W32.Novarg.A@mm, Worm/MyDoom - Stark verbreitet!

#0
27.01.2004, 14:50
Member

Beiträge: 78
#1 Seit gestern Nacht ist ein neuer Wurm unterwegs der offenbar schon sehr stark verbreitet ist!

W32.Novarg.A@mm is a mass-mailing worm that arrives as an attachment with the file extension .bat, .cmd, .exe, .pif, .scr, or .zip. When a computer is infected, the worm will set up a backdoor into the system by opening TCP ports 3127 thru 3198. This can potentially allow an attacker to connect to the computer and use it as a proxy to gain access to its network resources. In addition, the backdoor has the ability to download and execute arbitrary files.

The worm will perform a DoS starting on February 1, 2004. It also has a trigger date to stop spreading on February 12, 2004.

From: may be a spoofed from address

Subject:
(one of the following)

* test
* hi
* hello
* Mail Delivery System
* Mail Transaction Failed
* Server Report
* Status
* Error

Message:
(one of the following)
* Mail transaction failed. Partial message is available.
* The message contains Unicode characters and has been sent as a binary attachment.
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Attachment:
(one of the following)
* document
* readme
* doc
* text
* file
* data
* test
* message
* body

# Notes:
# The attachment may have two suffixes. If so, the first suffix will be one of the following:

* .htm
* .txt
* .doc

# The worm will always end with one of the following suffixes:

* .pif
* .scr
* .exe
* .cmd
* .bat
* .zip

# Copies itself to Kazaa download folder as one of the following files:

* winamp5
* icq2004-final
* activation_crack
* strip-girl-2.0bdcom_patches
* rootkitXP
* office_crack
* nuke2004

with a file extension of:
* .pif
* .scr
* .bat
* .exe

http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html

Worm/MyDoom verbreitet sich über den Versand von Emails, wie auch über das P2P Netzwerk KaZaA. Wird der Wurm ausgeführt, öffnet dieser die Windows Notepad.exe (Editor) und zeigt eine Datei mit dem Namen MESSAGE. an. In dieser bekommt der Anwender nur 'Datenmüll' zu sehen.

Der Wurm erstellt im Windows Systemverzeichnis eine Datei mit dem Namen "SHIMGAPI.DLL". Diese enthält eine Backdoor Komponente, welche potentielle Angreifer Zugriff über die TCP Ports 3127 bis 3198 auf den Rechner erlaubt.

Worm/MyDoom startet am 1.Februar eine DoS Attacke auf die Webseite von SCO.COM.

Symptome:
* Windows Notepad.exe (Editor) mit Datenmüll wird geöffnet
* Die Datei Shimgapi.dll ist im Windows Systemverzeichnis vorhanden

Infektionsweg:
* Emailversand mit Hilfe seiner eigenen SMTP Engine
* Verbreitung über das P2P Netzwerk KaZaA mit Hilfe der gesharten Verzeichnisse

Weitere Infos
http://www.antivir.de/vireninfo/mydoom.htm

Gruß
pcfreak
Seitenanfang Seitenende