Virenalarm!
BAU-Forum: Sonstige Themen

wer treibt da wieder sein Unwesen?
Es ist interessant, dass bei mir eine E-Mailadresse verwendet wurde, mit der ich noch NIE gepostet habe.

die Datei hieß anders, die anhing: Setup. doc

aber als Re: Re:  -  E-Mail. Und mit diesen (Entschuldigung, kenne den Fachausdruck nicht) komischen gelben Pfeilen drauf, aber nur bei Antwort-Mail sichtbar ...
Was macht denn der Virus, Herr Stoll?

Gibt es dagegen nun ein Programm, um ihn wieder zu vertreiben? Wenn ja, bitte ich um Hinweis.

es gibt ein Programm ihn wieder zu entfernen, weiter Infos siehe Link

• Web-Link

• Web-Link

Da gibt es AntiVir 6.10.

• Web-Link

kam leider etwas spät. Ich habe die E-Mail selbst erhalten und mein Rechner ist platt, zumindest 2 Dateien, trotz höchster Sicherheitseinstellung bei outlook.
Ja ja, jetzt grinsen wieder alle hämisch!

ich nicht! Obwohl, die E-Mail begann mit 'Re: Re: Urlaub' und da dachte ich mir schon meinen Teil ...

Größe: 137216 Bytes
HERKUNFT: : unbekannt (evtl. Mexiko)
Gefahr: ***** (hoch)
Datum: 20.07.2001 (aktualisiert 24.7.2001)
Engl. Tool zur Beseitigung des Wurms mit deutscher Beschreibung.
Bitte machen Sie sich vor dem Gebrauch des Tools eine Sicherheitskopie der Registry.
Das Tool ist auf englisch-sprachige Umgebungen zugeschnitten.
DOS-Benutzer können das Tool von Kaspersky einsetzen:
clrav. zip 21 KB (Download)
Sircam ist ein Massenmail-Wurm mit einer Größe von 137216 Bytes und der Fähigkeit, sich in Windows-Netzwerk-Shares (freigegebene Verzeichnisse im Netzwerk) auszubreiten. Die Größe des Wurms verändert sich jedoch um die Größe des E-Mail-Anhangs (Details s.u.).
Wird er auf einem virenfreien System gestartet, so kopiert er sich selbst in unterschiedliche Verzeichnisse unter verschiedene Namen:
1. Nach 'c: \recycled\SirC32. exe' und einer Änderung des Registry-Eintrags
[HKCR\exefile\shell\open\command]
in
'""[windows_drive]\recycled\SirC32. exe" "%1" %*"'.
Dadurch wird bei jedem EXE-Programm-Aufruf eine Kopie des Wurms aktiviert.
2. Als 'SCam32. exe' in das Windows-System-Verzeichnis. 'SirC32. exe' wird als Startup-Key in der Registry eingetragen und dadurch bei jedem Systemstart aktiviert:
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices] "Driver32" = "\SCam32. exe"
3. Der Wurm ersetzt '\windows\rundll32. exe' durch eine Kopie von sich selbst. Die original 'rundll32. exe' wird umbenannt in 'run32. exe'. Diese Kopie existiert aber nur, wenn das System über ein Windows-Netzwerk-Share infiziert wurde.
4. Manchmal (in 1 von 33 Fällen) kopiert sich der Wurm im WINDOWS-Verzeichnis unter dem Namen 'ScMx32. exe'. In einem solchen Fall wird eine weitere Kopie mit dem Namen 'Microsoft Internet Office. exe' im Startup-Verzeichnis des jeweils angemeldeten Benutzers abgelegt. Diese Kopie wird gestartet, wenn sich der jeweilige Benutzer am System anmeldet.
Wenn ein mit dem SirCam-Wurm verseuchter E-Mail-Anhang geöffnet wird, so zeigt er das Dokument an, das vom verseuchten System des Absender stammt. Je nach Dokumententyp wird die dazugehörige Anwendung gestartet:
z.B.
'. DOC': WinWord. exe oder WordPad. exe '
XLS': Excel. exe
'. ZIP': winzip. exe
Diese Vorgehensweise versteckt den Wurm sehr effektiv und während der Benutzer sich das empfangene Dokument ansieht, wird der Wurm wie oben beschrieben auf dem System installiert.
Der Wurm sammelt E-Mail-Adresseen aus dem Windows-Adresse-Buch ('*. wab Dateien) und versucht E-Mail-Adresseen aus dem temporären Internet-Dateien-Verzeichnis ('sho*', 'get*', 'hot*', '*.html' ) herauszulesen. Hat der Benutzer einen funktionierenden E-Mail-Zugang, benutzt er diese Einstellungen. Andernfalls benutzt er '[Benutzername]@prodigy. mx.net' als Standard-Absender-Adressee und 'prodigy.net. mx' als SMTP-Server.
Der Wurm erzeugt eine Datei 'sc*.dll' (die Endung *.dll soll eine Systemdatei vortäuschen). Sie enthält eine Liste von Dateien mit bestimmten Endungen (z.B. . DOC, . ZIP, .JPG) aus dem Verzeichnis "Eigene Dateien" ('My Documents') des Users. Da Benutzer häufig dieses Verzeichnis für persönliche oder firmeninteren Dokumente gebrauchen, kann der Wurm vertrauliche Informationen versenden.
Dabei sendet er aus der Dokumenten-Liste der 'sc*.dll' ein Dokument als Anhang an die gesammelten E-Mail-Adressen, indem er es an die Wurm-Datei anheftet.
Die Anhänge erhalten zudem eine doppelte Endung, z.B. . DOC. EXE, . XLS. PIF usw.
Die Dateien mit den Endungen '. COM', '. BAT', '. PIF' und '. LNK' werden als 2. (ausführbare) Erweiterung gebraucht.
Meldungen des SirCam-Wurms sehen so aus:
Von: [Benutzer der infizierten Maschine@prodigy.net. mx]
An: [zufalls@email. ausdem. address. Buch]
Betreff: Dokument-Name (ohne Endung)
Hi!
How are you?
I send you this file in order to have your advice
See you later! Thanks
Bei einem System mit spanischsprachiger Einstellung sieht die E-Mail so aus:
Von: [Benutzer der infizierten Maschine@prodigy.net. mx]
An: [zufalls@email. ausdem. address. Buch]
Betreff: Dokument-Name (ohne Endung)
Hola como estas?
Te mando este archivo para que me des tu punto de vista
Nos vemos pronto, gracias
Der 2. Satz des E-Mailtextes (Body) wird nach dem Zufallsprinzip aus vier verschiedenen Möglichkeiten ausgewählt:
I send you this file in order to have your advice
I hope you can help me with this file that
I send I hope you like the file that
I send to you This ist the file with the information that you ask for
oder in Spanisch
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la informacion que me pediste
Der Wurm kann sich  -  wie oben bereits erwähnt  -  auch innerhalb eines Microsoft Windows-Netzwerkes (Shares) ausbreiten. Er sucht auf dem infizierten System in allen freigegebenen Verzeichnissen in einem Netzwerk nach beschreibbaren '\recycled'-Verzeichnissen und versucht sie zu infizieren. Dabei kopiert er nach \\[Freigabename]\recycled' die Datei 'SirCam32. exe'
Die Datei \\[Freigabename]\autexec. bat wird ergänzt um die Zeile
'@win \recycled\SirC32. exe'.
Dadurch wird beim nächsten Start des betroffenen Systems der Wurm dort aktiv und außerdem wird die oben erwähnte (Punkt 3) Manipulation von 'rundll32. exe' vorgenommen.
Payload/Schadfunktion
Der Wurm hat 2 Schadfunktionen:
Am 16. Oktober löscht der Wurm per Zufallsprinzip in 1 von 20 Fällen das gesamte WINDOWS-Verzeichnis und entfernt alle darin enthaltenen Verzeichnisse.
An jedem anderen Tag erstellt der Wurm ebenfalls nach dem Zufallsprinzip in 1 von 50 Fällen eine Datei ': \recycled\sircam. sys' auf dem Laufwerk, auf dem Windows installiert ist. Dieses füllt nach und nach die Festplatte des Systems.
Der Inhalt der Datei:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
oder
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en -
Cuitzeo, Michoacan Mexico]
Anleitung zur Beseitigung des Wurms:
Sollte Ihr System infiziert sein, so laden Sie bitte herunter
ftp://ftp. europe. f-secure.com/Anti-Virus/tools/sirc_dis. reg
und doppelclicken Sie anschließen auf die Datei.
Dieses löscht die Start-Verknüpfung des Wurms mit der Ausführung von EXE-Dateien in der Registry und die weiteren Änderungen, die der Wurm dort vorgenommen hat.
Achtung!
Das System kann instabil werden, wenn die Dateien des Wurms gelöscht werden, bevor dieser Registry-Eintrag geändert wurde.
Anschließend können Sie mit F-SECURE oder FP-WIN diesen Wurm löschen. Sollte Windows sich weigern, Dateien zu löschen (gesperrte Dateien), so gehen Sie bitte in den DOS-Modus und starten Sie F-PROT für DOS.
Sollte eine Workstation in einem Microsoft-Netzwerk-Share infiziert worden sein, so ist nach eine Desinfektion \windows\run32. exe' wieder in '\windows\rundll32. exe' umzubenennen. Ebenso muss \recycled\SirC32. exe gelöscht werden und die zusätzliche Zeile in der AUTOEXEC. BAT ist zu entfernen.
Wenn ein Netzwerk infiziert wurde und es ist nicht möglich alle Workstation herunterzufahren, um sie zu desinfizieren, dann hilft folgende Vorgehensweise:
Im Verzeichnis \Recycled\ auf dem Laufwerk, auf dem Windows installiert wurde, legt man eine Dummy-Datei SIRC32. EXE an und gibt dieser Datei das Attribut "nur lesen" (read-only).
[Analysis: Gergely Erdelyi, Alexey Podrezov F-Secure Corp. ; 18.-23 Juli 2001; Deutsche Übersetzung: B. Jacobs für F-PROT in Deutschland und @ntivirus-shop.com]

Heute mehrere von BERG-Immobilien@t-online.de , wobei auch ich glaube/mir sicher bin, dass die nicht von BERG-Immobilien@t-online.de kommen. Bei mir werden diese E-Mails aber gleich bei unserem Provider über einen Filter entfernt  -  ich erhalte nur die Nachricht: Ihre Anlage "YOU_ARE_FAT! . MP3. scr" enthielt den Virus "W32. Badtrans.B@mm". Die Anlage wurde isoliert und durch diese Nachricht ersetzt.

Nachdem heute morgen wohl der Kram von KHR kam, trudelt gerade eben eine E-Mail angeblich von "Claudia Seebeck" seebeck@mail. dk ein mit dem Subjekt Re:
Anhänge habe ich nicht dabei, waren aber heute morgen bei der E-Mail von KHR auch nicht bei, scheinen irgendwo schon rausgefiltert zu werden.

Newsletter #V1 PC-Special / Problem-Portal

• http://www.pc-special.de

/

• http://www.problem-portal.de

Redaktion: redaktion@pc-special.de
Datum: Montag, 26.11.2001
=======================================================================
1. Sondermeldung
Liebe Internetterinnen und Internetter,
Vorsicht vor einem neuen Worm/Trojaner, namens BadTrans. B1!
Dieser Worm hat die Eigenart, sich sofort ausführen zu wollen, wird die
verseuchte eMail in Outlook/Outlook Express bereits im Vorschaumodus
angezeigt.
Es ist nicht möglich, den Worm anhand eines Betreffs zu erkennen, da
dieser ständig wechselnd ist und sich auf eine eMail bezieht, die man
irgendwann einmal einer Person, deren Rechner mit diesem Worm infiziert
ist, geschrieben hat.
Viele Virenscanner erkennen diesen Worm noch nicht, jedoch sollten die
neuesten Updates von Virenscannern die Signatur filtern können.
Die Version ANTIVIR v6.10.00.81 vom 26.11.2001 kann den Virus erkennen.
Unter

• Web-Link

könnt Ihr sowohl für Windows 95/98/ME als auch für Windows NT/2000/XP
die neueste Version herunterladen.
Es ist unbedingt Vorsicht geboten!
Unter folgenden Namen ist der Virus bei uns bereits in Erscheinung
getreten:

• YOU_ARE_FAT! . MP3. scr
• HAMSTER. DOC. pif
• README. MP3. scr
• Sorry_about_yesterday. MP3. pif
• S3 MSONG. DOC. scr
• ME_NUDE. MP3. scr
• DOCS. DOC. pif
• IMAGES. DOC. pif
• New_Napster_Site. MP3. pif

Beachtet bitte, dass Euch momentan nur die Funktion von Outlook Express
schützt (Outlook öffnet die Viren in verknüpften Anwendungen, wie MS
Mediaplayer etc.), die fragt, ob Ihr den Anhang öffnen oder speichern
möchtet. Diese wird angezeigt, sobald Ihr die Vorschau verwendet oder
die eMail per Doppelklick öffnet. Klickt hier unbedingt auf Abbrechen,
denn solltet Ihr keinen aktuellen Virenscanner verwenden, wird Euer
System das nächste sein, welches BadTrans. B1 versendet.
Euer PC-Special Team
========================================================================
IMPRESSUM
========================================================================
Copyright 2001 by PC-Special.de
Redaktion PC-Special.de
eMail: redaktion@pc-special.de
Web:

• http://www.pc-special.de

wie HP schreibt, kann quasi jeder von uns der Auslöser der E-Mails sein. Claudia Seebeck habe ich ebenfalls erhalten. Unser Firmensystem ist aber anscheinend fit genug, um zerstörende Funktionen rauszufiltern und zu löschen.

Zu den Jungs von PC-Special kann ich eigentlich nichts sagen, da ich den Service über einen Bekannten kennengelernt habe, mit dem ich ein Projekt bearbeite und er in diesem Team ist. Ich habe mich vor kurzem mit ihm über Virenschutzprogramme "unterhalten", worauf ich dann heute morgen den NL bekam. Finde ich aber klasse, den Service  -  wohl sowas wie BAU.DE für Compis?!

so ziemlich von jedem den ich mal angeschrieben habe bekomme ich ein E-Mail mit nettem Inhalt, leider auch bei Beiträgen, die erst jetzt im Forum standen und ich die Leute nicht angemailt habe, Lüftung z.B.
zonealarm fängt zwar eine Menge ab und isoliert, aber mir ist so langsam nicht mehr wohl bei der Geschichte.
Falls mich also jemand anschreibt und keine Antwort erhält nicht böse sein.
Es waren bis jetzt keine E-Mails aus anderen Foren, private oder Geschäftliche dabei, nur über BAU.DE erstellte Kontakte.

auf web.de stand folgendes:
Internetwurm verbreitet sich mit hoher Geschwindigkeit
Bonn (gms)  -  Der neu entdeckte Internetwurm "Badtrans. B" verbreitet sich offenbar schneller im weltweiten Datennetz als bereits bekannte Wurmvarianten. "Bei uns prasseln Virusmeldungen in extremer Höhe ein", sagt Michael Dickkopf, Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn. So viele Meldungen habe es bei anderen Würmern nicht gegeben.
"Badtrans. B", eine Kombination aus Wurm und Trojanischem Pferd, tauchte am 24. November zum ersten Mal auf. Laut BSI verbreitet er sich per selbst versendeter E-Mail und installiere ein im Anhang verstecktes Programm auf den infizierten Computern. Dieser "Trojaner" zeichne anschließend die Tastatureingaben der Nutzer auf und versende sie per E-Mail. Wozu das dienen soll, sei noch nicht ganz klar, so Michael Dickkopf. Vermutlich sollten auf diese Weise Passwörter der Computernutzer ausgespäht werden. Zu erkennen sei der Wurm an einem "Re: " in der Betreffzeile der E-Mail, die ansonsten keinen Text enthalte.
Verglichen mit bereits bekannten Würmern ist "Badtrans. B" offenbar hartnäckiger: Zwar werde das Programm von den meisten Anti-Viren-Programmen erkannt, so Michael Dickkopf. Habe es jedoch bereits den Rechner infiziert, lasse es sich etwa bei den Betriebssystemen Windows 95 und 98 nur noch sehr schwer entfernen. Dazu müssten Nutzer den Computer im abgesicherten Modus starten und die entsprechenden Dateien manuell entfernen.
Die trojanische Komponente wird laut BSI als Datei "KDLL. DLL" im Verzeichnis "Windows/System" abgelegt. Der Wurm selbst kopiere sich als Datei "kernel32. exe" in das selbe Verzeichnis und registriere sich zudem unter dem Namen "Kernel32" im System. Erkannt werden könne "Badtrans. B" auch am Namen der angehängten Datei, die der Wurm zufällig aus einer Liste auswähle, so Michael Dickkopf weiter. Unter anderem verwende er etwa die Wörter "Fun", "Humor" oder "You_are_fat".
Internet-Nutzer können sich Michael Dickkopf zufolge am besten dadurch schützen, dass sie grundsätzlich keine verdächtigen Attachments öffneten und ihre Anti-Viren-Software auf dem aktuellen Stand hielten. Beim Microsoft-Browser Internet Explorer sollte zudem grundsätzlich die Auto-Vorschau deaktiviert sein, damit schädliche E-Mail-Attachments sich nicht automatisch öffnen könnten. Weitere Informationen über "BadTrans. B" und den Virenschutz allgemein gibt es auf der Homepage des BSI im Internet:

• http://www.bsi.de

desweiteren sollte jeder dieses bei heise.de lesen.

• Web-Link

wer wissen will ob er den Wurm hat, nach folgenden Dateien suchen:
kdll.dll, HKSDLL. DLL, KERN32. EXE, Kernel32. exe oder Kernel. exe wenn eine davon gefunden wird,
hast du den Wurm und verbreitest diesen.
Quelle:

• http://www.woodworker.de

... habe nun den Virenscanner AntiVir 6.10 durchlaufen lassen und auch die Dateien aus dem letzten Beitrag gesucht. Negativ!

Moin zusammen,
ich komme nach hause, lade die E-Mails runter, GsD über netscape und den Virenscanner, und habe gleich drei E-Mails von dem Dingen: ((Habe anschließend, nachdem ich Eure Beiträge hier gelesen habe, sofort nen Liveupdate mines Virenscanners gemacht und den Rechner durchsuchen lassen. Gefunden hat der nix. Dann habe ich noch die von KHR angegebenen Dateien suchen lassen. Auch nur eine, die aber nur ähnlich der angegebenen war. Da ich reine unbedarfter user bin, meine Frage, hannich nun das Dingen oder nich? ach so, verwende weder IE noch Outlock.
Grüße, vom hoffentlich Wurmfreien Rechner
stefan

habe mal in den chats nachgefragt, der geht überall um nur einer verteilt ihn dann immer.

Ich habe heute von einer anderen Seite den gleichen Virus von einer unbekannten Lüftung Ing. Firma abgefangen. Alles gleich. Schent eine große Verbreitung zu haben.

Dies ist KEIN Scherz, sondern eine ernstgemeinte Virenwarnung!
Nein, es hat mich nicht erwischt!

• Web-Link

• freu*