Drucken

Bitte loggen sie sich ein oder registrieren sie sich.
1 Stunde 1 Tag 1 Woche 1 Monat Immer
Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.

[Xela]

[MS/Generic] E-Mail-Wurm Novarg/Mydoom verbreitet sich massiv
(2004-01-27 12:25:22.148964+01)
Quelle: http://www.cert.org/incident_notes/IN-2004-01.html

Der E-Mail-Wurm \"Novarg/Mydoom\" verbreitet sich derzeit rasant. Nach
Infektion eines Systems installiert der Wurm eine Hintertür im
befallenen System, die es potentiell in eine Angriffsplattform gegen
weitere Systeme verwandelt. Die derzeit in Umlauf befindliche Version
wird von befallenen Systemen aus am 2004-02-01 einen DoS-Angriff gegen
Systeme der SCO-Group starten. Diese Version wird am 2004-02-12 seine
Weiterverbreitung selbst stoppen.

Betroffene Systeme
* Microsoft Windows (praktisch alle Versionen)

Einfallstor
E-Mail Attachment, P2P-Netzwerk (KaZaA)

Auswirkung
* massive Weiterverbreitung des Wurmes
* Der Wurm kopiert sich selbst in das Systemverzeichnis
+ %system%\\taskmon.exe
(%system% entspricht üblicherweise c:\\windows\\system32
(Windows XP), c:\\winnt\\system32 (Windows NT/2000) bzw.
c:\\windows\\system (Windows 9x/Me))
und erzeugt folgende Einträge in der Registry um sicherzustellen,
bei jedem Systemboot gestartet zu werden.
+ HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\
Run
mit dem Eintrag
+ TaskMon = %System%\\taskmon.exe
* Der Wurm installiert eine Hintertür um Dateien auf dem infizierten
Host zu speichern und auszuführen. Diese Hintertür auf den
TCP-Ports 3127-3198 fungiert offenbar auch als Proxy-Server um
einem Angreifer Zugriff auf Netzwerkresourcen des infizierten Host
zu ermöglichen.
%system%\\shimgapi.dll
Diese Hinterfür wird durch nachfolgenden Registry-Eintrag über
EXPLORER.EXE ausgeführt.
HKEY_CLASSES_ROOT\\CLSID\\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\\In
ProcServer32 \"(Default)\" = %System%\\shimgapi.dll
* Denial of Service Angriff gegen http://www.sco.com im Zeitraum
1.2.2004-12.02.2004.

Typ der Verwundbarkeit
E-Mail-Wurm

Gefahrenpotential
mittel bis hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Beschreibung
Der Wurm Novarg/Mydoom verbreitet sich via E-Mail mit den
nachfolgenden Charakteristika sowie über das P2P-Netzwerk KaZaA, indem
sich der Wurm in den KaZaA-Ordner mit einem der folgenden Dateinamen
kopiert:
* nuke2004
* office_crack
* rootkitXP
* strip-girl-2.0bdcom_patches
* activation_crack winamp

Gegenmaßnahmen
Entfernung des Wurmes:
* Aktualisierung der Anti-Viren-Software
* Einige Anti-Viren-Hersteller stellen kostenlose Programme zur
Entfernung des Wurmes zur Verfügung:
+ [2]Stinger (NAI/McAfee)


Generelle Empfehlung (Wh)
* Führen Sie keinerlei Attachments aus, die sie per Email erhalten
haben, egal woher! Auch Hinweise in den Nachrichten, wie \'Virus
Checked\' oder Ähnliches, bieten keinerlei Schutz vor Viren,
Würmern und trojanischen Pferden. Der beste Schutz ist nach wie
vor ein gesundes Mißtrauen des Benutzers.
* Kein ernstzunehmender Hersteller von System- oder
Antivirussoftware verschickt Werkzeuge zur Entfernung
irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das
RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche
Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine
gefälschte Nachricht handelt.
* Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie
automatisierte Update-Dienste in Anpruch, wenn möglich.

Aliases
* W32.Novarg.A@mm (Symantec)
* W32/Mydoom@MM (McAfee)
* Win32/Shimg (CA)
* WORM_MIMAIL.R (TrendMicro)

Charakteristika
Die Nachrichten, mit denen sich der Novarg/Mydoom-Wurm verbreitet,
haben folgende Charakteristika:
Absender
Der Wurm ist in der Lage, Headerzeilen zu fälschen.
Unter anderem enthalten die From:-Zeilen (Absenderadresse) infektiöser
Nachrichten gefälschte Inhalte.
Betreffzeile
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich
der Wurm verbreitet, eine der folgenden Betreffzeilen (Subject)
* test
* hi
* hello
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* Status
* Error

Attachment
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich
der Wurm verbreitet, ein Attachment mit einem der folgenden Namen:
* document
* readme
* doc
* text
* file
* data
* test
* message
* body

Die Attachments haben eine der folgenden Dateiendungen:
* .pif
* .scr
* .exe
* .cmd
* .bat
* .zip

Textkörper
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich
der Wurm verbreitet, einen der folgenden Textkörper (weitere sind
möglich):
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary
attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent
as
a binary attachment.

Weitere Information zu diesem Thema
* [4]W32.Novarg.A@mm (BSI)
* [5]CERT/CC Incident Note IN-2004-01

[der Notnagel]

Bei NAV ist das aktuelle Update vom 26.01.2004. Nach diesem Update ist ein Neustart des PC notwendig.
Ab welchem Update schützen die anderen Anitvirenprogramme vor diesem Ungeziefer?
(und ich dachte immer, das seien Bandwürmer die RTL in meinem Wohnzimmer freigesetzt hat :D)

[Xela]

Naja ich denke das es schon der gesunde Geist gebietet seinen Virenscanner Up-to-Date zu halten..... :D :D :D

Es soll aber noch Zeitgenossen geben die drauf verzichten.... :rolleyes:

Es lebe Format C:     :D :D :D :D :D :D :D

[11001111]

Jor, hatte den heute in der FH als Mail bekommen, leider hat der Virenwächter (der auch sonst nur mist baut - nichteinmal ordentlich die FarCry Demo lässt sich in der FH zocken :D) sowohl den Zugriff als auch den versand von dem ding blockiert :(

@xela

och, wenn man den rechner nach aussen hin dicht hält und weiß das man nicht jeden beliebigen e-mail anhang öffnen soll...

[Serge]

Original von http://www.winhelpline.info

250.000 Dollar Kopfgeld auf Virenautor
   .: Kommentare: 0
.: Drucken | Senden
28.01.2004 um 12:19 Uhr   Posted by: Lemmi
Das US-Software-Unternehmen SCO http://www.sco.com hat eine Belohnung von 250.000 Dollar für Informationen ausgerufen, die zur Ergreifung und Verurteilung des Verantwortlichen für den Virus \"Mydoom\" führen. SCO arbeitet aus diesem Grund derzeit bereits mit den US-Sicherheits-Behörden Secret Service und FBI zusammen. Für den 1. Februar wird eine Denial-Of-Service-Attacke auf die SCO-Website erwartet.

\"Innerhalb der letzten zehn Monate war SCO mehrfach das Ziel von Virus-Attacken\", sagte der CEO des Unternehmens, Darl McBride. \"Dieser Virus bereitet allerdings sehr viel mehr Schwierigkeiten, da er nicht nur unser Unternehmen betrifft, sondern die Systeme und Betriebsabläufe einer großen Anzahl von Unternehmen und Organisationen weltweit behindert\", so McBride weiter.

\"Mydoom\", auch bekannt als \"Novarg\", ist ein Wurm, der durch das Versenden von Massen-E-Mails die Netzwerke verstopft und mögliche Hacker-Angriffe erleichtert. Er hat sich seit seiner Entdeckung vor zwei Tagen mit rasanter Geschwindigkeit verbreitet hat. Nach Angaben von SCO soll das Unternehmen selbst am 1. Februar Ziel der Viren-Attacke werden.

Informationen der Softwarefirma zufolge wird durch das Öffnen des Attachments einer infizierten Mail ein Programm geöffnet, das den befallenen Computer dazu benutzt, an diesem Tag eine Verbindung zur SCO-Website herzustellen. Hersteller von Antiviren-Software wie Network Associates und Symantecs haben unterdessen Updates bereit gestellt, die den Wurm bekämpfen können. (pte)

Möchte vielleicht jemand bißchen Geld so nebenbei verdinen? :D

[der Notnagel]

Original von Xela
Naja ich denke das es schon der gesunde Geist gebietet seinen Virenscanner Up-to-Date zu halten..... :D :D :D

nicht jeder hat DSL und prüft permanent auf Updates. Symantec updated sonst nur einmal die Woche. Jetzt gab es gleich mehrere Updates.

[Xela]

Der beste Schutz ist sowieso >Stecker< ziehen..... :D

[Speedbuster]

Welchen Stecker denn den vom Monitor damit ich das Elend nicht sehe?? :D

Fetter Gruss Speedbuster

[Xela]

Sollte jemand Probs haben.... :rolleyes:

Hier das Removal-Tool von Free-Av



>>> Removal-Tool <<<