eMail-Wurm mal wieder...
2004-01-27 19:34
BoTaS
Neuer Email-Wurm attackiert auch Tauschbörse
________________________________________
Worm MyDoom.A ist die offizielle Bezeichnung eines neuen Email-Wurms,
der gestern von den Antiviren-Spezialisten von H+BEDV identifiziert wurde
und die Betriebssysteme Windows 9x, NT, 2000 und XP attackiert. Anders als
seine Vorgänger Mimail, Sober, Bagle.A verbreitet sich dieser Schädling
jedoch nicht nur über den Email-Versand, sondern hat es auch auf die
bekannte Internet-Tauschbörse KaZaA abgesehen. Die Schadensroutine des
Wurms plant für den 1. Februar 2004 eine D.o.S. (Denial of Service)-
Attacke auf die Internetserver "sco.com" des US-amerikanischen
Unix-Plattformanbieters SCO Group. Die seit heute Nacht, 00:11 Uhr,
verfügbare AntiVir(R) VDF-Version 6.23.00.47 entfernt den Wurm.
Wie seine Vorgänger Mimail, Sober oder Bagle.A verbreitet sich
auch MyDoom.A über vermeintlich Vertrauen erweckende Email-Betreffs
und -Inhalte. Ein typisches "Subject" ist beipielsweise "Server
Report" mit der Nachricht "Mail transaction failed. Partial message
is available." Als Attachment ist die vermeintlich teilweise
vorhandene Nachricht angehängt, die sich beim Öffnen dann aber als
MyDoom.A entpuppt.
Nach dem Ausführen öffnet der Wurm das originale Windows Notepad
und zeigt die von ihm erstellte Datei "message." an. Er durchsucht
sämtliche Dateien mit den Endungen wap, adp, tbb, dbx, asp, php, fht,
htm und txt nach Email-Adressen und sendet an die gefundenen Adressen
eine Nachricht mit der "message."-Datei im Anhang.
Des weiteren erstellt der Wurm einen Eintrag in der Windows
Registry, dem Herzstück des Betriebssystems, kopiert sich als
Taskmon.exe (Windows Task-Monitor) in das Systemverzeichnis von
Windows und in das von KaZaA standardmäßig vorgeschlagene temporäre
Windows-Verzeichnis "My Shared Folder". Von dort aus verbreitet er
sich über die Tauschbörse.
Tipps für Anwender zum selbstständigen Entfernen des Wurms stehen
im H+BEDV Virenlexikon unter http://www.antivir.de/vireninfo/mydoom.htm
zur Verfügung. (Quelle: H+BEDV/VLF)
Falls es jemand noch nicht weiß, sich aber trotzdem dafür interressiert.
P.S.: Hatte Linus nicht extra gesagt, das sowas Sch…. ist?
________________________________________
Worm MyDoom.A ist die offizielle Bezeichnung eines neuen Email-Wurms,
der gestern von den Antiviren-Spezialisten von H+BEDV identifiziert wurde
und die Betriebssysteme Windows 9x, NT, 2000 und XP attackiert. Anders als
seine Vorgänger Mimail, Sober, Bagle.A verbreitet sich dieser Schädling
jedoch nicht nur über den Email-Versand, sondern hat es auch auf die
bekannte Internet-Tauschbörse KaZaA abgesehen. Die Schadensroutine des
Wurms plant für den 1. Februar 2004 eine D.o.S. (Denial of Service)-
Attacke auf die Internetserver "sco.com" des US-amerikanischen
Unix-Plattformanbieters SCO Group. Die seit heute Nacht, 00:11 Uhr,
verfügbare AntiVir(R) VDF-Version 6.23.00.47 entfernt den Wurm.
Wie seine Vorgänger Mimail, Sober oder Bagle.A verbreitet sich
auch MyDoom.A über vermeintlich Vertrauen erweckende Email-Betreffs
und -Inhalte. Ein typisches "Subject" ist beipielsweise "Server
Report" mit der Nachricht "Mail transaction failed. Partial message
is available." Als Attachment ist die vermeintlich teilweise
vorhandene Nachricht angehängt, die sich beim Öffnen dann aber als
MyDoom.A entpuppt.
Nach dem Ausführen öffnet der Wurm das originale Windows Notepad
und zeigt die von ihm erstellte Datei "message." an. Er durchsucht
sämtliche Dateien mit den Endungen wap, adp, tbb, dbx, asp, php, fht,
htm und txt nach Email-Adressen und sendet an die gefundenen Adressen
eine Nachricht mit der "message."-Datei im Anhang.
Des weiteren erstellt der Wurm einen Eintrag in der Windows
Registry, dem Herzstück des Betriebssystems, kopiert sich als
Taskmon.exe (Windows Task-Monitor) in das Systemverzeichnis von
Windows und in das von KaZaA standardmäßig vorgeschlagene temporäre
Windows-Verzeichnis "My Shared Folder". Von dort aus verbreitet er
sich über die Tauschbörse.
Tipps für Anwender zum selbstständigen Entfernen des Wurms stehen
im H+BEDV Virenlexikon unter http://www.antivir.de/vireninfo/mydoom.htm
zur Verfügung. (Quelle: H+BEDV/VLF)
Falls es jemand noch nicht weiß, sich aber trotzdem dafür interressiert.
P.S.: Hatte Linus nicht extra gesagt, das sowas Sch…. ist?