[HaBo]

maedmexx · 26.01.04, 13:38

In den täglichen Viren-Statistiken der Virenexperten von Messagelabs hat es ein neuer Wurm auf Platz sieben geschafft. W32/Dumaru.Y heißt das Untier und leistet seinem Urvater Dumaru.A Gesellschaft, der sich seit Monaten auf Platz eins breit macht.

Die neue Variante versendet sich ebenfalls selbst per Mail von infizierten PCs. Besonders trickreich ist er nicht, er kommt immer mit dem selben englischen Text daher:

Zitat:

From: "Elene"
Subject: Important information for you. Read it immediately !
Message:
Hi !
Here is my photo, that you asked for yesterday.
Attachment: myphoto.zip

Fehlt der Nachrichtentext, so handelt es sich um eine kleine Variante namens Dumura.Z, die aber einige Hersteller von Antiviren-Software, beispielsweise NAI, in die Beschreibung der Y-Version übernommen haben.

Im Attachment steckt wie immer statt der heiß ersehnten Bilder der Wurm. Versucht man das Bild "myphoto.jpg .exe" (56 Leerzeichen zwischen jpg und .exe) zu öffnen, ist es passiert: Der Rechner ist befallen, sofern nicht der Virenscanner mit den von den Herstellern bereits aktualisierten Signaturen Alarm schlägt. Auf infizierten Systemen installiert der Wurm eine Backdoor, startet einen Keylogger und versucht Informationen auszuspähen und per Mail zu versenden.

Siehe dazu auch:

- Wurmbschreibung von Symantec

[Quelle: http://www.heise.de/security/news/meldung/43996 ]

Sven · 26.01.04, 16:57

Danke für die Warnung, nur öffne ich gottseidank generell nicht solche POST

mfg
Sven

Anzeige

- Anzeige -

Chris · 27.01.04, 11:35

Weiss man was für ein Icon diese .exe hat?

28.01.04, 16:53

@all

Hier mal noch ein aktueller Nachtrag von heise.de zum Thema: "wie entferne ich
den Wurm wieder?". Weiterhin stellt SCO, die durch einen dDoS betroffen sind,
welcher der Wurm ab dem 1.Februar verursacht, die doch recht abenteuerliche
Vermutung auf, das der Wurm ein Komplott der Open-Source-Linux-Fans sei, hier.

[1] Quelle MyDoom-Entfernung, heise.de (deutsch)
[2] Quelle SCO Vermutungen zum Urheber des Wurms, heise.de (deutsch)

MfG Rushjo

29.01.04, 15:53

@all

Hier nochmals ein Update zur aktuellen Lage mit dem MyDoom-Wurm.
Wie heise.de berichtet ist der Wurm nun in einer neuen Variante erschienen, die
als Ziel Ihres dDoS nicht mehr SCO hat, sondern Microsoft-Update-Server. Ausser-
dem besitzt er als "neues Feature" die Eigenschaft durch Änderung der lokalen
hosts-Datei den Aufruf von Seiten der Antiviren-Hersteller zu verhindern. Auch der
Name des Wurmes im Taskmanager hat sich geändert von "taskmon.exe" zu "explorer.exe".
Diese "explorer.exe" liegt aber nicht in dem Pfad der Originial-Explorer.exe, sondern
unter /Windows/system. Die ersten Antiviren-Software-Hersteller haben bereits
neue, angepasste Wurm-Entfernungstools herausgebracht, wie z.B. Stinger
von Network Associates.

[1] Quelle, heise.de (deutsch)

MfG Rushjo

10.02.04, 11:48

@all

Nochmal wieder ein Update zur Lage an der Würmer/Viren-Front. Wie heise.de heute
berichtet, warnen die grossen AntiViren-Softhersteller ( hier ) vor einem neuen Schädling
namens "doomjuice". Dieser verbreitet sich über die durch "myDoom.A" und "myDoom.B"
errichteten Hintertüren auf Port 3127. Dabei koexistiert er aber mit beiden im
System und kopiert den Code von "myDoom.A" in verschiedene Unterverzeichnisse.
Angeblich hat "doomjuice" dabei keine offentsichtlichen Schadensroutinen, sondern
startet nur einen "dDoS" gegen Microsoft, deren WebSite angeblich gestern nur
schwer zu erreichen gewesen sei. Heute morgen ist davon nichts zu bemerken.
Die meisten AntiViren-Software (bis auf NAI, die die Signatur erst am 11.02.
aktualisieren wollen!) haben Ihre Virensignaturen schon aktualisiert. Selbst Microsoft
nimmt scheinbar den Wurm ernst, denn Sie bieten Ihr eigenes Tool zum Entfernen
des Wurmes an, hier.

[1] Original-Quelle, heise.de (deutsch)
[2] weiterführende Informationen zu "doomjuice", nai.com (english)
[3] Informatioen von Microsoft über "myDoomA.B.C", mircosoft.com (english)
[4] Microsoft Worm Removal Tool, microsoft.com (english)

MfG Rushjo

Anzeige

- Anzeige -

26.01.04, 16:57	#2 (permalink)
Sven Member of Honour Registriert seit: 14.09.03 Likes: 34	Danke für die Warnung, nur öffne ich gottseidank generell nicht solche POST mfg Sven __________________ Mein Portfolio Meine Fotogalerie best view with open eyes

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Neue Abkömmlinge des Bagle-Wurms unterwegs	Erde	News & Ankündigungen	0	27.01.05 14:14
Würmer unterhalten sich!	Rushjo	News & Ankündigungen	7	11.03.04 20:43
Irc Würmer	xgx	(In)security allgemein	3	19.11.03 16:59
Schlag auf Schlag: Neue gefährliche Viren unterwegs	Tec	News & Ankündigungen	1	07.11.02 09:24
Neue Variante des Oror-Wurms unterwegs	Tec	News & Ankündigungen	0	04.11.02 14:43

27.01.04, 11:35	#3 (permalink)
Chris Senior Member Registriert seit: 27.01.02 Likes: 1	Weiss man was für ein Icon diese .exe hat?

28.01.04, 16:53	#4 (permalink)
Rushjo Guest Likes:	@all Hier mal noch ein aktueller Nachtrag von heise.de zum Thema: "wie entferne ich den Wurm wieder?". Weiterhin stellt SCO, die durch einen dDoS betroffen sind, welcher der Wurm ab dem 1.Februar verursacht, die doch recht abenteuerliche Vermutung auf, das der Wurm ein Komplott der Open-Source-Linux-Fans sei, hier. [1] Quelle MyDoom-Entfernung, heise.de (deutsch) [2] Quelle SCO Vermutungen zum Urheber des Wurms, heise.de (deutsch) MfG Rushjo

29.01.04, 15:53	#5 (permalink)
Rushjo Guest Likes:	@all Hier nochmals ein Update zur aktuellen Lage mit dem MyDoom-Wurm. Wie heise.de berichtet ist der Wurm nun in einer neuen Variante erschienen, die als Ziel Ihres dDoS nicht mehr SCO hat, sondern Microsoft-Update-Server. Ausser- dem besitzt er als "neues Feature" die Eigenschaft durch Änderung der lokalen hosts-Datei den Aufruf von Seiten der Antiviren-Hersteller zu verhindern. Auch der Name des Wurmes im Taskmanager hat sich geändert von "taskmon.exe" zu "explorer.exe". Diese "explorer.exe" liegt aber nicht in dem Pfad der Originial-Explorer.exe, sondern unter /Windows/system. Die ersten Antiviren-Software-Hersteller haben bereits neue, angepasste Wurm-Entfernungstools herausgebracht, wie z.B. Stinger von Network Associates. [1] Quelle, heise.de (deutsch) MfG Rushjo

10.02.04, 11:48	#6 (permalink)
Rushjo Guest Likes:	@all Nochmal wieder ein Update zur Lage an der Würmer/Viren-Front. Wie heise.de heute berichtet, warnen die grossen AntiViren-Softhersteller ( hier ) vor einem neuen Schädling namens "doomjuice". Dieser verbreitet sich über die durch "myDoom.A" und "myDoom.B" errichteten Hintertüren auf Port 3127. Dabei koexistiert er aber mit beiden im System und kopiert den Code von "myDoom.A" in verschiedene Unterverzeichnisse. Angeblich hat "doomjuice" dabei keine offentsichtlichen Schadensroutinen, sondern startet nur einen "dDoS" gegen Microsoft, deren WebSite angeblich gestern nur schwer zu erreichen gewesen sei. Heute morgen ist davon nichts zu bemerken. Die meisten AntiViren-Software (bis auf NAI, die die Signatur erst am 11.02. aktualisieren wollen!) haben Ihre Virensignaturen schon aktualisiert. Selbst Microsoft nimmt scheinbar den Wurm ernst, denn Sie bieten Ihr eigenes Tool zum Entfernen des Wurmes an, hier. [1] Original-Quelle, heise.de (deutsch) [2] weiterführende Informationen zu "doomjuice", nai.com (english) [3] Informatioen von Microsoft über "myDoomA.B.C", mircosoft.com (english) [4] Microsoft Worm Removal Tool, microsoft.com (english) MfG Rushjo

[HaBo]

Neue Würmer unterwegs