Welcher Wurm (MSN)?

Jakob_van_Tast_35b6f4 · 30. Oktober 2007 um 20:42

Moin,

meine Tochter hat sich wohl über MSN einen Wurm eingefangen ;-(
Sie bekam eine Nachricht mit Bild (.img) und hat es natürlich geöffnet.
Danach freuten sich alle ihre Freunde, die im Kontakteordner gelistet waren, über denselben Mist.
Der Virenscanner (Avira) war natürlich völlig veraltet. Eine ihrer schlauen Freundinnen meinte dann, sie sollte einfach den letzten Systemwiederherstellungspunkt zurückkopieren, dann sei das gegessen.
Sehr witzig. Das Dumme ist nun, das ich nicht weiss was da gepfuscht wurde. OS ist übrigens XP Pro SP2.
Nach meinem dafürhalten gehört die Kiste formatiert. Aber das Geschrei, da sei ja ihre ganze Musik drauf…
Ich konnte nur noch am Rand bemerken „Wer kein Image oder wenigstens Backup hat, hat keine wichtigen Daten“.
Was geistert denn bei MSN momentan so rum? Any ideas?
Ich hatte etwas über WORM/IRCBot.25900.2 gelesen, aber viel gibts darüber nicht. Interessanterweise das meiste in französisch.
So eine verseuchte Kiste gehört m.E. aus dem Verkehr gezogen.

Gruss Jakob

ClawBoy_42a7dd · 30. Oktober 2007 um 20:49

Hi
Die schwester meiner söhne (14) hat letztens irgendwo so ein msn-derivat gezogen und wollte das installieren, da kräte zum Glück das aktuelle Avira was von Wurm und sie hat das Teil vor Ausführung beseitigt.
Danach hat sie sich msn auf der Mcrosoftseite gesucht…
JS

Jakob_van_Tast_35b6f4 · 30. Oktober 2007 um 21:01

Moin,

also der MSN Messenger ist von MS. Den hatte ich ihr selbst seinerzeit noch installiert.
Dieser Wurm verbreitet sich scheinbar aber nur über MSN (mit e-mail können die Kids scheinbar garnicht umgehen), ist nicht klicki-bunti genug.

Gruss Jakob

ExNicki_99e239 · 30. Oktober 2007 um 21:07

Hi Jakob

meine Tochter hat sich wohl über MSN einen Wurm eingefangen
;-(
Sie bekam eine Nachricht mit Bild (.img) und hat es natürlich
geöffnet.

hat sie das gesagt? eine img oder jpg-Datei kann kaum einen Wurm beinhalten. Eher war es eine zip-Datei mit einer ausführbaren Datei dahinter, scr zB

Danach freuten sich alle ihre Freunde, die im Kontakteordner
gelistet waren, über denselben Mist.

das haben Würmer so an sich: sie bringen meist ihre eigene Mail_Engine mit

Der Virenscanner (Avira) war natürlich völlig veraltet.

Dann hast du deine Aufklärungspflicht nicht ernst genommen ^^

Eine
ihrer schlauen Freundinnen meinte dann, sie sollte einfach den
letzten Systemwiederherstellungspunkt zurückkopieren, dann sei
das gegessen.

schön wär’s

Sehr witzig. Das Dumme ist nun, das ich nicht weiss was da
gepfuscht wurde. OS ist übrigens XP Pro SP2.
Nach meinem dafürhalten gehört die Kiste formatiert. Aber das
Geschrei, da sei ja ihre ganze Musik drauf…

Meiner Meinung nach kann man die Musik durchaus noch retten, zumal, wenn sie auf einer anderen Partition als Win ist.

Ich konnte nur noch am Rand bemerken „Wer kein Image oder
wenigstens Backup hat, hat keine wichtigen Daten“.

Tzz, bis gestern hat sie nie eins gebraucht, oder?

Was geistert denn bei MSN momentan so rum? Any ideas?
Ich hatte etwas über WORM/IRCBot.25900.2 gelesen, aber viel
gibts darüber nicht. Interessanterweise das meiste in
französisch.

ja, hab ich auch gelesen. Der scheint auf der Hitliste im Mom ganz oben zu stehen.
Der besteht übrigens aus der Original zip-Datei, einer dll und einer exe. Es gibt im Mom 10 bekannte Namen für die dll’s. und Avast hat nur 2 davon gefunden bei einem Test. Avira wird’s wohl nicht besser gehen.

So eine verseuchte Kiste gehört m.E. aus dem Verkehr gezogen.

yep, wenn es dieser Wurm ist, mit Sicherheit. Er ist ein Backdoor-Wurm, ziemlich selten. Meist sind es Backdoor-Trojaner.
Nichtsdestotrotz bedeutet das, das er ein paar Hintertürchen öffnet, damit der PC ‚ferngesteuert‘ werden kann.
Anyway, bei einem Wurm würd ich auf jeden Fall Win plattmachen, aber nicht ausführbare Dateien à la mp3, Videos und Fotos trotzdem noch vorher sichern.

Gruss
ExNicki

Jakob_van_Tast_35b6f4 · 30. Oktober 2007 um 21:17

Nachtrag
Moin,

ich habe mal eben in der Historie des MSN Messengers nachgesehen.
Dat Dingen kommt als myimage.zip und ist natürlich trotz Systemwiederherstellung immernoch da.
Fraglich ist nun, was und wie befallen wurde.
Ich werde jetzt mal die system32 und auch die Registry durchforsten ob ich was finde. Ebenfalls mal die laufenden Prozesse.
Nach wie vor dankbar für Tipps.

Gruss Jakob

Jakob_van_Tast_35b6f4 · 30. Oktober 2007 um 21:25

Moin ExNicki,

hat sie das gesagt? eine img oder jpg-Datei kann kaum einen
Wurm beinhalten. Eher war es eine zip-Datei mit einer
ausführbaren Datei dahinter, scr zB

Yepp, Deine Antwort hat sich mit meinem Nachtrag gerade überschnitten.

Dann hast du deine Aufklärungspflicht nicht ernst genommen ^^

Ich? Man nennt mich schon Wanderprediger, weil ich immer wieder darauf hinweise. Mit meiner Empfehlung immer erst Brain.exe zu starten habe ich mich jetzt richtig beliebt gemacht

Meiner Meinung nach kann man die Musik durchaus noch retten,
zumal, wenn sie auf einer anderen Partition als Win ist.

Ich konnte nur noch am Rand bemerken „Wer kein Image oder
wenigstens Backup hat, hat keine wichtigen Daten“.

Tzz, bis gestern hat sie nie eins gebraucht, oder?

Das meiste der Musik, Bilder etc. sollte auf D: sein. Hab ich extra mal eingerichtet. Mal sehen wohin sie das zwischenzeitlich alles verteilt hat.

Was geistert denn bei MSN momentan so rum? Any ideas?
Ich hatte etwas über WORM/IRCBot.25900.2 gelesen, aber viel
gibts darüber nicht. Interessanterweise das meiste in
französisch.

ja, hab ich auch gelesen. Der scheint auf der Hitliste im Mom
ganz oben zu stehen.
Der besteht übrigens aus der Original zip-Datei, einer dll und
einer exe. Es gibt im Mom 10 bekannte Namen für die dll’s. und
Avast hat nur 2 davon gefunden bei einem Test. Avira wird’s
wohl nicht besser gehen.

Merde

So eine verseuchte Kiste gehört m.E. aus dem Verkehr gezogen.

yep, wenn es dieser Wurm ist, mit Sicherheit. Er ist ein
Backdoor-Wurm, ziemlich selten. Meist sind es
Backdoor-Trojaner.
Nichtsdestotrotz bedeutet das, das er ein paar Hintertürchen
öffnet, damit der PC ‚ferngesteuert‘ werden kann.
Anyway, bei einem Wurm würd ich auf jeden Fall Win
plattmachen, aber nicht ausführbare Dateien à la mp3, Videos
und Fotos trotzdem noch vorher sichern.

Die USB-HDD liegt bereit
Hach ja, da predigt man den ganzen Tag und dann das
Vieln Dank jedenfalls für Deine Antwort.

Gruss Jakob

ExNicki_99e239 · 30. Oktober 2007 um 22:22

Hi again

also der MSN Messenger ist von MS. Den hatte ich ihr selbst
seinerzeit noch installiert.
Dieser Wurm verbreitet sich scheinbar aber nur über MSN (mit
e-mail können die Kids scheinbar garnicht umgehen), ist nicht
klicki-bunti genug.

yep, es gibt typische MSN-Würmer. Kelvir, Rodok oder Braban zB.
Aber die meisten modernen Würmer haben eh mehrere Fortpflanzungsmethoden an Bord, nicht nur per email, sondern meist auch peer to peer
(Stichwort Filesharingprogis)
Dazu klappern sie die typischen Downloadordner von Bear Share, E-Mule, Bit Torrent and Co ab, erkennen Freigaben und nisten sich dann mit einem phantasievollen Namen dort ein, in der Hoffnung, ‚mitgenommen‘ zu werden.
Virendesigner sind leider sehr kreativ

Gruss
ExNicki

Jakob_van_Tast_35b6f4 · 31. Oktober 2007 um 18:30

Moin,

ich habe mal Avira aktualisiert und durchlaufen lassen. Keine Erkennung ;-(
Das Ding kam gestern noch ein paar mal über MSN. Jedesmal unter einem anderen Namen natürlch (myimage.zip, myspace.zip etc.)
Worauf ich einen halben Anfall bekommen habe weil meine Tochter die Wurmschleuder immernoch am Netz hatte.
Ich habe jetzt erstmal die Verbindung gekappt.
Jetzt habe ich heute einen ausgemusterten Rechner aus der Firma mitgebracht und baue den neu auf, die alte Kiste war eh lahm.

Gruss Jakob

ExNicki_99e239 · 31. Oktober 2007 um 21:17

Hi Jakob

ich habe mal Avira aktualisiert und durchlaufen lassen. Keine
Erkennung ;-(

du kannst eventuell noch Knoppicilin drüber laufen lassen, eine Life-CD, die auf auf Knoppix basiert, aber auf Malwarejagd spezialisiert ist.
Die Chancen sind hier grösser, Viren zu finden, weil Win nicht aktiv ist und die Viren sich ihren Tarnmäntelchen nicht umhängen können.
Findest du hier (+Updates):
http://www.fz-juelich.de/jsc/sicherheit/download/fre…

Jetzt habe ich heute einen ausgemusterten Rechner aus der
Firma mitgebracht und baue den neu auf, die alte Kiste war eh
lahm.

ob das pädagogisch sinnvoll ist, Belohnung für Virusinfektion? *g*

Gruss
ExNicki

microdigi_94fc1e · 1. November 2007 um 12:01

Ich kanns mir nicht verkneifen (offtopic)

Ich? Man nennt mich schon Wanderprediger,
weil ich immer wieder darauf hinweise.
Mit meiner Empfehlung immer erst Brain.exe zu starten
habe ich mich jetzt richtig beliebt gemacht

Willkommen im Club, Jakob

Murphy:
Je mehr gepredigt wird, desto zu-er sind die Ohren.

Es hat sich bei meiner Truppe als gut herausgestellt,
dass sie ihre Probleme selber loesen muessen.
Klare Angaben: welche Ergebnisse wann zu erledigen; nur so!

Ate logo - digi (aEg)

Jakob_van_Tast_35b6f4 · 1. November 2007 um 17:46

oje
Moin,

Es hat sich bei meiner Truppe als gut herausgestellt,
dass sie ihre Probleme selber loesen muessen.

Das würde die Zahl der PC-User drastisch reduzieren
Oder aber die Zahl der Wurm- und Virenschleudern drastisch erhöhen.

Gruss Jakob

Jakob_van_Tast_35b6f4 · 1. November 2007 um 17:54

Moin ExNicki,

Knoppicillin ist am Start
Mal sehen.

Jetzt habe ich heute einen ausgemusterten Rechner aus der
Firma mitgebracht und baue den neu auf, die alte Kiste war eh
lahm.

ob das pädagogisch sinnvoll ist, Belohnung für Virusinfektion?
*g*

Das ist eher Belohnung für mich, denn auf einem alten PIII 500 alles wieder installieren? Da brauch ich ja das ganze Wochenende.
Der „neue“ Rechner ist aber nicht gerade ein Leisetreter
Deshalb wurde er auch ausgemustert. Und wer surft schon gerne wenn die Kiste laut ist
Und einige Verhaltensregeln gibts zum Rechner gratis dazu.
Nochmals vielen Dank.

Gruss Jakob