> Mich würde mal ganz was anderes interessieren. Hat von euch einer eine Vorstellung,
> auf welche Daten speziell der Virus es abgesehen hat - und -
> welcher Schaden dadurch entstanden ist ?
Nuja, dazu schrieb Heise:
Wer nach einer Infektion mit dem Mail-Wurm BadTrans befürchtet, dass der Wurm Passwörter oder andere geheime Informationen gestohlen haben könnte, kann jetzt selbst nachsehen. BadTrans legt die ausgespähten Informationen in der Datei C:\windows\system\cp_25389.nls ab -- allerdings in verschlüsselter Form.
Vom Anti-Viren-Testcenter der Universität Magdeburg gibt es jetzt das Tool DecBad . [
ftp://ftp.heise.de/pub/ct/spezial/decbad.zip ]
Mit dem Programm kann man die kryptischen Zeichen in Klartext umwandeln und damit feststellen, ob BadTrans sich Zugriff auf geheime Informationen verschafft hat. Mit dem kostenlosen Tool AntiBadTrans von BitDefender kann man ein befallenes System wieder säubern. (ju/c't)
http://www.heise.de/newsticker/data/ju-30.11.01-000/--------Und ein paar Nachrichten vorher:
Mit dem eingebauten Keylogger hat der BadTrans-Wurm das Potenzial, Passwörter, Kreditkartenummern und Ähnliches auszuspionieren. Doch die konkrete Gefahr, dass auf diesem Wege geheime Informationen den Rechner verlassen, ist zum Glück relativ gering.
Der Wurm überprüft im Sekundenabstand die Titelzeile des aktuellen Fensters. Nur wenn deren Inhalt mit den drei Buchstaben
LOG PAS REM CON TER NET
beginnt, startet er die Aufzeichnungsfunktion und protokolliert für 60 Sekunden alle Tastatureingaben mit. Diese versendet er an eine E-Mail-Adresse aus einer eingebauten Liste.
In unseren Versuchen konnten wir auf einem deutschen Windows nur sehr wenige Situationen herbeiführen, in denen der Keylogger überhaupt ansprang. Weder bei den getesten Web-Mailern, noch bei Passport oder diversen Online-Banking-Seiten entspricht die Titelzeile den Buchstabenkombinationen. Auch Telnet- oder SSH-Verbindungen mit Putty registrierte BadTrans nicht. Eine der wenigen Ausnahmen war der Versuch, mit dem Internet Explorer passwortgeschützte Seiten abzurufen. Hier fragte der Internet Explorer: "Netzwerkkennwort eingeben" -- und aktiviert damit den Keylogger. Netscape, Mozilla und Opera verwenden andere Dialoge.
Wer sich nicht sicher ist, ob bei einer BadTrans-Infektion Passwörter seinen Rechner verlassen haben, sollte -- nach der Desinfektion -- alle kritischen Seiten nochmals aufrufen und die Titelzeile inspizieren. Doch auch wenn BadTrans Passwörter per Mail verschickt hat, bedeutet das noch nicht unbedingt den Super-GAU. Nach unseren Informationen sind mittlerweile die Mail-Konten, an die BadTrans die ausspionierten Daten versendet, gelöscht beziehungsweise gesperrt.
http://www.heise.de/newsticker/data/ju-29.11.01-000/
Ich habe mich nach erscheinen des Mozilla 0.94 (fast) komplett von Microsoft Anwendungen verabschiedet. Daher auch keine so grossen Probleme mit Viren. ;D
Nun muss ich nur noch
Wine vernünftig auf meiner Debian
zu laufen kriegen, dann sag ich auch dem Betriebsystem Windoof 98 ab.
Gruss,
Ruediger
* Folget mir in's Himmelreich * Linux 2002 *
....Du schüttest doch wohl nicht etwa Deinen Müll daneben ??? ;D
