Virenwarnung bei gmx - Frage an dergl
Morgen,
gerade folgende Meldung bei http://www.heise.de gelesen:
Bereits mehrfach ist in den heutigen Vormittagsstunden eine Virusdatei aufgetaucht, die als Dateianhang versendet wird und bisher nur per GMX Freemail verschickt wurde.
Bisher hat kein Virenscanner diese Wurm/Virus identifizieren können und somit ist jeder User ungeschützt. GERMAN-SECURE hat die Datei gemeldet an diverse Herstellerfirmen von AV Software um für neue Updates zu sorgen.
ACHTUNG: Die Mail die Sie bekommen könnte wie folgt aussehen
From: iwantyou <wfkbwfkb@163.com>
To: ZUFALL@gmx.de <Zufall@gmx.de>
Subject: Welcome you to
> Please,Welcome to http://qingvc.yeah.net>
Im Anhang dieser Mail befindet sich dann die Datei: "iwantyou.exe" die sich als Dateiordner optisch getarnt hat und ca. 40kb gross ist.
Nach dem anklicken wird ein neuer Ordner (iwantyou) erstellt der Folgende Dateien beinhaltet:
- iwantyou.zip (0 byte)
- in diesem Ornder ein weiterer Unterordner "iwantyou" in dem sich dann 2 Dateine befinden:
- iwantyou.jpg (0 byte)
- readme.txt (0 byte)
Folgende Einträge werden angelegt oder verändert:
HKEY_LOCAL_MACHINE\Software\QingSoft
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\angel="angel.exe"
HKEY_LOCAL_MACHINE\Software\QingSoft\post="1722"
Der Wurm versendet sich smpt.pop.163.com IP 202.108.44.212 um sich somit weiter zu verbreiten.
Eine weitere Adresse die möglich ist: i_kill_your@163.com .
Die Datei ANGEL.EXE ist identisch mit der Orginaldatei "IWANTYOU.EXE".
GERMAN-SECURE wird Sie auf dem laufendem halten.
Analyse GERMAN-SECURE & D.Kollberg McAfee Avert
NACHTRAG VOM 13.6.2001 / 00:36 Uhr
"iwantyou.exe" alias Backdoor QI !News!
Bei den weiteren Tests sind folgende Daten zustanden gekommen, die wir Ihnen nicht vorenthalten möchten:
Ist das System infiziert versendet der Trojaner dann eine Mail an die Adresse I_KILL_YOUR@163.com über den SMTP server pop.163.com und übermittelt die aktuelle IP des infizierten Systems und öffnet den TCP Port 1722. Nach jedem Start des infizierten Systems wird eine neue EMail versendet.
GERMAN-SECURE & D.Kollberg McAfee Avert
Secure4U ( http://www.sandboxsecurity.de ) erkennt den Virus wohl.
@dergel: taugt das Programm auch sonst was? Reicht die Kombi ZoneAlarm/McAfee nicht aus? Welche Programme würdest Du für den privaten Gebrauch (mail, surfen, KEIN Homebanking) empfehlen?
Grüße,
Albus
gerade folgende Meldung bei http://www.heise.de gelesen:
Bereits mehrfach ist in den heutigen Vormittagsstunden eine Virusdatei aufgetaucht, die als Dateianhang versendet wird und bisher nur per GMX Freemail verschickt wurde.
Bisher hat kein Virenscanner diese Wurm/Virus identifizieren können und somit ist jeder User ungeschützt. GERMAN-SECURE hat die Datei gemeldet an diverse Herstellerfirmen von AV Software um für neue Updates zu sorgen.
ACHTUNG: Die Mail die Sie bekommen könnte wie folgt aussehen
From: iwantyou <wfkbwfkb@163.com>
To: ZUFALL@gmx.de <Zufall@gmx.de>
Subject: Welcome you to
> Please,Welcome to http://qingvc.yeah.net>
Im Anhang dieser Mail befindet sich dann die Datei: "iwantyou.exe" die sich als Dateiordner optisch getarnt hat und ca. 40kb gross ist.
Nach dem anklicken wird ein neuer Ordner (iwantyou) erstellt der Folgende Dateien beinhaltet:
- iwantyou.zip (0 byte)
- in diesem Ornder ein weiterer Unterordner "iwantyou" in dem sich dann 2 Dateine befinden:
- iwantyou.jpg (0 byte)
- readme.txt (0 byte)
Folgende Einträge werden angelegt oder verändert:
HKEY_LOCAL_MACHINE\Software\QingSoft
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run\angel="angel.exe"
HKEY_LOCAL_MACHINE\Software\QingSoft\post="1722"
Der Wurm versendet sich smpt.pop.163.com IP 202.108.44.212 um sich somit weiter zu verbreiten.
Eine weitere Adresse die möglich ist: i_kill_your@163.com .
Die Datei ANGEL.EXE ist identisch mit der Orginaldatei "IWANTYOU.EXE".
GERMAN-SECURE wird Sie auf dem laufendem halten.
Analyse GERMAN-SECURE & D.Kollberg McAfee Avert
NACHTRAG VOM 13.6.2001 / 00:36 Uhr
"iwantyou.exe" alias Backdoor QI !News!
Bei den weiteren Tests sind folgende Daten zustanden gekommen, die wir Ihnen nicht vorenthalten möchten:
Ist das System infiziert versendet der Trojaner dann eine Mail an die Adresse I_KILL_YOUR@163.com über den SMTP server pop.163.com und übermittelt die aktuelle IP des infizierten Systems und öffnet den TCP Port 1722. Nach jedem Start des infizierten Systems wird eine neue EMail versendet.
GERMAN-SECURE & D.Kollberg McAfee Avert
Secure4U ( http://www.sandboxsecurity.de ) erkennt den Virus wohl.
@dergel: taugt das Programm auch sonst was? Reicht die Kombi ZoneAlarm/McAfee nicht aus? Welche Programme würdest Du für den privaten Gebrauch (mail, surfen, KEIN Homebanking) empfehlen?
Grüße,
Albus
.
Kommentar