Ein neuer Mail-Wurm, der Windows-Rechner befällt, verbreitet sich gegenwärtig rasant im Internet. Die Novarg oder Mydoom genannte Variante des Mimail-Wurms weist einige Besonderheiten auf -- unter anderem versucht er wie einige Mimail-Varianten, eine DoS-Attacke zu starten, dieses Mal aber auf die Server der SCO Group. Für die Verbreitung scheint förderlich zu sein, dass sich der Wurm in Mails versteckt, die nicht mit den üblichen Angeboten etwa für Filme, private Photos oder Pornobildchen daherkommen. Vielmehr erwecken die Mails mit Subjects wie "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status" oder "Error" den Eindruck, technische Verwaltungsmails zu sein. Im Body der Mail finden sich dann Texte wie "Mail transaction failed. Partial message is available", "The message contains Unicode characters and has been sent as a binary attachment" oder "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment", die den Eindruck noch stützen sollen. Anscheinend fallen daher auch einige eher technisch orientierte Anwender, die mit den üblichen Wurm-Mails eigentlich umgehen können sollten, auf die neue Variante herein. Der Wurm verbreitet sich von infizierten Rechner aus selbsttätig per E-Mail an Adressen, die er auf dem lokalen Rechner findet. Der Schädling verankert sich in der Registry, sodass er beim Start von Windows aktiviert wird und kopiert sich zudem unter verschiedenen Dateinamen in das Download-Verzeichnis der Tauschbörsen-Software von Kazaa.
http://www.heise.de/newsticker/data/jk-27.01.04-000/
http://www.heise.de/newsticker/data/dab-27.01.04-001/

hyrican

kann man denn was dagegen tun, ausser halt in den mails aufzupassen und sein gehirn einzuschalten?

Einen sicheren Mailclienten verwenden der das ausführen potentiell gefährlicher Inhalte verhindert und einen fähigen Virenscanner verwenden. Das wichtigste ist und bleibt das eingeschaltete Gehirn. Gegen die Mails an sich kannst du außer den Spamfilter konfigurieren nichts machen.

hyrican

was ist denn der "sinn" dieses wurms? er verbreitet sich okay...ein trojaner?

Wer lesen kann ist klar im Vorteil*grins*:
"unter anderem versucht er wie einige Mimail-Varianten, eine DoS-Attacke zu starten, dieses Mal aber auf die Server der SCO Group."

hyrican

sorry aber den finde ich nett
der gefaellt mir, wird aenlich wie blaster n freund von mir, sorry

del/FTF

Blaster is besser denn der hat kein Verfallsdatum und ist unabhängig von installierten Programmen*grins*. Trotzdem wird Mydoom vermutlich oft durch die Foren geistern.

hyrican

ich entferne immer ungern den kleinen blaster, haette die nuss den code richtig gemacht, dann wuerden die kisten net runterfahren. sorry, aber ich finde den witzig und er richtig auf dem rechner ja keinen schaden an.
und der kleine hier wird sich auch verbreiten, was normal ist...

del/FTF

hier noch was ausführliches dazu:Computer-Konzern setzt Kopfgeld auf Virenautor aus

Verstopfte Mailboxen, lahmgelegte Rechner: Der Internet-Wurm MyDoom, schnellstes Virus aller Zeiten, jagt nahezu ungehindert durchs Netz und plagt Millionen PC-Nutzer. SPIEGEL ONLINE erklärt, wie es zu erkennen ist und was es im Rechner anrichtet.



DPA
Postflut: MyDoom verbreitet sich schneller als Sobig und könnte zum bisher "erfolgreichsten" Virus in der Geschichte der PC-Viren werden
Einen ersten Rekord hat MyDoom schon knapp zwei Tage nach Beginn seiner Verbreitung gebrochen: Der Wurm, sagt das IT-Sicherheitsunternehmen MessageLabs, sei das bisher schnellste PC-Virus, das je durchs Internet gefegt ist. Millionen von PC-Nutzern können das nur bestätigen: Was derzeit so ins Postfach flutet, ist fast ohne Beispiel. Neben der Virenmail selbst flitzen Warnhinweise und Postmaster-Nachrichten ("Empfang abgelehnt wegen Virus u.ä.) durch die Leitungen, bis der Mail-Server in die Knie geht.
Schon als Erreger öffentlichen Ärgernisses ist MyDoom also außerordentlich "erfolgreich", doch offenbar gelingt ihm nicht nur die Selbstverbreitung, sondern auch, seine schädliche Ladung ("Payload") los zu werden: MyDoom hinterlässt ein Trojaner-Programm auf befallenen Rechnern, das offenbar bereits dazu benutzt wird, eine Distributed Denial-of-Service-Attacke (DDoS) zu starten.

Ziel dieser Attacke, bei der die infizierten Rechner massenhaft auf eine Internetadresse zugreifen, ist die die SCO Group. Die machte in den letzten Monaten Schlagzeilen mit dem Versuch, vor Gericht aus einer angeblichen Patentverletzung Lizenzgebühren aus Linux-Distributoren herauszuschlagen. Am Mittwoch lobte SCO ein Kopfgeld von bis zu 250.000 Dollar für sachdienliche Hinweise aus, die zur Ergreifung des Virenautors führen.

Der, vermuten Virenexperten, dürfte im amerikanischen Uni-Umfeld zu suchen sein. Als Indiz dafür wird gewertet, dass MyDoom sich nicht an E-Mail-Adressen verbreitet, die mit dem US-Universitäten vorbehaltenen Kürzel ".edu" enden.

MyDoom verbreitet sich nicht nur per Mail, sondern auch über die P2P-Börse KaZaA - und das mit bisher beispiellosen Erfolg. MyDoom ist nach Auskunft von Virenschutz-Unternehmen inzwischen in 168 Ländern verbreitet, was man auch anders sagen könnte: Wo es eine Internet-Infrastruktur gibt, ist MyDoom inzwischen auch angekommen. Am stärksten betroffen sind jedoch nach wie vor die englischsprachigen Länder.

So erkennt man MyDoom

MyDoom erreicht den Rechner in der Regel per Mail, die Nachrichten tragen wechselnde Betreffzeilen. Dazu gehören folgende Header:


Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi
Der Text von MyDoom verweist auf eine angeblich nicht erfolgreiche Übermittlung der eigentlichen Nachricht und verweist so auf den Dateianhang, der dann angeblich die eigentliche Nachricht enthalten soll:


"The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment."
"The message contains Unicode characters and has been sent as a binary attachment."
"Mail transaction failed. Partial message is available."


MyDoom-Messages: Das Gros der Mail-Müll-Flut machen automatisch generierte Warnmeldungen über verseuchte Dateien aus
Dieser Dateianhang enthält das eigentliche Virus, dass erst durch ein Anklicken durch den Mailempfänger aktiviert wird. Der Anhang enthält eine Datei mit zahlreichen, wechselnden Namen und Dateiendungen (doc.bat, document.zip, message.zip, readme.zip, text.pif, hello.cmd, body.scr, test.htm.pif, data.txt.exe, file.scr).
Vor dem Öffnen dieser File-Attachments wird dringend gewarnt. IT-Sicherheitsunternehmen raten dazu, vorhandene Virenschutz-Programme auf den neuesten Stand zu bringen (siehe Linkverzeichnis). Wer über kein Virenschutzprogramm verfügt, sollte sich schnellstens eines zulegen. Für Privatanwender kostenlos ist das Programm AntiVir. Zahlreiche Unternehmen bieten mittlerweile zudem Programme an, mit denen sich befallene Rechner "säubern" lassen.