Aktuelle gefährliche Viren und kostenlose Antiviren-Programme

Henrik

Orginal von http://www.bsi.de/av/vb/mydoomb.htm

Name: W32.MyDoom.B@mm
Alias: Mydoom.B [F-Secure],
W32/Mydoom.b@MM [McAfee],
WORM_MYDOOM.B [Trend],
Win32.Mydoom.B [Computer Associates],
I-Worm.Mydoom.b [Kaspersky],
W32/MyDoom-B [Sophos]
Art: Wurm
Größe des Anhangs: 29.184 Bytes, 6.144 Bytes (ZIP-Datei)
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing,
Installation eines Backdoors,
DoS Angriff
Spezielle Entfernung: Tool
bekannt seit: 28. Januar 2004

Beschreibung:

W32.MyDoom.B@mm ist eine Variante von W32.Novarg.A@mm, alias W32.MyDoom.A@mm.

Der Wurm versendet sich in Dateien mit den Endungen .bat, .cmd, .exe, pif, .scr und .zip. Zusätzlich verbreitet er sich über den Downloadbereich des Peer-To-Peer-Netzwerks KaZaA.

Wie sein Vorgänger, installiert auch MyDoom.B ein Backdoor-Programm, mit dem ein Zugriff auf den Rechner von aussen mögich ist. Es verwendet die Ports 80, 1080, 3128, 8080, und 10080 und ist in der Lage, weitere Programme aus dem Internet zu laden und auszuführen. Das Backdoor wird bei der Infektion des Systems als Datei Ctfmon.dll in das Systemverzeichnis von Windows kopiert. (%System%\Ctfmon.dll).

MyDoom.B startet am 1. Februar 2004 ein DoS-Angriff gegen die Internetseite https://localhost/www.sco.com und am 3. Februar 2004 gegen https://localhost/www.microsoft.com.

Der Wurm legt weiterhin die Dateien Message (%Temp%\Message) und Explorer.exe (%System%\Explorer.exe) an.
Message enthält nicht lesbare Zeichen und wird bei der Infektion mit dem Windows-Programm Notepad angezeigt.
Explorer.exe enthält das Wurmprogramm.

Hinweis:
%System% und %Temp% sind Systemvariablen, die den tatsächlichen Dateipfad enthalten. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.

Mit dem Registrierungsschlüssel

HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"Explorer" = "%System%\Explorer.exe"

wird der Wurm MyDoom.B bei jedem Systemstart aktiviert.

Mit einem weiteren Schlüssel

HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

"(Default)" = "%System%\ctfmon.dll"

aktiviert sich die Backdoor-Komponente beim Rechnerstart.

Änderungen im Betriebssystem bewirken, dass verschiedene Internetseiten nicht mehr zugreifbar sind. Darunter sind viele Seiten von Antiviren-Herstellern. Die Internetseiten sind:

ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
ar.atwola.com
atdmt.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
ca.com
click.atdmt.com
clicks.atdmt.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
engine.awaps.net
fastclick.net
f-secure.com
ftp.f-secure.com
ftp.sophos.com
go.microsoft.com
liveupdate.symantec.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
phx.corporate-ir.net
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
update.symantec.com
updates.symantec.com
us.mcafee.com
vil.nai.com
viruslist.ru
windowsupdate.microsoft.com
https://localhost/www.avp.ch
https://localhost/www.avp.com
https://localhost/www.avp.ru
https://localhost/www.awaps.net
https://localhost/www.ca.com
https://localhost/www.fastclick.net
https://localhost/www.f-secure.com
https://localhost/www.kaspersky.ru
https://localhost/www.mcafee.com
https://localhost/www.microsoft.com
https://localhost/www.my-etrust.com
https://localhost/www.nai.com
https://localhost/www.networkassociates.com
https://localhost/www.sophos.com
https://localhost/www.symantec.com
https://localhost/www.trendmicro.com
https://localhost/www.viruslist.ru
http://www3.ca.com

Wie sein Vorgänger, entnimmt auch MyDoom.B E-Mail-Adressen aus Dateien mit den Endungen .htm, .sht, .php, .asp, .dbx, .tbb, .adb, .pl, .wab und .txt.

Die E-Mail hat folgende Charakteristik:

Von: <Adresse gefälscht>

Betreff: <eine der folgenden>

Returned mail
Delivery Error
Status
Server Report
Mail Transaction Failed
Mail Delivery System
hello
hi

Nachricht: <einer der folgenden>

* sendmail daemon reported:
Error #804 occured during SMTP session. Partial message has been received.
* Mail transaction failed. Partial message is available.
* The message contains Unicode characters and has been sent as a binary attachment.
* The message contains MIME-encoded graphics and has been sent as a binary attachment.
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Name des Anhangs:

<zufällige Zeichen>

Der Anhang enthält einen oder zwei Dateinamen-Erweiterungen:

.htm
.txt
.doc

Die zweite Erweiterung ist (oder bei nur einer Erweiterung)

.pif
.scr
.exe
.cmd
.bat
.zip

Größe des Anhangs: 29.184 Bytes, 6.144 Bytes (ZIP-Datei)

Im Download-Bereich von KaZaA legt sich der Wurm mit folgenden Dateinamen ab:

icq2004-final
Xsharez_scanner
BlackIce_Firewall_Enterpriseactivation_crack
ZapSetup_40_148
MS04-01_hotfix
Winamp5
AttackXP-1.26
NessusScan_pro

Als Erweiterung verwendet er:

.pif
.scr
.bat
.exe

Entfernung des Wurms MyDoom.B

Bei den Betriebssystemen Windows ME oder XP, muß vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.

Symantec (FxMydoom.exe): Direkt-Download oder Download mit englischer Beschreibung (FxMydoom.exe erkennt die A- und B-Variante des Wurms)
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 29.01.2004)

LigH

Danke für die Informationen - aber so extrem umfangreich wären sie vielleicht nicht nötig gewesen...

Um hier mit einem festen Beitrag zu Virusunformationen und Antiviren-Tools zu beginnen, habe ich den Titel des Beitrags geändert.

Kostenlose Antiviren-Programme gibt es unter anderem hier:

GriSoft: AVG Free Edition
H+BEDV: AntiVir Personal Edition
TREND MICRO: System Cleaner (SYSCLEAN.COM und aktuelle Pattern-Datei holen!)
NAI: AVERT Stinger

Auch bei Symantec gibt es oft aktuelle Cleaner für bestimmte Viren, jedoch meist keine Sammel-Programme für eine aktuelle In-The-Wild-Liste.

Sonst noch Vorschläge?

Morpheus

Hallo,
AntiVir hat ein Scanner herrausgebracht mit den man die neusten Würmer aufspüren und entfernen kann. Ich häng ihn mal mit dran.

Schlunz

Zitat

MyDoom.B startet am 1. Februar 2004 ein DoS-Angriff gegen die Internetseite http://www.sco.com und am 3. Februar 2004 gegen http://www.microsoft.com.

Ist der denn dann ueberhaupt "gefaehrlich"?

Excuse me please!

Morpheus

Hallo,
vielleicht sind sie nicht umbedingt gefährlich für ein selber, aber ich muß es nicht haben das irgendwelche Angriffe auf fremde Server von meinem Rechner aus geführt werden.

Außerdem möchte ich gefragt werden wenn sich etwas auf meinem Rechner installiert, bin in der Beziehung etwas konservativ.

Der Angriff auf sco war ja ein voller "Erfolg" der Server ist down. Zumindest laut den news von Arcor

Schlunz

Si

Aber Du hast schon recht, eigentlich gibt niemand gern die Kontrolle dermassen her...!

Henrik

Meldung vom 18.02.2004
Variante des Bagle Wurm
CT schreibt dazu:Zitat

Ein Variante des Bagle-Wurms hat sich auf den Weg in die Postfächer von Anwendern gemacht. Die Hersteller von Antivirensoftware konnten sie sich diesmal auf keinen Namen für den Windows-Schädling einigen, weshalb ihn jetzt einige Worm.Bagle, W32.Beagle.B@mm, W32/Tanx.A, W32/Yourid.A oder gar W32.Alua@mm nennen. Anders als der wortgewaltige Wurm Sober.c, der die Empfänger mit deutschen Texten in Angst und Schrecken versetzte, präsentiert sich Bagle.B ziemlich plump mit "Yours ID x -- Thank", wobei das x eine zufällige Zeichenkette bezeichnet. Im Anhang steckt der Wurm in einer ausführbaren Datei mit zufälligem Namen.

Von infizierten Systemen versendet sich der Wurm mit gefälschter Absenderadresse an weitere E-Mail-Adressen per eigener SMTP-Engine. Zusätzlich öffnet er auf Port 8866 eine Hintertür und sendet darüber eine Benachrichtigung an einen der Server https://localhost/www.47df.de, https://localhost/www.strato.de oder intern.games-ring.de. Der Wurm verbreitet sich nur bis zum 25. Februar.

Ps:Also am besten per Firewall Port 8866 sperren.

CT Artikel
http://www.heise.de/newsticker/meldung/44728

Chrille

Apropo Ports.
Wer Wissen will welcher Port was bewirkt, für den hab ich zwei Links:

1) http://ports.tantalo.net/index.php?lng=de

2) http://www.practicallynetworked.com/sharing/app_port_list.htm

by
Chrille

Henrik

....und es hört nicht auf
http://www.heise.de/newsticker/meldung/45128

Zitat:

Neue Variante des Netsky-Wurms verbreitet sich schnell

Nachdem am Wochenende gleich fünf neue Varianten des Bagle-Wurms entdeckt worden, gibt es jetzt auch eine neue Mutation des Netsky-Wurms, von Network Associates Netsky.d getauft. Der Schädling verhält sich ähnlich wie sein Vorgänger: Er verbreitet sich über eine eigene SMTP-Engine mit stets gefälschten Absenderadressen. Die D-Variante legt eine 17,424 Byte große Datei winlogon.exe im Windows-Systemverzeichnis an und schreibt einen Schlüssel in die Windows-Registry, um sich beim Hochfahren des Systems selbst zu starten. Als Nebeneffekt versucht der Wurm, eventuell vorhandene Hintertüren von MyDoom.a und MyDoom.b zu deaktivieren.

Die meisten Antivirus-Hersteller wie Network Associates und Symantec haben bereits aktualisierte Virensignaturen zur Erkennung der neuen Netsky-Mutation. Die neue Netsky-Variante scheint sich rasant zu verbreiten: Die Scanner auf den Mail-Servern des Heise-Verlags registrierten über 400 mit dem Wurm verseuchte E-Mails innerhalb einer Viertelstunde nach Aktualisierung der Signatur-Dateien.

Grundsätzlich gilt: Egal wie die Datei in einem Mailanhang heißt, man sollte sie nicht ungeprüft öffnen, anklicken oder ausführen. Auch wenn der Absender bekannt ist, kann die Mail den Wurm enthalten. Ohnehin sollten deutsche Anwender die -- allerdings stark variierenden -- englischen Betreffzeilen und Nachrichtentexte stutzig machen. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security......

Henrik

Mutierende Mail-Würmer im Tagesrhythmus [Update]
zu lesen hier :http://www.heise.de/newsticker/meldung/45207

LigH

Auch vom BitDefender 7 gibt es jetzt eine kostenlose Version für die Privatanwendung; allerdings ohne Wächter.

http://www.bitdefender.de

LostStarter

naja beim letzten torvil angriff bei mir hatte das teil total versagt, obwohl die signatur bekannt war.....

was aber nichts aussagt, ich hatte noch 3 andere (fsecure, norton und noch eines weis jetzt nur nicht mehr welches das war, ebenfalls getestet und alle mit dem gleichen ergebnis......) alle sollten laut eigenen aussagen torvil kennen und beseitigen können....tja....eigenwerbung sollte man eben nie trauen....

LigH

Torvil? Nanu, ist wohl an mir vorbei gegangen. viruslist.com kennt den auch nicht unter diesem Namen (na ja - besonders standardisiert sind die Namen auch nie...). Symantec findet fast nur dann Beschreibungen dazu, wenn man auch in Asien suchen läßt. Heißt da auch Torvel.

McAfee (NAI) bietet anscheinend die bessere Meta-Suchmaschine für Virenbeschreibungen, da werden Beschreibungen auf mehreren Antiviren-Hersteller-Seiten gesammelt!

Chrille

hi Leutz,
passt zum Thema. Bei Microsoft kann man sich kostenlos ne Sicherheitsupdate CD bestellen. Sämtliche MS OS, Stand Oktober 2003.
http://www.microsoft.com/germany/ms/sec…erheits-cd.mspx
Ohne Porto.
by
Chrille

Selur

"Stand Oktober 2003"
Die sollen mal lieber mehr aktuelle Patchsammlungen zum Download anbieten. Ist ja ein Krampf bis die ganzen updates mal da sind wenn man seine Kiste mal wieder neu installiert.

Cu Selur

LigH

Ganz besonders über Schmalband.

gucky

hallo,

habe ihr euch schonmal den ordner servicepackfiles angeschaut? soweit ich weiss landen darin alle geladenen patches.....

gucky

Chrille

LigH
Hm...wenn man die Corperate von MS hat, kann man sich Updates von MS seperat auf Platte abspeichern. Einige Anleitungen schwirren ja da im Netz rum

Ansonsten kenne ich diese Site, einmal gesaugt und immer wieder verwendbar.
http://cert.uni-stuttgart.de/os/ms/winxp-updates.php
by
Chrille

LostStarter

also mein google findet da massig seiten drüber @ LighH

bsp:

http://www.sophos.de/virusinfo/analyses/w32torvila.html

LigH

@ Chrille, Selur:

Mittlerweile sind es nur schon einige 'zig Megabytes seit dem 2000-SP4. Ein SP5 wäre langsam mal sinnvoll.

Jetzt mitmachen!