Wurm W32/MyDoom.A im umlauf :-(

Wurm W32/MyDoom.A im umlauf :-(

Impressum | Werbung

Geizhals » Forum » Security & Viren »

Wurm W32/MyDoom.A im umlauf :-( (22 Beiträge, 468 Mal gelesen)

Top-100 | Fresh-100

Du bist nicht angemeldet. [ Login/Registrieren ]

da sich schon von mehreren leuten verseuchte emails erhalten habe und ich nun auch einen newsletter bekommen hab, denke ich das es einige von euch interessieren wird:

quelle: http://forum.gloistein.at/forum.asp?FORUM_ID=21&CAT_ID=8&Forum_Title=Virenlexikon

inhalt:
*************************************
Name: W32/MyDoom.A
Alias: I. Worm. Shimgapi. A, Worm. Novarg. A
Dateilänge: 22,5 KB
Virustyp: E-Mailwurm
Varianten: keine
Ursprung: Unbekannt

Verbreitung: Weltweit seit 26. Jänner 2004

Österreich: Erste Meldungen von Infektionen sind bereits eingetroffen

Gefährlichkeit: extrem hoch

Besonderheiten: Der Wurm breitet sich mit Hilfe von Kazaa und in E-Mails besonders rasch aus. Er setzt auf befallenen Rechnern ein Backdoor-Programm in Form der Datei " Shimgapi. DLL " ab, das in Folge ständig mit dem Explorer aufgerufen wird.

Die extrem schnelle Verbreitung wird zusätzlich durch die Übertragung mit Hilfe von Kazaa erhöht..

Sofortmaßnahmen:
* Update der Virensignaturen durchführen.

* Darauf achten, dass das neueste Release Ihres Antivirus auf dem Rechner installiert ist.

Beschreibung: Der Wurm W32/MyDoom. A breitet sich in E-Mails über MS Outlook, MS Outlook Express und über Kazaa aus.

Beim ersten Start einer infizierten Datei ändert der Wurm die Registrierungsdatei von Windows wie folgt:

" HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\ InProcServer32 "(Default)" = %SysDir%\SHIMGAPI. DLL ";

" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run "TaskMon" = %SysDir%\TASKMON. EXE ".

Gleichzeitig setzt der Wurm eine DLL mit dem Namen

" Shimgapi. DLL"

in folgendem Verzeichnis

" %SysDir%\Shimgapi. DLL "

frei und übernimmt damit die Kontrolle über den Explorer und wird bei jedem Neustart des Systems automatisch geladen.

Die Verbreitung in p2p-Netzwerken erfolgt über Kazaa. Dazu kopiert er sich mit zwei Schritten ins Kazaa-Verzeichnis.

Im Anschluss wird vom Wurm der TCP Port 3127 freigegeben.

Die Verbreitung über E-Mails erfolgt mit MS Outlook oder MS Outlook Express. Betreff, E-Mailinhalt und Attachment werden nach einem Zufallsprinzip ausgewählt. Ebenso wird der Absender der Nachricht entweder zufällig erstellt oder es wird ein im Adressbuch des infizierten Rechners gefundener Benutzer als Absender der infizierten Nachricht ausgewählt.

Vom W32/MyDoom. A häufig verwendete Betreffs sind:

"Error", "Test". "Hallo" und "Status".

Vom W32/MyDoom. A häufig verwendete Attachments sind:

"Text", "ReadME", "Message", "Doc", "File" oder "Data".

Folgende Endungen werden an das zufällig gewählte Attachment ebenfalls nach einem Zufallsprinzip ausgewählt:

"BAT", "CMD", "EXE", "PIF" oder "SCR".

Primäre Schadfunktion(en): Der Wurm setzt ein Backdoor in befallenen Rechnern frei und ermöglicht damit den freien Zugriff auf befallene Systeme.

Zusätzlich stellt er eine Verbindung zu einer bestimmten Website her und bringt damit den Internet Explorer sowie Webserver zum Absturz.

Sekundäre Schadfunktion(en): Der W32/MyDoom. A zwingt Webserver und ganze Netzwerke in die Knie, so dass ein Neustart des Systems erfolgen muss. Große Datenverluste können die Folge sein.

Unser Tipp:
* Dateien und Attachments mit einem seltsamen Namen oder deren Herkunft sie nicht kennen, nicht öffnen.
* Vorsicht auch im Umgang mit Dateien, die Sie von Newsgroups, über mIRC (=Internet Relay Chat) oder über sonstige Webseiten erhalten.
* Vorsicht im Umgang mit Kazaa und ähnlicher Download-Software (auch in rechtlicher Hinsicht!!!).

Mit freundlicher Genehmigung :
Analyse: Christian Schmid, © 2004-01-27; 03.04 CET
********************************************

lg
olli

Der Mensch benötigt wenig Licht um zu sehen,
jedoch viel um zu erkennen.

bei uns im buero erreichen wir bald die 500er marke...

robe@morework:~$ grep -c Mydoom procmail.log
427
robe@morework:~$

wie die lemminge *kopfschuettel*

wahnsinn - vor allem wenn man bedenkt, dass er noch gar nicht so lange unterwegs ist

hoffentlich wird's nicht schlimmer - glaube aber schon

Der Mensch benötigt wenig Licht um zu sehen,
jedoch viel um zu erkennen.

Hab auch im Logfile geschaut.... bei uns sind es bis sogar schon 641 !

geizhals-chat: linz.irc.at:6667 #geizhals

privater mailserver: 4

firmenmailserver: 1500

aber der virenscanner löscht das brav.
blöd halt wenn man einen dummen provider hat der unfähig ist sowas zu installieren.

Keep on Googlin',
airboy

Google 4 ever

Ja bei mir löscht es auch der Virenscanner...........

Nur alleine was das Klump wieder Traffic braucht, nur weil das irgendwelche DAUs anklicken und aus dem letzten Wurm nichts gelernt haben.......
geizhals-chat: linz.irc.at:6667 #geizhals

tja, daus sind auch ned lernfähig.
waren sie nicht und werden es nie sein.

Keep on Googlin',
airboy

Google 4 ever

Jo das ist ja das ärgerliche........ und es werden immer mehr........
geizhals-chat: linz.irc.at:6667 #geizhals

Genau....das ist hier im Forum deutlich zu erkennen

--
"I will use Google before asking dumb Questions."
Frei nach Bart Simpson

Die Intelligenz der Menschheit ist eine Konstante, aber die Bevölkerung wächst.
Albert Einstein

Fein zu hören, dass milter den Wurm blockt.

Wie findet ihr Google?
> Gut
> Schlecht
> Mit AltaVista

http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.novarg.a@mm.html
geizhals-chat: linz.irc.at:6667 #geizhals

Pfui, der nervt echt. Alle paar Minuten kommt so eine Mail rein.

Hab ich heute schon zum 4. Mal bekommen.

----------------------

Sei vor allem immer fähig, jede Ungerechtigkeit gegen jeden Menschen an jedem Ort der Welt im Innersten zu fühlen. Das ist die schönste Eigenschaft eines Revolutionärs.
(Che Guevara)

Mein PC

lol......wer hat den virus vor 27.01.2004 03:21:05 bekommen?

Zeit Modul Ereignis Nutzer
27.01.2004 03:21:05 Kernel Antivirus-Datenbank erfolgreich aktualisiert auf die Version 1.609 (20040127).
NOD32 - v.1.609 (20040127)
Virus signature database updates:
Win32/Mydoom.A

inzwischen ist er auf
Zeit Modul Ereignis Nutzer
27.01.2004 19:20:29 Kernel Antivirus-Datenbank erfolgreich aktualisiert auf die Version 1.611 (20040127).
NOD32 - v.1.611 (20040127)
Virus signature database updates:
Java/NoCheat.A, Win32/Agobot.3.FY, Win32/Digits.A, Win32/IRCBot.Z, Win32/Iroffer.1302.F, Win32/Matman.A, Win32/SpyBot.RK, Win32/SpyBot.RL, Win32/Spyboter.AQ, Win32/StartPage.BX, Win32/TrojanClicker.Swind.A, Win32/TrojanDownloader.Esepor.F, Win32/TrojanDownloader.Esepor.G, Win32/TrojanDownloader.IstBar.AG2, Win32/TrojanDownloader.IstBar.AP1, Win32/TrojanDownloader.IstBar.AY, Win32/TrojanDropper.Small.AW, Win32/TrojanDropper.Small.DO

NOD32 - v.1.610 (20040127)
Virus signature database updates:
IRC/SdBot.ND, Solaris/Exploit.Dcom.A, Win32/Afcore.Y, Win32/Afcore.Z, Win32/Beastdoor.205.B, Win32/Exploit.DCom.BF, Win32/Exploit.DComRpc.A, Win32/Hackarmy.M, Win32/Hackarmy.N, Win32/Loony.A, Win32/Nexus.B, Win32/Thredsys.51, Win32/TrojanClicker.VB.AO

--

Endlich ein neuer Wurm... vielleicht macht sich dann ja der Swen endlich vom Acker, der bei mir täglich noch immer 40 Mal klingelt...

wie machst du das?
abgesehen davon das bei mir selbst aufgrund des filters nie einer klingelt, sondern wenn dann am testaccount.
den swen hatte ich auch dort - wenn überhaupt - erst einmal

Der Mensch benötigt wenig Licht um zu sehen,
jedoch viel um zu erkennen.

Wie mach ich das? Ich hab einmal in eine Microsoft Newsgroup gepostet... das wars dann schon.
1. laß ich mir alle Meldungen von Norton zeigen - nervt zwar, aber ich weiß was los ist.
2. filtert GMX leider nur gegen Aufpreis Viren und Würmer

wärs nicht mein Hauptaccount (den ich schon so viele Jahre besitze), hätt ich längst einen neuen. Früher als "n00b" hat man halt schnell seine e-mail Adresse wo eingetippt. Das passiert mir heute auch nicht mehr, aber die Fehler von damals sind heute noch im Postfach (die aber gefiltern ~1000/Woche)

expurgate.de
lesen
kapieren
machen
spam und viren auslachen
--

http://www.spiegel.de/netzwelt/netzkultur/0,1518,283879,00.html
Hardware Hardy
ATHLON XP 2500+(@XP3500+/12x208/1,75V)Kühler SLK 947U /92mm Papst 23db
Asus A7N8X nForce2 Deluxe ,ATI 9800SE All in Wonder+Fernbedienung ( @ 9800Pro)
3x 256MB DDR von TwinMOS / Winbond-CH PC 400 CL2,3,2,5
2x WD-Raptor WD740GD 73.4GB im Raid 0 ,Netzteil Antec 430Watt
16/48 DVD von Toshiba 1712, 8x DVD-Brenner Plextor PX-708A
Monitor Samsung 900NF/Maus Logitech MX700/Logtech Tastatur "Office" OEM

anstatt dass alle wie die kleinen kinder kopfgelder aussetzen und verklagen
sollten sich die provider und konzerne zusammentun und JEDER virenschutz installieren.

denn dann kann kein wurm mehr so ausbrechen

Keep on Googlin',
airboy

Google 4 ever

nun bei einen Neuen Wurm ist das immer so eine Sache

Hardware Hardy
ATHLON XP 2500+(@XP3500+/12x208/1,75V)Kühler SLK 947U /92mm Papst 23db
Asus A7N8X nForce2 Deluxe ,ATI 9800SE All in Wonder+Fernbedienung ( @ 9800Pro)
3x 256MB DDR von TwinMOS / Winbond-CH PC 400 CL2,3,2,5
2x WD-Raptor WD740GD 73.4GB im Raid 0 ,Netzteil Antec 430Watt
16/48 DVD von Toshiba 1712, 8x DVD-Brenner Plextor PX-708A
Monitor Samsung 900NF/Maus Logitech MX700/Logtech Tastatur "Office" OEM

AntiVir milter hatte das update bevor ein einziger doom das mailfile erreichen konnte

Keep on Googlin',
airboy

Google 4 ever

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung