Supportnet / Forum / PC-Sonstiges
Noch ein Virus???
Frage
Ich hatte gestern eine Mail, die leer war, keinen Anhang hatte und als Betreff lediglich "Re:" Danach versuchte eine Datei "shellex.exe" ins Internet zu gelangen, meine Firewall meldete sich jedoch. Dort tauchte das Programm nun als "Shell32" auf. Ich hab die Datei dann einfach weggelöscht, auch den Autostart-Eintrag der Registry. Ist das evtl. noch ein neuer Virus?
Antwort 1 von rocon
Hi Sutadur,
habe gleiche mail bekommen und sie sogar auf c gespeichert. Die Verknüpfung heißt bei mir "Fun.Mp3.pif"
habe AT5.5 laufen lassen, NAV gestartet und meine Firewall meldet auch keine unerlaubte Verbindung rauszu.
Hier ein paar Infos zum virus aus dem Net.
Selbstausführender Virus!
Email-Worm BadTrans II verbreitet sich sehr schnell!
Bereits vor mehreren Monaten war dieser Worm unterwegs.
Die neue Version nützt eine bereits bekannte Lücke in Outlook
um sofort ohne Warnung ausgeführt zu werden. Bereits das
Öffnen einer Email genügt, um den Trojaner-Worm zu aktivieren!
Abhilfe gegen derartige Attacken schafft ein Update des
Internet-Explorers auf Version 5.5 mit Service-Pack 2 bzw.
Version 6. Gefahr besteht bei MS Outlook und MS Outlook Express.
Der Worm schickt sich selbst an alle Email-Adressen weiter,
die er in den Temporary Internet Files (Cache) des Internet-
Explorers findet. Zudem wird ein Trojaner im System installiert,
mit dem Ihre Daten ausgespäht werden können.
Wenn Sie eine Email mit dem Betreff "Re:" erhalten, schalten Sie
die Auto-Vorschau ab und löschen Sie diese Email sofort.
Sollte Ihr System dennoch infiziert werden, können Sie den
Trojaner mit dem neuesten Signaturen-Update von Anti-Trojan 5.5
entfernen.
URL: http://www.anti-trojan.net/?download
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Wie löschen?
von wolf boesebeck (leipzigerwolf@gmx.net), 27.11.2001
1. internet-zugang schließen - am besten kabel raus
2. mail löschen, auch im ordner "gelöschte Nachrichten" sowie ggf. in den temp.internet-files
3. suchen und löschen der datei CP_25389.nls (normalerweise im windowssystem-verzeichnis)
4. regedit starten
5. unter HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>RunOnce den wert "kernel32" rechts klicken und löschen
6. pc neu starten und virusprogramm zur sicherheit erneut scannen lassen.
der virus wurde bei mir übrigens von der online-virenprüfung von trendmicro nicht entdeckt, obwohl sich die virendatei (bei mir setup.doc.scr) ebenso wie die erzeugte datei CP_25389.nls im c-root befand...
Gruss Roli
habe gleiche mail bekommen und sie sogar auf c gespeichert. Die Verknüpfung heißt bei mir "Fun.Mp3.pif"
habe AT5.5 laufen lassen, NAV gestartet und meine Firewall meldet auch keine unerlaubte Verbindung rauszu.
Hier ein paar Infos zum virus aus dem Net.
Selbstausführender Virus!
Email-Worm BadTrans II verbreitet sich sehr schnell!
Bereits vor mehreren Monaten war dieser Worm unterwegs.
Die neue Version nützt eine bereits bekannte Lücke in Outlook
um sofort ohne Warnung ausgeführt zu werden. Bereits das
Öffnen einer Email genügt, um den Trojaner-Worm zu aktivieren!
Abhilfe gegen derartige Attacken schafft ein Update des
Internet-Explorers auf Version 5.5 mit Service-Pack 2 bzw.
Version 6. Gefahr besteht bei MS Outlook und MS Outlook Express.
Der Worm schickt sich selbst an alle Email-Adressen weiter,
die er in den Temporary Internet Files (Cache) des Internet-
Explorers findet. Zudem wird ein Trojaner im System installiert,
mit dem Ihre Daten ausgespäht werden können.
Wenn Sie eine Email mit dem Betreff "Re:" erhalten, schalten Sie
die Auto-Vorschau ab und löschen Sie diese Email sofort.
Sollte Ihr System dennoch infiziert werden, können Sie den
Trojaner mit dem neuesten Signaturen-Update von Anti-Trojan 5.5
entfernen.
URL: http://www.anti-trojan.net/?download
<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
Wie löschen?
von wolf boesebeck (leipzigerwolf@gmx.net), 27.11.2001
1. internet-zugang schließen - am besten kabel raus
2. mail löschen, auch im ordner "gelöschte Nachrichten" sowie ggf. in den temp.internet-files
3. suchen und löschen der datei CP_25389.nls (normalerweise im windowssystem-verzeichnis)
4. regedit starten
5. unter HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>RunOnce den wert "kernel32" rechts klicken und löschen
6. pc neu starten und virusprogramm zur sicherheit erneut scannen lassen.
der virus wurde bei mir übrigens von der online-virenprüfung von trendmicro nicht entdeckt, obwohl sich die virendatei (bei mir setup.doc.scr) ebenso wie die erzeugte datei CP_25389.nls im c-root befand...
Gruss Roli
Antwort 2 von -mr(ohne keks)
sorry weiss leider keine antwort aber wollte mal fragen wo man im internet ne gute deutsche kostenlose firewall bekommt (für xp ?)
thx
-mr
thx
-mr
Antwort 3 von Kampfgurke
Hab diesen Wurm! Wie verschickt der die Emails? Ueber Outlook? Dann muesste ich ja abgeschickte mails sehen. Oder schickt der das ueber "Kernel32.exe"? Das hat naemlich Zonealarm verhindert. Versuche den Wurm zu loeschen, aber mich interessiert, ob ich schon mails verschickt habe bzw. Tastatureingaben.
THX
THX
Antwort 4 von Sir_Hilly
@gurke:
Kernel32.exe is der Wurm/Trojaner der auch die mails verschickt.
Desweiter gibts noch die kdll.dll die die Tastatureingaben logt.
Ausserdem werden alle passwörter die im cache liegen mitversandt also unbedingt nach dem desinfizieren das passwort beim provider ändern und gegebenenfalls alle andern die gecached waren.
original-text aus der virusliste:
I-Worm.BadtransII
Win32, 29K (compressed by UPX, about 70K decompressed).
-Worm.BadtransII
This is a worm that spreads under Win32 systems. The virus sends e-mail messages with infected files attached, as well as installs a spying Trojan component to steal information from infected systems. The worm was discovered in-the-wild in November 2001.
The worm itself is a Win32 executable file (PE EXE file). It was found in-the-wild in compressed form, and is about 29Kb in size. Upon being decompressed, the worm file length becomes about 60Kb in size.
The worm consists of two main components, the Worm and Trojan. The "Worm" component sends infected messages, and the "Trojan" component sends out information (users info, RAS data, cached passwords, keyboard log) from infected computers to a specified e-mail address. It also keeps a "leylogger" program body in its code, and installs it into the system while infecting a new machine.
Infecting the system
When an infected file is run (when a user clicks on an attached file and activates it, or if the worm gains control through an IFRAME security breach), the worm code gains control. First of all, it drops (installs) its components to the system and registers in the system registry.
The installed Trojan file-name, the target directory and registry key are optional. They are stored in encrypted form in the Trojan file at the file end. A hacker may configure them before sending them to a victims machine, or before putting it on a Web site.
The worm also drops an additional keyboard hooker (Win32 DLL file) to the system, and then uses this to spy on text entered by a keyboard. The DLL file name is optional as well.
Other optional features are:
- the worm deletes original infected file when installation is complete
- the size of keyboard log file
Spreading
To send infected messages, the worm uses a direct connection to an SMTP server. A victims e-mail addresses are obtained in two different ways:
#1. The worm scans *.HT* and *.ASP files and extracts e-mail addresses from here
#2. The worm, using MAPI functions, reads all e-mail from the incoming box, and obtains e-mail addresses from here.
Next, the worm sends infected messages. The message body contains HTML format, and uses an IFRAME breach to spawn an infected attachment on vulnerable machines.
The message fields are as follows:
From: - original sender, or fake address, randomly selected from:
" Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
" Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
" Administrator"
" Admin"
"Support"
"Monika Prado"
"Mary L. Adams"
" Anna"
"JUDY"
"Tina"
Subject: empty, or "Re:", or "Re:" followed by original Subject from real Inbox messsage (see #2 above)
Body: empty
Attachment: randomly selected "filename + ext1 + ext2" where:
"Filename":
Pics (or PICS ) Card (or CARD)
images (or IMAGES) Me_nude (or ME_NUDE)
README Sorry_about_yesterday
New_Napster_Site info
news_doc (or NEWS_DOC) docs (or DOCS)
HAMSTER Humor (or HUMOR)
YOU_are_FAT! (or YOU_ARE_FAT!) fun (or FUN)
stuff SEARCHURL
SETUP S3MSONG
"ext1": .DOC .ZIP .MP3
"ext2": .scr, .pif
For example: "info.DOC.scr"
The worm doesnt send infected messages twice to the same address. To do this, it stores all infected e-mails in the Windows system directory in a PROTOCOL.DLL file, and checks this file content before sending a new message.
Found In-The-Wild
This worm variant found in-the-wild on November 24, 2001 has the following options:
It installs itself to a Windows system directory with the KERNEL32.EXE name, and registers it in the following registry key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce Kernel32 = kernel32.exe
It drops a keyboard hooker with the KDLL.DLL name, and sends stolen info to the "uckyjw@hotmail.com" e-mail address. The log info is stored in the Windows system directory with the CP_25389.NLS name.
Gruß
Kernel32.exe is der Wurm/Trojaner der auch die mails verschickt.
Desweiter gibts noch die kdll.dll die die Tastatureingaben logt.
Ausserdem werden alle passwörter die im cache liegen mitversandt also unbedingt nach dem desinfizieren das passwort beim provider ändern und gegebenenfalls alle andern die gecached waren.
original-text aus der virusliste:
I-Worm.BadtransII
Win32, 29K (compressed by UPX, about 70K decompressed).
-Worm.BadtransII
This is a worm that spreads under Win32 systems. The virus sends e-mail messages with infected files attached, as well as installs a spying Trojan component to steal information from infected systems. The worm was discovered in-the-wild in November 2001.
The worm itself is a Win32 executable file (PE EXE file). It was found in-the-wild in compressed form, and is about 29Kb in size. Upon being decompressed, the worm file length becomes about 60Kb in size.
The worm consists of two main components, the Worm and Trojan. The "Worm" component sends infected messages, and the "Trojan" component sends out information (users info, RAS data, cached passwords, keyboard log) from infected computers to a specified e-mail address. It also keeps a "leylogger" program body in its code, and installs it into the system while infecting a new machine.
Infecting the system
When an infected file is run (when a user clicks on an attached file and activates it, or if the worm gains control through an IFRAME security breach), the worm code gains control. First of all, it drops (installs) its components to the system and registers in the system registry.
The installed Trojan file-name, the target directory and registry key are optional. They are stored in encrypted form in the Trojan file at the file end. A hacker may configure them before sending them to a victims machine, or before putting it on a Web site.
The worm also drops an additional keyboard hooker (Win32 DLL file) to the system, and then uses this to spy on text entered by a keyboard. The DLL file name is optional as well.
Other optional features are:
- the worm deletes original infected file when installation is complete
- the size of keyboard log file
Spreading
To send infected messages, the worm uses a direct connection to an SMTP server. A victims e-mail addresses are obtained in two different ways:
#1. The worm scans *.HT* and *.ASP files and extracts e-mail addresses from here
#2. The worm, using MAPI functions, reads all e-mail from the incoming box, and obtains e-mail addresses from here.
Next, the worm sends infected messages. The message body contains HTML format, and uses an IFRAME breach to spawn an infected attachment on vulnerable machines.
The message fields are as follows:
From: - original sender, or fake address, randomly selected from:
" Anna"
"JUDY"
"Rita Tulliani"
"Tina"
"Kelly Andersen"
" Andy"
"Linda"
"Mon S"
"Joanna"
"JESSICA BENAVIDES"
" Administrator"
" Admin"
"Support"
"Monika Prado"
"Mary L. Adams"
" Anna"
"JUDY"
"Tina"
Subject: empty, or "Re:", or "Re:" followed by original Subject from real Inbox messsage (see #2 above)
Body: empty
Attachment: randomly selected "filename + ext1 + ext2" where:
"Filename":
Pics (or PICS ) Card (or CARD)
images (or IMAGES) Me_nude (or ME_NUDE)
README Sorry_about_yesterday
New_Napster_Site info
news_doc (or NEWS_DOC) docs (or DOCS)
HAMSTER Humor (or HUMOR)
YOU_are_FAT! (or YOU_ARE_FAT!) fun (or FUN)
stuff SEARCHURL
SETUP S3MSONG
"ext1": .DOC .ZIP .MP3
"ext2": .scr, .pif
For example: "info.DOC.scr"
The worm doesnt send infected messages twice to the same address. To do this, it stores all infected e-mails in the Windows system directory in a PROTOCOL.DLL file, and checks this file content before sending a new message.
Found In-The-Wild
This worm variant found in-the-wild on November 24, 2001 has the following options:
It installs itself to a Windows system directory with the KERNEL32.EXE name, and registers it in the following registry key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce Kernel32 = kernel32.exe
It drops a keyboard hooker with the KDLL.DLL name, and sends stolen info to the "uckyjw@hotmail.com" e-mail address. The log info is stored in the Windows system directory with the CP_25389.NLS name.
Gruß
Antwort 5 von Kampfgurke
@Sir Hilly:
Danke Dir. Also "Kernel32.exe" ist zum Glueck von Zonealarm aufgehalten worden. "KDLL.dll", "Kernel32.exe" und "CP_25389.nls" und der Registryeintrag sind geloescht. Werde mir sofort einen aktuellen Virenscanner besorgen. THX fuer die Infos
Gruss
Danke Dir. Also "Kernel32.exe" ist zum Glueck von Zonealarm aufgehalten worden. "KDLL.dll", "Kernel32.exe" und "CP_25389.nls" und der Registryeintrag sind geloescht. Werde mir sofort einen aktuellen Virenscanner besorgen. THX fuer die Infos
Gruss