Admiral Mc Coy -kennt das wer???

Re(2): Admiral Mc Coy -kennt das wer???

GriLLe — Mon, 03 Dec 2001 13:44:52 GMT

Hi
Der Name kommt von einer Datei, die beim aussendeneden User im "Eigene Dateien Ordner" abgelegt war - kann also beliebig sein. Die absendende emailadresse ist mit ziemlicher Sicherheit falsch. Der Virus ist kein Virus sondern ein Wurm, dessen Intention war Passwörter auszuspähen. Er nennt sich W32/Badtrans-B und ist in jedem zweiten Posting erwähnt. Bleibt nur kurz im Speicher um sich weiterzuversenden. Erkennbar ist er auch an der unten beschriebenen doppelendung und dem Vorhandensein einer 0 Byte-Textdatei. Charakteristisch ist auch die coding/encoding-Zeichenfolge am Anfang "ABC0123..."
Gruß und *zirp*
GriLLe
---------------
Q: What's little, yellow and very very dangerous? A: A canary with the super-user password.
P.S.: Bitte lies doch etwas mit, bevor Du das gleiche wie die letzten vier Kollegen fragst!

Re(6): Admiral Mc Coy -kennt das wer???

Psychopath — Fri, 30 Nov 2001 14:37:07 GMT

Nur noch so als Hinweis: Wenn man neugierig ist, was drinnen ist, die Datei mit einem ganz normalen Viewer anschauen, zur Not auch wordpad, da sieht man oft was fuer ein Typ von Datei das ist.
Gruesse,
j.

Re(5): Admiral Mc Coy -kennt das wer???

roye — Fri, 30 Nov 2001 14:11:54 GMT

Schnäppchenführer muss noch sehr viel lernen, da schneid dir a stückerl vom quattro ab ...

Re(5): Admiral Mc Coy -kennt das wer???

SchusterHarry — Fri, 30 Nov 2001 14:08:56 GMT

Na das ist ja eine ausführliche Erklärung, besten Dank, ich werd´d jetzt mal schnell löschen.

Re(4): Admiral Mc Coy -kennt das wer???

quattro — Fri, 30 Nov 2001 14:03:19 GMT

das ist mit sehr großer wahrscheinlichkeit eine art email virus.

emails können aus mehreren teilen bestehen: (MIME erweiterungen)
reiner text, html text (text mit formatierung: größe, farbe..)
aber auch andere daten:
bild-dateien,...

der mechanismus des virus schaut so aus:

das mail besteht nur aus einem eingebetteten teil.
dieser teil ist eine datei.
der name kann wechseln, auffällig ist aber die doppelte erweiterung ( .doc.pif)
diese dient dazu unerfahrene benutzer zu verwirren:
denn meist haben diese die erweiterungen im windows ausgeblendet, also eine
bild.jpg.pif datei sieht im windows so aus: bild.jpg

die 2. erweiterung (.pif) dient dazu die datei für windows ausführbar zu machen (als programm kennzeichnen)
es gibt viele dateiendungen, die von windows ausgeführt werden:
*.exe (der standard)
*.com (alte dos programme, meißt in assambler geschrieben)
*.bat (batch dateien, eine art skriptsprache aus DOS zeiten)
*.pif (Programm Information File, war in windows 3.0 zeiten mit DOS programmen gepaart und enthielt informationen über die art, wie das dosprogramm in windows auszuführen ist)
*.scr (windows bildschirmschoner)
und noch ein paar andere, die mir nicht einfallen.
ziel des ganzen: den benutzer zu einem doppelklick auf dem programm zu bewegen und somit den virus aus zu lösen

hoffe damit gedient zu haben.

Re(3): Admiral Mc Coy -kennt das wer???

SchusterHarry — Fri, 30 Nov 2001 13:40:39 GMT

häää?

Re(2): Admiral Mc Coy -kennt das wer???

Schnäppchenführer — Fri, 30 Nov 2001 13:27:15 GMT

Du mußt noch seeeeehr viel lernen.

mfg
Schnäppchenführer

Re: Admiral Mc Coy -kennt das wer???

SchusterHarry — Fri, 30 Nov 2001 13:14:32 GMT

Habs jetzt mal am Desktop gespeichert und mit Norton gescannt. Kein Virus zu finden. Übrigens ist es am Desktop mit dem Symbol einer MS DOS Datei dargestellt.

Admiral Mc Coy -kennt das wer???

SchusterHarry — Fri, 30 Nov 2001 13:11:33 GMT

Hab ne Mail mit obigen Betreff erhalten,. Sobald ichs im Posteingang markiere fragt Outlook ob ichs speichern will. Habs eh nicht getan.
Komischerweise ist beim Anhang Symbol nix zu sehen und trotzdem will er den Anhang öffnen. Die Datei heißt images.DOC.pif.
Wie kann ich das jetzt speichern ohne irgendwas zu aktivieren? Oder kennt das jem,anmd ?