![[eMule-Web]](images/satellite/header/logo.jpg){kind=logo}
|
eDonkey-Virus : W32.Bacterra Gleich mal vorweg, der Virus hat nichts mit der Sicherheitslücke <0.30a noch mit dem gestrigen Serverausfall zu tun. Der Virus ist schon seit paar Wochen im Umlauf und auch auf diesem Board wurde bereits von seltsamen emule-Phänomenen berichtet, die bis dato aber noch keine Erklärung fanden. Der Wurm nennt sich W32.Bacterra. Dieser Virus funktioniert laut Symantec nur beim edonkey-Client. Allerdings bleibt abzuwarten wann er auch für emule modifiziert wird. Funktionsweise 1. er erstellt einen Ordner : C:\Windows\Temp\Install\Win32\System\Backup\Donkey Bacteria 2. Er erstellt um die 300 Kopienen von sich selbst. Auffallend sind die Dateinamen die immer mit ALL VERSIONS KeyGen + Crack enden. Beispiele: Advanced Encode Decode Tools ALL VERSIONS KeyGen + Crack Advanced WMA Workshop ALL VERSIONS KeyGen + Crack AudioConvert ALL VERSIONS KeyGen + Crack Dr.Tag ALL VERSIONS KeyGen + Crack Auto MP3 Renamer ALL VERSIONS KeyGen + Crack DART Karaoke Studio ALL VERSIONS KeyGen + Crack Audio Book Creator ALL VERSIONS KeyGen + Crack CoolSpeaking ALL VERSIONS KeyGen + Crack Alien Shooter ALL VERSIONS KeyGen + Crack Beach Head 2002 ALL VERSIONS KeyGen + Crack 3. Er trägt den unter 1. erstellten Ordner in die Datei shared.dat ein. Somit werden alle Dateien des Ordners über edonkey weiterverbreitet. Nachzulesen unter: http://securityresponse.symantec.com...erra.worm.html Zusammenfassung: Dateien die mit "ALL VERSIONS KeyGen + Crack" enden nach dem Download sofort mit einem neuen Virenscanner überprüfen |
Holla, mal eben in Emule gesucht, die sind ganz gut verbreitet. Als zusätzliches Indiz gilt vielleicht noch, das die Größe 80kb beträgt (scheint zumindestens meist so zu sein, auf der verlinkten Seite steht es auch so). Allerdings hab ich auch auffällig viele gefunden, die das gleiche Namensmuster haben, aber nur 16kb groß sind. Ich mach den Thread mal sticky, sicher ist sicher. |
is ja ganz gut verteilt.naja hab gestern erst meinen bitdefender drüber laufen lassen also werd ich ihn mir bis heut ned geholt haben.einfach finger weg von den 80kb dateien mit den endungen.aber was macht der überhaupt außer 300 kopien von sich zuerstellen |
böser_oachebär, gute Frage... es stand noch nirgends, daß er was zerstört. Wahrscheinlich macht er gar nichts außer zu nerven. Aber das reicht ja schon ;-) Selbst wenn er harmlos ist, ist er doch ne guite Gelegenheit manchen User mal wieder aufzuwecken, damit er nicht blind runterlädt und auch an das regelmäßige Upgrad der Virenscanner denkt. |
Es schadet also nichts, ab und zu beim Edonkey mal den 'shared'-Knopf zu drücken, um zu schauen, was das Tierchen so alles verbreiten will. @Xman: Man sollte alle ausführbaren Dateien scannen, bevor man sie startet. |
Also ich würde mir keine großen Sorgen wegen diesem Wurm machen, denn: 1. Der Virus macht keinen Schaden. 2. Der Virus braucht die VB 6 dll damit er überhaupt läuft 3. Der Virus findet eMule nur wenn es sich auf Partition C: befindet. 4. Der Virus hat min 2 Programmierfehler mit denen er selbst verhindert, dass er sich reproduzieren kann. 5. der Virus hat immer follgendes plumpes aussehen, an dem ihr erkennt das ihr ihn gestartet habt. (Überschrift ist variabel) (Das Formular bekommt ihr nur zu sehen wenn es der Virus schafft sich selbst zu starten ;) ) http://blacklotus.skb-web.de/W32%20Bacterra.jpg Wenn ihr keinen Virenscanner habt oder selbst prüfen wollt ob ihr mit Virus infiziert seit macht ihr einfach follgendes: existiert der folgende Registryschlüssel seit ihr infiziert: HKEY_CURRENT_USER\Software\VB and VBA Program Settings\DonkeyBacteria\Infected Seit ihr infiziert macht ihr folgendes : 1. Registryzweig löschen. 2. Von eurer eMule sharedir.dat den Schreibschutz nehmen und C:\Windows\Temp\Install\Win32\System\Backup\Donkey Bacteria aus dem file löschen 3. den ordner C:\Windows\Temp\Install\Win32\System\Backup\Donkey Bacteria löschen. 4. Euer Incoming auf Files mit der Größe 80kb überprüfen. Habt ihr solche files erkennt ihr am Icon und dem Versionsinfo das es der W32.Bacterra Wurm ist. Diese dann natürlich auch löschen. |
Blacklotus, na Du mußt Dir wohl auch jedes Programm zum testen runterladen ? :mrgreen: thx for info ;-) |
Zitat:
|
Hmm... Klingt net... Aber vielleicht ist er auch nur zur Überlastung der Server gedacht... Ausserdem legt er doch den eDonkey des Befallen auch ziemlich lahm, oder? Ich dachte immer viele Dateien im Shared würde eMule Probleme machen, weiss ja net wie das beim Donkey ist, hatte den noch net drauf... |
Zitat:
Mit dem Muli durfte man dies <0.30 nicht machen, da wurde man kaltlächelnd geblacklisted und als DAU belächelt. (Den Rest verkneif ich mir, werde sonst wieder cholerisch.) |
Mein Norton Antivirus bringt folgende Meldung: W32.HLLP.Handy in der Datei 015.part! Diese Datei heisst Security Patch für Internet Explorer 6.0 [Deutsch].exe - diese Datei ist im DL Fenster, ich habe sie aber nie angeklickt! Wenn ich die lösche taucht dann irgendwann wieder plötzlich eine andere Datei mit der selben Norton Meldung auf. Ist das der gleiche Wurm - das Verhallten ist ganz anders, als von euch beschrieben... |
*Heledir*, Es ist durchaus normal, daß nach einiger Zeit dutzende veränderte Versionen eines Viruses/Wurms im Umlauf sind. Ganz oben schrieb ich ja noch, daß dieser Wurm sich nur über edonkey verbreitet. Es dauerte nur kurze Zeit und er wurde auf emule angepaßt. Ich würde an Deiner Stelle fragliche Downloads löschen und den emule erst mal gut im Auge behalten. Desweiteren mit dem neusten Virenscanner das System die nächste Zeit häufiger scannen. |
Thx Xman, ich hab ein paar infos gefunden. Den Virus gibts schon seit November - er wurde auch von Norton erkannt und gelöscht, ich hab nur keine Lust das ab sofort 3 mal am Tag zu machen, grrrr. |
Die Dateien hat doch ein Kumpel von mir downgeloaded, nicht der Virus. |
hmm den quelltext hat keiner zufällig parat oder ? aber wenn er wie du schon gesagt hast schlampig programmiert ist dann muß man sich keine sorgen machen das ernster schaden entstehen kann |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:51 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.