|
September 2001
W32/Vote.c (»WTC«-Virus) (27.09.2001) * wenig verbreitet *
Alias: I-Worm.Vote.c, TROJ_VOTE.C
W32/Vote.b (»WTC«-Virus) (26.09.2001) * wenig verbreitet *
Alias: I-Worm.Vote.b, W32.Vote.b@mm, TROJ_VOTE.B
W32/Vote.a (»WTC«-Virus) (24.09.2001) * wenig verbreitet *
Alias: I-Worm.Vote, W32.Vote.a@mm, TROJ_VOTE.A
Typ: EXE (Win32) + VBS, E-Mail-Wurm + Trojanisches Pferd
Verbreitung per E-Mail (Anhang: .A+.C: WTC.exe, .B:
Anti_TeRRoRisM.exe)
Betreff/Subject: A-Variante: »Fwd:Peace BeTweeN AmeriCa and IsLaM!«
B-Variante: »Fwd:This War Must Be Done!«
Nachricht: "Hi! iS iT A waR Against AmeriCa Or IsLaM !?
Let's Vote To Live in Peace!"
B-Variante: "We Must Fight , We Must ReMemBer Our Victims!
No Peace Before KiLLing TeRRoRists !"
Schaden: löscht/überschreibt Dateien, legt Trojanisches Pferd (Backdoor) und VBScript-Virus an
versucht, über autoexec.bat Festplatte zu formatieren (Win95/98/ME)
Info (Varianten-Bezeichnungen gehen etwas durcheinander):
Vote.a: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend
Micro
Vote.b: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend
Micro
Vote.c: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro
W32/Nimda (18.09.2001) *** stark verbreitet ***
Alias: I-Worm.Nimda, W32.Nimda@mm, TROJ_NIMDA.A, PE_NIMDA.A
Typ: EXE (Win32), Virus (polymorph) + E-Mail-Wurm
Verbreitung per E-Mail (Readme.exe), Webserver (IIS od. Download v. .EML-Datei),
Netzwerkfreigaben
Schaden: erstellt und öffnet Netzwerkfreigaben zum freien Zugriff
NT/W2K: Benutzer 'Gast' wird in die Administrator-Gruppe befördert
Test: Ist mein Browser Nimda-sicher? (c't Browser-Check)
Ist mein E-Mail-Programm Nimda-fest? (c't E-Mail-Check)
Entfernung: z.B. Fix-Tool von Trend Micro (s. Info)
Info: Microsoft (wg. Sicherheitslücken)
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro
Code Blue (07.09.2001) * zunächst nur in China entdeckt *
Alias: IIS-Worm.BlueCode, W32.BlueCode.Worm, W32.CodeBlue
Typ: Exploit (Win32), nutzt Sicherheitslücke in IIS
Verbreitung: HTTP-Request, danach FTP-Download
Schaden: legt VBS-Virus an, führt DoS-Angriffe aus, System-Instabilität
Info: Microsoft | CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec |
Trend Micro
W32/Magistr.b (03.09.2001) ** recht verbreitet **
Alias: PE_MAGISTR.B, I-Worm.Magistr.b, W32.Magistr.39921@mm
Typ: EXE (Win32), Virus (polymorph) + E-Mail-Wurm
Verbreitung per E-Mail (wie A-Variante) und über Netzwerkfreigaben
Schaden: wie A-Variante, neu bei B-Variante:
überschreibt WIN.COM und NTLDR mit einem Programm, das Daten auf der Festplatte löscht.
deaktiviert ZoneAlarm und löscht *.NTZ-Dateien
Info: CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro
W32/Readme (03.09.2001) ** recht verbreitet **
Alias: I-Worm.Readme, W32.Urgent.Worm@mm, W32/APost@MM, TROJ_APOST.A
Typ: EXE (Win32), E-Mail-Wurm
Verbreitung per E-Mail (Anhang : readme.exe)
Betreff/Subject: As per your request!
Nachricht: " Please find attached file for your review.
I look forward to hear from you again very soon. Thank you."
Schaden: Verbreitung per E-Mail (zweimal an jede Adresse)
Info:
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | Sophos | Symantec | Trend Micro
|
