Virus, verbreitet am 15.7. über Ferdinand Goebel

Ferdinand Göbel Hauptstaatsarchiv Stuttgart goebel at s.lad-bw.de
Mo Jul 22 16:55:04 CEST 2002 

Liebe Kollegen,
am 15. Juli mittags, kurz vor dem Start in eine Allegro-Fortbildung, erhielt
ich eine E-Mail samt Anlage von einer mir vertrauten Dienststelle im
Bibliotheksservice-Zentrum in Konstanz, im Betreff irgendetwas von
"Passwort". Wegen des -Betreffs und des ungewoehnlichen Layouts (grosse rote
Schrift) habe ich die Anlage _nicht_ geöffnet, sondern nur den Text anzeigen
lassen. Dann habe ich die E-Mail _geloescht_. Bald darauf erhielt ich die
ersten Rueckfragen aus unserem Haus und auch aus der "Liste". Offensichtlich
war folgendes geschehen: Der "Wurm" war wirksam geworden, ohne dass die
Anlage geoeffnet worden war. Er verbreitete sich, ohne dass ein Adressbuch
vorhanden war. (Ich habe aus guten Gruenden keins, bzw. es ist leer!). Der
"Wurm" holte sich offensichtlich die Adressen aus den im PC abgespeicherten
E-Mails und setzt den zuletzt Infizierten (in dem Fall mich) als Absender
ein. Ich bin also gleichermassen Opfer wie Taeter. Als solcher bitte ich die
Listen-Teilnehmer um Entschuldigung - aber wo ist meine Verfehlung?

Ich erlaube mir, den Text der E-Mail von Herrn Roland Henkel folgen zu
lassen (_keine_ Anlage!), da er die Wirkungsweise des "Wurms" wohl am besten
beschrieben hat. Der "Wurm" kann (vermutlich nur bei Windows 98) eine Datei
namens TASKBAR.EXE in verschiedene Verzeichnisse kopiert haben. Sie ist
ueberall zu loeschen.

MfG
Ferdinand Goebel
Hauptstaatsarchiv Stuttgart - Bibliothek
e-mail: goebel at s.lad-bw.de

----- Original Message -----
From: Roland Henkel <rhenkel at sbb.spk-berlin.de>
To: Diskussionsliste Allegro-C <allegro at buch.biblio.etc.tu-bs.de>
Sent: Wednesday, July 17, 2002 9:11 AM
Subject: Virus


> Liebe Kollegen,
>
> Im wesentlichen ist der Virus, bis auf die Unannehmlichkeit, dass er sich,
> einmal aktiv, über das Adressbuch des infizierten Rechners fleissig weiter
> vermehrt, wohl harmlos.
>
> Hier ein Auszug aus dem Heise c't newsticker von vorgestern (als der Wurm
> offenbar besonders aktiv war - Herr/Frau Goebel scheint der bevorzugte
> Absender gewesen zu sein):
>
> Auf Windows-Systemen mit Internet Explorer 5.01 und 5.5 nutzt der Wurm
zwei
> bekannte Sicherheitslücken in der Behandlung von IFRAMES und
> MIME-Attachements aus, um zur Ausführung zu gelangen. Wer Microsofts
> Sicherheitsupdate von vergangenen Jahr nicht installiert hat, kann sich
> deshalb schon infizieren, wenn er die Mail in der
Outlook-(Express-)Vorschau
> anzeigen lässt. Wer das angehängte Programm ausführt respektive öffnet,
> fängt sich den Schädling auch ohne Mithilfe von Internet Explorer oder
> Outlook ein.
>
> Der Wurm hat nach derzeitigen Erkenntnissen keine eigentliche
Schadroutine,
> versendet sich aber massenweise an Adressen, die er aus dem Adressbuch und
> diversen Dateien extrahiert. Des weiteren verankert er sich in der
> Windows-Registry unter
>
>
> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
>
> im Schlüssel "Task Bar" als taskbar.exe. Detaillierte Anleitungen, wie man
> den Virus sicher entfernen kann, finden sich bei den Herstellern von
> Antiviren-Software, die zum Grossteil auch bereits aktualisierte
Signaturen
> [bereitstellen].
>
> Zitatende
>
>
> Gruss
> R. Henkel
>
> _________________________________________________________________
>  Roland Henkel          Email: roland.henkel at sbb.spk-berlin.de
>
>  Staatsbibliothek zu Berlin
>  D-10102 Berlin
>
>  Abt. IB
>  Tel.   (030) 2662198
> _________________________________________________________________
>
>

Mehr Informationen über die Mailingliste Allegro