Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   mailwurm im zip file?? (https://www.trojaner-board.de/935-mailwurm-zip-file.html)

Jessy 18.02.2004 15:17

hallo,

bei mir ist momentan ein virus sehr aktiv der sich über zip dateien verbreitet - betreffzeile - z.b.
warning about me
i'm waiting etc.

mcaffee hat den noch nicht erkannt mit den aktuellen files - hat jemand nen heissen tip?

Rene-gad 18.02.2004 15:23

hallo,
wenn mcafee den virus nicht erkannt hat, dann:
1. Woher weisst du , dass es um einen mailwurm sich handelt?
2. Was soll heissen:
</font><blockquote>Zitat:</font><hr /> bei mir ist momentan ein virus sehr aktiv </font>[/QUOTE]wie kannst du so was behaupten?
3. Welche ZIP-Files sind denn befallen? Deine? Oder die du mit e-mails bekam?
Wenn du keine Anzeichen von Malware finden kannst, wäre das HijackThis-Protokoll hilfreich.
http://download.com.com/3000-2144-10227352.html

Jessy 18.02.2004 15:32

Also Trend Mycro hat ihn erkannt - worm netsky.b nennt er sich. Jetzt suche ich ein Tool dagegen.

Unser Mailserver wird mit zip dateien mit gefälschten Absendern überschwemmt - deswegen bin ich einfach davon ausgegangen, dass es sich um einen Mailwurm etc. handelt.

Shadow 18.02.2004 15:32

... und seit wann hat eine ZIP-File einen Betreff?


Oder:

Du bekommst einen haufen E-Mails (dies ist der Verbreitungsweg!), mit Betreff: warning about me oder i'm waiting und einem ZIP-Anhang.
ist dies so?
Und eigentlich willst Du das ZIP-File aufmachen und wir sollen Dir sagen, es ist okay? [img]tongue.gif[/img]

Wie heißt das ZIP-File?
Warum glaubst Du es wäre ein Virus? (na gut wenn mit obigen Betrffs per Mail, würde ich mir nicht viel dabei denken sondern: LÖSCHEN. UNGESEHEN!
=====================================
Gut, sowas nennt man (fast) gleichzeitig *bg*

google halt mal nach dem Begriff! bzw. schau mal bei TrendMicro nach, http://de.trendmicro-europe.com/ente...=WORM_NETSKY.B

[ 18. Februar 2004, 15:37: Beitrag editiert von: Shadow ]

Rene-gad 18.02.2004 15:40

</font><blockquote>Zitat:</font><hr />... LÖSCHEN. UNGESEHEN!! </font>[/QUOTE][img]graemlins/daumenhoch.gif[/img] :D
von Zip -Dateien geht keine direkte Gefahr heraus. Du braucht im Endeffekt kein Tool, um die Dateien "ungesehen" zu löschen. Gescannt - Definiert - über Explorer gelöscht (am besten mit 'Shift+Del', denn die gelöschten Dateien an Papierkorb vorbei fliegen und werden sofort und endgültig entfernt).

mmk 18.02.2004 15:58

http://www.bitdefender.com/bd/site/v..._id=1&v_id=194 (Entfernungstool)
http://www.viruslist.com/eng/alert.html?id=989639
http://securityresponse.symantec.com...tsky.b@mm.html
http://de.trendmicro-europe.com/ente...=WORM_NETSKY.B
http://vil.nai.com/vil/content/v_101034.htm

[ 18. Februar 2004, 17:38: Beitrag editiert von: mmk ]

Jessy 18.02.2004 16:46

Hallo,

noch ne kleine Erklärung - ich bin hier für einige PCs verantwortlich. Ich weiss natürlich dass man keine unbekannten Dateien aufmachen soll etc. Meinen Usern kann ich das nur nicht beibringen.

Es wurden nur plötzlich viele Mails mit zip Files verschickt mit merkwürdigem Betreff, ich habe mir eines abgefangen und kopiert und leider hat McAfee den wir einsetzen keinen Virus erkannt. Für mich war aber offensichtlich dass ein Virus unterwegs ist bedingt durch die Anzahl der Mails und die gefälschten Absender. Deswegen meine etwas wirre Mail - wir wurden halt mit Mails überflutet und deswegen war ich etwas in Eile.

Leider haben jetzt einige User die Mail geöffnet und durch allgemeine Adressbücher auf den PCs wird aus einem kleinen Wurm eine ärgerliche Sache für eine Firma. Ich muss den Virus jetzt halt manuell auf den PCs löschen die befallen sind. Jetzt wo er erkannt ist, weiss ich ja was ich tun muss.

mmk 18.02.2004 16:55

Hier noch eine Info zum Versand innerhalb eines zip-Files:

http://antivir.de/vireninfo/netskyb.htm

Yopie 18.02.2004 19:39

Für Netsky.B ist übrigens gerade ein Yellow Alert von TrendMicro rausgegeben worden!


Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Shadow 19.02.2004 15:33

http://www.heise.de/security/news/meldung/44765

Heise Security mit dort weiteren Links wegen NetSky.B

Jessy 19.02.2004 17:38

Das mit dem Yellow Alert wundert mich nicht. Dieser Virus vermehrt sich auch explosionsartig auf dem befallenen PC. Ich habe hier Rechner auf deren C-Platte zwischen 1.000 und 2.000 Viren vom Virenscanner gefunden werden.

Irgendwo hab ich gelesen - er vermehrt sich übers Netzwerk in freigegebene Verzeichnisse die den Namen share oder so haben. Auf den PCs sind Verzeichnissse die Microsoft Shared etc. heissen. Die sind nicht speziell freigegeben aber wenn der Virus aktiv ist müllt er die ohne Ende zu.

tony manero 19.02.2004 18:02

</font><blockquote>Zitat:</font><hr />Original erstellt von Jessy:

Auf den PCs sind Verzeichnissse die Microsoft Shared etc. heissen. Die sind nicht speziell freigegeben aber wenn der Virus aktiv ist müllt er die ohne Ende zu.
</font>[/QUOTE]es gibt schon einen Microsoft Shared Ordner,...aber
meinst du hier nicht eher das sich die dinger durch tauschbörsen verbreiten, wie Kazaa, LimeWire, Bearshare....und nicht den MS Shared zumüllen?? woher hast du diese info, welcher virus macht sowas? vielleicht hab ich ja was versäumt, oder noch nicht gewusst.

bye
tony

Lutz 19.02.2004 21:49

</font><blockquote>Zitat:</font><hr />....und nicht den MS Shared zumüllen?? woher hast du diese info, welcher virus macht sowas? </font>[/QUOTE]Moin Toni,

das schreib beispielsweise Symantec:
</font><blockquote>Zitat:</font><hr />Er [der Wurm] durchsucht die Laufwerke C bis Z nach Ordnern, deren Namen die Zeichenfolgen "Share" oder "Sharing" enthalten. Soweit es sich bei dem Laufwerk nicht um ein CD-ROM-Laufwerk handelt, kopiert sich der Wurm unter einem der folgenden Namen in diese Ordner und alle Unterordner...</font>[/QUOTE]Quelle: http://www.symantec.com/region/de/te...tsky.b@mm.html

tschööö, DerBilk

tony manero 19.02.2004 22:05

hmm...von tauschbörse steht bei symantec nichts...aber die namen share und sharing treffen eher auf die tauschbörsenordner zu, der ordner von microsoft heist ja shared. okey...ich nehm's mal zur kenntnis das es auch den treffen kann...

Hinweis: Hierdurch können sich Kopien von W32.Netsky.B@mm über Dateifreigabe-Netzwerke, Instant Messenger-Clients, freigegebene Windows-Ordner oder andere Programme verbreiten, die freigegebene Ordner mit der Zeichenfolge "Share" oder "Sharing" im Namen verwenden. --------------------------------------------------------------------------------

na ob jemand den MS-shared freigegeben hat???...

Lutz 19.02.2004 22:15

In shared ist *share* enthalten. Und von daher kopiert sich der Wurm dann der Beschreibung nach durchaus auch dorthin.
Eine Verbreitung aus dem Ordner 'microsoft shared' funktioniert zwar 'nur', wenn dieser Ordner eine Freigabe hat, aber er wird offensichtlich auch ohne explizite Freigabe zugemüllt. Und genau das ist das, was Jessy beschrieben hat...

tschööö, DerBilk


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131