Rubrik: Virenwarnung/Aktuelle Meldungen

Network Associates: Network Associates AVERT warnt vor "W32/Mydoom@MM"

"Mydoom" auf "High-Outbreak" aufgrund der starken Verbreitung - Wurm verbreitet sich blitzartig

(27.01.04) - AVERT (Anti Virus Emergency Response Team), das Virenforschungslabor von Network Associates (NYSE: NET), stuft den neu entdeckten Internet-Wurm "W32/Mydoom@MM" als besonders gefährlich ein. Der neue E-Mail-Wurm verfügt über eine eigene SMTP-Engine und versendet sich unter falschem Absendernamen an E-Mail-Adressen, die er auf dem infizierten System vorfindet.

Anzeige

Er durchsucht hier für Dateien mit folgenden Dateierweiterungen:

*       wab

*       adb

*       tbb

*       dbx

*       asp

*       php

*       sht

*       htm

*       txt

Außerdem kopiert sich "W32/Mydoom@MM" in den Ordner von KaZaA my shared Folder unter dem Namen activation_crack.scr:

*        c:/Program Files/KaZaA/My Shared Folder/activation_crack.scr

Aufgrund der starken Verbreitung wurde die Risikoeinschätzung des Wurms auf High-Outbreak angehoben und umgehend neue Signaturen bereitgestellt.

Symptome und erste Vorsichtsmaßnahmen

Sowohl Betreff-Zeile als auch der E-Mail-Text werden von diesem hochgefährlichen Wurm zufällig gewählt.

Der E-Mail-Text kann beispielsweise eine dieser drei Varianten enthalten:

*       The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

*       The message contains Unicode characters and has been sent as a binary attachment.

*       Mail transaction failed. Partial message is available

Wird die angehängte Datei ausgeführt, öffnet der Wurm das Textprogramm Notepad und zeigt einen wahllosen und sinnleeren Text an.

Der Virus versendet sich in unterschiedlichen Email-Anhängen die als .exe-, . pif-, .cmd-, .scr- oder in einem ZIP-Archiv auftreten können.

Das Attachement (E-Mailanhang) erscheint mit dem Icon einer Windows TXT-Datei (Notizblock)

Zudem öffnet der Wurm den DTCP-Port 3127, über den der Wurm weitere Befehle erhalten kann. Das Avert ist derzeit noch mit der Analyse dieser Funktionsweise beschäftigt.

Die neuesten Ergebnisse finden Sie unter: http://www.vil.nai.com.

Beseitigung des Wurms:

Aktuelle Informationen und Gegenmaßnahmen zu W32/Mydoom@MM können unter: http://vil.nai.com/vil/content/v_100983.htm abgerufen werden. Network Associates bietet zur Beseitigung des Wurm bereits ein neues DAT-File 4319 an, welches in das Verzeichnis des Viren-Scanners kopiert werden muss. (ma)

Network Associates

Ansprechpartnerin: Isabell Unseld

Tel. (089) 3707-1535, Fax (089) 3707-1199

E-Mail: isabell_unseld@nai.com

Web: www.nai.com

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken