++ACHTUNG++neuer VIRUS++ACHTUNG++neuer VIRUS++

Achtung !!
Warnung vor einem neuen äußerst gefährlichen Virus mit verheerenden
Folgen!
Existenz ist bestätigt. Also nimm dich in acht. Codename des Virus ist
"ARBEIT". Wenn du "ARBEIT" von irgendwo bekommst, ob von deinen Kollegen
oder deinem Chef, per E-Mail oder via Internet, öffne es nicht, schaue es
nicht an und rühre es auf keinen Fall an.
Jeder, der bisher mit "ARBEIT"in Berührung kam, musste feststellen, dass
sein komplettes Privatleben gelöscht wurde und das Gehirn seine normale
Funktion aufgegeben hat.
Wenn du "ARBEIT" in Papierform bekommst, auf keinen Fall beachten! Nicht
lesen, sondern sofort in den Papierkorb weiterleiten.
Nimm deine Jacke sowie 2 gute Freunde und gehe direkt in die nächste
Kneipe und bestelle drei Bier. Wenn du dies 14 mal wiederholst, wirst du
feststellen, dass du "ARBEIT" vollständig aus deinem Gehirn gelöscht hast.
Leite diese Warnung sofort an mindestens 10 nahestehende Freunde oder
Bekannte weiter. Solltest du feststellen dass du keine 10 nahestehenden
Freunde oder Bekannte hast, bedeutet dies', das du infiziert bist und der
Virus "ARBEIT" dein Leben schon vollkommen unter Kontrolle hat.
Hoffe, die Warnung kommt nicht zu spät!

Viel Glück
julius  

mfg wikinger  

 

Mail mit dem Betreff: \"A Virtual Card for You\"
nicht!!! öffnen - zerstört Festplatte
Flori  

erscheint zunächst harmlos in Form eines Fussballes am cursor. Aber nach einigen Tagen hat sich dieses ach so harmlose Fussbällchen in unserem System so sehr vertieft, dass eine Festplattenformatierung "unumgänglich" (was für ein Wort) ist. Eine andere Möglichkeit gibt zur Zeit nicht. Sollte man die Formatierung nicht durchführen, geht das System am 31.12.2001 in Rauch und Schall auf.

codename: "Soccer"

Quelle:
www.juliusamadeuswoherhastdudasundweninteressiertd...eonlinebroker.de  

E-Mail-Wurm unterwegs
Fretham heißt ein neuer E-Mail-Wurm, der haufenweise Mails an Adressen aus dem Outlook-Adressbuch schickt. Man erkennt Fretham an der Meldung:

"Re: Your password!" in der Betreffzeile.

Der Wurm steckt dabei im Attachment "decryptpassword.exe" und nutzt Sicherheitslücken beim Internet Explorer 5.01 und 5.5. Hilfe und Anleitungen finden Anwender bei Herstellern von Antiviren-Software wie Symantec oder Mc Afee.
www.symantec.de, www.mcafee.de


gruss julius  

Virus Info



Vor diesem Virus werden Sie im Moment nur durch ein BiDefender Produkt geschützt:
 

Win32.BugBear.A@mm


Name: Win32.BugBear.A@mm
Pseudonyme: I-Worm.Tanatos
Typ: Executable Trojan Mass Mailer
Grösse: 50688 Bytes, 5632 Bytes
Bemerkt: 10. 30. 2002
Entdeckt: 10.30.2002 11:00 (GMT+2)
Verbreitung: Hoch
Schaden: Medium
In The Wild: JA
Technische Beschreibung:

Das ist ein Internet Wurm, der sich durch Email verbereitet.
Die infizierte Email hat die folgenden Eigenschaften:

Betreff:
Von den folgenden zufällig ausgewählt:

Hello!
update
hmm..
Payment notices
Just a reminder
Correction of errors
history screen
Announcement
various
Introduction
Interesting...
I need help about script!!!
Stats
Please Help...
Report
Membership Confirmation
Get a FREE gift!
Today Only
New Contests
Lost & Found
bad news
wow!
fantastic
click on this!
Market Update Report
empty account
My eBay ads
Cows
25 merchants and rising
CALL FOR INFORMATION!

Anhang:
Datei mit einer Doppelextension und mit der finalen Extension:
.exe .pif .scr

Der Wurm nutzt das iframe Exploit und führt sich aus, wenn ihn man von einem Computer mit einer alten Varianten von Internet Explorer voraussieht.

Wird der Anhang ausgeführt, kopiert sich der Wurm mit einem zufälligen Namen in %SYSDIR% und schreibt einen Registry Schlüssel in
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\%name% with value %SYSDIR%\%name%
wo %SYSDIR% das System Directory ist und %name% der zufällig generierte Name ist.

Er kopiert sich auch unter
%WINDIR%\Start Menu\Programs\StartUp\%name% on Win9x oder
Documents and Settings\%user%\Start Menu\Programs\StartUp\%name% auf Win2k/XP
wo %user% der eingeloggte Benutzername ist

Der Wurm lässt eine dll Datei in %SYSDIR% hinter, die zum Einloggen aller Keystrokes genutzt wird. Das dll wird als Trojan.KeyLogger.BugBear.A entdeckt.
Also, der Wurm verfasst 2 .dat Dateien in %WINDIR% und 2 .dll Dateien in %SYSDIR%. Diese Dateien werden vom Virus genutzt, um alle von diesem Computer gesammelten Informationen zu speichern.

Der Wurm hat einen Pfad, der periodisch die Existänz seiner Dateien und des runonce Registry Schlüssels prüft und der die folgenden Prozessen tötet:
ZONEALARM.EXE
WFINDV32.EXE
WEBSCANX.EXE
VSSTAT.EXE
VSHWIN32.EXE
VSECOMR.EXE
VSCAN40.EXE
VETTRAY.EXE
VET95.EXE
TDS2-NT.EXE
TDS2-98.EXE
TCA.EXE
TBSCAN.EXE
SWEEP95.EXE
SPHINX.EXE
SMC.EXE
SERV95.EXE
SCRSCAN.EXE
SCANPM.EXE
SCAN95.EXE
SCAN32.EXE
SAFEWEB.EXE
RESCUE.EXE
RAV7WIN.EXE
RAV7.EXE
PERSFW.EXE
PCFWALLICON.EXE
PCCWIN98.EXE
PAVW.EXE
PAVSCHED.EXE
PAVCL.EXE
PADMIN.EXE
OUTPOST.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
MPFTRAY.EXE
MOOLIVE.EXE
LUALL.EXE
LOOKOUT.EXE
LOCKDOWN2000.EXE
JEDI.EXE
IOMON98.EXE
IFACE.EXE
ICSUPPNT.EXE
ICSUPP95.EXE
ICMON.EXE
ICLOADNT.EXE
ICLOAD95.EXE
IBMAVSP.EXE
IBMASN.EXE
IAMSERV.EXE
IAMAPP.EXE
FRW.EXE
FPROT.EXE
FP-WIN.EXE
FINDVIRU.EXE
F-STOPW.EXE
F-PROT95.EXE
F-PROT.EXE
F-AGNT95.EXE
ESPWATCH.EXE
ESAFE.EXE
ECENGINE.EXE
DVP95_0.EXE
DVP95.EXE
CLEANER3.EXE
CLEANER.EXE
CLAW95CF.EXE
CLAW95.EXE
CFINET32.EXE
CFINET.EXE
CFIAUDIT.EXE
CFIADMIN.EXE
BLACKICE.EXE
BLACKD.EXE
AVWUPD32.EXE
AVWIN95.EXE
AVSCHED32.EXE
AVPUPD.EXE
AVPTC32.EXE
AVPM.EXE
AVPDOS32.EXE
AVPCC.EXE
AVP32.EXE
AVP.EXE
AVNT.EXE
AVKSERV.EXE
AVGCTRL.EXE
AVE32.EXE
AVCONSOL.EXE
AUTODOWN.EXE
APVXDWIN.EXE
ANTI-TROJAN.EXE
ACKWIN32.EXE
_AVPM.EXE
_AVPCC.EXE
_AVP32.EXE

Auf einem weiteren Pfad, sucht er nach Mail Datenbanken mit den folgenden Extensionen
.ods .inbox .mmf .nch .mbx .eml .tbb .dbx und sammelt er einige Mails die er da findet.
Der Wurm verbreitet sich in das locale Netzwerk, indem er den Startup Folder in Netzwerk Shares sucht und sich da lässt.
Er öffnet auch Port 36794 und wartet auf HTTP Anschlüsse.

Entfernung:

- automatische Entfernung: lassen Sie BitDefender die infizierten Dateien löschen

Virus analysiert von:
Sorin Victor DUDEA
BitDefender Virus Researcher






 
Quelle: http://de.bitdefender.com/virusi/virusi_descrieri.php?virus_id=97

gruss julius  

Dienstag 31. Dezember 2002, 09:22 Uhr
Gefährlich: E-Mail-Wurm enthält Code für Denial of Service-Angriff


http://de.news.yahoo.com/021231/13/34y6n.html  

Würde mich ja echt interessieren, wer das Ziel der DoS-Attacke ist.  

Worm can compromises a computer's security settings

Computer users are being warned about a new virus which is spreading via e-mail.
The virus, called Yaha.K, is a mass mailing worm affecting computers running Windows which first appeared on 21 December.

Since then it has spread quickly, leading the anti-virus firm F-Secure to give it their second highest danger rating.

People are being advised not to open any e-mails which have attachments ending with .scr, .exe and .com.

'I Love You'

Yaha.K is a new version of the Yaha worm which first appeared in February.

It is relatively harmless, compared to more destructive viruses.

It can compromise a computer's security settings by stopping anti-virus programs and shutting down firewalls.

The new variant looks for e-mail addresses in Windows Address Book and sends itself to all the addresses it finds.

In an attempt to trick people, the virus composes several different types of e-mails, using subject lines such I Love You, Patch for Klez.H and Free Demo Game.

Growing threat

MessageLabs, which scans e-mail messages for viruses, said it first detected the worm in Kuwait.

It has now been spotted in 96 countries, predominantly in the UK and the Netherlands.

Overall the company has blocked 21,295 copies of the worm so far.

E-mail viruses have plagued computer users throughout the year. Figures from MessageLabs show that one in every 212 e-mails containing a virus in 2002.

This reflects a big increase on previous years. In 2001, MessageLabs stopped an average one every 380 e-mails, while in 2000 the figure was as low as one every 790.

von BBC ,aber von Denial of Service-Angriffen ist hier nicht die Rede,nur dass er die Firewall ausser Betrieb setzt!