Neuer Virus bläst zur Attacke auf SCO

Digitaler Übeltäter ist seit gestern unterwegs und öffnet DTCP-Port 3127

Er ist erst einen Tag alt und hat es doch schon zu zweifelhaftem Ruhm gebracht: Zahlreiche Virenspezialisten warnen vor einem neuen Wurm namens W32/Mydoom@MM, der sich innerhalb der letzten 24 Stunden rasant verbreitet hat. Das Virenforschungslabor AVERT von Network Associates stuft den neuen digitalen Übeltäter als „besonders gefährlich“ ein. Das besondere an diesem Virus: Er nutzt die befallenen Rechner zu einer Attacke auf die Website von SCO, die am 1. Februar stattfinden soll.

Inzwischen bieten die Antiviren-Experten Bitdefender und McAfee kostenlose Tools zur Erkennung und Entfernung des Schädlings an.

Der neue Email-Wurm, der auch unter den Namen W32.Novarg.A@mm geführt wird, verfüge wie einige seiner Vorgänger über eine eigene SMTP-Engine und versende sich unter falschem Absendernamen an Emailadressen die er auf dem infizierten System vorfindet. Er durchsucht hier für Dateien mit folgenden Dateierweiterungen:

  • wab
  • adb
  • tbb
  • dbx
  • asp
  • php
  • sht
  • htm
  • txt

Außerdem kopiere sich W32/Mydoom@MM in den Ordner von KaZaA (my shared Folder) unter dem Namen „activation_crack.scr“. Alternativ wählt er dort die Namen winamp5, icq2004-final, activation_crack, strip-girl-2.0bdcom_patches, rootkitXP, office_crack oder nuke2004, die auch mit einer „.exe“-Endung verpasst werden können.

Aufgrund der starken Verbreitung sei die Risikoeinschätzung des Wurms auf High-Outbreak angehoben und umgehend neue Signaturen bereitgestellt worden. Betreff-Zeile und Email-Text würden von dem hochgefährlichen Wurm zufällig gewählt.

Der Email-Text kann laut NA beispielsweise eine dieser drei Varianten enthalten:

  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • Mail transaction failed. Partial message is available

Wenn die angehängte Datei ausgeführt wird, öffnet der Wurm das Textprogramm Notepad und zeigt einen wahllosen und sinnleeren Text an. Der Virus versendet sich in unterschiedlichen Email-Anhängen die als .exe-, . pif-, .cmd-, .scr- oder in einem ZIP-Archiv auftreten können. Das Attachement erscheint dabei mit dem Icon einer Windows TXT-Datei. Zudem öffnet der Wurm den DTCP-Port 3127, über den weitere Befehle erhalten werden können.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

15 Kommentare zu Neuer Virus bläst zur Attacke auf SCO

Kommentar hinzufügen
  • Am 27. Januar 2004 um 14:50 von Fritz

    Angriffe
    Wir verzeichnen bisher 123 Mails mit besagtem Virus. ein absoluter rekord – da alle innerhalb von 4 stunden kamen

    • Am 27. Januar 2004 um 15:42 von SRS-Info

      AW: Angriffe
      Ist bei uns ähnlich wir hatten heute bereits etwas mehr als 800 Mails.
      Leider werden auch Mails in userem Namen gesendet.
      Wir empfehlen allen Ihre Virenscanner zu updaten und allenfalls den neuen STINGER von Mcafee zu laden um zu prüfen ob Sie auch betroffen sind.
      http://download.nai.com/products/mcafee-avert/stinger.exe
      Sorry für die Werbung find ich aber äusserst wichtig….

  • Am 27. Januar 2004 um 17:50 von egal

    SCO das arme Opfer. Ein Schelm der dabei boeses denkt.
    Viren sind schlimm und die Virenschreiber sind eindeutig Kriminelle, die es zu verfolgen und bestrafen gilt.

    Es ist nur merkwuerdig, dass diese Firma, die sich gegen alles und jeden wendet gerade jetzt, wo sie keinen einzigen Beweis in den Gerichtsverfahren hat, sich selbst mal wieder als das geschundene Opfer darstellen kann und dann noch auf solche Weise.

    Niemand vermag sich auszudenken was in Koepfen vorgeht, die sogar gegen ihre eigenen Kunden vorgehen.

    Ja, sie sind Opfer,
    oder sind vielleicht die Computerbenutzer die Opfer, von Aktionen und Viren, die mittlerweile als Waffen im Propagandakampf eingesetzt werden, damit manche eine Opferrolle darstellen koennen?

    In was fuer eine Art von Gefahr werden die einfachen Computerbesitzer und Firmen noch gebracht, um als Kanonenfutter in solchen Aktionen verheizt zu werden.

    Es steht zu befuerchten, das ist nur der Anfang und am Ende steht die vollstaendige Entrechtung der Nutzer mit DRM und TCPA, weil selbige durch das Benutzen von Hard- und Software an allem Schuld sind.

    So aehnlich dem gemeinen Waehlervieh, das zumindest in .de an allem Schuld ist, was sogenannte Politiker anrichten, nur zur Wahlzeit, da hat man gefaelligst die Stimme abzugeben, damit man nicht mehr reden kann.

    • Am 28. Januar 2004 um 3:49 von Rister

      AW: SCO das arme Opfer. Ein Schelm der dabei boeses denkt.
      Hallo!
      Handelt es sich hier um das Prinzip "Lusitania"? In der Geschichte der Menschheit immer wieder angewandt.

    • Am 28. Januar 2004 um 10:26 von Bose-Einstein-Kondensat

      AW: SCO das arme Opfer. Ein Schelm der dabei boeses denkt.
      Sorry, aber das getrolle war schlecht. Schade dass man hier nicht wie bei heise runter-raten kann, sonst würdest du von mir ein [–] mitt der hoffnung auf verschiebung auf die trollwiese bekommen .

    • Am 28. Januar 2004 um 10:30 von hurricane

      AW: AW: SCO das arme Opfer. Ein Schelm der dabei boeses denkt.
      hmm… ist mir da was entgangen…?

      war ehrlich gesagt nie gut in geschichte. was für ein prinzip ist das?

    • Am 28. Januar 2004 um 11:02 von egal

      AW: AW: SCO das arme Opfer. Ein Schelm der dabei boeses denkt.
      > Sorry, aber das getrolle war schlecht.

      Typische Antwort eines SCO Freundes, wenn man keine Gegenargumente hat, dann wird eben Verunglimpft.

  • Am 28. Januar 2004 um 3:01 von Rüdiger R. Rister

    Verpennt Symantec W32/Mydoom@MM ?
    Hallo!
    Bereits am 26.01. nachts fiel mir eine verdächtige email auf mit ZIP-Anhang, die Norton Internet Security durchließ. Die Untersuchung des Codes der darin gepackt versteckten text.exe ergab, dass damit Änderungen der Registry durchgeführt werden. Klar ein feindlicher Code. Die Datei plus email-Text habe ich sogleich an das Norton-Viren-Centre gemailt. Mittlerweile spricht die ganze Welt dank Medienverbreitung über diesen neuen Virus, der als "besonders gefährlich" eingestuft wird. Traurig ist nun, dass der "Weltmarktführer" nach 24 Stunden immer noch keine Signaturen für den Schädling hat, ihn "offiziell" noch gar nicht kennt, – im Gegensatz zu Mitbewerbern.

    Rüdiger R. Rister
    Publizist & IT-Consultant
    MCR media Presse & TV Verlag, Germany

    • Am 28. Januar 2004 um 8:35 von D. Bornholdt

      AW: Verpennt Symantec W32/Mydoom@MM ?
      Symantec war zwar etwas langsam, aber seit heute Morgen erkennt es den Virus.
      Allerdings heißt er hier:
      W32.Novarg.A@mm ist aber ansonsten der Gleiche und wird wohl auch so erkannt.
      Hoffe ich zumindenstens!!
      D. Bornholdt

    • Am 28. Januar 2004 um 10:32 von Bose-Einstein-Kondensat

      AW: Verpennt Symantec W32/Mydoom@MM ?
      Traurig?
      Dad ist gut so!

      Denkst du das liegt daran dass die’s nicht hinkriegen würden?? *lol*

      Manche leute verstehen das net (die netz-gemenischaft) auch nie…

    • Am 28. Januar 2004 um 11:47 von pewe222

      AW: Verpennt Symantec W32/Mydoom@MM ?
      Ich habe heute das 5. Live-Update seit Erscheinen des Wurms durchgeführt, danach meine Mails abgerufen – und siehe da, Symantec’s Anti-Virus hat wieder KEINES erkannt, obwohl mehrere mit Wurm als Anhang eingetroffen sind.

      Das ist mir bisher nie passiert – aber dieses Mal scheinen die sich bei Symantec wirklich die Zähne an dem Würmchen auszubeißen…

      Im August läuft mein Abonnement aus, ich werde wohl wechseln!

  • Am 28. Januar 2004 um 9:29 von Jürgen

    Nur noch MiMail-R, wo sind die anderen geblieben?
    Mir fällt seit gestern auf, daß "nur noch" der MiMail-R reinkommt, dafür aber im Minutentakt. Wo sind die anderen Viecher geblieben? Sobig, Klez und Konsorten.
    Hat jemand ähnliche Beobachtungen gemacht?

  • Am 28. Januar 2004 um 10:24 von Bose-Einstein-Kondensat

    Wie geil! GO MyDoom GO!!!
    Ic hwette die von IBM haben den gecodet. Der scheint verdammt professionell zu sein.

    Auf jeden fall ist das der erste virus dem ich viel erfolg wünsche und den ich gerne auf meinem system lasse.
    Quasi ein seti@home (seti= sco elemination trough [the] internet) ;-))

    Ich wette selbst manche antiviren-firmen irgnorieren den virus und lassen ihn munter machen… oder manche öffnen ihm evtl firewalls. (würd ich nach prüfung des codes warscheinlich auch tun ;)

    • Am 28. Januar 2004 um 12:20 von hotzenplotz

      AW: Wie geil! GO MyDoom GO!!!
      ich will ihn auch haben;) wo find ich den bin schon die ganze zeit am suchen…
      MyDoom rulez

  • Am 29. Juni 2004 um 2:49 von Michael Hoffmann

    virus
    ich habe so langsam die schnauz voll, man solte diese Hirnverbrante Phychopaten an die wand nageln .internet !ist mir der spass vergangen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *