image

Wurm Mydoom verbreitet sich stark

image
27.01.04 um 11:12 Uhr in Kategorie Virus
Wurm Mydoom verbreitet sich stark
Network Associates warnt vor dem neuen Wurm W32/Mydoom@MM, der sich blitzartig ausbreitet. Der Schädling täuscht eine nicht darstellbare Mail vor und verweist für Details an den verseuchten Dateianhang der Mail.

Das Virenforschungslabor von Network Associates stuft den gestern entdeckten Internet-Wurm W32/Mydoom@MM als besonders gefährlich ein. Der Schädling verfügt über eine eigene SMTP-Engine und versendet sich unter falschem Absendernamen an Mail-Adressen die er auf dem infizierten System vorfindet. Außerdem kopiert sich Mydoom in den Ordner von "c:\Program Files\KaZaA\My Shared Folder\" unter dem Namen activation_crack.scr:

Zu erkennen ist der Wurm an seinem Text, der zum Beispiel lautet: "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment." oder "The message contains Unicode characters and has been sent as a binary attachment." Als Betreff verwendet der Wurm "Server Report", "Mail Transaction Failed" oder ähnliches. Auf diese Weise wird versucht, den Anwender zum Öffnen des Dateianhangs zu animieren. Wird die angehängte Datei ausgeführt, öffnet der Wurm das Textprogramm Notepad und zeigt einen wahllosen und sinnleeren Text an.

Der Virus versendet sich in unterschiedlichen Mail-Anhängen die als EXE-, PIF-, CMD-, SCR- oder ZIP-Datei auftreten können. Das Attachement erscheint mit dem Icon einer Windows TXT-Datei (Notizblock). Zudem öffnet der Wurm den DTCP-Port 3127, über den er weitere Befehle erhalten kann.

Autor: Hegel | Quelle: Network associates
News bewerten:
starstarstarstarstar
- Bitte einloggen!

Lesezeichen:


- Anzeige -


16
 Kommentar(e)

Zaphod am 28.01.2004 um 17:37 Uhr
Lalala... Heute allein mehr als 400 von den Dingern gekriegt... Lalala...

Wer in meiner Gegenwart Outlook Express benutzt und/oder auf nicht 100% bekannte Attachments klickt, wird zukünftig auf der Stelle erschlagen. Mit einem Stapel CDs, auf die ich jeweils Thunderbird gebrannt habe.

Mirko am 28.01.2004 um 16:29 Uhr
[Quote]Heise: MyDoom/Novarg -- Tipps zur Wurmkur und weitere DetailsMeldung vom 28.01.2004 14:37
Da KaZaA als Virenschleuder bekannt ist, dürfte der Großteil der Anwender über aktuelle Virenscanner verfügen.
[/Quote]
http://www.heise.de/newsticker/data/dab-28.01.04-000/

somit sollte das auch geklärt sein.

Gruss Mirko

Spocky am 28.01.2004 um 15:33 Uhr
kann das mit KaZaA icht wirklich glauben. Hab gestern gelesen das mehr als 50% der files dort verseucht sein soll.

Hab noch nie was gefunden.

Hab das P2P sowieso zur Zeit nicht laufen deswegen stört mich das nicht.

Hab die mail selber auch noch nicht gehabt....

Mirko am 28.01.2004 um 11:53 Uhr
Falsch Al:
[Quote]
Wurm führt DDoS-Attacke gegen sco.com am 1. Februar 2004 aus


Die Hersteller von Antiviren-Software entdeckten in Nacht vom 26. auf den 27. Januar 2004 einen neuen Wurm, der sich in kürzester Zeit extrem stark verbreitet hat, weswegen die Virenlabors den Schädling mit den zum Teil höchsten Gefahrenstufen versehen haben. Der MyDoom-Wurm verbreitet sich per E-Mail sowie über das P2P-Netzwerk KaZaA und öffnet eine Hintertür am entsprechenden System, worüber ein Angreifer Kontrolle über einen befallenen PC erlangen kann.

Der MyDoom-Wurm tarnt ausführbare E-Mail-Anhänge als Textdateien, so dass unbedarfte Anwender in den Glauben versetzt werden, sie starten lediglich eine Textdatei und keine ausführbare Datei. Zudem suggeriert der englischsprachige E-Mail-Text, dass es Fehler beim Empfang der betreffenden E-Mail gegeben habe und weitere Informationen im Anhang zu finden seien. Wird dann der Anhang vom Opfer geöffnet, beginnt die Infizierung mit dem Schädling.

Als weiteren Verbreitungsweg schleust sich der Wurm in das KaZaA-Netzwerk ein und legt sich dort unter den Dateinamen activation_crack, icq2004-final, nuke2004, office_crack, rootkitXP, strip-girl-2.0bdcom_patches sowie winamp ab, was KaZaA-Nutzer dazu bringen soll, die betreffenden Dateien auf ihren Rechnern zu laden und auszuführen.

Die E-Mails tragen wechselnde englischsprachige Betreffzeilen, Nachrichtentexte und auch die Dateinamen der Anhänge stammen aus einer Auswahl an Vorlagen, wobei die mit dem Wurm-Code versehenen Anhänge auf die Endungen bat, cmd, exe, pif, scr oder zip enden. Allerdings werden die Anhänge in den E-Mail-Programmen unter Umständen mit dem Icon für Textdateien angezeigt und vermitteln leicht den Eindruck, es handele sich um eine Textdatei. Für eine effektive Vermehrung fälscht der Wurm die Absenderadresse, so dass man die Quelle womöglich als vertraulich einstuft.

Für die Verbreitung per E-Mail durchsucht der Unhold die Dateien mit den Endungen pl, adb, tbb, dbx, asp, php, sht, htm und txt nach E-Mail-Adressen und versendet sich an diese über eine eigene SMTP-Engine. Bei den gefundenen E-Mail-Adressen ignoriert der Wurm alle Empfänger mit der Endung .edu, so dass Bildungseinrichtungen gezielt von einer Epidemie per E-Mail ausgeschlossen werden.

Als weitere Schadroutine öffnet der Wurm auf den befallenen Systemen die TCP-Ports 3127 bis 3198, so dass ein Angreifer so Zugang zu dem System des Opfers erlangen kann und so etwa Programmcode einschleusen und ausführen kann. Zudem startet der Unhold am 1. Februar 2004 eine DDoS-Attacke gegen sco.com, um den Server in die Knie zu zwingen. Am 12. Februar 2004 beendet der Bösewicht seine Aktivitäten selbsttätig.

Nach Starten des Wurm-Codes öffnet sich das Windows-Notepad, das jedoch nur Datenmüll anzeigt, wobei der Schädling die Dateien "shimgapi.dll" und "taskmon.exe" im Windows-System-Verzeichnis sowie eine Datei mit der Bezeichnung "Message" im Temp-Ordner ablegt. Während "shimgapi.dll" als Proxy-Server arbeitet und die TCP-Ports öffnet, wird die Applikation so in die Registry eingetragen, dass die Datei bei jedem Aufruf des Windows-Explorer gestartet wird. Schließlich wird die Datei "taskmon.exe" so in die Registry eingebunden, dass diese bei jedem Neustart des Rechners ausgeführt wird.

Die Hersteller von Antiviren-Software haben bereits ihre Virensignaturen aktualisiert, so dass eine schnelle Aktualisierung des Virenscanners dringend empfohlen wird.
[/Quote]


Gruss Mirko

Al_Borland am 28.01.2004 um 11:47 Uhr
tja, man muss nur die richtigen leute als kumpels haben, und schon bekommt man keine derartigen mails. ;)
der wurm verbreitet sich von infizierten rechnern aus nur an die mail-addys in der kontakt-liste. :cool:

Alle Kommentare im Forum ansehen

Kommentar hinzufügen:

Du musst dich einloggen, um Kommentare zu verfassen. Wenn du noch keinen Account besitzt, kannst du dich hier registrieren.

COMMUNITY
FOLGE UNS
NEWSFILTER
Zeitraum:

Kategorie:

AKTUELLER ARTIKEL
Crucial M500 SSD im RAID-0
Crucial M500 SSD im RAID-0
Solid State Drives sind in aller Munde, nicht zuletzt aufgrund ihrer hohen Geschwindigkeit und der praktisch nicht vorhandenen Hitzeentwicklung. Fakt ist jedenfalls, das der Storage-Markt derzeit für den Computer-Endverb...

ipv6