Viren, Würmer und Trojaner, Virenscanner und Personal Firewalls
Viren, Würmer und Trojanische Pferde (Trojaner), Virenscanner und Personal Firewalls

 

Anzeige

Computerviren
Würmer & Wurm-Viren
Dialer & Trojanische Pferde
Mythen, Hoaxes & Scherzviren

Virenschutz mit Scannern & Co
Firewalls gegen Trojaner und so

Tipps
 · 'Sasser'-Wurm
 · 'Mail ist virenfrei'
 · 'Sie sind infiziert'
 · Sober.C
 · Netsky.B
 · MyDoom.A/B
 · Bugbear/Tanatos
 · Klez
 · F&A: IP zeigen

Tools, die ich empfehle
Für Sie gelesen - mein Buch ist nicht das einzige

Presseinformationen
Impressum / Info: Wer macht diese Site?
E-Mail

MyDoom (A und B)

(alias Mimail.R, Novarg.A, Shimg, Shimgapi)

Der Mydoom-Wurm (klingt er nicht schrecklich?) flattert als beiläufige Fehlermeldung ins Haus. Betreffzeilen wie Mail Delivery System, Mail Transaction Failed, Server Report oder Error geben den Wurm-Mails ein geradezu alltägliches Aussehen. Die E-Mail selbst enthält zum Beispiel Hinweise, die behaupten, es habe mit der Nachricht Probleme gegeben, die eigentliche E-Mail sei im Anhang zu finden - prompt klickt der Anwender auf den Wurm.


Das soll der derzeit gefährlichste Wurm der Welt sein. Ich zweifle. Ich krieg den so gut wie nie. Aber naja.
 

Die Moral: Wir verschicken zu viele Fehlermeldungen. Ich kriege pro Tag drei Mails von blödsinnigen Automaten, die mir sagen, ich hätte einen Virus - als ob es eine brandheisse News wäre, dass Würmer E-mail-Adressen fälschen können. Solange derlei Automatismen ohne Sinn und Verstand weiterlaufen, haben MyDoom & Co eine Chance - einfach weil sie plausibel erscheinen.

Wie kriegt man ihn?

Per Mail, ganz typisch wieder über einen E-Mail-Anhang: MyDoom tarnt sich wurmtypisch als Mail-Attachment mit der Endung .bat, .cmd, .exe, pif, .scr oder .zip. Zusätzlich verbreitet er sich über Kazaa-Freigaben. (Kleiner Hinweis: Wer Software nutzt, deren Sinn es ist, Teile des PCs nach aussen zu öffnen, braucht sich nicht zu wundern, dass Deck von außen reingespült wird. Da hilft auch die Firewall nix, denn die muss man ja für Kazaa & Co löchrig machen.)

Jeder, der allgemeine Tipps zum Virenschutz beherzigt (vor allem: "Klicke auf keinen Dateianhang"), müsste eigentlich verschont bleiben. (Vor allem die ZIP-Variante ist ein Gag, denn bei einem ZIP kann man sich nicht mal aus Versehen bis zum Wurm-Starter durchklicken.)

Wie erkennen Sie ihn?

Erste Infektion: Der Editor Notepad startet, mit wirren Zeichen darin. (Schönes Bild hier!). Jetzt isser da, der MyDoom!

BackDoor-Komponente: Die Datei Shimgapi.dll oder ctfmon.dllliegt irgendwo herum. (Namen können sich bei künftigen Varianten stets und schnell ändern.)

Typische Phrasen im Betreff sind u.a.:
"test" - "Mail Delivery System" - "Mail Transaction Failed" - "Server Report" - "Status" "Error"

Was kann er?

Je nach Version kann MyDoom unter anderem das:

Bei der Infektion installiert der Wurm ein Backdoor-Programm, das die TCP-Ports 3127 bis 3198 öffnet. Damit hat ein Angreifer _theoretisch_ die Möglichkeit, ein infiziertes Windows fernzusteuern. Eine gute Firewall müsste ihn also melden.

Variante MyDoom.A versucht im Februar 2004, die Website von SCO mit einer DOS-Attacke lahmzulegen (Eine gute Personal Firewall müsste ihn also melden.) - angeblich ein Protest gegen die Bemühungen des Unix-Riesen, den unliebsamen Konkurrenten Linux mit Rechtsmitteln vom Markt zu drängen. Scheint je nach Quelle geklappt zu haben oder nicht. Die einen sagen, SCO wäre wegen der Attacke offline, andere sagen, SCO wäre offline, um der Attacke zu begegen. Ist ohnehin bald egal.

Variante MyDoom.B versucht dasselbe mit Microsofts Website (Eine gute Personal Firewall müsste ihn also melden.). Scheint aber schlecht gecodet zu sein, funktioniert wohl nicht so richtig. ;-)

Wie schützen Sie sich?

Öffnen Sie keinen, keinen, keinen, keinen Dateianhang egal welcher Art, es sei denn, sie wissen ganz gewiss, dass ganz bestimmt _diese eine Datei_ von _dieser einen, Ihnen wirklich bekannten_ Person _heute, jetzt und hier wirklich_ *an Sie* geschickt werden sollte. Rufen Sie zur Not an und fragen Sie nach.

Viren-Schutz: Downloaden Sie bei Gelegenheit ein Gegenmittel wie Antivir Personal Edition auf www.free-av.de (privat frei nutzbar) oder Bitdefender Free Edition auf www.bitdefender.de . Installieren Sie Demos, Testscanner und freie Virenprogramme nur, wenn nicht bereits ein Virenwächter läuft - zwei Virenwächter killen Ihr System. (Bei Bitdefender Free Edition gehts theoretisch, der hat keinen Wächter, aber dazu sollte man sich auskennen.)

 

Was raschelt da so?

Es ist die Presse. Mit Papier. Mit neuen Computermythen. (Hallo, ich bin auch Journalist, und ich meine nur jene Kollegen, die scheinbar _jeden_ Mist im Affekt unreflektiert abdrucken. Was auch ich schon getan habe. Ich war jung, ich brauchte das. Und es entschuldigt nicht den aktuellen Unfug.)

"Internetwurm Mydoom richtet Milliardenschäden an" (F.A.Z.)
Glaub ich nicht. Wenn die Jungs und Mädels von der FAZ über Politik und Wirtschaft so berichten wie über Würmer, dann Prost Mahlzeit. - Das ganze geht zurück auf eine PR-Meldung; "mi2g" behauptet da: As the SCO web site remains knocked down throughout Sunday, MyDoom is now estimated to have caused $38.5 billion of economic damage worldwide so far in terms of overtime payments, contingency outsourcing, loss of business, bandwidth clogging, productivity erosion, management time reallocation, cost of recovery and software upgrades. Soso.

"MyDoom mutiert - und greift Microsoft an" (Spiegel)
Aha. Er "mutiert". Vielleicht infolge der Strahlung aus dem Ozonloch? Nun gut, Spiegel halt...

"Die zweite Variante des Killer-Virus MyDoom mutiert" (PC Professionell)
Auch ausserhalb der Schundpresse "mutiert" was. Gemeint ist wohl, das jemand den Programmcode geändert hat. Das ist in etwa so, also würde man sagen: "Durch ein Windows-Update mutiert mein Windows."

"Computer-Besitzer in Angst vor dem schnellsten Virus der Welt" (Bild.de)
Liebe Freunde von Bild: Computer-Besitzer haben Angst, weil sie eure Meldungen lesen. Ich hab übrigens noch einen C64-Computer, und einen PocketPC- und einen Palm-Computer, und die sind alle immun. Ebenso wie Linux. "Windows-Besitzer" wäre wohl das richtige Wort, stünde nicht in den Lizenzknebeln von Microsoft drin, dass man nicht Besitzer der Software ist, sondern bloss die Erlaubnis gekauft hat, das Zeug zu benutzen.

"Blitzartige Geburt von Würmern" (Heidenheimer Zeitung)
War wohl eher die blitzartige Geburt einer beknackten Headline. Hach ja. Mehr davon...

 

Wo gibts Infos?

Solidere Infos bieten Ihnen die Viren-Lexika.
Deutschsprachige Infos speziell zu MyDoom A und B, auch mit Removal-Tools:
www.bsi.bund.de zu MyDoom.A
www.bsi.bund.de zu MyDoom.B
www.sophos.de zu MyDoom.A
www.sophos.de zu MyDoom.B
www.antivir.de zu MyDoom.A
www.antivir.de zu MyDoom.B
www.t-online.de/vireninfo

Ein Removal-Tool finden Sie u.a. auf www.bitdefender.de/html/free_tools.php

 

 
·

Anzeige

Google

Alles über Viren und Virenschutz finden Sie in diesem (von mir uneingeschränkt empfohlenen :-) Buch:

Andreas Winterer: Viren, Würmer und Trojanische Pferde, DATA BECKER Verlag


Andreas Winterer: PC Underground: Viren, Würmer und Trojanische Pferde, ISBN 3815822653, 510 Seiten, € 14,95
» Zu haben .. nicht mehr, denn es ist leider ausverkauft. Gebraucht bei Tandlern und evtl. bei Onlinern wie Amazon.de

 

 

 

Text/Design viren-wuermer-trojaner.de + scareware.de
© Andreas Winterer All Rights Reserved · Disclaimer/ Haftungsausschluss
Besuchen Sie auch: winterer.de | cosmopollite.de