Neuer Virus - schon bekannt?

Anonym · 26. November 2001 um 17:38

Hallo,

ich habe heute einen offenkundigen Virus erhalten, der aber von meinem Scanner nicht erkant wird - auch nicht nach update der Signaturen.

Er steckte in einer Mail mit seriösem Absender und auf dem ersten Blick durchaus seriösen Betreff Re: Anfrage über die Händlerliste von RESALE.DE

Als Content-type für den Anhang ist audio/xwav angegeben, der Anhang selbst nennt sich s3msong.doc.scr und besteht aus einer 29.020 Byte grossen ausführbaren .exe-Datei.

Sämtliche Debug-Infos scheinen gestrippt zu sein, so dass ich bei einer vorläufigen Analyse nur Zugriffe auf die DLLs KERNEL32.DLL, ADVAPI32.dll, MSVCRT.dll, USER32.dll, WSOCK32.dll sowie die Funktionen LoadLibraryA, GetProcAddress, ExitProcess, RegCloseKey, rand und SetTimer ausmachen kann.

Möglicherweise verschlüsselt das Ding sich selbst, um eine nähere Analyse zu erschweren.

Hat jemand eine Ahnung, worum es sich bei diesem Virus handeln könnte?

Sebastian · 26. November 2001 um 17:45

ich habe heute einen offenkundigen Virus erhalten, der aber
von meinem Scanner nicht erkant wird - auch nicht nach update
der Signaturen.

Danke für meine Unterstützung in der Meinung, daß Virenscanner sinnlos sind.

Er steckte in einer Mail mit seriösem Absender und auf dem
ersten Blick durchaus seriösen Betreff Re: Anfrage über die
Händlerliste von RESALE.DE

[Nette Analyse - Kompliment]

http://www.heise.de/newsticker/data/lab-26.11.01-000/

Sebastian

Michael_Kling · 26. November 2001 um 18:19

ich habe heute einen offenkundigen Virus erhalten, der aber
von meinem Scanner nicht erkant wird - auch nicht nach update
der Signaturen.

Danke für meine Unterstützung in der Meinung, daß Virenscanner
sinnlos sind.

Hi Sebastian

Du gestattest, daß ich widerspreche
Ein HIRNLOS genutzter Virenscanner ist sinnlos.
Sprich: wer sich blöde auf seinen Virenscanner verlässt, muß halt mit einer Infektion rechnen.
100% Sicherheit ist nicht machbar. Aber das ist kein Grund, beispielsweise in einem Auto die Sicherheitsgurte wegzulassen *g*
Ein Virenscanner ist ein Hilfsmittel (!!!), vor allem, wenns es bei Virenflut reinhagelt. Aber der beste Schutz ist immer noch der Mann, der vor dem Rechner sitzt.

Die Moral von der Geschicht: E-mails mit Attachments GANZ GENAU anschauen. Notfalls löschen und zurückfragen.
(Und wer im Outlook die Vorschau und Autoausführung an hat, dam ist nimmer zu helfen…)

Gruß
Mike

Sebastian · 26. November 2001 um 18:36

Du gestattest, daß ich widerspreche

Nur zu.

Ein HIRNLOS genutzter Virenscanner ist sinnlos.
Sprich: wer sich blöde auf seinen Virenscanner verlässt, muß
halt mit einer Infektion rechnen.

Äh… Wozu ist das sonst da, wenn man sich nicht drauf verlassen kann?

100% Sicherheit ist nicht machbar. Aber das ist kein Grund,
beispielsweise in einem Auto die Sicherheitsgurte wegzulassen
*g*

Der Vergleich hinkt gewaltig. Ich verstehe das so, daß Du, wenn Du Anschnallgurte im Auto hast, ruhig betrunken und ohne funktionierene Bremsen fahren willst?

Nicht wirklich. Bitte.

Ein Anschnallgurt soll nicht gelfen, Entscheidungen zu treffe, ein Virenscanner dahingegen wohl schon, oder? (ich habe sowas hier nämlich nicht…)

Ein Virenscanner ist ein Hilfsmittel (!!!), vor allem, wenns
es bei Virenflut reinhagelt.

Inwiefern hilft es mir dann? Hier hagelt auch gerade massiv dieses Ding rein.

Aber der beste Schutz ist immer
noch der Mann, der vor dem Rechner sitzt.

Eben. Mit einer Frau sollen die Erfolge unbestätigten Gerüchtenzufolge im ganzen auch nicht schlechter sein.

Die Moral von der Geschicht: E-mails mit Attachments GANZ
GENAU anschauen.

Ja.

Notfalls löschen und zurückfragen.

Ja.

(Und wer im Outlook die Vorschau und Autoausführung an hat,
dam ist nimmer zu helfen…)

Ja. Und wer das bei Word und Excel hat auch nicht. Und wer Outlook hat, sowieso nicht. So einfach ist das.

Bei allen anderen existiert wenigstens noch eine Chance

Sebastian

Anonym · 26. November 2001 um 18:46

veileicht Bad Trans ?? ‚schutzmassnahmen‘…
Hallo,

weiss jetzt nicht 100% ob es sich um diesen bad trans handelt…aber hier kann man sich infos holen !

http://www.heise.de/newsticker/data/lab-26.11.01-000/

gruss,
ufu

Michael_Kling · 26. November 2001 um 19:18

Hi sebastian
In einem sind wir uns einig
Der Mensch ist der Schwachpunkt bei der IT-Sicherheit.

Ein Virenscanner (up to date) hat den Vorteil, daß vieles, was so ankommt, abgefangen wird. Insbesondere der ganze Uraltschrott… wenn an einem Tag auf drei mailaccounts dreier verschiedener user mal wieder Sircam in Massen eintrudelt (ein zäher Virus *g*) dann schlägt das Ding eben schon Alarm.
Das ist ganz praktisch… dadurch spar ich mir die Analyse des Attachments.

Aber man muß sich immer immer immer vor Augen halten, daß ein Virenscanner ein HILFSmittel ist.
Und gegen ein neues Tierchen hilft er halt nicht.
(Egal was irgendwelche Werbefritzen behaupten)

jemand, der sich BLIND auf seinen Virenscanner verlässt, gleicht wirklich einem, der besoffen, aber angeschnallt Auto fährt. Das spricht aber nicht dagegen, daß man sich auch nüchtern anschnallt.
Wir sind alle nur Menschen, und wie schnell hat man mal danebengeklickt. Ich verlasse mich auf den Scanner, aber eben nicht absolut. Sprich: verdächtige Mail ohne Alarm wird trotzdem kritisch beleuchtet. Verdächtige mail MIT Alarm wandert gleich in den Müll.

So einfach isses
Gruß
Mike

Markus_Bradtke · 26. November 2001 um 22:57

Als Content-type für den Anhang ist audio/xwav angegeben, der
Anhang selbst nennt sich s3msong.doc.scr und besteht aus einer
29.020 Byte grossen ausführbaren .exe-Datei.

Du verwendest hoffentlich kein Outlook ohne Sicherheitspatches!
Ansonsten führt diese Konstruktion dazu, daß die exe-Datei ausgeführt wird, weil sie laut MIE-Type eine harmlose wav-Datei ist.

Sämtliche Debug-Infos scheinen gestrippt zu sein, so dass ich
bei einer vorläufigen Analyse nur Zugriffe auf die DLLs
KERNEL32.DLL, ADVAPI32.dll, MSVCRT.dll, USER32.dll,
WSOCK32.dll sowie die Funktionen LoadLibraryA,
GetProcAddress, ExitProcess, RegCloseKey, rand und
SetTimer ausmachen kann.

Möglicherweise verschlüsselt das Ding sich selbst, um eine
nähere Analyse zu erschweren.

Schicke mir bitte die betreffende Datei per eMail zu. Ich möchte sie mir einmal genau ansehen.

CU
Markus

Anonym_610239e66343 · 27. November 2001 um 00:34

Ich habe das Ding auch.
Laßt mich bitte nicht dumm sterben und sagt einem absoluten Laien wie er das Ding wieder runter kriegt.
*Ayascha*, völlig verzweifelt

Toni_9329a9 · 27. November 2001 um 02:31

Ich habe das Ding auch.
Laßt mich bitte nicht dumm sterben und sagt einem absoluten
Laien wie er das Ding wieder runter kriegt.
*Ayascha*, völlig verzweifelt

Mehr habe ich auch noch nicht rausbekommen.

These are a couple examples of possible choosen subject lines:

Me_nude.zip.scr
README.MP3.pif
stuff.zip.pif

Body: (Blank)

If executed, the worm copies itself in the \windows%system%
directory under the filename „kernel32.exe“. So that it gets run
each time a user restart their computer the following registry key
gets added:

(HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Kernel32 =„kernel32.exe“)

Removal:

Step 1.) Run a deep scan of your PC and delete any files identified
as being infected with I-Worm.Badtrans.B

Step 2.) Delete the created registry key listed above

Ich hoffe es hilft.
Toni
Also in der Registry den eingeklammerten Bereich löschen.

Anonym · 27. November 2001 um 03:31

Neuer Virus - Update
Sebastian hat recht, es ist der Badtrans. Einen Bereitschaftseinsatz in anderer Sache nutzend, habe ich mir gerade die Signaturen nochmals heruntergeladen, jetzt erkennt der Scanner ihn auch.

Die Sigtnaturdatei ist von vorgestern, irgendwas hab’ ich heute nachmittag also falsch gemacht. Merke: Ein Virenscanner ist nur so gut, wie derjenige, der ihn bedient.

Inzwischen ist der Badtrans weitere vier mal bei mir eingegangen, für meinen Mailserver ist das ein neuer Rekord. Scheint hochvirulent zu sein.

Anonym · 27. November 2001 um 11:21

Du verwendest hoffentlich kein Outlook ohne
Sicherheitspatches!
Ansonsten führt diese Konstruktion dazu, daß die exe-Datei
ausgeführt wird, weil sie laut MIE-Type eine harmlose
wav-Datei ist.

.
.

Schicke mir bitte die betreffende Datei per eMail zu. Ich
möchte sie mir einmal genau ansehen.

Hallo Markus,

Nachdem geklärt ist, dass es sich um den BadTrans handelt, erübrigt sich wohl das Zusenden.
Bis zum Outlook kommt bei mir eine solche Mail gar nicht erst, da als Dokument getarnte ausführbare Dateien bereits auf dem Server abgefangen werden. Den Virenscanner benutze ich lediglich zum nachträglichen verifizieren der gesperrten Mails.

Schorsch

Sebastian · 27. November 2001 um 12:26

hi, Markus,

Nachdem geklärt ist, dass es sich um den BadTrans handelt,
erübrigt sich wohl das Zusenden.

Falls Du dennoch einen haben willst: ich könnte Dir eine Rohfassung zukommen lassen.

Sebastian

Uschi_ecad58 · 27. November 2001 um 12:41

Dummie-Frage dazu *seufz*
Hallo ihr Experten,

ich bekam gestern auch dieses Teil, im Betreff stand nur Re: , der Absender waren offensichtlich 2 „unverfängliche“ Namen (Heike und *habichvergessen* Familienname). Da ich in letzter Zeit ziemlich viele mails von mir nicht bekannten Leuten bekomme (die z.B. Interesse an meinem Adventskalender haben), hab ich diese mail natürlich auch geöffnet.

Sofort kamen Warnmeldungen von Outlook 2000 von wegen html-Seite und dann hat sich der Windows-Mediaplayer geöffnet, der aber der Meinung war, es handle sich um ein unbekanntes Format (da konnte ich dann auch den „Titel“ You-are-fat" oder so ähnlich lesen. Ich hab dann sofort alles (Mediaplayer, email) geschlossen, gelöscht; dann die temporären Internet-Files gelöscht und bei TrendMicro nen Virenscan machen lassen, der nichts gefunden hat.

So, und jetzt meine Frage: hatte das Ding durchs pure Öffnen der email ne Chance, sich zu installieren oder nicht? Mein PC verhält sich nämlich ganz normal…

Klärt mich doch mal bitte einer auf. Vielen Dank.

Gruß
Uschi

Sebastian · 27. November 2001 um 14:22

hab ich diese mail natürlich auch geöffnet.

Das ist ja auch der Sinnvon Mails.

Sofort kamen Warnmeldungen von Outlook 2000 von wegen
html-Seite und dann hat sich der Windows-Mediaplayer geöffnet,

Da der Virus typischerweise mit einem audio-MIME-Typ gesendet wird.

der aber der Meinung war, es handle sich um ein unbekanntes
Format

Ist ja kein Audio, sondern eine andere Datei.

So, und jetzt meine Frage: hatte das Ding durchs pure Öffnen
der email ne Chance, sich zu installieren oder nicht? Mein PC
verhält sich nämlich ganz normal…

Also: Outlook hat die Datei geöffnet, da er es für ein eungefährliche Audio-Date gehalten hat. Inwieweit sie am Mediaplayer gescheitert ist, weiß ich nicht, mir klingt das aber schon nach einer zu späten Reaktion. Ich würde zunächst davon ausgehen, daß der Rechner befallen ist.

Klärt mich doch mal bitte einer auf. Vielen Dank.

Die wichtigste Aufklärung: Überdenke, ob Outlook ein gutes Programm ist oder ob der Ärger, den Du nun hast es nicht rechtfertigt, TheBat! zu kaufen. Oder Pegasus zu nehmen.

Sebastian

Markus_Bradtke · 27. November 2001 um 15:21

Nachdem geklärt ist, dass es sich um den BadTrans handelt,
erübrigt sich wohl das Zusenden.

Falls Du dennoch einen haben willst: ich könnte Dir eine
Rohfassung zukommen lassen.

Hallo Sebastian!

Was meinst Du mit „Rohfassung“?

CU
Markus

Sebastian · 27. November 2001 um 19:32

Was meinst Du mit „Rohfassung“?

base64-kodiert. Du musst noch dekodieren.

Sebastian

Markus_Bradtke · 28. November 2001 um 11:07

Was meinst Du mit „Rohfassung“?

base64-kodiert. Du musst noch dekodieren.

Ach so. Ich dachte, Du meinst den Sourcecode.

Vielen Dank, aber von der kompilierten Version habe ich schon genug Exemplare.

CU
Markus

Sebastian · 28. November 2001 um 14:24

Ach so. Ich dachte, Du meinst den Sourcecode.

Umm. Nö. So sehr ich sonst auf OpenSource plädiere, hiervon habe ich ihn nicht.

(Das wär ja auch recht verdächtig…)

Vielen Dank, aber von der kompilierten Version habe ich schon
genug Exemplare.

dito.

Dennoch schicke ich nicht jedem, der mich darum bittet, ein Exemplar vorbei (dies als vorausgreifender Hint).

Sebastian