27.01.2004, 16:45
Zitat:Neuer Wurm Novarg/Mydoom verbreitet sich schnell
Ein neuer Mail-Wurm, der Windows-Rechner befaellt, verbreitet sich gegenwaertig rasant im Internet. Die Novarg oder Mydoom genannte Variante des Mimail-Wurms weist einige Besonderheiten auf -- unter anderem versucht er wie einige Mimail-Varianten, eine DoS-Attacke zu starten, dieses Mal aber auf die Server der SCO Group. Die Firma ist momentan in Rechtsstreitigkeiten vor allem mit IBM und mit Novell verwickelt ueber Vorwuerfe, im Linux-Kernel befinde sich unzulaessigerweise Code aus Unix System V, auf das SCO die Copyrights beansprucht. Es gab schon in der Vergangenheit DoS-Angriffe auf die SCO-Webserver, die die Firma in Zusammenhang mit diesen juristischen Auseinandersetzungen brachte.
Die Antiviren-Firmen haben mittlerweile die Gefaehrlichkeit des Wurms hochgestuft, da er sich offensichtlich sehr schnell verbreitet. Auf den Mail-Servern des Heise-Verlags loeste er beispielsweise bei den eingehenden Mails bereits den Wurm Sober.c in der Haeufigkeit des Auftretens ab. Fuer die Verbreitung scheint foerderlich zu sein, dass sich der Wurm in Mails versteckt, die nicht mit den ueblichen Angeboten etwa fuer Filme, private Photos oder Pornobildchen daherkommen.
Vielmehr erwecken die Mails mit Subjects wie "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status" oder "Error" den Eindruck, technische Verwaltungsmails zu sein. Im Body der Mail finden sich dann Texte wie "Mail transaction failed. Partial message is available", "The message contains Unicode characters and has been sent as a binary attachment" oder "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment", die den Eindruck noch stuetzen sollen. Anscheinend fallen daher auch einige eher technisch orientierte Anwender, die mit den ueblichen Wurm-Mails eigentlich umgehen koennen sollten, auf die neue Variante herein.
Der Wurm verbreitet sich von infizierten Rechner aus selbsttaetig per E-Mail an Adressen, die er auf dem lokalen Rechner findet. Er ignoriert aber beispielsweise E-Mail-Adressen in .edu-Domains; diese sind fuer Bildungseinrichtungen reserviert. Der Schaedling verankert sich in der Registry, sodass er beim Start von Windows aktiviert wird und kopiert sich zudem unter verschiedenen Dateinamen in das Download-Verzeichnis der Tauschboersen-Software von Kazaa.
Auf den befallenen Systemen oeffnet der Wurm eine Backdoor auf den TCP-Ports 3127 bis 3198, sodass sich Angreifer Zugang zu den infizierten Rechnern verschaffen koennen. Ab dem 1. Februar sollen vom Wurm befallene Systeme eine DoS-Attacke auf www.sco.com, Port 80, starten. Sowohl der Verbreitungsmechanismus als auch die DoS-Attacke haben ein Enddatum 12. Februar.
Das Bundesamt fuer Sicherheit in der Informationstechnik (BSI) hat bereits eine detaillierte Beschreibung des Wurms herausgegeben. Auch die Antiviren-Hersteller haben ihre Signatur-Dateien fuer die Virenscanner aktualisiert und geben in den Infos zu dem Wurm Hinweise zu seiner Entfernung. Weitere Informationen zum Schutz vor Viren und Wuermer finden sich auf den Antiviren-Seiten von heise Security.
Ich kann nur raten, sofort euren Virenscanner zu aktualisieren.
Bei mir sind schon 72 Mails mit diesem Kack eingetroffen.
Scheint sich rasend zu verbreiten <_< Es gibt halt immer noch zuviele User was Hirn ausschalten und dann auf alles doppelklicken <_<
Diesmal sinds keine exe com pif und Co. Files sondern der Virus ist in einer Zip-File versteckt. Diese werden von den meisten Firmen als Attachment akzeptiert, daher wahrscheinlich auch die schnelle Verbreitung.
Meistens mit dem Namen Dokument.zip, Doku.zip
