Seit gestern ist ein neuer Virus aktiv. Entsprechende Informationen sind zu finden unter:

https://www.chip.de/news_stories/news_stories_8627810.html

Man kann gar nicht überschauen, in welches Thema man eine "Virus-Frage" setzen soll.
Mir ist aufgefallen, daß verseuchte Mails etwa so aussehen:
_klabautermann@irgendein.net. Den vorangehenden Unterstrich gibt es bei echten Mails nicht.
Kann das sein?

Das ist schon richtig. Ich habe auch nur deswegen ein neues Thema begonnen, um "aktuell" zu sein. Wenn solche Hinweise in einem anderen Thema behandelt werden, dann gehen sie oft in der Vielzahl der Beiträge unter.

Zu den Fragen. Nein, die Schreibweise des Absender spielt keine Rolle. Das ist oftmals von Provider zu Provider ganz unterschiedlich. Und Mails kommen ja aus allen Ländern der Welt, man kann da wirklich keine allgemeine Aussage machen.

Generell ist es einfach so, daß die "Mehrheit" der Gefahren in den sogenannten "Attachements" (Dateianhänge) lauern. Unbekannte Dateianhänge sollte man niemals öffnen!

Erhebliche Risiken liegen oftmals im "Subject" (Betreff) einer E-Mail. Bereits durch die einfache "Vorschaufunktion" eines Mailprogramms kann ein Virus aktiviert werden. Folglich sollte diese Funktion abgeschaltet werden!

Aktive Viren werden u. a. über die integrierten Adressbücher verbreitet. Wer über viel Mailkontakte verfügt, der greift gerne auf solche Adressbücher zurück. Aber man kann es auch anders machen:

Eventuell kann man die benötigten Adressen in einer einfachen Textdatei abspeichern, oder in einer Word-Datei. Es ist jedenfalls mit wenig Mühe verbunden, eine Adresse manuell einzutippen. Im Gegenzug erhöht man die Sicherheit!

Der Tipp gilt natürlich nicht, wenn man Rundschreiben an sehr viele Personen gleichzeitig verschicken will.

Hallo liebes Forum.
Wie schon angesprochen, gibt es wieder einen neuen Virus.
Im nachfolgenden Text wird beschrieben, wie sich der Virus zeigt und wie man ihm beikommen kann.
Ich biete dabei gerne meine Hilfe an.
Mail an:
Schulz.Sierksdorf@t-online.de
Entschuldigung für das lange Posting.

Viruswarnung - Virusbeschreibung
Name: W32.Goner.A@mm

Alias: I-Worm.Goner, Gone, Pentagone
Art: Massenmailer-Wurm
Betriebssystem: Microsoft Windows
Verbreitung: mittel bis hoch
Risiko: mittel
Handlungsbedarf: Update des Virenschutzes; filtern von Attachments
Schadensfunktion: Massenmail, Löschen von Viren-Schutzprogrammen

W32.Goner.A@mm ist ein Massenmailer-Wurm, der in Visual Basic geschrieben ist. Der Wurm-Code wurde mit einem bekannten PE-Packer (UPX) gepackt.
Er versendet sich per Email-Nachricht an Adressen aus dem Outlook Adressbuch. Außerdem verbreitet er sich über ICQ- und IRC-Netzwerke.
Wenn MIRC installiert ist, werden vom Wurm Skripte in den MIRC-Folder eingefügt.
Dies ermöglicht es, den Computer in einer DDoS-Attacke zu benutzen.

Die Betreffzeile ist:
Hi

Der Nachrichtentext lautet:
How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!

Die angehängte Datei heißt:
gone.scr

Sie ist 38.912 Bytes groß.

Wenn der Wurm gestartet wird, zeigt er eine animierte Dialogbox mit dem Titel:
About

an. In diesem Fenster steht u.a. der Text:
pentagone

Dann versendet sich der Wurm im Hintergrund.
Nach dem Versenden des eigenen Codes zeigt W32.Goner.A@mm ein weiteres Fenster mit folgendem Titel / Inhalt an:
Error
Error While Analyze DirectX!

W32.Goner.A@mm erzeugt den Registrierungs-Schlüssel:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
C:\windows\system\gone.scr bzw.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
C:\winnt\system32\gone.scr

Der Wert des Schlüssels lautet auch:
C:\windows\system\gone.scr bzw.
C:\winnt\system32\gone.scr

Der Wurm sucht auf dem infizierten System nach den Prozessen:
APLICA32.EXE
ZONEALARM.EXE
ESAFE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFINET32.EXE
PCFWallIcon.EXE
FRW.EXE
VSHWIN32.EXE
VSECOMR.EXE
WEBSCANX.EXE
AVCONSOL.EXE
VSSTAT.EXE
PW32.EXE
VW32.EXE
VP32.EXE
VPCC.EXE
VPM.EXE
AVP32.EXE
AVPCC.EXE
AVPM.EXE
AVP.EXE
LOCKDOWN2000.EXE
ICLOAD95.EXE
ICMON.EXE
ICSUPP95.EXE
ICLOADNT.EXE
ICSUPPNT.EXE
TDS2-98.EXE
TDS2-NT.EXE
SAFEWEB.EXE

Findet er diese Prozesse, versucht W32.Goner.A@mm diese Dateien zu LÖSCHEN.
Wenn dieser Versuch fehlschlägt, werden die Dateinamen in die Datei wininit.ini geschrieben, die beim nächsten Systemstart dazu verwendet wird,diese Dateien zu löschen.
Weiterhin versucht der Wurm das Verzeichnis c:\safeweb zu löschen.

Ein Entfernungstool für W32.Goner.A@mm ist im Internet verfügbar unter:
https://securityresponse.symantec.com/avcenter/venc/data/w32.goner.a@mm.removal.tool.html


Es wird empfohlen, Attachments mit der Datei-Endung .scr (hier gone.scr) am Email-Gateway zu filtern.

WICHTIG: Ein Update der Viren-Schutzsoftware ist unbedingt erforderlich.

Fragen richten Sie bitte an mailto:antivir@bsi.de
Virenmeldungen können Sie an mailto:virmeld@bsi.de senden.

Information kommt von:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
Voice +49-228-9582-444 / FAX +49-228-9582-427
https://www.bsi.de