Computerhilfe (PC-Abteilung) Ein neuer agressiver Wurm ist Umlauf

hinterwaeldler
hinterwaeldler
Mitglied

Ein neuer agressiver Wurm ist Umlauf
geschrieben von hinterwaeldler
Selbst Kaspersky sieht kein wirkliches Gegenmittel um den Wurm, genannt Hlux, Kazy, Nuwar oder auch Waledac das Leben zu beenden.

Die Methode des Infektes ist immer die Gleiche:
Erst wir dem User wird per Mail angekündigt, das er eine elektronische Grußkarte von einem Bekannten aber auch Unbekannten erhält und wird aufgefordert eine bestimmte Homepage aufzusuchen. Dort erhält er statt des Grußes die Mitteilung, das er nicht angezeigt werden kann und er von einer weiteren Page einen Flash-Player herunterladen soll. Läd er ihn herunter und installiert ihn, ist es passiert.

Der Wurm installiert einen Bot und damit seit ihr Mitglied eines weltumspannenden Botnetzwerkes, welches vermutlich zum Spamversand dient. Betroffen sind vor allem Deutschland, die USA, China und Südamerika.

Ich empfehle jedem Windows-User vorsorglich eine Live-CD bereit zulegen. Wie eine Knoppix hergestellt wird habe ich in Herstellung und Handhabung einer Knoppix-LiveCD als Rettungsdisk für Windowssysteme beschrieben. Dieses Werkzeug ist derzeit das Einzige, mit welchem diese Schadsoftware aus einem Windows-System entfernt werden kann. Alle Scanner sind hilflos, weil die Datei sich ständig in ihrer Zusammensetzung ändert.

Sobald ich weitere Informationen über die Bestandteile der Malware und sowie deren Registry-Einträge habe, werde ich euch informieren.

Urego
Urego
Mitglied

Re: Ein neuer agressiver Wurm ist Umlauf
geschrieben von Urego
als Antwort auf hinterwaeldler vom 05.01.2011, 21:53:23

@ hinterwaeldler

Jetzt spricht ein PC-Idiot zu Dir.

Wer macht so etwas schon? Wenn ich eine Glückwunschkarte erhalten soll, dann weiß ich von wem, oder mir ist der Absender wenigstens entfernt bekannt, sonst reagiere ich gar nicht darauf. Wenn ich dann noch auf eine andere HP umgeleitet werden soll, dann ist es ganz aus bei mir. Dies schreibt Dir ein vorsichtiger Anfänger. Handele ich da richtig?

Ganz davon abgesehen finde ich es gut, daß Du uns vor solchen Gefahren warnst. Und da habe ich eine Frage. Ich habe bei der Telecom eine Flatrate für Telefon und Internet. Dabei ist ein Sicherheitspaket von Northon. Schützt mich das nicht vor solchen Sachen, wie Du sie beschreibst? Ich wäre Dir dankbar für eine Antwort.

Urego
langer
langer
Mitglied

Re: Ein neuer agressiver Wurm ist Umlauf
geschrieben von langer
als Antwort auf hinterwaeldler vom 05.01.2011, 21:53:23
Haben sie leicht ein Winterlochbei der PcWelt das sie schon wieder alle Verängstigen?das wird genau so eine Ente wie der Conficker.Außerdem ist es doch schon ein alter bekannter für deine Analyse steht diese Page bereit.

Anzeige

digi
digi
Mitglied

Re: Ein neuer agressiver Wurm ist Umlauf
geschrieben von digi
als Antwort auf Urego vom 05.01.2011, 23:26:28
Urego: ...Dies schreibt Dir ein vorsichtiger Anfänger. Handele ich da richtig?

GOLDRICHTIG! GOLDRICHTIG! GOLDRICHTIG!

Auch manch 'Experte' fällt noch drauf rein,
da bin ich sicher.

PS: Ich nehme gar keine Schnullisachen an.
Weil auch der Absender mir nicht persönlich garantieren kann, daß diese verschickte Sache glutenfrei ist.

Das könnte auch HW gesagt haben.
hinterwaeldler
hinterwaeldler
Mitglied

Re: Ein neuer agressiver Wurm ist Umlauf
geschrieben von hinterwaeldler
als Antwort auf Urego vom 05.01.2011, 23:26:28
Wer macht so etwas schon? Wenn ich eine Glückwunschkarte erhalten soll, dann weiß ich von wem, oder mir ist der Absender wenigstens entfernt bekannt, sonst reagiere ich gar nicht darauf. Wenn ich dann noch auf eine andere HP umgeleitet werden soll, dann ist es ganz aus bei mir. Dies schreibt Dir ein vorsichtiger Anfänger. Handele ich da richtig?

Ja, aber offensichtlich folgen dir tausende Andere in der großen, bunten und weiten Internetwelt nicht. Unabhängig davon kann es passieren, das auch ein (gefakter) guter Freund oder Verwandter einen Neujahrsgruß schickt. Bots verwenden meist die Adressbücher, welche sie auf der Festplatte vorfinden.

@langer: Das ist fast richtig, was du schreibst. Du hast nur übersehen, das die Signatur erst gestern von führenden Scannerherstellern in ihre Datenbanken aufgenommen wurde. Shadowserver berichtete aber schon am 30.12. sehr ausführlich über diese Malware. Bevor diese berichten können, muß das Dings schon im Umlauf sein. Frage: Wer ist den nun in das Jahresendloch gefallen? Die Glückwünsche zum Jahreswechsel dürften übrigens schon verschickt sein.

Das was auf Shadowserver steht ist informativ und beschreibt sehr ausführlich, wie es zum Infekt kommt. Leider wird das von den meisten ST-Mitgliedern nicht gelesen (werden können bzw ignoriert) und wenn doch, dann ist es eh zu spät. Dort steht noch nichts darüber, welche Einträge in der Registry zum Autostart führen. Das wäre bei Befall äußerst wichtig. Man könnte dann eine Reg-Datei zusammenbasteln. Auch im angehängten Blog ist nur zu lesen wie die eCard in der Regel aussieht: http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20081231
karl
karl
Administrator

Re: Ein neuer agressiver Wurm ist Umlauf
geschrieben von karl
als Antwort auf hinterwaeldler vom 06.01.2011, 09:34:42
Danke für den letzten Link, hinterwaeldler. Ich fand besonders spannend, dass offenbar inzwischen automatisierte Domainwechsel (fast flux domains) möglich sind. Dieser Trojaner zeigt wieder einmal, wie wichtig es ist, für Grußkarten nur vertraute Adressen zu verwenden wie z. B. Seniorentreff.de, auch wenn vielleicht nicht alles so glitzert und hüpft wie anderswo.

Karl

Anzeige

Marija
Marija
Mitglied

Re: Ein neuer agressiver Wurm ist Umlauf
geschrieben von Marija
als Antwort auf hinterwaeldler vom 05.01.2011, 21:53:23
Selbst Kaspersky sieht kein wirkliches Gegenmittel um den Wurm, genannt Hlux, Kazy, Nuwar oder auch Waledac das Leben zu beenden.

Die Methode des Infektes ist immer die Gleiche:
Erst wir dem User wird per Mail angekündigt, das er eine elektronische Grußkarte von einem Bekannten aber auch Unbekannten erhält und wird aufgefordert eine bestimmte Homepage aufzusuchen. Dort erhält er statt des Grußes die Mitteilung, das er nicht angezeigt werden kann und er von einer weiteren Page einen Flash-Player herunterladen soll. Läd er ihn herunter und installiert ihn, ist es passiert.

Der Wurm installiert einen Bot und damit seit ihr Mitglied eines weltumspannenden Botnetzwerkes, welches vermutlich zum Spamversand dient. Betroffen sind vor allem Deutschland, die USA, China und Südamerika.

Ich empfehle jedem Windows-User vorsorglich eine Live-CD bereit zulegen. Wie eine Knoppix hergestellt wird habe ich in Herstellung und Handhabung einer Knoppix-LiveCD als Rettungsdisk für Windowssysteme beschrieben. Dieses Werkzeug ist derzeit das Einzige, mit welchem diese Schadsoftware aus einem Windows-System entfernt werden kann. Alle Scanner sind hilflos, weil die Datei sich ständig in ihrer Zusammensetzung ändert.

Sobald ich weitere Informationen über die Bestandteile der Malware und sowie deren Registry-Einträge habe, werde ich euch informieren.



Lieber hinterwaeldler,

ich wollte dir ganz schlicht und einfach mal für alle deine sehr hilfreichen Tipps Danke sagen. !

Gruß von
Marija
Urego
Urego
Mitglied

Re: Ein neuer agressiver Wurm ist Umlauf
geschrieben von Urego
als Antwort auf hinterwaeldler vom 06.01.2011, 09:34:42


@ hinterwaeldler

Ich danke Dir recht herzlich für Deine Auskünfte. Ich ziehe daraus den Schluß, daß ich in Zukunft noch vorsichtiger sein werde, obwohl ich wichtige Dinge nicht mit dem PC erledige. Also, alles, was mit Geld oder Bankkonto zu tun hat, kommt bei mir nicht auf den PC. Es lief bis jetzt ohne, dann wird es für den Rest des Lebens auch noch gehen.

Urego
langer
langer
Mitglied

Re: Ein neuer agressiver Wurm ist Umlauf
geschrieben von langer
als Antwort auf hinterwaeldler vom 06.01.2011, 09:34:42
Bei so einem Befall brauchst keine Reg-Datei mehr Basteln,sondern Image zurück oder FormatC,alles andere ist vergebene Liebesmüh,sind zu mindestens deine Aussagen du kannst keiner einzigen Datei mehr vertrauen!!
Re: Ein neuer agressiver Wurm ist Umlauf
geschrieben von ehemaliges Mitglied
Wenn man als "hilfloser Laie" die Grundregel befolgt, beim Surfen (und dazu zähle ich jetzt mal auch das Öffnen von Grußkarten) keine angebotenen Links zum runterladen von Flash-Playern oder anderen angeblich notwendigen Updates zu nutzen, dann ist man in Punkto Sicherheit einen guten Schritt weiter.

Man holt sich sowas immer vom Originalanbieter. Das ist unbequemer, man braucht Know-How, aber es ist der sichere Weg.

Wer das nicht kann, sollte das Öffnen von Grußkarten (und anderer Seiten, die diese Player brauchen) an dieser Stelle abbrechen.

Ich weiß, dass das für viele peinlich oder traurig ist.
Man denkt, dem Absendenden sein technisches Unvermögen eingestehen zu müssen.
Es fühlt sich an, wie ein Geschenk nicht anzunehmen.
Und man ist auch neugierig darauf, was man verpasst.

Auf diese Gefühle setzen die Initiatoren dieser Malwareverteilung.

Ich kenne viele technisch Versierte (und zähle mich dazu), die diese Grußkarten grundsätzlich nicht öffnen - egal von wem und unter welchen Umständen sie kommen.
Also seid selbstbewusst, ihr outet euch nicht als Dummies, sondern als erfahren genug, die Finger von Dingen zu lassen, die Schwierigkeiten bringen könnten.


Ich habe diesen Text geschrieben, weil ich sicher bin, dass es hier viele User ähnlich meiner Mutter gibt. Sie können zwar ihren PC nutzen für Mail und ein bisschen Internet, aber keine wie auch immer geschriebenen Workflows befolgen, mit denen Sie ihre PCs retten können.


Sorella

Anzeige