News-Archiv für IT-Nachrichten und Informationen

Die Hacker-Angriffe auf Zugangsdaten zu persönlichen E-Mail-Konten weiten sich aus. Zwei weitere große Mail-Anbieter mussten eingestehen, dass ihre Postfächer geknackt wurden.

Nach dem Anbieter Hotmail gaben am Dienstag auch die Mitbewerber Yahoo und Google bekannt, dass Passwörter von Privatkonten im Internet veröffentlicht worden seien. Die betroffenen Nutzer müssten die Passwörter für ihre E-Mail-Konten ändern, um den unbefugten Zugriff zu verhindern, teilten die Unternehmen mit.

Am Vortag hatte der zum Microsoft-Konzern gehörende Anbieter Hotmail mehr als 10 000 Konten sperren müssen, nachdem Hacker die Passwörter geknackt haben. Wie viele E-Mail-Konten bei Yahoo und bei Googles E-Mail-Sparte Gmail betroffen waren, war zunächst unklar. Ein Vertreter von Gmail sprach von einer „kleinen Zahl“, bei Yahoo war von eine „begrenzten Anzahl“ die Rede.

Branchenweites Problem

Hotmail, Yahoo und Gmail erklärten übereinstimmend, dass die Zugriffe auf die persönlichen Daten nicht durch Lücken in den Sicherheitsprogrammen, sondern durch so genanntes Phishing zustande gekommen seien. Dabei werden Nutzer etwa mit betrügerischen E-Mails zur Preisgabe geheimer Daten gebracht. Die Unternehmen riefen die Nutzer zu Vorsicht auf
und rieten, regelmäßig die Passwörter für die E-Mail-Konten zu ändern.

Ein Microsoft-Sprecher betonte, dass es sich nicht um eine Sicherheitslücke bei Microsoft gehandelt habe, sondern um ein „branchenweites Problem“.

Microsoft appellierte an die Kunden, mindestens alle 90 Tage ihre Passwörter zu ändern. Sie sollten dabei zum Beispiel aus den Anfangsbuchstaben der Wörter eines Satzes unübliche Buchstabenkombinationen bilden oder Sonderzeichen und Zahlen einfließen lassen. Zum Schutz vor Phishing sollten Nutzer außerdem unbedingt eine aktuelle Virenschutz-Software verwenden, um sich der «Trojaner» zu erwehren. Kunden sollten bei E-Mails außerdem sehr vorsichtig mit unbekannten Anhängen oder Internet-Links sein.

Zur Zeit ist ein Computervirus ‘I Love You’ im Umlauf. Falls Sie ein eMail mit Titel oder Thema ‘I Love You’ erhalten haben. Löschen Sie dieses eMail sofort und lesen es nicht. Selbst wenn Ihnen der Absender bekannt ist.

Diese Warnung erhielten wir aufgrund eines Rundmail von einem Kooperationspartner.

I LOVE YOU: Gegenmaßnahmen Der Wurm VBS/LoveLetter, der sich seit heute morgen, rasant im Internet verbreitet, lässt sich von Hand entfernen. Außerdem ist zu erwarten, dass alle namhaften Anti-Virus-Softwareanbieter in Kürze Updates bereit stellen, die den Wurm erkennen und unschädlich machen können – einige Anbieter haben bereits reagiert. Bitte prüfen Sie bevorzugt die WWW-Angebote Ihres Virenscanner-Herstellers. Apple-Macintosh- und Linux/Unix-Anwender sind von dem Wurm grundsätzlich nicht betroffen, da diese Systeme kein VB-Script unterstützen.

Anzeichen für einen Wurmbefall auf Windows-Computern sind die Dateien Win32DLL.vbs im Windows-Verzeichnis und MSKernel32.vbs im Windows-Systemverzeichnis. Zur Entfernung von LoveLetter müssen diese Dateien gelöscht werden. Löschen Sie darüber hinaus die Dateien LOVE-LETTER-FOR-YOU.HTM und LOVE-LETTER-FOR-YOU.TXT.vbs im Systemverzeichnis. Außerdem hat der Wurm vermutlich alle erreichbaren Dateien mit den Erweiterungen VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, MP3, MP2, JPG und JPEG befallen, mit seinem eigenen Code überschrieben und ggf. zusätzlich “.vbs” angehängt. Auch diese Dateien sollten gelöscht werden.

Wer keinen Virenscanner zur Bestätigung des Wurmbefalls nutzen kann, sollte vor dem Löschen zumindest einen flüchtigen Blick auf die Dateilänge werfen (oder die Dateien umsichtig mit einem Texteditor öffnen und den enthaltenen Code prüfen): Infizierte Dateien enden auf .js.vbs, jpg.vbs usw. und haben eine Größe von circa 10 KByte. Im Zweifelsfall empfiehlt sich eine Sicherungskopie vor dem Löschen.

Auch in der Registry verewigt sich LoveLetter: Über die Registry-Keys HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 und HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL wird der Wurm nach jedem Booten neu gestartet – diese Registrierungsschlüssel sollten mit dem Registrierungseditor (Startmenü/Ausführen/Regedit) gelöscht werden. Aber Achtung: Manipulationen an der Registry bitte mit äußerster Umsicht durchführen. Weiterhin verewigt sich der Wurm in HKCU\Software\Microsoft\Internet Explorer\Main\Start Page mit einem Downloadlink für ein Hintertürprogramm; nach erfolgtem Download und Neustart des Wurms setzt LoveLetter diesen Key jedoch wieder auf eine leere Seite.

Falls die Hintertür geladen wurde, muss auch sie entfernt werden: Dazu löschen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX und die Datei WIN-BUGSFIX.EXE unter dem angegebenen Speicherort; ggf. sollten Sie die Datei über die Windows-Suche lokalisieren.

Nicht zuletzt versucht LoveLetter, sich per E-Mail zu verbreiten: Sofern ihm das gelingt, legt er für jede versandte Mail einen Schlüssel unter HKEY_CURRENT_USER\Software\Microsoft\WAB\ an. Wer dort Einträge findet, sollte die betroffenen Bekannten beziehungsweise Korrespondenzpartner warnen, dass sie eine gefährliche E-Mail erhalten haben. Anschließend können diese Keys ebenfalls gelöscht werden. Wer den Chatclient mIRC auf seinem Rechner installiert hat, muss weiterhin die neu angelegte Datei script.ini entfernen, die den Wurm an Chatpartner versendet.

Als generelle Vorsichtsmaßnahme empfiehlt es sich, den Windows Scripting Host im Windows-Setup (Einstellungen: Software) zu deinstallieren, sofern man ihn nicht regelmäßig benutzt.

“I LOVE YOU”-Virus und kein Ende

Nachdem der “I LOVE YOU” Virus seit letztem Donnerstag früh die Onlinewelt ausgeschreckt hat und auch alle Zeitungen und Nachrichtensendungen versucht haben, die weltweit entstandenen Schäden hochzurechnen, sind wieder neue Varianten ausgetaucht, die den Betreff “”Funny News”, “Joke” und “Susitikim” im Header tragen.

Weitere Informationen zu F-Secure und der neuen Warnung:
http://www.europe.f-secure.com/news/2000/news_2000050500.html

Warnung Nr. 1
Wenn Sie irgendeinen CELCOM-Bildschirmschoner empfangen. Bitte installieren Sie ihn nicht! Dieser Bildschirmschoner ist sehr cool. Er zeigt ein NOKIA-Handy, mit Zeitmeldungen. Nachdem es aktiviert ist, kann der PC überhaupt nicht mehr booten. Er geht sehr langsam. Dieser Bildschirmschoner zerstört Ihre Festplatte. Der Dateiname ist CELLSAVER.exe.

Auch AOL sagt das dieses ein sehr gefährlicher Virus ist und dass es noch kein Hilfsmittel dafür gibt.

Einführung
Ein sog. Trojanisches Pferd ist ein Programm, welches unerlaubte Funktionen im Hintergrund erledigt. Ein Trojanisches Pferd kann sich hinter einem Update oder irgendeinem anderen Vorwand tarnen. Häufig passiert es, dass man Emails ( z.B. bei AOL!) von irgendwelchen Fremden bekommt, mit dem Vorwand, es sei ein Programm für die Aktualisierung der Software von AOL4 auf AOL5. Solche Dateien darf man auf keinen Fall runterladen bzw. starten. Nach dem Starten eines solchen Programms, sollte man auf keinen Fall online gehen. Es gibt 2 Arten von Trojanern. Einmal die Gruppe der Client/Server Trojaner, und die andere der Direct Action Trojanern. Um die erste Gruppe zu erklären:Arten von Trojanischen Pferden
Ein Client/Server Trojaner wie z.B. Back Orifice, NetBus, DeepThrout, Sub7 oder NetForce kann selbständig keine Daten erspähen, warten aber darauf Befehle zu erhalten um dementsprechend zu antworten. Das bedeutet also, dass am Trojaner infizierten Computer ein Port offen ist, auf dem empfangen wird. In dem Moment, dass dieser Port Daten empfängt, antwortet er mit dementsprechendem Resultat. Als Beispiel wird gesendet ” Passwörter”, so heißt dies “sende mir sämtliche System Passwörter”. Somit können andere Zugriff auf Ihre Daten erlangen und unbefugt auf Ihre Kosten online gehen. Des weiteren bieten diese Trojaner eine weitaus größere Tabelle an Optionen, z.B. Festplattenzugriff, Port Redirect(Port Umleitung), Prozeß View und viele andere, die Privatsphäre verletzende Dinge.

Die zweite Gruppe der Trojaner die sog. Direct Action Trojaner suchen sämtliche wichtige Daten und Passwörter zusammen, speichern diese ab und warten bis man online geht, nachdem die Verbindung zum Internet erstellt worden ist, sendet der Trojaner die gespeicherten Daten an eine Email Adresse. Diese können dann auf ihre kosten für illegale Zwecke verwendet werden.

Entfernen von Trojanischen Pferde
Stufe1:
Installieren Sie eine z.B. Zeitlimitierte Test Version von AVP oder Norton AV und überprüfen Sie ihr System damit nach bereits bekannten Viren und Trojanern. Damit kann man sich sehr viel Arbeit sparen. Scannen Sie ihre lokalen Festplatten und finden Sie unsaubere Stellen in ihrem System.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run                    (startet Programme nach dem Einloggen)

UND

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices       (startet Programme noch vor der Windows Anmeldung)

Stufe2 :
Gehen Sie auf Start->Datei Ausführen -> und geben Sie ein: regedit.exe dann drücken Sie auf OK und der System Registrierungseditor startet. Nun haben Sie eine Liste von 6 Root Keys für Sie uninteressant. Suchen Sie nach “HKEY_LOCAL_MACHINE” und klicken Sie einfach mal auf das +, es öffnen sich subkeys, nun müssen Sie lediglich diesem Prinzip folgen und gehen Sie den beiden oben genannten Verzeichnissen durch bis Sie zum Schluss angekommen sind. Wenn Sie dann auf Run und RunServices gehen werden alle Programme mit Pfad angezeigt die gestartet werden. Gucken Sie sich die Namen der ‘Exe’n an und deren Pfade, wenn ihnen etwas auffällig ist starten Sie das Programm einfach, wenn nichts passiert ist es eine Warnung! Nehmen Sie in diesem Fall die Zeile indem Sie darauf klicken und mit rechter Maustaste auf entfernen klicken. Nun starten Sie ihren PC neu und senden wenn Sie können, die noch erhaltene Datei über das Live Submit eines jeden Anti Viren Programms an das Viren Labor um nähere Informationen zu erhalten.

Stufe3:
Wenn Sie nichts gefunden haben, schauen Sie sich in ihrem Windows Verzeichnis die Datei Win.ini an. Wenn auf den Zeilen “RUN =” UND “LOAD =” irgendwelche Exe Namen stehen also z.B.: “RUN= C:\windows\patch.exe” (oftmals verschoben damit man es nicht auf den ersten Blick sehen kann also scrollen Sie nach rechts!) so handelt es sich höchstwahrscheinlich um einen Trojaner. Löschen Sie den Eintrag und rebooten Sie ihren Computer. Wenn Daten bereits versendet worden sind, können Sie nicht mehr machen als alle ihre Passwörter  ändern. Löschen Sie die, als Beispiel “patch.exe” nicht, wenn Sie den gleichen Trojaner erneut starten sollten wird er denken dass er bereits installiert ist indem er überprüft ob er schon in C:\windows\patch.exe vorhanden ist und wenn dies der Fall ist, wird er sich nicht erneut laden.

Vorbeugen gegen Trojanische Pferde
Für den normal Verbraucher ist es relativ schwierig auf tiefer Systemebene funktionierende Trojaner zu entdecken. Dennoch kann man Tipps geben die zu einer möglichen Entfernung beitragen können. Als erstes empfiehlt es sich keine Programme aus unbekannter Herkunft runterzuladen. Oft werden Programme auch mit gefälschter Email Adresse verschickt, damit Sie denken “diese Email ist OK”. Warnung! Wenn Sie nichts erwarten laden Sie nichts runter, wenn Sie einen Text finden wie “Probier mal das Programm aus, ist ziemlich gut” wieder mal Warnung, solche Emails könnten als Massen Mails an Tausende geschickt worden sein und der Text ist immer relativ neutral. Ein Beispiel davon finden Sie auf der CCC (Chaos Computer Club) Seite. Als die Premiere Decoder rauskam, verschickte jemand (Trojaner oder Virus unbekannt) Emails mit dem Absender des CCC. Hier eine Warnung vom CCC:

Solche Warnungen sollte man sich ernst nehmen, weil es im Internet immer Leute geben wird denen bestimmte Informationen interessant sind. Daher werden Attacken immer stattfinden, nur die Verteidigung muss besser sein. Genau dies werde ich ihnen in einer leichter Form näher bringen. Wahrscheinlich ist ihr Computer nicht befallen wenn Sie nicht häufig im IRC sind und Programme und ähnliches was Sie von Leuten gesagt bekommen haben. Nur für den Routine Check.

Virenangriff über HTML-Seiten. Bedroht das Internet unsere Rechner? Wir haben die Erreger für Sie unter die Lupe genommen

Computer-Viren sind schon seit DOS-Zeiten eine bekannte Gefahr. Durch Shareware, Raubkopien und in Ausnahmefällen auch durch kommerzielle Software gelangen diese Parasiten auf Ihren PC. Nun droht diese Seuche auch auf das Internet überzugreifen. Im November letzten Jahres wurden die ersten Viren entdeckt, die sich über HTML-Seiten verbreiten. Immer neue Panikmeldungen verunsicherten natürlich die Web-Gemeinde. Bisher konnten sich Viren nur dadurch verbreiten, wenn ein bestimmter Code, der in einem Programm versteckt war, ausgeführt wurde. Reicht jetzt bereits das bloße Ansehen einer Seite im Internet aus, um sich einen Virus einzufangen? Führt das harmlose Surfen im Internet am Ende zu einem virenverseuchten Rechner und den Verlust von Daten ?INTERNET-VIREN?
Die meisten Meldungen sprechen von “HTML-Viren”. Dieser Begriff ist jedoch irreführend. Eigentlich handelt es sich bei dieser Art von Viren um Script-Viren, die HTML-Dateien befallen bzw. in diesen eingelagert werden. Reine HTML-Seiten können also niemals Viren enthalten, hierzu ist immer ein ausführbarer Code erforderlich. Spätestens seit der Version 3 unterstützen die Browser der Firmen Netscape und Microsoft die Ausführung von Scripting-Sprachen, wie Java-Script und Visual Basic Script (VBScript) -ebenso wie das Mailprogramm Outlook Express. Diese Erweiterungen ermöglichen erst die Realisierung eines Virus. Beim Aufruf einer HTML-Seite wird dann ein Script, das in den Quellcode der Seite integriert ist, ausgeführt. Dieses kann dann beispielsweise seinen eigenen Code an HTML-Dateien, die es auf der Festplatte des Benutzers findet, anhängen und so für die weitere Verbreitung sorgen.

Dieses eMail fanden wir heute in unserem eMail-Postkasten und waren sofort der Meinung, dass wir diese Virenwarnung unseren Besuchern nicht vorenthalten dürfen.

Die E-Mail beinhaltet einen Virus und löscht jede Information auf der Festplatte!!!!

Virus mit Foto vom Tennisstar Kurnikowa löst eMail-Flut aus

Mit der aktuellsten Anti-Viren-Version für Windows 2000 sind Nutzer Microsoft zufolge jedoch vor dem Wurm weitgehend geschützt. Selbst wenn sie das Attachment anklickten, erhielten sie einen Warnhinweis. (yh//AFP)

Die Antivirus-Spezialisten von Network Associates (NAI)warnen Benutzer des eMail-Programms Microsoft Outlook vor einem neuen eMail-Wurm. Der Computervirus namens ”Naked Wife” versteckt sich in einer eMail mit dem Betreff ”FW: Naked wife”. Die Nachricht ”> My wife never look like that! :-)” soll dazu verlocken, den Anhang mit Namen ”NakedWife.exe” zu öffnen. Dort wartet allerdings keine nackte Frau, sondern ein zerstörerischer Wurm, der alle Dateien im Windows- und System-Verzeichnis mit den Endungen EXE, DLL, COM, INI, BMP, LOG löscht. Hat der Wurm seine Arbeit erledigt, muss in den meisten Fällen das gesamte System neu installiert werden.

Wer ”Naked Wife” in seiner Mailbox findet, sollte die eMail sofort löschen, ohne den Anhang zu öffnen.

Wurm und Trojaner im Paket

Den E-Mail-Wurm erkennt man nur recht schwer, da er auf eingegangene E-Mails reagiert und so wie eine normale E-Mail-Antwort aussieht. So behält der Wurm den Betreff bei und fügt lediglich das typische ”Re:” dazu. Außerdem zitiert er die Original-Mail und setzt den recht unverfänglichen Text ”Take a look to the attachment.” als Antwort unter das Zitat. Auch am Dateianhang selbst lässt sich der Wurm nicht ausmachen, denn er pickt sich hier zufällig einen Dateinamen von über zehn möglichen Namen heraus, die entweder auf SCR oder PIF enden.

Quelle: www.golem.de vom 17.04.2001

Der Softwarehersteller Symantec warnt vor einem neuen Mail-Wurm, der möglicherweise mit guten Absichten geschrieben wurde. Der Visual-Basic-Wurm “Noped” werde als Anhang einer E-Mail verschickt, so das Unternehmen. Nach seiner Aktivierung zeige er eine Testdatei und durchsuche die Festplatte von Windows-Rechnern nach Dateien mit Kinderpornographie.

Die Betreffzeile der Mail, mit der Noped zur Zeit verschickt wird, lautet: “FWD: Help us all to end illegal child porn now”. Die Datei im Anhang heißt: “End illegal child porn now.txt” .

W32/MsWorld@MM ( Alias:Win32/MsWorld.A, World.EXE.Worm, Worm.MSWorld.A ) ist ein Mass-Mailing-Wurm der sich über Outlook verbreitet.

Nach diesen Änderungen zeigt W32/MsWorld@MM dann einen Flash-Film mit folgenden Fotos gezeigt: 

Unser Rat an alle User: Öffnen sie niemals Attachements unbekannter Herkunft oder mit verdächtigen Namen. Möge diese auch noch so verlockend klingen!

Hersteller von Antiviren-Software warnen vor bisher ungesehenen Gefahren

Laut Cluley sollten Unternehmen darüber nachdenken, Instant Messaging zu verbieten. “Dieser Virus hier kommt auch hinter ein Gateway mit Virenscanner”, so Cluley. 

Quelle: www.zdnet.de vom 15.06.01

Nein, wir sprechen nicht von der Furcht einflößenden Sommergrippe (auf die entsprechenden Schreckensschlagzeilen werden wir allerdings auch nicht mehr lange warten müssen. Alle Jahre wieder, pünktlich zur Saure-Gurken-Zeit in der deutschen Presselandschaft…) - ein elektronischer Schädling ist es, der Netzwerkadministratoren und hilflosverzweifelte Nutzer derzeit gleichermaßen in Atem hält.

Falls Sie der von einer geheimnisvollen Datei ausgehenden Versuchung nicht widerstehen konnten (”Ui, was mag da wohl drinstehen?” - KLICK.) und Ihren Rechner bereits infiziert haben, hilft Ihnen diese Seite weiter: http://www.trendmicro.de/virinfo/0109.htmlHier ein Auszug der Trendmicro-Seite: Dateivirus: TROJ_SIRCAM.A (17.07.01)

Der destruktive Trojaner verbreitet sich via eMail und tangiert die Plattformen WIN 9x, WIN NT sowie WIN 2000. Wird er ausgeführt, plaziert er eine “SCam32.exe” Datei im Systemverzeichnis (in einigen Fällen zusätzlich eine Scd.dll). TROJ_SIRCAM.A ist an ein eMail angehängt, die englisch oder spanisch ist:

Subject: (zufällig gewählter Name, entspricht aber dem Attachmentnaming)
Message body:
Hi! How are you?
I send you this file in order to have your advice OR I hope you can help me with this file that I send OR I hope you like the file that I send you OR This is the file with the information that you ask for
See you later. Thanks
Attachment: (zufällig gewählter Name, entspricht aber dem Subjectnaming)

oder

Subject: (zufällig gewählter Name, entspricht aber dem Attachmentnaming)
Message body:
Hola como estas ?
Te mando este archivo para que me des tu punto de vista OR Espero me puedas ayudar con el archivo que te mando OR Espero te guste este archivo que te mando OR Este es el archivo con la informacion que me pediste
Nos vemos pronto, gracias.
Attachment: (zufällig gewählter Name, entspricht aber dem Subjectnaming)

Da er ein eigenes SMTP-Modul beinhaltet, muss der Trojaner nicht auf die üblichen eMail-Applikationen zurückgreifen, um sich verbreiten zu können.

Um bei jedem Neustart aktiv werden zu können, erstellt TROJ_SIRCAM.A folgenden Eintrag in der Registry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Driver32 = “C:\Windows\System\Scam32.exe”

Zusätzlich modifiziert der Virus folgenden Eintrag:

HKEY_CLASSES_ROOT\exefile\shell\open\command = “”%1″%*”
den er umschreibt auf:
HKEY_CLASSES_ROOT\exefile\shell\open\command = “”C:\Recycled\SirC32.exe” “%1″%*”

Dadurch kann er ausgeführt werden jedesmal wenn eine *.EXE Datei ausgeführt wird.

Seine Daten lagert er in folgendem Eintrag ab:

HKEY_LOCAL_MACHINE\Software\SirCam

Entfernen Sie den Trojaner mit dem FIX-Tool:

• Laden Sie sich fix_sircam.com und starten Sie diese Datei - damit scannen Sie das Laufwerk C: mit Unterverzeichnissen
• Wird der Trojaner gefunden, können Sie zwischen löschen und nicht löschen wählen
• Durch das Tool werden auch die modifizierten Registry-Einträge (s.o.) wieder zurückgesetzt
• Editieren Sie die AUTOEXEC.BAT
• Löschen Sie @win \recycled\Sirc32.exe
• Starten Sie den Computer neu

Mit dem W32/Perrun Virus wurde erstmals ein digitaler Übeltäter entdeckt, der Bilddateien im weit verbreiteten JPEG-Format infiziert

Im Sommer letzten Jahres ist erstmals ein “.pdf”-Virus aufgetaucht, der Usern der Adobe Acrobat-Software gefährlich werden konnte. “Peachy”, so der Name des Virus, nutzt ein Feature von PDF, bei dem andere File-Formate in das ursprüngliche Dokument integriert werden. “Der Reader hat aber gar nicht den notwendigen Code wie die Acrobat-Software, welche Anhänge anderer Datei-Formate erkennt”, sagte die leitende Acrobat-Produktmanagerin Sarah Rosenbaum.

Gefunden bei www.zdnet.de

Antivirenspezialist BitDefender hat ein Gegenmittel gegen den dreiteiligen Viruscode bereitgestellt

Das Response Team von BitDefender stellt auf seiner Site ein kostenloses Gegenmittel zum Download (AntiDatom.exe) zur Verfügung.

Viren-Warnung gefunden bei www.zdnet.de
Autor: Dirk Delbrouck, 12.07.2002

Bislang in Frankreich, Großbritannien, Lateinamerika und den USA gesichtet

Darüber hinaus kopiert sich BAGLE.X zur Verbreitung in öffentliche Ordner (’’shared Folders”) und erweckt den Anschein, dass es sich bei dem Malicious Code um illegale Software oder Dateien handelt. Zu den verwendeten Namen gehören unter anderem ”Matrix 3 Revolution”, ”Microsoft Office 2003 Crack” und ”Porno Screensaver”. Um eine Entdeckung zu verhindern, versucht der UPX-komprimierte Wurm zudem, laufende AntiViren-Prozesse zu beenden.

Überarbeitung und Layoutanpassung by Ferkinghoff GbR

Schlechte Codequalität verhindert bislang größere Ausbreitung

Microsoft hat bereits am 13. April ein Update für die fehlerhafte Komponente zur Verfügung gestellt. Diese kann entweder über Windows Update oder über Microsofts Website heruntergeladen werden. Ungepatchte Systeme können durch den Einsatz einer Firewall entsprechend geschützt werden. Windows-Update

Repair-Tool von Symantec

Schuld ist das DRM-Modul des Windows Mediaplayers

Unter anderem werden folgende schädliche Programme installiert: Adware/Funweb, Adware/MydailyHoroscope, Adware/MyWay, Adware/MyWebSearch, Adware/Nsupdate, Adware/PowerScan, Adware/Twain-Tech, Dialer Generic, Dialer.NO, Spyware.AdClicker, Spyware/BetterInet, Spyware/ISTbar, Trj/Downloader.GK. Bisher wurden die WMV-Dateien unter anderem über Kazaa und Emule ausgetauscht. Es ist aber nicht sicher, ob inzwischen auch andere Vertriebswege genutzt werden.

Der US-Geheimdienst hat im Zusammenhang mit dem Jahr-2000-Problem vor  unseriösen Servicefirmen gewarnt. In den USA habe es bereits Hinweise auf ‘’schwarze  Schafe” gegeben. Statt die Computer zum Jahreswechsel 2000-fähig zu machen, würden falsche Programmteile eingebaut: ein trojanisches Pferd im PC! Kriminelle Computerfirmen, die legal in die Unternehmen kämen, seien später in der Lage, Informationen abzuschöpfen, Produktionen lahm zu legen oder Konten zu plündern, sagte am Montag der Direktor des Rechenzentrums der Universität Düsseldorf, Prof. Jan Knop. Das größte Problem seien aber Unternehmen, die untätig sind. Nach EU-Schätzungen werden 15 Prozent der Firmen, die sich nicht auf die Umstellung der Rechner vorbereiten, Pleite machen.

Knop gehört der staatlichen Arbeitsgruppe ”Schutz kritischer Informationsstrukturen” an, die 1998 auf Initiative des Bundesverteidigungsministeriums gegründet wurde. Der Gruppe gehören auch das Innenministerium, mehrere Bundesländer und führende Computerunternehmen an. Geheimdienste arbeiten zu. Arbeitsschwerpunkt sind die 2000-Probleme und Angriffe von Hackern auf sensible Systeme.

Betroffen von Fehlfunktionen können beim Jahreswechsel nach Knops Angaben nicht nur Kraftwerke, Kliniken oder Unternehmen sein. Private Haushalte müssten sich ebenfalls bei Herstellern informieren, ob beispielsweise ihre Heizung 2000-fähig ist. ”Andernfalls kann der Kessel durchheizen, bis er platzt oder die automatische Kaffeemaschine auf Dauerkochen schalten.”

”Wir werden definitiv Probleme bekommen”, sagte Knop. Bei den Rettungsleitstelle drohe schon allein ein Chaos durch fehlerhaft auslösende Alarmanlagen. In anderen Bereichen wurden schon Konsequenzen gezogen. Zwei Fluggesellschaften, eine davon in Polen, hätten bereits entschieden, zum Jahreswechsel ihre Jets am Boden zu lassen.

Telekom-Probleme

Schwierigkeiten sagte der Computerfachmann auch der Telekom voraus. Weil schätzungsweise 20 Länder weltweit ihre Netze nicht 2000-fähig machen könnten, drohe durch den deutschen Kunden in einigen Fällen ein Dauerbesetztzeichen. Knop befürchtet auch Versuche von Hackern, in Computernetze einzudringen und 2000-Viren einzuschleusen. Erst vor wenigen Tagen seien die Datenbanken in der Physik zerstört worden. Hacker seien auch in militärischen Systemen im Einsatz. So versuche Serbien oder der Irak in US-Rechner einzudringen. -lnw

Quelle: Waltroper Zeitung vom 20.07.99