Mydoom A + B und SOBER
Schon seit 20.12.2003: W32.Sober C-Welle unterwegs.
Ab 30.1.2004: Neue E-Mail-Wurmwellen: MyDoom A und B greifen an .
MyDoom.A |
Der zumeist als
harmlose E-Mail-Fehlermeldung getarnte Wurm hat es in
seiner A-Version zunächst auf den Software-Konzern SCO abgesehen: Mit einer DDoS-Atacke (über die infizierten Rechner) sollen in den ersten beiden Februarwochen die SCO-Server in die Knie gezwungen werden. Wer den Anhang solcher E-Mails öffnet, wird automatisch infiziert: Der Wurm installiert sich, beginnt seine Vermehrung per E-Mail und wartet auf den 1. Februar. Zudem werden Hintertüren vorbereitet, über die sich der Wurm von außen noch fernsteuern lässt.
|
MyDoom.B |
Auch die
B-Variante des Wurms kommt als offenbar harmlose E-Mail
mit Anhang daher, ist jedoch raffinierter: Der Wurm blockiert eventuelle Versuche, neue Virensignaturen von Antivirenherstellern herunter zuladen. Dazu gehören Network Associates, F-Secure, Sophos, Symantec, Kaspersky, McAfee und Trend Micro. Außerdem hat es MyDoom.B nicht auf SCO, sondern Microsoft abgesehen. Gefährdet sind alle Windows-Versionen
ab Windows 95. |
Warum
die Attacken auf Microsoft und SCO? |
Im Falle von
Microsoft sind die Gründe für die aktuelle Attacke wohl
in der unverschämt aggressiven, kundenfeindlichen und schon fast erpresserischen Geschäftsphilosophie sowie der dominierenden Marktstellung zu suchen - Die Firma SCO dagegen hält viele Unix-Patente und glaubt, dass das Open-Source-Betriebssystem Linux teilweise daraus kopiert sei. SCO hat zahlreiche Unternehmen, die sich in Sachen Linux engagieren, verklagt - jedoch ohne bislang zu belegen, welcher Code denn überhaupt genau gemeint sei. Ein zumindest fragwürdiges Vorgehen, mit dem sich SCO sicher wenig Freunde gemacht hat. Die Suche nach dem oder den Autoren des Wurms ist in vollem Gange, selbst das FBI hat sich massiv eingeschaltet! Vermutlich stammt der Wurm aus Russland, da er dort erstmalig auftrat. Genauere Infos sind bisher jedoch noch nicht bekannt. SCO und Microsoft haben unterdessen zur Ergreifung der Übeltäter insgesamt 500.000 US-$ Belohnung ausgesetzt. |
MEIN TIP: |
Ob sich eine
der Varianten von MyDoom auch auf Ihrem PC breit gemacht
hat, lässt sich ganz einfach mit Windows-Bordmitteln herausfinden: Über START öffnen Sie die Windows-Suche. Dort geben Sie die beiden Dateinamen ctfmon.dll und shimgapi.dll ein und starten die Suche. Findet Windows ctfmon.dll so haben Sie sich MyDoom.A gefangen, bei shimgapi.dll MyDoom.B. Ein kostenloses Utility, das u.a. beide
MyDoom-Varianten vollständig entfernt, hält die Firma Bitte beachten
Sie: Achtung!
|
W32.Sober.C-Welle |
Sober kommt per
E-Mail und hat mittlerweile viele kleine Varianten
entwickelt. Einmal stellt er sich als Schreiben der Düsseldorfer Polizei dar (wegen angeblicher MP3/Video/Software-Downloads): |
Sehr
geehrte Damen und Herren, das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar. Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 195.224.193.199 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt. Die von uns gesammelten Daten unter dem Aktenzeichen #51679 sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar. Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit gemacht haben, wurde die Herkunft dieser Mail verschleiert. Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf, Europa Sonderkommission "Internet Downloads" Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868 Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868 Hochachtungsvoll i.A. PK Mollbach |
Als Hassmail einer/eines Verstoßenen: |
Wenn
Du meinst mich beleidigen zu müssen, nur weil ich Dir ein paar Liebes- Mails geschrieben habe, dann tut es mir Leid. Hier haste deine blöden zynischen Antworten wieder! Auf nimmer Wiedersehen |
Mit
Ratschlägen eines Unbekannten - der nach eigener Aussage gerade in den PC des Mail-Empfängers eingebrochen sei. |
Juten
Tach, habe mal einen internet port scan gemacht. dabei konnte ich deinen rechner sehen und einsteigen. deine mail adresse hab ich auch auf deinem pc gefunden. bei dir ist der trojaner smss.exe am wüten. deshalb kann jeder auf deinen rechner zugreifen! du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden. du wirst aber feststellen, das er sich nicht beenden lässt. solltest du windows98/me haben, siehst du ihn erst gar nicht im task! dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage hat es gedauert, bis ich endlich ein programm zum entfernen gefunden habe. ich hab's dir mal mit beigetan. wenn fragen, meld dich einfach. |
Für alle diese
Mails gilt: Sie sind kompletter Unfug und sollen den
Empfänger nur zum Öffnen der Dateianhänge verleiten. Dort befindet sich aber weder ein
Schreiben der Polizei |
MEIN
TIP: Einfach
keine E-Mailanhänge von Unbekannten öffnen! Ein einfacher
Trick zum erkennen von Viren und Würmern im Anhang ist
das Markieren Bitte beachten
Sie, dass vor dem Code in der Regel noch diverse Angaben Content-Transfer-Encoding:
base64 Manche Codes
sehen aber auch so aus und erwecken durch die
vorgestellten Content-Transfer-Encoding:
base64 Und noch ein weiterer Trick: Um
sicherzugehen, dass kein Wurm unbemerkt eine E-Mail blockiermail.de und benennen Sie diesen Eintrag mit: !!! 000 blockiermail Bitte beachten Sie das Fehlen von @ ! Die Ausrufezeichen
sowie die Nullen führen dazu, dass der Eintrag stets an
allererster Stelle steht. Sie erhalten von Ihrem E-Mailprogramm dann durch das fehlende @ eine Fehlermeldung wie etwa: Die Nachricht
konnte nicht gesendet werden, da einer der Empfänger vom
Server nicht akzeptiert wurde Und genau das passiert
auch, wenn ein Wurm auf ihre Adressen zugreifen will. |
DER TECHNODOCTOR