tom's networking guide
 
Anzeige
All-in-One Lösung für kommerzielle WLAN-Hotspots  >
< Großbild-Simulator für Deep Computing Visualization
17.02.05 19:36 Alter: 16 Jahre
Kategorie: Security
Von: Arno Kral

McAfee warnt vor Virus Mydoom.bb@MM

Neuer Wurm übernimmt Kontrolle über den PC und richtet Trojaner ein


AVERT (Anti virus and Vulnerability Emergency Response Team), das Virenforschungslabor von McAfee , stuft den heute entdeckten Internet-Wurm W32/Mydoom.bb@MM (auch Mydoom.bb) als besonders gefährlich ein. Der Wurm verbreitet sich über E-Mail und hängt eine Kopie seiner selbst als Anhang an. Zusätzlich lädt er den Trojaner BackDoor-CEB.f herunter und führt in aus. Bis jetzt konnte das AVERT mehr als 50 Fälle nachweisen, die entweder direkt geblockt werden konnten bzw. bei Kunden festgestellt wurden. Die meisten Reports wurden in den USA gemeldet, der Virus trat außerdem in Australien und Großbritannien auf.

Charakteristika von Mydoom.bb@MM

Mydoom.bb ist vorangegangenen Varianten sehr ähnlich und verfügt über folgende charakteristischen Elemente:

<typolist>

Mass-Mailer-Wurm, der E-Mails über eine eigene SMTP-Engine versendet

E-Mail-Adressen werden auf dem infizierten System gesucht. Nach zusätzlichen Adressen sucht der Wurm über Suchmachinen im Internet

Die Absender-Adresse der E-Mails ist gefälscht.

Download des BackDoor-CEB.f-Trojaners

</typolist>

Anwendern empfiehlt McAfee, äußerst vorsichtig mit Mails unbekannter Herkunft zu sein und elektronische Nachrichten mit folgendem Inhalt ungelesen zu löschen:

<typolist>

From: „Gefälschte Absender-Adresse“ – nicht in jedem Falle muss davon ausgegangen werden, das die Absenderadresse infiziert ist. Zusätzlich können falsche Alert-Messages eines Mailservers auftreten, die über eine vermeintliche Infizierung des Empfängers informieren wollen.

Die Absender-Adresse kann durch eine aufgelesene E-Mail-Adresse gefälscht sein. Zusätzlich gibt es Varianten, die als Rückläufer (Bounce) gestaltet sind und folgende Adressen nutzen:

mailer-daemon@(target_domain

noreply@(target_domain)

postmaster@(target_domain)

</typolist>

Beim Subject werden folgende Begriffe verwendet:

 

<typolist>

hello 

hi

error 

status 

test 

report 

delivery failed

Message could not be delivered 

Mail System Error - Returned Mail

Delivery reports about your e-mail 

Returned mail: see transcript for details

Returned mail: Data format error

</typolist>

Beim Message Body werden Inhalte aus unterschiedlichen Zeichenquellen generiert. Die genaue Vorgehensweise sieht vor, dass sich die infizierte Datei nach ihrer Ausführung in das Windows-Verzeichnis kopiert. Der Wurm selbst installiert sich dabei als JAVA.EXE im Windows-Verzeichnis.

 

Dies sieht wie folgt aus:

<typolist>

C:\WINDOWS\JAVA.EXE

</typolist>

Weiterhin wird die Datei SERVICES.EXE in das gleiche Verzeichnis abgelegt:

<typolist>

C:\WINDOWS\SERVICES.EXE

</typolist>

Danach werden folgende Registry-Einträge beim Start  erstellt:

<typolist>

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
             "JavaVM" = %WinDir%\JAVA.EXE

KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
           "Services" = %WinDir%\SERVICES.EXE

HKEY_CURRENT_USER\Software\Microsoft\Daemon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon

</typolist>

Mydoom.bb öffnet auf infizierten Systemen den Port TCP 1034. Über diesen Port kann der Wurm seine Befehle erhalten.

Eine Beschreibung zu dem BackDoor-CEB.f Trojaner ist unter: http://vil.nai.com/vil/content/v_131340.htm erhältlich.


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige