cert-bund: virenwarnung

  • #1

    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1


    ######################################################################


    CERT-Bund -- Warn- und Informationsdienst


    ######################################################################


    Informationen zu Programmen mit Schadfunktionen


    VIRINFO 04/02 vom 27.01.2004



    Virus-Warnung - Virus-Beschreibung


    Name: W32.Novarg.A@mm
    Alias: W32/Mydoom@MM [McAfee]
    WORM_MIMAIL.R [Trend]
    Art: Wurm
    Groesse des Anhangs: 22.528 Bytes
    Betriebssystem: Microsoft Windows
    Art der Verbreitung: Massenmailing
    Verbreitung: hoch
    Risiko: mittel-hoch
    Schadensfunktion: Massenmailing,
    Installation eines Backdoors,
    DOS Angriff gegen <http://www.sco.com>,
    Ueberschreiben von Systemdatei
    Spezielle Entfernung: -
    bekannt seit: 26. Januar 2004



    Beschreibung:


    W32.Novarg.A@mm ist ein Internet-Wurm, der sich in Dateien mit den
    Endungen .bat, .cmd, .exe, pif, .scr und .zip versendet. Zusaetzlich
    verbreitet er sich ueber das Filesharing-Programm KaZaA.


    Bei der Infektion eines Systems erzeugt der Wurm die Datei shimgapi.dll
    im Systemverzeichnis von Windows. Dieses Programm oeffnet die TCP-Ports
    3127 bis 3198 und arbeitet als Proxy-Server. Damit hat ein Angreifer
    die Moeglichkeit, den infizierten Rechner fernzusteueren. Ausserdem
    kann dieses Backdoor weitere Dateien aus dem Internet laden


    Am 1. Februar startet der Wurm eine Denial-of-Sevice-Attacke (DOS)
    gegen eine bestimmte Internetseite. Ab dem 12. Februar verbreitet er
    sich nicht weiter.


    Durch den Registrierungs-Schluessel


    HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\
    InProcServer32 "(Default)" = %SysDir%\shimgapi.dll


    wird die Backdoor-Datei gestartet, wenn Explorer.exe geoeffnet wird.


    Das Windowsprogramm taskmon.exe im Systemverzeichnis von Windows wird
    durch eine Kopie des Wurms ersetzt. Dieses startet automatisch durch
    den Registrierungs-Schluessel


    HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run


    oder


    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


    mit dem Wert


    TaskMon = %System%\taskmon.exe


    Weiterhin wird die Datei message im Temp-Verzeichnis angelegt.


    In Dateien mit den Endungen


    .htm
    .sht
    .php
    .asp
    .dbx
    .tbb
    .adb
    .pl
    .wab
    .txt


    werden E-Mail-Adressen zur weiteren Verbreitung gesucht. Dabei werden
    keine Adressen aus der Top-Level-Domain .edu verwendet. Novarg.A
    verwendet zur Verbreitung seine eigene SMTP-Maschine.


    Die E-Mail hat folgende Charakteristik:


    Von: <Adresse gefaelscht>


    Betreff: <einer der folgenden>


    test
    hi
    hello
    Mail Delivery System
    Mail Transaction Failed
    Server Report
    Status
    Error


    Nachricht:


    Mail transaction failed. Partial message is available.
    The message contains Unicode characters and has been sent as a
    binary attachment.
    The message cannot be represented in 7-bit ASCII encoding and has
    been sent as a binary attachment.


    Name des Anhangs: <einer der folgenden>


    document
    readme
    doc
    text
    file
    data
    test
    message
    body


    Datei-Endung


    pif
    scr
    exe
    cmd
    bat
    zip


    Groesse des Anhangs: 22.528 Bytes


    Novarg.A kopiert sich ausserdem in das Download-Verzeichnis von KaZaA
    als Datei mit einem der folgenden Namen:


    winamp5
    icq2004-final
    activation_crack
    strip-girl-2.0bdcom_patches
    rootkitXP
    office_crack
    nuke2004


    und mit einer der folgenden Dateiendungen:


    pif
    scr
    bat
    exe


    Generelle Hinweise:


    Pruefen Sie bei E-Mails auch von vermeintlich bekannten bzw.
    vertrauenswuerdigen Absendern, ob der Text der Nachricht auch zum
    Absender passt (englischer Text von deutschem Partner, zweifelhafter
    Text oder fehlender Bezug zu konkreten Vorgaengen etc.) und ob die
    Anlage (Attachment) auch erwartet wurde.


    Das BSI empfiehlt, den Versand/Empfang von ausfuehrbaren Programmen
    (Dateierweiterungen wie .COM, .EXE, .BAT, ...) oder anderer Dateien,
    die Programmcode enthalten koennen (Dateierweiterungen wie .DO*; XL*,
    PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert,
    dass die Datei vom angegebenen Absender geschickt und nicht von einem
    Virus verbreitet wird. Weiter sollten Sie eine Personal Firewall
    betreiben, die Verbindungen auf den genannten Ports nicht zulaesst.


    Aktuelle Signaturen von Viren-Schutzprogrammen erkennen den Wurm.
    Installieren Sie diese umgehend.


    Weitere Informationen finden Sie auf der Webseite des BSI unter:
    <http://www.bsi.bund.de/av/vb/novarg.htm>



    Fragen richten Sie bitte an <mailto:antivir@bsi.de>.
    Virenmeldungen koennen Sie an <mailto:virmeld@bsi.de> senden.



    Mit freundlichen Gruessen
    Ihr Team CERT-Bund


    - -----------------------------------------------------------------
    BSI - Bundesamt fuer Sicherheit in der Informationstechnik
    Referat I 2.1 CERT-Bund


    Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
    <mailto:wid-virinfo@bsi.bund.de> / <http://www.bsi.bund.de>
    - -----------------------------------------------------------------



    ========================================================================
    Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
    Seiten des CERT-Bund <http://www.bsi.de/certbund/infodienst/>


    Die Authentizitaet dieser Nachricht kann anhand der digitalen Signatur
    ueberprueft werden. Die hierfuer zum Einsatz kommenden oeffentlichen
    Schluessel sowie die Verfahren sind auf den Seiten des CERT-Bund
    <http://www.bsi.de/certbund/digsig/> aufgefuehrt und erlaeutert.


    HINWEIS:


    Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
    zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
    oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
    Inhalte entstehen, wird ausgeschlossen.
    Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
    Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
    und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
    Eine kommerzielle Nutzung ist ausdruecklich untersagt.
    ========================================================================


    -----BEGIN PGP SIGNATURE-----
    Version: GnuPG v1.2.4 (GNU/Linux)


    iQEVAwUBQBYZ53HeVh32gfHqAQIMJQgAg93T4Go3YX731xxoyzfs0l2iu9X4hTPm
    3JXglbbAjcfS6fY4pRua3sIcGws48pQn/SmYqNBpCjMRR7Z6aau54RmgCKjP9ww7
    Ze7Tp845bYeDyrAj/mGLtd2qUnAazDAYoXSCQrn//NB3Md997fvJYMFgiO4qZxHJ
    R8KvbIif2xbUwzGDKBUx6KnL4jZ91Jw/1C0uwCMSBlIF2IGPBGcyN0znkKzjRz06
    9y41KvaZee4fEBmPvbSbIK4c7jNr4r+SnEY1lzW9Uf9+LFNp6CZvRBgQfD5hDJEN
    YHTddLCMxo9VlxHKCm/w0FixR6pLn+dDfzPT4ARI3AMtsLT+kiB2DQ==
    =140R
    -----END PGP SIGNATURE-----

  • Hey,

    dir scheint die Diskussion zu gefallen, aber du bist nicht angemeldet.

    Wenn du ein kostenloses Konto eröffnest merken wir uns deinen Lesefortschritt und bringen dich dorthin zurück. Zudem können wir dich per E-Mail über neue Beiträge informieren. Dadurch verpasst du nichts mehr.


    Jetzt anmelden!