 VBS.Gaggle.D |
COCYHOK 
Verunsicherungsmakler
Dabei seit: 04.10.2003
Beiträge: 1.079
Herkunft: CCCP
 |
|
VBS.Gaggle.D verschickt sich quer Beet. Folgende Dateien können infiziert werden:
# .vbs
# .vbe
# .js
# .jse
# .hta
# .htm
# .html
# .php
# .shtm
# .shtml
# .phtm
# .phtml
# .mht
# .mhtml
# .plg
# .htx
Er sucht E-Mail-Adressen in .hta-, .htm-, .html-, .php-, .shtm-, .shtml-, .phtm-, .phtml-, .mht-, .mhtml-, .plg- und .htx-Dateien. Dann versendet er sich an alle Adressen, die er gefunden hat. Er kann sich auch über mIRC, ICQ und einige Tauschbörsen verbreiten.
Die E-Mails haben ein unterschiedliches Aussehen, aber sie enthalten immer einen Anhang namens 'filezip.zip'.
Er kopiert sich unter einigen der folgenden Dateinamen ins %systemroot%-Verzeichnis:
# File.vbs
# Gedzac.vbs
# Israfel.vbs
# pubprn.vbs
# Kernel32.win
# Mouse_configurator.win
# Winmgd.win
# Backup.vbs
# Template.htm (eine .html-Datei, die den Wurm enthält)
# Filezip.zip (ein .zip-Archiv, das den Wurm enthält)
Er erstellt die folgenden Dateien im %systemroot%-Verzeichnis:
# Regsrv.exe (17,409 byte; wird als Trojan.KillAV erkannt)
# Sendi.exe (30,721 byte; ein Teil des Wurms)
# Pkzip.exe (Das originale pkzip)
# AvrilLavigne.jpg (12,549 bytes; das Bild, das manchmal angezeigt wird)
# C:\Estigma.hta (354 bytes; irgendeine .hta-Datei (Hypertext Application))
# iwn.dat
# iw.dat.
# ixn.dat
# ix.dat
Er zeigt manchmal ein Internet-Explodierer-Fenster mit dem Avril-Lavingngjeé-Bild an.
Er kopiert die command.com oder cmd.exe als \inetpub\scripts\israfel.exe auf alle Festplatten.
Er erstellt einige Registry-Keys.
Die Zeile
| code: |
1:
|
shell=Explorer.exe %System%\winmgd.win |
|
in der [boot]-Kategorie in der system.ini bewirkt, dass der Wurm beim Systemstart geladen wird.
Ich denke, das reicht erstmal. Wie du ihn entfernst, steht weiter unten auch drin:
Deaktiviere die Systemwiederherstellung (unter WinME|WinXP)
Lade die neuesten Virus-Definitionen runter
9x: Boote in den abgesicherten Modus
NT: Beende den Thread des Wurms (beende im Zweifelsfall einfach alle Threads, die sich beenden lassen)
Scanne das System komplett
Mache die Änderungen der Registry rückgängig (ich denke, die muss ich nicht übersetzen)
9x: Mache die Änderungen an der win.ini und system.ini rückgängig (dito)
Wie man das alles im Einzelnen macht, steht darunter.
Ich hoffe, du verstehst den Text jetzt, da du die Struktur kennst…
__________________
Es ist eine Frage, ob wir nicht, wenn wir einen Mörder rädern, grade in den Fehler des Kindes verfallen, das den Stuhl schlägt, an dem es sich stößt.
Georg Christoph Lichtenberg, 18. Jahrhundert
|
|
27.06.2004 01:14 |
|
|
Sypher
=Ein Bug-Brother steht über allen anderen=
Dabei seit: 19.11.2003
Beiträge: 687
Herkunft: von ganz weit unten
Themenstarter 
|
|
ok thx erstmal, also lesen kann ich es ja, aber weiter unten steht ja auch wie man in enfernen kann aber ich versteh net wie das gehen soll (vllt weil es schon so spät ist^^), und ich finde keine der dateien in meinem System32 ordner oder in sonst einem ordner aber ich bekomme das scheiß avril lavinge bild trotzdem angezeigt und das wird ja nur angezeigt wenn der wurm aktiv ist!
also kann mir einer die schritte aufschreiben wie ich ihn entfernen kann, aber bitte net so wie auf der symnatec seite^^
thx
Gruss Sypher
__________________
Sypher&Hotspot
Wir stehen zusammen
Wir fallen zusammen
Bug Brothers für's Leben!
..::Schlafen ist Luxus::..
|
|
|
27.06.2004 01:17 |
|
|
COCYHOK
Verunsicherungsmakler
Dabei seit: 04.10.2003
Beiträge: 1.079
Herkunft: CCCP
|
|
Nee, also das geht ja jetzt schon mal rein technisch nich: Der kann ja kein Afril-Lawrijngn-Bild anzeigen, das gar nicht da ist. Was auch auf jeden Fall da sein muss, ist die filezip.zip und der eintrag in der system.ini.
Wenn du das alles nicht hast, dann hast du den Wurm nicht.
Wie kommst du überhaupt darauf, ihn haben zu können?
__________________
Es ist eine Frage, ob wir nicht, wenn wir einen Mörder rädern, grade in den Fehler des Kindes verfallen, das den Stuhl schlägt, an dem es sich stößt.
Georg Christoph Lichtenberg, 18. Jahrhundert
|
|
|
27.06.2004 01:22 |
|
|
Sypher
=Ein Bug-Brother steht über allen anderen=
Dabei seit: 19.11.2003
Beiträge: 687
Herkunft: von ganz weit unten
Themenstarter
|
|
also ich hab den wurm weil ich auf der seite meines freundes war, die den wurm hatte und norton konnte die datei net löschen und hat mir den zugriff evrweigert, also hab ich gegoogelt und geguckt und bei symnatec steht ja das der wurm aktiv ist wenn das bil angezeigt wird und bei mir wirds angezeigt, aber ich finde keine einzige datei von denen ?!?!
GRuss Sypher ich lass jetzt nochmal norton drüber laufen
__________________
Sypher&Hotspot
Wir stehen zusammen
Wir fallen zusammen
Bug Brothers für's Leben!
..::Schlafen ist Luxus::..
|
|
|
27.06.2004 01:25 |
|
|
COCYHOK
Verunsicherungsmakler
Dabei seit: 04.10.2003
Beiträge: 1.079
Herkunft: CCCP
|
|
Aber es wird doch möglich sein, im Inet-Explorer die Quelle des Bildes anzuzeigen, oder? Rechtsklick -> Eigenschaften geht eigentlich in jedem Grafik-Browser.
EDIT:
Außerdem tendiere ich aus unerfindlichen Gründen (naja, so sehr unerfindlich sind sie eigentlich gar nicht) zu Free-AV.
__________________
Es ist eine Frage, ob wir nicht, wenn wir einen Mörder rädern, grade in den Fehler des Kindes verfallen, das den Stuhl schlägt, an dem es sich stößt.
Georg Christoph Lichtenberg, 18. Jahrhundert
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von COCYHOK: 27.06.2004 01:29.
|
|
|
27.06.2004 01:28 |
|
|
Sypher
=Ein Bug-Brother steht über allen anderen=
Dabei seit: 19.11.2003
Beiträge: 687
Herkunft: von ganz weit unten
Themenstarter
|
|
| Zitat: |
| Aber es wird doch möglich sein, im Inet-Explorer die Quelle des Bildes anzuzeigen, oder? Rechtsklick -> Eigenschaften geht eigentlich in jedem Grafik-Browser. |
dann sagt er mir das bild läge auf dem server von symnatec, naja werd jetzt schlafen gehen und morgen gucken was norton sagt, dauert ewig bis der 400gig geprüft hat^^
ist Free-AV viel besser als NAV04?
Gruss Sypher
__________________
Sypher&Hotspot
Wir stehen zusammen
Wir fallen zusammen
Bug Brothers für's Leben!
..::Schlafen ist Luxus::..
|
|
|
27.06.2004 01:32 |
|
|
COCYHOK
Verunsicherungsmakler
Dabei seit: 04.10.2003
Beiträge: 1.079
Herkunft: CCCP
|
|
Ja! Auf jeden Fall!
Während NAV in größeren Abständen Updatepakete rausbringt, bietet AntiVir fast für jeden neuen Schädling eine neue Versionsnummer zum Download an. Außerdem bohrt sich Free-AV nicht so tief ins System ein. Das ist ja fast schon grauenvoll -- auf jeden Fall aber haarsträubend -- wie sehr NAV das System verlangsamt und übertrieben alles mögliche scannt.
Free-AV regelt das anders: Wenn auf eine Datei zugegriffen wird, wird sie und das Dateisystem, in dem sie sich befindet, nur oberflächlich geprüft. Wenn dabei ein Wurm entdeckt wird, wird er angezeigt und das System angehalten. Man kann dann auswählen, ob die Datei gelöscht oder repariert werden soll, oder ob der Zugriff gewährt oder nicht gewährt werden soll. Free-AV setzt voraus, dass der Computerbesitzer selbstständig ab und zu gründlich scannt, während NAV mehr auf Noobs und DAUs zugeschnitten ist. Vor allem auf die mit der Neigung, alles, was irgendwie technisch oder kompliziert klingt, wegzuklicken.
Für solche Leute sind "Features" wie automatisches LiveUpdate oder Integration in MS-Office sicherlich sinnvoll. Aber ich habe schon viele Fälle erlebt, in denen ich NAV-User (die gerade erst das LiveUpdate durchgeführt hatten) von Free-AV überzeugt und erstmal den einen oder anderen Wurm gefunden hab.
Kurzum: Free-AV ist wesentlich robuster, flinker und anpassungsfähiger. Wenn du es mal kurzzeitig nicht brauchst, schaltest du es halt komplett ab. Mit Free-AV ist es möglich, einen Systemzustand herzustellen, in dem es kein Anzeichen auf eine frühere Free-AV-Installation mehr gibt.
H+B-EDV geht nicht den Schritt in die falsche Richtung, den Symantec gegangen ist.
__________________
Es ist eine Frage, ob wir nicht, wenn wir einen Mörder rädern, grade in den Fehler des Kindes verfallen, das den Stuhl schlägt, an dem es sich stößt.
Georg Christoph Lichtenberg, 18. Jahrhundert
|
|
|
27.06.2004 01:51 |
|
|
|
wäre nice von euch wenn jemand den text so verfassen könnte das ich ihn verstehe^^ thx