TU Berlin - Virus-Info - Extra-Blatt: Archivierte Virenmeldungen

Archivierte Virenmeldungen
bis 12/2001 (aktuelle Virenmeldungen)

Hinweis: W32/Badtrans.b, W32/SirCam, W32/Hybris und W32/Magistr sind immer noch recht verbreitet.

Dezember 2001

W32/Maldal.d (29.12.2001) * wenig verbreitet *
Alias: W32.Maldal.D@mm, WORM_MALDAL.D, Win32.Maldal.E
Typ: EXE (Win32), E-Mail-Wurm
Verbreitung per E-Mail (ZaCker.exe u.a. EXE, 27 KB)
Betreff/Subject: "ZaCker" u.a.
Nachricht: verschieden (aus fester Liste)
Symptome: Computername wird in "ZaCker" geändert
Existenz einer Datei WIN.EXE im Windows\System-Verzeichnis
Schaden: E-Mail-Versand; löscht Virenscanner und andere Dateien (u.a. EXE)
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Maldal.c (19.12.2001) * wenig verbreitet *
Alias: W32.Maldal.C@mm, WORM_MALDAL.C, W32.Reeezak, W32.Zacker.C, KERZAC.A
Typ: EXE (Win32), E-Mail-Wurm
Verbreitung per E-Mail (Christmas.exe, 37 KB); Netzwerkfreigaben
Betreff/Subject: "Happy New Year"
Nachricht: "Hii - I can't describe my feelings
But all i can say is - Happy New Year :) - bye"
Symptome: Computername wird in "ZaCker" geändert
Schaden: E-Mail-Versand; ändert Startseite im IE; deaktiviert die Tastatur;
importiert (via Web) VBS-Virus (Rol.vbs); dieser löscht Virenscanner + überschreibt Dateien
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Gokar (10.12.2001) * kaum verbreitet *
Alias: W32.Gokar.A@mm, I-Worm.Gokar, WORM_GOKAR.A
Typ: EXE (Win32), E-Mail-, IRC- und Web-Wurm
Verbreitung per E-Mail, IRC (Dateiname aus Buchst. u. Zahlen, 14 KB) und IIS (web.exe)
Betreff/Subject: verschieden (aus fester Liste)
Nachricht: verschieden (aus fester Liste)
Symptome: Existenz der Datei karen.exe im Windows-Verzeichnis
Schaden: E-Mail-Versand; IRC-Verbreitung (via script.ini); ersetzt Startseite auf IIS Web-Servern
Gegenmittel: kostenlos bei Trend Micro ('Fix-Tool')
wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Goner (04.12.2001) * wenig verbreitet *
Alias: W32.Goner.A@mm, I-Worm.Goner, WORM_GONE.A
Typ: EXE (Win32), E-Mail-, IRC- und ICQ-Wurm
Verbreitung per E-Mail, IRC und ICQ (gone.scr, 38 KB)
Betreff/Subject: "Hi"
Nachricht: "How are you ?
When I saw this screensaver, I immediately thought about you
I am in a harry, I promise you will love it!"
Schaden: E-Mail-Versand; versucht beim Neustart, Virenscanner (AVP, NAV,..) und
sog. Desktop Firewalls (z.B. ZoneAlarm, eSafe,..) zu löschen
Gegenmittel: kostenlos bei Bitdefender (AVX), Symantec und KasperskyLab
wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

November 2001

W32/BadTrans.b (24.11.2001) ** stark verbreitet **
Alias: W32.Badtrans.B@mm, I-Worm.BadtransII, Win32.Badtrans.29020
Typ: EXE (Win32), E-Mail-Wurm, Trojanisches Pferd
Verbreitung per E-Mail (*.*.pif, *.*.scr - MIME-Type: audio/x-wav, 29 KB),
Betreff/Subject: "Re:", "Re: (Original-Betreff)"
Nachricht: ./. (leer, HTML)
Symptome: Existenz der Dateien Kernel32.exe, kdll.dll, cp_25389.nls und protocol.dll
Schaden: E-Mail-Versand, Keylogger (Protokoll aller Tastenanschläge); beantwortet
eingehende E-Mails, nutzt Sicherheitslücken im Internet Explorer (IFRAME, falscher MIME-Type)
Gegenmittel: kostenlos bei Bitdefender (AVX) und Symantec
Entschlüsselungsprogramm (neue Version) für die Datei mit ausspionierten Daten (cp_25389.nls)
wichtiger Hinweis zur Anwendung der Gegenmittel
Info: Microsoft (wg. Sicherheitslücken): iframe exec | incorrect MIME-Type
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Aliz (24.05.2001) ** recht verbreitet **
Alias: W32/Aliz@MM, I-Worm.Aliz, W32.Aliz@mm, TROJ_ALIZ.A
Typ: EXE (Win32), E-Mail-Wurm
Verbreitung per E-Mail (whatever.exe - MIME-Type: audio/x-wav),
Nachricht: "Peace..." (u.a.)
Schaden: nur Mail-Versand, keine Einnistung oder Infektion
nutzt Sicherheitslücke im Internet Explorer (falscher MIME-Type)
Info: Microsoft (wg. Sicherheitslücken)
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

Oktober 2001

W32/Nimda.e (29.10.2001) ** recht verbreitet **
Alias: W32/Nimda.d, I-Worm.Nimda.e, W32.Nimda.e@mm, PE_NIMDA.E
Typ: EXE (Win32), Virus (polymorph) + E-Mail-Wurm
Verbreitung per E-Mail (sample.exe - MIME-Type: audio/x-wav),
Webserver (IIS od. Download v. .EML-Datei), Netzwerkfreigaben
Schaden: wie Nimda.a
Unterschiede zu Nimda.a: Dateinamen: sample.exe, csrss.exe, cool.dll, httpodbc.dll
Info: Microsoft (wg. Sicherheitslücken)
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Anset, Ants3set (23.10.2001) ** recht verbreitet **
Alias: W32.Anset, I-Worm.Anset.b
Typ: EXE (Win32), Wurm
Verbreitung per E-Mail (Datei: Ants3set.exe)
Absender: "Andreas Haak<webmaster@avnetwork.de>" (auch mit anderen Adressen)
Betreff/Subject: "ANTS Version 3.0"
Nachricht: "Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen
kostenlosen Trojanerscanner. Zum installieren einfach die angefügte Datei ausführen. [...]"
Schaden:E-Mail-Versand
Info: Trojaner-Info.de | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Toal ("BinLaden-Virus") (23.10.2001) * wenig verbreitet *
Alias: W32.Toal.A@mm, W32.Invictus.dll, PE_TOAL.A W32/AntiWar
Typ: EXE (Win32), Wurm
Verbreitung per E-Mail (Datei: Binladen_brasil.exe), Netzwerkfreigaben
Betreff/Subject: verschieden (aus einer festen Liste)
Nachricht: ./. (leer)
Schaden: E-Mail-Versand, infiziert EXE-Dateien, öffnet Freigabe "BinLaden" (C:)
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Redesi.b (19.10.2001) * wenig verbreitet *
Alias: W32.Redesi.B@mm, I-Worm.Redesi.b, TROJ_UCON.A
Typ: EXE (Win32), Wurm (Variante von W32/Redesi.A)
Verbreitung per E-Mail (Datei: rede.exe, si.exe, common.exe, userconf.exe, disk.exe)
Betreff/Subject: verschieden (aus einer festen Liste)
B-Variante: verschieden, z.B. "FW: Microsoft security update." und ähnliche
Nachricht: verschieden (jew. aus einer festen Liste), enthält immer:
A-Variante: "heh. I tell ya this is nuts ! You gotta check it out !"
B-Variante: " I have contacted Microsoft and they say it's real !"
Schaden: B-Variante versucht am 11.11., die Festplatte zu formatieren (Win9x/ME)
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

VBS/VBSWG.AF ("VBS/Antrax") (16.10.2001) * wenig verbreitet *
Alias: VBS.VBSWG.L, I-Worm.Lee, VBS/Lee-ATX, VBS_VBSWG.GEN, VBS/Anjulie.gen@MM
Typ: VBS (Win32), Wurm (Baukasten-Virus, fehlerhaft)
Verbreitung per E-Mail und IRC (Datei: Antraxinfo.vbs, Antrax.jpg.vbs)
Betreff/Subject: "Antrax Info" oder "Informacion Sobre El Antrax"
Nachricht: ein spanischer Text verspricht ein Foto, auf dem die Folgen von Milzbrand
(engl. Anthrax, span. Antrax) zu sehen sein sollen bzw. Informationen über Milzbrand (Anthrax)
Schaden: infiziert VBS- und VBE-Dateien
Info: CAI | H+BEDV (AntiVir) | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Nimda.c (12.10.2001) * wenig verbreitet *
(wie Nimda.a)
W32/Nimda.b (09.10.2001) * wenig verbreitet *
Alias: I-Worm.Nimda.b, W32.Nimda.b@mm, PE_NIMDA.B
Typ: EXE (Win32), Virus (polymorph) + E-Mail-Wurm
Verbreitung per E-Mail (Puta!!.scr), Webserver (IIS od. Download v. .EML-Datei), Netzwerkfreigaben
Schaden: wie Nimda.a, kann Dateien überschreiben
Unterschiede zu Nimda.a: Dateinamen: puta.scr, puta!!.scr, puta!!.eml
Info: Microsoft (wg. Sicherheitslücken)
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

September 2001

W32/Vote.c ("WTC"-Virus) (27.09.2001) * wenig verbreitet *
Alias: I-Worm.Vote.c, TROJ_VOTE.C
W32/Vote.b ("WTC"-Virus) (26.09.2001) * wenig verbreitet *
Alias: I-Worm.Vote.b, W32.Vote.b@mm, TROJ_VOTE.B
W32/Vote.a ("WTC"-Virus) (24.09.2001) * wenig verbreitet *
Alias: I-Worm.Vote, W32.Vote.a@mm, TROJ_VOTE.A
Typ: EXE (Win32) + VBS, E-Mail-Wurm + Trojanisches Pferd
Verbreitung per E-Mail (Anhang: .A+.C: WTC.exe, .B: Anti_TeRRoRisM.exe)
Betreff/Subject: A-Variante: "Fwd:Peace BeTweeN AmeriCa and IsLaM!"
B-Variante: "Fwd:This War Must Be Done!"
Nachricht: "Hi! iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!"
B-Variante: "We Must Fight , We Must ReMemBer Our Victims!
No Peace Before KiLLing TeRRoRists !"
Schaden: löscht/überschreibt Dateien, legt Trojanisches Pferd (Backdoor) und VBScript-Virus an
versucht, über autoexec.bat Festplatte zu formatieren (Win95/98/ME)
Info (Varianten-Bezeichnungen gehen etwas durcheinander):
Vote.a: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro
Vote.b: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro
Vote.c: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Nimda.a (18.09.2001) ** recht verbreitet **
Alias: I-Worm.Nimda, W32.Nimda@mm, TROJ_NIMDA.A, PE_NIMDA.A
Typ: EXE (Win32), Virus (polymorph) + E-Mail-Wurm
Verbreitung per E-Mail (Readme.exe - MIME-Type: audio/x-wav),
Webserver (IIS od. Download v. .EML-Datei), Netzwerkfreigaben
Schaden: erstellt und öffnet Netzwerkfreigaben zum freien Zugriff
NT/W2K: Benutzer 'Gast' wird in die Administrator-Gruppe befördert
Test: Ist mein Browser Nimda-sicher? (c't Browser-Check)
Ist mein E-Mail-Programm Nimda-fest? (c't E-Mail-Check)
Entfernung: z.B. Fix-Tool von Trend Micro (s. Info)
Info: Microsoft (wg. Sicherheitslücken)
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

Code Blue (07.09.2001) * wenig verbreitet *
Alias: IIS-Worm.BlueCode, W32.BlueCode.Worm, W32.CodeBlue
Typ: Exploit (Win32), nutzt Sicherheitslücke in IIS
Verbreitung: HTTP-Request, danach FTP-Download
Schaden: legt VBS-Virus an, führt DoS-Angriffe aus, System-Instabilität
Info: Microsoft | CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Magistr.b (03.09.2001) ** recht verbreitet **
Alias: PE_MAGISTR.B, I-Worm.Magistr.b, W32.Magistr.39921@mm
Typ: EXE (Win32), Virus (polymorph) + E-Mail-Wurm
Verbreitung per E-Mail (wie A-Variante) und über Netzwerkfreigaben
Schaden: wie A-Variante, neu bei B-Variante:
überschreibt WIN.COM und NTLDR mit einem Programm, das Daten auf der Festplatte löscht.
deaktiviert ZoneAlarm und löscht *.NTZ-Dateien
Gegenmittel: kostenlos von Bitdefender
wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Readme (03.09.2001) ** recht verbreitet **
Alias: I-Worm.Readme, W32.Urgent.Worm@mm, W32/APost@MM, TROJ_APOST.A
Typ: EXE (Win32), E-Mail-Wurm
Verbreitung per E-Mail (Anhang : readme.exe)
Betreff/Subject: As per your request!
Nachricht: " Please find attached file for your review.
I look forward to hear from you again very soon. Thank you."
Schaden: Verbreitung per E-Mail (zweimal an jede Adresse)
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

August 2001

VBS/SSIWG2 (15.08.2001) * gering verbreitet *
Alias: I-Worm.SSIWG2, VBS.SSIWG, VBS/Anjulie.gen(?!), VBS.Remind.A(?!)
Typ: VB-Script, E-Mail-Wurm (SennaSpy Internet Worm Generator 2)
wird von einigen Virenscannern generisch als Virus/Wurm erkannt, aber z.T. falsch bezeichnet.
Verbreitung per E-Mail (Anhang : AntiVirus700.TXT.vbs)
Achtung: Die zweite Dateiendung wird oft nicht angezeigt (MS-Produkte in Standard-Einstellung)!
From: "Your Anti-Virus Company" <AntiVirus1@hotmail.com> (gefälscht!)
Betreff/Subject: WARNING!!! THIS IS URGENT/PLEASE READ.
Nachricht: "Virus Detected
Your system is in need to be cured from a DEADLY Virus that has been detected on your system. [...]"
Schaden: Verbreitung per E-Mail, legt Virus ab (AntiVirus700.com)
Info (bezieht sich auf generisch erkannte Viren, folglich z.T. unzutreffend):
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

Code Red v3 (04.08.2001) (nicht für normale PCs relevant!)
Alias: Code Red II, W32.Bady.C, W32/CodeRed.c, CODERED.C
Typ: Wurm, Exploit, Backdoor (Sicherheitslücke ".ida")
Betroffene Systeme: NT-Server (NT4/2000/XP-beta) mit MS IIS + Index Server/Indexing Service
normale PCs ohne installierten IIS sind nicht gefährdet. Bei Windows 2000 Prof. kann der
IIS als optionale Komponente mit installiert worden sein.
Verbreitung direkt via Internet als HTTP-Request von Server zu Server
Schaden: Performance-Einbußen, System-Instabilität.
Neu: Fernsteuerung des kompromittierten Systems (nur Win2000)
Schutz: Installieren Sie die Sicherheits-Patches von Microsoft (s. Info)
oder Kaspersky Anti-Virus for IIS Servers (kostenlos)
Info: Microsoft I | Microsoft II | Kaspersky AV/AVP | NAI/McAfee | Symantec | Trend Micro
Infos zum Original Code Red Wurm siehe weiter unten.

Juli 2001

W32/SirCam (17.07.2001) ** recht verbreitet **
Alias: W32.Sircam.Worm@mm, I-Worm.Sircam.c, TROJ_SIRCAM.A, Backdoor.SirCam
Typ: EXE (Win32); Wurm, Trojanisches Pferd (Backdoor)
Verbreitung per E-Mail (Anhang : *.exe, *.bat, *.com, *.lnk, *.pif, z.B. Bewerbung.doc.lnk)
Achtung: Die zweite Dateiendung wird oft nicht angezeigt (alle MS-Produkte in Standard-Einstellung)!
Verbreitung auch über Freigaben im lokalen Netz
Betreff/Subject: verschieden, identisch mit Dateiname des Anhangs
Nachricht: "Hi! How are you?" ... "See you later. Thanks"
oder: "Hola como estas ?" ... "Nos vemos pronto, gracias."
Schaden: Verbreitung per E-Mail, inkl. Datei-Liste aus Eigene Dateien;
löscht in einigen Fällen (je nach Datum) das komplette Windows-Verzeichnis.
Gegenmittel: z.B. kostenlose Removal Tools von Symantec oder Bitdefender
wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

Code Red (16.07.2001) (nicht für normale PCs relevant!)
Alias: W32/Bady, I-Worm.Bady, W32/Bady.worm, CODERED.A, TROJ_BADY.A
Typ: Wurm, Exploit (Sicherheitslücke ".ida")
Betroffene Systeme: NT-Server (NT4/2000/XP-beta) mit MS IIS + Index Server/Indexing Service
normale PCs ohne installierten IIS sind nicht gefährdet. Bei Windows 2000 Prof. kann der
IIS als optionale Komponente mit installiert worden sein..
Verbreitung direkt via Internet als HTTP-Request von Server zu Server
Schaden: Performance-Einbußen, System-Instabilität. DoS-Angriff auf best. IP-Adresse
Schutz: Installieren Sie den Sicherheits-Patch von Microsoft (s. Info)
oder Kaspersky Anti-Virus for IIS Servers (kostenlos)
Info: Microsoft | eEye | Cisco | CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Symantec | Trend Micro

Juni 2001

Iwantyou (13.06.2001) (geringe Verbreitung)
Alias: I-Worm.Shuq.b, TROJ_ANGEL.A, WORM_SHUQ.B, W32/Shuq.b, Backdoor-QI
Typ: EXE (Win32), Trojanisches Pferd (Backdoor)
Verbreitung manuell per E-Mail (Anhang: Iwantyou.exe)
Betreff/Subject: "Welcome you to"
Schaden: Backdoor (Port 1722), spioniert Passwörter aus, sendet diese per E-Mail
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

W32/MissWorld (05.06.2001) (geringe Verbreitung)
Alias: W32/MsWorld@MM, I-Worm.MsWorld, TROJ_GIRLCAT.A
Typ: EXE (Win32), E-Mail-Wurm, destruktiv
Verbreitung per E-Mail (Anhang: MWrld.exe, MissWorld.exe, MWld.exe)
Betreff/Subject: "Miss World"
Nachricht: "Hi, [Ihr Name] Enjoy the latest pictures of Miss World from various Country"
Schaden: versendet sich per E-Mail, löscht Registry-Backups, modifiziert AUTOEXEC.BAT
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

Mai 2001

VBS/Mawanella (16.05.2001)
Alias: VBS.VBSWG.Z, I-Worm.Mawanella
Typ: VB-Script, E-Mail-Wurm
Verbreitung per E-Mail (Anhang: Mawanella.vbs)
Betreff/Subject: "Mawanella"
Nachricht: "Mawanella is one of the Sri Lanka's Muslim Village "
Schaden: versendet sich per E-Mail
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

VBS/Hard (12.05.2001)
Alias: VBS.Hard.A@MM, VBS/Hard@MM
Typ: VB-Script, E-Mail-Wurm
Verbreitung per E-Mail (Anhang: www.symantec.com.vbs)
Betreff/Subject: "FW: Symantec Anti-Virus Warning"
Nachricht: "Hello!
There is a new worm on the Net. [...] "
(falsche Viruswarnung, angeblich von Symantec stammend)
Schaden: versendet sich per E-Mail, ändert Startseite des IE
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

VBS/Homepage (08.05.2001)
Alias: I-Worm.Homepage, VBS.VBSWG2, VBS_HOMEPAGE.A, VBS/SST.gen@MM
Typ: VB-Script, E-Mail-Wurm (aus Viren-Baukasten VBSWG 2.0)
Verbreitung per E-Mail (Anhang: Homepage.HTML.vbs)
Betreff/Subject: "Homepage"
Nachricht: "Hi!
You've got to see this page! It's really cool :O) "
Schaden: versendet sich per E-Mail, ändert Startseite des IE
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

April 2001

W32/Matcher (18.04.2001)
Alias: I-Worm.Matcher, TROJ_MATCHER.A, W32/Matcher@MM
Typ: EXE (Win32), E-Mail-Wurm
Verbreitung per E-Mail (matcher.exe, 28 KB)
Betreff/Subject: "Matcher"
Nachricht: "Want to find your love mates!!! Try this its cool... "
Schaden: versendet sich per E-Mail, modifiziert die autoexec.bat
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

W32/BadTrans (12.04.2001)
Alias: I-Worm.Badtrans, W32.Badtrans.13312@mm, TROJ_BADTRANS.A
Typ: EXE (Win32), E-Mail-Wurm + Passwort-Spion (Trojanisches Pferd)
Verbreitung per E-Mail (EXE-Datei, 13 KB, div. Namen, z.T. ähnlich W32/MTX)
Nachricht: "Take a look to the attachment"
Schaden: beantwortet eingehende E-Mails, zwischen 2 infizierten Computern
kann sich dadurch ein 'E-Mail-Ping-Pong' entwickeln; spioniert Passwörter aus
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

März 2001

W32/Magistr.a (12.03.2001) ** recht verbreitet **
Alias: PE_MAGISTR.A, I-Worm.Magistr, W32.Magistr.24876@MM, W95.Begemont.b
Typ: EXE (Win32), Virus (polymorph) + E-Mail-Wurm
Verbreitung per E-Mail (EXE- oder SCR-Datei, z.B. sulfnbk.exe, dcomcnfg.exe, cfgwiz32.exe, u.a.)
Achtung: Hoax: falsche Virenwarnung vor Datei SULFNBK.EXE
Schaden: ähnlich wie CIH-Virus (Aktivierung 30 Tage nach Infektion)
Gegenmittel: kostenlos von Bitdefender
wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

VBS/Loveletter.cg (12.03.2001)
Typ: VB-Script, E-Mail-Wurm
Verbreitung per E-Mail; Attachment: IMPORTANT-COMPANY-NEWS.HTM.vbs
Subject (Betreff): "IMPORTANT CORPORATE NEWS"
Nachricht: "Please find enclosed a link to the vital company news..."
Schaden: wie Loveletter.a
Info: lokale Seite | CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

W32/Naked (06.03.2001)
Alias: WORM_NAKED.A, I-Worm.Naked
Typ: EXE (Win32), E-Mail-Wurm
Verbreitung per E-Mail; Attachment: NakedWife.exe (74 KB)
Subject (Betreff): "FW: Naked wife"
Nachricht: "> My wife never look like that! :-)"
Schaden: Löscht alle Dateien im Windows- und System-Verzeichnis mit den Endungen EXE, DLL, COM, INI, BMP, LOG.
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

Februar 2001

W32/BabyPic (26.02.2001)
Alias: TROJ_MYBABYPIC.A, I-Worm.Myba
Typ: EXE (Win32), E-Mail-Wurm, Loveletter-Derivat
Verbreitung per E-Mail; Attachment: mybabypic.exe (78 KB)
Subject (Betreff): "My baby pic !!!"
Nachricht: "Its my animated baby picture !!"
Schaden: Überschreibt Dateien mit den Endungen VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H, JPG, JPEG, MP2 und MP3 auf allen Laufwerken.
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

Zeckentod (20.02.2001)
Typ: Trojanisches Pferd, Backdoor, RAT (Remote Access Tool)
Verbreitung per E-Mail; Attachment: Zeckentod.exe
Info: H+BEDV (AntiVir)

VBS/NeueTarife (16.02.2001)
Alias: VBS/VBSWG.k@MM, VBS.SST.b@mm, VBS_Kalamar.B, I-Worm.Lee.o
Typ: VB-Script-Virus (erstellt mit Virus Construction Kit VBSWG v1.5), Variante von VBS/OnTheFly
Verbreitung per E-Mail und IRC; Attachment: Neue Tarife.txt.vbs
Wurde zuerst über einen gehackten Mail-Account bei virus.at in Verkehr gebracht.
Absender: <support@t-online.de> (gefälscht)
Subject (Betreff): (teilweise leer) oder "Neues von Ihrem Internetdienstleister - Robert T. Online informiert"
Nachricht: "Sehr geehrter Internetsurfer,..."
Info: AntiVir/H+BEDV | Ikarus | NAI/McAfee | Symantec | Trend Micro | Trojaner-Info.de

VBS/OnTheFly (12.02.2001)
Alias: VBS/VBSWG.j@MM, VBS.SST@mm, VBS_Kalamar.A, I-Worm.Lee.o
Typ: VB-Script-Virus (erstellt mit Virus Construction Kit VBSWG v1.5)
Verbreitung per E-Mail; Attachment: AnnaKournikova.JPG.vbs
Subject (Betreff): "Here you have, ;o)" (oder auch: "Here you go", "Here you are")
Nachricht: "Hi: Check This!"
Info: AntiVir/H+BEDV | CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

Januar 2001

W97M.Melissa.w (B-Variante: 17.01.2001)
Alias: Melissa-X, W97M/Assilem, Anniv
Typ: Makrovirus, Melissa-Derivat
Verbreitung per E-Mail, Attachment: anniv.doc (Format: Word f. Macintosh)
Word97(Win)/98(Mac)/2000(Win)/2001(Mac)-Makrovirus, überschreibt Word-Dateien
Auch Benutzer von Macintosh-Rechnern mit MS Office 98/2001 sind betroffen.
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro.de

Linux/Ramen (17.01.2001)
Alias: ELF_Ramen
Typ: Wurm (Linux ELF binary)
Verbreitung: nutzt Sicherheitslücken in Web-Servern (bzw. in wu_ftpd), die unter RedHat-Linux laufen,
scannt grosse Bereiche des Internet auf der Suche nach weiteren Wirten
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

2000 (und früher)

W32/Kriz (11.08.1999)
Alias: PE_Kriz, W32.Kriz
Typ: EXE (Win32), Virus
aktiviert sich am 25. Dezember, überschreibt Datenträger und z.T. Flash-BIOS
soll zurzeit (Dez. 2000) über damit infizierte E-Mail-Würmer wieder verbreitet werden
infiziert KERNEL32.DLL, legt bei Infektion Datei KRIZED.TT6 an
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Hybris.c (11.2000)
W32/Hybris.b (16.10.2000) *** weit verbreitet ***
W32/Hybris.a (09.2000)
Alias: I-Worm.Hybris
Typ: EXE (Win32), Wurm
Verbreitung über E-Mail (EXE- oder SCR-Attachment; Dateiname verschieden), Newsgroups
Hybris.C: E-Mail von Hahaha <hahaha@sexyfun.net>, Betreff: "Snowhite and the Seven Dwarfs - The REAL story!"
Hybris.B: Absender, Betreff und Dateinamen variieren, meist: [8 Zeichen].exe
Info: lokale Seite | CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro .de

W32/Bymer (26.09.2000)
Alias: W32/MSinit, Trojan.Win32.Bymer, Troj_Bymer, Worm.RC5
Typ: EXE (Win32), Wurm
Verbreitung über Netzwerkfreigaben (Shares). Dateinamen: MSINIT.EXE, MSxxx.EXE (xxx Zahl < 256), WININIT.EXE
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro

Archivierte Virenmeldungen bis 12/2001 (aktuelle Virenmeldungen)