Besuchen Sie unseren Werbepartner
Anzeige
Benutzername:  Passwort:   Registrierung! Passwort vergessen?
 Statistik  Netiquette  Disclaimer  Impressum
 
 
Home
 
Magazin
Podcast
Meisterschaft
1. Konkurse
International
Auktion
One Loft Races
Kids Corner
Preislisten
Taubengesundheit
Wetter
Photo Gallery
Forum
Office Tools
Umfragen
Verirrte Tauben
Züchter
Tauben-Shop
 
Partner Sites
Der Internet-Taubenschlag hilft!
Der Internet-Taubenschlag hilft!
 
Home  Newscenter 

Newscenter

 Newscenter 
27.01.2004 Viruswarnung
Ein neues Computervirus namens Novarg oder Mydoom treibt sein Unwesen. Die Gefährlichkeit wird als hoch eingeschätzt.

Name: W32.Novarg.A@mm
Alias: W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend]
Art: Wurm
Größe des Anhangs: 22.528 Bytes
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: hoch
Risiko: mittel-hoch
Schadensfunktion: Massenmailing,
Installation eines Backdoors,
DOS Angriff gegen www.sco.com
Spezielle Entfernung: Tool
bekannt seit: 26. Januar 2004

Beschreibung
:

W32.Novarg.A@mm ist ein Internet-Wurm, der sich in Dateien mit den Endungen .bat, .cmd, .exe, pif, .scr und .zip versendet. Zusätzlich verbreitet er sich über KaZaA.

Bei der Infektion des Systems installiert der Wurm ein Backdoor-Programm, das die TCP-Ports 3127 bis 3198 öffnet. Damit hat ein Angreifer die Möglichkeit, den infizierten Rechner fernzusteuern. Außerdem kann dieses Backdoor weitere Dateien aus dem Internet laden.

Am 1. Februar startet der Wurm eine Denial of Sevice (DOS) Attacke gegen eine bestimmte Internetseite. Ab dem 12. Februar verbreitet er sich nicht weiter.

Der Wurm erzeugt die Datei shimgapi.dll im Systemverzeichnis von Windows.
Dieses Programm öffnet die TCP-Ports 3127 bis 3198 und arbeitet als Proxy-Server.

Durch den Registrierungs-Schlüssel
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

wird die Datei gestartet, wenn Explorer.exe geöffnet wird.

Die Datei taskmon.exe wird im Windows-Systemverzeichnis erzeugt. Existiert diese Datei schon, wird sie durch eine Kopie des Wurms ersetzt.

Diese startet automatisch durch den Registrierungs-Schlüssel
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
mit dem Wert
TaskMon = %System%\taskmon.exe

Weiterhin wird die Datei message im Temp-Verzeichnis angelegt.

In Dateien mit den Endungen

.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt

werden E-Mail-Adressen zur weiteren Verbreitung gesucht. Dabei werden keine Adressen aus der Top-Level-Domain .edu verwendet. Novarg.A verwendet zur Verbreitung seine eigene SMTP-Maschine.

Die E-Mail hat folgende Charakteristik:

Von:

Betreff:

test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error

Nachricht:

Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Name des Anhangs:

document
readme
doc
text
file
data
test
message
body

Datei-Endung

pif
scr
exe
cmd
bat
zip

Größe des Anhangs: 22.528 Bytes

Novarg.A kopiert sich ausserdem in das Download-Verzeichnis von KaZaA, als Datei

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004

mit der Dateiendung

pif
scr
bat
exe

Hinweise zur Entfernung des Wurms

Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie vor der Entfernung die Systemwiederherstellung deaktivieren, und den Computer im abgesicherten Modus starten.

Den Wurm auf einem infizierten Rechner lokalisieren und entfernen können Sie über eines der kostenlosen Entfernungstools von

NAI (stinger.exe):
http://download.nai.com/products/mcafee-avert/stinger.exe

oder

http://vil.nai.com/vil/stinger

[Home]  [Magazin]  [Podcast]  [Meisterschaft]  [1. Konkurse]  [International]  [Auktion]  [One Loft Races]  [Kids Corner]  [Preislisten]  [Taubengesundheit]  [Wetter]  [Photo Gallery]  [Forum]  [Office Tools]  [Umfragen]  [Verirrte Tauben]  [Züchter]  [Tauben-Shop]  [TaubenMarkt-Messe 2006]  [Spenden-Flug Weisse Schwinge IT]  [WM-Tipp]  [TaubenMarkt-Messe]  [Int. Ruwen-Club]  [Spenden für die Flutopfer in Südasien]  [Neues im Internet-Taubenschlag]  [Newscenter]  [Züchter der Woche]  [Jugendzüchter der Woche]  [Webepartner der Woche]  [Superstar des Monats]  [Brieftaubenzüchter helfen]  [Bannerwerbung]  [Adressen-CD]  [Newsletter]  [Statistik]  [Netiquette]  [Disclaimer]  [Impressum