Neuer Wurm Novarg/Mydoom verbreitet sich schnell
Der Schädling, der sich momentan auf Grund eines technischen Anstrichs rasant verbreitet, soll ab dem 1. Februar eine DoS-Attacke auf die Server der SCO Group von befallenen Windows-Rechnern aus starten.
Ein neuer Mail-Wurm, der Windows-Rechner befällt, verbreitet sich gegenwärtig rasant im Internet. Die Novarg oder Mydoom genannte Variante des Mimail-Wurms weist einige Besonderheiten auf -- unter anderem versucht er wie einige Mimail-Varianten, eine DoS-Attacke zu starten, dieses Mal aber auf die Server der SCO Group. Die Firma ist momentan in Rechtsstreitigkeiten vor allem mit IBM und mit Novell verwickelt über Vorwürfe, im Linux-Kernel befinde sich unzulässigerweise Code aus Unix System V, auf das SCO die Copyrights beansprucht. Es gab schon in der Vergangenheit DoS-Angriffe auf die SCO-Webserver, die die Firma in Zusammenhang mit diesen juristischen Auseinandersetzungen brachte.
Die Antiviren-Firmen haben mittlerweile die Gefährlichkeit des Wurms hochgestuft, da er sich offensichtlich sehr schnell verbreitet. Auf den Mail-Servern des Heise-Verlags löste er beispielsweise bei den eingehenden Mails bereits den Wurm Sober.c in der Häufigkeit des Auftretens ab. Für die Verbreitung scheint förderlich zu sein, dass sich der Wurm in Mails versteckt, die nicht mit den üblichen Angeboten etwa für Filme, private Photos oder Pornobildchen daherkommen.
Vielmehr erwecken die Mails mit Subjects wie "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status" oder "Error" den Eindruck, technische Verwaltungsmails zu sein. Im Body der Mail finden sich dann Texte wie "Mail transaction failed. Partial message is available", "The message contains Unicode characters and has been sent as a binary attachment" oder "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment", die den Eindruck noch stützen sollen. Anscheinend fallen daher auch einige eher technisch orientierte Anwender, die mit den üblichen Wurm-Mails eigentlich umgehen können sollten, auf die neue Variante herein.
Der Wurm verbreitet sich von infizierten Rechner aus selbsttätig per E-Mail an Adressen, die er auf dem lokalen Rechner findet. Er ignoriert aber beispielsweise E-Mail-Adressen in .edu-Domains; diese sind für Bildungseinrichtungen reserviert. Der Schädling verankert sich in der Registry, sodass er beim Start von Windows aktiviert wird und kopiert sich zudem unter verschiedenen Dateinamen in das Download-Verzeichnis der Tauschbörsen-Software von Kazaa.
Auf den befallenen Systemen öffnet der Wurm eine Backdoor auf den TCP-Ports 3127 bis 3198, sodass sich Angreifer Zugang zu den infizierten Rechnern verschaffen können. Ab dem 1. Februar sollen vom Wurm befallene Systeme eine DoS-Attacke auf www.sco.com, Port 80, starten. Sowohl der Verbreitungsmechanismus als auch die DoS-Attacke haben ein Enddatum 12. Februar.
Erkennung und Entfernung des Wurms Novarg/Mydoom:
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits eine detaillierte Beschreibung des Wurms herausgegeben. Auch die Antiviren-Hersteller haben ihre Signatur-Dateien für die Virenscanner aktualisiert und geben in den Infos zu dem Wurm Hinweise zu seiner Entfernung; die darin beschriebene manuelle Entfernung des Wurms ist allerdings nur erfahrenen Anwendern anzuraten, da unter anderem Registry-Schlüssel modifiziert beziehungsweise gelöscht werden müssen.
- Sowohl Symantec als auch Network Associates haben kostenlose Tools herausgegeben, die den Wurm auf befallenen Systemen entfernen können. Bei Symantec heißt das Tool FxNovarg, es ist von von Symamntecs Webseiten einschließlich genauer Anleitungen zu bekommen. Network Associates hat das kostenlose Programm Stinger so aktualisiert, dass es nun auch Novarg/MyDoom erkennen und entfernen kann; auch NAI liefert dazu eine detaillierte Anleitung.
- Weitere Informationen zum Schutz vor Viren und Würmer finden sich auf den Antiviren-Seiten von heise Security.
- MyDoom/Novarg -- Tipps zur Wurmkur und weitere Details
- Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen
- Vireninfo W32.Novarg.A@mm des BSI
- Antiviren-Seiten von heise Security
- Vireninfo W32.Novarg.A@mm bei Symantec
- Vireninfo W32/Mydoom@MM bei Network Associates
- Vireninfo Novarg/Mydoom bei F-Secure
- Vireninfo Mimail.R/Mydoom/Novarg bei TrendMicro
Zu Informationen über dem Wurm Novarg/MyDoom und über den Schutz siehe auch: