|
Dazu habe ich auch einige Infos bekommen:
leider ist mal wieder ein böser Virus unterwegs.
"Alarmstufe Rot" : W32/Mydoom.A.worm
Neuer Wurm "MyDoom.A" infiziert zahlreiche Firmennetzwerke in wenigen Stunden
- Aufgrund des Einsatzes so genannter "Social Engineering" Techniken erzielt der Wurm eine extrem hohe Verbreitungsrate.
- Entgegen dem aktuellen Trend nutzt MyDoom.A keine Microsoft Sicherheitslücke aus.
- Der Wurm installiert eine Datei auf dem infizierten System, welche den TCP Port 3127 öffnet und somit den Computer für den Fernzugriff freigibt.
- Ebenfalls nutzt "MyDoom.A" das File Sharing Tool KaZaa zur Verbreitung, indem er sich selbstständig in die Ordner mit den zum Tausch vorgesehenen Dateien kopiert.
- Panda Software hat bereits ein Update der Virensignaturdatei sowie ein Desinfizierungs- Tool zur Verfügung gestellt und rät allen Kunden Ihre Antivirenlösung zu aktualisieren und, falls vorhanden, die Firewall zu aktivieren.
- PQRemove, das kostenfreie Tool zur Desinfektion steht auf der Panda Software Web Site (http://www.pandasoftware.com/download/utilities/ ) zum Download bereit.
MADRID, 26. Januar 2004 - Panda Software registriert ein extrem gesteigertes Infektionsaufkommen aufgrund des neuen Wurmes und hat die "Alarmstufe ROT" für diese Bedrohung ausgegeben. Tausende von Computersystemen weltweit wurden bereits von dem neuen Wurm infiziert. Die Geschwindigkeit mit der sich der Wurm verbreitet, sowie der Schaden den er anrichtet machen den MyDoom.A Wurm zu einer ähnlichen Bedrohung wie Bugbear und Blaster, die letzten Sommer das Internet angriffen und weltweit PC Systeme und Netzwerke in hohem Maße infizierten.
W32/Mydoom.A versendet sich selbständig an alle Adressen, die er auf dem infizierten System vorfindet. Es wird davon ausgegangen, dass sich dieser Wurm, sowie leicht veränderte Versionen, im Laufe des Arbeitstages weiter verbreiten werden.
Der W32/Mydoom.A Wurm verbreitet sich im Anhang einer E-Mail und hat variable Betreffzeilen. Ebenso wie andere Viren, welche "Social Engineering" Techniken nutzen, versucht auch dieser Wurm dem ahnungslosen PC Nutzer zu suggerieren, dass er den Anhang unbedingt öffnen muss. Der Virus infiziert nicht nur den befallen Computer sondern sendet sich via E-Mail an alle, auf dem System vorhandenen, E-Mail Adressen.
Zusätzlich öffnet der Wurm den TCP Port 3127 und erlaubt so Unbefugten den direkten Zugriff auf den befallenen Computer. Somit erhalten "Hacker" direkten Zugriff auf das entsprechende System und diese können beispielsweise persönliche Daten stehlen, verändern oder löschen.
Des weiteren bereitet der Wurm eine Denial of Service Attacke auf die Web Seite www.sco.com am 1. Februar 2004 vor.
W32/Mydoom.A sucht nach E-Mail Adressen in Dokumenten mit den folgenden Endungen und versendet sich automatisch mit Hilfe seiner eigenen SMTP Engine: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt.
Der Inhalt der Nachricht variiert und kann folgendermaßen lauten:
Betreffzeile:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Body:
Mail Transaction Failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment
Name der angehangenen Datei:
document
readme
doc
text
file
data
test
message
body
Datei Erweiterung:
.pif
.scr
.exe
.cmd
.bat
.zip
Nachdem der Virus den Computer infiziert hat, sucht er nach dem peer2peer FileSharing Netzwerk Tool KaZaa. Sollte KaZaa auf dem befallen System installiert sein, kopiert sich der Wurm in den Ordner, in welchem sich die zum tausch angebotenen Dateien befinden. Der Dateiname kann u.a. folgendermaßen lauten:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Die Dateien haben eine der folgenden Dateierweiterungen: PIF, .SCR o .BAT
Panda Software bietet Updates sowie Tools zur Erkennung und Desinfizierung des W32/Mydoom.A Wurmes. Sollten Panda Software Kunden das automatische Update deaktiviert haben, so können Sie sich auf der Web Seite http://www.pandasoftware.com/ eine aktuelle Virensignaturdatei herunter laden.
Aufgrund der Möglichkeit einer Infizierung empfiehlt Panda Software allen Nutzern eine sofortige Aktualisierung der Antivirenlösung sowie eine vollständige Überprüfung des kompletten Systems. Gesteigerte Vorsicht im Umgang mit E-Mails sowie die Installation einer Firewall sind weitere Schutzmechanismen, die Panda Software allen Anwendern nahe legt.
Zusätzlich zur installierten Antivirenlösung können Anwender auch den Panda Software Online Virenscanner "Panda ActiveScan" zur Überprüfung und / oder Desinfektion Ihres PC Systems nutzen. Der kostenfreie, mehrfach ausgezeichnete Online Virenscanner steht auf der Web Seite www.panda-software.de ebenso wie das Desinfizierungs Tool PQRemove permanent allen Besuchern der Web Seite aktualisiert zur Verfügung
Detaillierte technische Informationen über den W32/Mydoom.A.Wurm sind in der Panda Software Virus Encyclopedia verfügbar.
|