Kurz zusammengefasst diesmal verschiedene Viren- und Wurmwarnungen:
Phishing: Um die Entlockung von Kreditkartendaten geht es bei einer angeblichen Windows-Aktivierung. Hat sich der Trojaner (trojan.Kardphisher) eingenistet, wird man nach dem ersten Neustart des Rechners (!) aufgefordert, Windows zu aktivieren und seine Kreditkartendaten einzugeben. Betitelt ist die sehr authentisch gestaltete Seite mit "Microsoft Piracy Control".
Verweigert man die Aktivierung, fährt sich der Rechner sofort runter. Akzeptiert man, soll man auf der Folgeseite seine Kreditkartendaten eingeben. Spätestens jetzt sollte man hellhörig werden (vor allem, wenn man bisher noch nie aufgefordert wurde, sein Windows zu aktivieren...)!
Auch hier fährt der Rechner runter, wenn man versucht, den Vorgang zu beenden. Tip von heise.de: "Um den Schädling zu entfernen, empfiehlt Symantec Windows im abgesicherten Modus zu starten und die im Sicherheitshinweis beschriebenen Windows-Registry-Einträge zu entfernen. Virenscanner mit allen aktuellen Updates sollten den Schädling aber auch erkennen und entfernen können."
Spy-Spam: Eingegebene Zugangsdaten auszuspähen ist immer wieder ein beliebtes Ziel von Computer-Schädlingen.
Zur Zeit sind Mails unterwegs, die vorgeblich von Mindfactory bzw. dem Landeskriminalamt Rheinland-Pfalz stammen sollen. Betreff ist einmal "Vielen Dank fur den Kauf" bzw. "Onlinedurchsuchung[Zahl]" oder "Aktenzeichen[Zahl]". Entweder über einen Link zu Webseiten bei Geocities.com oder über ein Zip-Archiv im Anhang werden Schädlinge aus dem Internet nachgeladen, die als "Io.exe" oder "ipv6monl.dll" im System32-Verzeichnis installiert werden und eingegebene Zugangsdaten für Online-Dienste u.ä. ausspionieren soll.
Wurm: Eine neue Variante aus der Sober-Familie scheint mal wieder unterwegs zu sein. Von gefälschten Absendern wie "Host-", "Post-" oder "Webmaster", "Admin" (Domains sind z.B. "hotmail.com", "gmx.de", "web.de", "microsoft.com" oder "aol.de") werden Mails verschickt mit einem Betreff wie "Ihr Passwort wurde geaendert!", "Fehlerhafte Mailzustellung", "Ihr Account wurde eingerichtet!", "Danke das Sie sich fuer uns entschieden haben.", "Your Updated Password!" oder "Error in your eMail". Angeblich sei das Passwort des Empfängers wie gewünscht geändert worden, man solle mal im Anhang nachsehen.
Öffnet man den Anhang (z.B. eine .zip-Datei wie "Passw_Data[Zahl].zip", "Mail_Data.zip" "Anleitung[Zahl].zip), dann aktiviert man den Wurm, der eine vorgetäuschte Winzip-Fehlermeldung anzeigt und im Windowsverzeichnis den neuen Ordner "Pooldata" anlegt. PC-Welt.de meldet: "Der Schädling trägt sich zum automatischen Aufruf beim Windows-Start in die Registry ein, deaktiviert das automatische Windows-Update und schaltet das Sicherheitscenter sowie die Firewall von Windows XP aus.
Außerdem versucht er Prozesse bestimmter Sicherheitsprogramme zu beenden, etwa die von Virenscannern. Sober lädt weitere Malware von wöchentlich wechselnden URLs herunter, die sich aus einem bestimmten Berechnungsschema ergeben, das im Wurm enthalten ist. Schließlich verschickt er Mails mit einer Kopie seiner selbst und den oben beschriebenen Eigenschaften an Adressen, die er auf dem infizierten Rechner gefunden hat.
Die Verbreitung dieses Wurms hat bislang nicht annähernd die Ausmaße erreicht wie die seiner Vorgänger. Die meisten Antivirus-Programme erkennen den Wurm bereits, zum Teil sogar ohne neuere Updates."
Quellen:
heise.de
rokop-security.de
www.pcwelt.de