# [email protected]



## Devilfrank (3 März 2004)

Symantec Security Response has recently received a sample of a variant of [email protected] This sample is currently being analyzed and further information will be made available shortly. 

Current LiveUpdate definitions detect this threat as [email protected]


Also Known As:  W32/[email protected] [McAfee], WORM_BAGLE.J [Trend] 

Type:  Worm 




Systems Affected:  Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 
Systems Not Affected:  DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x 

http://www.symantec.com/avcenter/venc/data/[email protected]


----------



## Heiko (3 März 2004)

Ich habe gerade diesen Virus mit folgender Mail erhalten:



> Date: Wed, 03 Mar 2004 15:05:05 -0800
> To: [email protected]
> Subject: Email account utilization warning.
> From: [email protected]
> ...



Das bedeutet im Klartext.

Der Virus ist ein einem passwortgeschützten ZIP-File. *Kein Virenscanner wird also den Virus in der Datei erkennen!*
Auch hier werden wieder Absender gefälscht. Diese Mail stammt sicher nicht von uns hier!


----------



## stieglitz (3 März 2004)

Angeblich doch, siehe untenstehende Mail. habe ich heute Mittag erhalten.
Gruß
Stieglitz





Allgemeine News. Mittwoch, März 03, 2004
******************************************************************

1. Kein Verpacken vor Kaspersky!
2. Wie können Sie die News-Services abonnieren bzw. abbestellen?
3. Sicherheitsregeln

****

1. Kein Verpacken vor Kaspersky!

Kaspersky Labs, ein international führender Experte im Bereich IT-Sicherheit zum Schutz vor Viren, Hacker-Attacken und Spam, präsentiert die weltweit erste Technologie für den Kampf gegen eine neue Generation von Netz-Würmern, die sich in passwortgeschützten ZIP-Archiven ausbreiten.

Die Verbreitung von Malware in geschützten ZIP-Archiven erschwert deutlich die Neutralisierung. Zunächst benötigt man eine erfolgreiche Passwort-Generierung zum Scannen solcher Dateien. Danach verbraucht die eigentliche Daten-Überprüfung viele System-Ressourcen und senkt demnach die Leistung des Computers beachtlich.

Die erste Malware, die sich in passwortgeschützten ZIP-Archiven ausbreitete, war der im Sommer 2003 entdeckte Mail-Wurm 'Fearso'. Seine
24 Modifizierungen machten ihn allerdings nicht so richtig berühmt.
Die letzten Muster des Wurms 'Beagle' (Versionen F, G, H, I, J), die in der Zeit vom 27. Februar - 3. März 2004 entdeckt wurden, haben allerdings die Bedrohung durch diese Art von Malware ins Gedächtnis zurückgerufen.

Unter diesen Umständen hat Kaspersky Labs eine einzigartige Technologie zum Schutz gegen Malware in passwortgeschützten ZIP-Archiven entwickelt, die Zuverlässigkeit und Geschwindigkeit verbindet. Kaspersky Anti-Virus kann nun geschützte Archive erkennen, Passwortsuche im Text der eMail durchführen und die Dateien nach Viren überprüfen.

'Die Implementierung dieser Technologie gibt dem Anwender die Möglichkeit, sich besser gegen eine neue Generation von Malware zu schützen, die sich vor Anti-Viren-Programmen in Archiven versteckt.
Die Erscheinung von 5 Netz-Würmern innerhalb von 4 Tagen demonstriert klar die neue Mode im Computer Underground', - so Eugene Kaspersky, Leiter der Anti-Viren-Forschung bei Kaspersky Labs.

Heute ist Kaspersky Anti-Virus der einzige System-Schutz gegen Viren, der effktiv Malware in passwortgeschützten ZIP-Archiven neutralisiert. Die Technologie gehört bereits zu den Updates der Anti-Viren-Dateien und kann vom Kaspersky Labs - Server heruntergeladen werden.


----------



## Heiko (3 März 2004)

Das wäre natürlich der Hammer...


----------



## stieglitz (3 März 2004)

Da passt auch noch folgende Meldung hinzu:
http://www.heise.de/newsticker/meldung/45207

übrigens eine kleine Wurmstatistik, ohne Komentar:
Statistik vom 01.02.04 - 03.03.04	
Virus Name	

WORM_NETSKY.C 	1
WORM_MyDoom.DAM 	2
WORM_BAGLE.B 	5
WORM_MYDOOM.F 	5
WORM_SOBER.C 	98
WORM_NETSKY.D 	131
PE_DUMARU.A 	179
WORM_MYDOOM.A 	200
WORM_NETSKY.B 	379
Gesamt	1.000


----------



## Counselor (3 März 2004)

Heiko schrieb:
			
		

> Der Virus ist ein einem passwortgeschützten ZIP-File. *Kein Virenscanner wird also den Virus in der Datei erkennen!*



Der Trick ist simpel. Packt man eine Datei in ein passwortgeschütztes ZIP File, dann wird der Dateiendung ein '+' angehängt. Aus 'xyz.exe' wird 'xyz.exe+'. Die Virenscanner arbeiten in der Standardeinstellung meist nur bestimmte Dateierweiterungen ab. Abhängig vom Scanner muß man also einstellen, dass er alle Dateien scannen soll oder händisch 'exe+' in die Liste der abzuarbeitenden Dateierweiterungen eintragen.

Bei uns im Netzwerk ist zB der Versand der typischen Dateianhänge dieses Wurmes mailserverseitig geblockt, und die Content/Virenscanner an den  Gateways haben die Würmer recht zuverlässig abgewiesen (es wird der gesamte TCP/IP Verkehr von Contentscannern nach Viren- und Exploitsignaturen gescannt).


----------



## virenscanner (3 März 2004)

Das triffts leider nicht....
Sooo simpel ist der Trick nämlich nicht.

Auch wenn "alle Dateien" eingestellt seien sollte, kann ein Virenscanner das mit Passwort versehen ZIP-Archiv nicht scannen (solange der Virenscanner nicht das Passwort kennt).


----------



## Counselor (3 März 2004)

Wie sollte das Passwort ein Hindernis sein? Die Datei wird dadurch schliesslich nicht verschlüsselt. Ich habe es selbst an Antivir getestet und ein Bugtraq Autor bescheinigt für Norton Antivirus For Exchange das Gleiche:

http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0403&L=ntbugtraq&F=P&S=&P=70


----------



## Heiko (3 März 2004)

Erst mal: wer Symantec auf Exchange einsetzt, ist eh ziemlich schmerzfrei.

Der Trick dabei ist, dass die gängigen ZIPer die durch PW gesicherten Files mit einem "+" kennzeichnen. Damit wird dann das ganze ZIP gelöscht. Eine echte Erkennung ist das aber keinesfalls.


----------



## Counselor (3 März 2004)

Heiko schrieb:
			
		

> Erst mal: wer Symantec auf Exchange einsetzt, ist eh ziemlich schmerzfrei.


Stimmt.  Ich würde weder das eine noch das andere nehmen.


			
				Heiko schrieb:
			
		

> Der Trick dabei ist, dass die gängigen ZIPer die durch PW gesicherten Files mit einem "+" kennzeichnen. Damit wird dann das ganze ZIP gelöscht. Eine echte Erkennung ist das aber keinesfalls.


Das Problem war auch nicht so groß, wie es wieder dargestellt wird.  Man kann E-Mail Viren auch anders bekämpfen (zB Filtern von Mails mit bestimmten Inhalten, wie PIF, ZIP etc oder Analyse von Textmustern).


----------



## virenscanner (3 März 2004)

@Counselor


> Die Datei wird dadurch schliesslich nicht verschlüsselt.


[Sehr verwundert] Seit wann nicht mehr? [/sehr verwundert]


----------



## Counselor (3 März 2004)

virenscanner schrieb:
			
		

> @Counselor
> 
> 
> > Die Datei wird dadurch schliesslich nicht verschlüsselt.
> ...


Du hast recht. Die verschlüsseln das Archiv tatsächlich. Das ändert aber auch nichts daran, dass man die betreffenden Mails unterbinden kann, ohne das ZIP anzutasten.


----------



## virenscanner (3 März 2004)

> Du hast recht. Die verschlüsseln das Archiv tatsächlich.


Und ich dachte schon, ich hätte entweder Probleme mit meinen grauen Zellen oder irgendeine "Rückentwicklung" von WinZip verpasst... 


> Das ändert aber auch nichts daran, dass man die betreffenden Mails unterbinden kann, ohne das ZIP anzutasten.


Hier stimme ich Dir zu.
Und solange das Entpacken unter WinZip mit Hilfe des "beigelegten" Passwortes nicht zum automatischen "Ausführen" von verpackter Malware führt, sehe ich eh kein allzu grosses Problem.

Ich bin mir allerdings nicht sicher, ob nicht ein automatisches Starten der verpackten Malware möglich ist... :gruebel:


----------



## Devilfrank (4 März 2004)

Das funzt meines Wissens nicht.


----------



## Counselor (4 März 2004)

Übrigens gibt es ein kostenloses und auch für den Heimgebrauch brauchbares Tool zum Filtern von IP-Traffic:

http://www.snort.org/dl/binaries/win32/


----------



## Counselor (8 März 2004)

Die neueste Tarnung des Bagle Virus


----------



## virenscanner (16 März 2004)

Nächste Runde:


> Unter diesen Umständen hat Kaspersky Labs eine einzigartige Technologie zum Schutz gegen Malware in passwortgeschützten ZIP-Archiven entwickelt, die Zuverlässigkeit und Geschwindigkeit verbindet. Kaspersky Anti-Virus kann nun geschützte Archive erkennen, Passwortsuche im Text der eMail durchführen und die Dateien nach Viren überprüfen.


Dies schien dem Bagle-Programmierer ein Dorn im Auge zu sein...
Die Bagle-Variante "O" packt das Passwort nicht mehr in den Text der Mail, sondern in eine Grafik.


----------



## technofreak (16 März 2004)

virenscanner schrieb:
			
		

> Dies schien dem Bagle-Programmierer ein Dorn im Auge zu sein...
> Die Bagle-Variante "O" packt das Passwort nicht mehr in den Text der Mail, sondern in eine Grafik.


http://www.heise.de/newsticker/meldung/45533


> Wie schon bei früheren Varianten ist auch bei Bagle-N wieder eine Botschaft an die NetSky-Autoren enthalten; diesmal gab man sich allerdings nicht mit einer bloßen Textnachricht im Schädlingscode zufrieden, sondern hat gleich dazu ein .jpg-Bild mit einkodiert, das die Textbotschaft mit dem Screenshot einer ASCII-Zeichnung untermalt.


----------



## stieglitz (16 März 2004)

Bei mir schlägt der heute öffters ein. Passwort als Grafik.
Das Mail kommt durch, aber der Anhang wird als Wurm erkannt
und gelöscht. Unser AV-Programm (Trend-Micro) nennt ihn
Worm_bagle.gen-1. 

Ist mir bisher noch nicht über den Weg gelaufen.
Gruß
Stieglitz


----------



## stieglitz (18 März 2004)

Neue Variant Bagle_Q

Da kommt Freude auf :x 

http://www.heise.de/newsticker/meldung/45716

Zitat aus Heise:

"Bei der neuen Q-Variante des Bagle-Wurms reicht es bereits aus, eine Mail zu lesen, um sich zu infizieren. Anders als bisherige Bagle-Versionen versendet sich der Wurm nicht als Anhang einer Mail, sondern lädt sich über einen Link in der Mail selbst nach. Ist beispielsweise unter Outlook die HTML-Ansicht von Mails aktiviert, so lädt die Mail über einen versteckten Link eine HTML-Datei aus dem Internet nach. Um den PC eines Anwenders ohne dessen Interaktion zu infizieren, macht sich der Wurm eine seit längerem bekannte Lücke (MS03-040) im Internet Explorer zu Nutze: Die Object-Tag-Schwachstelle ermöglicht es Angreifern, ausführbare Dateien auf den PC eines Opfers zu laden und und in dessen Kontext auszuführen. "


----------



## Heiko (18 März 2004)

Da kam heute auch ein Yellow Alert von Trend Micro.

Da kann ich ja froh sein, dass ich die Fledermaus verwende...


----------



## Counselor (19 März 2004)

Was ich nicht verstehe ist, warum diverese PC-Klatschblätter in ständiger Regelmäßigkeit zur Deaktivierung des Autoupdate Dienstes von XP raten. Ich denke, dass solche 'Ratschläge' erheblich zur Verbreitung der Viren beitragen. Hinzu kommt, dass die meisten Virenscanner ja automatisierte Updates unterstützen.


----------



## Heiko (19 März 2004)

Wichtige Löcher sind ja auch noch nicht gepatcht.
Zudem erinnere ich mich da an SPs, die den Rechner unbenutzbar hinterließen.


----------



## Counselor (19 März 2004)

Heiko schrieb:
			
		

> Wichtige Löcher sind ja auch noch nicht gepatcht.
> Zudem erinnere ich mich da an SPs, die den Rechner unbenutzbar hinterließen.



Naja, die Löcher die der Wurm ausnutzt sind schon gepatcht. Wir haben des SP4 für W2k auf tausenden von Rechnern ausgerollt. Die Quote der Fehlschläge war unter 5%. Und die 5% hingen an der Selbstregistrierung von drei Dateien. Die Lösung war

regsvr32 actxprxy.dll
regsvr32 shdocvw.dll
regsvr32 urlmon.dll

und der IE und Lotus Notes funzten wieder.


----------



## stieglitz (26 März 2004)

Gerade kam ein Yellow Alert von Trendmicro


worm_bagle. U


hurra, bald haben wir die zeistellige Endung! 

Gruß
Und schönes Wochenende

näheres dazu:
http://de.internet.com/index.php?id=2027410&section=Tech-News


----------

