Das Forschungszentrum von Network Associates McAfee Avert (Anti-Virus Emergency Response Team) hat einen neuen Mailing-Wurm im Internet festgestellt. Es handelt sich hierbei um "SirCam" oder auch "W32/SirCam@MM", einen Wurm, der sich im Papierkorb von Windows (C:\Recycled) versteckt und auch private Dokumente als E-Mails versendet. Aufgrund des Anstiegs an infizierten Usern ist der Wurm von den Avert-Fachleuten auf "High Risk" hochgestuft worden.

Also meine Damen und Herren,


das Ding ist wirklich gemein ud hinterlistig. Weiterhin aufpassen auf Mails und lieber nachfragen oder einfach löschen anstatt sich den einzufangen! Mit Vorliebe nimmt er Word Dokumente aus dem Ordner eigene Dateien mit und verschickt diese. Betreff und Text der Mail varieren dabei ständig, sodas diverseste Betreffzeilen auftauchen, die er sich aus dem gefunden Worddokumenten zieht!

Mehr Informationen zu diesem Virus gibt es unter http://www.sarc.com/avcenter/venc/data/w32.sircam.worm@mm.html (Symantec Antivirus Research Center)

Matze

Hintergrund: Zwei virtuelle Würmer, ein reales Chaos

Zwei neue elektronische Schädlinge geben seit der vergangenen Woche immer noch besonderen Anlass zur Sorge: Der E-Mail-Wurm "SirCam" und der IIS-Wurm "Code Red", der sich ohne Zutun des Anwenders über eine bekannte Sicherheitslücke in Microsofts IIS verbreitet. Beide Schädlinge weisen Eigenarten auf, die es so in freier Wildbahn noch nicht gab und die Sicherheitsexperten und Administratoren in hohe Alarmbereitschaft versetzten.

"Code Red" sorgte zunächst für Aufsehen, weil eine besondere Schadroutine eingebaut wurde: An bestimmten Tagen sollten alle Schädlinge zwischen 20 und 24 Uhr einen dDoS-Angriff (distributed Denial of Service) auf die Website des Weißen Hauses unternehmen. Die verantwortlichen Administratoren haben jedoch schnell reagiert und die entsprechende IP-Adresse ins Nirwana umgeleitet, sodass keiner dieser Angriffe durchschlug.

Die rasante Verbreitung machte allerdings auch wesentlich mehr Sorgen als ein drohender dDoS-Angriff. So wurden laut der Sicherheitsmailingliste Bugtraq innerhalb weniger Tage über 225.000 Hosts mit "Code Red" infiziert. Grund genug für das amerikanische Verteidigungsministerium, Gegenmaßnahmen zu ergreifen: So schnitt man kurzerhand diverse militärische Webserver vom Internet ab – lediglich vom internen Netzwerk aus konnte man auf die Server noch zugreifen. Das war nach Angaben des US-Verteidigungsministeriums eine reine Präventivmaßnahme – hier darf man getrost darüber spekulieren, das Pentagon sei sich selbst nicht sicher, ob die militärischen Server Sicherheitslücken aufweisen oder nicht ...

Der Grund für die starke Verbreitung von "Code Red" liegt nicht nur daran, dass immer noch viele IIS-Server ohne entsprechenden Patch laufen (Microsoft stellt seit dem 18. Juni einen Fix für die Sicherheitslücke bereit), sondern auch, weil sich schnell eine zweite Variante des Schädlings breit machte: Bei "CRv2", wie die Variation auf Bugtraq genannt wurde, fehlte die Routine, die die Website verändert ("Hacked by Chinese!"). Dafür haben die Autoren eine veränderte Scan-Routine für die Verbreitung integriert. Durch das fehlende Website-Defacement gab es keine offensichtlichen Hinweise, die auf die Infektion mit dem Schädling hindeuteten. Zudem war die Verbreitungsroutine noch effizienter – "CRv2" dürfte sich damit um einiges schneller verbreitet haben als die Ur-Variante.

Ein weiterer Grund für den durschlagenden "Erfolg" des Wurmes dürfte die Eigenheit gewesen sein, dass sich "Code Red" zu keiner Zeit auf der Festplatte breit macht. Der Schädling residiert allein im RAM-Speicher des Rechners, wodurch alle gängigen Virenscanner außer Gefecht gesetzt wurden. Diese Eigenheit erleichtert allerdings das manuelle Entfernen des Schädlings: Der Administrator braucht lediglich den Rechner neu zu starten, um Code Red aus dem Speicher zu entfernen, und den Microsoft-Patch einzuspielen, um eine erneute Infektion zu vermeiden.

Der zweite Wurm namens "SirCam" sieht auf den ersten Blick aus wie die x-te Variante eines Loveletter- oder Kournikova-Schädlings. Aber auch dieser Schädling hat Eigenarten, die bisher so noch nicht "in freier Wildbahn" vorkamen. Zum einen, und das ist besonders bedenklich, verschickt der Schädling willkürlich Dokumente aus dem Verzeichnis Eigene Dateien von Windows; damit kompromittiert der Schädling möglicherweise vertrauliche Daten. Durch die enorme Verbreitung des Schädlings sind schon einige interessante Dokumente in unserer Redaktion – und wer weiß, wo sonst noch – eingetroffen. Neben der Verbreitungsroutine besitzt "SirCam" laut Symantec noch eine Schadroutine, die mit einer Wahrscheinlichkeit von 20 Prozent am 16. Oktober die Festplatte löschen soll.

"SirCam" behält den Namen der ausgwählten Datei bei – er fügt allerdings den Wurmcode an den Anfang des Files und hängt eine ausführbare Dateiendung (*.lnk, *.pif, *.bat, etc.) an die Datei an und verschickt sie anschließend als Attachment über einen im Wurm-Code integrierten SMTP-Server an Kontakte im Windows-Adressbuch. Für den Betreff der Mail setzt SirCam einfach den Namen des Attachments ein, sodass sowohl Dateianhang als auch Betreff stets unterschiedlich und kein Erkennungsmerkmal sind.

Durch diese Faktoren halten offenbar viele Anwender solche Mails für harmlos – obgleich man sie am stets im Mail-Body auftauchenden "Hi! How are you?" oder "Hola como estas?" in der spanischen Version erkennen könnte. Sogar bei der FBI-Abteilung NIPC (National Infrastructure Protection Center) kursierte der Schädling. Die besondere Ironie in diesem Fall: "SirCam" schnappte sich ein Dokument, dass als "for official use only" gekennzeichnet war und über einen anderen Schädling ("Leave") informierte. Innerhalb weniger Minuten verbreitete sich SirCam im gesamten NIPC-Netzwerk.

Dirk Kollberg, Virenexperte bei Network Associates, weist darauf hin, dass ältere Virenscanner womöglich die Endungen *.pif und *.lnk als ungefährlich einstufen – man sollte also auf jeden Fall überprüfen, ob man die jeweils aktuellste Version eines Virenscanners installiert hat.

Die beiden Schädlinge – wenn sie auch völlig unterschiedlichen Charakter haben – zeigen, dass bei der Entwicklung solcher "Malware" noch lange kein Ende abzusehen ist. Vor vier Jahren hielt man noch Melissa für äußerst gefährlich, vor einem Jahr legte Loveletter das halbe Internet kurzzeitig lahm. Doch Schädlinge wie "SirCam" oder "Code Red" zeigen wieder einmal eines: Durch Kombination verschiedener beziehungsweise Integration neuer Schad- und Verbreitungsroutinen werden noch üblere Schädlinge auf die Internet-Gemeinde zukommen. (pab/c't)
Quelle: Heise.de Newsticker

Viele Liebesbriefe wohl in Word getippt wurden :lach :D :lach. Das zeigt nur mal wieder deutlich, wie gefährlich es ist Standards einfach nur hinzunehmen statt sich selber Gedanken z.B. bei der Dateiablage zu machen!!


Matze

FBI schickte Internet-Wurm SirCam auf die Umlaufbahn


Seit Mitte Juli erfreut der Internet-Wurm "SirCam" PC-Benutzer. Er durchsucht in Rechnern alle Mailprogramme für Windows, extrahiert Adressen und verschickt zufällig ausgewählte Dateien ( .doc, .xls, .zip oder .exe) als Anhang. Zwar hat er sich anfangs nur gemächlich verbreitet – wobei er diesmal nicht auf Outlook angewiesen ist -, doch mittlerweile e erachten ihn Unternehmen als Gefahr, und Anti-Virus-Spezialist Kaspersky Labs schätzt seine Verbreitung als höher ein als den seinerzeit berühmt gewordenen Love-Virus.
Nun wurde bislang gerätselt, wer diesen Wurm in die Welt gesetzt haben könnte. Doch etliche Spekulationen über Urheberschaften in Mexiko, den Philippinen (!) sind nun beendet. In einer Erklärung bedauert die amerikanische Bundespolizei FBI, dass er selbst den Wurm losgeschickt habe. Laut FBI-Sprecher Steven Berry hatte ihn ein Mitarbeiter der Sicherheitsabteilung im hauseigenen Netz getestet und bedauerlicherweise nach außen verschickt. Im Anhang wären acht FBI-Dateien mitgeschickt worden; eines der Dokumente war als "vertraulich" eingestuft worden.

Wer den Wurm verstehen und entfernen will, ist auf der Webside von Kaspersky bestens bedient. (wl)

Quelle: http://www.computerpartner.de


http://www.kaspersky.com/news.asp?tnews=0&nview=7&id=208&page=0

x

Microsoft und die Faulheit vieler Anwender sich mal über z.B. eine eigene, bei weitem besseres Dateiablagesystem gedanken zu machen, machen es mal wieder möglich. Natürlich gehört auch eine ordentliche Portion "Bösheit" dazu, so ein Ding zu produzieren. Was mich allerdings interessiert, wenn der wirklich vom FBI in die "Freiheit" entlassen wurde, sind die jungs aus USA dann nicht Schadensersatzpflichtig so wie es auch die "kleinen Virenprogrammierer" sind? Oder gilt hier nicht das Verursacherprinzip, uns hat das Ding z.B. mit zei Mann einen kompletten Vormittag gekostet + 2 Systeme die total neu aufgesetzt werden mussten :gomad.

Mr. ich empfehle Dir, die IP Adressen zu notieren und die jungs mal zurückzupingen! MS-DOS Eingabeaufforderung aufmachen und ping + ip adresse eingeben und enter drücken.

Noch besser ist es, eine traceroute zu starten auf ähnlichem Weg, dann kannst du den weg zurückverfolgen und meistens merken die das sofort und lassen es sein, weil man ja nicht weiss, wer nun wirklich auch der anderen Seite ist!

Diese "Scriptkiddies", die leider schon zu hauf Ihr unwesen treiben im Internet und eigentlich überhaubt nicht begreifen, was sie machen, gehört auch mal ordentlich einer vorn Latz geballert und Mama und / oder Papa sollten denen mal den Arsch versohlen, aber gehörig!

Matze

x

Lass uns diese Leute doch mal zurückschiessen :D :D, wir schicken Ihm morgen mal einen POD (Ping of Death) :D, dann kann er zumindest neu starten, der sack!

Matze

x

Neuer Angriff des Virus "Code Red" könnte Internet verlangsamen

Washington (Reuters) - Durch den von Experten erwarteten neuen Angriff des Computervirus' "Code Red" wird möglicherweise der Internet-Verkehr auf breiter Basis beeinträchtigt werden. "Es besteht Anlass zur Sorge, dass ein hoher Internet-Verkehr verbunden mit dem sich verbreitenden Wurm Funktionen des Internets einschränken wird und normale Nutzer davon betroffen werden", sagte Sicherheitsbeauftragter der US-Bundespolizei FBI Ronald Dick am Montag. Sicherheitsexperten fürchten, dass "Code Red" am Dienstag um 20.00 Uhr Ortszeit (Mittwoch 02.00 Uhr MESZ) durch rasche Verbreitung den Internet-Verkehr stört.

Der Virus, der sich über bestimmte Servertypen über das Internet verbreitet, werde wahrscheinlich in der neuen Variante noch mehr Schaden anrichten als beim ersten Mal, warnten Experten des FBI, der Regierung und der Computerindustrie.

"Code Red", ein so genannter Computerwurm, war erstmals am 19. Juli aufgetaucht und hatte in der vergangenen Woche rund 300.000 Websites, darunter auch US-Regierungssites, infiziert. Erst am vergangenen Dienstag hatte das US-Verteidigungsministerium seine zuvor geschlossenen Websites wieder geöffnet, nachdem von Experten vorläufige Entwarnung gegeben worden war. "Code Red", der nach einem bei Computer-Programmierern beliebten, koffeinhaltigen Getränk benannt ist, nutzt ähnlich wie der verheerende "I-Love-You-"Virus zu seiner Verbreitung die Kommunikationskanäle des Internets. Der "I-Love-You-"-Virus hatte im Mai vergangenen Jahres weltweit E-Mail-Systeme blockiert, Server lahm gelegt und Schäden in Milliarden-Höhe verursacht.

Der Wurm hat sich nach Expertenangaben aber seit seinem ersten Auftreten verändert. Die Verbreitung des Wurms, der nicht nur Websites entstellt, sondern auch das Internet nach neuen Opfern durchsucht, könne auf Grund seiner Funktionsweise geschäftlichen und privaten Internet-Verkehr beeinträchtigen. Auf verschiedenen Plattformen könne es zu Abstürzen kommen.

Woher "Code Red" stammt, ist noch nicht geklärt. Auf den Bildschirmen einiger infizierter Computer erschien die Mitteilung "Hacked by Chinese" (ungefähr "Von Chinesen geknackt"). Zunächst war befürchtet worden, dass infizierte Computer die Websites des US-Präsidialamtes mit Anfragen überhäufen und so lahm legen könnten. Diese so genannten "Denial of Service"-Attacken konnten Regierungsangaben zufolge jedoch weitgehend vereitelt werden.

Der Wurm sei so programmiert, dass er in der Sprache der normalen Browser auf eine auf dem Server gelagerte Website zugreife und dabei sein bösartiges Päckchen mit Anweisungen zur Weiterverbreitung ablege. Der Wurm nutze dabei eine bekannte Sicherheitslücke des Internet Information Server von Microsoft, erklärte Roman Danilyw von der Abteilung für Computersicherheit der Carnegie Mellon-Universität (CERT).

Computer, die die Microsoft-Betriebssysteme Windows NT oder Windows 2000 sowie die Internet-Information-Server-Software 4.0 oder 5.0 nutzen, sind den Angaben zufolge angriffsgefährdet. Um die Schäden durch "Code Red" so gering wie möglich zu halten, empfehlen die Experten den Anwendern, sich unter www.digitalisland.net/codered über einen Virenschutz zu informieren.

gefunden in:
http://www.reuters.de/news_article.jhtml?type=internetnews&StoryID=140309

Ick hab üüüüüüüüüüüberhaupt keine Probleme! :D Eine schreibgeschützte Diskette als Server scheint wohl wahre Wunder zu wirken. :hihi

"Code Red"-Attacke bisher harmlos

Die erwartete Großattacke des Computervirus "Code Red" ist in der Nacht zum Mittwoch offenbar zunächst ausgeblieben. Das FBI teilte mit, der Computerwurm habe bisher kaum Schäden angerichtet. Man könne aber auch noch nicht sagen, dass der Sturm vorbei sei.

Washington - Wie das FBI-Zentrum zum Schutz der Nationalen Infrastruktur (NIPC) am späten Dienstagabend (Ortszeit) mitteilte, wirkten vermutlich die Schutzmaßnahmen gegen die Attacke. Der Angriff durch den Computerwurm "Code Red" hatte nach Berechnungen der Experten um 2.00 Uhr MESZ begonnen.

NIPC-Chef Ron Dick erklärte, auch wenn es keine Berichte über Schäden gebe, könne man aber noch nicht sagen, dass der Sturm vorüber sei. Es werde noch einige Zeit dauern, bis das FBI eine genaue Schadensanalyse machen könne. Er betonte, falls es bei dem bisherigen Stand bleibe, könne man sagen, dass die Attacke nicht zuletzt dank der ausführlichen Medien-Berichterstattung abgewehrt worden sei. Viele Firmen und Organisationen, die Computer mit den anfälligen Microsoft-Betriebssystemen Windows NT oder Windows 2000 benutzten, hätten sich dadurch noch rechtzeitig geschützt. Über eine Million Computernutzer hätten auf den Webseiten des Softwareriesen Microsoft die Abwehrsoftware (Patches) heruntergeladen.

Allerdings stellten einige Sicherheitsfirmen wenige Stunden nach Erwachen des Wurms bei Kunden eine gewisse Verlangsamung im Internetverkehr fest. Es gebe jedoch keine größeren Probleme. Computerexperten wiesen aber daraufhin, dass es einige Zeit dauern könnte, bis der Schaden feststehe, den "Code Red" angerichtet habe.

Eine Regierungssprecherin teilte auf der FBI-Pressekonferenz in Washington mit, dass die Webseiten aller Ministerien und Regierungsorganisationen die Attacke unbeschadet überstanden hätten. Bei seinem ersten Auftauchen Mitte Juli hatte "Code Red" unter anderem die Webseiten des Weißen Hauses angegriffen. Die Attacke war jedoch durch einen technischen Trick ins Leere gelenkt worden.

"Code Red" ist so programmiert, dass er sich in Computern mit den Betriebssystemen Windows 2000 und NT einnistet, die die Versionen 4.0 und 5.0 der Webserver-Software verwenden. Er vermehrt sich dann und nutzt diese Rechner für eine massive Attacke auf US- Regierungsstellen, die unter der Datenflut zusammenbrechen können. Die meisten privaten Nutzer, die die Betriebssysteme Windows 95, 98 und ME verwenden, müssen sich keine Gedanken machen, dass ihr Rechner befallen wird.

Experten hatten die Gefahr, die von "Code Red" ausgeht von Anfang an unterschiedlich bewertet. Das FBI-Zentrum zum Schutz der Nationalen Infrastruktur warnte, der Wurm habe das Potenzial, den Geschäftsverkehr und die persönliche Nutzung im Internet zu unterbrechen. Dagegen hatte der Computerexperte David Perry im Fernsehsender CNN erklärt, es werde durch den Wurm sicher einigen Betrieb im Internet geben, aber er rechne nicht mit weit reichenden Folgen.

gefunden in:
http://www.spiegel.de/netzwelt/technologie/0,1518,147997,00.html

Alles halb so wild... ;)

Man munkelte auch von knapp 200.000 infizierten Webservern, nicht überall outet sich der Virus mit "hacked by chinese", sondern bleibt still im Hintergrund bis zum Datum x aktiv!!!.... :ek :ek

Matze

Berlin/Washington - Der von Experten befürchtete neue Angriff des Computer-Virus' "Code Red" wird voraussichtlich den Internet-Verkehr beeinträchtigen, aber Einzelplatzrechner verschonen. "Ein normaler PC ist gar nicht betroffen", sagte Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn am Dienstag der Nachrichtenagentur Reuters. Der Virus attackiert unter anderem Windows-Rechner, die über bestimmte Servertypen in Netzwerke eingebunden sind. Amerikanische Sicherheitsexperten fürchten, dass "Code Red" ab Mittwoch, 02.00 Uhr MESZ, durch eine rasche Verbreitung den Internet-Verkehr auf breiter Basis stören wird.
"Wenn dieser Wurm so erfolgreich ist, wie es sich die Hersteller erhoffen, könnte das Internet verlangsamt werden", sagte Dickopf. Aber: "Man kann sich davor schützen." So hält das BSI auf seiner Website www.bsi.bund.de Informationen über mögliche Abwehrmaßnahmen für betroffene User bereit.

Die Firma eEye Digital Security hält unter www.eeye.com/html/Research/Tools/codered.html einen "Code-Red"-Scanner bereit, der Computer auf ihre Anfälligkeit für den Virus untersucht. Ist die Maschine gefährdet, kann der Nutzer unter www.microsoft.com ein kleines Programm herunterladen, das das Sicherheitsloch schließt.

© manager-magazin

Ich möchte mal einfach so in den Raum stellen, das mit Code Red verseuchte Windows 2000 Server in der Hauptsache am verschulden der / des Webmasters liegt. Diese Sicherheitslücke ist schon ein paar Tage länger bekannt und konnte auch relativ schnell nach bekannt-werden von MS mit einem Patch behoben werden. Wenn ich nun lese, das um 5 vor 12 tausende den Patch erst runtergeladen haben, dann ist das schon Grund genug, den Provider wegen "unterlassener Hilfeleistung" anzugehen.

Matze

Code Red mutiert (Update)

Der Code-Red-Wurm tritt seit gestern anscheinend in mutierter Form auf. Während der Anti-Viren-Software-Hersteller Symantec von CodeRed.v3 spricht, den man noch analysieren müsse, ist in diversen Newsgroups vom Auftauchen eines Code Red II zu lesen.

Die Mutation nutzt die gleiche Sicherheitslücke in Microsofts Internet Information Server (IIS) und sollte daher gepatchten Systemen nicht gefährlich werden können. Der Wurm verfügt über einen geänderten IP-Scanning-Algorithmus, um Rechner zu finden, die noch infiziert werden können. Er generiert Zieladressen, die zur Hälfte aus dem gleichen Class-A-Netz stammen wie der befallene Rechner (zum Beispiel 192.x.y.z) und zu drei Achteln aus dem gleichen Class-B-Netz (192.168.x.y), was zu einer stärkeren Verbreitung im jeweiligen lokalen Netz beiträgt. Die restlichen IP-Adressen werden zufällig erzeugt. Weiterhin nistet sich Code Red II als "Explorer.exe" ins Stammverzeichnis der Laufwerke C: und D: ein und startet danach das betroffene System neu. Vermutlich ist der Wurm überdies in der Lage, die Windows File Protection abzuschalten. (lab/c't)

Quelle: http://www.heise.de/newsticker/data/lab-05.08.01-001/

Matze

Suche nach dem «Code Red»-Programmierern

Hamburg (dpa) - Bei der Suche nach den Programmierern des Sabotage-Programms «Code Red» führt eine heiße Spur nach Europa. Die niederländische Hacker-Gruppe «29a» habe sich im Netz öffentlich selbst bezichtigt, den Internet-Wurm in Umlauf gebracht zu haben. Das erfuhr die dpa von mehreren Sicherheitsexperten. Inzwischen verbreitete sich der Wurm und seine Variante «Code Red II» heute weiter. Experten zufolge sind die Würmer nur Vorboten einer neuen Serie von Internet-Sabotage-Programmen.

gefunden in:
http://www.neue-oz.de/tickerFullSize.php?file=hfk101_5_0708_0807140248.txt

So etwas Geniales kann ja auch nur aus Europa kommen? :hihi