AVERT (Anti Virus Emergency Response Team), das Virenforschungslabor von Network Associates (NYSE: NET), stuft den heute entdeckten Internet-Wurm W32/Mydoom@MM als besonders gefährlich ein. Der neue Email-Wurm verfügt über eine eigene SMTP-Engine und versendet sich unter falschem Absendernamen an Emailadressen die er auf dem infizierten System vorfindet. Er durchsucht hier für Dateien mit folgenden Dateierweiterungen:
* wab
* adb
* tbb
* dbx
* asp
* php
* sht
* htm
* txt
Außerdem kopiert sich W32/Mydoom@MM in den Ordner von KaZaA my shared Folder unter dem Namen activation_crack.scr:
* c:\Program Files\KaZaA\My Shared Folder\activation_crack.scr
Aufgrund der starken Verbreitung wurde die Risikoeinschätzung des Wurms auf High-Outbreak angehoben und umgehend neue Signaturen bereitgestellt.
Symptome und erste Vorsichtsmaßnahmen
Sowohl Betreff-Zeile als auch der Email-Text werden von diesem hochgefährlichen Wurm zufällig gewählt.
Der Email-Text kann beispielsweise eine dieser drei Varianten enthalten:
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* Mail transaction failed. Partial message is available
Wird die angehängte Datei ausgeführt, öffnet der Wurm das Textprogramm Notepad und zeigt einen wahllosen und sinnleeren Text an.
Der Virus versendet sich in unterschiedlichen Email-Anhängen die als
.exe-, . pif-, .cmd-, .scr- oder in einem ZIP-Archiv auftreten können.
Das Attachement (Emailanhang) erscheint mit dem Icon einer Windows TXT-Datei (Notizblock)
Zudem öffnet der Wurm den DTCP-Port 3127, über den der Wurm weitere Befehle erhalten kann. Das Avert ist derzeit noch mit der Analyse dieser Funktionsweise beschäftigt.
Die neuesten Ergebnisse finden Sie unter: http://www.vil.nai.com
Beseitigung des Wurms:
Aktuelle Informationen und Gegenmaßnahmen zu W32/Mydoom@MM können unter
http://vil.nai.com/...
abgerufen werden. Network Associates bietet zur Beseitigung des Wurm bereits ein neues DAT-File 4319 an, welches in das Verzeichnis des Viren-Scanners kopiert werden muss.
* wab
* adb
* tbb
* dbx
* asp
* php
* sht
* htm
* txt
Außerdem kopiert sich W32/Mydoom@MM in den Ordner von KaZaA my shared Folder unter dem Namen activation_crack.scr:
* c:\Program Files\KaZaA\My Shared Folder\activation_crack.scr
Aufgrund der starken Verbreitung wurde die Risikoeinschätzung des Wurms auf High-Outbreak angehoben und umgehend neue Signaturen bereitgestellt.
Symptome und erste Vorsichtsmaßnahmen
Sowohl Betreff-Zeile als auch der Email-Text werden von diesem hochgefährlichen Wurm zufällig gewählt.
Der Email-Text kann beispielsweise eine dieser drei Varianten enthalten:
* The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
* The message contains Unicode characters and has been sent as a binary attachment.
* Mail transaction failed. Partial message is available
Wird die angehängte Datei ausgeführt, öffnet der Wurm das Textprogramm Notepad und zeigt einen wahllosen und sinnleeren Text an.
Der Virus versendet sich in unterschiedlichen Email-Anhängen die als
.exe-, . pif-, .cmd-, .scr- oder in einem ZIP-Archiv auftreten können.
Das Attachement (Emailanhang) erscheint mit dem Icon einer Windows TXT-Datei (Notizblock)
Zudem öffnet der Wurm den DTCP-Port 3127, über den der Wurm weitere Befehle erhalten kann. Das Avert ist derzeit noch mit der Analyse dieser Funktionsweise beschäftigt.
Die neuesten Ergebnisse finden Sie unter: http://www.vil.nai.com
Beseitigung des Wurms:
Aktuelle Informationen und Gegenmaßnahmen zu W32/Mydoom@MM können unter
http://vil.nai.com/...
abgerufen werden. Network Associates bietet zur Beseitigung des Wurm bereits ein neues DAT-File 4319 an, welches in das Verzeichnis des Viren-Scanners kopiert werden muss.
