1. Foren
  2. Kommentare (alt, bis 13.1.2005)
  3. Software
  4. Viren / Anti…

Neue Bagle-Variante macht Virenscannern das Leben schwer

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Neue Bagle-Variante macht Virenscannern das Leben schwer

    Autor: Golem.de 15.03.04 - 12:31

    Seit der erste Bagle-Wurm aufgetaucht ist, sind bereits zahlreiche Abarten des Wurms erschienen. Seit dem Wochenende treibt eine neue Variante des Unholds im Internet sein Unwesen, indem Virenscannern eine Erkennung einer Wurm-E-Mail erschwert wird. Die Kennwörter von verschlüsselten Archiven werden nicht mehr als Text in der E-Mail abgelegt, sondern als Grafikdatei an die E-Mail gehangen. Der Wurm besitzt zudem eine Viren-Schadroutine, die EXE-Dateien infiziert.

    https://www.golem.de/0403/30259.html

  2. Re: Neue Bagle-Variante macht Virenscannern das Leben schwer

    Autor: Flo 15.03.04 - 13:03

    Tja, Virenscanner und Firewalls sollte halt einfach als anderer User gestartet werden, damit man sie nicht einfach beenden kann....

  3. Re: Neue Bagle-Variante macht Virenscannern das Leben schwer

    Autor: ricci007 15.03.04 - 13:08

    Linux rules! Ich habe den Wurm unter Linux debuggt, echt witzig!

  4. Re: Neue Bagle-Variante macht Virenscannern das Leben schwer

    Autor: der minister 15.03.04 - 13:39

    was bitte ist denn da so witzig?

  5. Re: Neue Bagle-Variante macht Virenscannern das Leben schwer

    Autor: Peter 15.03.04 - 14:24

    Brav! *Heringzuwerf*

    Jetzt aber wieder ins Becken, dein Auftritt kommt noch nicht.

    Troll dich !!

  6. Absenderident-

    Autor: Deamon 15.03.04 - 14:25

    "Sowohl Betreffzeile als auch Nachrichtentext werden aus einem Fundus an Textbausteinen zusammengesetzt. Wie üblich wird die Absenderadresse gefälscht, so dass der Urheber der Wurm-Verbreitung nicht auszumachen ist...."

    ... und es geht doch:
    Der Absender kann ohne weiteres ermittelt werden:

    Unter e-Mail Optionen(rechter Mausklick über der betroffenen e-Mail). Daraufhin wird im e-Mail Header (etwas verborgen) der wahre Absender angezeigt.

  7. Re: Absenderident-

    Autor: SirDodger 15.03.04 - 15:18

    Jeder, der sich halbwegs mit dem SMTP Protokoll auskennt, kann dir genau das fälschen ...

  8. Re: Neue Bagle-Variante macht Virenscannern das Leben schwer

    Autor: Martin 15.03.04 - 15:57

    ricci007 schrieb:
    >
    > Linux rules! Ich habe den Wurm unter Linux
    > debuggt, echt witzig!

    Armes Schwein, ich kann mir besseres vorstellen.
    Oder bezahlt man Dich dafür?

  9. Re: Absenderident-

    Autor: Deamon 15.03.04 - 16:19

    Bei einer Klartextadresse stimme ich dir zu.
    Nicht jedoch die enthaltene IP Adresse und der e-Mail Server, der diese Mail versendet hat. Das Virus verwendet kein "Relais" um sich zu verbreiten - was du warscheinlich mit deiner Aussage andeuten willst - sondern einen "normalen" SMTP Server.
    Hinter diesem sitzt meistens der "Sender" der dem Mail Admin bekannt sein dürfte.Auch die dynamische IP stellt kein großes Hinderniss dar, da diese bekanntlich protokolliert werden.
    Nun ist mir nicht bekannt in welchen Bezug du diese Aussage gemacht hast, aber hier geht es um das Virus und die Methode herauszufinden woher dieser stammt. Ob ein "Normaluser" daheim den Urheber herausfindet ist wohl eher zweitrangig. Wichtiger ist die Verbreitung in Firmen zu unterbinden, da hier in wenigen Minuten die gesammte Infrastruktur zusammenbricht.Damit hat der Admin zumindest eine Chance, herauszufinden woher die Mail stammt.


    ~

  10. Re: Absenderident-

    Autor: :-(( 15.03.04 - 16:26

    ...sicher ist das möglich.

    Früher hatte man Faxgeräte manipuliert und Bestellungen mit falschem Absender aufgegeben. (Rechnung, aber nicht die Ware, bekam dann die echte Firma).

    So läßt sich ohne weiteres auch die mail-addy vom Innenminister nachahmen... Wo liegt da das technische Problem?

    Was nützt es mir, wenn ich ssl benutze, wenn ich doch nicht sicher sein kann, wer denn nun der wahre Absender ist.

    Und beliebige Daten in Bilddateien zu verstecken ist ein alter Hut. Im einfachsten Falle bringt man Text in der ersten und letzten Zeile eines größeren Bildes unter, das fällt kaum auf (was sind schon 10 Seiten Text im Vergleich zu einem 1 MB Bild?)

    Etwas komplizierter wird es, den Text im LSB unterzubringen. Dafür sieht man dem Bild dann überhaupt nix mehr an.

  11. Schön wärs.

    Autor: zcheg 15.03.04 - 17:24

    Ist aber nicht so. Die Viren verwenden meist eigene SMTP-Engines. Mit Absender-ID ist also Essig.
    Ohne S/MIME oder PGP gibt es _*KEINE_IRGENWIE_GEARTETE*_ Absenderkennung. Die Sender-Header ist so verlässlich wie der Absender auf einer Postkarte.

  12. Re: Schön wärs.

    Autor: Deamon 15.03.04 - 17:46


    Man verzeihe mir den Zynissmus...
    Vielleicht schreib ich Chinesisch oder artikuliere mich auf irgend eine Art, mit der so einige ihre Probleme haben.
    Meine Aussage bezieht sich rein auf dieses Virus und der "Header" wird nicht nur vom Client sondern auch vom e-Mail Server generiert.
    Dabei ist es unerheblich welche SMTP Engine oder Artgenossen hier am Werk waren.
    Dieser identifiziert die IP Adresse des Absenders, da er die Mail auch von einer IP Asresse erhält.
    e-Mail Adressen sind nicht im DNS registriert und lassen
    keine Schluissvolgerung zu, von wem die e-Mail wirklich stammt.
    Jedes Mail das DIESES VIRUS versendet ---- nochmals...: Die oben bennante Variante !!! beinhaltet einen Header in Form von:

    (Bsp:)
    Received: from 10.116.45.68 (helo=user.xxx@gefälschter Absender)
    Die IP IST der Absender, die man mit nslookup über DNS identifizieren kann, da NUR der Absendername gefälscht ist.



    ThanX !

  13. Re: Absenderident-

    Autor: :-) 15.03.04 - 18:14

    ...neue Variante...

    Meine mail lŠuft Ÿber China nach Amerika. In China sitzt jemand am Server und hŠngt meiner mail einen Virus an. Wie will man herausfinden, wo genau das passiert ist?

  14. Re: Absenderident-

    Autor: Deamon 15.03.04 - 18:31

    Tja, jetzt hast du dir selbst die Antwort gegeben, weshalb sich Viren durch Dummheit so schnell verbreiten ;-)

  15. Re: Absenderident-

    Autor: irgendwer 15.03.04 - 18:51

    ...klar, es kann nur der DAU sein :-)

  16. Re: Absenderident-

    Autor: Peter1952 15.03.04 - 19:32

    Hallo Deamon !
    Sicher kann man den Absender so erkennen. Nur bei mir kommt es in letzter Zeit ab und an vor das ich eine eMail bekomme wo behauptet wird ich hätte einen Virus versendet. Glaube mir ich habe noch nie sowas wissentlich versendet also wird sich der wurm irgendwie dranhängen oder in deinem Namen senden.
    Du siehst damit sollte man auch vorsichtig sein. Naja diese blöden Würmer

  17. Re: Absenderident-

    Autor: irgendwer 15.03.04 - 20:06

    YO, bekomm ich auch öfter, immer bin ich der Absender und die mail kommt von jemandem, der mir mitteilt, die mail sei unzustellbar, wegen bedrohlicher Vireninhalte.

    Dass ich die mail aber nicht geschickt hab, sage ich jetzt nochmal extra... :-)

  18. Re: Schön wärs.

    Autor: Zak 16.03.04 - 08:36

    Klugscheisse

  19. Re: Absenderident-

    Autor: Provider 16.03.04 - 09:51

    Hi,
    natürlich ist es möglich Texte in Bildern zu verstecken.
    Bei diesem Virus geht es aber darum, dass der Text, in diesem Fall das Passwort sichtbar ist und ganz und gar nicht versteckt werden soll! Der User soll ja damit das Archiv öffnen welches den Virus enthält und ihn dann ausführen..

    bis dann
    Provider

  20. Re: Neue Bagle-Variante macht Virenscannern das Leben schwer

    Autor: Stereoide 16.03.04 - 15:25

    Dann mußt Du den Leuten aber noch beiprügeln, sich nicht als Administrator bzw. mit Administrator-Rechten anzumelden.

    Auf bald, Stereoide

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Tapetenfabrik Gebr. Rasch GmbH & Co. KG, Bramsche
  2. MediaNet GmbH Netzwerk- und Applikations-Service, Freiburg im Breisgau
  3. DMK E-BUSINESS GmbH, Potsdam, Chemnitz
  4. Propan Rheingas GmbH & Co. KG, Brühl

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


5G: Nokias und Ericssons enge Bindungen zu Chinas Führung
5G
Nokias und Ericssons enge Bindungen zu Chinas Führung

Nokia und Ericsson betreiben viel Forschung und Entwicklung zu 5G in China. Ein enger Partner Ericssons liefert an das chinesische Militär.
Eine Recherche von Achim Sawall

  1. Quartalsbericht Ericsson mit Topergebnis durch 5G in China
  2. Cradlepoint Ericsson gibt 1,1 Milliarden Dollar für Routerhersteller aus
  3. Neben Huawei Telekom wählt Ericsson als zweiten 5G-Ausrüster

Xbox, Playstation, Nvidia Ampere: Wo bleiben die HDMI-2.1-Monitore?
Xbox, Playstation, Nvidia Ampere
Wo bleiben die HDMI-2.1-Monitore?

Trotz des Verkaufsstarts der Playstation 5 und Xbox Series X fehlt von HDMI-2.1-Displays jede Spur. Fündig werden wir erst im TV-Segment.
Eine Analyse von Oliver Nickel


    Pinephone im Test: Das etwas pineliche Linux-Phone für Bastler
    Pinephone im Test
    Das etwas pineliche Linux-Phone für Bastler

    Mit dem Pinephone gibt es endlich wieder ein richtiges Linux-Telefon, samt freier Treiber und ohne Android. Das Projekt scheitert aber leider noch an der Realität.
    Ein Test von Sebastian Grüner

    1. Linux Mehr Multi-Touch-Support in Elementary OS 6
    2. Kernel Die Neuerungen im kommenden Linux 5.9
    3. VA-API Firefox bringt Linux-Hardwarebeschleunigung auch für X11