schon wieder ein Virus

[Callimera]

Anscheinend is schon wieder ein neuer Virus im Umlauf... Diese Mail habe ich heute bekommen:

Sehr geehrte Norman Virus Control Anwender,

Wieder verteilt sich eine neue Variante des Virus/Wurm W32/Mimail-J im Internet!

Name: W32/Mimail in den Varianten C, E, F, H, I und ab 18. November 2003 Variante 'J'

Verteilung: per E-Mail als Dateianlage

Kurzbeschreibung:

Der W32/Mimail-I Wurm verbreitet sich per E-Mail. Dabei nutzt der Wurm die Adressen, die er auf der Festplatte des betroffenen Rechners findet. Die Adressen werden in einer Datei mit der Bezeichnung : ee98af.tmp

gespeichert und im Windows-Verzeichnis abgelegt.

Der Wurm aktiviert sich automatisch nach einem Rechnerstart nachdem er sich in die Datei svchost32.exe kopiert und im Windows-Verzeichnis ablegt. Zusätzlich fügt er den Eintrag:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run SvcHost32 = [WINDIR]\svchost32.exe

in der Registrierungsdatei hinzu.

Der Wurm erstellt auch die Dateien c:\pp.gif und c:\pp.hta . Das GIF ist ein Paypal-Logo, um den Angriff legal erscheinen zu lassen, und das hta ist eine HTML-Anwendung, die vortäuscht, ein Konto-Updateformular von Paypal zu sein. Dieses Formular wird jedes mal gezeigt, wenn der Wurm gestartet wird. Es erfolgt die Aufforderung die Kreditkartennummer, die PIN, das Auslaufdatum und auch der sogenannte CVV-Code einzugeben.

Alle persönlichen Daten, die in diesem Formular eingegeben werden, werden in eine Datei gespeichert, die c:\ppinfo.sys genannt wird. Zusätzlich kann eine leere Datei unter dem Namen c:\cansend.sys angelegt werden. Der Wurm fragt aber noch weitere persönliche Daten ab, wie z.B. die Sozialversicherungsnummer und den Mädchennamen der Mutter.

Vorausgesetzt der Wurm erhält eine Internetverbindung, (er überprüft, ob er www.akamai.com erreichen kann), versucht der Wurm die Kontoinformationen Paypal (einschließlich Kreditkarteninformationen) zu versenden.

Achtung:

Da die Herkunft einer Mail ganz einfach gefälscht werden kann, reagieren Sie niemals auf Weblinks oder Mail-Anlagen deren Absenderadressen angeblich von Banken, Sparkassen oder Kreditkartenunternehmen stammen!

Mailinhalt:

Betreffzeile:IMPORTANT

Mailtext:

Dear PayPal member,

We regret to inform you that your account is about to be expired in next five

business days. To avoid suspension of your account you have to reactivate it by

providing us with your personal information.

To update your personal profile and continue using PayPal services you have to

run the attached application to this email. Just run it and follow the

instructions.

IMPORTANT! If you ignore this alert, your account will be suspended in next

five business days and you will not be able to use PayPal anymore.

Thank you for using PayPal.

Mailanlage: www.paypal.com.pif

Löschen Sie diese Mail sofort, falls Sie obenstehende Betreffzeile oder den Mailtext lesen. Öffnen Sie auf keinen Fall die Mailanlage!

Wie schützen Sie sich:

Führen Sie bitte dringend ein NVC-Update aus, sofern Sie noch nicht auf dem neuesten Stand sind.

Öffnen sie keine Mailanlagen von Mails, deren Absender Sie nicht kennen, oder deren Mailtext Ihnen eigenartig vorkommt!

Auf unserer Internetseite http://www.promus.de/virenmain.htm klicken Sie oben auf den Button 'Beschreibung deutsch'. Dort finden Sie weitere Beschreibungen zu diesem Virus.

Mit freundlichen Grüßen

ProMus conception GmbH

[Gast nightshiftfan1]

Schon oft gesagt!!!!

Viren

[Peggy]

Ich öffne Mails die von einen mir unbekannten Absender kommen nie. Sowas kommt gleich ab in den Müll.

Aber mal ne Frage: ist die ganze Mail ein "Virus", also versteckt sich der Virus jetzt auf der Seite http://www.promus.de/virenmain.htm unter dem Button 'Beschreibung deutsch' oder ist das wirklich jetzt eine Warnung vor diesem Virus/Wurm W32/Mimail-J ?

Falls das erstere zutreffen sollte, ist das ziemlich rafiniert gemacht.

[Callimera]

Nein das ist kein Virus. Dieser Link ist dafür gedacht, damit man nachschauen kann, was es für Viren gibt und was man dagegen machen kann. Und du kannst verschiedene Sprachen wählen... Keine Sorge, das ist keine Falle. Sonst würd ich hier gar nimmer rein schreiben können. Hab bei Promus meinen Virenscanner gemeldet. Ned ganz billig, aber noch keine Sekunde bereut!