Er ist erst einen Tag alt und hat es doch schon zu zweifelhaftem Ruhm gebracht: Zahlreiche Virenspezialisten warnen vor einem neuen Wurm namens W32/Mydoom@MM, der sich innerhalb der letzten 24 Stunden rasant verbreitet hat. Das Virenforschungslabor AVERT von Network Associates stuft den neuen digitalen Übeltäter als „besonders gefährlich“ ein. Das besondere an diesem Virus: Er nutzt die befallenen Rechner zu einer Attacke auf die Website von SCO, die am 1. Februar stattfinden soll.
Inzwischen bieten die Antiviren-Experten Bitdefender und McAfee kostenlose Tools zur Erkennung und Entfernung des Schädlings an.
Der neue Email-Wurm, der auch unter den Namen W32.Novarg.A@mm geführt wird, verfüge wie einige seiner Vorgänger über eine eigene SMTP-Engine und versende sich unter falschem Absendernamen an Emailadressen die er auf dem infizierten System vorfindet. Er durchsucht hier für Dateien mit folgenden Dateierweiterungen:
- wab
- adb
- tbb
- dbx
- asp
- php
- sht
- htm
- txt
Außerdem kopiere sich W32/Mydoom@MM in den Ordner von KaZaA (my shared Folder) unter dem Namen „activation_crack.scr“. Alternativ wählt er dort die Namen winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack oder nuke2004, die auch mit einer „.exe“-Endung verpasst werden können.
Aufgrund der starken Verbreitung sei die Risikoeinschätzung des Wurms auf High-Outbreak angehoben und umgehend neue Signaturen bereitgestellt worden. Betreff-Zeile und Email-Text würden von dem hochgefährlichen Wurm zufällig gewählt.
Der Email-Text kann laut NA beispielsweise eine dieser drei Varianten enthalten:
- The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
- The message contains Unicode characters and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available
Wenn die angehängte Datei ausgeführt wird, öffnet der Wurm das Textprogramm Notepad und zeigt einen wahllosen und sinnleeren Text an. Der Virus versendet sich in unterschiedlichen Email-Anhängen die als .exe-, . pif-, .cmd-, .scr- oder in einem ZIP-Archiv auftreten können. Das Attachement erscheint dabei mit dem Icon einer Windows TXT-Datei. Zudem öffnet der Wurm den DTCP-Port 3127, über den weitere Befehle erhalten werden können.
Neueste Kommentare
15 Kommentare zu Neuer Virus bläst zur Attacke auf SCO
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
virus
ich habe so langsam die schnauz voll, man solte diese Hirnverbrante Phychopaten an die wand nageln .internet !ist mir der spass vergangen
Wie geil! GO MyDoom GO!!!
Ic hwette die von IBM haben den gecodet. Der scheint verdammt professionell zu sein.
Auf jeden fall ist das der erste virus dem ich viel erfolg wünsche und den ich gerne auf meinem system lasse.
Quasi ein seti@home (seti= sco elemination trough [the] internet) ;-))
Ich wette selbst manche antiviren-firmen irgnorieren den virus und lassen ihn munter machen… oder manche öffnen ihm evtl firewalls. (würd ich nach prüfung des codes warscheinlich auch tun ;)
AW: Wie geil! GO MyDoom GO!!!
ich will ihn auch haben;) wo find ich den bin schon die ganze zeit am suchen…
MyDoom rulez
Nur noch MiMail-R, wo sind die anderen geblieben?
Mir fällt seit gestern auf, daß "nur noch" der MiMail-R reinkommt, dafür aber im Minutentakt. Wo sind die anderen Viecher geblieben? Sobig, Klez und Konsorten.
Hat jemand ähnliche Beobachtungen gemacht?
Verpennt Symantec W32/Mydoom@MM ?
Hallo!
Bereits am 26.01. nachts fiel mir eine verdächtige email auf mit ZIP-Anhang, die Norton Internet Security durchließ. Die Untersuchung des Codes der darin gepackt versteckten text.exe ergab, dass damit Änderungen der Registry durchgeführt werden. Klar ein feindlicher Code. Die Datei plus email-Text habe ich sogleich an das Norton-Viren-Centre gemailt. Mittlerweile spricht die ganze Welt dank Medienverbreitung über diesen neuen Virus, der als "besonders gefährlich" eingestuft wird. Traurig ist nun, dass der "Weltmarktführer" nach 24 Stunden immer noch keine Signaturen für den Schädling hat, ihn "offiziell" noch gar nicht kennt, – im Gegensatz zu Mitbewerbern.
Rüdiger R. Rister
Publizist & IT-Consultant
MCR media Presse & TV Verlag, Germany
AW: Verpennt Symantec W32/Mydoom@MM ?
Symantec war zwar etwas langsam, aber seit heute Morgen erkennt es den Virus.
Allerdings heißt er hier:
W32.Novarg.A@mm ist aber ansonsten der Gleiche und wird wohl auch so erkannt.
Hoffe ich zumindenstens!!
D. Bornholdt
AW: Verpennt Symantec W32/Mydoom@MM ?
Traurig?
Dad ist gut so!
Denkst du das liegt daran dass die’s nicht hinkriegen würden?? *lol*
Manche leute verstehen das net (die netz-gemenischaft) auch nie…
AW: Verpennt Symantec W32/Mydoom@MM ?
Ich habe heute das 5. Live-Update seit Erscheinen des Wurms durchgeführt, danach meine Mails abgerufen – und siehe da, Symantec’s Anti-Virus hat wieder KEINES erkannt, obwohl mehrere mit Wurm als Anhang eingetroffen sind.
Das ist mir bisher nie passiert – aber dieses Mal scheinen die sich bei Symantec wirklich die Zähne an dem Würmchen auszubeißen…
Im August läuft mein Abonnement aus, ich werde wohl wechseln!
SCO das arme Opfer. Ein Schelm der dabei boeses denkt.
Viren sind schlimm und die Virenschreiber sind eindeutig Kriminelle, die es zu verfolgen und bestrafen gilt.
Es ist nur merkwuerdig, dass diese Firma, die sich gegen alles und jeden wendet gerade jetzt, wo sie keinen einzigen Beweis in den Gerichtsverfahren hat, sich selbst mal wieder als das geschundene Opfer darstellen kann und dann noch auf solche Weise.
Niemand vermag sich auszudenken was in Koepfen vorgeht, die sogar gegen ihre eigenen Kunden vorgehen.
Ja, sie sind Opfer,
oder sind vielleicht die Computerbenutzer die Opfer, von Aktionen und Viren, die mittlerweile als Waffen im Propagandakampf eingesetzt werden, damit manche eine Opferrolle darstellen koennen?
In was fuer eine Art von Gefahr werden die einfachen Computerbesitzer und Firmen noch gebracht, um als Kanonenfutter in solchen Aktionen verheizt zu werden.
Es steht zu befuerchten, das ist nur der Anfang und am Ende steht die vollstaendige Entrechtung der Nutzer mit DRM und TCPA, weil selbige durch das Benutzen von Hard- und Software an allem Schuld sind.
So aehnlich dem gemeinen Waehlervieh, das zumindest in .de an allem Schuld ist, was sogenannte Politiker anrichten, nur zur Wahlzeit, da hat man gefaelligst die Stimme abzugeben, damit man nicht mehr reden kann.
AW: SCO das arme Opfer. Ein Schelm der dabei boeses denkt.
Hallo!
Handelt es sich hier um das Prinzip "Lusitania"? In der Geschichte der Menschheit immer wieder angewandt.
AW: SCO das arme Opfer. Ein Schelm der dabei boeses denkt.
Sorry, aber das getrolle war schlecht. Schade dass man hier nicht wie bei heise runter-raten kann, sonst würdest du von mir ein [–] mitt der hoffnung auf verschiebung auf die trollwiese bekommen .
AW: AW: SCO das arme Opfer. Ein Schelm der dabei boeses denkt.
hmm… ist mir da was entgangen…?
war ehrlich gesagt nie gut in geschichte. was für ein prinzip ist das?
AW: AW: SCO das arme Opfer. Ein Schelm der dabei boeses denkt.
> Sorry, aber das getrolle war schlecht.
Typische Antwort eines SCO Freundes, wenn man keine Gegenargumente hat, dann wird eben Verunglimpft.
Angriffe
Wir verzeichnen bisher 123 Mails mit besagtem Virus. ein absoluter rekord – da alle innerhalb von 4 stunden kamen
AW: Angriffe
Ist bei uns ähnlich wir hatten heute bereits etwas mehr als 800 Mails.
Leider werden auch Mails in userem Namen gesendet.
Wir empfehlen allen Ihre Virenscanner zu updaten und allenfalls den neuen STINGER von Mcafee zu laden um zu prüfen ob Sie auch betroffen sind.
http://download.nai.com/products/mcafee-avert/stinger.exe
Sorry für die Werbung find ich aber äusserst wichtig….