Thema: Der Viren-Thread

[nemesis]

Was haltet ihr davon, wenn wir uns hier gegenseitig vor im Umlauf befindlichem Virendreck warnen?

Bekam heute z.B. eine Mail von "Mail Delivery System" mit dem Titel " Undelivered Mail Returned to Sender"

...schon mal ominös, hat die doch einen Anhang namens "rfc822mail_1.eml (50 KB)" ...hm...und Antivir sagt dazu: 

VIRUS gefunden!
Datei/Schädling:   screen_doc.scr <<< Worm/Sober
Typ:    virus

Lecker...


Für den Fall der Fälle vielleicht z.B. hier schauen: http://cert.uni-stuttgart.de/ticker/article.php?mid=1157

[nemesis]

Tja, ich benutze ja keine Programme wie Outlook und packe mir grundsätzlich keine Post auf den Rechner. Und Sachen von Adressen die ich nicht kenne oder von denen ich nichts erwarte lösche ich immer ungelesen.

@ Necro: Gut dass du es gepostet hast, ich z.B. habe es noch nicht mitbekommen. Und genau für so Fälle ist der Thread ja auch gedacht, thx!

[nemesis]

Dieses Mistvieh Isass scheint schon seit ein paar Monaten die Runde zu machen. Ich habe von leuten gelesen die Mails bekamen, in denen vor diesem "Virus" gewarnt wurden. Anbei war ein Anhang mit einem angeblichen "Trojanerremovaltool", welches sich als Wurm entpuppte.

Hast du eine Ahnung wie du dir das eingefangen hast?

Kann dir dazu erst mal nichts genaueres sagen, aber lies dich mal hier durch (vielleicht bringt es ja was):

http://www.pc-magazin.de/common/forum/forum.php?id=35003463&forum=19&dsp_start=0&expand=1&suchwort=

http://www.tutorials.de/tutorials154737.html

http://www.emuleforum.net/archive/topic/41554-1.html

http://board.protecus.de/showtopic.php?threadid=7346

[nemesis]

Wo wir gerade dabei sind:

18-Jähriger gesteht Programmierung des Internetwurms «Sasser»  
 
Hannover (dpa) - Ein 18-jähriger Schüler aus der Nähe von Bremen hat den Internetwurm «Sasser» programmiert. Nach seiner Festnahme gestand er die Tat. Beamte des Landeskriminalamtes Niedersachsen hatten zuvor sein Elternhaus in Waffensen durchsucht. Dabei stellten sie nach eigenen Angaben umfangreiches Beweismaterial sicher. Der Schüler kam nach seiner Vernehmung wieder auf freien Fuß. Sein Virus hatte seit einer Woche weltweit Millionen Computer befallen. «Sasser» verursachte Fehlermeldungen und ein Herunterfahren des Computers.

[nemesis]

Heute fragte mich Zone Alarm (braves Programm...*streichel*) ob ich der inetdl.exe Zugriff aufs Netz gewähren wolle. Es sei das erste mal. Dachte ich mir doch "Wenn es bisher nicht online war, dann muss es das auch jetzt nicht!".

Hab die exe mal rausgesucht. In der Signatur findet sich der Name Inet-Traffic Inc. Das Vieh ist nach dem Hochfahren im Taskmanager zu finden und aktiv und möchte unbedingt ins Netz. Da hab ich mal nachgeschaut was es an Infos zu finden gibt.

Den Namen Inet Traffic Inc. fand ich gleich. Im Zusammenhang damit eine intdel.exe Iich vermute mal es ist die gleiche exe, nur ein Anagramm.

Probleme hatte ich noch nicht (im Gegensatz zu einigen Leuten hier: http://www.hftonline.com/forum/showthread.php?t=12217 ).

Dann hab ich noch das hier gefunden:

intdel - intdel.exe - Process Information
Process File: intdel or intdel.exe
Process Name: Inet Delivery
Description: Adware application that provides offers to users through popups.
Company: Inet-Traffic Inc.
System Process: No
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): Yes
Common Errors: N/A


Hat von euch schon jemand Erfahrung mit dem Teil gemacht?

[nemesis]

Da wollte doch gestern etwas ins Netz gehen...ZoneAlarm sagte da erst mal "Aber hallo!". Da sind auf einmal gleich 4 exen drauf:

wupdater.exe
bundle.exe
Sahagent1019.exe
Isasss.exe (ja, mit 3 s)

Besonders die letzte Sau wollte im Sekundentakt Zugriff aufs Netz (und verursachte eine CPU-Auslastung von 100%). Im Taskmanager liessen sich alle beenden. hat schon jemand Erfahrungen mit den Viehchern gemacht? Bei meiner online-Suche wurde ich nicht wirklich schlau...

[nemesis]

Ständig ist stark übertrieben. Das muss gestern gewesen sein. Wollte wegen ein paar Pics zu Hellraiser 8 auf eine Seite (ich glaube "upcominghorrormovies.com" oder so) und zack, da war wohl was im Busch. Naja, sie lassen sich wie gesagt per Taskmanager abschalten, und ZoneAlarm blockt auch ab, wenn sie raus wollen. Aber ich konnte noch nichts sinnvolles über die Funktion der kleinen Ferkel rauskriegen.

[nemesis]

Der intdel. ist schon seitdem terminiert. Und Post kommt mir gar nicht erst auf den Rechner, und von unbekannten Absendern wandert es gleich in die Tonne.

Das von dir genannte probier ich mal aus, danke.

[nemesis]

Nein, diesmal habe ich keine Probleme. Habe allerdings gelesen, dass momentan wieder das ein oder andere unterwegs ist. Nur mal so zur Vorsicht:

http://oncomputer.t-online.de/c/27/76/36/2776368.html

http://www.swr.de/nachrichten/2004/11/19/index1.html

Ach ja, Necro: Den Sweeper hab ich mir besorgt. Nicht zu verachten. Ausserdem hab ich mir noch Stinger besorgt, der geht über Leichen.

[nemesis]

Okay, ich als Anti-Techniker hab da mal 'ne Frage:

mmsvc.32exe

Was zum Geier ist das? Seit kurzem will das Teil immer ins Netz (was ich unterbinde, da es das vorher ja auch nie wollte). Es scheint in der Registry zu sein und könnte u.U. ein Wurm sein, so einer der den Rechner beim Onlinesein mit einem fenster beglückt, welches darauf aufmerksam macht dass die Kiste in einer Minute runterfährt...

In diversen Foren habe ich nur Hightech-Kauderwelsch gefunden, aus dem ich nicht wirklich schlau werde.

Antivir und Stinger haben nichts gefunden. Schalte die exe über den Taskmanager aus und gut, aber was genau ist das nun? Und wenn es wirklich so ein Mistvieh ist, wie kriege ich die Sau runter von der Platte?

[nemesis]

Die hatten bei mir auch nix gefunden - Free AVG schon, lass den ma drüber laufen

Na hallo! Nach wenigen Sekunden hat er in der erwähnten exe den Trojaner Generic.LNX gefunden... 8O ...und hoffentlich geheilt. Werde ja merken, ob der Kerl noch was will...

Danke erstmal für den Tipp.  

[nemesis]

Blöde Frage: Wenn das Vieh noch da wäre müsste es ja ausgeführt werden, oder? Also im Taskmanager sichtbar sein (was es nun nicht mehr ist). Oder irre ich mich da?

[nemesis]

Nein.

[nemesis]

Klar, es ist offensichtlich, aber da die Dinger mal wieder im Umlauf zu sein scheinen...und bevor jemand in Panik tatsächlich mal auf den Anhang klickt:

Betreff: Ihre Bestellung # 89124 von EUR 453.00 ist angenommen
 
Sony RX-F18 8.0 MP Digital Camera

Ihre Bestellung # 89124 von EUR 453.00 ist angenommen.

Ihre Karte wird mit dem faelligen Betrag belastet. Danke fuer Ihren Kauf.

Als Anlage finden Sie die Rechnung.

Diese Anlage schimpft sich "rechnung.exe", die ein Trojanisches Pferd enthält.

Wie schon in vielen früheren Fällen dient dieser Schädling als Download-Programm, um weitere Malware aus dem Internet nachzuladen. Darunter befinden sich Key-Logger als BHO (Browser Helper Object im IE), ein Rootkit zur Tarnung und ein Spam-Proxy
(pc-welt)

[nemesis]

Heute in der Spam-Tonne: Bundeskriminalamt BKA Ermittlungsverfahren Nr. 868911 von Bundeskriminalamt BKA <Abteilung38291@bka.de>
Anhang: 2967673.exe (6 KB)
Dürfte ein lustiger Sober drin sein.

[nemesis]

Kann es vielleicht was mit dem Flash Player zu tun haben?