[eMule-Web]  

Zurück   [eMule-Web] > eMule > eMule Allgemein

eMule Allgemein Alles zur originalen Version von eMule - Bitte FAQ beachten.

Antwort
 
LinkBack Themen-Optionen
Alt 25. August 2003, 14:38   #1
MODder
 
Benutzerbild von Xman
 
Registriert seit: 28.03.2003
Beiträge: 5.800
Standard: eDonkey-Virus : W32.Bacterra Problem: eDonkey-Virus : W32.Bacterra



Gleich mal vorweg, der Virus hat nichts mit der Sicherheitslücke <0.30a noch mit dem gestrigen Serverausfall zu tun.

Der Virus ist schon seit paar Wochen im Umlauf und auch auf diesem Board wurde bereits von seltsamen emule-Phänomenen berichtet, die bis dato aber noch keine Erklärung fanden.

Der Wurm nennt sich W32.Bacterra.

Dieser Virus funktioniert laut Symantec nur beim edonkey-Client. Allerdings bleibt abzuwarten wann er auch für emule modifiziert wird.

Funktionsweise

1. er erstellt einen Ordner :
C:\Windows\Temp\Install\Win32\System\Backup\Donkey Bacteria

2. Er erstellt um die 300 Kopienen von sich selbst. Auffallend sind die Dateinamen die immer mit ALL VERSIONS KeyGen + Crack enden.
Beispiele:
Advanced Encode Decode Tools ALL VERSIONS KeyGen + Crack
Advanced WMA Workshop ALL VERSIONS KeyGen + Crack
AudioConvert ALL VERSIONS KeyGen + Crack
Dr.Tag ALL VERSIONS KeyGen + Crack
Auto MP3 Renamer ALL VERSIONS KeyGen + Crack
DART Karaoke Studio ALL VERSIONS KeyGen + Crack
Audio Book Creator ALL VERSIONS KeyGen + Crack
CoolSpeaking ALL VERSIONS KeyGen + Crack
Alien Shooter ALL VERSIONS KeyGen + Crack
Beach Head 2002 ALL VERSIONS KeyGen + Crack

3. Er trägt den unter 1. erstellten Ordner in die Datei shared.dat ein. Somit werden alle Dateien des Ordners über edonkey weiterverbreitet.


Nachzulesen unter:
http://securityresponse.symantec.com...erra.worm.html

Zusammenfassung:
Dateien die mit "ALL VERSIONS KeyGen + Crack" enden nach dem Download sofort mit einem neuen Virenscanner überprüfen
__________________
Xman ist offline   Mit Zitat antworten
Alt 25. August 2003, 15:08   #2
V.I.P.
 
Registriert seit: 07.12.2002
Beiträge: 3.033

Holla, mal eben in Emule gesucht, die sind ganz gut verbreitet. Als zusätzliches Indiz gilt vielleicht noch, das die Größe 80kb beträgt (scheint zumindestens meist so zu sein, auf der verlinkten Seite steht es auch so). Allerdings hab ich auch auffällig viele gefunden, die das gleiche Namensmuster haben, aber nur 16kb groß sind.

Ich mach den Thread mal sticky, sicher ist sicher.

__________________
info
Usul ist offline   Mit Zitat antworten
Alt 25. August 2003, 17:49   #3
Advanced Member
 
Registriert seit: 30.06.2003
Beiträge: 109
Standard: eDonkey-Virus : W32.Bacterra eDonkey-Virus : W32.Bacterra Details

is ja ganz gut verteilt.naja hab gestern erst meinen bitdefender drüber laufen lassen also werd ich ihn mir bis heut ned geholt haben.einfach finger weg von den 80kb dateien mit den endungen.aber was macht der überhaupt außer 300 kopien von sich zuerstellen

__________________
böser_oachebär ist offline   Mit Zitat antworten
Alt 25. August 2003, 17:53   #4
MODder
 
Benutzerbild von Xman
 
Registriert seit: 28.03.2003
Beiträge: 5.800
Standard: eDonkey-Virus : W32.Bacterra Lösung: eDonkey-Virus : W32.Bacterra

böser_oachebär,
gute Frage... es stand noch nirgends, daß er was zerstört. Wahrscheinlich macht er gar nichts außer zu nerven. Aber das reicht ja schon

Selbst wenn er harmlos ist, ist er doch ne guite Gelegenheit manchen User mal wieder aufzuwecken, damit er nicht blind runterlädt und auch an das regelmäßige Upgrad der Virenscanner denkt.
__________________
Xman ist offline   Mit Zitat antworten
Alt 25. August 2003, 20:14   #5
Senior Member
 
Registriert seit: 07.02.2003
Beiträge: 439
Standard: eDonkey-Virus : W32.Bacterra eDonkey-Virus : W32.Bacterra [gelöst]

Es schadet also nichts, ab und zu beim Edonkey mal den 'shared'-Knopf zu drücken, um zu schauen, was das Tierchen so alles verbreiten will.

@Xman:

Man sollte alle ausführbaren Dateien scannen, bevor man sie startet.
Frizz ist offline   Mit Zitat antworten
Alt 25. August 2003, 21:28   #6
Board Profi
 
Benutzerbild von Blacklotus
 
Registriert seit: 29.12.2002
Beiträge: 1.000

Also ich würde mir keine großen Sorgen wegen diesem Wurm machen, denn:

1. Der Virus macht keinen Schaden.
2. Der Virus braucht die VB 6 dll damit er überhaupt läuft
3. Der Virus findet eMule nur wenn es sich auf Partition C: befindet.
4. Der Virus hat min 2 Programmierfehler mit denen er selbst verhindert, dass er sich reproduzieren kann.
5. der Virus hat immer follgendes plumpes aussehen, an dem ihr erkennt das ihr ihn gestartet habt. (Überschrift ist variabel) (Das Formular bekommt ihr nur zu sehen wenn es der Virus schafft sich selbst zu starten )



Wenn ihr keinen Virenscanner habt oder selbst prüfen wollt ob ihr mit Virus infiziert seit macht ihr einfach follgendes:

existiert der folgende Registryschlüssel seit ihr infiziert:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\DonkeyBacteria\Infected

Seit ihr infiziert macht ihr folgendes :

1. Registryzweig löschen.
2. Von eurer eMule sharedir.dat den Schreibschutz nehmen und C:\Windows\Temp\Install\Win32\System\Backup\Donkey Bacteria aus dem file löschen
3. den ordner C:\Windows\Temp\Install\Win32\System\Backup\Donkey Bacteria
löschen.
4. Euer Incoming auf Files mit der Größe 80kb überprüfen. Habt ihr solche files erkennt ihr am Icon und dem Versionsinfo das es der W32.Bacterra Wurm ist. Diese dann natürlich auch löschen.
__________________
Never Underestimate the Power of Stupid People in Large Groups. (Blacksun Research)
Blacklotus ist offline   Mit Zitat antworten
Alt 25. August 2003, 22:05   #7
MODder
 
Benutzerbild von Xman
 
Registriert seit: 28.03.2003
Beiträge: 5.800

Blacklotus,
na Du mußt Dir wohl auch jedes Programm zum testen runterladen ?

thx for info
__________________
Xman ist offline   Mit Zitat antworten
Alt 25. August 2003, 22:38   #8
Board Profi
 
Benutzerbild von Blacklotus
 
Registriert seit: 29.12.2002
Beiträge: 1.000

Zitat:
Zitat von Xman
Blacklotus,
na Du mußt Dir wohl auch jedes Programm zum testen runterladen
Stimmt genau
__________________
Never Underestimate the Power of Stupid People in Large Groups. (Blacksun Research)
Blacklotus ist offline   Mit Zitat antworten
Alt 26. August 2003, 10:45   #9
Senior Member
 
Benutzerbild von hubutz
 
Registriert seit: 19.08.2003
Beiträge: 319

Hmm... Klingt net... Aber vielleicht ist er auch nur zur Überlastung der Server gedacht... Ausserdem legt er doch den eDonkey des Befallen auch ziemlich lahm, oder? Ich dachte immer viele Dateien im Shared würde eMule Probleme machen, weiss ja net wie das beim Donkey ist, hatte den noch net drauf...
hubutz ist offline   Mit Zitat antworten
Alt 26. August 2003, 18:20   #10
Senior Member
 
Registriert seit: 07.02.2003
Beiträge: 439

Zitat:
Zitat von hubutz
...Ich dachte immer viele Dateien im Shared würde eMule Probleme machen, weiss ja net wie das beim Donkey ist, hatte den noch net drauf...
Der Edonkey hat keine Probleme mit endlosen Freigaben und endlosen Downloads. Wenn man allerdings zuviele Dateien hat und haben will, greift der 'Horde'-Effekt nicht so ganz.
Mit dem Muli durfte man dies <0.30 nicht machen, da wurde man kaltlächelnd geblacklisted und als DAU belächelt.

(Den Rest verkneif ich mir, werde sonst wieder cholerisch.)
Frizz ist offline   Mit Zitat antworten
Alt 6. September 2003, 11:03   #11
Advanced Member
 
Benutzerbild von *Heledir*
 
Registriert seit: 09.03.2003
Beiträge: 132

Mein Norton Antivirus bringt folgende Meldung:

W32.HLLP.Handy in der Datei 015.part!

Diese Datei heisst Security Patch für Internet Explorer 6.0 [Deutsch].exe - diese Datei ist im DL Fenster, ich habe sie aber nie angeklickt! Wenn ich die lösche taucht dann irgendwann wieder plötzlich eine andere Datei mit der selben Norton Meldung auf.

Ist das der gleiche Wurm - das Verhallten ist ganz anders, als von euch beschrieben...
__________________
Wenn Rapsöl aus Raps und Olivenöl aus Oliven gemacht wird, woraus besteht dann Babyöl?
*Heledir* ist offline   Mit Zitat antworten
Alt 6. September 2003, 11:10   #12
MODder
 
Benutzerbild von Xman
 
Registriert seit: 28.03.2003
Beiträge: 5.800

*Heledir*,
Es ist durchaus normal, daß nach einiger Zeit dutzende veränderte Versionen eines Viruses/Wurms im Umlauf sind.
Ganz oben schrieb ich ja noch, daß dieser Wurm sich nur über edonkey verbreitet. Es dauerte nur kurze Zeit und er wurde auf emule angepaßt.

Ich würde an Deiner Stelle fragliche Downloads löschen und den emule erst mal gut im Auge behalten. Desweiteren mit dem neusten Virenscanner das System die nächste Zeit häufiger scannen.
__________________
Xman ist offline   Mit Zitat antworten
Alt 6. September 2003, 12:05   #13
Advanced Member
 
Benutzerbild von *Heledir*
 
Registriert seit: 09.03.2003
Beiträge: 132

Thx Xman, ich hab ein paar infos gefunden. Den Virus gibts schon seit November - er wurde auch von Norton erkannt und gelöscht, ich hab nur keine Lust das ab sofort 3 mal am Tag zu machen, grrrr.
__________________
Wenn Rapsöl aus Raps und Olivenöl aus Oliven gemacht wird, woraus besteht dann Babyöl?
*Heledir* ist offline   Mit Zitat antworten
Alt 6. September 2003, 22:46   #14
Advanced Member
 
Benutzerbild von *Heledir*
 
Registriert seit: 09.03.2003
Beiträge: 132

Die Dateien hat doch ein Kumpel von mir downgeloaded, nicht der Virus.
__________________
Wenn Rapsöl aus Raps und Olivenöl aus Oliven gemacht wird, woraus besteht dann Babyöl?
*Heledir* ist offline   Mit Zitat antworten
Alt 14. September 2003, 20:27   #15
Newbie
 
Registriert seit: 14.09.2003
Beiträge: 7

hmm den quelltext hat keiner zufällig parat oder ? aber wenn er wie du schon gesagt hast schlampig programmiert ist dann muß man sich keine sorgen machen das ernster schaden entstehen kann
absurd-wetterau ist offline   Mit Zitat antworten
Antwort

Lesezeichen

Themen-Optionen

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


Ähnliche Themen: eDonkey-Virus : W32.Bacterra


  1. Jdownloader Virus erkannt 22.07.2012
    Filesharing - 19. July 2012 (2)
  2. Virus durch Video downloaden?
    Filesharing - 6. January 2012 (2)
  3. Hilfe Virus!
    Mülltonne - 4. June 2006 (7)
  4. Virus infinziert Windows & Linux!
    Hard- und Software Allgemein - 19. April 2006 (1)
  5. Virus in eDonkey exe-File gefunden
    eDonkey - Overnet - Kdrive - 6. March 2006 (6)
  6. Low ID, evt. Virus?
    Mülltonne - 10. April 2005 (2)
  7. virus in kazaa unterwegs
    sonstige Tauschbörsen - 8. February 2004 (7)
  8. Norton Anti Virus 2004
    Board-Kneipe 'Laberecke' - 12. January 2004 (11)
  9. Maus-Virus-Warnung
    Board-Kneipe 'Laberecke' - 3. October 2003 (28)
  10. Virus Blaster
    Allgemeines OffTopic - 16. August 2003 (1)
  11. Virus im Mule/Donkey Netzwerk?
    Mülltonne - 6. March 2003 (0)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:14 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
SEO by vBSEO ©2011, Crawlability, Inc.
PAGERANK