MyDoom/Novarg -- Tipps zur Wurmkur und weitere Details
Mit kostenlosen Removal-Tools können Anwender den Wurm Novarg/MyDoom, der sich rasant ausbreitet, von befallenen PCs schnell und einfach wieder entfernen.
Der neue Wurm MyDoom tobt weiterhin durchs Internet. Nach Angaben von Mark Sunner, Cheftechniker des E-Mail-Service-Provider Messagelabs, scheint sich die Ausbreitungsgeschwindigkeit aber mittlerweile verlangsamt zu haben. Messagelabs hat MyDoom am heutigen Mittwoch auf Grund des hohen Aufkommens aus seiner Statistik herausgenommen und listet ihn nun separat.
Bis zum heutigen Mittwochmorgen wurden fast zwei Millionen Exemplare registriert. Auch der Service-Provider Postini liefert mit seinen Statistiken ein ähnlich trauriges Bild. Microsoft warnt ebenfalls in einer eigenen Meldung vor dem Schädling und gibt Tips, wie man in Outlook 2002 und Outlook Express 6 verdächtige Dateianhänge blockt.
Die geplante Denial-of-Service-Attacke des Wurms gegen den Webserver von SCO erregt zwar reichlich Aufsehen, Alfred Huger von Symantec weist aber darauf hin, dass die Hintertürchen in befallenen PCs eine weitaus größere Bedrohung darstellen. Damit ließen sich PCs als Plattform für weitere Angriffe oder dem Versand von Spam-Mails missbrauchen.
Orientiert man sich an der Hartnäckigkeit bisheriger Viren wie Dumaru und Sober.c, so könnte das Problem mit den Hintertüren auf befallenen Rechnern über einen längeren Zeitraum bestehen bleiben. Ein Ablaufdatum, nach dem sich Novarg/MyDoom selbst deaktiviert, hat der Wurm nicht -- anders als beispielsweise Sobig.F, der sogar selbsttätig neuen Code nachlud und wahrscheinlich von Spammern in die Welt gesetzt wurde. Allerdings verbreitet sich Novarg/MyDoom nach dem 12. Februar zumindest nicht weiter.
Die wenigsten Anwender ohne Antivirensoftware dürften allerdings bemerken, ob ihr PC befallen ist. Weder stürzt der Rechner ab noch funktioniert eine Anwendung nicht mehr. Eine Suche nach den Dateien "taskmon.exe" und "shimgapi.dll" in /windows/system32 kann zwar auch ohne Virenscanner Aufschluss über eine Infektion geben, allerdings sollte man zur Entfernung lieber auf eines der unten genannten Tools zurückgreifen -- manuelle Änderungen, etwa an der Registry, sind nur erfahrenen Anwendern zu empfehlen; auch ist bei manueller Entfernung nicht immer zu gewährleisten, dass der Wurm wirklich vollständig getilgt wurde.
Um die Frage, wer der Urheber des Wurms ist, gibt es weitere Spekulationen. Da der Wurm sich grundsätzlich nicht an Mail-Adressen mit der Endung .edu verschickt, vermuten einige, der Autor könnte an US-amerikanischen Universitäten oder anderen Bildungseinrichtungen zu finden sein. Zusätzlich zur klassischen E-Mail verbreitet sich der Wurm über die Tauschbörse KaZaA. Dazu kopiert er sich in das Download-Verzeichnis des Clients mit folgenden Namen:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Die Endungen der Datei können dabei variieren. Die Verbreitung über dieses P2P-Netz erklärt aber nicht, warum der Wurm so erfolgreich ist. Da KaZaA als Virenschleuder bekannt ist, dürfte der Großteil der Anwender über aktuelle Virenscanner verfügen.
Erkennung und Entfernung des Wurms Novarg/Mydoom:
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits eine detaillierte Beschreibung des Wurms herausgegeben. Auch die Antiviren-Hersteller haben ihre Signatur-Dateien für die Virenscanner aktualisiert und geben in den Infos zu dem Wurm Hinweise zu seiner Entfernung; die darin beschriebene manuelle Entfernung des Wurms ist allerdings nur erfahrenen Anwendern anzuraten, da unter anderem Registry-Schlüssel modifiziert beziehungsweise gelöscht werden müssen.
- Sowohl Symantec als auch Network Associates haben kostenlose Tools herausgegeben, die den Wurm auf befallenen Systemen entfernen können. Bei Symantec heißt das Tool FxNovarg, es ist von von Symantecs Webseiten einschließlich genauer Anleitungen zu bekommen. Network Associates hat das kostenlose Programm Stinger so aktualisiert, dass es nun auch Novarg/MyDoom erkennen und entfernen kann; auch NAI liefert dazu eine detaillierte Anleitung.
- Weitere Informationen zum Schutz vor Viren und Würmer finden sich auf den Antiviren-Seiten von heise Security.
- Wir stellen das Tool von Symantec zur Entfernung von MyDoom.a und MyDoom.b über den FTP-Server von heise zur Verfügung, da gegebenenfalls die Symantec-Seiten durch den Schädling blockiert werden.
- Neuer Wurm Novarg/Mydoom verbreitet sich schnell
- Wurm MyDoom/Novarg könnte Sobig.F-Rekord schlagen
- Neue Variante des Wurms MyDoom/Novarg zielt auf Microsoft
- Microsoft setzt Kopfgeld auf Urheber des MyDoom-Wurms aus
- SCO vs. Linux: SCO setzt Kopfgeld auf Wurm-Autor aus
- MyDoom vs. SCO = 1:0
- Wurm-Attacke gegen Microsoft zeigt keine Wirkung
- Vireninfo W32.Novarg.A@mm des BSI
- Vireninfo W32.MyDoom.B@mm des BSI
- Antiviren-Seiten von heise Security
- Removal-Tool für MyDoom.a und MyDoom.b
- Vireninfo W32.Novarg.A@mm bei Symantec
- Vireninfo W32/Mydoom@MM bei Network Associates
- Vireninfo Novarg/Mydoom bei F-Secure
- Vireninfo Mimail.R/Mydoom/Novarg bei TrendMicro
- Vireninfo W32.MyDoom.B@mm bei Symantec
- Vireninfo W32/Mydoom.B@MM bei Network Associates
- Vireninfo Mydoom.B bei TrendMicro
Zu Informationen über dem Wurm Novarg/MyDoom und über den Schutz siehe auch: