Viren-News... Viren-News...  1999...

Unfrohe Weinachten?

Mit dem polymorphen Windows-Dateivirus Win32.Kriz wurde ein äusserst aggressiver neuer Virus gefunden, der am 25. oder 29.12.1999 nicht nur sämtliche Dateien löscht, sondern (wie CIH) auch noch die Bios-Daten vernichtet. Der Virus schreibt sich in EXE- und SCR-Dateien und über ein trickreiches Verfahren in die zentrale Windows-Komponente KERNEL32.DLL

Monopoly-Virus

Ein neuer, komplett in VB-Script programmierter Virus zeigt Bill Gates als Monopoly-Spieler. Der sonst harmlose VBS.Monopoly verschickt sich an alle im Outlook-Adressbuch enthaltenen Einträge. Er besteht aus zwei verschlüsselten VB-Scripts und dem Bild MONOPOLY.JPG. Die gängigen Antiviren-Programme erkennen den Virus, sofern die aktuellsten Signaturen eingebunden sind.

Wurmwarnung

Im Internet scheint sich nach aktuellen Presseberichten ein sogenannter
Internetwurm auszubreiten. In einigen News-Groups sollen Beiträge mit
einer angehängten Word97-Datei aufgetaucht sein. Doch die Anlage
"suppl.doc" enthält keine normalen Daten, sondern einen Makrovirus,
der einen Internetwurm freisetze. Die Datei ersetze die Windows -
Sytemdatei Wsock32.DLL durch eine modifizierte Kopie, jede
abgehende Email würde durch einen infizierten Dateianhang ersetzt.
Haust der Wurm eine Woche lang im System, beginnt er auf allen
aktiven Laufwerken Archive, Textdateien sowie Word- und
Exceldokumente zu löschen.  (Information der PC Magazin News)

Cholera-Ausbruch droht im Netz

Der weltweiten Internet-Gemeinde droht ein Ausbruch von Cholera, wenn 
auch nur der virtuellen. Sicherheitsfirmen warnen unisono, dass ein Virus 
mit Namen "Cholera" auf diversen Hacker-Seiten zum Herunterladen und 
Verbreiten bereitliege. Bisher sei Cholera, der ähnlich funktioniere wie 
seinerzeit "worm.exe", noch nicht aufgetaucht. Sollte dies jedoch passieren,
würde der neue Virus sofort hochgestuft in die Kategorie "hohe Bedrohung" 
und fände sich dort in bester Gesellschaft etwa mit "Melissa". 
(Information der PC Magazin News)

Nummernklau bei ICQ

ICQ-Anwender der ersten Stunden kommen plötzlich nicht mehr an 
ihren Account. Hacker haben ihnen dieniedrigen Nummern geklaut.

Im Schatten des beinahe täglich fortgesetzten Streit um Internet-Messenger-Programme entwickelt sich das in Israel entwickelte 
und inzwischen von AOL gekaufte Programm ICQ (I seek you - Ich suche Dich) prächtig.
Im Gegensatz zu AIM ("Buddy") von AOL oder den Konkurrenzprodukten etwa 
von Microsoft ist ICQ providerunabhängig. 42 Millionen User haben sich bei
ICQ bisher einen kostenlosen Account eingerichtet.
Weil dieser Account über eine aufsteigende Nummer verwaltet wird, droht ICQ
unübersichtlich zu werden.
Schon jetzt bekommen Neuanmelder eine achtstellige Ziffernfolge mitgeteilt, 
die als einziges eindeutiges User-Merkmal fungiert. Entsprechend begehrt sind
die niedrigen Nummern aus den ICQ-Anfangszeiten.
Hacker haben sich jetzt scheinbar darauf konzentriert, langjährige ICQ-Kunden 
mit Hilfe eines trojanischen Pferdes auszuspionieren, das Benutzerpasswort herauszufinden und somit den Account zu stehlen. Der rechtmässige Besitzer 
einer niedrigen ICQ-Nummer kommt anschliessend nicht mehr ins System.
Bisher sind etwa 200 Fälle eines solchen Nummernklaus bekanntgeworden, 
genug, um ICQ-Besitzer AOL zu alarmieren. AOL habe, so eine Sprecherin,
inzwischen einen Weg entwickelt, um die Rechtmässigkeit eines
Nummernbesitzes festzustellen. ICQ-User, denen eine niedrige Ziffernfolge
gestohlen worden sei, können sich unter der Internet-Adresse mit ICQ in 
Verbindung setzen und bekommen ihre alte Nummer zurück.
(Information der PC Magazin News)

http://www.icq.com

Frohe Virus-Weihnachten
Bedrohung für Windows-Rechner: Ein neuer Virus soll Windows-Rechner am Weihnachtstag (25.12.1999) bis zum totalen K.O. attackieren.

Wie das amerikanische Magazin C-Net berichtet, haben Computer-Sicherheits-Experten einen neuen Virus entdeckt. Er wurde konstruiert, um am Weihnachtstag Windows-Rechner lahmzulegen. Bislang wurde der Virus allerdings erst im Labor, nicht aber auf "freier Wildbahn" entdeckt. Antiviren-Unternehmen, die den Virus "Win32.Kriz.9862" nennen, erklären jedoch, daß er sehr gefährlich sei - vielleicht sogar schlimmer als zum Beispiel der Chernobyl-Virus (CIH-Virus).

Roger Thompson, technischer Direktor der Virenforschung der ISCA, nannte den Virus zwar scheußlich, erklärte aber gleichzeitig, daß es bislang keine Anzeichen für seine Verbreitung gäbe. Da er auch erst am 25.12.1999 aktiv werden soll, habe man auch noch genügend Zeit, Gegenmittel zu programmieren. Keith Peer, Präsident von Central Command meinte dazu, daß die Experten auch den Chernobyl-Virus vorher kannten - und dennoch gelang es ihm über 300.000 Computer abstürzen zu lassen.

Der Christmas-Virus (Win32.Kriz.9862) ist speicherresident, vervielfältigt sich unter Windows 9x und Windows NT und infiziert ausführbare Programme (*.EXE) sowie Bildschirmschoner (*.SCR). Zusätzlich manipuliert er auch die Datei KERNEL32.DLL, so daß er bei jeder Windows-Sitzung aktiv ist. Am 25.12.1999 löscht der Virus die Eintragungen des BIOS-CMOS und überschreibt alle Dateien in allen verfügbaren Laufwerken. Letztlich zerstört er das Flash-BIOS, sofern dieses nicht Schreibgeschützt (write-protection) ist, wofür er die gleiche Routine wie der CIH-Virus verwendet - damit ist der Rechner quasi tot. (Information der PC Magazin News)

http://www.news.com
http://www.isca.net
http://www.centralcommand.com

CIH-Virus überlistet  /  Daten sind zu retten
Ein Student erklärt ein Programm zu haben, das vom Chernobyl-Virus (CIH-Virus) zerstörte Dateien retten könne.
Der (mutmasliche) Programmierer des CIH-Virus, auch als Chernobyl-Virus bekannt, wurde am Freitag (30.4.99) gefasst. Am 3.5.99 war im amerikanischen C-Net zu lesen, dass der Student Monirul Islam Sharif von der Dhaka University in Bangladesch ein Programm namens MRecover (Monriul Recover) geschrieben habe. Das Produkt soll in der Lage sein, die durch CIH zerstörten Dateien wieder in ihren Urzustand zurückzusetzen.

Sharif erklärte gegenüber der Presse, dass ihn ein Freund, dessen Rechner von den Auswirkungen des CIH-Virus betroffen war, fragte, ob er ihm nicht helfen könne. Sharif fand bei dem Versuch eine Formel, mit der er in der Lage ist, die zerstörten Dateien wieder herzustellen und lesbar zu machen. Ein Versuch mit einem anderen befallenen Rechner bestätigte die Funktion seiner Formel. Sharif will das Programm nun ins Internet stellen und somit für jeden zugänglich machen. Wo und wann das Programm ins Netz kommt, ist aber noch nicht bekannt. http://www.news.com (Information der PC Magazin News)

Der Hammer: Back Orifice 2000 kommt
Hacker-Tool als Open Source

Hacker, da sind sich alle einig, bezeichnen Microsoft-Betriebssysteme als unsicher - nun stellen sie ein Tool zur Verfügung, um das zu beweisen.

Back Orifice, nicht zu verwechseln mit BackOffice, soll, wie das Microsoft-Produkt mit ähnlichem Namen, in der Version 2000 erscheinen und zwar am 09.07.1999. Die Ankündigung erfolgte während der Hacker-Konferenz "Def Con" in Las Vegas. Oxblood Ruffin, Sprecher der Hackergruppe "Cult of the Dead Cow", erklärte
gegenüber dem amerikanischen Magazin Wired News, man wolle demonstrieren, dass Microsofts Betriebssysteme nach wie vor absolut unsicher sind und somit eine schlechte Wahl für Unternehmen, bei denen es auf Vertraulichkeit von Informationen ankommt.

Back Orifice 2000 soll nach dem OpenSource-Prinzip allen interessierten zur Verfügung stehen. Damit sollen andere Entwickler ermutigt werden, ihren Teil in die Software zu integrieren. Nun ist aber Back Orifice keine nützliche Software für Jedermann, sondern vielmehr ein überaus gefährliches Tool für Hacker, das - als Server installiert - den unbeschränkten Zugriff auf den Rechner von Aussen erlaubt. Und auch auf Passwörter. Die Installation erfolgt natürlich im Hintergrund, ohne Wissen des Anwenders.

Ruffin sagt, Back Orifice, das es in diversen Variationen gibt, sei derzeit weltweit auf einer halben Million Rechnern installiert. Zwar kann diese Anzahl nicht offiziell bestätigt werden, doch erklärte beispielsweise eine australische Sicherheitsgruppe, dass dort im November 1998 rund 1400 Internet-Accounts von dem Trojaner befallen waren. Doch damit noch nicht genug: Es sollen weitere Hackertools herausgegeben werden, die beispielsweise den Rechner nach einem Modem durchsuchen und, falls sie eins finden, eine Reihe verschiedener Telefonnummern anwählen.

Der Newsman sagt: "Da versucht eine Gruppe, die kriminelle Ziele verfolgt, sich den Mantel der Legalität umzulegen: Man wolle lediglich die Unsicherheit der Microsoft-Betriebssysteme dokumentieren, heisst es - das dabei aber Daten Unbeteiligter ausspioniert und wahrscheinlich auch genutzt werden, nehmen sie billigend in Kauf. Die Argumentation ist ebenso abwegig, wie die Aussagen der ehemaligen Baader-Meinhof-Gruppe, die ihre Verbrechen politische Aktionen nannte". 
http://www.wired.com
http://www.cultdeadcow.com
http://www.defcon.org
(Information der PC Magazin News)

Melissa-Programmierer gefasst
Der mutmassliche Programmierer des Computervirus Melissa wurde in Amerika festgenommen.
Wie die Staatsanwaltschaft in Trenton, New Jersey, bekannt gab, gelang es der amerikanischen Polizei, den mutmasslichen Entwickler des E-Mail-Virus Melissa zu fassen. Der Tatverdächtige, der vor etwa 15 Monaten AOL-Accounts stahl, konnte innerhalb von drei Tagen in Zusammenarbeit von AOL, PharLap und FBI ermittelt werden. Es handelt sich um den 30-jährigen David L. Smith, den die Behörden im Haus seines Bruders stellten. Allerdings wurde er mittlerweile gegen Zahlung einer Kaution in Höhe von 100.000 US-Dollar (rund 180.000 Mark) aus der Haft entlassen.

Smith erwartet nun ein Prozess wegen Störung der öffentlichen Kommunikation, Verschwörung und Diebstahls von Computergeheimnissen. Im Falle der Verurteilung kann er mit einer Geldstrafe von bis zu 480.000 Dollar (rund 865.000 Mark) und einer Haftstrafe von bis zu 40 Jahren rechnen. Interessant an der Festnahme ist auch der Umstand, dass die verpönte persönliche Identifikationsnummer (Stichwort: Microsoft ID), die mit Word-Dokumenten weitergegeben wird, nun dabei half, die Spur des mutmasslichen Täters zu verfolgen.
Wie der amerikanische Nachrichtendienst C-Net berichtet, erklärten Smith Anwälte ( Benedict & Altman), dass er auf "nicht schuldig" plädieren wolle. Allerdings hat Smith sich mittlerweile von diesen Anwälten getrennt. Warum, wollte man seitens der Betroffenen nicht erklären. Unabhängig davon setzte sich die "Grand Jury" in Trenton zusammen, um zu prüfen, ob man Smith wegen der oben genannten Vergehen anklagen werde. http://www.news.com (Information der PC Magazin News)

Smith nicht der Melissa-Urheber?
David Smith, der mutmassliche Verursacher von Melissa steht ab heute in New Jersey vor Gericht. Er plädiert, wie wohl die meisten Angeklagten, auf "Nicht Schuldig". Wie der Nachrichtendienst von ZDNet berichtet, gibt es aber erste Zweifel an seiner Schuld: Der wahre Täter soll ein Deutscher, oder zumindest in Deutschland ansässig sein. Darauf weise der Quellcode von Melissa hin, denn ein Teil davon ist deutschsprachig. Das behauptet zumindest einer der Spezialisten, die bei der Fahndung halfen. Der PharLab-Chef, Richard Smith, dessen Recherche massgeblich zur Festnahme von Smith beitrug, glaubt allerdings nicht an diese These.

Mehr Sicherheit für US-Atomwaffenlabore
Nach Berichten des Nachrichtendienstes C-Net haben drei amerikanische Atomwaffenlabore vorsorglich ihre Rechner mit den geheimen Daten heruntergefahren. Während des Stillstands will man neue und bessere Sicherheitssysteme entwickeln, beispielsweise solche, die selbständig erkennen können, ob jemand unbefugt in das System eindringt - von Innen oder von Aussen. Diese Rechner sind zwar von den eigentlichen Arbeitsrechnern getrennt und haben auch keine Verbindung nach Aussen, doch befürchtet man, Datenspione könnten darüber oder über die Diskettenlaufwerke der Rechner, Zugriff auf wichtige Information erlangen. http://www.news.com

Melissa und Papa geht's an den Kragen
Die vermehrungssüchtigen Makroviren treiben immer noch ihr Unwesen. Um der Verbreitung dieser und anderer Computer-Parasiten Einhalt zu gebieten, startet H+BEDV Datentechnik eine Offensive. Ab sofort ist die AntiVir Personal Editon für Windows 9x und Windows NT für den privaten Einsatz kostenfrei. Auf dem eigens dafür eingerichteten Server free-av.com steht seit Freitag (9.4.99) die Personal Edition von AntiVir zum freien Download bereitstehen. Die Software besteht aus einem speicherresidenten Wächter- und einem eigenständigen Such- und Reparaturprogramm.
http://www.free-av.com

Schutz gegen Auto-Spam-Viren
Der Virenschutzhersteller Trend Micro stellt jetzt die Virenerkennungs-Funktion "Smart Detection" zur Verfügung, mit der man der Flut von Melissa- , Papa- und Madcow-Varianten Herr werden soll, die seit der
Entdeckung des Makrovirus Melissa die Anwender von Microsoft Outlook bedrohen. Das neu entwickelte Smart Detection-Tool gegen die, sich selbst per E-Mail verbreitende Viren, sogenannte Auto-Spam-Viren, arbeitet auf der Grundlage regelbasierter Überprüfung und ist ab sofort auf den Webseiten des Unternehmens zum Download verfügbar.http://www.trendmicro.de

Alle hier genannten Produkte und Marken sind eingetragene Marken oder Marken der jeweiligen Eigentümer.