+++ EDV +++
EDV +++
EDV +++ EDV +++
EDV +++ EDV
aktuelle
Themen
Allgemeines
Domains
Viren
Nimda (polymorpher Virus, E-Mail-Wurm)
Seit 18. September 2001 verbreitet sich der W32/Nimda-Virus.Er ist auch als I-Worm.Nimda, W32.Nimda@mm, TROJ_NIMDA.A, PE_NIMDA.A, Readme und Readme.exe "erhältlich".
Er verbreitet sich selbstständig per E-Mail, Webserver und über Netzwerkfreigaben, wobei unter NT und Win2000 ein Gast Admin-Rechte erhält....
Der Virus Schaden erstellt und öffnet Netzwerkfreigaben zum freien Zugriff...
Abhilfe: Es gibt von c't sowohl einen Browser-Check als auch einen E-Mail-Check.
Removal Tools gibt es zB von NAI/McAffee, Sophos (dt.), Symantec oder TrendMiro.de.
SirCam-Virus (Trojaner, Wurm)
Seit Mitte Juli 2001 verbreitet sich der W32/SirCam-Virus.Er ist auch als w32.sircam.worm@mm, I-Worm.Sircam.c, TROJ_SIRCAM.A, Backdoor.SirCam "erhältlich.
Er verbreitet sich selbstständig per E-Mail mit einer Dateienliste aus dem Verzeichnis "Eigene Dateien" über einen exe-, bat-, com-, lnk- oder pif-Anhang zur E-Mail (z.B. Info.doc.com), wobei die zweite Dateiendung normalerweise nicht angezeigt wird.
Wenn es "dumm her geht", löscht der Virus das komplette Windows-Verzeichnis...
Abhilfe: Es gibt von Symantec unter ein eigenes Removal Tool unter http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html, welches mit ausführlicher Anleitung (Engl.) zum kostenlosen Download bereitsteht.
Direkt-Download hier - doch Anleitungen trotzdem unbedingt lesen!!
MSBlaster
und neue Varianten (Wurm)
(7/8/2003)
Trend Micro warnt vor neuer MSBlaster-Variante
Die TrendLabs von Trend Micro haben eine neue Variante des MSBlaster-Wurms entdeckt, die zwar seinen Vorgänger entfernt, aber trotzdem Schaden anrichten kann. Wie sein Vorgänger nutzt der Wurm den sogenannten RPC DCOM Buffer Overflow aus und erlaubt einem Angreifer den Vollzugriff auf das infizierte System, d.h. jeder (bösartige) Code kann per Fernzugriff auf dem anvisierten Rechner ausgeführt werden.
MSBLAST.D erreicht den Benutzer als DLLHOST.EXE (~10,240 Byte) und öffnet den Port 707, um seine Schadensroutine zu starten (Die Systemdatei mit gleichem Namenist nur 6 KB groß). Wenn das Systemdatum das Jahr 2004 erreicht hat, oder man das Systemdatum auf 2004 vorsetzt, löscht er sich selbständig vom System.
Kurioserweise löscht die neue Variante MSBLAST. D seinen Vorgänger MSBLAST.A und erzielt dadurch die Säuberung von Systemen, die mit MSBLAST.A befallen sind: Der Wurm sucht auf den betroffenen Maschinen nach der Datei msblast.exe. Ist diese Datei vorhanden, löscht der Wurm der Variante "D" diesen auf dem betroffenen Computer, terminiert den laufenden Prozess und lädt fehlende Patches von Microsoft automatisch nach. Ist der Download dieser Patches dann abgeschlossen, so startet sich der Rechner neu!
Die TrendLabs von TREND MICRO stellen ein kostenloses Säuberungstool unter folgendem Link zur Verfügung: http://de.trendmicro-europe.com/enterprise/support/tsc.php.
Infos von Microsoft zum MSBlaster-Wurm
Trend Micro
Quelle: http://www.wcm.at/modules.php?name=News&file=article&sid=5445
Lovesan-Virus
+ Lovesan-D-Anti-Wurm "Welchia", "Nachi" (Wurm)
(7/8/2003)
Krieg der Viren: Neuer Wurm will "LovSan" unschädlich machen
"LovSan D" löscht bei Infektion des Rechners den Vorgänger
PLUS: So beseitigen Sie den "LovSan"-Virus!
Eine neue Variante des Computer-Wurms "Lovesan" versucht nach Angaben führender Internet-Sicherheitsexperten, seinen Vorgänger unschädlich zu machen. Anders als bei Computer-Würmern sonst üblich sei die "LovSan"-Variante "D" so programmiert, dass sie bei einer Infektion des Rechners durch den Vorgänger die entsprechende Wurm-Datei lösche. Der neue Wurm versuche, den zur Abwehr erforderlichen Sicherheits-Patch von Microsoft herunterzuladen. Der "Anti-Wurm", auch "Welchia" oder "Nachi" genannt, breitete sich nach Angaben des Antivirus-Software- Herstellers TrendMicro seit Montag zunächst in Japan, Taiwan und Singapur aus. "Gute Würmer" mit Vorsicht genießen! "Es scheint die Absicht des Autors zu sein, "LovSan" unschädlich zu machen", sagte Jimmy Kuo, Sicherheitsexperte von Network Associates. Doch wenn Leute in der Vergangenheit versucht hätten, "gute" Würmer zu programmieren, sei das niemals gut ausgegangen. "Wenn man so etwas tut, hat das immer unbeabsichtigte Konsequenzen zur Folge."
Die Hersteller von Anti-Virensoftware raten deshalb, den eigenen Computer vor "Nachi" genau so wie vor allen anderen Schädlingen mit aktueller Sicherheitssoftware zu schützen. Betroffen von der neuen Variante sind die Windows-Betriebssysteme XP und 2000. (apa/red)
Quelle: http://www.news.at/articles/0334/542/62847.shtml
Sobig.F (Wurm)
Sobig.F: So werden Sie den lästigen Wurm wieder los!
Drei Schritte zur manuellen Entfernung des kleinen Schädlings
Ikarus bietet ein Gratis-Entfernungstool zum Download an
Wird der "I-Worm.Sobig.F" durch Doppelklick aktiviert, so schreibt er sich in das Windows-Verzeichnis mit dem Namen "WINPPR32.EXE" und legt eine Konfigurationsdatei mit dem Namen "WINSTT32.DAT" im gleichen Verzeichnis ab. Um beim nächsten Systemstart aktiv zu werden, legt er Einträge in der Registry ab. Wie der "I-Worm.Sobig.A" durchsucht auch diese neue Variante den infizierten PC nach eMail-Adressen in den Dateien .DBX, .HLP, .MHT, .WAB, .HTML und versendet sich an diese mit seiner integrierten SMTP-Engine. Die Absenderadresse wird ebenfalls aus den gefundenen eMail-Adressen entnommen - was eine Verfolgung des tatsächlichen Absenders erschwert. Ein infiziertes E-Mail könnte in etwa folgendes Aussehen haben:
Subject:
Re: Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Attachment:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif
Text:
See the attached file for details
Please see the attached file for details
Manuelle Entfernung des Virus:
1. Löschen der Registry-Einträge
2. Reboot des PC
3. Löschen der Dateien "WINPPR32.EXE" und "WINSTT32.DAT" aus dem Windows-Verzeichnis Ikarus bietet ein Gratis-Entfernungstool an Die österreichischen Virenexperten Ikarus-Software stellen darüberhinaus auf ihrer Homepage ein Gratis-Tool zum Download bereit, dass den Virus erfolgreich bekämpfen soll. Sobig-Remover
Quelle: http://www.news.at/emedia/index.html?/articles/0334/542/62879.shtml
Technik:
Ihre aktuelle IP-Adresse und Ihre aktuelle Übertragungsgeschwindigkeit
sehen Sie unter... wieistmeineip.de
Bei sedo.de können Sie in wirklich transparenter und einwandfreier Form
Bei domain-recht.de finden Sie allgemeine Hinweise ("goldene Regeln") und (.de-) Judikatur zu Domainnamen,
Bei adresso.de erhalten Sie auch sofort online ein
Wertgutachten
für Domainnamen |
Demnächst wird es hier einen Link zu verfügbaren 3rd-level-Domains geben.
Wahllose
Beispiele für 3rd-level-Domains:
robert.koch.net, wien.co.at, bowie.info.uk, graz.stmk.at, bmw.austria.com, usw.
...
Information nach dem ECG & Impressum
(Medieninhaber im Sinne des Mediengesetzes)
Robert
Koch, EDV-Dienstleistungen & Beratung
Anbieter von Dienstleistungen in der automatischen Datenverarbeitung und Informationstechnik
Kontakt:
Bahnhofstraße 73, A-8403 Lebring; Telefax: 03182/439044
E-Mail: r0bert@k0ch.net
Seit 1997 Mitgliedsbetrieb der Wirtschaftskammer Steiermark, Österreich
in der Sparte: Information und Consulting;
Fachorganisation: Unternehmensberatung und Informationstechnologie
DVR:
0697435
Gewerberechtliche Vorschriften: Gewerbeordnung
1994