hallo,

bei mir ist momentan ein virus sehr aktiv der sich über zip dateien verbreitet - betreffzeile - z.b.
warning about me
i'm waiting etc.

mcaffee hat den noch nicht erkannt mit den aktuellen files - hat jemand nen heissen tip?

hallo,
wenn mcafee den virus nicht erkannt hat, dann:
1. Woher weisst du , dass es um einen mailwurm sich handelt?
2. Was soll heissen:
</font><blockquote>Zitat:</font><hr /> bei mir ist momentan ein virus sehr aktiv </font>[/QUOTE]wie kannst du so was behaupten?
3. Welche ZIP-Files sind denn befallen? Deine? Oder die du mit e-mails bekam?
Wenn du keine Anzeichen von Malware finden kannst, wäre das HijackThis-Protokoll hilfreich.
http://download.com.com/3000-2144-10227352.html

Also Trend Mycro hat ihn erkannt - worm netsky.b nennt er sich. Jetzt suche ich ein Tool dagegen.

Unser Mailserver wird mit zip dateien mit gefälschten Absendern überschwemmt - deswegen bin ich einfach davon ausgegangen, dass es sich um einen Mailwurm etc. handelt.

... und seit wann hat eine ZIP-File einen Betreff?


Oder:

Du bekommst einen haufen E-Mails (dies ist der Verbreitungsweg!), mit Betreff: warning about me oder i'm waiting und einem ZIP-Anhang.
ist dies so?
Und eigentlich willst Du das ZIP-File aufmachen und wir sollen Dir sagen, es ist okay? [img]tongue.gif[/img]

Wie heißt das ZIP-File?
Warum glaubst Du es wäre ein Virus? (na gut wenn mit obigen Betrffs per Mail, würde ich mir nicht viel dabei denken sondern: LÖSCHEN. UNGESEHEN!
=====================================
Gut, sowas nennt man (fast) gleichzeitig *bg*

google halt mal nach dem Begriff! bzw. schau mal bei TrendMicro nach, http://de.trendmicro-europe.com/ente...=WORM_NETSKY.B

[ 18. Februar 2004, 15:37: Beitrag editiert von: Shadow ]

</font><blockquote>Zitat:</font><hr />... LÖSCHEN. UNGESEHEN!! </font>[/QUOTE][img]graemlins/daumenhoch.gif[/img]
von Zip -Dateien geht keine direkte Gefahr heraus. Du braucht im Endeffekt kein Tool, um die Dateien "ungesehen" zu löschen. Gescannt - Definiert - über Explorer gelöscht (am besten mit 'Shift+Del', denn die gelöschten Dateien an Papierkorb vorbei fliegen und werden sofort und endgültig entfernt).

http://www.bitdefender.com/bd/site/v..._id=1&v_id=194 (Entfernungstool)
http://www.viruslist.com/eng/alert.html?id=989639
http://securityresponse.symantec.com...tsky.b@mm.html
http://de.trendmicro-europe.com/ente...=WORM_NETSKY.B
http://vil.nai.com/vil/content/v_101034.htm

[ 18. Februar 2004, 17:38: Beitrag editiert von: mmk ]

Hallo,

noch ne kleine Erklärung - ich bin hier für einige PCs verantwortlich. Ich weiss natürlich dass man keine unbekannten Dateien aufmachen soll etc. Meinen Usern kann ich das nur nicht beibringen.

Es wurden nur plötzlich viele Mails mit zip Files verschickt mit merkwürdigem Betreff, ich habe mir eines abgefangen und kopiert und leider hat McAfee den wir einsetzen keinen Virus erkannt. Für mich war aber offensichtlich dass ein Virus unterwegs ist bedingt durch die Anzahl der Mails und die gefälschten Absender. Deswegen meine etwas wirre Mail - wir wurden halt mit Mails überflutet und deswegen war ich etwas in Eile.

Leider haben jetzt einige User die Mail geöffnet und durch allgemeine Adressbücher auf den PCs wird aus einem kleinen Wurm eine ärgerliche Sache für eine Firma. Ich muss den Virus jetzt halt manuell auf den PCs löschen die befallen sind. Jetzt wo er erkannt ist, weiss ich ja was ich tun muss.

Hier noch eine Info zum Versand innerhalb eines zip-Files:

http://antivir.de/vireninfo/netskyb.htm

Für Netsky.B ist übrigens gerade ein Yellow Alert von TrendMicro rausgegeben worden!


Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

http://www.heise.de/security/news/meldung/44765

Heise Security mit dort weiteren Links wegen NetSky.B

Das mit dem Yellow Alert wundert mich nicht. Dieser Virus vermehrt sich auch explosionsartig auf dem befallenen PC. Ich habe hier Rechner auf deren C-Platte zwischen 1.000 und 2.000 Viren vom Virenscanner gefunden werden.

Irgendwo hab ich gelesen - er vermehrt sich übers Netzwerk in freigegebene Verzeichnisse die den Namen share oder so haben. Auf den PCs sind Verzeichnissse die Microsoft Shared etc. heissen. Die sind nicht speziell freigegeben aber wenn der Virus aktiv ist müllt er die ohne Ende zu.

</font><blockquote>Zitat:</font><hr />Original erstellt von Jessy:

Auf den PCs sind Verzeichnissse die Microsoft Shared etc. heissen. Die sind nicht speziell freigegeben aber wenn der Virus aktiv ist müllt er die ohne Ende zu.
</font>[/QUOTE]es gibt schon einen Microsoft Shared Ordner,...aber
meinst du hier nicht eher das sich die dinger durch tauschbörsen verbreiten, wie Kazaa, LimeWire, Bearshare....und nicht den MS Shared zumüllen?? woher hast du diese info, welcher virus macht sowas? vielleicht hab ich ja was versäumt, oder noch nicht gewusst.

bye
tony

</font><blockquote>Zitat:</font><hr />....und nicht den MS Shared zumüllen?? woher hast du diese info, welcher virus macht sowas? </font>[/QUOTE]Moin Toni,

das schreib beispielsweise Symantec:
</font><blockquote>Zitat:</font><hr />Er [der Wurm] durchsucht die Laufwerke C bis Z nach Ordnern, deren Namen die Zeichenfolgen "Share" oder "Sharing" enthalten. Soweit es sich bei dem Laufwerk nicht um ein CD-ROM-Laufwerk handelt, kopiert sich der Wurm unter einem der folgenden Namen in diese Ordner und alle Unterordner...</font>[/QUOTE]Quelle: http://www.symantec.com/region/de/te...tsky.b@mm.html

tschööö, DerBilk

hmm...von tauschbörse steht bei symantec nichts...aber die namen share und sharing treffen eher auf die tauschbörsenordner zu, der ordner von microsoft heist ja shared. okey...ich nehm's mal zur kenntnis das es auch den treffen kann...

Hinweis: Hierdurch können sich Kopien von W32.Netsky.B@mm über Dateifreigabe-Netzwerke, Instant Messenger-Clients, freigegebene Windows-Ordner oder andere Programme verbreiten, die freigegebene Ordner mit der Zeichenfolge "Share" oder "Sharing" im Namen verwenden. --------------------------------------------------------------------------------

na ob jemand den MS-shared freigegeben hat???...

In shared ist *share* enthalten. Und von daher kopiert sich der Wurm dann der Beschreibung nach durchaus auch dorthin.
Eine Verbreitung aus dem Ordner 'microsoft shared' funktioniert zwar 'nur', wenn dieser Ordner eine Freigabe hat, aber er wird offensichtlich auch ohne explizite Freigabe zugemüllt. Und genau das ist das, was Jessy beschrieben hat...

tschööö, DerBilk