I-Worm.Mydoom, verbreitet sich u.a. über Filesharing Pr |
Willkommen, Gast ( Anmelden | Registrierung )
I-Worm.Mydoom, verbreitet sich u.a. über Filesharing Pr |
27 Jan 2004, 14:39
Beitrag
#1
|
|
...ich war brav! Gruppe: tb te@m Beiträge: 193 Mitglied seit: 4-July 03 Mitglieds-Nr.: 1.889 |
Zurzeit ist der Wurm I-Worm.Mydoom unterwegs !!
alias WORM_MIMAIL.R, W32.Novarg.A@mm Der I-Worm.Mydoom kommt per Attachment einer eMail auf Ihren PC mit einer der folgenden Dateiendungen: .bat, .cmd, .exe, .pif oder .zip. Wird der I-Worm.Mydoom durch Doppelklick aktiviert kopiert er sich 1. In das Windows/system-Verzeichnis mit dem Namen "shimgapi.dll" 2. Mit dem Dateinamen "Message" in das Tmp-Verzeichnis und zeigt den Dateiinhalt mit Notepad an. 3. Als Datei "taskmon.exe" in das Windows/System(32)-Verzeichnis. Sollte die Datei "taskom.exe" bereits vorhanden sein so ersetzt der diese. Die Datei "shimgabi.dll" ist ein Proxyserver und öffnet einige TCP-Ports (3127 - 3198) wodurch ein Dritter zugriff auf den Rechner erhält. Die integrierte Backdoorfunktion ermöglicht auch den Download und die Installation von weiteren Dateien. Der Proxyserver (shimgabi.dll) wird durch den Explorer (explorer.exe) gestartet mit dem Registrykey: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll Weiters wird der Eintrag "TaskMon = %System%\taskmon.exe" an folgende Registryeinträge angefügt: HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run I-Worm.Mydoom startet ab dem 1. Febraur 2004 eine DoS-Atacke auf die Domain www.sco.com indem er 64 gleizeitige Anfragen an den Port 80 sendet. Weiters werden folgende Registryeinträge angelegt: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version und HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version Da sich I-Worm.Mydoom hauptsächlich per eMail (Eigene SMTP-Engine) verbreitet, wird der infizierte Rechner nach eMailadressen in den Dateien .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt durchsucht an welche er sich versendet. Sollten Adressen mit der Top-Level-Domain .edu gefunden werden so versendet sich der Wurm nicht an diese. Weiters versendet sich der I-Worm.Mydoom nicht an die Domains die Teile beinhalten wie: avp syma icrosof msn. hotmail panda sopho borlan inpris example mydomai nodomai ruslis .gov gov. .mil foo. berkeley unix math bsd mit.e gnu fsf. ibm.com kernel linux fido usenet iana ietf rfc-ed sendmail arin. ripe. isi.e isc.o secur acketst pgp tanford.e utgers.ed mozilla Oder an Empfängeradressen wie: root info samples postmaster webmaster noone nobody nothing anyone someone your you me bugs rating site contact soft no somebody privacy service help not submit feste ca gold-certs the.bat page Und auch an Adressen mit folgenden Teilen versendet sich der Wurm nicht: admin icrosoft support ntivi unix bsd linux listserv certific accoun Die eMail hat folgendes Aussehen: Von: Variabler Betreff: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Variabler Text: Mail transaction failed. Partial message is available. oder The message contains Unicode characters and has been sent as a binary attachment. oder The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. Variables Attachment: document readme doc text file data test message body Variable Datei-Endung pif scr exe cmd bat zip Dateigröße: 22.528 Bytes Sollte auf dem infizierten Rechner das Filesharingprogramm KaZaA installiert sein, so kopiert sich der Wurm in das Upload-Verzeichnis mit einem der folgenden Namen: winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004 Und der Dateiendung pif scr bat exe Ab dem 12. Februar ist mit keiner weiteren Verbreitung zu rechnen da der Wurm an diesem Tag seine weiterverbreitung per eMail stoppt. Per KaZaA ist aber auch nach diesem Tag mit einer Verbreitung zu rechnen wenn der infizierte User nicht sein Upload-Verzeichnis kontrolliert. Manuelle Entfernung: Da I-Worm.Mydoom keine Dateien infiziert oder verändert ist die Entfernung einfach. 1. Löschen des Registryeinträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Taskmon"="%System%\taskmon.exe" HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "Taskmon"="%System%\taskmon.exe" 2. Löschen der Registryeinträge HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\ComDlg32\Version 3. Task der Datei "shimgapi.dll" beenden und die Datei löschen 4. Löschen der Datei "taskmon.exe" Der Beitrag wurde von admin K bearbeitet: 27 Jan 2004, 14:42 |
|
|
27 Jan 2004, 15:00
Beitrag
#2
|
|
schlittnfohra! Gruppe: tb admin Beiträge: 22.803 Mitglied seit: 26-March 02 Wohnort: 9900 Mitglieds-Nr.: 85 |
habn leider glöscht, echt schad um das teil *fg*
|
|
|
27 Jan 2004, 15:22
Beitrag
#3
|
|
burn baby burn Gruppe: Members Beiträge: 835 Mitglied seit: 13-December 03 Wohnort: lala Land Mitglieds-Nr.: 2.803 |
Ich glaub ich werd mir jetzt auch eine Sammlung zulegen...
Den Blaster hätte man zum perfekten Computerkiller umbauen können... (IMG:http://www.technoboard.at/style_emoticons/default/biggrin.gif) |
|
|
29 Jan 2004, 10:25
Beitrag
#4
|
|
bashiablackheads Gruppe: Members Beiträge: 79 Mitglied seit: 27-January 04 Wohnort: graz Mitglieds-Nr.: 3.014 |
find ich toll von dir das du die user auf den worm hinweist
greetz |
|
|
29 Jan 2004, 10:56
Beitrag
#5
|
|
Member Gruppe: Members Beiträge: 160 Mitglied seit: 20-May 03 Mitglieds-Nr.: 1.727 |
....ich kann damit nix anfangen...bin ja kein fachmann...
|
|
|
29 Jan 2004, 22:11
Beitrag
#6
|
|
K-- | In Memoriam Gruppe: Awaiting Authorisation Beiträge: 636 Mitglied seit: 10-October 02 Mitglieds-Nr.: 408 |
Neue Version von Mydoom attackiert Microsoft
E-Mail-Wurm bricht alle Rekorde Helsinki (pte, 29. Januar 2004 11:35) - Der finnische Anti-Viren-Spezialist F-Secure http://www.f-secure.co warnt vor dem schlimmsten Wurmangriff in der Geschichte. Laut F-Secure hat Mydoom in seiner Verbreitungsperformance bereits den Rekord des legendären Sobig.F eingestellt. Ein Drittel aller in Europa verschickten E-Mails soll mit Mydoom infiziert sein. Die neu entdeckte Migration Mydoom.B startet nicht nur, wie sein Vorgänger, eine Denial-of-Service Attacke (DoS) gegen www.SCO.com sondern attackiert auch die Website von Microsoft. Die explosionsartige Ausbreitung der Malware führt F-Secure auf eine exakte Angriffsstrategie zurück. Die Verbreitung begann präzise während der Hauptgeschäftszeit in den USA, so konnte der Wurm sofort einige große Firmennetzwerke infizieren. Weiters überlistet Mydoom durch raffiniertes Social Engineering die meisten User. Der Wurm tarnt sich als Fehlermeldung des Systems und animiert so zum Ausführen des Attachements. Der infizierte Anhang versteckt sich in einem ZIP-Archiv, das vertrauenswürdiger wirkt als andere Dateien. Weiters scannt er nicht nur nach E-Mail-Adressen auf dem Wirt-Rechner sondern ist auch in der Lage neue Adressen zu generieren. Durch eine besonders ausgeklügelte Self-Security-Engine kann Mydoom.B den Zugriff infizierter Rechner auf Webseiten von Anti-Viren-Herstellern unterbinden. Der User ist dann nicht mehr in der Lage, die Seiten von Trend Micro, Symantec, McAfee, F-Secure, Sophos und Kaspersky aufzurufen um Removal-Tools zu laden. http://www.heise.de/newsticker/meldung/44092 http://www.heise.de/newsticker/meldung/44114 Also Leute --> am besten erst gar keine fragwürdigen Attachments öffnen zur Zeit --> Virenscanner bieten nicht 100% Sicherheit!!! Der Beitrag wurde von cccp bearbeitet: 29 Jan 2004, 22:13 |
|
|
30 Jan 2004, 11:13
Beitrag
#7
|
|
burn baby burn Gruppe: Members Beiträge: 835 Mitglied seit: 13-December 03 Wohnort: lala Land Mitglieds-Nr.: 2.803 |
Es war grad in ganz Österreich Mailstillstand. Laut Telekom verursacht durch den mydoom...
(IMG:http://www.technoboard.at/style_emoticons/default/biggrin.gif) |
|
|
30 Jan 2004, 11:23
Beitrag
#8
|
|
...ich war brav! Gruppe: tb te@m Beiträge: 193 Mitglied seit: 4-July 03 Mitglieds-Nr.: 1.889 |
auf den Telekom Servern vielleicht (IMG:http://www.technoboard.at/style_emoticons/default/hah.gif)
Der Beitrag wurde von admin K bearbeitet: 30 Jan 2004, 11:23 |
|
|
30 Jan 2004, 11:28
Beitrag
#9
|
|
burn baby burn Gruppe: Members Beiträge: 835 Mitglied seit: 13-December 03 Wohnort: lala Land Mitglieds-Nr.: 2.803 |
Die sind ja bekanntlich nicht die hellsten bei dem Verein. Aber Hauptsache sie bieten jetzt einen "zuverlässigen neuen Virenschutz" an... (IMG:http://www.technoboard.at/style_emoticons/default/cunao.gif)
|
|
|
30 Jan 2004, 11:37
Beitrag
#10
|
|
...ich war brav! Gruppe: tb te@m Beiträge: 193 Mitglied seit: 4-July 03 Mitglieds-Nr.: 1.889 |
Das einfachste um dieser ganzen Virenproblematik Herr zu werden wäre sowieso wenn jeder Provider schon Serverseitig einen Virenscanner installiert und nicht darauf vertraut das sich der User selbst schützt.
z.B.: http://www.mymailwall.at/ Der Beitrag wurde von admin K bearbeitet: 30 Jan 2004, 11:40 |
|
|
30 Jan 2004, 11:43
Beitrag
#11
|
|
burn baby burn Gruppe: Members Beiträge: 835 Mitglied seit: 13-December 03 Wohnort: lala Land Mitglieds-Nr.: 2.803 |
Schaut gut aus. Bei jedem Anbieter, bei dem Du webspace kaufst gibts das schon im Angebot inkludiert, aber die Telekom scheint da noch etwas rückständig zu sein...
|
|
|
30 Jan 2004, 12:30
Beitrag
#12
|
|
Hardcoreposter Gruppe: Members Beiträge: 930 Mitglied seit: 28-December 02 Wohnort: Hallein (nähe Salzburg) Mitglieds-Nr.: 629 |
Ist ja komisch, überall wird von dem Wurm berichtet und jede 3. Mail soll befallen sein aber zu mir kommt er wohl nicht.
Dabei erhalte ich auch 30-40 Spam-Mails täglich, der Wurm scheint mich nicht zu mögen. *g* Habe aber eh NIS 2004 drauf und er würde den abfangen. |
|
|
3 Feb 2004, 20:51
Beitrag
#13
|
|
schlittnfohra! Gruppe: tb admin Beiträge: 22.803 Mitglied seit: 26-March 02 Wohnort: 9900 Mitglieds-Nr.: 85 |
mmm - gestern erst knappe 200 virenwarnungen gelöscht ...
grmml scheint ein ganz ein netter zu sein (IMG:http://www.technoboard.at/style_emoticons/default/devil.gif) |
|
|
4 Feb 2004, 10:36
Beitrag
#14
|
|
burn baby burn Gruppe: Members Beiträge: 835 Mitglied seit: 13-December 03 Wohnort: lala Land Mitglieds-Nr.: 2.803 |
Also ich habe bis jetzt auch noch kein Exemplar in die Finger bekommen, obwohl ich unser gesamtes Firmennetzwerk betreue... Ich glaub der macht einen Bogen um mich (IMG:http://www.technoboard.at/style_emoticons/default/tounge.gif)
|
|
|
4 Feb 2004, 17:54
Beitrag
#15
|
|
Member Gruppe: Members Beiträge: 119 Mitglied seit: 4-February 04 Wohnort: Berlin / Germany Mitglieds-Nr.: 3.053 |
ein thema was wohl allen hier angeht...
also ich hab mich nun hier angemeldet um vielleicht hier hilfe zu finden... undzwar gibt es einen provider namens "liwest" bei euch in Östereich... zu finden unter www.liwest.at von einem user dieses providers bekomme ich wirklich alle 5minuten diesen f*** wurm leider ist es mir nicht moeglich rauszufinden wer diese person ist... der provider antwortet leider nicht auf meine email anrufen ist mir dann auch zu teuer da ich in deutschland wohne (IMG:http://www.technoboard.at/style_emoticons/default/wink.gif) zudem schickt dieser user nun mitlerweile auch diese virenmails mit meiner email adresse raus... z.B. [email protected]; [email protected] etc. jedoch gibt es definitiv nur die [email protected] adresse! diese wird aber auch verwendet wie ich anhand der massigen mailerdeamon mails ersehen konnte ebenfalls hab ich schon an die [email protected] geschrieben das euer content filter leider falsch funktioniert sorry jungs der is mist... (in der mail zu erlesen warum ^^) also gebt all euren bekannten, freunden etc. den hinweis die festplatten zu scannen... besonders den einen user der bei liwest angemeldet ist (IMG:http://www.technoboard.at/style_emoticons/default/wink.gif) so jetzt noch etwas fuer fachmenschen und die die glauben es zu seien hier ein header den ich vom technoboard content filter zurueck bekommen habe... ------------------------- BEGIN HEADERS ----------------------------- Received: from zak-mccoy.de (cm174-204.liwest.at [81.10.174.204]) by www.technoboard.at (Postfix) with ESMTP id B6B57C3AC1 for From: [email protected] To: [email protected] Subject: HI Date: Wed, 4 Feb 2004 11:48:27 +0100 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="----=_NextPart_000_0011_ADAB7805.8441C89B" X-Priority: 3 X-MSMail-Priority: Normal Message-Id: <[email protected]> -------------------------- END HEADERS ------------------------------ wichtig hierbei ist nich die received adresse in dem fall zak-mccoy.de sondern der dahinter in klammern stehende provider der ich nich sein kann weil... wie gesagt in deutschland wohne... dazu t-online habe und diese immer mit 217.xx.... adressiert ist... ein gutes hat jedoch euer content filter... er schmeisst die viren weg... der nachteil aber er schickt die viren info mails zu mir was nicht sonderlich spassig ist! im uebrigem bitte ich den webmaster dieses thema als global thema zu setzen denn es ist einfach nicht mehr lustig mit den wuermern und viren! soviel erstmal dazu! mfg, Zaky |
|
|
4 Feb 2004, 18:01
Beitrag
#16
|
|
schlittnfohra! Gruppe: tb admin Beiträge: 22.803 Mitglied seit: 26-March 02 Wohnort: 9900 Mitglieds-Nr.: 85 |
danke dir, gepinnt ist das thema mal, admini ist auch mal informiert und wird sich das mal ansehn.
|
|
|
4 Feb 2004, 18:04
Beitrag
#17
|
|
Member Gruppe: Members Beiträge: 119 Mitglied seit: 4-February 04 Wohnort: Berlin / Germany Mitglieds-Nr.: 3.053 |
danke (IMG:http://www.technoboard.at/style_emoticons/default/smile.gif)
keine macht den viren, wuermern und trojanern, den ungewollten kindern, den krieg, der IFPI und der GEMA, der boesartigen Schwiegermutter usw usw ^^ Der Beitrag wurde von Zak McCoy bearbeitet: 4 Feb 2004, 18:05 |
|
|
4 Feb 2004, 18:48
Beitrag
#18
|
|
K-- | In Memoriam Gruppe: Awaiting Authorisation Beiträge: 636 Mitglied seit: 10-October 02 Mitglieds-Nr.: 408 |
ZITAT wichtig hierbei ist nich die received adresse in dem fall zak-mccoy.de sondern der dahinter in klammern stehende provider der ich nich sein kann weil... wie gesagt in deutschland wohne... dazu t-online habe und diese immer mit 217.xx.... adressiert ist... ein gutes hat jedoch euer content filter... er schmeisst die viren weg... der nachteil aber er schickt die viren info mails zu mir was nicht sonderlich spassig ist! Diese Technik nennt sich EMail Spoofing. Das heißt, auf einem infizierten System sucht der Wurm nach EMail-Adressen. Findet er 2 Adressen oder mehr, setzt er eine ins From-Field und eine ins SendTo-Field, sodass es scheint, ein anderer hätte das Mail gesendet. Unten die englische Erklärung von Symantec. Email spoofing New worms often use a technique called "spoofing." When the worm performs its email routine, it can use a randomly chosen address it finds on an infected computer as the "From:" address. Numerous cases have been reported in which users of uninfected computers received complaints that they sent an infected message to someone else. For example, Linda Anderson is using a computer infected with W32.Novarg.A@mm, Win32/Shimg, W32/MyDoom-A, I-Worm.Novarg, Worm/MyDoom.A2, WORM_MIMAIL.R Linda is not using an antivirus program or does not have the current virus definitions. When W32.Novarg.A@mm, Win32/Shimg, W32/MyDoom-A, I-Worm.Novarg, Worm/MyDoom.A2, WORM_MIMAIL.R performs its emailing routine, it finds the email address of Harold Logan. The worm inserts Harold's email address into the "From:" portion of an infected message, which the worm then sends to Janet Bishop. Then, Janet contacts Harold and complains that he sent her an infected message, but when Harold scans his computer, Norton AntiVirus (NAV) does not find anything because his computer is not infected. Auch nicht infizierte Anwender werden Opfer Seine massenhafte Verbreitung erzielt der Schädling auch durch die Fälschung der Absender, mit der er sogar aktivierte Antivirensoftware für seine Zwecke "einspannt". Erkenne die Antivirensoftware eine infizierte Mail, werde diese zwar abgeblockt, erläuterte Fischer. Die dann versendeten Fehler- und Hinweismeldungen gingen jedoch an die gefälschten Absender. "Der Benutzer bekommt also nicht nur die verseuchten Virus-Mails, sondern auch die unverschuldeten Warnmeldungen in sein Postfach." Zudem öffne der Wurm auf dem befallenen Rechner eine "Hintertür", über die Daten wie persönliche Korrespondenz, Kreditkartennummern oder PIN-Codes ausspioniert werden können, sagte Michael Dickopf vom Bundesamt für Sicherheit in der Informationstechnologie (BSI). Der Beitrag wurde von cccp bearbeitet: 4 Feb 2004, 18:59 |
|
|
7 Feb 2004, 21:07
Beitrag
#19
|
|
der seltene gast Gruppe: Members Beiträge: 2.380 Mitglied seit: 12-September 02 Wohnort: wien Mitglieds-Nr.: 353 |
endlich hat der kleine auch meiner mailbox einen besuch abgestattet. an und für sich nichts aufregendes - abgesehen von der tatsache, daß ich schon ein klein wenig an der existenz des rackers gezweifelt habe (IMG:http://www.technoboard.at/style_emoticons/default/wink.gif) - aber was doch erwähnenswert ist:
als absender hat er sich [email protected] ausgesucht (absender wird ja gefaked) und da sicher einige von hier das standard-radio kennen und vielleicht nicht weiter nachdenken, falls sie den wurm über bekannte adressen bekommen, wollte ich nochmal darauf hinweisen, lieber nicht überall blind draufzuklicken, auch wenn die mail von freunden, vereinen u.ä. kommt. im zweifelsfall hilft ein blick auf http://hoaxinfo.de |
|
|
7 Feb 2004, 21:09
Beitrag
#20
|
|
Member Gruppe: Members Beiträge: 119 Mitglied seit: 4-February 04 Wohnort: Berlin / Germany Mitglieds-Nr.: 3.053 |
jo wie gesagt meine adresse nimmt der schweinehund ja auch (IMG:http://www.technoboard.at/style_emoticons/default/sad.gif)
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 15. May 2024 - 02:58 |
Copyright 2001 - 2014 technoboard.at
|
Die
Texte geben die Meinung der Autoren und nicht unbedingt die des technoboard.at
Teams wieder.
Alle fraglichen Inhalte werden auf Anfrage und alle gegen die BoardRegeln verstossenden Einträge automatisch entfernt (sobald sie bemerkt werden). Kontakt: [email protected] |