Habe diese Mail eben vom BSI bekommen:
######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
Informationen zu Programmen mit Schadfunktionen
VIRINFO 03/013 vom 03.11.2003
Name: W32.Mimail.C@mm
Alias: WORM_MIMAIL.C [Trend]
W32/Mimail.c@MM [McAfee]
Win32.Mimail.C [CA]
W32/Mimail-C [Sophos]
Art: Wurm
Groesse des Anhangs: 12.832 (UPX gepackt); 12.958 bytes (zip-File)
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: mittel
Risiko: mittel
Schadensfunktion: Massenmailing, Denial of Service, Datendiebstahl
Spezielle Entfernung: Tool
bekannt seit: 31. Oktober 2003
Beschreibung:
W32.Mimail.C@mm ist eine Variante des W32.Mimail.A@mm-Wurms und wie das
Original ein Internet-Wurm, der sich mit einer eigenen SMTP-Maschine
ueber E-Mails verbreitet. Er sammelt Informationen und versendet diese
via E-Mail. Ausserdem wird versucht ein Denial of Service zu
generieren.
Eine infizierte E-Mail hat folgende Charakteristik:
Von:
james@<lokale Domaene>
Die lokale Domaene wird versucht aus lokalen DNS-Dateien zu bestimmen.
Betreff:
Re[2]: our private photos [zufaellige Buchstabenkombinationen]
Nachrichtentext:
Hello Dear!,
Finally i've found possibility to right u, my lovely girl 
All our photos which i've made at the beach (even when u're without
ur bh:))
photos are great! This evening i'll come and we'll make the best SEX
Right now enjoy the photos.
Kiss, James.
[die gleiche zufaellige Buchstabenkombination wie im Betreff]
Anhang:
photos.zip
Bei der Infektion des Systems kopiert sich der Wurm unter dem Namen
netwatch.exe in das Windows-Verzeichnis (Standard-Einstellung: Windows
95/98/Me/XP: C:\Windows; Windows NT/2000: C:\Winnt). Durch einen
Eintrag in der Registrierung wird dafuer gesorgt, dass bei jedem
Neustart des Rechners der Wurm mitgestartet wird. Zusaetzlich werden
zwei weitere Dateien im Windows-Verzeichnis abgelegt:
zip.tmp: (12.958 bytes)
exe.tmp: (12.832 bytes)
Es werden in verschiedenen Dateien des Rechners E-Mail-Adressen
gesammelt und in der Datei eml.tmp im Windows-Verzeichnis gespeichert.
Der Wurm versucht sich an die gefundenen Adressen selbst zu versenden..
Als weitere Schadensfunktion wird auf dem Rechner gefundene Textstuecke
per E-Mail versendet.
Zuletzt wird versucht, Daten an eine der folgenden Internetadressen zu
versenden und somit auf diese Adressen einen Denial of Service-Angriff
zu starten.
* darkprofit.net
* http://www.darkprofits.net
* darkprofitzs.com
* http://www.darkprofits.com
Entfernungs-Programm
Von Symantec wird ein spezielles Entfernungs-Programm fuer
W32.Mimail.C@mm und die anderen Varianten zum kostenlosen Download
bereitgestellt.
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswuerdigen
Absendern pruefen, ob der Text der Nachricht auch zum Absender passt
(englischer Text von deutschem Partner, zweifelhafter Text oder
fehlender Bezug zu konkreten Vorgaengen etc.) und ob die Anlage
(Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausfuehrbaren Programmen
(Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode
enthalten koennen (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch
abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen
Absender geschickt und nicht von einem Virus verbreitet wird.
Fragen richten Sie bitte an <mailto:antivir@bsi.de>.
Virenmeldungen koennen Sie an <mailto:virmeld@bsi.de> senden.
Mit freundlichen Gruessen
Ihr Team CERT-Bund
- -----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
<mailto:wid-virinfo@bsi.bund.de> / <http://www.bsi.bund.de>
- -----------------------------------------------------------------