. Er schickt SMTP-Befehle an diesen SMTP-Server um die eMail zu erstellen und zu versenden. Zur Empfänger-Adressen-Gewinnung gibt es verschiedene Möglichkeiten: Windows Adressverzeichnis Extraktion aus folgenden Dateien des infizierten Systems: MP8, EXE, SCR, PIF, BAT, TXT, HTM, HTML, WAB, DOC,.XLS, JPG, CPP, C, PAS, MPG, MPEG, BAK und MP3. Daraus werden die Empfangsadressen generiert. Die Absendeadresse wird aus einer im Wurm enthaltenen Liste gewählt: pw246@columbia.edu queen@helix.com.hk yaya@wfc.com.tw atoz@2911.net anti@helix.com.hk graph@helix.com.hk street@verizon.net sani@2911.net santurn@verizon.net andy@verizon.net little@hitel.net gigi@helix.com.hk bet@helix.com.hk lily@88win.com sun@verizon.net linda@verizon.net raise@wfc.com.tw rainrainman@hongkong.com karala@hongkong.com sammychen@wfc.com.tw flywind@wfc.com.tw suck@wfc.com.tw urlove@wfc.com.tw utu@88win.com cheu@2911.net xyz@2911.net pet@2911.net girl@edirect168.com littlecat@hongkong.com panshugang@chinese.com pipti@21cn.com certpass@21cn.com powerhero@263.net CR7269CH@terra.es RUBENSOTOAGUI@terra.es ACAMDR@terra.es ROSANAMOLTO@terra.es MANUEL23@terra.es christian_soto@terra.es carlos_nuevo@terra.es Die Betreffzeile der eMail wird aus einer Liste ausgewählt: · how are you · let s be friends · darling · don t drink too much · your password · honey · some questions · please try again · welcome to my hometown · the Garden of Eden · introduction on ADSL · meeting notice · questionnaire · congratulations · japanese girl VS playboy · look,my beautiful girl friend · eager to see you · spice girls vocal concert · japanese lass sexy pictures Der Text im entschlüsselten Wurm: Win32 Klez V2.0 & Win32 Elkern V1.1, (There nickname is Twin Virus *^__^* Copyright, made in Asia, announcement: 1. I will try my best to protect the user from vicious virus, Funlove,Sircam,Nimda,Codered, and even include W32.Klez.1.X 2. Well paid jobs are wanted. 3. Poor life should be unblessed. 4. Don"t accuse me, please accusse the unfair sh*t world. Dann wird ein HTML-formatiertes eMail generiert mit zufällig erstelltem Attachmentnamen. Das empfangene eMail muiss nicht aktiv geöffnet werden! Es wird eine bekannte Sicherheitslücke von IE-basierten eMail-Clients genutzt (Automatic Execution of Embedded MIME type), die es ermöglicht, Attachments automatisch zu öffnen. Das Attachment erscheint als audio/x-wav oder audio/x-midi, d.h. beim Öffnen startet ein Audio-Player. Deaktivierung von AV-Programmen: Der Computerwurm beendet Prozesse - in einigen Fällen löscht er die Ausführdateien von Programmen mit folgenden Namen, oder u.a. strings: _AVP32 _AVPCC NOD32 NPSSVC NRESQ32 NSCHED32 NSCHEDNT NSPLUGIN NAV NAVAPSVC NAVAPW32 NAVLU32 NAVRUNR NAVW32 _AVPM ALERTSVC AMON AVP32 AVPCC AVPM N32SCANW NAVWNT ANTIVIR AVPUPD AVGCTRL AVWIN95 SCAN32 VSHWIN32 F-STOPW F-PROT95 ACKWIN32 VETTRAY VET95 SWEEP95 PCCWIN98 IOMON98 AVPTC AVE32 AVCONSOL FP-WIN DVP95 F-AGNT95 CLAW95 NVC95 SCAN VIRUS LOCKDOWN2000 Norton Mcafee Antivir TASKMGR2 Folgende Dateien werden gelöscht, falls sie auf dem infizierten System gefunden werden: ANTI-VIR.DAT CHKLIST.DAT CHKLIST.MS IVB.NTZ SMARTCHK.MS SMARTCHK.CPS AVGQT.DAT AGUARD.DAT Verschleierung: Auf WIN 95/98 Systemen registriert sich der Wurm als Serviceprozess, so daß er nicht in der Task-Leiste erscheint. Auf WIN 2000 Systemen registriert er sich als sog. Service Control Dispatcher. Wichtig: WORM_KLEZ.E läuft nicht auf NT 4.0 Systemen, oder ihren Vorgängern!
__________________
|
|
#19
02-05-2002, 19:12
|
||||
|
||||
|
Ich benutz win 2.7, meint ihr der läuft da auch?
__________________
There's too much beauty upon this earth for lonely men to bear. Richard Le Gallienne
|
|
#20
06-05-2002, 15:37
|
|||
|
|||
|
? win2.7 ????
ich hab' kein Virenprogramm, bekomme aber täglich sicher zwischen 5 und 10 Solcher Emails. gibts einen weg rauszufinden ob man infiziert ist? (ausser in der Registry- da bin ich nich so der experte
__________________
Cu Gizmoo meine Homepage  Mitbegründer und Mitglied der IzEdLS "das Böse triumpiert nur weil gute Menschen nichts dagegen unternehmen"
|
|
#22
07-05-2002, 00:26
|
||||
|
||||
|
Symantec (Norton Antivir-Hersteller) bietet auch ein Gratis-Tool gegen Klez an: HIER
Dabei handelt es sich um das Original-Tool. @BBMV Tja, so recht auf die Spur bin ich dem Tonnlein-Typen noch nicht gekommen... Hast Du (oder sonst jemand hier) ne Ahnung, wie man von der numerischen t-Online-Addy auf den Namen kommt? Da der- oder diejenige bis dato nur mit mir unbekannten Absender-Namen oder eben mit Namen von Usern dieses Boards in meinem Postfach aufgetaucht ist, habe ich immer noch den Verdacht, daß er/sie sehr wohl aktiv Virenmails verschickt...
__________________
Sprachkürze gibt Denkweite Jean Paul Komm spiel mit mir: http://www.tetrisfriends.com/
|
|
#23
07-05-2002, 15:23
|
||||
|
||||
|
Jetzt schleppt das Teil, in seiner neuesten Variation, auch den CIH (Nein! Nicht den chi
) Virus mit sich rum....Und der ist nun wirklich gefährlich!
__________________
Zitat:
|
|
#24
13-05-2002, 23:23
|
||||
|
||||
|
Und was macht dieser CIH-Virus? *schauder*
__________________
Sprachkürze gibt Denkweite Jean Paul Komm spiel mit mir: http://www.tetrisfriends.com/
|
|
#25
13-05-2002, 23:53
|
||||
|
||||
|
Zitat:
__________________
|
|
#26
18-05-2002, 10:57
|
|||
|
|||
|
PE_CIH
Risk Rating: Medium Datum: 19.04.2000 Aliases: CIH, Chernobyl, Win95.CIH, Win32.CIH, W95.CIH V1.2, W95.CIH V1.3, W95.CIH V1.4 Virus Art: Dateivirus Schädlich: Ja In The Wild: Ja Triggerbedingungen: 26. eines jeden Monats Schadteil: tangiert die Festplatte, zerstört das FLASH BIOS Pattern Datei: 518 - 100 Scan Engine: 2.062 Sprache: englisch Plattform: Windows Verschlüsselung: Nein Größe: 1 KByte Dieser Virus, der oft auch CIH, Chernobyl, Win95.CIH, Win32.CIH oder ähnlich genannt wird, triggert an jedem 26. April (jahresunabhängig). Als dieser Virus 1999 aktiv wurde, hat er mehrere hundertausend Rechner beschädigt. PE_CIH beinhaltet zwei unterschiedliche schädliche Payloads, die beide am 26.04. aktiviert werden: Zufallsdaten werden auf die Fetplatte geschrieben, so daß eine Datenrettung extrem schwierig wird PE_CIH versucht zudem durch Zerstören von Daten im Flash BIOS das System selbst zu zerstören Der Virus kann bis dato noch nicht Win NT - Plattformen infizieren, jedoch *.EXE-Datreien im Win 95/98 - Umfeld. Er wird speicherresident, sobald eine infizierte Datei ausgeführt wird. Um die Infektion zu verschleiern nutzt PE_CIH Leerspace der Zieldateien, so daß die Dateigrößenveränderung minimal und deshalb nur schwer ersichtlich ist. Dadurch daß der Virus auf VXD-Programmierung zurückgreift, kann er nur im Win 95/98 - Umfeld Schaden anrichten. Ist die infizierte Festplatte durch PE_CIH formatiert, erscheint beim Neustart des Systems folgende Meldung: DISK BOOT FAILURE, INSERT SYSTEM DISK AND PRESS ENTER Versucht man dann das System vom Diskettenlaufwerk zu starten, erscheint diese Meldung: Invalid drive specification since the hard disk has already been overwritten with some random data
__________________
|
|
#27
30-05-2002, 00:11
|
||||
|
||||
|
Gut zu wissen... Werde nächstes Jahr drauf achten
Warum eigentlich ausgerechnet am 26. April?
__________________
Sprachkürze gibt Denkweite Jean Paul Komm spiel mit mir: http://www.tetrisfriends.com/
|
Linear-Darstellung
