Thema: MyDoom Wurm ...

[bladel]

Der für den Buffer Overflow im Internet Explorer veröffentlichte Exploit ist offenbar bereits von Wurm-Programmierern adaptiert worden. McAfee warnt vor neuen Varianten des MyDoom-Wurms, die genau über diese Lücke in Systeme eindringt und dabei Teile des Exploit-Codes benutzen: MyDoom.AI und .AH. Obwohl die Würmer sich nicht selbst per Mail verbreiten, sind sie doch auf Mails angewiesen: Sie verschicken Nachrichten mit Links, die zu einer präparierten Webseite führen.

Der Besuch der Seite mit Windows-Systemen, auf denen noch nicht Service Pack 2 installiert ist, kann fatale Folgen haben: Ist der Schädling eingedrungen, öffnet er eine Hintertür auf Port 1639 und nimmt dort Befehle entgegen. Zudem verbindet er sich zu diversen IRC-Servern.

Auch die anderen Hersteller von Antiviren-Software haben die neuen Schädlingen bereits auf ihrem Radar und wollen neue Signaturen herausgeben. McAfee hat sein Removal-Tool Stinger auf den neuesten Stand gebracht, sodass betroffene Anwender damit auf ihrem Rechner nach dem Wurm suchen und ihn beseitigen können.

Weitere Hinweise zum Schutz vor Viren und Würmern und zum sicheren Umgang mit E-Mail finden sie auf den Antiviren-Seiten von heise Security. - www.heise.de

Siehe dazu auch:

    * Wurmbeschreibung MyDoom.AH von McAfee
    * Wurmbeschreibung MyDoom.AI von Symantec

[SiLæncer]

Nachdem der Internet-Wurm MyDoom bereits in der vergangenen Woche in der Version AI für Aufsehen sorgte indem er versuchte, sich über Porno-E-Mails massenhaft weiter zu verbreiten, haben die Experten von F-Secure nun die nächste Mutation entdeckt.

      
MyDoom.AM verbreite sich seit heute mit hoher Geschwindigkeit weiter, heißt es. Quelle des neuen Übels sei der fünfte Kontinent, Australien. Wie seine Vorgänger verbreitet sich der Schädling nicht nur über eine eigene SMTP-Maschine weiter, auch nutzt er Peer-2-Peer-Netzwerke wie Kazaa oder eMule, um möglichst viele Rechner zu infizieren.

Vorsicht bitte

Da der Schädling noch recht neu ist, erkennen noch nicht alle Antiviren-Lösungen die neue Bedrohung. Aufpassen sollten aus diesem Grund alle User, die eine E-Mail mit einem der folgenden Betreffs erhalten:

    * Good day
    * Do not reply to this email
    * hello
    * Mail Delivery System
    * Attention!!!
    * Mail Transaction Failed
    * Server Report
    * Status
    * Error

In diesem Fall sollte in jedem Fall darauf verzichtet werden, die mitgeschickte Datei zu öffnen, da der Wurm sonst mit dem nächsten Systemstart aktiviert wird und sich an alle Adressen automatisch weiterverschickt, die er auf dem PC finden kann. Überhaupt gilt natürlich weiterhin: E-Mails, deren Sender man nicht eindeutig zurückverfolgen kann, sollte man nach Möglichkeit sofort löschen oder zuvor mit einer Anti-Virus-Software überprüfen. Vor jeder Überprüfung sollte zudem ein Update der Software vorgenommen werden, um die neuesten Virendefinitionen auf den eigenen Rechner zu übertragen.

Quelle : www.onlinekosten.de

[Jürgen]

Eine neuer Abkömmling der Mail-Wurm-Familie MyDoom verbreitet sich seit gestern Nacht massiv. Die genaue Bezeichnung des Schädlings variiert je nach Virendatenbank: McAfee erkennt ihn seit heute als MyDoom.bb, Symantec als MyDoom.ax. Kaspersky und Sophos hingegen erkennen ihn als MyDoom.m beziehungsweise MyDoom.o -- einige Hersteller erkennen die neue Wurm-Version mit einer älteren MyDoom-Signatur. Auch beim unabhängigen Virus-Informationsportal Virustotal wird die neue Abart als MyDoom.m geführt.

Die neue Variante verbreitet sich äußerst rasant, McAfee stuft ihn derzeit in die Gefahrenstufe "Medium" ein, während Symantec für Verbreitung und Anzahl an Infektionen bereits eine hohe Gefahrenstufe angibt. Die Statistiken bei Virustotal zeigen, dass momentan doppelt so viele MyDooms eintreffen wie Exemplare vom zweitplatzierten Schädling. Auf dem Heise-Mail-Gateway wurden seit heute morgen bereits über 200 neue MyDooms abgefangen.

Neue Schadfunktionen bringt der Schädling nicht mit: Er kommt als E-Mail mit ausführbarem Attachment ins Haus. Einmal ausgeführt installiert er eine Hintertür, sodass sich der Rechner für Spam und andere Zwecke missbrauchen lässt. Wie schon die als MyDoom.m beziehungsweise MyDoom.o geführte Version benutzt der Schädling Suchmaschinen, um geeignete Mail-Adressen für die Verbreitung zu finden. MyDoom.m hatte seinerzeit die Suchmaschinen gar überlastet. Laut Sophos schickt die neue Version des Wurms jetzt 45 Prozent seiner Anfragen zu Google, 22,5 Prozent zu Lycos, 20 Prozent zu Yahoo und 12,5 Prozent zu Altavista.

Auch wenn die Bezeichnungen des Schädlings variieren, sollten ihn mittlerweile alle namhaften Antivirus-Programme erkennen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und dazu, welche Einstellungen vorgenommen werden sollten.

Siehe dazu auch:

    * Wurm-Beschreibung MyDoom.ax vom BSI

(pab/c't) Quelle und Links:
http://www.heise.de/newsticker/meldung/56473

p.s.
wg.
Update-Frequenzen von Virenscannern - ein Vergleich
Symantec hat das gestrige reguläre Life-Update heute erneut angestossen.

Jürgen

[SiLæncer]

Das Kernel-Rootkit kommt ohne Treiber aus.

Der Programm-Code des Mydoom-Wurms dient schon seit einiger Zeit als Basis für weitere Würmer, zum Beispiel für die Mytob-Familie. Der finnische Antivirus-Hersteller F-Secure berichtet nun über einen neu entdeckten Wurm namens "Gurong.a", der eine bisher noch nicht beobachtete Rootkit-Technik einsetzt und aus Russland stammen soll.

Die Verbreitung von Gurong.a erfolgt per Mail und über das P2P-Netzwerk von Kazaa. Die Mails tragen einen unauffälligen Betreff wie etwa "Greetings!", "Hello friend ", "Hey dear!" oder "Re: Hello". Die Dateinamen der Mail-Anhänge reichen von "body.bat" über "document.pif" bis "sex_pics.scr". Über Kazaa verbreitet sich Gurong mit Dateinamen wie zum Beispiel "0day_patch.exe", "skype_video.scr" oder "xp_activation.pif".

Wird der Wurm ausgeführt, kopiert er sich zunächst als "wmedia16.exe" in das System-Verzeichnis von Windows. Er legt dann einen Registry-Eintrag an, damit diese Datei bei jedem Start von Windows ausgeführt wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
WMedia16 = %System%\wmedia16.exe

Dabei steht %System% für das System-Verzeichnis, also etwa "C:\Windows\System32". Die von Gurong.a verwendete Rootkit-Technik benutzt ein so genanntes "Call Gate", um Befehle aus dem Adressbereich des angemeldeten Benutzers in den Kernel von Windows zu senden. Dadurch kann Gurong.a Dateien, Prozesse und Registry-Einträge verbergen ohne einen speziellen Treiber zu installieren, wie dies andere Kernel-Rootkits tun.

Ein Call Gate ist ein spezieller Mechanismus in x86-Prozessoren, der es erlaubt vordefinierte Befehle mit Systemrechten auszuführen. So ist der Programm-Code zum Verstecken von Dateien und Prozessen Teil des mit den Rechten des Benutzers laufenden Programms wmedia16.exe. Er kann jedoch mit Systemrechten Objektstrukturen manipulieren und Zeiger umbiegen, ohne dass der Benutzer die Rechte eines Administrators haben muss.

Nach Angaben von F-Secure ist Gurong.a in freier Wildbahn gesichtet worden, verbreitet sich jedoch eher langsam. F-Secures Rootkit-Detektor " Blacklight " soll Gurong.a entdecken und entfernen können.

Quelle : www.pcwelt.de

[ritschibie]

Die Köpfe hinter der neuen Version des MyDoom-Wurms verpassen ihrem Schadcode eine umfassende "Selbstzerstörungs-Funktion". Von einer Entwarnung kann aber absolut keine Rede sein.

Erst kürzlich machte die überarbeitete Variante des MyDoom-Schädlings auf sich aufmerksam. Gemeint sind damit die DDoS-Angriffe gegen Regierungsserver in den Vereinigten Staaten und Südkorea. Nach den getätigten Attacken gegen die Server der offiziellen Einrichtungen griffen die Finsterlinge hinter dem MyDoom-Wurm mehrere Nachrichtenportale, welche über diese Geschehnisse berichtet haben, an.


Virus, Wurm, Schädling, Malware, Trojaner, MyDoom

Verschiedenen Meldungen zufolge wird MyDoom ein weiteres schädliches Feature in seinen Funktionsumfang aufnehmen. Dieses soll er selbstständig aus dem Netz herunterladen. Im Hause SecureWorks hat man sich näher mit dem Schadcode auseinandergesetzt und bereits einige Worte dazu verloren. Alles in allem kam man zu dem Ergebnis, dass die Folgen für die Opfer äußerst weit reichend ausfallen könnten. Als zentrales Problem bezeichneten die Experten den neuen "Selbstzerstörungs-Mechanismus". Sollte diese Funktion betätigt werden, so stellt nicht nur der Schadcode seine Dienste ein. Angeblich soll auch die komplette Festplatte des unterwanderten Systems gelöscht werden.

Wie sich im weiteren Verlauf der Untersuchung herausstellte, so soll dieser Mechanismus vorerst nur heruntergeladen werden. Folglich geht man davon aus, dass diese Funktion in der nächsten Zeit nicht aktiviert wird. Virus, Wurm, Schädling, Malware, Trojaner, MyDoom: Ob dies von den Autoren der Malware beabsichtigt war, oder ob es sich um einen Fehler handelt, ist zu diesem Zeitpunkt noch unklar. Vorstellbar wären in den Augen einiger Sicherheitsexperten beide Fälle. In Korea sollen sich die ersten betroffenen Systeme bereits selbst zerstören. Dies gab das KR-CERT (South Koreas Computer Emergency Response Team) bekannt.

Quelle: http://www.gulli.com