News-Archiv für IT-Nachrichten und Informationen

Die Hacker-Angriffe auf Zugangsdaten zu persönlichen E-Mail-Konten weiten sich aus. Zwei weitere große Mail-Anbieter mussten eingestehen, dass ihre Postfächer geknackt wurden.

Nach dem Anbieter Hotmail gaben am Dienstag auch die Mitbewerber Yahoo und Google bekannt, dass Passwörter von Privatkonten im Internet veröffentlicht worden seien. Die betroffenen Nutzer müssten die Passwörter für ihre E-Mail-Konten ändern, um den unbefugten Zugriff zu verhindern, teilten die Unternehmen mit.

Am Vortag hatte der zum Microsoft-Konzern gehörende Anbieter Hotmail mehr als 10 000 Konten sperren müssen, nachdem Hacker die Passwörter geknackt haben. Wie viele E-Mail-Konten bei Yahoo und bei Googles E-Mail-Sparte Gmail betroffen waren, war zunächst unklar. Ein Vertreter von Gmail sprach von einer „kleinen Zahl“, bei Yahoo war von eine „begrenzten Anzahl“ die Rede.

Branchenweites Problem

Hotmail, Yahoo und Gmail erklärten übereinstimmend, dass die Zugriffe auf die persönlichen Daten nicht durch Lücken in den Sicherheitsprogrammen, sondern durch so genanntes Phishing zustande gekommen seien. Dabei werden Nutzer etwa mit betrügerischen E-Mails zur Preisgabe geheimer Daten gebracht. Die Unternehmen riefen die Nutzer zu Vorsicht auf
und rieten, regelmäßig die Passwörter für die E-Mail-Konten zu ändern.

Ein Microsoft-Sprecher betonte, dass es sich nicht um eine Sicherheitslücke bei Microsoft gehandelt habe, sondern um ein „branchenweites Problem“.

Microsoft appellierte an die Kunden, mindestens alle 90 Tage ihre Passwörter zu ändern. Sie sollten dabei zum Beispiel aus den Anfangsbuchstaben der Wörter eines Satzes unübliche Buchstabenkombinationen bilden oder Sonderzeichen und Zahlen einfließen lassen. Zum Schutz vor Phishing sollten Nutzer außerdem unbedingt eine aktuelle Virenschutz-Software verwenden, um sich der «Trojaner» zu erwehren. Kunden sollten bei E-Mails außerdem sehr vorsichtig mit unbekannten Anhängen oder Internet-Links sein.

Zur Zeit ist ein Computervirus ‘I Love You’ im Umlauf. Falls Sie ein eMail mit Titel oder Thema ‘I Love You’ erhalten haben. Löschen Sie dieses eMail sofort und lesen es nicht. Selbst wenn Ihnen der Absender bekannt ist.

Diese Warnung erhielten wir aufgrund eines Rundmail von einem Kooperationspartner.

I LOVE YOU: Gegenmaßnahmen Der Wurm VBS/LoveLetter, der sich seit heute morgen, rasant im Internet verbreitet, lässt sich von Hand entfernen. Außerdem ist zu erwarten, dass alle namhaften Anti-Virus-Softwareanbieter in Kürze Updates bereit stellen, die den Wurm erkennen und unschädlich machen können – einige Anbieter haben bereits reagiert. Bitte prüfen Sie bevorzugt die WWW-Angebote Ihres Virenscanner-Herstellers. Apple-Macintosh- und Linux/Unix-Anwender sind von dem Wurm grundsätzlich nicht betroffen, da diese Systeme kein VB-Script unterstützen.

Anzeichen für einen Wurmbefall auf Windows-Computern sind die Dateien Win32DLL.vbs im Windows-Verzeichnis und MSKernel32.vbs im Windows-Systemverzeichnis. Zur Entfernung von LoveLetter müssen diese Dateien gelöscht werden. Löschen Sie darüber hinaus die Dateien LOVE-LETTER-FOR-YOU.HTM und LOVE-LETTER-FOR-YOU.TXT.vbs im Systemverzeichnis. Außerdem hat der Wurm vermutlich alle erreichbaren Dateien mit den Erweiterungen VBS, VBE, JS, JSE, CSS, WSH, SCT, HTA, MP3, MP2, JPG und JPEG befallen, mit seinem eigenen Code überschrieben und ggf. zusätzlich “.vbs” angehängt. Auch diese Dateien sollten gelöscht werden.

Wer keinen Virenscanner zur Bestätigung des Wurmbefalls nutzen kann, sollte vor dem Löschen zumindest einen flüchtigen Blick auf die Dateilänge werfen (oder die Dateien umsichtig mit einem Texteditor öffnen und den enthaltenen Code prüfen): Infizierte Dateien enden auf .js.vbs, jpg.vbs usw. und haben eine Größe von circa 10 KByte. Im Zweifelsfall empfiehlt sich eine Sicherungskopie vor dem Löschen.

Auch in der Registry verewigt sich LoveLetter: Über die Registry-Keys HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32 und HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL wird der Wurm nach jedem Booten neu gestartet – diese Registrierungsschlüssel sollten mit dem Registrierungseditor (Startmenü/Ausführen/Regedit) gelöscht werden. Aber Achtung: Manipulationen an der Registry bitte mit äußerster Umsicht durchführen. Weiterhin verewigt sich der Wurm in HKCU\Software\Microsoft\Internet Explorer\Main\Start Page mit einem Downloadlink für ein Hintertürprogramm; nach erfolgtem Download und Neustart des Wurms setzt LoveLetter diesen Key jedoch wieder auf eine leere Seite.

Falls die Hintertür geladen wurde, muss auch sie entfernt werden: Dazu löschen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WIN-BUGSFIX und die Datei WIN-BUGSFIX.EXE unter dem angegebenen Speicherort; ggf. sollten Sie die Datei über die Windows-Suche lokalisieren.

Nicht zuletzt versucht LoveLetter, sich per E-Mail zu verbreiten: Sofern ihm das gelingt, legt er für jede versandte Mail einen Schlüssel unter HKEY_CURRENT_USER\Software\Microsoft\WAB\ an. Wer dort Einträge findet, sollte die betroffenen Bekannten beziehungsweise Korrespondenzpartner warnen, dass sie eine gefährliche E-Mail erhalten haben. Anschließend können diese Keys ebenfalls gelöscht werden. Wer den Chatclient mIRC auf seinem Rechner installiert hat, muss weiterhin die neu angelegte Datei script.ini entfernen, die den Wurm an Chatpartner versendet.

Als generelle Vorsichtsmaßnahme empfiehlt es sich, den Windows Scripting Host im Windows-Setup (Einstellungen: Software) zu deinstallieren, sofern man ihn nicht regelmäßig benutzt.

“I LOVE YOU”-Virus und kein Ende

Nachdem der “I LOVE YOU” Virus seit letztem Donnerstag früh die Onlinewelt ausgeschreckt hat und auch alle Zeitungen und Nachrichtensendungen versucht haben, die weltweit entstandenen Schäden hochzurechnen, sind wieder neue Varianten ausgetaucht, die den Betreff “”Funny News”, “Joke” und “Susitikim” im Header tragen.

Weitere Informationen zu F-Secure und der neuen Warnung:
http://www.europe.f-secure.com/news/2000/news_2000050500.html

Warnung Nr. 1
Wenn Sie irgendeinen CELCOM-Bildschirmschoner empfangen. Bitte installieren Sie ihn nicht! Dieser Bildschirmschoner ist sehr cool. Er zeigt ein NOKIA-Handy, mit Zeitmeldungen. Nachdem es aktiviert ist, kann der PC überhaupt nicht mehr booten. Er geht sehr langsam. Dieser Bildschirmschoner zerstört Ihre Festplatte. Der Dateiname ist CELLSAVER.exe.

Auch AOL sagt das dieses ein sehr gefährlicher Virus ist und dass es noch kein Hilfsmittel dafür gibt.

Einführung
Ein sog. Trojanisches Pferd ist ein Programm, welches unerlaubte Funktionen im Hintergrund erledigt. Ein Trojanisches Pferd kann sich hinter einem Update oder irgendeinem anderen Vorwand tarnen. Häufig passiert es, dass man Emails ( z.B. bei AOL!) von irgendwelchen Fremden bekommt, mit dem Vorwand, es sei ein Programm für die Aktualisierung der Software von AOL4 auf AOL5. Solche Dateien darf man auf keinen Fall runterladen bzw. starten. Nach dem Starten eines solchen Programms, sollte man auf keinen Fall online gehen. Es gibt 2 Arten von Trojanern. Einmal die Gruppe der Client/Server Trojaner, und die andere der Direct Action Trojanern. Um die erste Gruppe zu erklären:Arten von Trojanischen Pferden
Ein Client/Server Trojaner wie z.B. Back Orifice, NetBus, DeepThrout, Sub7 oder NetForce kann selbständig keine Daten erspähen, warten aber darauf Befehle zu erhalten um dementsprechend zu antworten. Das bedeutet also, dass am Trojaner infizierten Computer ein Port offen ist, auf dem empfangen wird. In dem Moment, dass dieser Port Daten empfängt, antwortet er mit dementsprechendem Resultat. Als Beispiel wird gesendet ” Passwörter”, so heißt dies “sende mir sämtliche System Passwörter”. Somit können andere Zugriff auf Ihre Daten erlangen und unbefugt auf Ihre Kosten online gehen. Des weiteren bieten diese Trojaner eine weitaus größere Tabelle an Optionen, z.B. Festplattenzugriff, Port Redirect(Port Umleitung), Prozeß View und viele andere, die Privatsphäre verletzende Dinge.

Die zweite Gruppe der Trojaner die sog. Direct Action Trojaner suchen sämtliche wichtige Daten und Passwörter zusammen, speichern diese ab und warten bis man online geht, nachdem die Verbindung zum Internet erstellt worden ist, sendet der Trojaner die gespeicherten Daten an eine Email Adresse. Diese können dann auf ihre kosten für illegale Zwecke verwendet werden.

Entfernen von Trojanischen Pferde
Stufe1:
Installieren Sie eine z.B. Zeitlimitierte Test Version von AVP oder Norton AV und überprüfen Sie ihr System damit nach bereits bekannten Viren und Trojanern. Damit kann man sich sehr viel Arbeit sparen. Scannen Sie ihre lokalen Festplatten und finden Sie unsaubere Stellen in ihrem System.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run                    (startet Programme nach dem Einloggen)

UND

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices       (startet Programme noch vor der Windows Anmeldung)

Stufe2 :
Gehen Sie auf Start->Datei Ausführen -> und geben Sie ein: regedit.exe dann drücken Sie auf OK und der System Registrierungseditor startet. Nun haben Sie eine Liste von 6 Root Keys für Sie uninteressant. Suchen Sie nach “HKEY_LOCAL_MACHINE” und klicken Sie einfach mal auf das +, es öffnen sich subkeys, nun müssen Sie lediglich diesem Prinzip folgen und gehen Sie den beiden oben genannten Verzeichnissen durch bis Sie zum Schluss angekommen sind. Wenn Sie dann auf Run und RunServices gehen werden alle Programme mit Pfad angezeigt die gestartet werden. Gucken Sie sich die Namen der ‘Exe’n an und deren Pfade, wenn ihnen etwas auffällig ist starten Sie das Programm einfach, wenn nichts passiert ist es eine Warnung! Nehmen Sie in diesem Fall die Zeile indem Sie darauf klicken und mit rechter Maustaste auf entfernen klicken. Nun starten Sie ihren PC neu und senden wenn Sie können, die noch erhaltene Datei über das Live Submit eines jeden Anti Viren Programms an das Viren Labor um nähere Informationen zu erhalten.

Stufe3:
Wenn Sie nichts gefunden haben, schauen Sie sich in ihrem Windows Verzeichnis die Datei Win.ini an. Wenn auf den Zeilen “RUN =” UND “LOAD =” irgendwelche Exe Namen stehen also z.B.: “RUN= C:\windows\patch.exe” (oftmals verschoben damit man es nicht auf den ersten Blick sehen kann also scrollen Sie nach rechts!) so handelt es sich höchstwahrscheinlich um einen Trojaner. Löschen Sie den Eintrag und rebooten Sie ihren Computer. Wenn Daten bereits versendet worden sind, können Sie nicht mehr machen als alle ihre Passwörter  ändern. Löschen Sie die, als Beispiel “patch.exe” nicht, wenn Sie den gleichen Trojaner erneut starten sollten wird er denken dass er bereits installiert ist indem er überprüft ob er schon in C:\windows\patch.exe vorhanden ist und wenn dies der Fall ist, wird er sich nicht erneut laden.

Vorbeugen gegen Trojanische Pferde
Für den normal Verbraucher ist es relativ schwierig auf tiefer Systemebene funktionierende Trojaner zu entdecken. Dennoch kann man Tipps geben die zu einer möglichen Entfernung beitragen können. Als erstes empfiehlt es sich keine Programme aus unbekannter Herkunft runterzuladen. Oft werden Programme auch mit gefälschter Email Adresse verschickt, damit Sie denken “diese Email ist OK”. Warnung! Wenn Sie nichts erwarten laden Sie nichts runter, wenn Sie einen Text finden wie “Probier mal das Programm aus, ist ziemlich gut” wieder mal Warnung, solche Emails könnten als Massen Mails an Tausende geschickt worden sein und der Text ist immer relativ neutral. Ein Beispiel davon finden Sie auf der CCC (Chaos Computer Club) Seite. Als die Premiere Decoder rauskam, verschickte jemand (Trojaner oder Virus unbekannt) Emails mit dem Absender des CCC. Hier eine Warnung vom CCC:

Solche Warnungen sollte man sich ernst nehmen, weil es im Internet immer Leute geben wird denen bestimmte Informationen interessant sind. Daher werden Attacken immer stattfinden, nur die Verteidigung muss besser sein. Genau dies werde ich ihnen in einer leichter Form näher bringen. Wahrscheinlich ist ihr Computer nicht befallen wenn Sie nicht häufig im IRC sind und Programme und ähnliches was Sie von Leuten gesagt bekommen haben. Nur für den Routine Check.

Virenangriff über HTML-Seiten. Bedroht das Internet unsere Rechner? Wir haben die Erreger für Sie unter die Lupe genommen

Computer-Viren sind schon seit DOS-Zeiten eine bekannte Gefahr. Durch Shareware, Raubkopien und in Ausnahmefällen auch durch kommerzielle Software gelangen diese Parasiten auf Ihren PC. Nun droht diese Seuche auch auf das Internet überzugreifen. Im November letzten Jahres wurden die ersten Viren entdeckt, die sich über HTML-Seiten verbreiten. Immer neue Panikmeldungen verunsicherten natürlich die Web-Gemeinde. Bisher konnten sich Viren nur dadurch verbreiten, wenn ein bestimmter Code, der in einem Programm versteckt war, ausgeführt wurde. Reicht jetzt bereits das bloße Ansehen einer Seite im Internet aus, um sich einen Virus einzufangen? Führt das harmlose Surfen im Internet am Ende zu einem virenverseuchten Rechner und den Verlust von Daten ?INTERNET-VIREN?
Die meisten Meldungen sprechen von “HTML-Viren”. Dieser Begriff ist jedoch irreführend. Eigentlich handelt es sich bei dieser Art von Viren um Script-Viren, die HTML-Dateien befallen bzw. in diesen eingelagert werden. Reine HTML-Seiten können also niemals Viren enthalten, hierzu ist immer ein ausführbarer Code erforderlich. Spätestens seit der Version 3 unterstützen die Browser der Firmen Netscape und Microsoft die Ausführung von Scripting-Sprachen, wie Java-Script und Visual Basic Script (VBScript) -ebenso wie das Mailprogramm Outlook Express. Diese Erweiterungen ermöglichen erst die Realisierung eines Virus. Beim Aufruf einer HTML-Seite wird dann ein Script, das in den Quellcode der Seite integriert ist, ausgeführt. Dieses kann dann beispielsweise seinen eigenen Code an HTML-Dateien, die es auf der Festplatte des Benutzers findet, anhängen und so für die weitere Verbreitung sorgen.

Dieses eMail fanden wir heute in unserem eMail-Postkasten und waren sofort der Meinung, dass wir diese Virenwarnung unseren Besuchern nicht vorenthalten dürfen.

Die E-Mail beinhaltet einen Virus und löscht jede Information auf der Festplatte!!!!

Virus mit Foto vom Tennisstar Kurnikowa löst eMail-Flut aus

Mit der aktuellsten Anti-Viren-Version für Windows 2000 sind Nutzer Microsoft zufolge jedoch vor dem Wurm weitgehend geschützt. Selbst wenn sie das Attachment anklickten, erhielten sie einen Warnhinweis. (yh//AFP)

Die Antivirus-Spezialisten von Network Associates (NAI)warnen Benutzer des eMail-Programms Microsoft Outlook vor einem neuen eMail-Wurm. Der Computervirus namens ”Naked Wife” versteckt sich in einer eMail mit dem Betreff ”FW: Naked wife”. Die Nachricht ”> My wife never look like that! :-)” soll dazu verlocken, den Anhang mit Namen ”NakedWife.exe” zu öffnen. Dort wartet allerdings keine nackte Frau, sondern ein zerstörerischer Wurm, der alle Dateien im Windows- und System-Verzeichnis mit den Endungen EXE, DLL, COM, INI, BMP, LOG löscht. Hat der Wurm seine Arbeit erledigt, muss in den meisten Fällen das gesamte System neu installiert werden.

Wer ”Naked Wife” in seiner Mailbox findet, sollte die eMail sofort löschen, ohne den Anhang zu öffnen.

Wurm und Trojaner im Paket

Den E-Mail-Wurm erkennt man nur recht schwer, da er auf eingegangene E-Mails reagiert und so wie eine normale E-Mail-Antwort aussieht. So behält der Wurm den Betreff bei und fügt lediglich das typische ”Re:” dazu. Außerdem zitiert er die Original-Mail und setzt den recht unverfänglichen Text ”Take a look to the attachment.” als Antwort unter das Zitat. Auch am Dateianhang selbst lässt sich der Wurm nicht ausmachen, denn er pickt sich hier zufällig einen Dateinamen von über zehn möglichen Namen heraus, die entweder auf SCR oder PIF enden.

Quelle: www.golem.de vom 17.04.2001

Der Softwarehersteller Symantec warnt vor einem neuen Mail-Wurm, der möglicherweise mit guten Absichten geschrieben wurde. Der Visual-Basic-Wurm “Noped” werde als Anhang einer E-Mail verschickt, so das Unternehmen. Nach seiner Aktivierung zeige er eine Testdatei und durchsuche die Festplatte von Windows-Rechnern nach Dateien mit Kinderpornographie.

Die Betreffzeile der Mail, mit der Noped zur Zeit verschickt wird, lautet: “FWD: Help us all to end illegal child porn now”. Die Datei im Anhang heißt: “End illegal child porn now.txt” .