Moin,
es gibt mal wieder ein High-Level-Alert.
Auf die schnelle habe ich mal folgendes aus mehreren Infos 'zusammengestrickt':

****************************
W32.Novarg.A@mm is an encrypted mass-mailing worm that arrives as an
attachment with either a .exe, .scr, .cmd, .zip, or .pif extension. It
also performs a denial of service attack on sco.com and allows
unauthorized remote access to the compromised host.

Technical Description
----------------------
W32.Novarg.A@mm is an encrypted mass-mailing worm that arrives as a
message attachment using either a .exe, .scr, .cmd, or .pif extension.
These files may be included as an attached .zip archive.

The message may have the following properties:
Subject may include the following:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report Status Error

Message Body varies. The following is one example:
The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.

The attachment may be one of the following filenames with a .exe, .scr,
.zip, or .pif extension:
document
readme
doc
text
file
data
test
message body

The icon used may be that of a text file.

When the attachment is executed, Notepad will open displaying garbage
characters from the file %Temp%\Message dropped by the worm.

Next, it creates the following copy of itself: %System%\taskmon.exe

The worm then creates the following registry entries so that it executes
every time Windows starts: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon
= %System%\taskmon.exe

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run\TaskMon =
%System%\taskmon.exe

The following registry keys are also created: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Com
Dlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComD
lg32\Version

The worm also copies itself to the user's Kazaa downloads directory
using one of the following filenames:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

with one of the following extensions:
pif
scr
bat

Additionally, the worm drops the following file: %System%\shimgapi.dll

This file appears to function as a back door that allows remote access
to a compromised host on TCP port 3127. Evidence suggests that this back
door may also allow the compromised system to be used as a remote proxy.

The worm also appears to be capable of performing a denial of service
attack on the website sco.com.


References
- ----------
Symantec W32.Novarg.A@mm http://www.symantec.com/avcenter/ven...varg.a@mm.html
McAfee W32/Mydoom@MM http://vil.nai.com/vil/content/v_100983.htm
F-Secure Novarg http://www.europe.f-secure.com/v-descs/novarg.shtml
Computer Associates Win32.Mydoom.A http://www3.ca.com/virusinfo/virus.aspx?ID=38102
Trend Micro WORM_MIMAIL.R http://www.trendmicro.com/vinfo/viru...=WORM_MIMAIL.R
Norman W32/MyDoom.A@mm http://www.norman.com/virus_info/w32_mydoom_a_mm.shtml
Sophos W32/MyDoom-A http://www.sophos.com/virusinfo/anal...32mydooma.html
****************************

Die mir bekannten 'größeren' AV-Hersteller haben ihre Signaturen bereits aktualisiert, bzw. werden im Laufe des Tages nachziehen.
Ein Update des Virenscanners ist also dringend angeraten....

tschööö, DerBilk

Nachtrag:
Die ersten Removal-Tools habe ich gerade entdeckt: Bitdefender
und
Stinger von McAfee
Diese Liste erhebt natürlich keinen Anspruch auf Vollständigkeit...

[ 27. Januar 2004, 10:59: Beitrag editiert von: DerBilk ]

Kleiner Nachtrag noch dazu (ich bin nämlich schon dabei den Virus von einem PC zu entfernen):

Folgende DLL ist ebenfalls infiziert:


The virus uses a DLL that it creates in the Windows System directory:

%SysDir%\shimgapi.dll (4,096 bytes)
This DLL is injected into the EXPLORER.EXE upon reboot via this registry key:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

Wenn der Virus aktiv ist, konnte McAfee ihn nicht ohne Reboot löschen.

Zusätzlich lag er bei dem PC (win2k) noch im Temporary Internet Files.

Heise-Ticker aktuell:

""Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen
[-]
Der neue Wurm MyDoom/Novarg zieht weiter seine Kreise. Die Virenexperten von Messagelabs wollen innerhalb der ersten zwanzig Stunden nach dem Ausbruch 1,2 Millionen Exemplare abgefangen haben. Zum Vergleich: Der E-Mail-Provider Postini hat nach eigenen Angaben beim Ausbruch des Wurms Sobig.F am ersten Tag nur 1400 Exemplare registriert, den Höhepunkt erreichte der Wurm dort mit 3,5 Millionen Samples pro Tag. Hochgerechnet könnte MyDoom Sobig.F in der Verbreitung also locker schlagen.

Mittlerweile nerven nicht nur die E-Mails des Wurmes selbst, wie schon bei Sobig wird das Postfach mit Benachrichtigungen zugemüllt, man hätte infizierte Mails verschickt. Auch scheinen einige Accounts schon das Speicherlimit erreicht zu haben und nehmen keine weiteren Mails mehr entgegen. Selbst unmoderierte Mailinglisten bleiben von MyDoom nicht verschont: Auf Full Disclosure erschienen bereits mehrere Wurm-Postings zuzüglich der Benachrichtigungsmails von Virenscannern. Dies könnte die Theorie untermauern, dass auch technisch orientierte Anwender auf den als Fehlermeldung getarnten Schädling hereinfallen.

Allerdings kann auch die Fülle anderer Wurm-Mails daran schuld sein, was langsam zum Dauerzustand wird. Immer noch sind Sober.c, Dumaru.A, -.Y und .Z sowie Bagle und diverse andere Mimail-Varianten unterwegs. Wer sich da keinen Filter konfiguriert hat, kann schon mal den Überblick verlieren und ein Attachment aus Versehen öffnen.""

http://www.heise.de/newsticker/data/dab-27.01.04-001/

Gruß!
MyThinkTank

Und das sagt/schreibt Panda:

“Alarmstufe Rot” : W32/Mydoom.A.worm

Neuer Wurm “MyDoom.A” infiziert zahlreiche Firmennetzwerke in wenigen Stunden

- Aufgrund des Einsatzes so genannter „Social Engineering“ Techniken erzielt der Wurm eine extrem hohe Verbreitungsrate.

- Entgegen dem aktuellen Trend nutzt MyDoom.A keine Microsoft Sicherheitslücke aus.

- Der Wurm installiert eine Datei auf dem infizierten System, welche den TCP Port 3127 öffnet und somit den Computer für den Fernzugriff freigibt.

- Ebenfalls nutzt “MyDoom.A” das File Sharing Tool KaZaa zur Verbreitung, indem er sich selbstständig in die Ordner mit den zum Tausch vorgesehenen Dateien kopiert.

- Panda Software hat bereits ein Update der Virensignaturdatei sowie ein Desinfizierungs- Tool zur Verfügung gestellt und rät allen Kunden Ihre Antivirenlösung zu aktualisieren und, falls vorhanden, die Firewall zu aktivieren.

- PQRemove, das kostenfreie Tool zur Desinfektion steht auf der Panda Software Web Site (http://www.pandasoftware.com/download/utilities/ ) zum Download bereit.

MADRID, 26. Januar 2004 – Panda Software registriert ein extrem gesteigertes Infektionsaufkommen aufgrund des neuen Wurmes und hat die “Alarmstufe ROT” für diese Bedrohung ausgegeben. Tausende von Computersystemen weltweit wurden bereits von dem neuen Wurm infiziert. Die Geschwindigkeit mit der sich der Wurm verbreitet, sowie der Schaden den er anrichtet machen den MyDoom.A Wurm zu einer ähnlichen Bedrohung wie Bugbear und Blaster, die letzten Sommer das Internet angriffen und weltweit PC Systeme und Netzwerke in hohem Maße infizierten.

W32/Mydoom.A versendet sich selbständig an alle Adressen, die er auf dem infizierten System vorfindet. Es wird davon ausgegangen, dass sich dieser Wurm, sowie leicht veränderte Versionen, im Laufe des Arbeitstages weiter verbreiten werden.

Der W32/Mydoom.A Wurm verbreitet sich im Anhang einer E-Mail und hat variable Betreffzeilen. Ebenso wie andere Viren, welche “Social Engineering” Techniken nutzen, versucht auch dieser Wurm dem ahnungslosen PC Nutzer zu suggerieren, dass er den Anhang unbedingt öffnen muss. Der Virus infiziert nicht nur den befallen Computer sondern sendet sich via E-Mail an alle, auf dem System vorhandenen, E-Mail Adressen.

Zusätzlich öffnet der Wurm den TCP Port 3127 und erlaubt so Unbefugten den direkten Zugriff auf den befallenen Computer. Somit erhalten „Hacker“ direkten Zugriff auf das entsprechende System und diese können beispielsweise persönliche Daten stehlen, verändern oder löschen.

Des weiteren bereitet der Wurm eine Denial of Service Attacke auf die Web Seite www.sco.com am 1. Februar 2004 vor.

W32/Mydoom.A sucht nach E-Mail Adressen in Dokumenten mit den folgenden Endungen und versendet sich automatisch mit Hilfe seiner eigenen SMTP Engine: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt.

Der Inhalt der Nachricht variiert und kann folgendermaßen lauten:

Betreffzeile:

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

Body:

Mail Transaction Failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Name der angehangenen Datei:

document

readme

doc

text

file

data

test

message

body

Datei Erweiterung:

.pif

.scr

.exe

.cmd

.bat

.zip

Nachdem der Virus den Computer infiziert hat, sucht er nach dem peer2peer FileSharing Netzwerk Tool KaZaa. Sollte KaZaa auf dem befallen System installiert sein, kopiert sich der Wurm in den Ordner, in welchem sich die zum tausch angebotenen Dateien befinden. Der Dateiname kann u.a. folgendermaßen lauten:

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

Die Dateien haben eine der folgenden Dateierweiterungen: PIF, .SCR o .BAT

Panda Software bietet Updates sowie Tools zur Erkennung und Desinfizierung des W32/Mydoom.A Wurmes. Sollten Panda Software Kunden das automatische Update deaktiviert haben, so können Sie sich auf der Web Seite http://www.pandasoftware.com/ eine aktuelle Virensignaturdatei herunter laden.

Aufgrund der Möglichkeit einer Infizierung empfiehlt Panda Software allen Nutzern eine sofortige Aktualisierung der Antivirenlösung sowie eine vollständige Überprüfung des kompletten Systems. Gesteigerte Vorsicht im Umgang mit E-Mails sowie die Installation einer Firewall sind weitere Schutzmechanismen, die Panda Software allen Anwendern nahe legt.

Zusätzlich zur installierten Antivirenlösung können Anwender auch den Panda Software Online Virenscanner “Panda ActiveScan” zur Überprüfung und / oder Desinfektion Ihres PC Systems nutzen. Der kostenfreie, mehrfach ausgezeichnete Online Virenscanner steht auf der Web Seite www.panda-software.de ebenso wie das Desinfizierungs Tool PQRemove permanent allen Besuchern der Web Seite aktualisiert zur Verfügung

Detaillierte technische Informationen über den W32/Mydoom.A.Wurm sind in der Panda Software Virus Encyclopedia verfügbar.
==============

DoS am 1.Februar auf SCO, hmm?
Nein, ist trotzdem schlecht

</font><blockquote>Zitat:</font><hr />Name der angehangenen Datei:
document
readme
doc
text
file
data
test
message
body</font>[/QUOTE]Das schreiben mehr oder weniger alle AV-Seiten und ich habe es ja in meinem 'zusammengetrickten' Anfangspost auch so beschrieben. Aber in der Realität habe ich heute mehrere Male gesehen, dass die Namen genausogut aus zufällig zusammengewürfelten Buchstaben bestehen können.
Dies nur, dass nicht der Eindruck entsteht, die Liste sei ausschließlich und man könne sich darauf verlassen...


Edit: Ich sehe grad, einige Beschreibungen (Links siehe oben) wurden diesbezüglich im Laufe des Tages 'nachgebessert'
tschööö, DerBilk

Ich hasse High-Level-Alerts. [img]graemlins/pfui.gif[/img] [img]graemlins/pfui.gif[/img]

"Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen"
Ist das vielleicht ein Motiv der Virenprogrammierer?

Bei mir kam etwas, worauf die Beschreibungen einigermaßen passen, heute viermal an (was für meine Verhältnisse viel ist). Habe es auf dem Server gelöscht.

Die übereinstimmende Größe von 31 kb könnte ein Erkennungsmerkmal sein.

Martin

</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
"Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen"
Ist das vielleicht ein Motiv der Virenprogrammierer?
</font>[/QUOTE]Warum nicht?

</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
Warum nicht? </font>[/QUOTE]So hab ich das nicht gemeint, ich meinte eher: Sollte Heise anstatt Rekorde lobzupreisen nicht lieber behaupten, diese Schweinepriester hätten keine Eier?

Martin

</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
Warum nicht? </font>[/QUOTE]So hab ich das nicht gemeint, ich meinte eher: Sollte Heise anstatt Rekorde lobzupreisen nicht lieber behaupten, diese Schweinepriester hätten keine Eier?
</font>[/QUOTE]Und wenn es Priesterinen/Programiererinnen sind?

Ja, hatte Dich flasch verstanden, und ich bin mir sicher(!), sollche Berichte über (mögliche) neue Rekorde stacheln ein paar kranke Gehirne an, tatsächlich zu versuchen einen neuen Rekord aufzustellen.
Da der Homo-computeris-aldii an sich recht lernresistent ist, werden sie es auch schaffen [img]graemlins/koch.gif[/img]
//irgendjemand mit Lateinkenntnis darf mich korregieren, bei Asterix gab es weder Computer noch Aldi
sol lucet omnibus

Hallo,

ist Euch schon aufgefallen, daß der neue Wurm es auch auf TheBat!-User abgesehen hat? Er sucht in TBB-Dateien (TheBat-eMailarchive) nach Adressen und ist in ein ZIP gepackt, damit er nicht an der Suffix-Sperre von TheBat! hängenbleibt....

Hendrik

Neue Variante Mydoom.b im Umlauf!

Link: http://www.viruslist.com/eng/viruslist.html?id=850737

</font><blockquote>Zitat:</font><hr />
I-Worm.Mydoom.b

Mydoom.b is a modification of Mydoom.a that spreads via the Internet in the form of files attached to infected messages and via the Kazaa file-sharing network. The worm itself is a Windows PE EXE file of 29184 bytes, compressed using UPX and PE-Patch. The decompressed file is approximately 49KB in size.

The worm is activated only if the user opens the archive and launches the infected file by double-clicking on the attachment. The worm then installs itself in the system and starts the replication process.

The worm contains a backdoor function, and is also programmed to carry out DoS attacks on the sites www.sco.com and www.microsoft.com.

Part of the body of the worm is encrypted.

The unpacked file contains the following text:

(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)

Installation
Following launch, the worm opens Windows Notepad, showing a random selection of symbols:

During installation, the worm copies itself under the name explorer.exe to the Windows system directory, and registers this file in the system registry auto-run key:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\explorer.exe"

The worm creates the file ctfmon.dll,/i&gt; in the Windows system directory which is a backdoor component (a proxy server) and also registers this in the system registry:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Apartment" = "%SysDir%\ctfmon.dll"

Ctfmon.dll will therefore launch as a procedure linked to Explorer.exe.

The worm also creates a file called Body,/i&gt; in the temporary directory (usually in %windir%\temp). This file contains a random selection of symbols.

So that the worm can identify itself in the system, it creates several additional keys in the system registry:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]

While running it also creates a unique identifier sync-v1.01__ipcmtx0.

Mydoom.b replaces the standard file 'hosts' in the Windows directory into with its own version (under the same name). This file will now prevent user access to the following domains:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com

office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com

Mailing letters
Emails are sent in the same way that Mydoom.a uses except for the following changes.

The body text is chosen at random from the following:

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment

sendmail daemon reported: Error #804 occured during SMTP session.
Partial message has been received

The message contains Unicode characters and
has been sent asa binary attachment.

The message contains MIME-encoded graphics and
has been sent as a binary attachment

Mail transaction failed. Partial message is available.

Mydoom.b might also send emails with random strings of characters in the subject, body and attachment name.
Propagation via P2P
The worm checks for the presence of a Kazaa client on the computer and copies itself to the file-sharing directory under the following names:

NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

with the following extensions:

bat
exe
scr
pif

</font>[/QUOTE]MyThinkTank

Hallo!
Ich kann überhaupt nicht nachvollziehen, wieso wegen solchen Mailwürmern nur immer so ein Aufhebens gemacht wird und schon die Medien Tag ein/Tag aus davon berichten. Damit meine ich jetzt nicht solche Warnungen in Boards, da diese oft dazu nützlich sind, bei Befall den Schädling zu entfernen.
Aber ich meine würde man jedem Wurm soclhe Beachtung schenken, müssten die Medien ständig irgendwelche Virenticker vorlesen.
Ich persönlich höre schon garkeine Nachrichten mehr, weil man ständig nur irgendwelche Virenwarnungen bekommt die einem eh egal sind, wenn man ausschließlich Sachen öffnet, die von vertrauenswürdigen Quellen stammen. Ich weis das wird ihr ständig propagiert, aber wieso sind mehrere millionen Menschen der Welt einfach unfähig mails, die sie nicht kennen ungelesen zu löschen?

ciao

btw: Vielleicht isses aber auch nur Absicht, weil die alle was gegen SCO haben und bewusst den Wurm installieren...

</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred:
wenn man ausschließlich Sachen öffnet, die von vertrauenswürdigen Quellen stammen. </font>[/QUOTE]Aber "sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received" sieht auch für viele unspezifisch sachkundige Leute unverdächtig aus. Eine sehr ähnliche Meldung bekommt man ja durchaus öfters, etwa wenn man sich in der Mail-Adresse vertippt hat. Ohne topaktuellen Virenwächter ist es dann passiert; im MYDOOM-Fall bemerkst Du das nicht einmal.

Gruß!
MyThinkTank

</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
Aber "sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received" sieht auch für viele unspezifisch sachkundige Leute unverdächtig aus. Eine sehr ähnliche Meldung bekommt man ja durchaus öfters, etwa wenn man sich in der Mail-Adresse vertippt hat.</font>[/QUOTE]Kommt eine tatsächliche Fehlermail denn mit Anhang?*blödfrag*

hyrican