Archivierte Virenmeldungen
aus 2003   (neuere | archivierte ältere Virenmeldungen)

Dezember 2003

W32/Sober.c (20.12.) ** recht verbreitet **
Alias: W32.Sober.C@mm, W32/Sober-C, Worm/Sober.C, I-Worm.Sober.c, WORM_SOBER.C
Typ: EXE (Win32), Wurm (~74 KB, UPX-komprimiert)
Verbreitung: E-Mail, P2P-Netze
Absenderangabe: verschieden (gefälscht!)
Betreff/Subject: verschieden (dt. + engl.), aus Liste, siehe Details, z.B.:
    "Du hast einen Trojaner drauf!"
    "du wirst ausspioniert"
    "Ein Trojaner ist auf Ihrem Rechner!" (lsass.exe, smss.exe oder service.exe)
    "Ermittlungsverfahren wurde eingeleitet"
    "Ihre IP wurde geloggt"
    "Sie sind ein Raubkopierer"
    "Sie tauschen illegal Dateien aus"
    ... und viele mehr, siehe Details
Nachricht: verschieden (dt. + engl.), aus Liste, siehe Details
Anhang: ~74 KB, Dateiname verschieden, siehe Details
Symptome: Existenz der Datei savesyss.dll im System-Verzeichnis
    Zeigt eine Fehlermeldung "Runtime Error - [Dateiname] has caused an unknown error." an.
Schaden: E-Mail-Versand, überschreibt Dateien in P2P-Ordnern
Gegenmittel: kostenlos bei H+BEDV, Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | H+BEDV | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Sober.b (18.12.) * wenig verbreitet *
Alias: W32.Sober.B@mm, W32/Sober-B, Worm/Sober.B, I-Worm.Sober.b, WORM_SOBER.B
Typ: EXE (Win32), Wurm (~58-60 KB, UPX-komprimiert)
Verbreitung: E-Mail, P2P-Netze
Absenderangabe: verschieden (gefälscht)
Betreff/Subject: verschieden (dt. + engl.), aus Liste, z.B.:
    "Hihi, ich war auf deinem Computer"
    "Du bist Ge-Hackt worden"
    "Ich habe Sie Ge-hackt"
    "Der Kannibale von Rotenburg"
    "George W. Bush plans new wars"
    "George W. Bush wants a new war"
    "You Got Hacked"
    "Have you been hacked?"
Nachricht: verschieden (dt. + engl.), aus Liste, siehe Info-Links
Anhang: ~58-60 KB, Dateiname verschieden, aus Liste, z.B.: allfiles.cmd, Daten-Text.pif,
    DateiList.pif, Server.com, yourlist.pif, www.gwbush-new-wars.com, www.hcket-user-pcs.com
Schaden: E-Mail-Versand, überschreibt Dateien in P2P-Ordnern
Gegenmittel: kostenlos bei Alwil (avast!), H+BEDV, McAfee (Stinger), Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | H+BEDV | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

November 2003

W32/Mimail.j (17.11.) ** recht verbreitet **
Alias: W32.Mimail.J@mm, W32/Mimail-J, I-Worm.Mimail.j, WORM_MIMAIL.J
Typ: EXE (Win32), Wurm (~13 KB, EXE-Datei)
Verbreitung: E-Mail
Absenderangabe: <Do_Not_Reply@paypal.com> (gefälscht)
Betreff/Subject: "IMPORTANT     [zufällige Zeichenfolge]" oder "Problems with your PayPal account."
Nachricht: "Dear PayPal member,
    We regret to inform you that your account is about to be expired in next five business days. To avoid
    suspension of your account you have to reactivate it by providing us with your personal information. [...]"
Anhang: InfoUpdate.exe oder www.paypal.com.pif (~13 KB)
Symptome: Existenz der Datei svchost32.exe im Windows-Verzeichnis
    sowie des Registry-Eintrags "SvcHost32 = %Windir%\svchost32.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand, späht Daten aus
Gegenmittel: kostenlos bei Alwil (avast!), Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Mimail.i (14.11.) ** recht verbreitet **
Alias: W32.Mimail.I@mm, W32/Mimail-I, I-Worm.Mimail.i, WORM_MIMAIL.I
Typ: EXE (Win32), Wurm (~12 KB, SCR-Datei)
Verbreitung: E-Mail
Absenderangabe: PayPal.com <donotreply@paypal.com> (gefälscht)
Betreff/Subject: "YOUR PAYPAL.COM ACCOUNT EXPIRES"
Nachricht: "Dear PayPal member,
PayPal would like to inform you about some important information regarding your PayPal account.
This account, which is associated with the email address [...]"
Anhang: paypal.asp.scr oder www.paypal.com.scr (~12 KB)
Symptome: Existenz der Datei svchost32.exe im Windows-Verzeichnis
    sowie des Registry-Eintrags "SvcHost32 = %Windir%\svchost32.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand, späht Daten aus
Gegenmittel: kostenlos bei Alwil (avast!), Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | H+BEDV | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Mimail.e (01.11.) ** recht verbreitet **
Alias: W32.Mimail.D@mm, W32/Mimail-E, I-Worm.Mimail.e, WORM_MIMAIL.E
Typ: EXE (Win32), Wurm (~10 KB, in ZIP-Datei)
Verbreitung: E-Mail
Absenderangabe: verschieden (gefälscht), z.T. john@...(Domain des Empfängers)
Betreff/Subject: "don't be late!   [zufällige Buchstabenfolge]"
Nachricht: "Will meet tonight as we agreed, because on Wednesday I don't think
    I'll make it, so don't be late. And yes, by the way here is the file you asked for.
    It's all written there. See you. [zufällige Buchstabenfolge]"
Anhang: readnow.zip (~10 KB), enthält readnow.doc.scr (~10 KB, UPX-komprimiert)
Symptome: Existenz der Datei cnfrm.exe im Windows-Verzeichnis
    sowie des Registry-Eintrags "Cnfrm = %Windir%\cnfrm.exe" oder "Cn323 = %Windir%\cnfrm33.exe" in
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand, späht Infos aus, DoS-Angriff
Gegenmittel: kostenlos bei Alwil (avast!), Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | H+BEDV | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

Oktober 2003

W32/Mimail.c (31.10.) ** recht verbreitet **
Alias: W32.Mimail.C@mm, W32/Mimail-C, I-Worm.Mimail.c, WORM_MIMAIL.C
Typ: EXE (Win32), Wurm (~12 KB, in ZIP-Datei)
Verbreitung: E-Mail
Absenderangabe: verschieden (gefälscht), z.T. james@...(Domain des Empfängers)
Betreff/Subject: "Re[2]: our private photos   [zufällige Buchstabenfolge]"
Nachricht: "Hello Dear!,
    Finally i've found possibility to right u, my lovely girl :)
    All our photos which i've made at the beach (even when u're without ur bh:))
    photos are great! This evening i'll come and we'll make the best SEX :)
    Right now enjoy the photos.
    Kiss, James. [zufällige Buchstabenfolge]"
Anhang: photos.zip (~12 KB), enthält photos.jpg.exe (~12 KB, UPX-komprimiert)
Symptome: Existenz der Datei netwatch.exe im Windows-Verzeichnis
    sowie des Registry-Eintrags "NetWatch32 = %Windir%\netwatch.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand, späht Infos aus, DoS-Angriff
Gegenmittel: kostenlos bei Alwil (avast!), Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | H+BEDV | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Sober (W32/Sober.a) (24.10.) * kaum noch verbreitet *
Alias: W32.Sober@mm, W32/Sober-A, Worm/Sober, I-Worm.Sober, WORM_SOBER.A
Typ: EXE (Win32), Wurm (~63-65 KB, UPX-komprimiert)
Verbreitung: E-Mail
Absenderangabe: verschieden (gefälscht)
Betreff/Subject: verschieden (ca. 35, dt. + engl.), aus Liste, siehe Details
Nachricht: verschieden (dt. + engl.), aus Liste, siehe Details
    enthält z.T. Hinweis auf einen angeblichen Virus namens Odin
Anhang: 63-65 KB, Dateiname verschieden (ca. 35, dt. + engl.), aus Liste, z.B.:
    removal-tool.exe, check-patch.bat, cm-recover.com, security.pif, robot_mail.scr, u.a., siehe Details
Symptome: Existenz der Dateien similare.exe im %system%-Verz. und %windir%/macromed/help/media.dll
    Hinweis: Es bringt nichts, nur diese Dateien zu löschen!
Schaden: E-Mail-Versand, infiziert Dateien im KaZaa-Shared-Verzeichnis.
Gegenmittel: kostenlos bei Alwil (avast!), Symantec und Trend Micro | Test von Gegenmitteln
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | H+BEDV | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

September 2003

W32/Swen (W32/Gibe-F) (18.09.) *** stark verbreitet ***
Alias: W32.Swen.A@mm, W32/Gibe-F, Worm/Gibe.C, I-Worm.Swen.a, WORM_SWEN.A, Worm.Automat.AHB
Typ: EXE (Win32), Wurm (~104 KB)
Verbreitung: E-Mail, KaZaa, Freigaben, IRC
Absenderangabe: verschieden, z.B.: "Microsoft Customer Services", "Microsoft Network Service" (gefälscht!)
Betreff/Subject: verschieden, z.B.: "Newest Microsoft Upgrade", "Failure Advice", "Undelivered Mail..."
Nachricht: "Microsoft Customer [oder: ... Partner, Client, ...]
    this is the latest version of security update, the '<akt. Monat Jahr>, Cumulative Patch' update [...]"
    oder vorgetäuschte Fehlzustellungsmeldung: "Undeliverable message to ..." od. ä.
 Hinweis: Microsoft versendet grundsätzlich nie Updates / Programme per E-Mail! 
Anhang: Dateiname verschieden, z.B. "upgrade.exe", "install???.exe" (~104 KB):
Symptome: Existenz der Datei swen1.dat im Windows-Verzeichnis
Schaden: E-Mail-Versand, beendet Antivirus- und Desktop Firewall Software
Gegenmittel: kostenlos bei Alwil (avast!), Bitdefender, McAfee (Stinger) und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

August 2003

W32/Sobig.f (19.08.) * nur noch wenig verbreitet *
Alias: W32.Sobig.F@mm, I-Worm.Sobig.f, WORM_SOBIG.F
Typ: EXE (Win32), Wurm (~73 KB)
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail, Freigaben
Absenderangabe: beliebig (gefälscht!)
Betreff/Subject: "Re: Approved" | "Re: Details" | "Re: Re: My details"
    "Re: Thank you!" | "Re: That movie" | "Re: Wicked screensaver" | "Re: Your application"
Nachricht (E-Mail): "See the attached file for details "
    oder: "Please see the attached file for details"
Anhang: *.pif od. *.scr (~73 KB):
    application.pif | details.pif | document_9446.pif | document_all.pif | movie0045.pif
    thank_you.pif | wicked_scr.scr | your_details.pif | your_document.pif
Symptome: Existenz der Datei WINPPR32.EXE im Windows-Verzeichnis,
    sowie des Registry-Eintrags "TrayX = %Windir%\winppr32.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bzw.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand (Deaktivierung: 10.09.2003)
Gegenmittel: kostenlos bei Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Nachi (W32.Welchia) (18.08.) ** recht verbreitet **
Alias: W32.Welchia.Worm, Lovesan.D, WORM_MSBLAST.D
Typ: EXE (Win32), Wurm (~10 KB)
Betroffen: Windows 2000 und XP, Microsoft IIS 5.0 (durch den Wurm selbst)
    Windows NT/2000/XP, Windows Server 2003 (von der Sicherheitslücke generell)
Verbreitung: DCOM/RPC (TCP-Port 135); WebDAV-Exploit (Port 80)
Anmerkung: nutzt Sicherheitslücken in Windows DCOM / RCP-Dienst aus (MS03-026),
    sowie im Microsoft Internet Information Server (IIS) 5.0 (MS03-007).
    versucht den Wurm W32/Lovsan zu entfernen, deaktiviert sich selbst am 01.01.2004
Symptome: Existenz der Datei dllhost.exe (10 KB) im Verzeichnis %System%\Wins\Dllhost.exe,
    erheblicher abgehender IP-Traffic (ICMP-Pakete)
Schaden: installiert (T)FTP-Server, Windows kann abstürzen.
Gegenmittel: kostenlos bei Bitdefender, McAfee (Stinger), Symantec und Trend Micro
 wichtiger Hinweis zur Anwendung der Gegenmittel
Hinweis zum Download des Sicherheitsupdates von Microsoft (dringend empfohlen!):
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Dumaru.a (16.08.) *** stark verbreitet ***
Alias: W32.Dumaru@MM, I-Worm.Dumaru.a, PE_DUMARU.A
Typ: EXE (Win32), Wurm (~9 KB)
Verbreitung: E-Mail
Absenderangabe: security@microsoft.com (gefälscht!)
Betreff/Subject: "Use this patch immediately !"
Nachricht: "Dear friend , use this Internet Explorer patch now!
    There are dangerous virus in the Internet now!
    More than 500.000 already infected!"
 Hinweis: Microsoft versendet grundsätzlich nie Updates / Programme per E-Mail! 
Anhang: patch.exe (~9 KB):
Symptome: Existenz der Dateien dllreg.exe und windrv.exe im Windows-Verzeichnis, sowie
    der Dateien load32.exe und vxdmgr32.exe im Windows\System[32]-Verzeichnis
    Registry-Eintrag load32 = %Windir%\load32.exe im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand, installiert IRC-Trojaner, infiziert EXE-Dateien in C:\, D:\ usw.
Gegenmittel: kostenlos bei Bitdefender, McAfee (Stinger), Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Lovsan.c (13.08.) * wenig verbreitet *
Alias: W32.Blaster.B.Worm
Hinweis: wie W32/Lovsan, jedoch:
    Dateiname penis32.exe (~7 KB)
    Registry-Eintrag "windows auto update = penis32.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Lovsan.b (13.08.) * wenig verbreitet *
Alias: W32.Blaster.C.Worm
Hinweis: wie W32/Lovsan, jedoch:
    Dateiname teekids.exe (~5 KB), root32.exe (~19 KB); beide in index.exe (~32 KB)
    Registry-Eintrag "Microsoft Inet Xp.. = teekids.exe Microsoft can suck my left testi! Bill" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    enthält zusätzlich ein Trojanisches Pferd (Backdoor) in Datei root32.exe
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

Beseitung des Wurms: Gegenmittel und Sicherheitsupdate herunterladen Windows im Abgesicherten Modus starten Gegenmittel anwenden Sicherheitsupdate installieren Neustart von Windows Mehr Details bei Sophos

W32/Lovsan (W32/Lovsan.a) (11.08.) ** recht verbreitet **
Alias: W32.Blaster.Worm, Worm.Win32.Lovesan, Win32.Poza, WORM_MSBLAST.A
Typ: EXE (Win32), Wurm (~6 KB, UPX-komprimiert)
Betroffen: Windows 2000 und XP (durch den Wurm selbst)
    Windows NT/2000/XP, Windows Server 2003 (von der Sicherheitslücke generell)
Verbreitung: DCOM/RPC (TCP-Port 135)
Anmerkung: nutzt Sicherheitslücken in Windows DCOM / RCP-Dienst aus (MS03-026).
Symptome: Existenz der Datei msblast.exe (~6 / 11 KB) im Windows-Verzeichnis,
    sowie des Registry-Eintrags "windows auto update = msblast.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Windows wird u.U. mit einem Countdown von 1 min. neu gestartet.
Schaden: missbraucht PCs für DDoS-Angriffe
Gegenmittel: kostenlos bei Bitdefender, McAfee (Stinger), Symantec und Trend Micro
 wichtiger Hinweis zur Anwendung der Gegenmittel
Hinweis zum Download des Sicherheitsupdates von Microsoft (dringend empfohlen!):
    Achten Sie darauf die richtige Sprache für das Update auszuwählen (rechts oben)!
    alternative Download-Adresse und Infos auf deutsch: Heise-Verlag
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Mimail (01.08.) ** recht verbreitet **
Alias: W32.Mimail@mm, I-Worm.Mimail, WORM_MIMAIL.A, Exploit-Codebase
Typ: EXE (Win32), Wurm (~25 KB)
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail
Absenderangabe: admin@<Ihre Domain> (gefälscht!)
Betreff/Subject: "your account <Name> "
Nachricht: "Hello there,
    I would like to inform you about important information regarding your email address.
    This email address will be expiring. Please read attachment for details.
    Best regards, Administrator"
Anhang: message.zip, Größe ~25 KB, enthält message.html, diese enthält UPX-komprimierte EXE-Datei
Anmerkung: nutzt Sicherheitslücken im Internet Explorer aus, die JavaScript den Zugriff
    auf lokale Dateien ermöglichen (MS02-015 und MS03-014).
Symptome: Existenz der Datei videodrv.exe im Windows-Verzeichnis,
    sowie des Registry-Eintrags "VideoDriver = %Windir%\videodrv.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand
Gegenmittel: kostenlos bei Bitdefender, McAfee (Stinger) und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

Juni 2003

W32/Sobig.e (25.06.) * kaum noch verbreitet *
Alias: W32.Sobig.E@mm, I-Worm.Sobig.e, WORM_SOBIG.E
Typ: EXE (Win32), Wurm (~85 KB)
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail, Freigaben
Absenderangabe: beliebig, z.B. "support@yahoo.com" u.a.... (gefälscht!)
Betreff/Subject: "004448554.pif" | "Application.pif" | "Applications.pif" | "movie.pif"
    "new document.pif" | "Re: Application" | "Re: document.pif" | "Re: Documents" | "Re: Movie"
    "Re: Movies" | "Re: Re: Application ref 003644" | "Re: Re: Document" | "Re: ScRe:ensaver"
    "Re: Submitted" | "Referer.pif" | "Screensaver.scr" | "submited.pif" | "Your application"
Nachricht (E-Mail): "Please see the attached zip file for details. "
Anhang: *.zip, Größe ~80 KB, enthält *.pif od. *.scr (~85 KB):
    application.zip (-> application.pif) | document.zip (-> document.pif) | movie.zip (-> Movie.pif)
    screensaver.zip (-> sky.world.scr) | your_details.zip (-> details.pif)
Symptome: Existenz der Datei winssk32.exe im Windows-Verzeichnis,
    sowie des Registry-Eintrags "SSK Service = %Windir%\winssk32.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run bzw.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand (Deaktivierung: 14.07.2003)
Gegenmittel: kostenlos bei Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

Vorbeugen! Empfehlung für Outlook Express: Update auf IE 5.5 SP2 (oder 6.0), danach Sicherheitsupdate für Internet Explorer installieren Mail-Filter: iframe src=3Dcid

W32/Bugbear.b (04.06.) ** recht verbreitet **
Alias: W32.Bugbear.C@mm, I-Worm.Tanatos.b, WORM_BUGBEAR.B
Typ: EXE (Win32), Virus/Wurm (~72 KB, UPX-komprimiert)
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail, Freigaben
Absenderangabe: beliebig
Betreff/Subject: beliebig
Anhang: *.pif, *.scr, *.exe (z.T. doppelte Dateiendung, z.B. *.doc.scr; Größe ~72 KB)
Symptome: Existenz einer Datei ???.exe im Autostart-Ordner (?=zufälliger Buchstabe)
    Netzwerkdrucker geben (viele) Seiten mit irgendwelchen Zeichen aus
Schaden: infiziert best. EXE-Dateien, E-Mail-Versand, Backdoor, Key-Logger,
    schaltet Antivirus und Desktop Firewalls aus
Gegenmittel: kostenlos bei Bitdefender, McAfee (Stinger) und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Hilfsmittel: Entschlüsselungsprogramm (151 KB) von Andreas Marx (av-test.de, VHM)
    für die Datei mit ausspionierten Daten
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

Mai 2003

W32/Sobig.c (31.05.) * kaum noch verbreitet *
Alias: W32.Sobig.C@mm, I-Worm.Sobig.c, WORM_SOBIG.C
Typ: EXE (Win32), Wurm (~58 KB)
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail, Freigaben
Absenderangabe: beliebig, z.B. "bill@microsoft.com", "support@avx.com", u.a.... (gefälscht!)
Betreff/Subject: "Re: 45443-343556" | "Approved | "Re: Approved" | "Re: Application" | "Re: Movie"
    "Re: My details" | "Re: Screensaver" | " Re: Submited (004756-3463)" | "Re: Your application"
Nachricht (E-Mail): "Please see the attached file."
Anhang: *.pif, *.scr; Größe ~58 KB:
    application.pif | approved.pif | document.pif | documents.pif
    movie.pif | screensaver.scr | submited.pif | 45443.pif
Symptome: Existenz der Datei mscvb32.exe im Windows-Verzeichnis,
    sowie des Registry-Eintrags "System MScvb = %Windir%\mscvb32.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand (Deaktivierung: 08.06.2003)
Gegenmittel: kostenlos bei Bitdefender, F-Secure und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Sobig.b, W32/Palyh (18.05.) * kaum noch verbreitet *
Alias: W32.HLLW.Mankx@mm, I-Worm.Sobig.b, I-Worm.Palyh, WORM_SOBIG.B
Typ: EXE (Win32), Wurm (~51 KB, UPX-komprimiert)
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail, Freigaben
Absenderangabe: "support@microsoft.com" (gefälscht!)
Betreff/Subject: "Approved (Ref: 38446-263)" | "Cool screensaver" | "Re: Approved (Ref: 3394-65467)"
    "Re: Movie" | "Re: My application" | "Re: My details" | "Screensaver" | "Your details" | "Your password"
Nachricht (E-Mail): "All information is in the attached file."
Anhang: *.pif; Größe ~51 KB (UPX-komprimiert):
    application.pif | approved.pif | doc_details.pif | movie28.pif | password.pif
    ref-394755.pif | screen_temp.pif | screen_doc.pif | your_details.pif
Symptome: Existenz der Dateien msccn32.exe, hnks.ini, msdbrr.ini im Windows-Verzeichnis,
    sowie des Registry-Eintrags "System Tray = %Windir%\msccn32.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand (Deaktivierung: 31.05.2003)
Gegenmittel: kostenlos bei Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Fizzer (08.05.) ** recht verbreitet **
Alias: W32.HLLW.Fizzer@mm, I-Worm.Fizzer, WORM_FIZZER
Typ: EXE (Win32), Wurm, Backdoor, Key-Logger
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail, KaZaa (P2P), AIM
Betreff/Subject (E-Mail): verschieden aus Liste (dt. + engl.), siehe Info-Links
Nachricht (E-Mail): verschieden aus Liste (dt. + engl.), siehe Info-Links
Anhang: *.pif, *.scr, *.exe, *.com, Größe ~200 KB
Symptome: Existenz der Dateien iservc.exe, iservc.dll, initbak.dat im Windows-Verzeichnis,
    sowie des Registry-Eintrags "SystemInit = %Windir%\iservc.exe" im Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand, Backdoor, deaktiviert Antivirus-Software
Gegenmittel: kostenlos bei Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Hilfsmittel: Entschlüsselungsprogramm (150 KB) von Andreas Marx (av-test.de, VHM)
    für die Datei mit ausspionierten Daten (%Windir%\iservc.klg)
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

März 2003

W32/Cult.b (31.03.) * wenig verbreitet *
Alias: W32/Lanet@mm, W32.HLLW.Cult.B@mm, I-Worm.Cult.b
Typ: EXE (Win32), Wurm, Backdoor (UPX-komprimiert (.C-Variante: ASPack-komprimiert)
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail, KaZaa (P2P)
Betreff/Subject (E-Mail): "Hi, I sent you an eCard from BlueMountain.com"
Nachricht (E-Mail): "To view your eCard, open the attachment. [...] "
Anhang: BlueMountaineCard.pif, Größe ~8 KB
Symptome: Existenz der Datei wuauqmr.exe (8 KB) im Windows\System-Verzeichnis,
    sowie des Verzeichnisses C:\Windows\System\jdfghtrg\ mit div. EXE-Dateien (für KaZaa freigegeben)
Schaden: E-Mail-Versand, Backdoor
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Ganda (17.03.) * wenig verbreitet *
Alias: W32.Ganda.A@mm, I-Worm.Ganda, PE_GANDA.A
Typ: EXE (Win32), Virus/Wurm
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail
Betreff/Subject (E-Mail): verschieden (schwedisch oder engl.), hier die engl.:
    "Screensaver advice", "Spy pics.", "GO USA !!!!", "G.W Bush animation.", "Is USA a UFO?"
    "Is USA always number one?", "LINUX.", "Nazi propaganda?", "Catlover.", "Disgusting propaganda."
Nachricht (E-Mail): verschieden (aus Liste, siehe Info-Links)
    Stellt u.a. Bezug zu USA, G.W.Bush oder Irak-Krieg her (mit Hinweis auf den Anhang)
Anhang: Dateiname verschieden (??.scr; ?=Buchstabe), Größe ~44 KB (45.056 Bytes)
Symptome: Existenz der Datei scandisk.exe (45.056 Bytes) im Windows-Verzeichnis,
    sowie der Registry-Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\SS\Sent
    HKEY_LOCAL_MACHINE\SOFTWARE\SS\Sent2
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    mit Eintrag "ScanDisk   C:\WINNT\SCANDISK.exe"
Schaden: E-Mail-Versand, infiziert Dateien (*.exe, *.scr, *.lnk), deaktiviert Antivirus-Software
Gegenmittel: kostenlos bei Bitdefender
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

Februar 2003

W32/Gibe.b (24.02.) * wenig verbreitet *
Alias: W32.Gibe.B@mm, I-Worm.Gibe.b, WORM_GIBE.B
Typ: EXE (Win32), Wurm
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail, Freigaben, IRC, KaZaa
Betreff/Subject (E-Mail): verschieden (aus Bausteinen, siehe Info-Links)
    enthält z.B.: "Security Update", "Internet Security Patch", ..."from Microsoft"
Nachricht (E-Mail): leer oder:
    "Microsoft Consumer [oder: Client, Partner, User]
    this is the latest version of security update, the [akt. Monat Jahr], Cumulative Patch update
    which eliminates all known security vulnerabilities affecting Internet Explorer, [...]" (Volltext siehe Info-Links)
 Hinweis: Microsoft versendet grundsätzlich nie Updates / Programme per E-Mail! 
Anhang: Dateiname: patch???.exe, update???.exe, p??????.exe, q??????.exe (?=Ziffer, Größe ~152 KB)
Symptome: Existenz der Dateien (u.a.) DX3DRndr.exe, gibe.dll im Windows-System-Verzeichnis,
    sowie Eintrag "DxLoad   C:\WINNT\DX3DRndr.exe" im Registry-Schlüssel
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Schaden: E-Mail-Versand
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Lovgate.c (23.02.) ** recht verbreitet **
Alias: W32.HLLW.Lovgate.C@mm, I-Worm.Supnot.c, WORM_LOVGATE.C
Typ: EXE (Win32), Wurm, Backdoor
Betroffen: Windows 95/98/ME/NT/2000/XP
Verbreitung: E-Mail, Freigaben
Betreff/Subject (E-Mail): verschieden (aus Liste, siehe Info-Links)
Nachricht (E-Mail): verschieden (aus Liste, siehe Info-Links)
Anhang: Dateiname verschieden, Größe ~77 KB
Symptome: Existenz der Dateien (u.a.) wingate.exe, winrpcsrv.exe, ily.dll, 1.dll
    im Windows-System-Verzeichnis, sowie des Registry-Schlüssels
    HKEY_LOCAL_MACHINE\Software\KittyXP.sql\Install
Schaden: E-Mail-Versand, installiert Trojanisches Pferd (Backdoor)
Gegenmittel: kostenlos bei Symantec und Bitdefender
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

Januar 2003

W32/SQL-Slammer (25.01.) ** recht verbreitet **
Alias: W32.SQLExp.Worm, Worm.SQL.Helkern, Sapphire, W32/SQLSlam-A, WORM_SQLP1434.A
Typ: SQL-Wurm
Betroffen: nur Microsoft SQL-Server 2000 und MSDE 2000 ohne Service Pack 3
Verbreitung: UDP-Port 1434
Symptome: ungewöhnlicher hoher abgehender Datenverkehr über UDP-Port 1434
    Paketlänge: 376 Bytes (das ist der ganze Wurm!), enthält Textfragmente:
    "h.dllhel32hkernQhounthickChGetTf", "hws2", "Qhsockf" und "toQhsend"
    keine Wurm-Datei vorhanden, keine Änderungen an INI-Dateien oder Registry
Schaden: Denial of Service (DoS)
Gegenmittel: Symantec (Remover) | McAfee (Stinger)
    Microsoft: Service Pack 3 (SP3) für MS-SQL-Server 2000
      oder Patch Q316333 für Systeme mit SP2  
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: Microsoft | CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

W32/Sobig (W32/Sobig.a) (09.01.) ** recht verbreitet **
Alias: W32.Sobig.A@mm, Win32.Sobig, I-Worm.Sobig.a, WORM_SOBIG.A
neuere Varianten (W32/Sobig.b|c) siehe Mai 2003
Typ: EXE (Win32), Wurm
Verbreitung: E-Mail, Netzwerkfreigaben (EXE-Datei ~64 KB)
Absender: big@boss.com
Betreff/Subject (E-Mail): eines von diesen:
    "Re: Movies"
    "Re: Sample"
    "Re: Document"
    "Re: Here is that sample"
Nachricht: "Attached file:"
Anhang: Movie_0074.mpeg.pif, Document003.pif, Untitled1.pif, Sample.pif, Größe ~64 KB
Symptome: Existenz der Dateien WINMGM32.EXE, SNTMLS.DAT
    und DWN.DAT im Windows-Verzeichnis
Schaden: E-Mail-Versand,lädt Trojanisches Pferd aus dem Internet
Gegenmittel: kostenlos bei Bitdefender, Symantec und McAfee (Stinger)
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

Vorbeugen! Empfehlung für Outlook Express: Update auf IE 5.5 SP2 (oder 6.0), danach Sicherheitsupdate für Internet Explorer installieren Mail-Filter: iframe src=3Dcid

W32/Lirva.c / W32.Avril (08.01.) ** recht verbreitet **
Alias: W32.Lirva.C@mm, W32.Avril-B, I-Worm.Avron.b, WORM_LIRVA.C, W32/Naith.B
Typ: EXE (Win32), Wurm
Verbreitung: E-Mail, IRC, ICQ, KaZaA und Netzwerkfreigaben (EXE-Datei ~34 KB)
Betreff/Subject (E-Mail): verschieden (aus Liste, siehe Info-Links)
Nachricht (E-Mail): (variabel), wie W32/Lirva.a (s.u.) oder:
    "Chart attack active list: Vote fo4r I'm with you! Vote fo4r Sk8er Boi!Vote fo4r Complicated!
    AVRIL LAVIGNE - THE CHART ATTACK!"
oder:
    "AVRIL LAVIGNE - THE BEST Avril Lavigne's popularity increases:>
    SO: First, Vote on TRL for I'm With U! Next, Update your pics database! Chart attack active list .>.>"
oder:
    "Orginal Message:"
Anhang: Dateiname verschieden, Größe ~34 KB (nutzt IFrame.Exploit)
Symptome: u.a. Existenz der Datei %Windir%\temp\avril-ii.inf
    Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run: "Avril Lavigne - Muse"
    malt farbige geometrische Figuren auf den Bildschirm
Schaden: E-Mail-Versand, setzt div. Virenscanner und Desktop Firewalls außer Gefecht
    überträgt Passwörter an Virusautor, lädt BackOrifice-Server aus dem Internet (bo2k.exe)
Gegenmittel: kostenlos bei Bitdefender und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

Vorbeugen! Empfehlung für Outlook Express: Update auf IE 5.5 SP2 (oder 6.0), danach Sicherheitsupdate für Internet Explorer installieren Mail-Filter: iframe src=3Dcid

W32/Lirva.a / W32.Avril (06.01.) ** recht verbreitet **
Alias: W32.Lirva.A@mm, W32.Avril-A, I-Worm.Avron.a,
    WORM_LIRVA.A, W32/Naith.A
Typ: EXE (Win32), Wurm
Verbreitung: E-Mail, IRC, ICQ und KaZaA (EXE-Datei ~34 KB)
Betreff/Subject (E-Mail): verschieden (aus Liste, siehe Info-Links)
Nachricht (E-Mail): (variabel), z.B.:
    "Microsoft has identified a security vulnerability in Microsoft® IIS 4.0
    and 5.0 that is eliminated by a previously-released patch. [...]"
  oder:
    "Restricted area response team (RART) Attachment you sent to %s is intended
    to overwrite start address at 0000:HH4F To prevent from the further buffer overflow
    overflow attacks apply the MSO-patch"
  oder:
    "Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard
    awards ceremony Vote for I'm with you! Admission form attached below"
Anhang: Dateiname verschieden, Größe ~34 KB (nutzt IFrame.Exploit)
Symptome: u.a. Existenz der Datei %Windir%\temp\avril-ii.inf
    Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run: "Avril Lavigne - Muse"
    malt farbige geometrische Figuren auf den Bildschirm
Schaden: E-Mail-Versand, setzt div. Virenscanner und Desktop Firewalls außer Gefecht
    überträgt Passwörter an Virusautor
Gegenmittel: kostenlos bei Bitdefender, McAfee (Stinger) und Symantec
 wichtiger Hinweis zur Anwendung der Gegenmittel
Info: CA | F-Secure | Kaspersky | NAI/McAfee | Sophos | Symantec | Trend Micro

2002 (und früher)

Ältere Virenmeldungen wurden archiviert und sind hier nachzulesen.