Damian 1.401 Geschrieben 27. Januar 2004 Melden Teilen Geschrieben 27. Januar 2004 Hallo @ all Ich habe heute eine aktuelle Mail-Wurm-Warnung vom DFN-CERT bekommen. Sehr informativ, mit Hinweisen zur möglichen Bekämpfung. Dürfte sicher einige von euch interessieren. Liebe Kolleginnen und Kollegen, soeben erreichten uns die nachfolgenden Warnungen von UNIRAS, dem CERT der britischen Regierung, ueber Sicherheitsprobleme durch den W32.Novarg.A@mm Wurm. Wir geben diese Informationen unveraendert an Sie weiter. Im Moment beobachten das DFN-CERT eine sehr grosse Verbreitung des W32.Novarg.A@mm Wurms (alias W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend]). Der Wurm verbreitet sich ueber E-Mail und KaZaA Netzwerke. Als Subject / Betreff der E-Mail wird zur Zeit verwendet: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Der Wurm legt die Datei shimgapi.dll im Systemverzeichnis von Windows an, die einem Angreifer eine Backdoor und Proxy-Funktionalitaet zur Verfuegung stellt (TCP-Ports 3127 bis 3198). Weiterhin wird die Datei taskmon.exe im Systemverzeichnis mit einer Kopie des Wurms ueberschrieben. U.A. werden die beiden Registrierungs-Schluessel HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run oder HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run mit dem Wert TaskMon = %System%\taskmon.exe angelegt, um den Wurm beim Systemstart austomatisch zu starten. Weitere Informationen zu dem Wurm finden Sie unter der den URLs http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html und http://www.bsi.de/av/vb/novarg.htm (sehr gute deutsche Beschreibung) © der deutschen Zusammenfassung bei DFN-CERT GmbH; die Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber, DFN-CERT GmbH, und nur zu nicht kommerziellen Zwecken gestattet. Mit freundlichen Gruessen, Jan Kohlrausch - -- Jan Kohlrausch (CSIRT), DFN-CERT Services GmbH Web: https://www.dfn-cert.de/, Phone: +49-40-808077-555 PGP RSA/2048, A5DD03D1, A2 55 1C 51 0A 30 3E 78 5B 40 DA B7 14 F7 C9 E8 Damian Zitieren Link zu diesem Kommentar
Haraldino 10 Geschrieben 27. Januar 2004 Melden Teilen Geschrieben 27. Januar 2004 @Damian Am 1. Februar startet der Wurm eine Denial-of-Sevice-Attacke (DOS) gegen eine bestimmte Internetseite. Ab dem 12. Februar verbreitet er sich nicht weiter. mfg Haraldino Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 27. Januar 2004 Autor Melden Teilen Geschrieben 27. Januar 2004 Dafür also diese Backdoor- und Proxyfunktionalität. Dann werden wieder tausende von Rechnern mißbraucht. Mieses, kleines Drecksteil. :mad: Damian Zitieren Link zu diesem Kommentar
BlackShadow 12 Geschrieben 27. Januar 2004 Melden Teilen Geschrieben 27. Januar 2004 Moin, ja und welche Adresse wollen die dann Attakieren = M$ ? vileicht ich will den wurm mal zerlegen .. ;) Zitieren Link zu diesem Kommentar
Haraldino 10 Geschrieben 27. Januar 2004 Melden Teilen Geschrieben 27. Januar 2004 W32.Novarg.A@mm Wurm Schadensfunktion: Massenmailing, Installation eines Backdoors, DOS Angriff gegen <http://www.sco.com>, Ueberschreiben von Systemdatei mfg Haraldino Zitieren Link zu diesem Kommentar
saracs 10 Geschrieben 30. Januar 2004 Melden Teilen Geschrieben 30. Januar 2004 Microsoft setzt Kopfgeld auf Urheber des MyDoom-Wurms aus 250000$ :shock: :eek: also wer von euch wars diesmal? :D :rolleyes: gruss saracs Zitieren Link zu diesem Kommentar
Haraldino 10 Geschrieben 30. Januar 2004 Melden Teilen Geschrieben 30. Januar 2004 @saracs auch SCO setzt Kopfgeld aus http://www.heise.de/newsticker/meldung/44073 mfg Haraldino Zitieren Link zu diesem Kommentar
Haraldino 10 Geschrieben 30. Januar 2004 Melden Teilen Geschrieben 30. Januar 2004 @all So wird man MyDoom wieder los: http://www.spiegel.de/netzwelt/technologie/0,1518,283951,00.html mfg Haraldino Zitieren Link zu diesem Kommentar
pandur 10 Geschrieben 30. Januar 2004 Melden Teilen Geschrieben 30. Januar 2004 Und nicht vergessen: Nach dem 12.02. verbreitet er sich nicht mehr, aber die Backdoor bleibt offen... Zitieren Link zu diesem Kommentar
frapos 11 Geschrieben 30. Januar 2004 Melden Teilen Geschrieben 30. Januar 2004 backdoor bleibt konto wird leer und frust ist hoch :shock: Aber okok, ick stelle mich freiwillig und dann versaufen und verfressen wir die 250 lappen :D :suspect: :p Zitieren Link zu diesem Kommentar
LoE 10 Geschrieben 4. Februar 2004 Melden Teilen Geschrieben 4. Februar 2004 Direkter Download der Removal Tools von Symantec (NAV): http://securityresponse.symantec.com/avcenter/FxMydoom.exe Zitieren Link zu diesem Kommentar
EVIL 10 Geschrieben 4. Februar 2004 Melden Teilen Geschrieben 4. Februar 2004 Original geschrieben von pandur Und nicht vergessen: Nach dem 12.02. verbreitet er sich nicht mehr, aber die Backdoor bleibt offen... Korrektur: http://www.winfuture.de/news,13094.html MyDoom hat einen Bug - er deaktiviert sich nicht am 12.02.2004 ! ;) Greetz, Evil Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 4. Februar 2004 Autor Melden Teilen Geschrieben 4. Februar 2004 Original geschrieben von EVIL MyDoom hat einen Bug - er deaktiviert sich nicht am 12.02.2004 ! Jetzt werden schon die Viren-Progger schlampig. :rolleyes: :D Damian Zitieren Link zu diesem Kommentar
saracs 10 Geschrieben 4. Februar 2004 Melden Teilen Geschrieben 4. Februar 2004 oder its not a bug, its a feature :D :eek: :shock: :rolleyes: gruss saracs Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.