Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Und wieder mal ein IRC Wurm (https://www.trojaner-board.de/18311-mal-irc-wurm.html)

FreshJoe 27.05.2005 01:42
Und wieder mal ein IRC Wurm
 
Es ist mal wieder soweit, das ein IRC wurm durch die Lande schreitet.

Er hat folgende Merkmale:
+ Im task Manager -> Prozesse ist eine 2. mirc.exe zu sehen, obwohl nur ein IRC offen ist. Einige User sagen ebenfalls, das auf einmal im Windows Ordner sich eine 2. Mirc Exe befindet.
+ Der Microsoft Internet Explorer funktioniert nicht mehr
+ Der Wurm postet eine URL in die Channels ohne das der User es merkt.



Der Wurm lässt den User Sachen schreiben wie:
***ACHTUNG*** Anklicken dieser URL nur auf eigene Gefahr ***ACHTUNG***

h**P://angelashp.funpic.de <- geht die kla oda was ? Oo
h**p://sybillespage.funpic.de <- booaar ugly Oo

***ACHTUNG*** Anklicken dieser URL nur auf eigene Gefahr ***ACHTUNG***

Ich gehe davon aus, das sich die URL nach jedem Restart des Rechners ändert, d.h. der Name vor dem funpick:
h**p://ändertsich.funpic.de

Da ich mich realtiv sicher fühle, durch mein Norton, habe ich mal versuchsweise auf die URL gekriegt (nein ich bin nicht verrückt).
Mein Gefühl war auch diesmal richtig und mir ist bisher nichts passiert. Was ich allerdings sehen kann beim klicken dieser URL ist ein FTP auf dem Bilder liegen, die sich da nennen IMG0001.gif bis IMG0005.gif.

Die Bilder kann man sich allerdings nicht ansehen, klickt man auf eins, will der IE das Bild auf dem Rechner speichern als Dateityp steht bei mir: Eine Anwendung für MS-Dos ( Nein das habe ich mich natürlich nicht getraut ).Es könnte natürlich auch daran liegen das ich Win2k habe und der Wurm nur XP angreift, da ein Kollege auch Norton 2005 hat, jedoch sich den Wurm einfangen konnte.

Zudem kann es ebenfalls gut möglich sein, das dieser Wurm eure Remote Dateien herrumschickt um so an die Auth Passwörter der User zu gelangen ( Ich kenne eine Person, die ihr PW in der Remote stehen hatte, so einen link geklickt hat und den Rest kann man sich denken).

Wenn jemand eine Lösung weiß für dieses Problem, bitte hier Posten.

Hier mal ein Screenshot von dem FTP:

http://mitglied.lycos.de/funbuster/IRCWURM.jpg

Yopie 27.05.2005 02:07
Bitte entschärfe die URLs so, dass sie nicht klickbar sind, also z.B. h**p://bkajshdfkjash

Zitat:
Da ich mich realtiv sicher fühle, durch mein Norton, habe ich mal versuchsweise auf die URL gekriegt (nein ich bin nicht verrückt).
Norton ist nicht gerade berühmt für seine Zuverlässigkeit!

Zitat:
Was ich allerdings sehen kann beim klicken dieser URL ist ein FTP auf dem Bilder liegen, die sich da nennen IMG0001.gif bis IMG0005.gif.
Imho sieht das nur aus wie ein FTP-Verzeichnis. Die Links wie IMG0001.gif führen zu Dateien wie IMG0001.pif.

http://virusscan.jotti.org/ bringt keine konkrete Meldung, nur "MIGHT BE INFECTED/MALWARE (Sandbox emulation... "

Ist aber sicher Malware!

Gruß :daumenhoc
Yopie

Yopie 27.05.2005 16:10
Kaspersky erkennt ihn jetzt lt. Jotti.
Zitat:
Kaspersky Anti-Virus Found IRC-Worm.Win32.VB.d
Alle anderen Fehlanzeige.

Die Seiten sind mittlerweile vom Netz.

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131