Aktuelle Viren-Warnungen

Nimda-Virus

Zum ersten Male ist mit NIMDA ein neuer, raffinierter Internet-Virus aufgetaucht, der Internet-Server befällt und einen PC allein durch das Surfen im Internet infizieren kann! Der Wurm nutzt dabei Sicherheitslücken im Internet-Explorer 5.0 aus, um sich lawinenartig auszubreiten. Anwender sollten dringend auf den Internet Explorer 5.5 mit Service Pack 2 oder den neuen Internet Explorer 6.0 updaten. Mit diesen neuen Versionen kann sich der Wurm nicht mehr automatisch verbreiten.

NIMDA kann allerdings auch per eMail auf einen Rechner gelangen. Besonders gefährdet sind Nutzer, die mit bestimmten Versionen von Outlook Express arbeiten. Dort genügt alleine schon das Ansehen einer eMail, um den Rechner zu infizieren! Er verschickt sich zunächst per eMail ohne Nachrichtentext und mit einer anhängenden README.EXE. Die Dateinamenserweiterung .EXE wird üblicherweise nicht angezeigt. Beim Öffnen der Datei aktiviert sich der Wurm und beginnt den Rechner zu infizieren. Ältere Outlook-Versionen oder Outlook Express führen die Datei bereits aus, wenn das Vorschaufenster aktiv ist. Das bedeutet, man muß nicht einmal auf das Attachement klicken, um die Katastrophe auszulösen!

Angeblich trat NIMDA (rückwärts gelesen "ADMIN") das erste Mal in Korea auf und nahm mit rasender Geschwindigkeit seinen Lauf gen Westen. Experten bezeichnen ihn teilweise als Virus, als Wurm und als Trojaner. NIMDA kann nicht nur alle gängigen Windows-Systeme infizieren, sondern auch Microsoft IIS Webserver. Infizierte Systeme lassen sich am Vorhandensein einer Datei mit dem Namen ADMIN.DLL im Hauptverzeichnis erkennen (z.B. C:\ADMIN.DLL). Auf einigen befallenen Systemen öffnet sich auch der Windows Media Player, jedoch ohne etwas abzuspielen.

Die neuste Version der mehrfach prämierte Software 'AntiVir' erkennt NIMDA bereits und kann den Virus unschädlich machen. Sie finden die Software zum kostenlosen Download unter http://www.free-av.de!

In Netzwerken sollte das Öffnen von EXE-Dateien bei eMails in jedem Fall deaktiviert werden. Weiterhin sollte das Anti-Viren-Programm aktualisiert werden. Inzwischen haben zahlreiche Hersteller auf NIMDA reagiert und bieten Updates an, die den Schädling erkennen und beseitigen können oder beschreiben verschiedene Sicherheitsmassnahmen. Im Rahmen der "Offensive gegen Viren" steht für private Kunden unter http://www.antivir.de die aktualisierte AntiVir Personal Edition kostenlos zur Verfügung.

Die oben genannten Versionen des Internet Explorers finden Sie unter:
http://www.microsoft.com/windows/ie/downloads/ie6/default.asp

Weitere Informationen finden Sie bei TREND MICRO!

SirCam-Virus

Bei dem Virus "SirCam" handelt es um einen höchst gefährlichen Wurm, der sich per Internet und lokale Rechnernetze verbreitet. Die Trägerdatei ist eine 130 KB große, mit Delphi geschriebene Windows-Anwendung. Bei seiner Verbreitung kann der Wurm neben seinen eigenen Dateien auch zusätzliche DOC-, XLS- und ZIP-Dateien anheften (siehe unten), sowie auch Dateien in anderen Formaten, woraufs die Größe des Attachments 130 KB überschreiten kann.

Nach dem Starten (zum Beispiel durch Doppelklick auf das Icon der angehängten infizierten Datei), dringt der Wurm ins System ein, versendet die infizierten Nachrichten (die angehängte Dateien mit einer Wurmkopie umfassen), infiziert Computer im LAN, die gerade eingeschaltet sind (falls es im Netz Festplatten gibt, auf die er sich speichern kann), und führt - je nach Systemdatum - eine eingebaute Routine aus.

E-Mail-Verbereitung
Der Wurm verschickt sich von den infizierten Rechnern per eMail als angehängte Datei mit einem beliebigen Namen und doppelter Extension: filename.ext1.ext2

Die Extension 'ext1' kann eine der folgenden Varianten sein: DOC, XLS, ZIP, EXE. Die Extension 'ext2' wird ebenfalls willkürlich aus PIF, LNK, BAT, COM gewählt, zum Beispiel: feb01.xls.pif, normas.doc.bat. 'filename.ext1' wird aus einer Datei erstellt, die im infizierten System vorhanden ist. Der Wurm sucht bei der Versendung nach 'ext1'-Dateien (siehe oben), und verwendet den vollen Dateinamen als Namen des infizierten Anhangs. Somit beinhalten die Dateien, die vom infizierten Computer gesandt werden, zwei Teile:
1. den Wurm-EXE-Code;
2. die angehängten zusätzlichen Daten, die willkürlich im infizierten Computer ausgewählte DOC/XLS/ZIP/EXE-Dateien darstellen. Diese angehängte Datei wird dann durch den Wurm benutzt, um seine Aktivität zu verbergen (siehe unten). Als Nebenwirkung dieser 'angehängten Dateien' kann es dazu kommen, daß vertrauliche Informationen verbreitet werden.

Der Betreff der infizierten Nachrichten ist ein 'Dateiname', wie oben beschrieben (und zwar der Name der angehängten Datei).

Der Body ist entweder in Englisch oder Spanisch gehalten. Die ersten und letzten Zeilen der Meldung sind immer dieselben:

Die erste Zeile: Hi! How are you? Hola como estas?
Die letzte Zeile: See you later. Thanks Nos vemos pronto, gracias.

Die Varianten des Texts zwischen diesen Zeilen sind:
I send you this file in order to have your advice.
I hope you can help me with this file that I send.
I hope you like the file that I send to you.
This is the file with the information that you ask for.
Te mando este archivo para que me des tu punto de vista.
Espero me puedas ayudar con el archivo que te mando.
Espero te guste este archivo que te mando.
Este es el archivo con la información que me pediste.

Der Wurm bekommt die eMail-Adressen weiterer 'Opfer' durch Scannen von Dateien, in denen eMail-Adressen gespeichert sein können: SHO*, GET*, HOT*, *.HTM, *.WAB, und einige andere. Das Suchresultat wird dann durch den Wurm in den 'unechten' DLL-Dateien im Systemverzeichnis gespeichert:
SCD.DLL-Datei beinhaltet die 'ext1'-Dateienliste,
SCH1.DLL, SCI1.DLL-Dateien enthalten die Liste der eMail-Adressen, die in
den gescannten Dateien gefunden wurden.
Es können auch SCT1.DLL- und SCY1.DLL-Dateien im Systemdirectory gefunden
werden, in diesen Dateien speichert der Wurm zusätzliche Daten.

Installation im System
Der Wurm kopiert sich in die folgenden Verzeichnisse:
1. \RECYCLED-Verzeichnis im Windows-Laufwerk unter dem Namen SirC32.exe,
(C:\RECYCLED\SirC32.exe)
2. Windows-Systemdirectory unter dem Namen SCam32.exe (C:\WINDOWS\SCam32.exe) 3. Windows-Directory unter dem Namen ScMx32.exe (C:\WINDOWS\ScMx32.exe)
4. Windows Autostart-Verzeichnis unter dem Namen Microsoft Internet Office.exe
(C:\WINDOWS\Startmenü\Programme\Autostart\Microsoft Internet Office.exe)
All diese Dateien bekommen das Attribut 'Hidden'.
Zu beachten ist, daß der Wurm nicht alle diese Schritte beim ersten Autostart durchführt, einige der Dateien werden je nach den aktuellen Bedingungen erstellt.
Die zwei ersten Dateien werden dann in den Autostart-Bereich der Systemregistrierung
eingetragen:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Driver32 = %windows system directory%\SCam32.exe
HKCR\exefile\shell\open\command SirC32.exe

Der Wurm greift dann eine angehängte 'decoy'-Datei (siehe oben) im Windows TEMP-Verzeichnis heraus. Diese 'decoy'-Datei trägt den Namen 'filename.ext1'.
Der Wurm öffnet diese Datei mit WINWORD.EXE oder WORDPAD.EXE, EXCEL.EXE, WINZIP.EXE abhängend von 'ext1'.
Der Wurm erstellt auch zusätzliche Registry Keys und speichert seine internen Daten unter dem Key HKLM\SOFTWARE\SirCam.

Netzwerkverbreitung
Um sich über ein lokales Rechnernetz zu verbreiten, ermittelt der Wurm die vorhandenen Netzwerkressourcen (alle freigegebenen Verzeichnisse auf Remote-Rechnern), und kopiert sich dann dorthin. Wenn es unter den freigegebenen Verzeichnissen ein '\recycled' Verzeichnis gibt, kopiert sich der Wurm unter dem Namen 'SirC32.exe' dorthin (C:\recycled\SirC32.exe).

Der Wurm fügt dann am Ende der 'AUTOEXEC.BAT'-Datei folgenden Befehl hinzu:
@win \recycled\SirC32.exe

Wenn es dort ein '\Windows'-Verzeichnis gibt, benennt der Wurm die 'RUNDLL32.EXE'-Datei mit dem 'RUN32.EXE'-Namen um und danach überschreibt die ursprüngliche 'RUNDLL32.EXE' mit seiner eigenen Kopie. Der Wurm setzt für seine Kopien das Dateiattribut 'hidden'.

Schadenskomponente
1. Je nach Systemdatum und -Zeit entfernt der Wurm mit einer Wahrscheinlichkeit von 1:20 willkürlich alle Dateien und Unterverzeichnisse aus dem Windows-Verzeichnis.

2. Mit einer Chance von 1:50 erstellt der Wurm beim Systemstart eine SirCam.Sys-Datei im Stammverzeichnis des aktuellen Laufwerks und schreibt einen der folgenden Texte hinein:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]
[SirCam Version 1.0 Copyright © 2001 2rP Made in / Hecho en - Cuitzeo, Michoacan Mexico]
Anscheinend schreibt der Wurm diese Texte ungezählte Male, um den Festplattenraum zu füllen. Die meisten Text-Strings sind im Wurm-Body verschlüsselt.

Anset Wurm

Offensichtlich speziell auf die Nutzergewohnheiten deutscher Surfer zugeschnitten ist ein neuer Compter-Wurm, den der Antivirenspezialist Kaspersky Lab entdeckt hat. Der Wurm trägt den Namen "Anset", tarnt sich als neue Version des Trojaner-Scanners "Ants" und verbreitet sich via E-Mail. In der Betreffzeile der E-Mail steht

"ANTS Version 3.0"; die Botschaft selbst lautet:

"Hi, Anhängend die neue Version 3.0 von ANTS, dem bislang einzigartigen kostenlosen
Trojanerscanner. Zum Installieren einfach die angefügte Datei ausführen."

Die E-Mail führt als Absender die Adresse webmaster@avnet.de mit dem Namen Andreas Haak. Die angehängte Datei heiße "ants3set.exe".

Nachdem sie per Doppelklick aktiviert sei, installiere sich der Wurm unter Verwendung von zufällig ausgewählten Dateinamen, meldet Kaspersky. Bisher beobachtet: zfcy.exe, BM.exe, GG.exe und hlutl.exe.
Einen Trojanerscanner mit der Bezeichnung ANTS gibt es tatsächlich! Ebenso eine Version 3.0, die von Andreas Haak entwickelt wurde. Haak selbst sagte im Gespräch mit der INTERNET WORLD, hier benutze der Wurmprogrammierer Haaks Namen, seine Mail-Adresse und sogar seinen Sprach-und Schreibstil, um den Eindruck zu vermitteln, der Wurm werde von Haak versandt. "ANTS ist bei Trojanerprogrammieren sehr unbeliebt, weil das Programm zuviele Trojaner erkennt. Ich vermute, jemand aus der Trojaner-Szene oder ein direkter Konkurrent hat diesen Wurm programmiert", erklärte Haak.

Aliz Wurm

Der Internet-Wurm namens "Aliz" tauchte erstmals im Monat Mai 2001 im World Wide Web auf. Im Monat November 2001 wurden weltweit erneute Infektionen gemeldet. Der Wurm verbreitet sich via E-Mail. Im Anhang der elektronischen Botschaft, die meist keinen Text enthält, befindet sich die vier KByte große Datei "whatever.exe".

Aliz nutzt die selbe Schwachstelle wie auch schon der Nimda-Wurm, der erstmals im September 2001 auftauchte. Nach der Aktivierung des Wurmes durch Anklicken der angehängten Datei versendet sich der Schädling selbst an die im Outlook-Address-Buch enthaltenen Adressen. Ansonsten sei Aliz jedoch harmlos, weil keine Schäden auf den befallenen Rechnern festgestellt wurden.

"BadTrans.B" Wurm

Ein neuer Mail-Wurm treibt sein Unwesen! Sollten Sie dieser Tage Mails mit einem Anhang und einem Betreff bekommen, der mit den Buchstaben "RE:" als Weiterleitung gekennzeichnet ist, sollten Sie ausgesprochen vorsichtig zu Wege gehen, denn es könnte sich um den E-Mail-Wurm BadTrans.B handeln, der seit Samstag im Internet wütet.

BadTrans.B versendet nicht nur massenhaft Mails, sondern installiert einen Trojaner, um Informationen von infizierten Systemen auszuspionieren. "Dieser Trojaner mit dem Namen "Trojan.PSW.Hooker"überprüft die Aktivitäten auf der Tastatur, die Passwörter zum Einloggen in das System und versendet sie per E-Mail", erklärt der Software-Hersteller F-Secure. Der Wurm versendet mehrmals infizierte Dateien an ein und dieselbe Benutzeradresse, löscht jedoch keine Daten auf dem befallenen System oder verursacht einen massiven Anstieg des Netzwerk-Verkehrs.

BadTrans verbreitet sich per E-Mail, indem er alle ungelesenen E-Mails ausfindig macht und auf sie antwortet. Die Antwort-Mails haben keinen Inhalt, der Betreff lautet in der Regel nur "RE". Der Mail-Anhang wird zufällig aus einer Liste bestimmt oder besteht aus realen Benutzerdateien.

Die gefährlichen Datei-Namen
Die virenverseuchte E-Mail enthält eine angehängte Datei, in der sich die Installations-Routine des Wurms versteckt. Der Name des Attachments wird zufällig aus folgender Liste generiert:

Pics.ZIP.scr
images.pif
README.TXT.pif
New_Napster_Site.DOC.scr
news_doc.scr
hamster.ZIP.scr
YOU_are_FAT!.TXT.pif
searchURL.scr
SETUP.pif
Card.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
s3msong.MP3.pif
docs.scr
Humor.TXT.pif
fun.pif

Der Wurm verwendet eine Sicherheitslücke im Internet Explorer (IE) 5.1 und IE 5.5 SP 1, damit infizierte Attachments automatisch ausgeführt werden. Microsoft bietet bereits ein entsprechendes Patch-Programm an, um die Lücke zu schließen. Der IE 5.5 mit Service Pack 2 sowie der IE 6 sind von der Sicherheitslücke nicht betroffen.

Die gute Nachricht: Die meisten aktuellen Anti-Viren-Programme erkennen die schädlichen Dateien.

Mehr Informationen erhalten Sie unter http://www.tu-berlin.de/www/software/virus/aktuell.shtml!

Goner-Virus

Ein neuer Computervirus mit dem Namen "Goner" hat sich innerhalb kürzester Zeit über große Teile der Welt ausgebreitet und millionen Rechner von Firmen und Privatleuten befallen. "Goner" wird aktiv, wenn man den Anhang einer E-Mail öffnet, der einen verseuchten Bildschirmschoner enthält. Die schnelle Ausbreitung überraschte sogar Experten. My Channel-Sicherheitsexperte Peter Huth: "Es ging wahrscheinlich so rasend, weil große Firmennetzwerke die erste Ausbruchswelle ausgelöst haben". Befallen werden Computer mit Windows-Betriebssystemen. Der Virus löscht bestimmte Anwendungen - darunter sogar Virenschutzprogramme - und verschickt sich selbsttätig an Adressen, die in Dateien des befallenen Computers gespeichert sind. Die englischsprachige E-Mail gibt als Betreff (subject) nur die freundschaftliche Begrüßung «Hi» an. Der kurze Text lautet übersetzt: "Wie geht's dir? Als ich diesen Bildschirmschoner sah, habe ich gleich an dich gedacht! Ich bin in Eile. Ich verspreche dir, du wirst ihn mögen."

Selbst wenn Ihnen der Absender bekannt ist, ist das sofortige Löschen der E-Mail ratsam. Bei Öffnen des Anhangs verschickt sich die E-Mail selbsttätig an alle Adressen, die auf dem betreffenden Computer in den E-Mail-Programmen Microsoft Outlook und Outlook Express gespeichert sind.

Gigger-Virus

Der neue Internet-Virus ist für Computersysteme eine ernstzunehmende Gefahr, denn das verseuchte Mail-Attachement löscht und überschreibt Internetdateien mit dem infizierten Code, so dass eine möglichst große Verbreitung sichergestellt wird. Der Schädling kommt als Mail-Attachment (eingenistetes Java-Script) und tritt auch im IRC-Chat auf. Unter anderem verändert Gigger die mirc.ini (sofern MIRC installiert) und verschickt sich an Chat-Teilnehmer, die den gleichen Kanal besuchen.

Gefährlich ist Gigger insbesondere aufgrund seiner schädlichen Funktionen: Alle *.ASP-, *.HTM-, und *.HTML-Dateien werden mit dem Viruscode überschrieben, die Inhalte aller anderen Dateien löscht der Virus, so daß sie 0 Bytes Länge haben. "Gigger" soll den Inhalt der autoexec.bat durch den Befehl "echo y|format c:" ersetzen. Ein Windows-Reboot schlägt aber ohnehin mit der Meldung "Error in EXE File" fehl, da die Executables überschrieben wurden.

An folgenden Merkmalen ist der Virus leicht zu erkennen. In der Betreffzeile einer Mail steht "Outlook Express Update" und ihr ist ein Attachment folgenden Namens angehängt: "Mmsn_offline.htm" !

Als generellen Hinweis kann man sagen, daß Anhänge von Mails nur geöffnet werden sollten, wenn aus dem Inhalt der Mail oder dem Absender hervorgeht, daß sich keine böse Überraschung in der Datei verbirgt.

Empfohlene Antivirenprogramme: http://www.free-av.de/ und http://www.antivir.de.

Caric-A Wurm

Ein neuer Internet-Wurm namens "Caric-A" ist aufgetaucht! Vorsicht ist geboten bei E-Mails mit dem Betreff »bill caricature« und einem Anhang namens »cari.scr«. Beim Öffnen der Datei erscheint Bill Clinton, der Saxofon spielt, aus dem ein BH auftaucht. Der Wurm sendet sich selbst an alle im Outlook-Adressbuch gespeicherten E-Mail-Adressen. Am Ende der E-Mail steht folgende Textzeile: »No viruse (sic) found - Mcafee.com«. Damit soll offenbar der Eindruck erweckt werden, dass die E-Mail auf Viren untersucht wurde. "Caric-A" verfügt über eine Schadensfunktion, die um 8:00 Uhr täglich ausgeführt wird. Der Wurm versucht, die Laufwerke C:, D:, E: und F: zu löschen und Dateien mit den Erweiterungen "SYS", "VXD", "OCX" und "NLS" zu verschieben.

0190-Dialer

Vornehmlich auf Erotik- oder Glücksspielseiten öffnen sich schell irgendwelche Popup-Fenster, in denen Programme zum Download angeboten werden. Angeblich dienen diese zum Beschleunigen bzw. dem kostenlosen Zugang von Sexdiensten, Chaträumen o. ä. Das Herunterladen derartiger Software sollte immer abgelehnt werden. Achten Sie außerdem auf Unregelmäßigkeiten während des Surfens! Nicht selten erscheinen in der Taskleiste unbekannte Symbole, die auf 0190-Dialer hinweisen. Auch auf dem Desktop könnten unbekannte Verknüpfungen auftauchen. Weitere Informationen über 0190-Dialer erhalten Sie bei www.dialerschutz.de!

W32/Yaha-E

Der neue Mail-Wurm "W32/Yaha-E, der über einen eigenen SMTP-Client verfügt und entweder einen Mailserver aus der Windows-Registrierung oder aus einer internen Liste verwendet, kommt als Mail mit Attachment und versucht im Text mit den Worten "Hi - Check the Attachment... - See u", "Attached one Gift for u..." oder "WOW CHECK THIS" den Empfänger zum Klick auf den Anhang zu verführen. Bei einem Klick auf das Attachment wird eine Kopie dessen im Base64-Format im Ordner C:\Windows\Temp mit dem Dateinamen "kitkat" deponiert. Außerdem erstellt der Mail-Wurm eine Kopie von sich im Papierkorb-Ordner mit einem Namen aus vier zufällig gewählten, klein geschriebenen Zeichen, deren Pfad zum Registrierungseintrag "HKLM\exefile\shell\open\command\default" hinzugefügt wird. Daraufhin werden eine DLL- und eine TXT-Datei mit dem Wurmkopie-Namen erstellt. Der Schädling versucht eventuell vorhandene Sicherheitssoftware zu deaktivieren.

Bugbear

»Bugbear« (Schreckgespenst) wird von McAfee als hochgefährlich für private Nutzer und Unternehmer eingestuft. Der Wurm nutzt eine Sicherheitslücke im Microsoft Internet Explorer, die zur Ausführung von E-Mail-Anhängen führt. Er versucht, Sicherheitssoftware wie Antiviren-Programme auszuschalten. Außerdem wird ein sogenanntes trojanisches Pferd installiert, daß in der Lage ist, Passwörter beim Eintippen abzufangen und es von außen ermöglicht, auf den Rechner zuzugreifen.

Eine Software zum Prüfen und Entfernen des Virus können Sie unter nachstehenden Link downloaden. Entpacken Sie die Datei f-bugbr.zip und starten Sie f-bugbr.exe. Danach wird der Computer einer Prüfung unterzogen, und eventuell gefundene Bugbear Viren entfernt:
ftp://ftp.europe.f-secure.com/anti-virus/tools/f-bugbr.zip

LovSun (Blaster-Wurm)

Allenthalben wird derzeit vor dem COMPUTERWURM LOVSUN (W32/Blaster) gewarnt, der sich mit einer enormen Geschwindigkeit im Internet ausbreitet und den es in mehreren Ausführungen gibt:

Worm/Lovsan.A (W32/Lovsan.worm), (WORM-MSBLAST.A)

Worm/Lovsan.A nutzt den sogenannten RPC DCOM Buffer Overflow aus. Durch diese Sicherheitslücke wird dem Angreifer der Vollzugriff auf ein Windows NT/2000/XP System erlaubt. Der mit dem Laufzeitkomprimierungsprogramm UPX gepackte Computerwurm versucht eine Verbindung über den Port 135 aufzubauen. Er scannt hierzu wahllos IP Adressbereiche ab, und sollte er ein verwundbares System gefunden haben, sendet er spezielle Kommandos zu dem Programm TFTP (Trivial File Tranfere Protocol). Dieses Programm startet den Download des Wurmprogramms und führt ihn aus. Er kopiert sich in das Windows System32 Verzeichnis (meist C:\Windows\System32\ oder C:\WINNT\System32\) unter dem Dateinamen MSBLAST.EXE. Damit der Wurm beim nächsten Systemstart erneut ausgeführt wird, erstellt er folgenden Registry Eintrag:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run]
"windows auto update"="msblast.exe"

Das mit dem Computerwurm hauptsächlich Microsoft geschädigt werden soll, lässt sich auch in der entpackten Wurmdatei enthaltenen ASCII-Text entnehmen:
I just want to say LOVE YOU SAN!!
billy gates why do you make this possible ? Stop making money and fix your software!!
An folgenden Tagen führt Worm/Lovsan.A DDoS-Attacken gegen windowsupdate.com aus: Am 16. bis 31. der Monate Januar, Februar, März, April, Mai, Juni, Juli und August. Ebenfalls werden an jedem Tag in den Monaten September, November, Oktober und Dezember DDoS-Angriffe durchgeführt.

Windows 9x/ME sind von der Sicherheitslücke nicht betroffen, können jedoch diesen Wurm auch weiterverbreiten, sofern er manuell ausgeführt wird.

Worm/Lovsan.B (W32/Blaster-B), (Win32.Poza.B)

Worm/Lovsan.B nutzt den sogenannten RPC DCOM Buffer Overflow aus. Durch diese Sicherheitslücke wird dem Angreifer den Vollzugriff auf ein Windows NT/2000/XP System erlaubt. Der Computerwurm versucht eine Verbindung über den Port 135 aufzubauen. Er scannt hierzu wahllos IP Adressbereiche ab und sollte er ein verwundbares System gefunden haben, sendet er spezielle Kommandos zu dem Programm TFTP (Trivial File Tranfere Protocol). Dieses Programm startet den Download des Wurmprogrammes und führt ihn führt ihn aus. In manchen Fällen kommt Worm/Lovsan.B mit einem Hilfe eines Droppers. Dieser Dropper mit dem Namen Index.exe (32.045 Bytes) erstellt die das Windows System32 Verzeichnis (meistens C:\Windows\System32\ oder C:\WINNT\System32\) die Datei TEEKIDS.EXE (5.360 Bytes), sowie die Datei ROOT32.EXE (19.798 Bytes). Weiterhin wird eine Datei mit dem Namen LS.EXE in das Windows Temp Verzeichnis erstellt (meistens C:\Windows\Temp\ oder C:\WINNT\Temp\). Damit der Wurm beim nächsten Systemstart erneut ausgeführt wird, erstellt er folgende Registry Einträge:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run]
"Windows Root Account"="teekids.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunServices]
"Windows Root Account"="Root32.exe"

Der Wurm führt an bestimmten Tagen im Monat DDoS-Attacken gegen die Webseite windowsupdate.com aus.

Windows 9x/ME sind von der Sicherheitslücke nicht betroffen können jedoch diesen Wurm auch weiterverbreiten sofern er manuell ausgeführt wird.

Worm/Lovsan.C (W32/Blaster-C), (Win32.Poza.C)

Worm/Lovsan.C nutzt den sogenannten RPC DCOM Buffer Overflow aus. Durch diese Sicherheitslücke wird dem Angreifer den Vollzugriff auf ein Windows NT/2000/XP System erlaubt.
Der Computerwurm versucht eine Verbindung über den Port 135 aufzubauen. Er scannt hierzu wahllos IP Adressbereiche ab und sollte er ein verwundbares System gefunden haben, sendet er spezielle Kommandos zu dem Programm TFTP (Trivial File Tranfer Protocol). Dieses Programm startet den Download des Wurmprogrammes und führt ihn führt ihn aus. Er erstellt die das Windows System32 Verzeichnis (meistens C:\Windows\System32\ oder C:\WINNT\System32\) die Datei PENIS32.EXE (7,200 Bytes). Damit der Wurm beim nächsten Systemstart erneut ausgeführt wird, erstellt er folgende Registry Einträge:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run]
"windows auto update"="penis32.exe"

Der Wurm führt an bestimmten Tagen im Monat DDoS-Attacken gegen die Webseite windowsupdate.com aus.

Windows 9x/ME sind von der Sicherheitslücke nicht betroffen können jedoch diesen Wurm auch weiterverbreiten sofern er manuell ausgeführt wird.

Sasser (Wurm)

Ein neuer, höchst gefährlicher Internetwurm kriecht durchs Interent. Der PC zeigt eine Fehlermeldung (LSA Shell) an und startet neu. Wenn Sie die Datei "avserve.exe" oder "avserve2.exe" im Windows Directory haben, kann das ein Anzeichen einer Infektion mit dem Wurm "Sasser" sein. Der Wurm "W32/Sasser" verbreitet sich nicht wie die meisten anderen Würmer über E-Mails, sondern nutzt eine Sicherheitslücke in Windows Betriebssystemen. Er gelangt direkt - ohne eMailkontakt - auf den Rechner. Das macht ihn so gefährlich. Unter gegebenen Voraussetzungen verbreitet sich der Wurm ohne "aktive Beteiligung" seitens der Anwender auf Windows2000 - und XP Systemen. Der Schädling nutzt einen Fehler im Local Security Authority Subsystem Service (LSASS), der unter anderem zur Authentifizierung von Systemen in Netzwerken dient.
Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) warnt ausdrücklich und ausführlich vor dem neuen Internetwurm Sasser. Den Wurm gibt es mittlerweile in mehreren Versionen. Nach Angaben eines finnischen Virus-Experten breitet sich «WORM_SASSER.A» derzeit massiv im Internet aus. Der Wurm habe möglicherweise bereits weltweit Millionen von Rechnern infiziert, sagte Mikko Hyppoenen der Nachrichtenagentur AFP. Auf der Internetseite des BSI sind umfangreiche Dokumentationen zur Erkennung und Entfernung veröffentlicht worden - mit Screenshots der einzelnen Fehlermeldungen, die bei einem Befall mit Sasser auftreten: http://www.bsi.de/av/vb/sasser.htm. Auch hier finden Sie weitere Informationen: http://www.sicherheitsnews.info !