ich kann mal wieder den Link zu der Info-Site mit den neuesten Viren nicht finden.
Ich hab vor einer Woche eine Mail an irgendwen geschickt, als Antwort kam: „Re: [Betreff]“, leerer Body, ein 0 Byte-Attachement (ATT + Ziffernkombination.txt; ist öfters mal bei einer virenfreien Mail dabei) - und das Ganze hat 40(!!!) KB!
Im Quelltext steht im Body eine schier unendlich lange Liste von Buchstaben und Zeichen, und, was ich zuerst nicht bemerkt habe:
Es stand da was von MP3 drin oder wav. Ich weiß es nicht mehr - und mein Süßer dürfte die Mail bereits gelöscht haben.
Ich habe auf Antworten geklickt und den Absender gefragt, was diese leere und doch so große Mail bedeutet, da kam sie zurück: Unbekannter Empfänger.
Zwei Tage später traf ich die Frau des Absenders. Sie glaube nicht, dass ihr Mann mir noch eine Antwort geschickt hätte, da er an dem Tag, als meine Mail kam, den Computer abbaute (Umzug).
Ist ein Virus bekannt, der so aussieht?
Ach ja, falls es wichtig ist: Die Mail habe ich nicht nur in der Vorschau von Outlook Express anzeigen lassen, sondern auch durch Doppelklick geöffnet, das Attachement hingegen nicht.
ich kann mal wieder den Link zu der Info-Site mit den neuesten
Viren nicht finden.
Aus Deiner Mail an mich entnehme ich, dass Du den folgenden Link suchst: http://www.hoaxinfo.de
Ich hab vor einer Woche eine Mail an irgendwen geschickt, als
Antwort kam: „Re: [Betreff]“, leerer Body, ein 0
Byte-Attachement (ATT + Ziffernkombination.txt; ist öfters mal
bei einer virenfreien Mail dabei) - und das Ganze hat 40(!!!)
KB!
Zwei Tage später traf ich die Frau des Absenders. Sie glaube
nicht, dass ihr Mann mir noch eine Antwort geschickt hätte, da
er an dem Tag, als meine Mail kam, den Computer abbaute
(Umzug).
Der Virus „Badtrans.b“ verschickt sich automatisch per eMail.
Ach ja, falls es wichtig ist: Die Mail habe ich nicht nur in
der Vorschau von Outlook Express anzeigen lassen, sondern auch
durch Doppelklick geöffnet, das Attachement hingegen nicht.
Der Virus nutzt einen Bug im Internet Explorer aus (wird zur Anzeige von eMails in Outlook verwendet). Es reicht ggf. das Anzeigen(!) der eMail, um den Virus zu aktivieren.
Welche Version des IE verwendest Du (exakte Versionsangabe)? Irgendwelche ServicePacks eingespielt?
Du solltest Dir dringend einen aktuellen Virenscanner besorgen!
Der Virus „Badtrans.b“ verschickt sich automatisch per eMail.
Issa toll. ((
Mittlerweile verwünschen mich schon hunderte Zeitgenossen
Der Virus nutzt einen Bug im Internet Explorer aus (wird zur
Anzeige von eMails in Outlook verwendet). Es reicht ggf. das
Anzeigen(!) der eMail, um den Virus zu aktivieren.
Wie tröstlich!
Welche Version des IE verwendest Du (exakte Versionsangabe)?
5.00.2614.3500
Irgendwelche ServicePacks eingespielt?
Nö, nicht dass ich wüßte.
Du solltest Dir dringend einen aktuellen Virenscanner
besorgen!
Ich hab doch ZoneAlarm! Und mache alle 14 Tage ein Update!
Manchmal schießt er zwar übers Ziel und glaubt in harmlosen Attachements ein Virus zu erkennen, aber manchmal hat er auch schon echte Viren abgewehrt.
Ähm… Eigentlich hab ich den noch nicht gekannt, sondern nur
den von der tu-berlin, aber ich lege ihn mir zu den Favoriten!
Das ist nur ein ALias auf die Hoax-Seiten der TU Berlin.
Welche Version des IE verwendest Du (exakte Versionsangabe)?
5.00.2614.3500
Irgendwelche ServicePacks eingespielt?
Nö, nicht dass ich wüßte.
Schlecht für Dich, gut für den Virus!
Der Bug existiert bis einschließlich Version 5.5 SP1.
Ich hab doch ZoneAlarm! Und mache alle 14 Tage ein Update!
Manchmal schießt er zwar übers Ziel und glaubt in harmlosen
Attachements ein Virus zu erkennen, aber manchmal hat er auch
schon echte Viren abgewehrt.
Was auch immer ZoneAlarm da mit den Attachments macht ist nicht effektiv. Besorge Dir umgehend einen „richtigen“ Virenscanner.
In eine Software zum Schutz Deines PCs, die nicht einmal den IFRAME-Exploit von „Badtrans.b“ erkennt, hätte ich kein Vertrauen.
Ich hab doch ZoneAlarm! Und mache alle 14 Tage ein Update!
Manchmal schießt er zwar übers Ziel und glaubt in harmlosen
Attachements ein Virus zu erkennen, aber manchmal hat er auch
schon echte Viren abgewehrt.
Ob ich an ZoneAlarm mailen soll?
ZoneAlarm hat als Firewall nicht die Fähigkeiten zur Virenerkennung wie ein spezieller Virenscanner.
Ich würde empfehlen, dass du Dir mal die folgenden Seiten der c’t ansiehst. Dort findest Du Infos sowie Links zu kostenlosen Scannern und auch einige Hintergrudinfos sowie eine Testmöglichkeit um die gröbsten Lücken in Deiner email-Software zu finden.
Du solltest Dir dringend einen aktuellen Virenscanner
besorgen!
Ich hab ja auch Norton AntiVirus!
Mit dem wollte ich die Mail überprüfen, weiß aber nicht, wie das geht. Jedes Dokument auf meiner Festplatte kann ich per rechtem Mausklick mit Norton AntiVirus überprüfen lassen, nur - wie geht das mit den Mails?
Ich hab jetzt mal Norton AntiVirus über die Festplatten gejagt, ich wollte wissen, ob der diesen Virus erkennt.
Er hat eine infizierte Datei gefunden, mit genau dem Virus, den Du genannt hast. Norton AntiVirus hat dann die Datei isoliert. Der Virus kann sich jetzt nicht mehr verbreiten und kann keinen weiteren Schaden anrichten.
Genügt es jetzt, die isolierte Datei zu löschen?
Warum gibt Norton AntiVirus nicht Alarm, wenn ein Virus eindringt? Läuft der nicht permanent im Hintergrund?
kleine zusatzinfo mailadresse absender
Hallo Hanna,
zu badtrans hast du ja schon alle wichtigen Infos bekommen.
Nur noch ein kleiner Zusatz:
Die Mail, die du an den Absender geschickt hast, kam eventuell deshalb zurueck, weil badtrans die Mailadresse des Absenders mit einem Unterstrich _ vor dem Namen veraendert. Den mmusst du rausnehmen, wenn du direkt per reply antwortest.
Ansonsten - Gute Jagd!
gernot
PS: Hast bei deinem Norton „Auto Protect“ aktiviert und die neueste Signatur drin? Dann sollte er ihn eigentlich sofort beim Zugriff erkennen.
Ich hab ja auch Norton AntiVirus!
Mit dem wollte ich die Mail überprüfen, weiß aber nicht, wie
das geht. Jedes Dokument auf meiner Festplatte kann ich per
rechtem Mausklick mit Norton AntiVirus überprüfen lassen, nur
wie geht das mit den Mails?
Mit der Bedienung des NAV kann ich Dir leider nicht weiterhelfen, da ich einen anderen Scanner einsetze. Aber es gibt hier sicher auch noch Leute die Dir damit weiterhelfen werden.
Ich hab jetzt mal Norton AntiVirus über die Festplatten
gejagt, ich wollte wissen, ob der diesen Virus erkennt.
Er hat eine infizierte Datei gefunden, mit genau dem Virus,
den Du genannt hast. Norton AntiVirus hat dann die Datei
isoliert. Der Virus kann sich jetzt nicht mehr verbreiten und
kann keinen weiteren Schaden anrichten.
Genügt es jetzt, die isolierte Datei zu löschen?
Schau Dir mal folgende Seite an. Dort wird Badtrans.b (die nennen ihn W32/Badtrans@MM, aber das macht keinen Unterschied) ausführlich beschrieben, incl. einer Anleitung zur manuellen Entfernung.
Ich hab ja auch Norton AntiVirus!
Mit dem wollte ich die Mail überprüfen, weiß aber nicht, wie
das geht. Jedes Dokument auf meiner Festplatte kann ich per
rechtem Mausklick mit Norton AntiVirus überprüfen lassen, nur
wie geht das mit den Mails?
Das Problem liegt darin, dass Outlook die Mails in einem eigenen Format speichert (alle eMails eines Outlook-Ordners in einer großen Datei). NAV scannt nur Dateien und kann das Dateiformat von Outlook offenbar nicht interpretieren.
Zwei Möglichkeiten sehe ich:
a) Einen Virenscanner verwenden, der zusätzlich den Netzwerkverkehr scannt.
b) Internet Explorer aktualisieren und Outlook so konfigurieren, dass es keine aktiven Inhalte mehr ausführt. Oder: anderes eMail-Programm verwenden, dass nicht auf dem Internet Explorer basiert.
Letzteres ist zwar auch keine absolute Sicherheit, schützt Dich aber zumindest vor all denjenigen Würmern, die sich durch eben diese Sicherheitslücken in Outlook / im IE verbreiten.
Das Problem liegt darin, dass Outlook die Mails in einem
eigenen Format speichert (alle eMails eines Outlook-Ordners in
einer großen Datei). NAV scannt nur Dateien und kann das
Dateiformat von Outlook offenbar nicht interpretieren.
Soweit wahrscheinlich richtig, obwohl es mich sehr wundert, aber ich kennen den NAV nicht.
Zwei Möglichkeiten sehe ich:
a) Einen Virenscanner verwenden, der zusätzlich den
Netzwerkverkehr scannt.
Ein sogenannter On-Access Scanner, d.h. einer der Dateien beim Zugriff scannt (im Hintergrund) sollte den Virus im Moment des Öffnens/Startens, auch aus Outlook heraus, erkennen und je nach Konfiguration tätig werden z.B. Isolieren, Löschen etc.
Das ist natürlich auch nicht 100% verläßlich -was ist das bei diesem Thema schon ?- aber Doch ein zusätzlicher Schutz. Der Einsatz eines solchen Hintergrund-/Zugriffsscanners frisst allerdings einiges an Resourcen und führt auf älteren Rechnern zu einer deutlich spürbaren Verlangsamung des Systems.
Ich hab ja auch Norton AntiVirus!
Mit dem wollte ich die Mail überprüfen, weiß aber nicht, wie
das geht. Jedes Dokument auf meiner Festplatte kann ich per
rechtem Mausklick mit Norton AntiVirus überprüfen lassen, nur
wie geht das mit den Mails?
Das Problem liegt darin, dass Outlook die Mails in einem
eigenen Format speichert (alle eMails eines Outlook-Ordners in
einer großen Datei). NAV scannt nur Dateien und kann das
Dateiformat von Outlook offenbar nicht interpretieren.
Es gibt eine Möglichkeit, eine Mail ganz schnell auf einen anderen Platz zu kopieren: Ich verkleinere das Fenster von Outlook-Express, klicke das Mail einmal an und ziehe es auf den Desktop (oder auf ein hinter dem Outlook-Express geöffnetes Ordner-Fenster). Schwupps - hab ich dort eine Kopie.
Aber das hab ich mich dann nicht getraut.
Zwei Möglichkeiten sehe ich:
a) Einen Virenscanner verwenden, der zusätzlich den
Netzwerkverkehr scannt.
Ich hab jetzt bei Norton AntiVirus eingestellt, dass er permanent im Hintergrund läuft.
b) Internet Explorer aktualisieren
Welche Version von IE empfiehlst Du mir?
und Outlook so
konfigurieren, dass es keine aktiven Inhalte mehr ausführt.
Wo kann ich das einstellen? Unter „Sicherheit“ habe ich nichts gefunden.
Genügt es jetzt, die isolierte Datei zu löschen?
Wie heißt diese Datei?
So, wie sie im Quelltext der Mail schon genannt wurde:
SEARCHURL.MP3.pif
Es wurde von Norton AntiVirus nur diese eine Datei als infiziert erkannt. Kann ich jetzt davon ausgehen, dass ich nur diese löschen muss? Eine KERNEL32.EXE habe ich nicht auf der Festplatte gefunden.
Verbreitung per E-Mail (*.*.pif, *.*.scr - MIME-Type: audio/x-wav, 29 KB),
Betreff/Subject: „Re:“, „Re: (Original-Betreff)“
Nachricht: ./. (leer, HTML)
Symptome: Existenz der Dateien Kernel32.exe, kdll.dll, cp_25389.nls und protocol.dll
Die Angaben über die Verbreitung stimmen überein, ebenso der Betreff. Ich habe aber keine der angegebenen Dateien auf den Festplatten gefunden.
Es gibt eine Möglichkeit, eine Mail ganz schnell auf einen
anderen Platz zu kopieren: Ich verkleinere das Fenster von
Outlook-Express, klicke das Mail einmal an und ziehe es auf
den Desktop (oder auf ein hinter dem Outlook-Express
geöffnetes Ordner-Fenster). Schwupps - hab ich dort eine
Kopie.
Aber das hab ich mich dann nicht getraut.
Das solltest Du auch vermeiden. Nur weil Du keine Aktion von Outlook siehst, heisst das nicht, dass der Virus nicht trotzdem aktiviert wird.
Zwei Möglichkeiten sehe ich:
a) Einen Virenscanner verwenden, der zusätzlich den
Netzwerkverkehr scannt.
Ich hab jetzt bei Norton AntiVirus eingestellt, dass er
permanent im Hintergrund läuft.
Beachte insbesondere in der letzten Grafik die „Zone für eingeschränkte Sites“. Diese bezieht sich auf die Sicherheitseinstellungen des Internet Explorers.
Wähle für die Sicherheitszone „eingeschränkte Sites“ die in der Anleitung aufgeführten Einstellungen für max. Sicherheit.
So, wie sie im Quelltext der Mail schon genannt wurde:
SEARCHURL.MP3.pif
Es wurde von Norton AntiVirus nur diese eine Datei als
infiziert erkannt. Kann ich jetzt davon ausgehen, dass ich nur
diese löschen muss? Eine KERNEL32.EXE habe ich nicht auf der
Festplatte gefunden.
Okay, dann hast Du scheinbar Glück gehabt. Lass NAV die Datei SEARCHURL.MP3.pif vernichten.
Viren-Datei vernichten, aber wie?
Danke für Deine Ausführungen!
Okay, dann hast Du scheinbar Glück gehabt. Lass NAV die Datei
SEARCHURL.MP3.pif vernichten.
Wenn ich bloß wüßte, wie DAS geht!
Im Fenster „Norton AntiVirus Quarantine - Isolierte Elemente“ wird diese eine Datei angezeigt. Da gibt es auch die Option Löschen, die zur Folge hat, dass die Datei aus der Quarantäne BEFREIT wird!!!
Mir bleibt dann fast nur die Wahl, diese Datei wieder zu suchen, in den Papierkorb zu werfen und zu löachen, oder? Bleibt da eh keine unsichtbare Sicherheitskopie in irgendeinem Windows-Ordner?
Das Problem liegt darin, dass Outlook die Mails in einem
eigenen Format speichert (alle eMails eines Outlook-Ordners in
einer großen Datei). NAV scannt nur Dateien und kann das
Dateiformat von Outlook offenbar nicht interpretieren.
… wenn im NAV unter optionen… e-mail schutz… alle konten aktiviert (markiert) sind, dann läuft jede ankommende mail über NAV, grösse und format ist egal!
… in den konto eigenschaften wird der POP3 posteingang auf 127.0.0.1 geändert!
… wir sind versuche mit verschiedenen viren, in verschieden mail`s gefahren, alle wurden von NAV abgefangen!
… natürlich muss auch auto protect im hintergrund aktiv sein und die virensignatur aktuell sein!
Wenn ich bloß wüßte, wie DAS geht!
Im Fenster „Norton AntiVirus Quarantine - Isolierte Elemente“
wird diese eine Datei angezeigt. Da gibt es auch die Option
Löschen, die zur Folge hat, dass die Datei aus der Quarantäne
BEFREIT wird!!!
Da ich mich mit NAV nicht besonders auskenne, empfehle ich Dir, die Datei in der Quarantäne zu belassen. Dort ist sie für alle praktischen Belange gut aufgehoben. Wenn ich mich richtig erinnere, hat NAV sie dafür in einen gesonderten Ordner verschoben.
… wenn im NAV unter optionen… e-mail schutz… alle konten
aktiviert (markiert) sind, dann läuft jede ankommende mail
über NAV, grösse und format ist egal!
… in den konto eigenschaften wird der POP3 posteingang auf
127.0.0.1 geändert!
… wir sind versuche mit verschiedenen viren, in verschieden
mail`s gefahren, alle wurden von NAV abgefangen!
… natürlich muss auch auto protect im hintergrund aktiv sein
und die virensignatur aktuell sein!
Genau so etwa habe ich gemeint. Ich wusste allerdings nicht, dass Norton eine solche Funktion mittlerweile implementiert hat.
Ich frage mich allerdings, warum NAV dann beim Empfang der eMail keinen Hinweis gegeben hat. Geschieht das Verschieben in die Quarantäne per Default stillschweigend?
Als NAV-Experte kannst Du Hanna vielleicht auch noch einen Tip geben, wie sie das Attachment vernichtet (aus der Quarantäne entfernt).
Genau so etwa habe ich gemeint. Ich wusste allerdings nicht,
dass Norton eine solche Funktion mittlerweile implementiert
hat.
… seit 2 jahren!
Ich frage mich allerdings, warum NAV dann beim Empfang der
eMail keinen Hinweis gegeben hat. Geschieht das Verschieben in
die Quarantäne per Default stillschweigend?
… nein, wenn NAV ein infiszierte datei findet hat man die möglichkeit die datei zu reparieren, löschen oder isolieren, sollte die reapartur oder löschen nicht funktionieren, dann wird sie automatishc in den Qurantäne ordner verschoben!
… aber, wenn Auto-Proteckt nicht eingeschaltet und die POP3 überwachung nicht aktiviert werden, dann gibt es keine überwachung…
… wird aber alles genauestens in der hilfe oder im handbuch beschrieben!
Als NAV-Experte kannst Du Hanna vielleicht auch noch einen Tip
geben, wie sie das Attachment vernichtet (aus der Quarantäne
entfernt).
… die infizierte datei kann ohne probleme mit der option AKTION aus dem Quarantäne ordner gelöscht oder an SARC gesendet werden…
ps an hanna, wenn du noch fragen hast dann melde dich!
Soll ich die infizierte Datei an SARC senden?
Hallo Franz!
Ich frage mich allerdings, warum NAV dann beim Empfang der
eMail keinen Hinweis gegeben hat.
Ich hatte NAV nicht im Hintergrund laufen.
Geschieht das Verschieben in
die Quarantäne per Default stillschweigend?
Das geschah, als ich gestern NAV über die Festplatten gejagt habe.
… wird aber alles genauestens in der hilfe oder im handbuch
beschrieben!
DAS war jetzt ein heißer Tipp! DANKE!
Als NAV-Experte kannst Du Hanna vielleicht auch noch einen Tip
geben, wie sie das Attachment vernichtet (aus der Quarantäne
entfernt).
In der Hilfe steht, dass man die isolierte Datei von der Festplatte löschen oder an SARC senden kann.
… die infizierte datei kann ohne probleme mit der option
AKTION aus dem Quarantäne ordner gelöscht oder an SARC
gesendet werden…
Mit dem Lösch-Befehl wird nicht die Datei gelöscht, sondern aus der Quarantäne befreit, wenn ich das richtig verstanden habe.
ps an hanna, wenn du noch fragen hast dann melde dich!
Welchen Sinn hat es, die Datei an SARC zu senden? Wenn es irgendwem was nützt, mach ich es, ansonsten lösche ich sie einfach von der Festplatte und leere den Papierkorb.
((