Es gibt Viren die sterben anscheinend nie aus. Und dazu gehört die Mydoom-Virenfamilie zu gehören. Seit heute melden mehrere Antivirenlabore eine starke Verbreitung einer neuen version des Mydooms-Virus. Dieser sucht auf dem PC des Opfers nach e-mail-Adresse an die er sich dann versendet und installiert eine Backdoorfunktion, sobald der virusinfizierte Anhang einer Mail gestartet wurde.

Beschreibung

Auch dieses neue Variante verschickt mit dem eigens Mitgebrachten SMTP Server eMails, die eMail Adressen werden aus dem Adressbuch, den Temporären Internet Files und auf der Festplatte genommen. Aber auch hier wird wieder ein Backdoor installiert so das es Angreifern ein leichtes ist zugang zu dem Rechner über das InterNet zu erlangen. Es wird dafür der Port 1034 geöffnet und eine Datei mit dem Namen SERVICES.EXE im Windows Verzeichnis abgelegt. Verbreitung findet hier wieder über eMails statt folgende Anhänge sind betroffen EXE SCR COM CMD PIF BAT
 

Symptome

Installiert sich der Wurm erfolgreich auf einer Maschine wird die Datei JAVA.EXE im Windows Verzeichnis abgelegt sowie die Datei SERVICES.EXE. Folgende Registery Einträge sind nach der Infizierung vorhanden HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run "Services" = %WinDir%\SERVICES.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run "JavaVM" = %WinDir%\JAVA.EXE HKEY_CURRENT_USER\Software\Microsoft\Daemon HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon Die SERVICES.EXE welche bei jedem Neustrat mit Startet öffnet der Port 1034, auch hier wird wieder versucht durch Senden an generierte IP-Adressen die Verbreitung zu erhöhen.

Schutz

Kein Dateianhänge öffnen die man nicht kennt.

Entfernung

Aktueller Virusscanner bzw. Remove Tool die seit heute auf den Websiten der Virenscanner Hersteller angeboten werden.

Danke

Tigo für die Warnung, das heisst: Das offiziell gekaufte und angemeldete Virenschutzprogramm  m u s s  jederzeit top aktuell sein - und dies ist es nur mit den fast täglichen Updates via Internet.

Ein veraltetes Virenschutzprogram, "Ja ich hab doch eins vom Kollegen bekommen und installiert" , das nützt  n i c h t s! Da kannst du den PC bald mal wegschmeissen oder du rennst aus Wut und Enttäuschung mit dem "Grind" dagegen.

So viel ich weiss gibt es auch entsprechende Gratissoftware die "man" auf dem eigenen Rechner installieren kann; - aber wie steht's da mit den notwendigen Updates?

Ich perönlich vertraue in dieser Hinsicht auf die Produkte von Symantec, - bis heute mit Erfolg.

Tigo, wenn du Adressen mit Gratis- Antivirensoftware-Anbietern kennst (seriöse!) dann gib sie doch bitte hier bekannt.

H. Ryter

____________________
Geh oft den Weg zum Haus deines Freundes, denn Unkraut überwuchert sonst den unbenutzten Pfad!

[editiert: 20.02.05, 13:17 von Ryter Administrator]

Hallo Ryter, Hallo Forum, Hallo Männer! (Damen natürlich auch!)

Wenn es aktuelle Probleme zu dem Thema der "Tierchen" gibt, stellt Sie hier in Euer Forum.
Ich bin gern bereit bei der "Jagd" zu helfen.

Wer ich bin, findet Ihr in meinem Profil. Und wenn es um solches "Ungeziefer" geht, sind wir auch schon bei meinem Lieblingsthema.
Kurz zur Erklärung. Wir betreiben eigene Server und Netzwerke, koordinieren und sichern sie. In diesem Zusammenhang sind wir über
die entsprechenden Lizenzen mit den Partnern Symantec, Sofos, a2 und einigen anderen serverseitig verbunden.
Das hat den Vorteil der Schnelligkeit in Form von Warnungen und Abwehr der "Biester".
Des weiteren schauen wir selbst in unserer Testumgebung ("Sandkasten" nach, wie einige Viren, Würmer etc. reagieren.

Letztes Wochenende war es sehr schlimm. Mehrere neue Varianten des Mydoom-Wurms sind entdeckt worden.
Sie werden von McAfee als " W32.Mydoom.bc ", " W32.Mydoom.bd " und " W32/Mydoom.be " bezeichnet.
Bei anderen Antivirus-Herstellern weichen die Bezeichnungen wegen einer anderen Zählweise davon ab.
So fasst Symantec die zwei erstgenannten neuen Varianten unter "W32.Mydoom.AZ@mm" zusammen.
Alle drei Varianten ähneln sich stark. Die Unterschiede zu "W32/Mydoom.bb" sind ebenfalls gering.
Sie liegen in den Backdoors, die zusätzlich aus dem Internet geladen werden. Die Zahl der bislang
gemeldeten Infektionen genügen den meisten Antivirus-Firmen nicht für eine mittlere Warnstufe, nur
McAfee hat "Medium"-Warnungen heraus gegeben.

tigo schrieb Euch hier schon einige Symtome mit auf. Diese sind sehr hilfreich, leider für manchen nicht
leicht nachvollziehbar.

Also, wenns Fragen gibt schreit. Ich stehe Euch gern zur Verfügung, auch zu anderen Themen.

Grüße in die schöne Schweiz
Andre