|
Moin, es gibt mal wieder ein High-Level-Alert. Auf die schnelle habe ich mal folgendes aus mehreren Infos 'zusammengestrickt': **************************** W32.Novarg.A@mm is an encrypted mass-mailing worm that arrives as an attachment with either a .exe, .scr, .cmd, .zip, or .pif extension. It also performs a denial of service attack on sco.com and allows unauthorized remote access to the compromised host. Technical Description ---------------------- W32.Novarg.A@mm is an encrypted mass-mailing worm that arrives as a message attachment using either a .exe, .scr, .cmd, or .pif extension. These files may be included as an attached .zip archive. The message may have the following properties: Subject may include the following: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Message Body varies. The following is one example: The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment. The attachment may be one of the following filenames with a .exe, .scr, .zip, or .pif extension: document readme doc text file data test message body The icon used may be that of a text file. When the attachment is executed, Notepad will open displaying garbage characters from the file %Temp%\Message dropped by the worm. Next, it creates the following copy of itself: %System%\taskmon.exe The worm then creates the following registry entries so that it executes every time Windows starts: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon = %System%\taskmon.exe HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run\TaskMon = %System%\taskmon.exe The following registry keys are also created: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Com Dlg32\Version HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComD lg32\Version The worm also copies itself to the user's Kazaa downloads directory using one of the following filenames: winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004 with one of the following extensions: pif scr bat Additionally, the worm drops the following file: %System%\shimgapi.dll This file appears to function as a back door that allows remote access to a compromised host on TCP port 3127. Evidence suggests that this back door may also allow the compromised system to be used as a remote proxy. The worm also appears to be capable of performing a denial of service attack on the website sco.com. References - ---------- Symantec W32.Novarg.A@mm http://www.symantec.com/avcenter/ven...varg.a@mm.html McAfee W32/Mydoom@MM http://vil.nai.com/vil/content/v_100983.htm F-Secure Novarg http://www.europe.f-secure.com/v-descs/novarg.shtml Computer Associates Win32.Mydoom.A http://www3.ca.com/virusinfo/virus.aspx?ID=38102 Trend Micro WORM_MIMAIL.R http://www.trendmicro.com/vinfo/viru...=WORM_MIMAIL.R Norman W32/MyDoom.A@mm http://www.norman.com/virus_info/w32_mydoom_a_mm.shtml Sophos W32/MyDoom-A http://www.sophos.com/virusinfo/anal...32mydooma.html **************************** Die mir bekannten 'größeren' AV-Hersteller haben ihre Signaturen bereits aktualisiert, bzw. werden im Laufe des Tages nachziehen. Ein Update des Virenscanners ist also dringend angeraten.... tschööö, DerBilk Nachtrag: Die ersten Removal-Tools habe ich gerade entdeckt: Bitdefender und Stinger von McAfee Diese Liste erhebt natürlich keinen Anspruch auf Vollständigkeit... ;) [ 27. Januar 2004, 10:59: Beitrag editiert von: DerBilk ] |
Kleiner Nachtrag noch dazu (ich bin nämlich schon dabei den Virus von einem PC zu entfernen): Folgende DLL ist ebenfalls infiziert: The virus uses a DLL that it creates in the Windows System directory: %SysDir%\shimgapi.dll (4,096 bytes) This DLL is injected into the EXPLORER.EXE upon reboot via this registry key: HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll Wenn der Virus aktiv ist, konnte McAfee ihn nicht ohne Reboot löschen. Zusätzlich lag er bei dem PC (win2k) noch im Temporary Internet Files. |
Heise-Ticker aktuell: ""Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen [-] Der neue Wurm MyDoom/Novarg zieht weiter seine Kreise. Die Virenexperten von Messagelabs wollen innerhalb der ersten zwanzig Stunden nach dem Ausbruch 1,2 Millionen Exemplare abgefangen haben. Zum Vergleich: Der E-Mail-Provider Postini hat nach eigenen Angaben beim Ausbruch des Wurms Sobig.F am ersten Tag nur 1400 Exemplare registriert, den Höhepunkt erreichte der Wurm dort mit 3,5 Millionen Samples pro Tag. Hochgerechnet könnte MyDoom Sobig.F in der Verbreitung also locker schlagen. Mittlerweile nerven nicht nur die E-Mails des Wurmes selbst, wie schon bei Sobig wird das Postfach mit Benachrichtigungen zugemüllt, man hätte infizierte Mails verschickt. Auch scheinen einige Accounts schon das Speicherlimit erreicht zu haben und nehmen keine weiteren Mails mehr entgegen. Selbst unmoderierte Mailinglisten bleiben von MyDoom nicht verschont: Auf Full Disclosure erschienen bereits mehrere Wurm-Postings zuzüglich der Benachrichtigungsmails von Virenscannern. Dies könnte die Theorie untermauern, dass auch technisch orientierte Anwender auf den als Fehlermeldung getarnten Schädling hereinfallen. Allerdings kann auch die Fülle anderer Wurm-Mails daran schuld sein, was langsam zum Dauerzustand wird. Immer noch sind Sober.c, Dumaru.A, -.Y und .Z sowie Bagle und diverse andere Mimail-Varianten unterwegs. Wer sich da keinen Filter konfiguriert hat, kann schon mal den Überblick verlieren und ein Attachment aus Versehen öffnen."" http://www.heise.de/newsticker/data/dab-27.01.04-001/ Gruß! MyThinkTank |
Und das sagt/schreibt Panda: “Alarmstufe Rot” : W32/Mydoom.A.worm Neuer Wurm “MyDoom.A” infiziert zahlreiche Firmennetzwerke in wenigen Stunden - Aufgrund des Einsatzes so genannter „Social Engineering“ Techniken erzielt der Wurm eine extrem hohe Verbreitungsrate. - Entgegen dem aktuellen Trend nutzt MyDoom.A keine Microsoft Sicherheitslücke aus. - Der Wurm installiert eine Datei auf dem infizierten System, welche den TCP Port 3127 öffnet und somit den Computer für den Fernzugriff freigibt. - Ebenfalls nutzt “MyDoom.A” das File Sharing Tool KaZaa zur Verbreitung, indem er sich selbstständig in die Ordner mit den zum Tausch vorgesehenen Dateien kopiert. - Panda Software hat bereits ein Update der Virensignaturdatei sowie ein Desinfizierungs- Tool zur Verfügung gestellt und rät allen Kunden Ihre Antivirenlösung zu aktualisieren und, falls vorhanden, die Firewall zu aktivieren. - PQRemove, das kostenfreie Tool zur Desinfektion steht auf der Panda Software Web Site (http://www.pandasoftware.com/download/utilities/ ) zum Download bereit. MADRID, 26. Januar 2004 – Panda Software registriert ein extrem gesteigertes Infektionsaufkommen aufgrund des neuen Wurmes und hat die “Alarmstufe ROT” für diese Bedrohung ausgegeben. Tausende von Computersystemen weltweit wurden bereits von dem neuen Wurm infiziert. Die Geschwindigkeit mit der sich der Wurm verbreitet, sowie der Schaden den er anrichtet machen den MyDoom.A Wurm zu einer ähnlichen Bedrohung wie Bugbear und Blaster, die letzten Sommer das Internet angriffen und weltweit PC Systeme und Netzwerke in hohem Maße infizierten. W32/Mydoom.A versendet sich selbständig an alle Adressen, die er auf dem infizierten System vorfindet. Es wird davon ausgegangen, dass sich dieser Wurm, sowie leicht veränderte Versionen, im Laufe des Arbeitstages weiter verbreiten werden. Der W32/Mydoom.A Wurm verbreitet sich im Anhang einer E-Mail und hat variable Betreffzeilen. Ebenso wie andere Viren, welche “Social Engineering” Techniken nutzen, versucht auch dieser Wurm dem ahnungslosen PC Nutzer zu suggerieren, dass er den Anhang unbedingt öffnen muss. Der Virus infiziert nicht nur den befallen Computer sondern sendet sich via E-Mail an alle, auf dem System vorhandenen, E-Mail Adressen. Zusätzlich öffnet der Wurm den TCP Port 3127 und erlaubt so Unbefugten den direkten Zugriff auf den befallenen Computer. Somit erhalten „Hacker“ direkten Zugriff auf das entsprechende System und diese können beispielsweise persönliche Daten stehlen, verändern oder löschen. Des weiteren bereitet der Wurm eine Denial of Service Attacke auf die Web Seite www.sco.com am 1. Februar 2004 vor. W32/Mydoom.A sucht nach E-Mail Adressen in Dokumenten mit den folgenden Endungen und versendet sich automatisch mit Hilfe seiner eigenen SMTP Engine: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt. Der Inhalt der Nachricht variiert und kann folgendermaßen lauten: Betreffzeile: test hi hello Mail Delivery System Mail Transaction Failed Server Report Status Error Body: Mail Transaction Failed. Partial message is available. The message contains Unicode characters and has been sent as a binary attachment. The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment Name der angehangenen Datei: document readme doc text file data test message body Datei Erweiterung: .pif .scr .exe .cmd .bat .zip Nachdem der Virus den Computer infiziert hat, sucht er nach dem peer2peer FileSharing Netzwerk Tool KaZaa. Sollte KaZaa auf dem befallen System installiert sein, kopiert sich der Wurm in den Ordner, in welchem sich die zum tausch angebotenen Dateien befinden. Der Dateiname kann u.a. folgendermaßen lauten: winamp5 icq2004-final activation_crack strip-girl-2.0bdcom_patches rootkitXP office_crack nuke2004 Die Dateien haben eine der folgenden Dateierweiterungen: PIF, .SCR o .BAT Panda Software bietet Updates sowie Tools zur Erkennung und Desinfizierung des W32/Mydoom.A Wurmes. Sollten Panda Software Kunden das automatische Update deaktiviert haben, so können Sie sich auf der Web Seite http://www.pandasoftware.com/ eine aktuelle Virensignaturdatei herunter laden. Aufgrund der Möglichkeit einer Infizierung empfiehlt Panda Software allen Nutzern eine sofortige Aktualisierung der Antivirenlösung sowie eine vollständige Überprüfung des kompletten Systems. Gesteigerte Vorsicht im Umgang mit E-Mails sowie die Installation einer Firewall sind weitere Schutzmechanismen, die Panda Software allen Anwendern nahe legt. Zusätzlich zur installierten Antivirenlösung können Anwender auch den Panda Software Online Virenscanner “Panda ActiveScan” zur Überprüfung und / oder Desinfektion Ihres PC Systems nutzen. Der kostenfreie, mehrfach ausgezeichnete Online Virenscanner steht auf der Web Seite www.panda-software.de ebenso wie das Desinfizierungs Tool PQRemove permanent allen Besuchern der Web Seite aktualisiert zur Verfügung Detaillierte technische Informationen über den W32/Mydoom.A.Wurm sind in der Panda Software Virus Encyclopedia verfügbar. ============== DoS am 1.Februar auf SCO, hmm? Nein, ist trotzdem schlecht |
</font><blockquote>Zitat:</font><hr />Name der angehangenen Datei: document readme doc text file data test message body</font>[/QUOTE]Das schreiben mehr oder weniger alle AV-Seiten und ich habe es ja in meinem 'zusammengetrickten' Anfangspost auch so beschrieben. Aber in der Realität habe ich heute mehrere Male gesehen, dass die Namen genausogut aus zufällig zusammengewürfelten Buchstaben bestehen können. Dies nur, dass nicht der Eindruck entsteht, die Liste sei ausschließlich und man könne sich darauf verlassen... Edit: Ich sehe grad, einige Beschreibungen (Links siehe oben) wurden diesbezüglich im Laufe des Tages 'nachgebessert' tschööö, DerBilk |
Ich hasse High-Level-Alerts. [img]graemlins/pfui.gif[/img] [img]graemlins/pfui.gif[/img] ;) :cool: |
"Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen" Ist das vielleicht ein Motiv der Virenprogrammierer? Bei mir kam etwas, worauf die Beschreibungen einigermaßen passen, heute viermal an (was für meine Verhältnisse viel ist). Habe es auf dem Server gelöscht. Die übereinstimmende Größe von 31 kb könnte ein Erkennungsmerkmal sein. Martin |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: "Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen" Ist das vielleicht ein Motiv der Virenprogrammierer? </font>[/QUOTE]Warum nicht? :( |
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: Warum nicht? :( </font>[/QUOTE]So hab ich das nicht gemeint, ich meinte eher: Sollte Heise anstatt Rekorde lobzupreisen nicht lieber behaupten, diese Schweinepriester hätten keine Eier? Martin |
</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH: </font><blockquote>Zitat:</font><hr />Original erstellt von Shadow: Warum nicht? :( </font>[/QUOTE]So hab ich das nicht gemeint, ich meinte eher: Sollte Heise anstatt Rekorde lobzupreisen nicht lieber behaupten, diese Schweinepriester hätten keine Eier? </font>[/QUOTE]Und wenn es Priesterinen/Programiererinnen sind? :rolleyes: Ja, hatte Dich flasch verstanden, und ich bin mir sicher(!), sollche Berichte über (mögliche) neue Rekorde stacheln ein paar kranke Gehirne an, tatsächlich zu versuchen einen neuen Rekord aufzustellen. :mad: Da der Homo-computeris-aldii an sich recht lernresistent ist, werden sie es auch schaffen [img]graemlins/koch.gif[/img] //irgendjemand mit Lateinkenntnis darf mich korregieren, bei Asterix gab es weder Computer noch Aldi :D sol lucet omnibus |
Hallo, ist Euch schon aufgefallen, daß der neue Wurm es auch auf TheBat!-User abgesehen hat? Er sucht in TBB-Dateien (TheBat-eMailarchive) nach Adressen und ist in ein ZIP gepackt, damit er nicht an der Suffix-Sperre von TheBat! hängenbleibt.... Hendrik |
Neue Variante Mydoom.b im Umlauf! Link: http://www.viruslist.com/eng/viruslist.html?id=850737 </font><blockquote>Zitat:</font><hr /> I-Worm.Mydoom.b Mydoom.b is a modification of Mydoom.a that spreads via the Internet in the form of files attached to infected messages and via the Kazaa file-sharing network. The worm itself is a Windows PE EXE file of 29184 bytes, compressed using UPX and PE-Patch. The decompressed file is approximately 49KB in size. The worm is activated only if the user opens the archive and launches the infected file by double-clicking on the attachment. The worm then installs itself in the system and starts the replication process. The worm contains a backdoor function, and is also programmed to carry out DoS attacks on the sites www.sco.com and www.microsoft.com. Part of the body of the worm is encrypted. The unpacked file contains the following text: (sync-1.01; andy; I'm just doing my job, nothing personal, sorry) Installation Following launch, the worm opens Windows Notepad, showing a random selection of symbols: During installation, the worm copies itself under the name explorer.exe to the Windows system directory, and registers this file in the system registry auto-run key: [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "TaskMon" = "%System%\explorer.exe" The worm creates the file ctfmon.dll,/i> in the Windows system directory which is a backdoor component (a proxy server) and also registers this in the system registry: [HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32] "Apartment" = "%SysDir%\ctfmon.dll" Ctfmon.dll will therefore launch as a procedure linked to Explorer.exe. The worm also creates a file called Body,/i> in the temporary directory (usually in %windir%\temp). This file contains a random selection of symbols. So that the worm can identify itself in the system, it creates several additional keys in the system registry: [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version] [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version] While running it also creates a unique identifier sync-v1.01__ipcmtx0. Mydoom.b replaces the standard file 'hosts' in the Windows directory into with its own version (under the same name). This file will now prevent user access to the following domains: ad.doubleclick.net ad.fastclick.net ads.fastclick.net ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net banner.fastclick.net banners.fastclick.net ca.com click.atdmt.com clicks.atdmt.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net fastclick.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com media.fastclick.net msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.fastclick.net www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.ru www3.ca.com Mailing letters Emails are sent in the same way that Mydoom.a uses except for the following changes. The body text is chosen at random from the following: The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received The message contains Unicode characters and has been sent asa binary attachment. The message contains MIME-encoded graphics and has been sent as a binary attachment Mail transaction failed. Partial message is available. Mydoom.b might also send emails with random strings of characters in the subject, body and attachment name. Propagation via P2P The worm checks for the presence of a Kazaa client on the computer and copies itself to the file-sharing directory under the following names: NessusScan_pro attackXP-1.26 winamp5 MS04-01_hotfix zapSetup_40_148 BlackIce_Firewall_Enterpriseactivation_crack xsharez_scanner icq2004-final with the following extensions: bat exe scr pif </font>[/QUOTE]MyThinkTank |
Hallo! Ich kann überhaupt nicht nachvollziehen, wieso wegen solchen Mailwürmern nur immer so ein Aufhebens gemacht wird und schon die Medien Tag ein/Tag aus davon berichten. Damit meine ich jetzt nicht solche Warnungen in Boards, da diese oft dazu nützlich sind, bei Befall den Schädling zu entfernen. Aber ich meine würde man jedem Wurm soclhe Beachtung schenken, müssten die Medien ständig irgendwelche Virenticker vorlesen. Ich persönlich höre schon garkeine Nachrichten mehr, weil man ständig nur irgendwelche Virenwarnungen bekommt die einem eh egal sind, wenn man ausschließlich Sachen öffnet, die von vertrauenswürdigen Quellen stammen. Ich weis das wird ihr ständig propagiert, aber wieso sind mehrere millionen Menschen der Welt einfach unfähig mails, die sie nicht kennen ungelesen zu löschen? ciao btw: Vielleicht isses aber auch nur Absicht, weil die alle was gegen SCO haben und bewusst den Wurm installieren... :D |
</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: wenn man ausschließlich Sachen öffnet, die von vertrauenswürdigen Quellen stammen. </font>[/QUOTE]Aber "sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received" sieht auch für viele unspezifisch sachkundige Leute unverdächtig aus. Eine sehr ähnliche Meldung bekommt man ja durchaus öfters, etwa wenn man sich in der Mail-Adresse vertippt hat. Ohne topaktuellen Virenwächter ist es dann passiert; im MYDOOM-Fall bemerkst Du das nicht einmal. Gruß! MyThinkTank |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: Aber "sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received" sieht auch für viele unspezifisch sachkundige Leute unverdächtig aus. Eine sehr ähnliche Meldung bekommt man ja durchaus öfters, etwa wenn man sich in der Mail-Adresse vertippt hat.</font>[/QUOTE]Kommt eine tatsächliche Fehlermail denn mit Anhang?*blödfrag* hyrican |
Ja, das kann vorkommen, z. b. wenn es ursprünglich eine html-Mail war. - Dann muss man eben ganz genau hinschauen! MTT |
Oha, wieder was gelernt. Merci. Bei Mails ( und Links) schau ich immer ganz genau hin :eek: Brain 1.0 wird schließlich auch täglich geupdated genau wie das Antivirenprogramm. hyrican |
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank: </font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred: wenn man ausschließlich Sachen öffnet, die von vertrauenswürdigen Quellen stammen. </font>[/QUOTE]Aber "sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received" sieht auch für viele unspezifisch sachkundige Leute unverdächtig aus. Eine sehr ähnliche Meldung bekommt man ja durchaus öfters, etwa wenn man sich in der Mail-Adresse vertippt hat. Ohne topaktuellen Virenwächter ist es dann passiert; im MYDOOM-Fall bemerkst Du das nicht einmal.</font>[/QUOTE]Wieso? nur weil ich ein Mail öffnen wird doch der Anhang noch lange nicht ausgeführt. Nachtrag: Vorausgesetzt man macht kein HTML-Mail unbedacht auf/falsch auf. Schaut man sich ein HTML-Mail aber in Plaintext an sieht man ja was drin ist. Ein Mailer-Daemon ist immer Plain-Text also wenn HTML => Fake + Gefahr, außerdem siehe unten /Nachtrag Ende Und außer ich bin selber ein Spammer werde ich es doch gerade noch schaffen zu wissen wem ich ein Mail gesendet habe. Habe ich mich vertippt muß die Mailadresse doch ähnlich sein, wie eine die ich in den letzten Stunden angeschrieben habe. [ 29. Januar 2004, 08:00: Beitrag editiert von: Shadow ] |
Mal eine Frage an die Betroffenen - hat das schon mal jemand gehabt, dass er die shimgapi.dll nicht löschen konnte? Sie wird vom Virus mitgebracht und steht auch in der Registry drin, löschen konnte ich sie im ersten Gang nicht, da sie in Verwendung war. Ich habe sie aus der Registry gelöscht (über die Suchfunktion aufgespürt damit ich ja nichts vergesse) und neu gestartet und siehe da - es war erneut nicht möglich. Hat das schon mal jemand gehabt? Gruss Jessy |
War nach dem Neustart der Registryeintrag nicht mehr da? Theoretisch ist es ja möglich, dass irgendein laufender Prozess den Eintrag wieder eingefügt hat. ciao |
Information "Mydoom.b- Wichtig Kaspersky schrieb am 28.01.2004 </font><blockquote>Zitat:</font><hr />The worm is activated only if the user opens the archive and launches the infected file by double-clicking on the attachment. The worm then installs itself in the system and starts the replication process.</font>[/QUOTE]F-Secure schreibt heute: </font><blockquote>Zitat:</font><hr />The worm has the ability of sending itself to already infected computers. It will do so by first finding them through a network scan, where IP addresses will be randomly forged (skipping some invalid ranges). Then a connection attempt is made to port 3127 (opened by previous variant's backdoor), if the machine is found infected then the worm transfers itself and will be executed immediately, thereby updating the infected computers to the new version without the need for the user to receive the worm through e-mail. Additionally the worm will request the infected computer's hostname through gethostbyname(), resolve its IP and scan for other infected computers in the same range.</font>[/QUOTE]Link: http://www.europe.f-secure.com/v-descs/mydoom_b.shtml Gruß! MyThinkTank |
Bezüglich Mydoom geistern nun solche Mails durch das Web: Dear Customer! At 0 : 34 PST on Wednesday-January 28, 2004, Microsoft began investigating reports of a variant of a new virus "Mydoom", known as Mydoom.A. This worm reportedly denies access to some websites, including any Microsoft.com websites. The virus is noticed to entice electronic mail recipients into opening a message that has a file attachment. If the file that attached is opened, virus installs malicious program on the computer user's system and sends itself to some contacts in the user's address book. Please download the latest patch available from Microsoft.com website or download this digitally signed attachment. messageCA761668952089 Support Center. SHIRLEY PALLAZZO PALLAZZO@microsoft.com |
Hmmmm, ja und??? Was is damit??? |
@peso </font><blockquote>Zitat:</font><hr />or download this digitally signed attachment</font>[/QUOTE]Na, klingelts nun ...? :eek: ;) Gruß! MyThinkTank |
Voll drollig, was die Jungs sich immer wieder einfallen lassen... [img]graemlins/lach.gif[/img] |
Allerdings kam dieses Ding ohne Anlage. Heute erhielt ich eine Anlage mit dazu. Bin gerade beim Prüfen. |
Ok, die Anlage in der Datei ist der TrojanDropper.Win32.Small. Kaspersky wird ihm ab dem nächsten Update erkennen. Wusste doch, dass sowas nicht sein kann. [img]graemlins/koch.gif[/img] |
Hallo zusammen Ich hatte "mydoom" vor ca. 2,5 Wochen erhalten und den Anhang nicht ausgeführt. Stattdessen habe ich ihn testweise mit "Anhang lösen" (Lotus Notes Mail) auf meinem PC abgelegt, worauf McAfee (lokal auf dem PC installiert) promt Alarm schlug. Soweit so gut. Nun möchte ich sicher gehen, dass Mydoom bei mir nicht drauf ist, und dass keine Hintertüre geöffnet wurde. Der Virenscan mit McAfee (neueste Dat-Files) bescheinigte mir immer einen virenfreien PC. Trotzdem hat unser Notes-Server angebliche Mails von mir (infiziert mit Mydoom) abgefangen (ich erhielt entsprechende Meldungen, ein Bsp. am Schluss dieses Postings). Die Datei SHIMGAPI.DLL exisitert nicht in meinem Dateisystem. Hingegen ist der Eintrag SHIMGAPI.DLL zweimal in der Registry vorhanden (unter Internet Explorer\Explorer Bars). - Ist mein PC nun wirklich virenfrei? - Bedeutet der Eintrag SHIMGAPI.DLL in der Registry, dass der Virus zumindest mal drauf war (kann ich mir aber überhaupt nicht vorstellen, denn das alleinige Abspeichern des Attachments ist ja nicht gleichbedeutend mit dem Ausführen des Attachments). - Und was ist von den Mydoom-verseuchten Mails zu halten, die ich selber abgesandt haben soll? Hat jemand einen Rat? Viele Grüsse Dieter Hier noch das Bsp. einer Info, die ich von unserem Mail-Server erhalten habe: Incident Information:- Originator: (da stand meine Mail-Adresse...) Recipients: jack@gr.hp.com Subject: hi Date/Time: 05.02.2004 15:02:57 The file attachment document.zip you sent to the recipients listed above was infected with the W32/Mydoom.a@MM virus and was successfully cleaned. |
hier gibt es eine anleitung (einige tastatureingaben/ausführen) wie du prüfen kannst ob auf deinem system etwas von mydoom's varianten ist. eventuell weiter nach unten scrollen bis: Wie Sie feststellen, ob ihr Computer von Mydoom.A, Mydoom.B oder Mydoom.C infiziert ist bye tony |
</font><blockquote>Zitat:</font><hr />Original erstellt von DeinVater: Hey, lust an nem wirklich witzigen und spannendem onlinegame mitzumachn? Es ist wirklich einfach und ziemlich geil hier der link: cyberthug. </font>[/QUOTE]nanu...merkwürdig, was soll das posting in diesem thread... INFO: http://www.cyberthug.de/main.php Spielprinzip Der Sinn dieses Spiels ist es, möglichst viele User virtuell zu überfallen, indem man ihnen einen Link zuschickt, bei dessen Aufruf das "Guthaben" des Diebes erhöht und der User als bestohlen gemeldet wird. Ziel ist es, in die Top 10 der Meisterdiebe zu kommen. Sehr Wichtig: Bitte hört auf in öffentlichen Foren, Chats oder Gästebüchern zu spammen. Das gibt nur unnötigen Ärger, den keiner von uns gebrauchen kann. [ 16. Februar 2004, 23:36: Beitrag editiert von: tony manero ] |
Hi Tony Herzlichen Dank für Deinen Tipp. Das Tool von Microsoft gab die Meldung "No infection detected" zurück. Das ist ja immerhin schon mal beruhigend. Sonderbar bleiben die Mails, die offenbar unter meinem Namen rausgegangen sind. Aber ich will da nun nicht mehr weiter grübeln... Nochmals herzlichen Dank und Gruss Dieter |
Ohje, Mydoom.F ist heute gesichtet worden: http://www.antivir.de/vireninfo/mydoom_f.htm |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board