PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Neue (!) Virenwarnung: W32/Goner@MM virus



Buchtenbummler
05.12.2001, 11:18
Hallo - ich erhalte von McAfee (also seriös, kein "Hoax") aufgrund meiner dortigen Registrierung aktuelle Virenwarnungen.

Da hier offensichtlich dringender Bedarf an solcher Information besteht, poste ich diese und eventuell noch einige weitere Warnungen hier - empfehle aber allen Teilnehmern dringend , sich ebenfalls einen Virenscanner anzuschaffen (50-90 DM!) , die "üblichen" Vorsichtsmaßregeln (Stichwort: Netiquette beim Mailen) zu beachten, und die Virenscanner auch regelmäßig (wöchentlich!) upzudaten! Die paar Mark und der kleine Aufwand lohnt sich, um sich (und andere...) zu schützen, soweit möglich!
Info Seite www.pecumedia.de/info/alleextanz.html
Grüße
Hans-J.Steiner
www.holidaysailing.de

========
Original-Mail von McAfee von 5.12.01

Betreff: EMERGENCY VIRUS ALERT - W32/Goner@MM
Von: &quot;McAfee.com Dispatch&quot; <dispatch@mcafee.com>

Datum: 05.12.01 03:05 erweiterten Header anzeigen


(((((((((((((((((( McAfee.com Dispatch )))))))))))))))))))))

[This message is brought to you as a subscriber to the
McAfee.com Dispatch. To unsubscribe, please follow the
instructions at the bottom of the page.]

------------------------------------------------------------
** EMERGENCY VIRUS ALERT - W32/Goner@MM **
------------------------------------------------------------

McAfee.com has seen an OUTBREAK of computers infected with
W32/Goner@MM, also known as Pentagone, Goner or Gone. This
is a NEW, HIGH RISK virus that spreads via Microsoft Outlook
email and ICQ instantmessaging programs. This mass-mailing
worm will arrive from someone you know with the following
email message:

Subject: Hi

Body: How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!

Attachment: GONE.SCR

Goner has a DESTRUCTIVE PAYLOAD. When the attachment is
opened, it will look for a variety of anti-virus, firewall
and other security programs and attempt to delete them,
along with ALL FILES in the same directory. This worm
will also place a trojan, REMOTE32.INI, on the system, which
contains instructions to attempt Denial-of-Service attacks
on other IRC users.

For detection and removal instructions for the
W32/Goner@MM virus, click here.
===> http://clinic.mcafee.com/clinic/ibuy/campaign.asp?


McAfee.com VirusScan Online and Clinic subscribers:
If you don`t have ActiveShield installed and updated, you
are not protected from this virus. Click here to download
ActiveShield.
===> http://mcafee.com/


==================

Sven
05.12.2001, 11:27
Wenn ich hier vielleicht der Vollständigkeit halber etwas ergänzen dürfte?

Schaut Euch mal folgende Seite an, dort könnt Ihr für DM 0 den nachfolgenden newsletter bestellen, der über aktuelle Viren informiert.

Grüsse

Sven



---

BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
Voice +49-228-9582-444 / FAX +49-228-9582-427
http://www.bsi.de
---

mail-text....


Viruswarnung - Virusbeschreibung


Name: W32.Goner.A@mm

Alias: I-Worm.Goner, Gone, Pentagone
Art: Massenmailer-Wurm
Betriebssystem: Microsoft Windows
Verbreitung: mittel bis hoch
Risiko: mittel
Handlungsbedarf: Update des Virenschutzes; filtern von Attachments
Schadensfunktion: Massenmail, Löschen von Viren-Schutzprogrammen


W32.Goner.A@mm ist ein Massenmailer-Wurm, der in Visual Basic geschrieben
ist. Der Wurm-Code wurde mit einem bekannten PE-Packer (UPX) gepackt.
Er versendet sich per Email-Nachricht an Adressen aus dem Outlook
Adressbuch. Außerdem verbreitet er sich über ICQ- und IRC-Netzwerke.
Wenn MIRC installiert ist, werden vom Wurm Skripte in den MIRC-Folder
eingefügt.
Dies ermöglicht es, den Computer in einer DDoS-Attacke zu benutzen.


Die Betreffzeile ist:
Hi

Der Nachrichtentext lautet:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!

Die angehängte Datei heißt:
gone.scr

Sie ist 38.912 Bytes groß.

Wenn der Wurm gestartet wird, zeigt er eine animierte Dialogbox mit dem
Titel:
About

an. In diesem Fenster steht u.a. der Text:
pentagone

Dann versendet sich der Wurm im Hintergrund.
Nach dem Versenden des eigenen Codes zeigt W32.Goner.A@mm ein weiteres
Fenster mit folgendem Titel / Inhalt an:
Error
Error While Analyze DirectX!


W32.Goner.A@mm erzeugt den Registrierungs-Schlüssel:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
C:windowssystemgone.scr bzw.
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
C:winntsystem32gone.scr

Der Wert des Schlüssels lautet auch:
C:windowssystemgone.scr bzw.
C:winntsystem32gone.scr

Der Wurm sucht auf dem infizierten System nach den Prozessen:
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PW32.EXE
VW32.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE

Findet er diese Prozesse, versucht W32.Goner.A@mm diese Dateien zu LÖSCHEN.
Wenn dieser Versuch fehlschlägt, werden die Dateinamen in die Datei
wininit.ini geschrieben, die beim nächsten Systemstart dazu verwendet wird,
diese Dateien zu löschen.
Weiterhin versucht der Wurm das Verzeichnis c:safeweb zu löschen.


Ein Entfernungstool für W32.Goner.A@mm ist im Internet verfügbar unter:
http://securityresponse.symantec.com/avcenter/venc/data/w32.goner.a@mm.remov

al.tool.html


Es wird empfohlen, Attachments mit der Datei-Endung .scr (hier gone.scr) am
Email-Gateway zu filtern.


Ein Update der Viren-Schutzsoftware ist unbedingt erforderlich.

Fragen richten Sie bitte an mailto:antivir@bsi.de
Virenmeldungen können Sie an mailto:virmeld@bsi.de senden.


__________________________________________________ _____________

BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
Voice +49-228-9582-444 / FAX +49-228-9582-427
http://www.bsi.de

RL
05.12.2001, 13:37
hallo an alle, ich will jetzt hier keine große Abhandlung machen, aber ich habe heute über eine Segelmailingliste folgenden Virus bekommen. Der Absender der mail war ** alex & kim chrisie **
es handelt sich dabei um den

W32/Magistr.dam3

der file im attachment trees.com
das nur zur info falls noch jemand diese mail bekommen hat

mfg rolf

--
Krümelmonster

tomberger
05.12.2001, 14:34
Original von Buchtenbummler:
Hallo - ich erhalte von McAfee (also seriös, kein &quot;Hoax&quot;) aufgrund meiner dortigen Registrierung aktuelle Virenwarnungen.


Steht auch bei Heise online.



[...] empfehle aber allen Teilnehmern dringend , sich ebenfalls einen Virenscanner anzuschaffen (50-90 DM!)


Ein Virenscanner verhindert weder die Verbreitung von Viren noch schützt er wirklich wirkungsvoll vor Viren. Virenscanner können grundsätzlich nur bereits ***bekannte*** Viren erkennen. Gefährlich sind aber gerade die immer neuen Viren. Ein guter Maildienst läßt die bekannten Viren erst gar nicht passieren.



die &quot;üblichen&quot; Vorsichtsmaßregeln (Stichwort: Netiquette beim Mailen) zu beachten


Die Netiquette hat mit Virenschutz nichts zu tun. Aber die &quot;üblichen&quot; Vorsichtsmaßregeln sind sehr einfach und helfen hundertprozentig gegen alle bisher verbreiteten Viren. Es sind:
- keine ausführbaren Dateianhänge öffnen
- Java u.a. Programmschnittstellen des Mailagenten und Browsers ausschalten

Gruß
Tom Berger

michaelr
05.12.2001, 14:47
empfehle aber allen Teilnehmern dringend , sich ebenfalls einen Virenscanner anzuschaffen (50-90 DM!)

Hallo,
damit ihr jetzt nicht alle 50-90 DM wie Buchtenbummler ausgebt, hier gibt es einen sehr guten kostenlosen Virenscanner für den Privatgebrauch:

http://www.free-av.com/

Man kann auch die Virusdefinitionen kostenlos aktualisieren.

Viel Spaß beim saugen,
Michael


[ Dieser Beitrag wurde von michaelr am 29.01.2003 editiert. ]

Buchtenbummler
05.12.2001, 15:19
Die Netiquette hat mit Virenschutz nichts zu tun. Aber die &quot;üblichen&quot; Vorsichtsmaßregeln sind sehr einfach und helfen hundertprozentig gegen alle bisher verbreiteten Viren. Es sind:
- keine ausführbaren Dateianhänge öffnen
- Java u.a. Programmschnittstellen des Mailagenten und Browsers ausschalten

Gruß
Tom Berger




Hallo, Netiquette hat zwar (direkt) nichts mit Virenschutz zu tun, aber die Beachtung derselben hilft schon im Vorfeld, erhebliche Probleme gar nicht erst aufkommen zu lassen!

Gemeint ist die - weitverbreitete! - Unsitte (aus Unwissen), z.B. seinen Freunden, Bekannten, Geschäftspartnern etc.etc. TRundmails zu senden, und deren Mailadressen SICHTBAR ins Empfängerfeld oder CC-Feld zu schreiben. Netiquette ist es, wenn man - auch aus Rücksicht darauf, daß es ja niemanden was angeht, wer NOCH alles diese Mail bekommt - Maillisten NUR auf das BCC-Feld (blind carbon copy=unsichtbar für die Empfängerliste) schreibt.

Grüße
Hans
www.holidaysailing.de

Buchtenbummler
05.12.2001, 15:23
Hallo -

alles umsonst...

...na warum wird man wohl eine Virensoftware &quot;kostenlos&quot; zur Verfügung stellen...??? Aus Menschenfreundlichkeit? Und dann noch die teure Wartung, also das Erstellen der Virendefinitionsdateien kostenlos abgeben....

Was nix kost, is nix wert, oder es &quot;kostet&quot; was anderes (Werbung?) ...UMSONST arbeitet niemand.. (wobei ich bemerke: es ist mir wurscht, ob und welchen Virenscanner Ihr benutzt, Hauptsache, es ist ein funktionierender im Einsatz...)

Grüße
Hans Steiner
www.holidaysailing.de

michaelr
05.12.2001, 18:48
Original von Buchtenbummler:

alles umsonst...

...na warum wird man wohl eine Virensoftware &quot;kostenlos&quot; zur Verfügung stellen...??? Aus Menschenfreundlichkeit?



Hallo,
ich habe einen Artikel im &quot;PC-Magazin&quot; gelesen, und dort wurde der o.g. Scanner getestet und für gut befunden. Warum die den Virenscanner kostenlos zur Verfügung stellen ( ist von mir nur ne Vermutung, ich habe mit denen nix zu tun ) ist wahrscheinlich folgender: Werbung, damit das Produkt auch in den Firmen der privaten Nutzer eingesetzt wird.



Original von Buchtenbummler:

Was nix kost, is nix wert, oder es &quot;kostet&quot; was anderes (Werbung?) ...UMSONST arbeitet niemand..



Das ist falsch.

Gegenbeweis:
Linux ( wahrscheinlich tausende Programmierer ohne Entgelt !!!), Fernsteuersoftware VNC von Olivetti http://www.orl.co.uk/vnc , Netzwerksniffer http://www.ethereal.com und unzählbare andere geniale Programme.

Warum ist das Forum hier kostenlos ? Ist das schlecht ? Ich denke die Rechnung der Yacht geht auf. Mehr Publikum, mehr verkaufte Hefte... und die Redakteure sind am Puls des Seglers ...



Original von Buchtenbummler:
...UMSONST arbeitet niemand..


Du must da nicht von Dir auf andere schliessen.

Bis demnächst,
Michael


[ Dieser Beitrag wurde von michaelr am 29.01.2003 editiert. ]

achim
05.12.2001, 19:16
Hi Ihr, hoffendlich nicht verschnupften

also es gibt ihn wirklich für den privaten Gebrauch kostenlosen
Virenscanner.
Der Spruch was nix kostet taugt nix, ist dünnsinn! Und ist bestimmt sehr oft zu wiederlegen.

Das Antivirusprogramm arbeitet wirklich Super,fast täglich kann man ein Update runterladen, auf jedenfall sowie ein neuer Virus bekannt wird.
Wir arbeiten schon seit langem damit.
Kann ich nur jedem empfehlen, ich kenne einige PC-Freak&acute;s die ebenfalls mit diesem Programm arbeiten.

Wurde oben schon mal genannt, aber trotzdem nochmal:

http://www.free-av.de/


hoffe es hilft Euch weiter.
Gruss
achim