Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.01.2004, 08:03   #1
Lutz
 

High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Ausrufezeichen

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



Moin,
es gibt mal wieder ein High-Level-Alert.
Auf die schnelle habe ich mal folgendes aus mehreren Infos 'zusammengestrickt':

****************************
W32.Novarg.A@mm is an encrypted mass-mailing worm that arrives as an
attachment with either a .exe, .scr, .cmd, .zip, or .pif extension. It
also performs a denial of service attack on sco.com and allows
unauthorized remote access to the compromised host.

Technical Description
----------------------
W32.Novarg.A@mm is an encrypted mass-mailing worm that arrives as a
message attachment using either a .exe, .scr, .cmd, or .pif extension.
These files may be included as an attached .zip archive.

The message may have the following properties:
Subject may include the following:
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report Status Error


Message Body varies. The following is one example:
The message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.


The attachment may be one of the following filenames with a .exe, .scr,
.zip, or .pif
extension:

document
readme
doc
text
file
data
test
message body


The icon used may be that of a text file.

When the attachment is executed, Notepad will open displaying garbage
characters from the file %Temp%\Message dropped by the worm.

Next, it creates the following copy of itself: %System%\taskmon.exe

The worm then creates the following registry entries so that it executes
every time Windows starts: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\TaskMon
= %System%\taskmon.exe

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run\TaskMon =
%System%\taskmon.exe

The following registry keys are also created: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Com
Dlg32\Version

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComD
lg32\Version

The worm also copies itself to the user's Kazaa downloads directory
using one of the following filenames:

winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004


with one of the following extensions:
pif
scr
bat


Additionally, the worm drops the following file: %System%\shimgapi.dll

This file appears to function as a back door that allows remote access
to a compromised host on TCP port 3127. Evidence suggests that this back
door may also allow the compromised system to be used as a remote proxy.

The worm also appears to be capable of performing a denial of service
attack on the website sco.com.


References
- ----------
Symantec W32.Novarg.A@mm http://www.symantec.com/avcenter/ven...varg.a@mm.html
McAfee W32/Mydoom@MM http://vil.nai.com/vil/content/v_100983.htm
F-Secure Novarg http://www.europe.f-secure.com/v-descs/novarg.shtml
Computer Associates Win32.Mydoom.A http://www3.ca.com/virusinfo/virus.aspx?ID=38102
Trend Micro WORM_MIMAIL.R http://www.trendmicro.com/vinfo/viru...=WORM_MIMAIL.R
Norman W32/MyDoom.A@mm http://www.norman.com/virus_info/w32_mydoom_a_mm.shtml
Sophos W32/MyDoom-A http://www.sophos.com/virusinfo/anal...32mydooma.html
****************************

Die mir bekannten 'größeren' AV-Hersteller haben ihre Signaturen bereits aktualisiert, bzw. werden im Laufe des Tages nachziehen.
Ein Update des Virenscanners ist also dringend angeraten....

tschööö, DerBilk

Nachtrag:
Die ersten Removal-Tools habe ich gerade entdeckt: Bitdefender
und
Stinger von McAfee
Diese Liste erhebt natürlich keinen Anspruch auf Vollständigkeit...

[ 27. Januar 2004, 10:59: Beitrag editiert von: DerBilk ]
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 27.01.2004, 10:54   #2
Jessy
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Icon24

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



Kleiner Nachtrag noch dazu (ich bin nämlich schon dabei den Virus von einem PC zu entfernen):

Folgende DLL ist ebenfalls infiziert:


The virus uses a DLL that it creates in the Windows System directory:

%SysDir%\shimgapi.dll (4,096 bytes)
This DLL is injected into the EXPLORER.EXE upon reboot via this registry key:

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %SysDir%\shimgapi.dll

Wenn der Virus aktiv ist, konnte McAfee ihn nicht ohne Reboot löschen.

Zusätzlich lag er bei dem PC (win2k) noch im Temporary Internet Files.
__________________


Alt 27.01.2004, 16:03   #3
MyThinkTank
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Pfeil

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



Heise-Ticker aktuell:

""Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen
[-]
Der neue Wurm MyDoom/Novarg zieht weiter seine Kreise. Die Virenexperten von Messagelabs wollen innerhalb der ersten zwanzig Stunden nach dem Ausbruch 1,2 Millionen Exemplare abgefangen haben. Zum Vergleich: Der E-Mail-Provider Postini hat nach eigenen Angaben beim Ausbruch des Wurms Sobig.F am ersten Tag nur 1400 Exemplare registriert, den Höhepunkt erreichte der Wurm dort mit 3,5 Millionen Samples pro Tag. Hochgerechnet könnte MyDoom Sobig.F in der Verbreitung also locker schlagen.

Mittlerweile nerven nicht nur die E-Mails des Wurmes selbst, wie schon bei Sobig wird das Postfach mit Benachrichtigungen zugemüllt, man hätte infizierte Mails verschickt. Auch scheinen einige Accounts schon das Speicherlimit erreicht zu haben und nehmen keine weiteren Mails mehr entgegen. Selbst unmoderierte Mailinglisten bleiben von MyDoom nicht verschont: Auf Full Disclosure erschienen bereits mehrere Wurm-Postings zuzüglich der Benachrichtigungsmails von Virenscannern. Dies könnte die Theorie untermauern, dass auch technisch orientierte Anwender auf den als Fehlermeldung getarnten Schädling hereinfallen.

Allerdings kann auch die Fülle anderer Wurm-Mails daran schuld sein, was langsam zum Dauerzustand wird. Immer noch sind Sober.c, Dumaru.A, -.Y und .Z sowie Bagle und diverse andere Mimail-Varianten unterwegs. Wer sich da keinen Filter konfiguriert hat, kann schon mal den Überblick verlieren und ein Attachment aus Versehen öffnen.""

http://www.heise.de/newsticker/data/dab-27.01.04-001/

Gruß!
MyThinkTank
__________________
__________________

Alt 27.01.2004, 17:01   #4
Shadow
/// Mr. Schatten
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Beitrag

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



Und das sagt/schreibt Panda:

“Alarmstufe Rot” : W32/Mydoom.A.worm

Neuer Wurm “MyDoom.A” infiziert zahlreiche Firmennetzwerke in wenigen Stunden

- Aufgrund des Einsatzes so genannter „Social Engineering“ Techniken erzielt der Wurm eine extrem hohe Verbreitungsrate.

- Entgegen dem aktuellen Trend nutzt MyDoom.A keine Microsoft Sicherheitslücke aus.

- Der Wurm installiert eine Datei auf dem infizierten System, welche den TCP Port 3127 öffnet und somit den Computer für den Fernzugriff freigibt.

- Ebenfalls nutzt “MyDoom.A” das File Sharing Tool KaZaa zur Verbreitung, indem er sich selbstständig in die Ordner mit den zum Tausch vorgesehenen Dateien kopiert.

- Panda Software hat bereits ein Update der Virensignaturdatei sowie ein Desinfizierungs- Tool zur Verfügung gestellt und rät allen Kunden Ihre Antivirenlösung zu aktualisieren und, falls vorhanden, die Firewall zu aktivieren.

- PQRemove, das kostenfreie Tool zur Desinfektion steht auf der Panda Software Web Site (http://www.pandasoftware.com/download/utilities/ ) zum Download bereit.

MADRID, 26. Januar 2004 – Panda Software registriert ein extrem gesteigertes Infektionsaufkommen aufgrund des neuen Wurmes und hat die “Alarmstufe ROT” für diese Bedrohung ausgegeben. Tausende von Computersystemen weltweit wurden bereits von dem neuen Wurm infiziert. Die Geschwindigkeit mit der sich der Wurm verbreitet, sowie der Schaden den er anrichtet machen den MyDoom.A Wurm zu einer ähnlichen Bedrohung wie Bugbear und Blaster, die letzten Sommer das Internet angriffen und weltweit PC Systeme und Netzwerke in hohem Maße infizierten.

W32/Mydoom.A versendet sich selbständig an alle Adressen, die er auf dem infizierten System vorfindet. Es wird davon ausgegangen, dass sich dieser Wurm, sowie leicht veränderte Versionen, im Laufe des Arbeitstages weiter verbreiten werden.

Der W32/Mydoom.A Wurm verbreitet sich im Anhang einer E-Mail und hat variable Betreffzeilen. Ebenso wie andere Viren, welche “Social Engineering” Techniken nutzen, versucht auch dieser Wurm dem ahnungslosen PC Nutzer zu suggerieren, dass er den Anhang unbedingt öffnen muss. Der Virus infiziert nicht nur den befallen Computer sondern sendet sich via E-Mail an alle, auf dem System vorhandenen, E-Mail Adressen.

Zusätzlich öffnet der Wurm den TCP Port 3127 und erlaubt so Unbefugten den direkten Zugriff auf den befallenen Computer. Somit erhalten „Hacker“ direkten Zugriff auf das entsprechende System und diese können beispielsweise persönliche Daten stehlen, verändern oder löschen.

Des weiteren bereitet der Wurm eine Denial of Service Attacke auf die Web Seite www.sco.com am 1. Februar 2004 vor.

W32/Mydoom.A sucht nach E-Mail Adressen in Dokumenten mit den folgenden Endungen und versendet sich automatisch mit Hilfe seiner eigenen SMTP Engine: .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab, .txt.

Der Inhalt der Nachricht variiert und kann folgendermaßen lauten:

Betreffzeile:

test

hi

hello

Mail Delivery System

Mail Transaction Failed

Server Report

Status

Error

Body:

Mail Transaction Failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment

Name der angehangenen Datei:

document

readme

doc

text

file

data

test

message

body

Datei Erweiterung:

.pif

.scr

.exe

.cmd

.bat

.zip

Nachdem der Virus den Computer infiziert hat, sucht er nach dem peer2peer FileSharing Netzwerk Tool KaZaa. Sollte KaZaa auf dem befallen System installiert sein, kopiert sich der Wurm in den Ordner, in welchem sich die zum tausch angebotenen Dateien befinden. Der Dateiname kann u.a. folgendermaßen lauten:

winamp5

icq2004-final

activation_crack

strip-girl-2.0bdcom_patches

rootkitXP

office_crack

nuke2004

Die Dateien haben eine der folgenden Dateierweiterungen: PIF, .SCR o .BAT

Panda Software bietet Updates sowie Tools zur Erkennung und Desinfizierung des W32/Mydoom.A Wurmes. Sollten Panda Software Kunden das automatische Update deaktiviert haben, so können Sie sich auf der Web Seite http://www.pandasoftware.com/ eine aktuelle Virensignaturdatei herunter laden.

Aufgrund der Möglichkeit einer Infizierung empfiehlt Panda Software allen Nutzern eine sofortige Aktualisierung der Antivirenlösung sowie eine vollständige Überprüfung des kompletten Systems. Gesteigerte Vorsicht im Umgang mit E-Mails sowie die Installation einer Firewall sind weitere Schutzmechanismen, die Panda Software allen Anwendern nahe legt.

Zusätzlich zur installierten Antivirenlösung können Anwender auch den Panda Software Online Virenscanner “Panda ActiveScan” zur Überprüfung und / oder Desinfektion Ihres PC Systems nutzen. Der kostenfreie, mehrfach ausgezeichnete Online Virenscanner steht auf der Web Seite www.panda-software.de ebenso wie das Desinfizierungs Tool PQRemove permanent allen Besuchern der Web Seite aktualisiert zur Verfügung

Detaillierte technische Informationen über den W32/Mydoom.A.Wurm sind in der Panda Software Virus Encyclopedia verfügbar.
==============

DoS am 1.Februar auf SCO, hmm?
Nein, ist trotzdem schlecht
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 27.01.2004, 18:17   #5
Lutz
 

High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Beitrag

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



</font><blockquote>Zitat:</font><hr />Name der angehangenen Datei:
document
readme
doc
text
file
data
test
message
body</font>[/QUOTE]Das schreiben mehr oder weniger alle AV-Seiten und ich habe es ja in meinem 'zusammengetrickten' Anfangspost auch so beschrieben. Aber in der Realität habe ich heute mehrere Male gesehen, dass die Namen genausogut aus zufällig zusammengewürfelten Buchstaben bestehen können.
Dies nur, dass nicht der Eindruck entsteht, die Liste sei ausschließlich und man könne sich darauf verlassen...


Edit: Ich sehe grad, einige Beschreibungen (Links siehe oben) wurden diesbezüglich im Laufe des Tages 'nachgebessert'
tschööö, DerBilk

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 27.01.2004, 19:18   #6
*Christian*
Gast
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Icon24

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



Ich hasse High-Level-Alerts. [img]graemlins/pfui.gif[/img] [img]graemlins/pfui.gif[/img]

Alt 27.01.2004, 19:25   #7
MartinH
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Beitrag

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



"Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen"
Ist das vielleicht ein Motiv der Virenprogrammierer?

Bei mir kam etwas, worauf die Beschreibungen einigermaßen passen, heute viermal an (was für meine Verhältnisse viel ist). Habe es auf dem Server gelöscht.

Die übereinstimmende Größe von 31 kb könnte ein Erkennungsmerkmal sein.

Martin

Alt 27.01.2004, 20:06   #8
Shadow
/// Mr. Schatten
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Beitrag

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
"Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen"
Ist das vielleicht ein Motiv der Virenprogrammierer?
</font>[/QUOTE]Warum nicht?
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 27.01.2004, 20:38   #9
MartinH
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Beitrag

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
Warum nicht? </font>[/QUOTE]So hab ich das nicht gemeint, ich meinte eher: Sollte Heise anstatt Rekorde lobzupreisen nicht lieber behaupten, diese Schweinepriester hätten keine Eier?

Martin

Alt 27.01.2004, 20:50   #10
Shadow
/// Mr. Schatten
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Beitrag

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



</font><blockquote>Zitat:</font><hr />Original erstellt von MartinH:
</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
Warum nicht? </font>[/QUOTE]So hab ich das nicht gemeint, ich meinte eher: Sollte Heise anstatt Rekorde lobzupreisen nicht lieber behaupten, diese Schweinepriester hätten keine Eier?
</font>[/QUOTE]Und wenn es Priesterinen/Programiererinnen sind?

Ja, hatte Dich flasch verstanden, und ich bin mir sicher(!), sollche Berichte über (mögliche) neue Rekorde stacheln ein paar kranke Gehirne an, tatsächlich zu versuchen einen neuen Rekord aufzustellen.
Da der Homo-computeris-aldii an sich recht lernresistent ist, werden sie es auch schaffen [img]graemlins/koch.gif[/img]
//irgendjemand mit Lateinkenntnis darf mich korregieren, bei Asterix gab es weder Computer noch Aldi
sol lucet omnibus
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 28.01.2004, 05:00   #11
Hendrik
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Beitrag

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



Hallo,

ist Euch schon aufgefallen, daß der neue Wurm es auch auf TheBat!-User abgesehen hat? Er sucht in TBB-Dateien (TheBat-eMailarchive) nach Adressen und ist in ein ZIP gepackt, damit er nicht an der Suffix-Sperre von TheBat! hängenbleibt....

Hendrik
__________________
Folding@Home-Team 2804

Alt 28.01.2004, 19:57   #12
MyThinkTank
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Ausrufezeichen

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



Neue Variante Mydoom.b im Umlauf!

Link: http://www.viruslist.com/eng/viruslist.html?id=850737

</font><blockquote>Zitat:</font><hr />
I-Worm.Mydoom.b

Mydoom.b is a modification of Mydoom.a that spreads via the Internet in the form of files attached to infected messages and via the Kazaa file-sharing network. The worm itself is a Windows PE EXE file of 29184 bytes, compressed using UPX and PE-Patch. The decompressed file is approximately 49KB in size.

The worm is activated only if the user opens the archive and launches the infected file by double-clicking on the attachment. The worm then installs itself in the system and starts the replication process.

The worm contains a backdoor function, and is also programmed to carry out DoS attacks on the sites www.sco.com and www.microsoft.com.

Part of the body of the worm is encrypted.

The unpacked file contains the following text:

(sync-1.01; andy; I'm just doing my job, nothing personal, sorry)

Installation
Following launch, the worm opens Windows Notepad, showing a random selection of symbols:

During installation, the worm copies itself under the name explorer.exe to the Windows system directory, and registers this file in the system registry auto-run key:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"TaskMon" = "%System%\explorer.exe"

The worm creates the file ctfmon.dll,/i&gt; in the Windows system directory which is a backdoor component (a proxy server) and also registers this in the system registry:

[HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32]
"Apartment" = "%SysDir%\ctfmon.dll"

Ctfmon.dll will therefore launch as a procedure linked to Explorer.exe.

The worm also creates a file called Body,/i&gt; in the temporary directory (usually in %windir%\temp). This file contains a random selection of symbols.

So that the worm can identify itself in the system, it creates several additional keys in the system registry:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version]

While running it also creates a unique identifier sync-v1.01__ipcmtx0.

Mydoom.b replaces the standard file 'hosts' in the Windows directory into with its own version (under the same name). This file will now prevent user access to the following domains:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com

office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.ca.com
www.fastclick.net
www.f-secure.com
www.kaspersky.ru
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.ru
www3.ca.com

Mailing letters
Emails are sent in the same way that Mydoom.a uses except for the following changes.

The body text is chosen at random from the following:

The message cannot be represented in 7-bit ASCII encoding
and has been sent as a binary attachment

sendmail daemon reported: Error #804 occured during SMTP session.
Partial message has been received

The message contains Unicode characters and
has been sent asa binary attachment.

The message contains MIME-encoded graphics and
has been sent as a binary attachment

Mail transaction failed. Partial message is available.

Mydoom.b might also send emails with random strings of characters in the subject, body and attachment name.
Propagation via P2P
The worm checks for the presence of a Kazaa client on the computer and copies itself to the file-sharing directory under the following names:

NessusScan_pro
attackXP-1.26
winamp5
MS04-01_hotfix
zapSetup_40_148
BlackIce_Firewall_Enterpriseactivation_crack
xsharez_scanner
icq2004-final

with the following extensions:

bat
exe
scr
pif

</font>[/QUOTE]MyThinkTank
__________________
MTT says: "Privacy is a human right!" SAVE Privacy (PDF, 550 KB)

Alt 28.01.2004, 20:22   #13
CyberFred
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Beitrag

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



Hallo!
Ich kann überhaupt nicht nachvollziehen, wieso wegen solchen Mailwürmern nur immer so ein Aufhebens gemacht wird und schon die Medien Tag ein/Tag aus davon berichten. Damit meine ich jetzt nicht solche Warnungen in Boards, da diese oft dazu nützlich sind, bei Befall den Schädling zu entfernen.
Aber ich meine würde man jedem Wurm soclhe Beachtung schenken, müssten die Medien ständig irgendwelche Virenticker vorlesen.
Ich persönlich höre schon garkeine Nachrichten mehr, weil man ständig nur irgendwelche Virenwarnungen bekommt die einem eh egal sind, wenn man ausschließlich Sachen öffnet, die von vertrauenswürdigen Quellen stammen. Ich weis das wird ihr ständig propagiert, aber wieso sind mehrere millionen Menschen der Welt einfach unfähig mails, die sie nicht kennen ungelesen zu löschen?

ciao

btw: Vielleicht isses aber auch nur Absicht, weil die alle was gegen SCO haben und bewusst den Wurm installieren...
__________________
Mail-Header verstehen
~~~~~~~~~~~~~~
Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid)

Alt 28.01.2004, 21:07   #14
MyThinkTank
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Idee

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred:
wenn man ausschließlich Sachen öffnet, die von vertrauenswürdigen Quellen stammen. </font>[/QUOTE]Aber "sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received" sieht auch für viele unspezifisch sachkundige Leute unverdächtig aus. Eine sehr ähnliche Meldung bekommt man ja durchaus öfters, etwa wenn man sich in der Mail-Adresse vertippt hat. Ohne topaktuellen Virenwächter ist es dann passiert; im MYDOOM-Fall bemerkst Du das nicht einmal.

Gruß!
MyThinkTank
__________________
MTT says: "Privacy is a human right!" SAVE Privacy (PDF, 550 KB)

Alt 28.01.2004, 21:27   #15
hyrican
 
High-Level-Alert  W32.Novarg.A@mm alias W32/Mydoom@MM - Beitrag

High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM



</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
Aber "sendmail daemon reported: Error #804 occured during SMTP session. Partial message has been received" sieht auch für viele unspezifisch sachkundige Leute unverdächtig aus. Eine sehr ähnliche Meldung bekommt man ja durchaus öfters, etwa wenn man sich in der Mail-Adresse vertippt hat.</font>[/QUOTE]Kommt eine tatsächliche Fehlermail denn mit Anhang?*blödfrag*

hyrican
__________________
Aufgrund der zunehmenden Spezialisierung wissen immer wenigere über immer weniger immer mehr bis irgendwann keiner über nichts alles weiß.

Antwort

Themen zu High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM
.exe, .pif, crypted, denial of service, document, dringend, drops, encrypted, error, explorer, failed, files, folge, icon, kazaa, mehrere, microsoft, not, registry, remote, remote access, scan, service, signaturen, software, system, tcp, temp, test, update, version, windows, worm



Ähnliche Themen: High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM


  1. Gefährliche, neue Top Level Domains?
    Nachrichten - 07.09.2015 (0)
  2. Top Level Domains: ICANN erfüllt Wünsche der Strafverfolger
    Nachrichten - 10.04.2013 (0)
  3. arpeu.exe alias AudibleAssault2011.exe
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (3)
  4. Trojaner alias svchost.
    Log-Analyse und Auswertung - 25.06.2010 (9)
  5. Pralles Pflichtenheft für Betreiber neuer Top-Level-Domains
    Nachrichten - 07.10.2009 (0)
  6. Pralles Pflichtenheft für Betreiber neuer Top-Level-Domains
    Nachrichten - 07.10.2009 (0)
  7. Trojaner nach low level Format immer noch nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 13.07.2008 (22)
  8. Mydoom.I
    Plagegeister aller Art und deren Bekämpfung - 24.02.2007 (14)
  9. TR/Contact.1 alias svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 11.12.2006 (1)
  10. BloudHound & MyDoom
    Plagegeister aller Art und deren Bekämpfung - 29.04.2006 (17)
  11. Troj/Mosuck-X Alias BackDoor-EE.gen Alias BKDR_MOSUCKER.X
    Plagegeister aller Art und deren Bekämpfung - 25.09.2005 (1)
  12. Low-Level utilities
    Netzwerk und Hardware - 23.01.2005 (4)
  13. myDoom???ominöses fenster bei der ausführung ad-awares
    Plagegeister aller Art und deren Bekämpfung - 01.12.2004 (5)
  14. Verhält sich wie Mydoom, ist es aber nicht?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2004 (7)
  15. Neuer Wurm nutzt MyDoom-Backdoor: W32.HLLW.Deadhat
    Plagegeister aller Art und deren Bekämpfung - 10.02.2004 (3)
  16. Low-Level-Format-resistenter Trojaner ?
    Plagegeister aller Art und deren Bekämpfung - 12.07.2003 (83)

Zum Thema High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM - Moin, es gibt mal wieder ein High-Level-Alert. Auf die schnelle habe ich mal folgendes aus mehreren Infos 'zusammengestrickt': **************************** W32.Novarg.A@mm is an encrypted mass-mailing worm that arrives as an attachment - High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM...
Archiv
Du betrachtest: High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.