VIRENALARM !

Achtung,

habe mir heute einen "low risk" Wurm eingefangen. WormTrans B, so der Name des Virus, handelt wie die meisten seiner Kollegen durch das automatische Versenden aller in den Kontakten in Outlook befindlichen Email-Adressen.

Neu bei diesem Wurm: Er braucht nicht extra geöffnet werden. Sobald die Vorschauanzeige aktiviert wird, ist der Virus aktiv.

Es wird daher sicher schwer sein, den Virus im eigenen System ausfindig zu machen, da er auch kein einheitlichen Betreff besitzt.

Auch wird kein Anhang in Outlook angezeigt, obwohl ein Text Attachment mit 40 k größe beigefügt ist.

Ich habe leider noch keine Möglichkeit gefunden, den Wurm zu löschen, ohne das er sich automatisch seinen Weg sucht.

Betroffen sind natürlich wie immer nur Windows / Outlook / Oulook Express Systeme.

Gruß

Avantgarde

und wie die e-mail ?? was stellt den der virus an ??

Er hat keinen Namen, und das Attachment heißt nur attchment.txt, also, als wenn eine Email vom Mailerdaemon zurückkommt.

Die Betreffzeile wird anscheinend willkürlich aus einer vorrigen Email genommen. Ich erhielt den Virus mit einer Betreffzeile einer Email, die schon vor Tagen an eine andere Person heruasgegangen war.

Das ist ja das Problem.

Was der Virus macht, habe ich oben bereits geschrieben:

Er sendet eine Email an alle im Kontakte-Ordner befindlichen Email-Adressen. Das sind bei uns derzeit ca. 250 Firmen *seufz


Avantgarde

ich könnte den Kunden andere Fakten stecken, aber das darf ich leider (noch) nicht.

Aber einen ReWolf haben wir nicht in der Datenbank :)

Avantgarde

die sich selbständig machen ohne daß man sie anfaßt:


In Outlook gibt es im Tools Menu einem Options Eintrag.
Darin wieder gibt es ein Security Tab.
In der Mitte des Security Tab steht "Secure content" und Zone:
diese Zone sollte auf "Restricted sites" stehen.

kann ich nur den Einsatz eines eigenen Mailservers empfehlen, der alle Emails nach Viren durchsucht. Der Imageverlust ist doch beachtlich.

Das ist nicht einmal teuer. Wenn man Linux einsetzt, reicht es einen Virenscanner für Linux zu kaufen und in sendmail/exim/... einzubinden. Für Windows gibt es das sicherlich auch, obwohl man sich da wahrscheinlich teure Spezialprodukte für Exchange kaufen muss. Oder einfach einen passenden Linuxrechner davorschalten.

bye, Paul.

kann man die Vorschauanzeige deaktivieren, indem man das Vorschauanzeigefenster ganz klein macht, oder gibt es da eine andere Methode?

Thanx
os-trader

Werde ich gleich mal bei ein paar rechnern umschalten.

Wir haben sogar einen eigenen Linux Mailserver, jedoch fehlt der aktuelle Virenscanner darauf. Wird wohl Zeit.

Ich hatte überlegt, die Vorschau auf den Header einer Mail zu begrenzen. Das könnte auch funzen. Aber man weiß ja leider nicht (weil der Betreff realistisch ist), bei welchem Header man dann die Mail durchgehen lassen kann. Also kann man die Idee sicher auch vergessen.

ich bin derzeit recht ratlos.

Hat noch jemand von Euch mittlerweile aus einer anderen Quelle von dem Virus erfahren? Ich habe gerade eine Mail von einem Schweden Bekannten erhalten..die haben den Virus auch (warum auch nicht).

Avantgarde

Ich hatte gestern auch 2 Viren, aber als ich die Mail angeklickt hatte (kein Doppelklick, nur selektiert), kam von meinem Outlook Express die Meldung, daß der Inhalt gefährlich sei und Viren enthalten könnte. Ich habe dann die Anlage gespeichert (nicht geöffnet) und mit einem Hex Editor angeschaut. Es handelte sich bei der Anlage um eine Datei mit Suffix SCR (Screensaver), die beim anklicken ausgeführt worden wäre. Ganz schön raffiniert.

Was der Virus allerdings gemacht hätte weiß ich nicht.

Habe im Outlook Express auch Zone für eingeschränkte Sites im Security eingestellt.

os-trader

Diesen Virus "info.doc.scr" erhielt ich gestern auch und wurde von Norton AV,
Stand 17.11.01, nicht erkannt. Er versucht aber, Zugang zum Internet zu erhalten, wie mir meine Firewall anzeigte. Entweder ist er ein Wurm oder ein
Trojaner. Morgen weiß ich mehr über ihn.

Gruß
NC

Computer/Sicherheit/
Sabotageprogramm «BadTrans.B» infiziert weltweit Internetrechner =

   Hamburg (dpa) - Ein neuer Computerwurm mit dem Namen «BadTrans.B»
verbreitet sich seit dem Wochenende weltweit im Internet. Das
Sabotageprogramm verschickt sich an Absender unbeantworteter
elektronischer Post im weit verbreiteten E-Mail-Programm «Outlook».
«Er nistet sich unter verschiedenen Namen im System ein», sagte der
Virus-Experte Christoph Fischer von der Universität Karlsruhe am
Dienstag. Auch die Betreffzeile variiert. Die Anhänge können Endungen
wie «.doc», «.pics» oder «.news» haben.

   Sicherheitsexperten warnten, dass die verschiedenen Varianten des
Schädlings Passwörter und andere vertrauliche Daten von infizierten
Rechnern ausspionieren und weiterleiten könnten. Bereits die
Voransicht und das Lesen der befallenen E-Mail aktivieren den Wurm.
Die wichtigsten Anti-Virus-Hersteller haben bereits eine
aktualisierte Version (Update) ihrer Sicherheitssoftware ins Internet
gestellt.

(Internet: Detail-Informationen zu «BadTrans.B»
www.percomp.de/cgi-bin/info.cgi?char=B&virus=BADTRANS)
dpa mt yyon sr pk
271203 Nov 01