Security-Info - W32/Mydoom@MM

Hallo @ all

Ich habe heute eine aktuelle Mail-Wurm-Warnung vom DFN-CERT bekommen. Sehr informativ, mit Hinweisen zur möglichen Bekämpfung. Dürfte sicher einige von euch interessieren.

Liebe Kolleginnen und Kollegen,

 

soeben erreichten uns die nachfolgenden Warnungen von UNIRAS, dem CERT

der britischen Regierung, ueber Sicherheitsprobleme durch den

W32.Novarg.A@mm Wurm. Wir geben diese Informationen unveraendert an

Sie weiter.

 

Im Moment beobachten das DFN-CERT eine sehr grosse Verbreitung des

W32.Novarg.A@mm Wurms (alias W32/Mydoom@MM [McAfee], WORM_MIMAIL.R

[Trend]).

 

Der Wurm verbreitet sich ueber E-Mail und KaZaA Netzwerke. Als Subject

/ Betreff der E-Mail wird zur Zeit verwendet:

 

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

 

Der Wurm legt die Datei shimgapi.dll im Systemverzeichnis von Windows

an, die einem Angreifer eine Backdoor und Proxy-Funktionalitaet zur

Verfuegung stellt (TCP-Ports 3127 bis 3198). Weiterhin wird die Datei

taskmon.exe im Systemverzeichnis mit einer Kopie des Wurms

ueberschrieben.

 

U.A. werden die beiden Registrierungs-Schluessel

 

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run

 

oder

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

 

mit dem Wert

 

TaskMon = %System%\taskmon.exe

 

angelegt, um den Wurm beim Systemstart austomatisch zu starten.

 

Weitere Informationen zu dem Wurm finden Sie unter der den URLs

 

http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html

 

und

 

http://www.bsi.de/av/vb/novarg.htm (sehr gute deutsche Beschreibung)

 

© der deutschen Zusammenfassung bei DFN-CERT GmbH; die Verbreitung,

auch auszugsweise, ist nur unter Hinweis auf den Urheber, DFN-CERT GmbH,

und nur zu nicht kommerziellen Zwecken gestattet.

 

Mit freundlichen Gruessen,

 

Jan Kohlrausch

 

- --

Jan Kohlrausch (CSIRT), DFN-CERT Services GmbH

Web: https://www.dfn-cert.de/, Phone: +49-40-808077-555

PGP RSA/2048, A5DD03D1, A2 55 1C 51 0A 30 3E 78 5B 40 DA B7 14 F7 C9 E8

Damian

@Damian

Am 1. Februar startet der Wurm eine Denial-of-Sevice-Attacke (DOS)

gegen eine bestimmte Internetseite. Ab dem 12. Februar verbreitet er

sich nicht weiter.

mfg Haraldino

Dafür also diese Backdoor- und Proxyfunktionalität. Dann werden wieder tausende von Rechnern mißbraucht. Mieses, kleines Drecksteil. :mad:

Damian

Moin,

ja und welche Adresse wollen die dann Attakieren =

M$ ? vileicht

ich will den wurm mal zerlegen .. ;)

W32.Novarg.A@mm Wurm

Schadensfunktion: Massenmailing,

Installation eines Backdoors,

DOS Angriff gegen <http://www.sco.com>,

Ueberschreiben von Systemdatei

mfg Haraldino

Microsoft setzt Kopfgeld auf Urheber des MyDoom-Wurms aus

250000$ :shock: :eek:

also wer von euch wars diesmal? :D :rolleyes:

gruss saracs

@saracs

auch SCO setzt Kopfgeld aus

http://www.heise.de/newsticker/meldung/44073

mfg Haraldino

@all

So wird man MyDoom wieder los:

http://www.spiegel.de/netzwelt/technologie/0,1518,283951,00.html

mfg Haraldino

Und nicht vergessen: Nach dem 12.02. verbreitet er sich nicht mehr, aber die Backdoor bleibt offen...

backdoor bleibt konto wird leer und frust ist hoch :shock:

Aber okok, ick stelle mich freiwillig und dann versaufen und verfressen wir die 250 lappen :D :suspect: :p

Direkter Download der Removal Tools von Symantec (NAV):

http://securityresponse.symantec.com/avcenter/FxMydoom.exe

Original geschrieben von pandur

Und nicht vergessen: Nach dem 12.02. verbreitet er sich nicht mehr, aber die Backdoor bleibt offen...

Korrektur: http://www.winfuture.de/news,13094.html

MyDoom hat einen Bug - er deaktiviert sich nicht am 12.02.2004 !

;)

Greetz, Evil

Original geschrieben von EVIL

MyDoom hat einen Bug - er deaktiviert sich nicht am 12.02.2004 !

Jetzt werden schon die Viren-Progger schlampig. :rolleyes: :D

Damian

oder

its not a bug, its a feature :D :eek: :shock: :rolleyes:

gruss saracs