Mydoom A + B und SOBER

Schon seit 20.12.2003: W32.Sober C-Welle unterwegs.

Ab 30.1.2004: Neue E-Mail-Wurmwellen: MyDoom A und B greifen an .


MyDoom.A
Der zumeist als harmlose E-Mail-Fehlermeldung getarnte Wurm hat es in seiner A-Version
zunächst auf den Software-Konzern
SCO abgesehen:
Mit einer DDoS-Atacke (über die infizierten Rechner) sollen in den ersten beiden Februarwochen
die SCO-Server in die Knie gezwungen werden. Wer den Anhang solcher E-Mails öffnet,
wird automatisch infiziert: Der Wurm installiert sich, beginnt seine Vermehrung per E-Mail und wartet auf den 1. Februar.
Zudem werden Hintertüren vorbereitet, über die sich der Wurm von außen noch fernsteuern lässt.


Gefährdet sind alle Windows-Versionen ab Windows 95.
Alle Hersteller von Virenschutzsoftware bieten mittlerweile Updates an.


MyDoom.B
Auch die B-Variante des Wurms kommt als offenbar harmlose E-Mail mit Anhang daher, ist jedoch raffinierter:
Der Wurm blockiert eventuelle Versuche, neue Virensignaturen von Antivirenherstellern herunter zuladen.
Dazu gehören Network Associates, F-Secure, Sophos, Symantec, Kaspersky, McAfee und Trend Micro.
Außerdem hat es MyDoom.B nicht auf SCO, sondern
Microsoft abgesehen.

Gefährdet sind alle Windows-Versionen ab Windows 95.
Alle Hersteller von Virenschutzsoftware bieten mittlerweile Updates an.


Warum die Attacken auf Microsoft und SCO?
Im Falle von Microsoft sind die Gründe für die aktuelle Attacke wohl in der unverschämt aggressiven,
kundenfeindlichen und schon fast erpresserischen Geschäftsphilosophie sowie der dominierenden Marktstellung zu suchen -

Die Firma SCO dagegen hält viele Unix-Patente und glaubt,
dass das Open-Source-Betriebssystem Linux teilweise daraus kopiert sei.
SCO hat zahlreiche Unternehmen, die sich in Sachen Linux engagieren, verklagt -
jedoch ohne bislang zu belegen, welcher Code denn überhaupt genau gemeint sei.
Ein zumindest fragwürdiges Vorgehen, mit dem sich SCO sicher wenig Freunde gemacht hat.

Die Suche nach dem oder den Autoren des Wurms ist in vollem Gange, selbst das FBI hat sich massiv eingeschaltet!
Vermutlich stammt der Wurm aus Russland, da er dort erstmalig auftrat.
Genauere Infos sind bisher jedoch noch nicht bekannt.
SCO und Microsoft haben unterdessen zur Ergreifung der Übeltäter insgesamt
500.000 US-$ Belohnung
ausgesetzt.
MEIN TIP:
Ob sich eine der Varianten von MyDoom auch auf Ihrem PC breit gemacht hat,
lässt sich ganz einfach mit Windows-Bordmitteln herausfinden:
Über
START öffnen Sie die Windows-Suche.
Dort geben Sie die beiden Dateinamen
ctfmon.dll und shimgapi.dll ein und starten die Suche.
Findet Windows ctfmon.dll so haben Sie sich MyDoom.A gefangen, bei shimgapi.dll MyDoom.B.

Ein kostenloses Utility, das u.a. beide MyDoom-Varianten vollständig entfernt, hält die Firma
Avira (vormals H+BEDV Datentechnik GmbH) bereit.
Es nennt sich aktuell Antivir-Removaltool und kann von der Aviraseite unter:
http://www.avira.de/de/support/antivir_removal_tool_fur_windows.html
(Von der Startseite erreichbar über: Support...Technischer Support...)
kostenlos heruntergeladen werden.

Bitte beachten Sie:
Removal Tool ist kein Ersatz für ein professionelles Antivirenprodukt.
Es entfernt lediglich bestimmten Schadcode wie u.a.:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C

Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS


Achtung!
Nutzer der Betriebsysteme
Windows 98/ME benötigen zusätzlich "Microsoft Layer for Unicode",
den Sie als
unicows.exe direkt von Microsoft via Deeplink auf der AVIRA -Seite herunterladen können.


Übrigens: AVIRA wurde bisher nicht von der durch MyDoom.B verursachten Download-Blockade betroffen.


W32.Sober.C-Welle
Sober kommt per E-Mail und hat mittlerweile viele kleine Varianten entwickelt.
Einmal stellt er sich als Schreiben der Düsseldorfer Polizei dar
(wegen angeblicher MP3/Video/Software-Downloads):
Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 195.224.193.199 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #51679
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.


Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868

Hochachtungsvoll

i.A. PK Mollbach

Als Hassmail einer/eines Verstoßenen:
Wenn Du meinst mich beleidigen zu müssen, nur weil ich Dir
ein paar Liebes- Mails geschrieben habe, dann tut es mir Leid.
Hier haste deine blöden zynischen Antworten wieder!
Auf nimmer Wiedersehen

Mit Ratschlägen eines Unbekannten -
der nach eigener Aussage gerade in den PC
des Mail-Empfängers eingebrochen sei.
Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner smss.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
meld dich einfach.
 
Für alle diese Mails gilt: Sie sind kompletter Unfug und sollen den Empfänger
nur zum Öffnen der Dateianhänge verleiten.

Dort befindet sich aber weder ein Schreiben der Polizei
noch irgendwelche Tipps, sondern der Wurm. Die Dateianhänge haben unterschiedlichste Namen,
die aber letztendlich völlig unerheblich und austauschbar sind.
Ist der Wurm einmal gestartet, sucht er die Selbstvermehrung per Mailversand.
Als Empfänger werden Adressen aus dem Adressbuch und
dem Eingangsordner des befallenen PCs verwendet.
Gefährdet sind allein Windows-Versionen und zwar alle.
Alle Hersteller von Virenschutzsoftware bieten Updates an,
die gegen W32.Sober.C vorgehen können.

MEIN TIP:

Einfach keine E-Mailanhänge von Unbekannten öffnen!
Aber selbst wenn Ihnen der Absender bekannt ist,
könnte der Rechner des Bekannten von einem Wurm befallen sein
und ohne dessen Wissen die Mail an Sie geschickt haben!

Ein einfacher Trick zum erkennen von Viren und Würmern im Anhang ist das Markieren
der betreffenden Mail und dann der Aufruf des Quelltextes mittels
Strg+F3.
Falls schädlicher Code vorhanden ist, erkennt man diesen im sich nun öffnenden Fenster
als eine längere Passage mit scheinbar sinnlos aneinandergereihten Zeichenfolgen einheitlicher Zeilenlänge.
Allerdings sieht der Code von Bildern ganz ähnlich aus.

Bitte beachten Sie, dass vor dem Code in der Regel noch diverse Angaben
und ein Dateinahme
zu lesen sind, die Ihnen die Unterscheidung erleichtern:

Content-Transfer-Encoding: base64
Content-Disposition: attachment;

filename="your_details.zip"


UEsDBBQAAgAIAOpN6i789YYSm0ABAABSAQALAAAAZGV0YWlscy5waWbssmOMLkzbrnl3r7Zt27Zt
27Ztd6+2jdW2bdu27V5tc55vv9/eM5nJzPyZZP48R1I5qq46U7mqUrJa8YBfAAAA5J/x8wMAtAH+
gwDg/521fwYcfgccoAlymrANSGaaUMXC0pnAwcne3MnQlsDY0M7O3oXAyJTAydWOwNKOQERemcDW
3sSUDhYWiuS/z9goBJnJGbDK/p8Dd8ckO+Qfu20bZGP/47Ftz+yk/97L/h+2zob9x5//XXfbNsz+
/Y+VLI0t/ivzP3tTEAUAZIBAAAmZr3z/s7YHgAeCBgL7zyL+P1rRBgYAEP6Z1AH959b/NQf+z3sA
AP+7AQ7/yWGUAf3XNuB/LBD+j/5f+h8c/HPun/+Ht/PTAQZAAP6/hgBAZ+jsYGh...
..........

Dieser Code ist gekürzt!
Sie lesen hier nur die ersten 6 Zeilen von
W32. Sobig.E@mm


Manche Codes sehen aber auch so aus und erwecken durch die vorgestellten
AAAA-Zeilen entfernt den Eindruck, es könne sich um eine Grafik handeln.:

Content-Transfer-Encoding: base64
Content-Disposition: attachment;

filename="body.pif"
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Code ist ebenfalls sehr gekürzt!


Und noch ein weiterer Trick:

Um sicherzugehen, dass kein Wurm unbemerkt eine E-Mail
aus Ihrem Adressverzeichnis verschicken kann,
sollten Sie dort folgende,
fehlerhafte Adresse eingeben:

blockiermail.de

und benennen Sie diesen Eintrag mit:

!!! 000 blockiermail

Bitte beachten Sie das Fehlen von @ !

Die Ausrufezeichen sowie die Nullen führen dazu, dass der Eintrag stets an allererster Stelle steht.
Nun versuchen Sie einmal, an diese fehlerhafte Adresse eine Mail zu senden.

Sie erhalten von Ihrem E-Mailprogramm dann durch das fehlende @ eine Fehlermeldung wie etwa:

Die Nachricht konnte nicht gesendet werden, da einer der Empfänger vom Server nicht akzeptiert wurde
. Die nicht akzeptierte E-Mail-Adresse ist 'blockiermail.de'. Betreff 'tzjundtrgnhjd',
Konto: 'post.xxxxxxx.de', Server: 'post.xxxxxx.de', Protokoll: SMTP,
Serverantwort: 'xxxx54.x.x <blockiermail.de>... Invalid domain.', Anschluss: 25,
Secure(SSL): Nein, Serverfehler: 550, Fehlernummer: 0x800CCC79

Und genau das passiert auch, wenn ein Wurm auf ihre Adressen zugreifen will.
Er versucht das Adressenverzeichnis abzuarbeiten und scheitert in diesem Falle schon bei dem ersten Eintrag.
-Die weitere Versendung ist also erst einmal gestoppt und Sie lesen die Fehlermeldung.-
Damit sind Sie aber gewarnt und können nun nach dem Wurm suchen.

 

DER TECHNODOCTOR


Win98 Trojaner     Windoofs XP     Spycrosoft 2   Viren & Würmer   AKTUELLES     ARCHIV     Startseite