Wurm Novarg / Mydoom im Umlauf

Futte · 27.01.2004

Habe heute bei RTL beiläufig mitbekommen das einer neuer Wurm sich rasendschnell verbreiten soll.

Wer kann mir sagen wie er heißt und was er kann und macht???

Zombie79 · 27.01.2004

Das ist der Wurm Novarg/Mydoom.

Schau mal in die Heise News. Dort gibt's ein paar Infos.

//verschoben: Viren, Trojaner, ...

nic_power · 27.01.2004

Hallo,

eine ausführliche Beschreibung des Wurms und der Schadroutinen gibts bei BSI:

http://www.bsi.de/av/vb/novarg.htm

Nic

Futte · 27.01.2004

@ Zombie79 + nic_power

Danke für die schnelle Hilfe !!!!:got:

Wie heißt es doch so schon: " Bei PF werden ihnen geholfen ":ja:

Wenn Ihr in der Nähe jetzt wärt würde ich Euch ein paar :gluck: :gluck: ausgeben !!!

Danke

phyton! · 28.01.2004

Na da wird ich doch locker ma vorbei kommen einen :gluck: .
Ich weiß, nennt mich lebensmüde, obwohl ich im Internet viel mache, habe ich immer noch keinen Scanner und Firewall drauf. Finde diese Programme einfach nur nervig für das System.

phy

nic_power · 28.01.2004

Hallo,

Ich weiß, nennt mich lebensmüde, obwohl ich im Internet viel mache, habe ich immer noch keinen Scanner und Firewall drauf.

mit welchem Betriebssystem arbeitest Du? Auf meinem Linux-System habe ich ebenfalls weder eine Firewall (übernimmt eh mein Router) noch ein Antivirus-Programm am laufen. Allerdings wird dieser Rechner ausschliesslich zur Software-Entwicklung und zu Tests genutzt.

Für Windows-Systeme würde ich Dein Verhalten allerdings als grob fahrlässig bezeichnen. Wahrscheinlich hast Du schon einen Haufen Trojaner und Viren auf dem System, die regelmäßig Deine Online-Banking und EMail-Passwörter um den Globus mailen.

Nic

phyton! · 28.01.2004

Ich arbeite in der Fenster Welt. Benutze öfter ma AdAdware, sonst eigentlich nix. Finde dass das einfach mein System zu sehr blockiert. Und Outlook benutze ich auch ni, was ja einer der Hauptangriffspunkt ist.

phy

Zombie79 · 28.01.2004

Du musst nicht ungebingt einen OnAccess-Scanner laufen lassen, denn diese bremsen das System je nach Scan-Engine merkbar aus.

Wenn du deinen Virenscannner nur OnDemand (also nur auf Befehl) prüfen lässt, ist der Schutz schon annehmbar. Ich mache das auch nur so. Alles was ich downloade wird erstmal gecheckt. Mit dem IE bin ich nicht im Internet unterwegs und Outlook benutze ich auch nicht. Daher sehe ich die Notwendigkeit eines OnAccess-Scanners in meinem Fall ebenfalls nicht. Ganz ohne Virenscanner wäre es aber auch mir unter Windows etwas zu gefährlich.

Futte · 28.01.2004

Dieser Wurm soll ja das schlimmste sein was je da war!!

FBi jagt den Schreiberling und eine US-Firma auf die es der Wurm im Feb. abgesehen hat, hat 200000,00 Euro Belohnung ausgesetzt !!!

Hoffe ich bin mit Spybot und AV-Antivirus gut genug geschützt gegen diesen Finsterling:fr:

phyton! · 28.01.2004

die betreffende Firma ist SCO link
ich werd mir jetzt wo doch ma nen Scanner drauf machen.
Bezüglich Firewall fällt mir ein, darüber brauch ich mir eigentlich weniger Gedanken machen, da mein I-net Verkehr über eine 2malige Serverseitige Firewall läuft.

phy

Achim · 28.01.2004

Der Spiegel hat heute sogar Tipps für die Entfernung des Wurms
veröffentlicht:

Klicken Sie auf "Start" und dann auf das Blatt/Lupe-Symbol mit der Beschriftung "Suchen". Wählen Sie "Nach Dateien oder Ordnern" aus. Geben Sie "shimgapi.dll" ein. Klicken Sie auf "Jetzt suchen".

"shimgapi.dll" installiert MyDoom im Windows-System und öffnet darüber die TCP-Ports 3127 bis 3198, über die der Virenautor dann potenziell Kontrolle über den Rechner erlangen könnte. Die Datei ist ein Indikator für einen Virenbefall, wer aber sicher gehen will, sollte seinen Rechner mit einer auf den neuesten Stand gebrachten Virensoftware scannen. Alle Hersteller von Virenschutz-Software bieten inzwischen entsprechende Updates an, die zur Zeit auch unerlässlich sind, um das System vor einem künftigen Befall zu schützen.

Wie die Entfernung des Virus im einzelnen geschieht, ist abhängig von der eingesetzten Software. Auch zu diesem Thema stellen die Virenschutz-Entwickler ausführliche Erklärungen bereit. Bei den Betriebssystemen Windows ME oder XP muss vor der Entfernung die Systemwiederherstellung deaktiviert werden. Starten Sie den Computer im danach abgesicherten Modus.

Als schnelle "Pille" gegen MyDoom wirken die Entfernungs-Tools diverser Hersteller.

http://vil.nai.com/vil/stinger/

http://www.sophos.de/support/disinfection/mydooma.html

http://www.sarc.com/avcenter/venc/data/[email protected]

rommolus · 29.01.2004

Moin

@Futteman

ich habe die Headline deines Threads so gestaltet, das sie auch für einen Außenstehenden Leser aussagekräftig ist.

Deine alte Headline : "Neuer Wurm im Umlauf", ist nichts sagend und könnte auch aus dem Jahre 1999 stammen.

Gruß

Futte · 29.01.2004

Original geschrieben von rommolus
Moin

@Futteman

ich habe die Headline deines Threads so gestaltet, das sie auch für einen Außenstehenden Leser aussagekräftig ist.

Deine alte Headline : "Neuer Wurm im Umlauf", ist nichts sagend und könnte auch aus dem Jahre 1999 stammen.

Gruß

@ rommolus,

Danke Majestät,

aber wie oben geschrieben hatte ich es nur so nebenher mitbekommen bei RTL das da was neues im Umlauf ist. Ich hatte keinen Namen von dem Ding nichts und wollte mehr darüber erfahren!!!!

Aber wenn ich das was ich heute so gehört habe dann habe ich ja nur die Anfangsschnippsel von dem Wurm gehört.

Heute wurde irgendwo gesagt in den Nachrichten nur das reine lesen von verseuchten Mails reicht schon und Du bist der Luser kann das wirklich sein???

Das ist doch krank ------- wer macht sowas???

merlin · 30.01.2004

Es gibt mittlerweile schon eine neue Variante des Wurmes, den W32.MyDoom.B.
Infos gibt es hier.

Larry3 · 30.01.2004

hi
habe auch schon ein paar von den Teilen bekommen, ich benutze auch kein Outlook, aber trotzdem erreichen sie auch mich

****************** McAfee VirusScan ************************
******* Warnung erzeugt bei: Wed, 28 Jan 2004 19:59:43 +0100 *********
*********************************************************************

McAfee VirusScan hat eine mvgliche Bedrohung in dieser E-Mail
gefunden, W32.MyDoom, die von [email protected] gesendet wurde.
Folgende Ma_nahmen wurden auf die einzelnen verddchtigen Teile angewendet.
Sie sollten diese virenbezogenen Aktivitdten unbedingt
an [email protected] melden.

Futte · 01.02.2004

Hat jemand schon was gehört was der Wurm heute schon so angestellt hat ???

Soll ja heute angeblich die erste Attacke gegen eine US-Firma reiten!!!

nic_power · 01.02.2004

Hallo,

der SCO-Webserver ist schon seit Stunden nicht mehr erreichbar:

http://www.heise.de/newsticker/meldung/44226

Nic

phyton! · 03.02.2004

Ab heute is dann wohl auch Microsoft dran. Die Frage ist ob die Server stark genug sind für myDoom.B Ich glaube wo eher nicht.

phy

merlin · 03.02.2004

Wurm-Attacke gegen Microsoft zeigt keine Wirkung

Der von MyDoom.B durchgeführte Angriff gegen www.microsoft.com scheint ins Leere zu laufen. Anders als bei www.sco.com lassen sich die Seiten ohne Probleme abrufen.

Nach Angaben von Netcraft haben die Redmonder ohnehin bereits am gestrigen Montag erste Vorsorgemaßnahmen getroffen. Unter anderem hat man die Zeiten der Nameservereinträge heruntergesetzt, nach denen die Zurodnung eines Namens zu einer IP-Adresse abläuft (Time To Live, TTL). Ursprünglich waren 60 Minuten definiert, die nun auf fünf Minuten reduziert wurden. Damit erhöht sich zwar marginal der Verkehr für DNS-Anfragen, sollte der Wurm aber doch erste Wirkung zeigen, sind Änderungen in der Netzstruktur schneller wirksam. Microsoft kann dann Anfragen an die Webserver schneller umlenken; beispielsweise sind Teile der Webpräsenz auf den Dienstleister Akamai ausgelagert, der weltweit mehrere Server-Cluster für www.microsoft.com betreibt.

Ob der Wurm überhaupt so starke Verbreitung gefunden hat wie sein Bruder MyDoom.A, ist fraglich. In den Statistiken taucht er so gut wie nie auf, was aber auch daran liegen kann, das beide Varianten einfach zusammengefasst werden. In den Statistiken von Trend Micro taucht MyDoom.B gerade mal mit einer Infektion weltweit auf -- MyDoom.A hat demnach über 700.000 PCs befallen. Das US-CERT warnt unterdessen in einer E-Mail vor der starken Verbeitung. Nach Angaben von Andreas Marx, Virenexperte von AV-Test.de, beruht dies aber auf einem Missverständnis, bei der die beiden Versionen verwechselt wurden.

Obwohl MyDoom.B die lokale hosts-Datei manipuliert, was bis zum gestrigenm Dienstag vor dem Start des Angriffs auf die Microsoft-Site den Verbindungsaufbau von PCs zu einigen Webseiten unter anderem auch www.microsoft.com verhinderte, ist der Wurm seit heute in der Lage Kontakt, zu www.microsoft.com aufzunehmen: Mit dem Start des Angriffes macht er die Manipulation der Datei rückgängig.

Siehe dazu auch:

MyDoom vs. SCO = 1:0 auf heise Security
MyDoom/Novarg -- Tipps zur Wurmkur und weitere Details auf heise Security
(dab/c't)

Quelle

Topsec · 03.02.2004

^Hi
Ich habe gelesen das sich der Mydoom Virus auch mit der Endung zip im Anhang weiterverbreitet. Wie soll das gehen? ZIP ist doch nur ein Packformat und keine ausführbare Datei.

Weiß das jemand?

Thx
Topsec

Wurm Novarg / Mydoom im Umlauf

Futte

Zombie79

nic_power

Futte

phyton!

nic_power

phyton!

Zombie79

Futte

phyton!

Achim

rommolus

Futte

merlin

Larry3

Futte

nic_power

phyton!

merlin

Topsec

Wurm Novarg / Mydoom im Umlauf

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums