Quote from HenrikSober-Wurm tarnt sich als Benachrichtung zur WM-Ticket-Auslosung
Hab heute auch zwei erhalten - gleicher Text, verschiedene Betreff-Zeilen:
FIFA@ok2006.de
FwD: WM-Ticket-Auslosung
fifa@fifa.de
FwD: Glueckwunsch: Ihr WM Ticket
beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
Ihr "ok2006" Team
St. Rainer Gellhaus
Ich hab übrigens gar nicht mitgemacht...
LigH
Ausbruch von Sober.O beeinträchtigt Systeme des WM-Organisationskomitees
BSI-Beschreibung: W32.Sober.O@mm
04.05.2005
Nachtrag :
WM-Ticket-Wurm" Sober.O schaltet Virenschutz ab
Der derzeit grassierende Wurm Sober.O hat nach Auskunft des Bundesamtes für Sicherheit in der Informationstechnik (BSI) doch Schadfunktionen. Das BSI hat seine Wurmbeschreibung dazu aktualisiert. So schaltet er einige Virenschutz-Programme ab und löscht insbesondere Dateien der Anti-Viren-Produkte von Symantec. In der Folge ist die Aktualisierung des Programms und der Signaturen nicht mehr möglich. Zudem verhindert der Wurm den Start verschiedener Entfernungs-Tools, indem er nach dem Namen solche Programme in der Prozessliste sucht.
Zudem schaltet Sober die Windows XP-Firewall und das automatische Update von Windows ab
ganzer Artikel : http://www.heise.de/newsticker/meldung/59299
04.05.2005
Upgrade für WLAN-Sicherheit in Windows XP
Microsoft hat einen Patch ins Netz gestellt, der die WLAN-Konfiguration von Windows XP mit installiertem Service Pack 2 erweitert. Nach Einspielen des Patches kann XP mit 802.11i (WPA2) geschützte Funknetze von WPA-WLANs unterscheiden.
06.05.2005
Phishing-Mails mit Passworteingabefeld
In einer englischsprachigen HTML-Mail, die vorgeblich vom "eBay Security Center" stammt, werden derzeit Nutzer aufgefordert, die "Sicherheit des eigenen E-Mail-Accounts" zu testen und dazu ihre eBay-Accountdaten preiszugeben. Natürlich stammt diese Nachricht nicht von eBay, sondern von Passwort-Phishern, die es auf Passwörter von eBay-Mitgliedern abgesehen haben.
ganzer Artikel : http://www.heise.de/newsticker/meldung/59321
Phisher setzen zunehmend auf Keylogging-Schädlinge
Account-Phisher versuchen zunehmend, mittels Keylogger-Programmen an persönliche Daten von Onlinebanking-Nutzern zu gelangen
ganzer Artikel : http://www.heise.de/newsticker/meldung/59316
08.05.2005
Postbank schon wieder im Visier der Phisher
Erneut versuchen anonyme Mail-Versender Pin und TAN von arglosen Kunden zu erlangen. Das ist schon die zweite Attacke in dieser Woche.
Die in schlechtem Deutsch und ohne Umlaute verschickte HTML-Mail versucht Postbank-Kunden zu überreden, auf einer Webseite die Daten einzugeben. Angeblich wolle man "Missetaeter" ermitteln, die "Angaben aus den TAN-Tabellen" verwenden. Dazu solle der Kunde zwei TAN-Nummern auf der Webseite eintippen, statt diese selbst zu verwenden. Sollten die eingetippten TAN-Nummern dennoch zum Einsatz kommen, wäre das eine Bestätigung für einen Missbrauch und das Konto würde gesperrt.
ganzer Artikel : http://www.heise.de/newsticker/meldung/59370
Identitätsklau mit Googles Web Accelerator
Ein viel beachteter Artikel auf ZDNet berichtet über einen Vorfall, den ein Benutzer des Tools Google Web Accelerator in den Google Labs Diskussionsforen gemeldet hat. So fiel einem Nutzer beim Besuch der Futuremark-Diskussionsforen auf, dass er mit einer anderen als seiner eigenen Identität angemeldet war. Besorgniserregend: Zuvor war er mit dem Web Accelerator auf diversen Seiten unterwegs gewesen, wo er sich mit persönlichen Informationen angemeldet hatte. Es lässt sich nur darüber mutmaßen, inwieweit dieses Sicherheitsleck schon zum Schaden Fremder ausgenutzt wurde.
Die brachialste Lösung ist, den Web Accelerator nicht einzusetzen. Wer dennoch die Vorteile dieses Tools nutzen möchte, sollte Seiten, die Benutzer über Cookies identifizieren -- zum Beispiel Diskussionsforen, die ein automatisches Login über Cookies unterstützen -- von der Übertragung durch den Web Accelerator ausnehmen.
ganzer Artikel : http://www.heise.de/newsticker/meldung/59373
Kritisches Sicherheitsloch im Firefox-Browser
Das French Security Incident Response Team, früher bekannt als k-otik.com, hat einen Exploit für die aktuelle Version (1.0.3) von Firefox veröffentlicht, mit der Web-Seiten Windows-Anwendern beliebigen Code unterjubeln und diesen ausführen können
Der nun aufgetauchte Proof-of-Concept-Exploit schreibt eine Batch-Datei auf das Laufwerk C: und startet sie anschließend. Dazu muss der Anwender nur irgendwo innerhalb des Firefox-Browser-Fensters klicken. Die Demo öffnet nur die Eingabeaufforderung, echter Schadcode hätte so etwa eine Backdoor oder einen Trojaner installieren können. Ein Patch ist derzeit nicht verfügbar, Abhilfe schafft das Abschalten von JavaScript.Die Entwickler sind über die Schwachstelle bereits informiert und schlagen alternativ vor, unter Extras\Einstellungen\Web-Features die Option "Websites das Installieren von Software erlauben" zu deaktivieren.
auf einem 64-Bit-System schlug die Demo unter Windows XP SP2 mit Firefox 1.0.3 fehl....Auf einem 32-Bit-System mit Windows XP SP2 und Firefox 1.0.3 öffnete sich die Eingabeaufforderung, in Firefox 1.0.2 scheint der Fehler wiederum nicht enthalten zu sein.
Ganzer Artikel : http://www.heise.de/newsticker/meldung/59374
10.05.2005
Wieder gefälschte Telekom-Mails mit Trojaner unterwegs
Kaum ist die Welle des WM-Ticket-Wurms Sober.O abgeebbt, kursiert schon der nächste Windows-Schädling. Diesmal tarnt er sich, wie schon Anfang Januar dieses Jahres, als angebliche Telekom-Rechnung und Einzelverbindungsübersicht. Als Absender der Mail ist info@telekom.de eingetragen:
"Sehr geehrte Kundin, sehr geehrter Kunde,
Mit dieser E-Mail erhalten Sie Ihre aktuelle Telekom-Rechnung und -soweit von Ihnen beauftragt- die Einzelverbindungsьbersicht.
Nutzen Sie auch unter www . t-com.de die vielfältigen Mцglichkeiten von Rechnung Online, wie z.B. Sortierungs- und Auswertungsfunktionen. Hier finden Sie auf der Seite ganz oben links unter "Hilfe/FAQ" auch nützliche Tipps zur Nutzung von Rechnung Online.
Mit freundlichen GrьЯen Ihre Deutsche Telekom"
Im Anhang der Mail findet der Empfänger dann die Datei Rechnung.pdf.exe, die nach Angaben von Trend Micro einen Trojaner (TROJ_DLOADER.LN) enthält. Beim Start unter Windows lädt der Schädling eine weitere ausführbare Datei (TROJ_DROPPER.EA) aus dem Netz nach, die Seiten mit pornografischen Inhalten aufruft. Bislang erkennen noch nicht alle Virenscanner die Schädlinge. Der in der Mail enthaltene Link führt allerdings auf keine Phishing-Seiten, sondern auf die Seiten der Telekom.
ganzer Artikel : http://www.heise.de/newsticker/meldung/59415
15.05.2005
Neonazi-Propaganda überschwemmt Postfächer
Viele Internet-Nutzer finden heute dutzendweise Propaganda-Spam in ihrer Mail-Inbox. Mit Titeln wie "Auslaender bevorzugt", "Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer" oder "Deutsche werden kuenftig beim Arzt abgezockt" machen die Zusendungen Stimmung gegen Ausländer. Die Mails selbst enthalten dann meist die Aufforderung "Lese selbst" kombiniert mit Links auf Artikel im Web. Viele dieser Links zeigen auf NPD-Seiten, aber auch Spiegel-, taz- oder heise-online-Artikel müssen herhalten, um angebliche Machenschaften zum Nachteil der deutschen Bevölkerung zu belegen.
Man sollte sich allerdings davor hüten, die vermeintlichen Absender der Mails einer rechtsradikalen Gesinnung zu verdächtigen: Die Absenderadressen sind samt und sonders gefälscht. Bounces zeigen, das unter anderem auch Heise-Adressen für den Propaganda-Spam missbraucht werden. Vermutlich werden die Mails über Rechner verschickt, die mit einem Virus mit Hintertür infiziert sind.
ganzer Artikel : http://www.heise.de/newsticker/meldung/59562
Nachtrag : 16.05.2005
Die Spam-Welle wurde offenbar durch eine neue Sober-Version ausgelöst. Bereits -- oder immer noch -- mit Sober.P-infizierte Rechner haben in den letzten Tage aus dem Netz eine neue Wurm-Version Sober.Q nachgeladen, die die Texte der Spam-Mails enthält. Der neue Wurm verhielt sich auf dem Rechner seiner Opfer zunächst still, bis offenbar heute der eingebaute Timer abgelaufen ist. Seit heute Nacht versenden Sober-infizierte Windows-PCs die Neonazi-Propaganda.
http://www.heise.de/newsticker/meldung/59562
Virenbeschreibung von Trend Micro
In der Tat ist es höchst simpel, e-Mails mit frei erfundenen oder falschen Absende-Adressen zu versenden. Dagegen helfen nur Filter, die den Inhalt bewerten - SPAM-Filter, die nur bestimmte Absender blockieren würden, wären hier nicht sinnvoll.
17.05.2005
WM-Wurm Sober.O ist Auslöser der Spam-Welle
Die Vermutung über den Zusammenhang zwischen dem WM-Ticket-Wurm Sober.O und der Welle von Mails mit teilweise rechtsgerichtetem Inhalt hat sich bestätigt. So stoppte Sober.O Mitte der letzten Woche seine eigene Verbreitungsroutine, um infizierte Windows-PCs zu Spam-Bots umzufunktionieren. Dazu lud er von diversen Servern ein Programm nach, das die Hersteller von Antivirensoftware Sober.P getauft haben. Sober.P startete dann am vergangenen Samstag den Versand von Mails in großem Umfang mit gefälschter Absenderadresse.
Obwohl die neue Variante Sober.Q von einigen Hersteller von Antivirensoftware als Wurm bezeichnet wird, verfügt er nach bisherigen Erkenntnissen über keine Funktion, sich selbst zu verbreiten. Die Mails verfügen auch über keinen Dateianhang. Allerdings hat man schon die zeitgesteuerte Nachladefunktion in Sober.O übersehen. Zunächst hatte man dem WM-Wurm auch keine Schadfunktion zugeordnet. Nach weiteren Tests zeigte sich dann aber, dass er Virenscanner abschaltet und unter Windows XP die eingebaute Firewall und die Update-Funktion deaktiviert. Auch Sober.P trägt diese Funktionen in sich.
ganzer Artikel : http://www.heise.de/newsticker/meldung/59582
19.05.2005
Paypal verschickt Phishing-Mails
Derzeit kursiert eine Massen-E-Mail nach folgendem Muster:
Guten Tag, Herr Mustermann
Wir haben festgestellt, dass Sie Ihr PayPal-Konto noch nicht verifiziert haben. Wussten Sie, dass Ihnen als verifiziertem PayPal-Mitglied mehr Schutz und Möglichkeiten bei der Nutzung von PayPal offen stehen?
...
Sie verifizieren sich ganz einfach: Sie müssen lediglich einmal Geld von Ihrem bei PayPal registrierten Bankkonto auf Ihr PayPal-Konto überweisen. Somit stellt PayPal sicher, dass Sie der rechtmäßige Inhaber dieses Kontos sind. Dafür reicht ein Betrag von z. B. 10 Cent schon aus.
Jetzt einloggen und verifizieren {Web-Adresse}
Zur Sicherheit sei an dieser Stelle wieder ausdrücklich darauf hingewiesen: Auch Paypal-Kunden sollten sich grundsätzlich nur direkt auf der Homepage einloggen,
ganzer Artikel : http://www.heise.de/newsticker/meldung/59677
20.05.2005
Spam-Trojaner Sober.Q versucht kommenden Montag nachzuladen
aber könnte sich am kommenden Montag, den 23. Mai, schlagartig ändern. So haben die Hersteller von Antivirensoftware unter anderem diesen Zeitpunkt ausgemacht, an der Sober.P mit dem Versenden der Mails aufhört und von diversen Web-Servern neue Programme nachlädt. Was die Programme genau machen werden, weiß derzeit noch niemand.
Ganzer Artikel : http://www.heise.de/newsticker/meldung/59729
23.05.2005
Commerzbank-Kunden Ziel von Phishern
Zur Abwechslung hat der neueste Phishing-Versuch, um Accountdaten und PIN sowie TANs fürs Online-Banking von arglosen Surfern abzugreifen, diesmal Kunden der Commerzbank zum Ziel. Die Mail gibt vor, vom Support der Bank zu stammen, mit der die Kontodaten auf ihre Richtigkeit überprüft werden sollen. Schon das schlechte Deutsch der Mail sollte bei den Empfängern aber alle Alarmglocken schrillen lassen:
Ihr Konto wurde von der Datensicherheitsdienst zufalligerweise zur Kontrolle gewaehlt. Um Ihre Kontoinformation durchzunehmen, bitten wir, damit Sie uns mit allen Angaben versorgen, die wir brauchen.Sonst koennen wir Sie identifizieren nicht und sollen Ihr Konto fuer seine Verteidigung blockieren. Fuellen Sie bitte das Formular aus, um alle Details Ihres Kontos zu pruefen.Danken schoen.
Die Mail enthält ein HTML-Formular, in das der Kunden seine Teilnehmerkennung, PIN und TAN eingeben soll. Diese landen dann nicht bei der Bank, sondern auf einem Server im Internet. Anwender, die keine HTML-Ansicht in ihrem Mail-Client konfiguriert haben, bekommen statt dem Formular nur Text und eventuell einige URLs zu sehen
ganzer Artikel : http://www.heise.de/newsticker/meldung/59766
Spam-Trojaner Sober.Q gibt vorerst Ruhe
Anwender können aufatmen: Die Spam-Flut durch Sober.P/.Q und die vielen durch die Spams ausgelösten Mailserver-Fehlermeldungen ("Delivery Failure") haben vorerst ein Ende. Offenbar waren die Maßnahmen der Provider Arcor, Freenet und Pages in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgreich. Durch das Sperren einiger Web-Seiten kann Sober.Q alias Trojan.Ascetic.C keine weiteren Programme nachladen. Seit dem heutigen Montag, den 23.5., hat der Schädling nämlich seine Spam-Aktivitäten eingestellt und versucht stattdessen, neuen Schadcode auf befallene Systeme zu kopieren. Die Zugriffe auf mehr als ein Dutzend im Wurmcode einprogrammierte URLs laufen allerdings nun ins Leere.
Ab dem 26.5. wechselt der Schädling dann die Liste der URLs und probiert sein Glück aufs Neue. Aber auch diese Seiten sind bereits gesperrt.
ganzer Artikel : http://www.heise.de/newsticker/meldung/59767
24.05.2005
Kritische Schwachstelle in Virenscannern von Computer Associates und ZoneLabs
Computer Associates warnt vor einer kritischen Sicherheitslücke in seinen Antiviren-Produkten, mit der ein Angreifer einen Rechner mit Schadcode infizieren kann. Ursache des Problems ist ein Heap-basierter Buffer Overflow in CAs Scan-Engine (Vet Antivirus engine, VetE.dll), der beim Analysieren von bestimmten VBA-Macro-Headern und OLE-Streams in präparierten Microsoft-Office-Dokument auftritt. Um den Fehler auszunutzen, reicht es, dass der Angreifer ein derartiges Dokument per Mail an sein Opfer verschickt.
ganzer Artikel plus Liste der betroffenen Produkte : http://www.heise.de/security/news/meldung/59804
24.05.2005
Trojaner verschlüsselt Daten und Dokumente
Der kürzlich aufgetauchte Trojaner PGPCODER.A ist zwar kaum verbreitet, dafür aber umso tückischer. Statt Hintertürchen zu öffnen und Tastatureingaben mitzulesen, verschlüsselt er auf infizierten Windows-PCs sämtliche Dateien mit den Endungen ASC, DB, DB1, DB2, DBF, DOC, HTM, HTML, JPG, PGP, RAR, RTF, TXT, XLS und ZIP. Die Original-Dateien löscht er im Anschluss an die PGP-Verschlüsselung. Nach getaner Arbeit löscht sich der Trojaner selbst von der Platte, eine eigene Verbreitungsroutine enthält er nicht.
Anwender können in der Folge mangels Schlüssel die Dateien nicht mehr öffnen. Einen Vorschlag zu Lösung des Problems liefert PGPCODER allerdings gleich mit. So finden sich in den Unterverzeichnissen der von ihm gefundenen Daten und Dokumente in der Dateien ATTENTION!!!.TXT die Nachricht:Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032
Dort bietet der Autor des Trojaners den Schlüssel zum Dechiffrieren gegen Geld an.
ganzer Artikel : http://www.heise.de/newsticker/meldung/59819
30.05.2005
Weitere Welle von gefälschten Telekom-Rechnungen und Phishing-Mails
Auf gefälschte Telekom-Rechnungen mit ausführbaren Dateien im Anhang sollte eigentlich kaum ein Anwender mehr reinfallen. Bei der neuesten Welle setzen die Urheber aber offenbar auf eine neue Taktik: Zwar ist der Text im Vergleich zu älteren derartigen Mails fast identisch, allerdings ist die aufgeführte Rechnungssumme enorm hoch. Anwender könnten bei Beträgen von 8030,53 bis 32.485,53 Euro aus Entsetzen oder Verblüffung vielleicht doch die als PDF-Datei getarnte ausführbare Datei starten.
Eine erstaunliche Hartnäckigkeit legen zur Zeit auch wieder Phisher an den Tag, die diesmal mit englischen Texten Kunden der Deutschen Bank auf untergejubelten Webseiten zur Eingabe von PIN und TAN bewegen wollen. Diesmal tragen die Mails aber kein HTML-Formular in sich, sondern einen für unbedarfte Anwender schwer zu durchschauenden Link.
http://www.heise.de/newsticker/meldung/60027
Noch ein Monat "allgemeiner Support" für Windows 2000
Der letzte Monat bricht an: Wie Microsoft in seinem "Lifecycle-Guide" bereits vor längerer Zeit ankündigte, läuft am 30. Juni 2005 der "allgemeine Support" für Windows 2000 aus. Das gilt sowohl für Windows 2000 Professional als auch für die Server-Varianten.
Danach steht nur noch der kostenpflichtige "Erweiterte Support" zur Verfügung, und zwar für mindestens fünf Jahre -- also bis Mitte 2010.
ganzer Artikel : http://www.heise.de/newsticker/meldung/60045
Details zum Wirtschaftsspionage-Trojaner
Der unter anderem zur Wirtschaftsspionage eingesetzte Trojaner, den die bei Anwendern eingesetzten Antiviren-Programme bislang nicht unschädlich machen konnten, wird mittlerweile von einigen Virenscannern erkannt. Administratoren können so überprüfen, ob auch Rechner in ihrem Netzwerk von dem Schädling befallen sind und ausgespäht wurden.
Laut Beschreibung von Sophos legt der in VB programmierte Trojaner die fünf Dateien dao360.dll, mscomm.ocx, msinet2.ocx, mswinsck.ocx und sys2003.sys im Ordner System32 ab.
01.06.2005
Neue Mytob-Würmer und Bagle-Trojaner im Netz unterwegs
Mehrere neue Varianten des Mass-Mailing-Wurms Mytob landen zur Zeit in den elektronischen Postfächern der Anwender. Allerdings erkennen noch nicht alle Scanner die neuesten Versionen.
Um unverdächtig zu erscheinen, trägt der Wurm als Absender unter anderem den Webmaster der Domäne des Empfängers ein. Im Anhang findet sich dann eine gezippte ausführbare Datei, die beim Start den Windows-PC infiziert und unter anderem Hintertürchen öffnet.
Auch die Bagle-Wurm-Familie hat nach Wochen der Zurückhaltung gleich mehrere neue Mitglieder hervorgebracht. Allerdings scheint die Bagle-Familie nach und nach vom Mass-Mailing-Wurm zum Trojan-Dropper zu mutieren. So sollen die aktuellen Bagles keine eigene Verbreitungsroutine mehr haben. Allerdings sind die Beschreibungen der Hersteller von Antivirensoftware hier widersprüchlich. Sicher ist, dass die neuen Bagles Dateien aus dem Netz nachladen und Sicherheitssoftware deaktivieren. Initial werden die Schädlinge unter anderem über Spam-Listen verteilt. Nach Angaben einiger Hersteller sollen die Mails weder eine Betreffzeile noch einen Nachrichtentext enthalten.
ganzer Artikel plus Links
http://www.heise.de/newsticker/meldung/60123
03.06.2005
Wurm tarnt sich als Nachricht über Verhaftung von Osama bin Laden
Ein neuer Wurm tarnt sich unter anderem als englische Nachricht über die Verhaftung des international gesuchten al-Qaida-Führers Osama bin Laden oder die Tötung des ehemaligen irakischen Diktators Saddam Hussein bei einem Fluchtversuch. Die Mail gibt etwa vor, im Anhang Bilder über die Verhaftung bin Ladens zu enthalten; in Wirklichkeit findet der Empfänger eine ausführbare Datei, deren Start den Schädling Bobax.P installiert.
Der Wurm verbreitet sich von infizierten PCs über eine eigene SMTP-Engine und versucht in andere Windows-Systeme über die bekannte LSASS-Lücke einzudringen. Zudem manipuliert er die HOSTS-Datei auf dem PC. Zuerst wurde der Schädling mittels eines Trojaners TROJ_SMALL.AHE aus dem Netz nachgeladen. Der Trojaner selbst wurde über Spamlisten verteilt.
ganzer Artikel plus Wurmbeschreibung : http://www.heise.de/newsticker/meldung/60231
09.06.2005
Windows-Bluescreen bei Anzeige zu großer Bilder im Browser
Nur wenige Zeilen HTML-Code genügen, um das Speichermanagement von Windows aus dem Tritt zu bringen und einen Bluescreen zu produzieren. In der Folge ist ein Reset notwendig, um das System wieder zum Leben zu erwecken.
Den Komplettabsturz verursachen Bilder in Webseiten, deren Höhen- und Breiten-Attribute (Height, Width) enorm hoch sind, beispielsweise 9999999. Das Bild selbst muss dabei nicht besonders groß sein, es reicht allein die Definition im HTML-Code der Webseite:
Bei einem Test in der heise-Security-Redaktion stürzte ein Windows XP mit Service Pack 2 sowohl mit dem Internet Explorer als auch mit den Gecko-basierten Browsern Firefox 1.0.4., Mozilla 1.7.8 und Netscape 8.0.1 ab. An Windows allein kann es aber nicht liegen: So zeigen sich nämlich Firefox 1.1 (Deer Park Alpha 1) und Opera 8.0 von dem Angriff gänzlich unbeeindruckt.
Anwender sollten bis zur Verfügbarkeit eines Updates beim Besuch unbekannter Webseiten möglichst keine weiteren Anwendungen mit wichtigen Daten geöffnet haben.
11.06.2005
E-Mail zu Michael-Jackson-Fakemeldung schleust Trojaner ein
Ein Link in der Nachricht soll dem Leser einen Blick auf einen angeblichen Abschiedsbrief des Sängers erlauben. Nach Angaben des Software-Herstellers Sophos installiert die so aufgerufene Website jedoch per Javascript den Trojaner Troj/Borobt-Gen auf dem Rechner des Anwenders, während sie eine – bei diesem Thema gar nicht unwahrscheinliche – Überlastung des Webservers anzeigt. Am heutigen Samstagmorgen ist der Server bereits nicht mehr erreichbar gewesen.
13.06.2005
Sparkassen-Kunden im Visier der Phisher [Update]
Zur Abwechslung sind seit dem heutigen Montagmorgen Kunden der Sparkasse Ziel von Phishern. Wie mittlerweile bei Phishing-Mails üblich, versucht der Text den Leser mit Sicherheitshinweisen und vermeintlich gut gemeinten Ratschlägen einzulullen. Dort soll der Kunde dann seine PIN und zwei TANs zur Verifizierung hinterlassen, die allerdings nicht bei der Bank, sondern bei Betrügern landen.
[Blocked Image: http://www.heise.de/bilder/60540/0/0]
Ich wurde kürzlich Opfer von diesem Wurm :
http://www.sophos.com/virusinfo/analyses/w32nopird.html
Er schwirrt in P2P-Netzwerken umher und tarnt sich als Crack / keygen von Core oder Orion oder PGM etc und er hat eine Dateigröße von 156.658 Bytes.
Der Kaspersky Antivirus erkennt diesen Wurm erst seit gestern.
Einmal gestartet löscht er alle *.mp3, *.rar, *.mpg, *.mpeg, *.avi und es erscheint ein Bildchen, das besagt, das Downloads illegal sind blabla.
Man kann weder exe Dateien starten. noch msconfig oder Taskmanager oder Regedit starten.
Mir kommt das so vor, als ob dieser Wurm gezielt von der Musik- oder Filmindustrie eingesetzt wird.
Zur Rettung musste ich mit TrueImage ein Backup zurück schreiben und mit GetDataBack die gelöschten Dateien wiederholen.
Don’t have an account yet? Register yourself now and be a part of our community!
