Neue Würmer unterwegs

[maedmexx]

In den täglichen Viren-Statistiken der Virenexperten von Messagelabs hat es ein neuer Wurm auf Platz sieben geschafft. W32/Dumaru.Y heißt das Untier und leistet seinem Urvater Dumaru.A Gesellschaft, der sich seit Monaten auf Platz eins breit macht.

Die neue Variante versendet sich ebenfalls selbst per Mail von infizierten PCs. Besonders trickreich ist er nicht, er kommt immer mit dem selben englischen Text daher:

From: "Elene"
Subject: Important information for you. Read it immediately !
Message:
Hi !
Here is my photo, that you asked for yesterday.
Attachment: myphoto.zip

Fehlt der Nachrichtentext, so handelt es sich um eine kleine Variante namens Dumura.Z, die aber einige Hersteller von Antiviren-Software, beispielsweise NAI, in die Beschreibung der Y-Version übernommen haben.

Im Attachment steckt wie immer statt der heiß ersehnten Bilder der Wurm. Versucht man das Bild "myphoto.jpg .exe" (56 Leerzeichen zwischen jpg und .exe) zu öffnen, ist es passiert: Der Rechner ist befallen, sofern nicht der Virenscanner mit den von den Herstellern bereits aktualisierten Signaturen Alarm schlägt. Auf infizierten Systemen installiert der Wurm eine Backdoor, startet einen Keylogger und versucht Informationen auszuspähen und per Mail zu versenden.

Siehe dazu auch:

- Wurmbschreibung von Symantec

[Quelle: http://www.heise.de/security/news/meldung/43996 ]

 

[Sven]

Danke für die Warnung, nur öffne ich gottseidank generell nicht solche POST

mfg
Sven

 

[Chris]

Weiss man was für ein Icon diese .exe hat?

 

[Rushjo]

@all

Hier mal noch ein aktueller Nachtrag von heise.de zum Thema: "wie entferne ich
den Wurm wieder?". Weiterhin stellt SCO, die durch einen dDoS betroffen sind,
welcher der Wurm ab dem 1.Februar verursacht, die doch recht abenteuerliche
Vermutung auf, das der Wurm ein Komplott der Open-Source-Linux-Fans sei, hier.

[1] Quelle MyDoom-Entfernung, heise.de (deutsch)
[2] Quelle SCO Vermutungen zum Urheber des Wurms, heise.de (deutsch)

MfG Rushjo

 

[Rushjo]

@all

Hier nochmals ein Update zur aktuellen Lage mit dem MyDoom-Wurm.
Wie heise.de berichtet ist der Wurm nun in einer neuen Variante erschienen, die
als Ziel Ihres dDoS nicht mehr SCO hat, sondern Microsoft-Update-Server. Ausser-
dem besitzt er als "neues Feature" die Eigenschaft durch Änderung der lokalen
hosts-Datei den Aufruf von Seiten der Antiviren-Hersteller zu verhindern. Auch der
Name des Wurmes im Taskmanager hat sich geändert von "taskmon.exe" zu "explorer.exe".
Diese "explorer.exe" liegt aber nicht in dem Pfad der Originial-Explorer.exe, sondern
unter /Windows/system. Die ersten Antiviren-Software-Hersteller haben bereits
neue, angepasste Wurm-Entfernungstools herausgebracht, wie z.B. Stinger
von Network Associates.

[1] Quelle, heise.de (deutsch)

MfG Rushjo

 

[Rushjo]

@all

Nochmal wieder ein Update zur Lage an der Würmer/Viren-Front. Wie heise.de heute
berichtet, warnen die grossen AntiViren-Softhersteller ( hier ) vor einem neuen Schädling
namens "doomjuice". Dieser verbreitet sich über die durch "myDoom.A" und "myDoom.B"
errichteten Hintertüren auf Port 3127. Dabei koexistiert er aber mit beiden im
System und kopiert den Code von "myDoom.A" in verschiedene Unterverzeichnisse.
Angeblich hat "doomjuice" dabei keine offentsichtlichen Schadensroutinen, sondern
startet nur einen "dDoS" gegen Microsoft, deren WebSite angeblich gestern nur
schwer zu erreichen gewesen sei. Heute morgen ist davon nichts zu bemerken.
Die meisten AntiViren-Software (bis auf NAI, die die Signatur erst am 11.02.
aktualisieren wollen!) haben Ihre Virensignaturen schon aktualisiert. Selbst Microsoft
nimmt scheinbar den Wurm ernst, denn Sie bieten Ihr eigenes Tool zum Entfernen
des Wurmes an, hier.

[1] Original-Quelle, heise.de (deutsch)
[2] weiterführende Informationen zu "doomjuice", nai.com (english)
[3] Informatioen von Microsoft über "myDoomA.B.C", mircosoft.com (english)
[4] Microsoft Worm Removal Tool, microsoft.com (english)

MfG Rushjo