W32.Beagle.X@mm ist ein Massen-Mail-Wurm, der sich per Mail und über offene Netzwerkfreigaben verbreitet. Der Wurm öffnet außerdem eine Hintertür ("Backdoor") auf dem infizierten Computer.
Die Bedrohung wurde mit UPX komprimiert und hängt willkürliche Daten an sich selbst an, so dass die Datei nicht über einen statischen MD5-Wert verfügt.
Wenn der Wurm ausgeführt wird, zeigt er eine Meldung mit folgendem Text an:
Can't find a viewer associated with the file.
W32.Netsky.AB@mm
Bei W32.Netsky.AB@mm handelt es sich um einen Wurm, der auf dem infizierten Computer alle Laufwerke außer dem CD-ROM-Laufwerk nach E-Mail-Adressen durchsucht. Der Wurm verwendet anschließend eine eigene SMTP-Client-Engine, um sich selbst an die gefundenen E-Mail-Adressen zu senden.
Betreff, Nachrichtentext und Anhang der E-Mail variieren. Der Anhang hat eine .pif-Dateierweiterung.
W32.Beagle.W@mm
W32.Beagle.W@mm ist ein Massen-Mail-Wurm, der sich per Mail und über offene Netzwerkfreigaben verbreitet. Der Wurm öffnet außerdem eine Hintertür ("Backdoor") auf dem infizierten Computer.
Die Bedrohung kann mit UPX komprimiert sein und hängt willkürliche Daten an sich selbst an, so dass die Datei nicht über einen statischen MD5-Wert verfügt.
Wenn der Wurm ausgeführt wird, zeigt er eine Meldung mit folgendem Text an:
Can't find a viewer associated with the file.
W32.Netsky.X@mm
Bei W32.Netsky.X@mm handelt es sich um eine Variante von W32.Netsky.W@mm, die auf dem infizierten Computer alle Laufwerke außer dem CD-ROM-Laufwerk nach E-Mail-Adressen durchsucht. Der Wurm verwendet eine eigene SMTP-Engine, um sich selbst an die gefundenen E-Mail-Adressen zu senden.
Die Absenderadresse der E-Mail ist gefälscht und Betreff, Nachrichtentext und Anhang variieren. Der Anhang hat eine .pif-Dateierweiterung.
Diese Bedrohung wurde mit tELock komprimiert.
W32.Netsky.Y@mm
Bei W32.Netsky.Y@mm handelt es sich um eine Variante von W32.Netsky.X@mm, die auf dem infizierten Computer alle Laufwerke außer dem CD-ROM-Laufwerk nach E-Mail-Adressen durchsucht. Der Wurm verwendet anschließend eine eigene SMTP-Client-Engine, um sich selbst an die gefundenen E-Mail-Adressen zu senden.
Die E-Mail hat folgendes Format:
Betreff: Delivery failure notice (ID-<zufällige Zahl>)
Anhang: http://www.älliger Domänenname>.<zufälliger Benutzername>.session-<zufällige Zahl>.com
Diese Bedrohung wurde mit PE-Pack komprimiert
W32.Sober.F@mm
W32.Sober.F@mm ist eine Variante von W32.Sober.E@mm that spreads itself as an email attachment.
Betreff und Nachrichtentext der E-Mail variieren und sind auf Deutsch oder Englisch verfasst.
W32.Netsky.Q@mm
Der Wurm W32.Netsky.Q@mm hat folgende Eigenschaften:
Er ist ein Massen-Mail-Wurm, der aus zwei Komponenten besteht: Einem "Dropper" (der Dateien auf dem infizierten Computer ablegt) und einer Massen-Mail-Komponente.
Er verwendet eine eigene SMTP-Engine, um sich selbst an die E-Mail-Adressen zu senden, die er beim Durchsuchen der Festplatten findet.
Er nutzt die Sicherheitslücke Incorrect MIME Header Can Cause IE to Execute E-mail Attachment aus, so dass er auf Systemen ohne Patch beim einfachen Lesen einer infizierten Nachricht oder beim Anzeigen einer Vorschau bereits automatisch ausgeführt wird.
Die Absenderadresse der E-Mail ist gefälscht und Betreff und Nachrichtentext variieren. Der Name des Anhangs variiert ebenfalls und hat die Dateierweiterung .exe, .pif, .scr oder .zip.
W32.Beagle.U@mm
W32.Beagle.U@mm ist eine Variante von W32.Beagle.T@mm. Der Wurm sendet sich selbst als E-Mail. Betreffzeile und E-Mail enthalten keinen Text und die angehängte Datei hat einen willkürlichen Namen. Er öffnet außerdem eine Hintertür ("Backdoor") auf dem TCP-Port 475. Der Name des Anhangs ist eine willkürliche Zeichenfolge mit der Erweiterung .exe.
W32.Netsky.P@mm
W32.Netsky.P@mm ist ein Massen-Mail-Wurm, der eine eigene SMTP-Engine verwendet, um sich selbst an E-Mail-Adressen zu senden, die er beim Durchsuchen der Festplatten und zugeordneten Laufwerke findet. Der Wurm versucht außerdem, sich über verschiedene Dateifreigabeprogramme (auch "Filesharing-Programme") zu verbreiten, indem er sich selbst in verschiedene freigegebene Ordner kopiert.
Die Absenderadresse der E-Mail ist gefälscht und Betreff und Nachrichtentext der E-Mail variieren. Der Name des Anhangs variiert und hat die Dateierweiterung .exe, .pif, .scr oder .zip.
Der Wurm nutzt die Sicherheitslücke Incorrect MIME Header Can Cause IE to Execute E-mail Attachment aus, so dass er auf Systemen ohne Patch beim einfachen Lesen einer infizierten E-Mail oder beim Anzeigen einer Vorschau automatisch ausgeführt wird.
Diese Bedrohung wurde mit FSG komprimiert.
W32.Beagle.M@mm
W32.Beagle.M@mm ist ein polymorpher Massen-Mail-Wurm, der seine eigene SMTP-Engine zur Verbreitung per E-Mail verwendet. Genau wie die vorherigen Beagle-Varianten öffnet dieser Wurm eine Hintertür, auch "Backdoor" genannt (er überwacht den TCP-Port 2556), und versucht, sich über Dateifreigabe ("File Sharing")-Netzwerke zu verbreiten, indem er sich selbst in Ordner kopiert, deren Namen die Zeichenfolge "shar" enthalten. W32.Beagle.M@mm infiziert außerdem Dateien mit der Erweiterung .EXE.
Die E-Mail besitzt folgende Merkmale:
Von: Der Absender ist gefälscht und täuscht vor, von einer der folgenden Adressen in der Domäne des Empfängers zu kommen:
management
administration
staff
noreply
support
Betreff: Eine der folgenden Optionen:
Account notify
E-mail account disabling warning.
E-mail account security warning.
E-mail technical support message.
E-mail technical support warning.
E-mail warning
Email account utilization warning.
Email report
Encrypted document
Fax Message Received
Forum notify
Hidden message
Important notify
Important notify about your e-mail account.
Incoming message
Notify about using the e-mail account.
Notify about your e-mail account utilization.
Notify from e-mail technical support.
Protected message
RE: Protected message
RE: Text message
Re: Document
Re: Hello
Re: Hi
Re: Incoming Fax
Re: Incoming Message
Re: Msg reply
Re: Thank you!
Re: Thanks
Re: Yahoo!
Request response
Site changes
Anhang: Eine zufällig benannte .exe-Datei, die in einer .zip- oder .rar-Datei gespeichert ist, oder eine .pif-Datei. Die .zip- und .rar-Dateien sind möglicherweise kennwortgeschützt. Der Dateiname (ohne Erweiterung) kann einer der folgenden sein:
Attach
Details
Document
Encrypted
Gift
Info
Information
Message
MoreInfo
Readme
Text
TextDocument
details
first_part
pub_document
text_document
W32.Netsky.D@mm
Der Massen-Mail-Wurm W32.Netsky.D@mm ist eine Variante von W32.Netsky.C@mm. Der Wurm durchsucht die Laufwerke C bis Z nach E-Mail-Adressen und sendet sich selbst an die gefundenen Adressen.
Betreff, Nachrichtentext und Anhang der E-Mail variieren. Der E-Mail-Anhang hat eine .pif-Dateierweiterung.
W32.Netsky.C@mm
W32.Netsky.C ist ein Massen-Mail-Wurm, der eine eigene SMTP-Engine verwendet, um sich selbst an E-Mail-Adressen zu senden, die er beim Durchsuchen der Festplatten und zugeordneten Laufwerke findet. Dieser Wurm durchsucht außerdem die Laufwerke C bis Y nach Ordnern mit Namen, die die Zeichenfolge "Shar" enthalten, und kopiert sich selbst in diese Ordner.
Betreff, Nachrichtentext und Anhang der E-Mail variieren.
W32.Netsky.B@mm
W32.Netsky.B ist ein Massen-Mail-Wurm, der eine eigene SMTP-Engine verwendet, um sich selbst an E-Mail-Adressen zu senden, die er beim Durchsuchen der Festplatten und zugeordneten Laufwerke findet. Er durchsucht außerdem die Laufwerke C bis Z nach Ordnern mit Namen, die die Zeichenfolge "Share" oder "Sharing" enthalten, und kopiert sich selbst in diese Ordner.
Betreff, Nachrichtentext und Anhang der E-Mail variieren.
W32.Bugbear.B@mm
W32.Bugbear.B@mm hat folgende Eigenschaften:
Er ist eine Variante von W32.Bugbear@mm
Es ist ein Massen-Mail-Wurm, der sich über Netzwerkfreigaben verbreitet
Der Wurm ist polymorph und infiziert eine Auswahl von Programmdateien
Der Wurm kann Tastenanschläge protokollieren und eine sogenannte "Backdoor" (Hintertür) einrichten
Er versucht, die Prozesse verschiedener Antivirus- und Firewall-Programme zu beenden
Der Wurm nutzt die Sicherheitslücke Incorrect MIME Header Can Cause IE to Execute E-mail Attachment aus, um auf Systemen ohne Patch beim einfachen Lesen einer infizierten Nachricht oder beim Anzeigen einer Vorschau den Wurm automatisch auszuführen.
Außerdem enthält der Wurm Routinen, die sich besonders auf Finanzunternehmen auswirken. Aufgrund dieser Funktion sendet der Wurm sensitive Daten an eine von zehn fest integrierten öffentlichen Internet-E-Mail-Adresssen. Die gesendeten Daten beinhalten zwischengespeicherte Kennwörter und Tastaturprotokolldaten.
Da der Wurm die Netzwerkressourcenarten nicht ordnungsgemäß behandelt, werden gemeinsam genutzte Druckerressourcen überflutet, was zum Ausdruck von Datenmüll oder anderen Störungen des normalen Betriebs führt.
W32.SQLExp.Worm
W32.SQLExp.Worm ist ein Wurm, der Systeme angreift, in denen Microsoft SQL Server 2000 oder Microsoft Desktop Engine (MSDE) 2000 verwendet wird. Der Wurm sendet 376 Bytes an den Port des SQL Server-Namensauflösungsdienst (UDP-Port 1434).
Aufgrund der großen Anzahl an versendeten Datenpaketen verursacht der Wurm außerdem einen Denial-of-Service-Angriff.
W32.Klez.H@mm
W32.Klez.H@mm ist eine modifizierte Variante des Wurms W32.Klez.E@mm. Die Variante kann sich über E-Mail oder gemeinsame Netzwerkressourcen verbreiten. Sie kann zudem Dateien infizieren
CodeRed II
Der ursprüngliche CodeRed-Wurm war darauf programmiert, einen Denial-of-Service-Angriff auf den WebServer des Weißen Hauses durchzuführen. CodeRed ll hat einen anderen Auftrag: Dem Hacker wird ein vollständiger Fernzugriff auf den Webserver ermöglicht.
W32.Funlove.4099
W32.Funlove.4099
Entdeckt am: 08.11.1999
Zuletzt aktualisiert am: 29.12.2003
W32.FunLove.4099 verbreitet sich unter Windows 95/98/Me und Windows NT. Die Bedrohung infiziert Programme mit den Erweiterungen .exe, .scr und .ocx. Bei diesem Virus ist zu beachten, dass er eine neue Strategie verwendet, um das Dateisicherheitssystem von Windows NT anzugreifen, und dass er in Windows NT-Systemen als Dienst ausgeführt wird.
Auch bekannt als: Win32.FunLove.4070 [KAV], W32/FunLove.gen [McAfee], PE_FUNLOVE.4099 [Trend], W32/Flcss [Sophos], Win32.Funlove.4099 [CA]
Also achtet alle darauf das ihr euer System und das betribssystem immer auf den aktuellen stand haltet. TIP für Xp-Nutzer bitte öfter nachschauen, denn xp hat noch sehr viele Sicherheitslücken. Ich wurde heute von einen Wurm befallen, der sich nicht nur in das System frisst sondern auch das Dos und bios erändert. Leider gab es auch kein Erfolg nach dem ich die Festplatte formatiert hatte. nur nach dem ich alles erneuert hatte läuft mein PC wieder.
Es ist eine scheiß Arbeit so ein mistvie wieder rauszubekommen.
Achtet IMMER auf aktualisierte Erneuerungen und Viren-Scanner