McAfee warnt vor neuem Virus Mydoom.bb@MM
Von McAfee, Inc.
Neuer Wurm übernimmt Kontrolle über den PC
München, Hamburg, 17. Februar 2005 AVERT (Anti virus and Vulnerability Emergency Response Team), das Virenforschungslabor von McAfee (NYSE: MFE), stuft den heute entdeckten Internet-Wurm W32/Mydoom.bb@MM (auch Mydoom.bb) als besonders gefährlich ein. Der Wurm verbreitet sich über E-Mail und hängt eine Kopie von sich als Anhang an. Zusätzlich lädt er den Trojaner BackDoor-CEB.f herunter und führt in aus. Bis jetzt konnte das AVERT mehr als 50 Fälle nachweisen, die entweder direkt geblockt werden konnten bzw. bei Kunden festgestellt wurden. Die meisten Reports wurden in den USA gemeldet, der Virus trat außerdem in Australien und Großbritannien auf.
Charakteristika von Mydoom.bb@MM
Mydoom.bb ist vorangegangenen Varianten sehr ähnlich und verfügt über folgende charakteristischen Elemente:
- Mass-Mailer-Wurm, der E-Mails über eine eigene SMTP-Engine versendet
- E-Mail-Adressen werden auf dem infizierten System gesucht. Nach zusätzlichen Adressen sucht der Wurm über Suchmachinen im Internet
- Die Absender-Adresse der E-Mails ist gefälscht.
- Download des BackDoor-CEB.f-Trojaners
Anwendern empfiehlt McAfee, äußerst vorsichtig mit Mails unbekannter Herkunft zu sein und elektronische Nachrichten mit folgendem Inhalt ungelesen zu löschen:
- From: Gefälschte Absender-Adresse nicht in jedem Falle muss davon ausgegangen werden, das die Absenderadresse infiziert ist. Zusätzlich können falsche Alert-Messages eines Mailservers auftreten, die über eine vermeintliche Infizierung des Empfängers informieren wollen.
- Die Absender-Adresse kann durch eine aufgelesene E-Mail-Adresse gefälscht sein. Zusätzlich gibt es Varianten, die als Rückläufer (Bounce) gestaltet sind und folgende Adressen nutzen:
-- mailer-daemon@(target_domain)
-- noreply@(target_domain)
-- postmaster@(target_domain)
Beim Subject werden folgende Begriffe verwendet:
-- delivered
-- hello
-- hi
-- error
-- status
-- test
-- report
-- delivery failed
-- Message could not be delivered
-- Mail System Error - Returned Mail
-- Delivery reports about your e-mail
-- Returned mail: see transcript for details
-- Returned mail: Data format error
Beim Message Body werden Inhalte aus unterschiedlichen Zeichenquellen generiert. Die genaue Vorgehensweise sieht vor, dass sich die infizierte Datei nach ihrer Ausführung in das Windows-Verzeichnis kopiert. Der Wurm selbst installiert sich dabei als JAVA.EXE im Windows-Verzeichnis.
Dies sieht wie folgt aus:
-- C:\WINDOWS\JAVA.EXE
Weiterhin wird die Datei SERVICES.EXE in das gleiche Verzeichnis abgelegt:
-- C:\WINDOWS\SERVICES.EXE
Danach werden folgende Registry-Einträge beim Start erstellt:
-- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "JavaVM" = %WinDir%\JAVA.EXE
-- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Services" = %WinDir%\SERVICES.EXE
-- HKEY_CURRENT_USER\Software\Microsoft\Daemon
-- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Daemon
Mydoom.bb öffnet auf infizierten Systemen den Port TCP 1034. Über diesen Port kann der Wurm seine Befehle erhalten.
Eine Beschreibung zu dem BackDoor-CEB.f Trojaner ist unter: http://vil.nai.com/vil/content/v_131340.htm erhältlich.
Diese Presseinformation sowie druckfähiges Bildmaterial finden Sie auch online unter: www.harvard.de.
Über McAfee
Mit Hauptsitz in Santa Clara, Kalifornien (USA) bietet McAfee, Inc. Best-of-breed-Lösungen für Intrusion Prevention und Risiko-Management. Die Sicherheitslösungen und Dienstleistungen helfen Großunternehmen, Behörden, kleinen und mittelständischen Unternehmen sowie Privatanwendern dabei, ihre Netzwerke und Computersysteme aktiv vor Angriffen und unternehmenskritischen Bedrohungen zu bewahren. Die integrierten Foundstone Professional Services bieten hohe Beratungskompetenz und Praxiserfahrung bei der Analyse von IT-Infrastrukturen. Weitere Informationen erhalten Sie über http://www.mcafee.com/.
Für weitere Informationen wenden Sie sich bitte an:
McAfee
Isabell Unseld
Ohmstr. 1
85716 Unterschleißheim
Tel: 089 / 37 07 - 0
Fax: 089 / 37 07 - 1199
E-Mail: isabell_unseld@mcafee.com
Harvard PR:
Jürgen Rast
Arno Glompner
Westendstraße 193-195
80686 München
Tel.: 089 / 53 29 57 - 0
Fax: 089 / 53 29 57 - 888
E-Mail:juergen.rast@harvard.de
arno.glompner@harvard.de
Kommentare
17.02.05
17. Feb 05
Meldung teilen
Bewerten Sie diesen Artikel
Hinweis
Für den Inhalt der Pressemitteilung ist der Einsteller, Selma Kasimay, verantwortlich.
Pressemitteilungstext: 477 Wörter, 3825 Zeichen. Artikel reklamieren
Pressemitteilungstext: 477 Wörter, 3825 Zeichen. Artikel reklamieren
Keywords
Diese Pressemitteilung wurde erstellt, um bei Google besser gefunden zu werden.
Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!
Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!