Forum motofun.ch
Motorrad, Pässe und Touren
Herzlich Willkommen
 
Sie sind nicht eingeloggt.
LoginLogin Kostenlos anmeldenKostenlos anmelden
BeiträgeBeiträge MembersMitglieder SucheSuche HilfeHilfe
VotesUmfragen FilesDateien CalendarKalender BookmarksBookmarks
Virus

Anfang   zurück   weiter   Ende
Autor Beitrag
Ryter Administrator

Administrator

Beiträge: 1429
Ort: Steffisburg Schweiz

Hobby: Motorrad, Computer


New PostErstellt: 16.11.05, 15:33  Betreff: Re: Virus  drucken  weiterempfehlen

Hallo Andre
Ganz herzlichen Dank für deine Hilfe und deinen Rat! Gruss aus der Schweiz nach Spanien; - aber mach dann auch noch einige Tage "Blau"!






____________________
Geh oft den Weg zum Haus deines Freundes, denn Unkraut überwuchert sonst den unbenutzten Pfad!
nach oben
Benutzerprofil anzeigen Private Nachricht an dieses Mitglied senden Website dieses Mitglieds aufrufen
Andre
Experte


Beiträge: 84



New PostErstellt: 16.11.05, 16:28  Betreff: Re: Virus  drucken  weiterempfehlen

Sober soll Passwörter stehlen

Einige Eigenschaften und Fähigkeiten der neuen Sober-Würmer weisen auf zukünftige Versionen hin.

Seit gestern werden neue Varianten des Sober-Wurms zum Teil Spam-artig verbreitet. Bei der Untersuchung der neuen Sober-Varianten haben Antivirus-Hersteller Eigenschaften und Möglichkeiten entdeckt, die eventuell Rückschlüsse auf zukünftige Versionen des Wurms zulassen.

So fanden die Virenforscher bei Kaspersky Labs heraus, dass Sober wie schon früher die Fähigkeit zum Download weiterer Dateien enthält. Interessanter ist die Beobachtung, dass Sober auf infizierten PCs ein Programm zum Auslesen gespeicherter Passwörter ablegt. Das von Kasperskys Antivirus-Software als "not-a-virus:PSWTool.PassView.162" gemeldete Programm kann die im Internet Explorer und in Outlook gespeicherten Passwörter ermitteln.

Weder die bislang gefundenen Sober-Varianten noch das "Passview"-Programm selbst enthalten die nötige Funktionalität zum Versenden der ausgelesenen Daten. Daher vermutet Roel Schouwenberg von Kaspersky Labs, dass die Einschleusung dieses Programms der Vorbereitung auf spätere Versionen dienen könnte.

Der Antivir-Hersteller H+BEDV hat bei der Analyse festgestellt, dass Sober sich am 16. und 17. November ein Update herunter laden soll. F-Secure meldet, Sober enthalte die Möglichkeit zum Ablegen eines Trojanischen Pferds und zum Öffnen einer Hintertür (Backdoor) zwecks Kontakt mit einem Server im Internet. Ferner stellten die Virenforscher fest, dass Sober eine Reihe von leeren Dateien anlegt, die zur Deaktivierung älterer Sober-Versionen dienen.

Zu den gestern gemeldeten drei Varianten sind mittlerweile noch mindestens zwei weitere hinzu gekommen. Sie treffen mit Mails dieser Art ein:

Betreff: "Betr: Passwort & Account Daten"
Anhang: auto-mail_Daten.zip (enthält: mail-packed_password.exe)

Betreff: "Password Confirmation"
Anhang: packed-password_text.zip (enthält: mail-packed_password.exe)

Betreff: "Wichtig: Meine neue Mail Adresse!"
Anhang: Mail-Datei.zip (enthält: accept_emailTextData.exe)

Betreff: "Your eMail Password"
Anhang: Accept_e-Text.zip (enthält: accept_emailtextdata.exe)

Jedes Mal, wenn der Wurm sich auf einem PC etabliert, fügt er belanglose Daten an das Ende seiner Programmdatei, bevor er sie weiter versendet. Dadurch entstehen zahllose Dateivarianten, die dazu führen, dass manche Antivirus-Programme nicht alle Varianten gleich erkennen und ein erneutes Update benötigen.

Hinzu kommen sehr viele Spam-artig verbreitete Varianten, die sich durch ihre Packformate zusätzlich unterscheiden. Sie werden an Spam-Listen verschickt und legen dann den Sober-Wurm auf infizierten PCs ab - daher werden sie als "Dropper" bezeichnet. Dieser verteilt sich dann mit einer eigenen Mail-Funktion weiter. Dazu benutzt er nicht nur den üblichen Port 25 sondern auch den Port 587, über den er Mail-Server von Yahoo benutzt.

Die Verbreitung der neuen Sober-Generation ist, gemessen an früheren Sober-Wellen, weiterhin nicht sonderlich hoch und findet vorwiegend in Deutschland statt. Aktualisieren Sie Ihre Antivirus-Software regelmäßig und bleiben Sie misstrauisch gegenüber unerwartet eingehenden Mails.

Quelle:

http://www.pcwelt.de/news/sicherheit/124281/index.html?NLC-Newsletter&id=124281

Weiter Informationen über die aktuelle Virenprobleme gibt es hier:

http://www.carookee.com/forum/cyspro/67




____________________
Gruß von André aus der Messestadt Leipzig


[editiert: 16.11.05, 16:30 von Andre]
nach oben
Benutzerprofil anzeigen Private Nachricht an dieses Mitglied senden Website dieses Mitglieds aufrufen
Sortierung ndern:  
Anfang   zurück   weiter   Ende
Seite 2 von 1
Gehe zu:   
Search

powered by carookee.com - eigenes profi-forum kostenlos