ok, meine freundin war wohl eine der ersten die infiziert wurde.

fakt ist: dieses programm schreibt unterschiedliche sätze die einen dazu ermutigen sollen das archiv anzunehmen.
fakt ist: dieses ist offenbar nicht zwangsweise eine .zip datei.

Zitat:

Wer diese DATEI (myalbum2007.zip) gleich gelöscht hat, sollte keinerlei Infektionen zu befürchten haben!

dessen bin ich mir nicht sicher.
hab das ganze prozedere mit meiner freundin durchgekaut, keine sonderlich verdächtigen prozesse, keine neuen starteinträge in der registry und alle msn messenger relevanten dateien sind in ihrer intigrität.weiter werden auch keine neuen dateien im &SysRoot% + \System32 erstellt.

nachdem ich das gestern alles festgestellt hatte und ihre datei natürlich NICHT angenommen habe, habe ich einfach mal spaßeshalber meinen rechner in den abgesicherten modus geschickt und gescannt, worauf antivir und der security taskmanager auf einmal 2 verdächtige dateien gefunden hat,
zum einen eine svchosl.exe (analyse ergab keylogger eigenschaften und das senden von daten an eine ip 87.xx.xxx.xxx) in ..\System32, die sich jedes mal geschlossen hat wenn ich in besagtes verzeichnis gewechselt bin, und eine explorers.exe die sich problemlos löschen lies.
wie auch immer habe meinen rechner lieber direkt neu aufgesetzt und bin jetzt offenbar wieder frei.
dennoch sollte man vorsichtig sein, ich bin mir nicht sicher ob dieser msn wurm nicht evtl die routine besitzt nur eine datei anzubieten, daraus irgendwie die ip des anderen peers rausbekommt, dann evtl eine DOS attacke oder sonst irgendwas startet um den ein oder anderen prozess einzuschleusen.

WENN ihr eine solche datei namens Mypictures2007 oder Myalbum2007 angeboten bekommen habt solltet ihr auf jeden fall egal was ihr gemacht habt in den abgesicherten modus wechseln und dort mal scannen, speziell c:\WINDOWS.

was ich mir auch denken könnte dass dieser wurm sozusagen eine "bestrafungsroutine" besitzt, d.h. wenn man ihn nicht annimmt, lädt er halt einfach was anderes auf den zielhost, könnte mich aber natürlich täuschen, wovon ich mir auch recht sicher bin.

musste einfach mal meinen beitrag leisten.
so long, das Huhn

Zitat:

Zitat von Huhn

fakt ist: dieses ist offenbar nicht zwangsweise eine .zip datei.

Woher weißt du?

Zitat:

zum einen eine svchosl.exe (analyse ergab keylogger eigenschaften und das senden von daten an eine ip 87.xx.xxx.xxx) in ..\System32 und eine explorers.exe die sich problemlos löschen lies.

Die beiden müssen nicht mit dem aktuellen Wurm zu tun haben.
svchosl.exe könnte auch er gewesen sein ("stiehlt Daten", "speichert Tastenfolgen").

Zitat:

WENN ihr eine solche datei namens Mypictures2007 oder Myalbum2007 angeboten bekommen habt solltet ihr auf jeden fall egal was ihr gemacht habt in den abgesicherten modus wechseln und dort mal scannen, speziell c:\WINDOWS.

Ja. Das ist sicher nicht die schlechteste Idee, vorausgesetzt, der Scanner erkennt das Ding.

Hallo Leute,

ist doch ganz einfach. Warum kontaktiert man nicht vorher den Absender der mail (Freund/Freundin) und geht sicher, das er/sie eine zip. Datei zugeschickt hat? Würde nie eine Datei einfach öffnen, wenn ich nicht vorher bescheid weiß!

Einfach mit einer gesunden Portion Misstrauen im world wide web bewegen!

Gruss

Zitat:

Zitat von Franz1968

Woher weißt du?


Die beiden müssen nicht mit dem aktuellen Wurm zu tun haben.
svchosl.exe könnte auch er gewesen sein ("stiehlt Daten", "speichert Tastenfolgen").

sorry, aber mit verlaub gesagt bezweifel ich gerade dass meine erklärung nicht akkurat genug war.
w32.rbot.~~~ hätte mein virenscanner erkannt. die teile die ich da gefunden hab waren definitiv neu.
und zu der .zip geschichte nur deshalb, weil weiter vorne in diesem thread jemand von einer .rar datei erzählt hat.

kommt mir das nur so vor oder sind die virenauthoren in den letzten tagen/wochen ein wenig fleißiger als sonst..?

Zitat:

und zu der .zip geschichte nur deshalb, weil weiter vorne in diesem thread jemand von einer .rar datei erzählt hat.

Hm, ich wars zwar nicht aber es sollte doch klar sein, dass ein und derselbe Schädling in unterschiedlichen Formaten aufkreuzen kann. Es geht ja nicht darum, dass die ZIP-oder RAR-Datei gefährlich ist (*), denn ZIP/RARsind ja nur Container, die Schadcode beinhalten können!


--
(*)
Es sei denn, die RAR/ZIP-Datei ist gezielt manipuliert, um Schwachstellen in älteren Entpackern auszunutzen, das ist aber jetzt ne andere Baustelle...
--