zurück zum Artikel

Der neue Wurm MyDoom/Novarg könnte sich weiter verbreiten als Sobig.F.

Der neue Wurm MyDoom/Novarg [1] zieht weiter seine Kreise. Die Virenexperten von Messagelabs [2] wollen innerhalb der ersten zwanzig Stunden nach dem Ausbruch 1,2 Millionen Exemplare abgefangen haben. Zum Vergleich: Der E-Mail-Provider Postini [3] hat nach eigenen Angaben beim Ausbruch des Wurms Sobig.F [4] am ersten Tag nur 1400 Exemplare registriert, den Höhepunkt erreichte der Wurm dort mit 3,5 Millionen Samples pro Tag. Hochgerechnet könnte MyDoom Sobig.F in der Verbreitung also locker schlagen.

Mittlerweile nerven nicht nur die E-Mails des Wurmes selbst, wie schon bei Sobig wird das Postfach mit Benachrichtigungen zugemüllt, man hätte infizierte Mails verschickt. Auch scheinen einige Accounts schon das Speicherlimit erreicht zu haben und nehmen keine weiteren Mails mehr entgegen. Selbst unmoderierte Mailinglisten bleiben von MyDoom nicht verschont: Auf Full Disclosure erschienen bereits mehrere Wurm-Postings zuzüglich der Benachrichtigungsmails von Virenscannern. Dies könnte die Theorie untermauern, dass auch technisch orientierte Anwender auf den als Fehlermeldung getarnten Schädling hereinfallen.

Allerdings kann auch die Fülle anderer Wurm-Mails daran schuld sein, was langsam zum Dauerzustand wird. Immer noch sind Sober.c, Dumaru.A, -.Y und .Z sowie Bagle und diverse andere Mimail-Varianten unterwegs. Wer sich da keinen Filter konfiguriert hat, kann schon mal den Überblick verlieren und ein Attachment aus Versehen öffnen.

Erkennung und Entfernung des Wurms Novarg/Mydoom:

• Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits eine detaillierte Beschreibung des Wurms herausgegeben. Auch die Antiviren-Hersteller haben ihre Signatur-Dateien für die Virenscanner aktualisiert und geben in den Infos zu dem Wurm Hinweise zu seiner Entfernung; die darin beschriebene manuelle Entfernung des Wurms ist allerdings nur erfahrenen Anwendern anzuraten, da unter anderem Registry-Schlüssel modifiziert beziehungsweise gelöscht werden müssen.
• Sowohl Symantec als auch Network Associates haben kostenlose Tools herausgegeben, die den Wurm auf befallenen Systemen entfernen können. Bei Symantec heißt das Tool FxNovarg [5], es ist von von Symamntecs Webseiten einschließlich genauer Anleitungen [6] zu bekommen. Network Associates hat das kostenlose Programm Stinger [7] so aktualisiert, dass es nun auch Novarg/MyDoom erkennen und entfernen kann; auch NAI liefert dazu eine detaillierte Anleitung [8].
• Weitere Informationen zum Schutz vor Viren und Würmer finden sich auf den Antiviren-Seiten [9] von heise Security.

Zu Informationen über dem Wurm Novarg/MyDoom und über den Schutz siehe auch:

• Neuer Wurm Novarg/Mydoom verbreitet sich schnell [10] -- Meldung auf heise Security
• Vireninfo W32.Novarg.A@mm des BSI
• Antiviren-Seiten [11] von heise Security
• Vireninfo W32.Novarg.A@mm [12] bei Symantec
• Vireninfo W32/Mydoom@MM [13] bei Network Associates
• Vireninfo Novarg/Mydoom [14] bei F-Secure
• Vireninfo Mimail.R/Mydoom/Novarg [15] bei TrendMicro

URL dieses Artikels:
https://www.heise.de/-92421

Links in diesem Artikel:
[1] https://www.heise.de/news/Neuer-Wurm-Novarg-Mydoom-verbreitet-sich-schnell-92383.html
[2] http://www.messagelabs.com/viruseye/threats/
[3] http://www.postini.com/stats/
[4] https://www.heise.de/news/Wurm-Welle-durch-Sobig-F-beeintraechtigt-Mailverkehr-84019.html
[5] http://securityresponse.symantec.com/avcenter/FxNovarg.exe
[6] http://www.sarc.com/avcenter/venc/data/w32.novarg.a@mm.removal.tool.html
[7] http://download.nai.com/products/mcafee-avert/stinger.exe
[8] http://vil.nai.com/vil/stinger/
[9] http://www.heise.de/security/dienste/antivirus/
[10] https://www.heise.de/news/Neuer-Wurm-Novarg-Mydoom-verbreitet-sich-schnell-92383.html
[11] http://www.heise.de/security/dienste/antivirus/
[12] http://www.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html
[13] http://vil.nai.com/vil/content/v_100983.htm
[14] http://www.f-secure.com/v-descs/novarg.shtml
[15] http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R

Copyright © 2004 Heise Medien