- Offizieller Beitrag
<table cellSpacing="0" cellPadding="0" width="100%" border="0" id="table1">
<tr>
<td>
<table cellSpacing="5" cellPadding="5" width="100%" border="0" hspace="0" vspace="0" id="table2">
<tr vAlign="top">
<td>
<table cellSpacing="0" width="80%" border="0" id="table3">
<tr>
<td vAlign="top" width="27%" height="21"><strong>Name:</strong></td>
<td vAlign="center" width="73%" height="21"><strong>
W32.Novarg.A@mm </strong></td>
</tr>
<tr>
<td vAlign="top" width="27%"><strong>Alias:</strong></td>
<td vAlign="center" width="73%" height="21"><strong>
W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend]</strong></td>
</tr>
<tr>
<td vAlign="top" width="27%"><strong>Art:</strong></td>
<td vAlign="center" width="73%"><strong>Wurm</strong></td>
</tr>
<tr>
<td vAlign="top" width="27%" height="20"><strong>Größe
des Anhangs:</strong></td>
<td vAlign="center" width="73%"><strong>22.528
<span lang="en">Bytes</span></strong></td>
</tr>
<tr>
<td vAlign="top" width="27%"><strong>Betriebssystem:</strong></td>
<td vAlign="center" width="73%"><strong>Microsoft
Windows </strong></td>
</tr>
<tr>
<td vAlign="top" width="27%"><strong>Art der
Verbreitung:</strong></td>
<td vAlign="center" width="73%"><strong>Massen<span lang="en">mailing</span></strong></td>
</tr>
<tr>
<td vAlign="top" width="27%"><strong>Verbreitung:</strong></td>
<td vAlign="center" width="73%"><strong>hoch</strong></td>
</tr>
<tr>
<td vAlign="top" width="27%" height="17"><strong>Risiko:</strong></td>
<td vAlign="center" width="73%" height="17"><strong>
mittel-hoch</strong></td>
</tr>
<tr>
<td vAlign="top" width="27%" height="22"><strong>
Schadensfunktion:</strong></td>
<td vAlign="center" width="73%" height="22"><strong>
Massen<span lang="en">mailing,<br>
Installation eines Backdoors,<br>
DOS Angriff gegen https://www.study-board.de/www.sco.com</span></strong></td>
</tr>
<tr>
<td vAlign="top" width="27%"><strong>Spezielle
Entfernung:</strong></td>
<td vAlign="center" width="73%"><b><a href="#Tool">Tool</a></b></td>
</tr>
<tr>
<td vAlign="top" width="27%"><strong>bekannt seit:</strong></td>
<td vAlign="center" width="73%"><strong>26. Januar 2004</strong></td>
</tr>
</table>
<p><strong>Beschreibung:</strong></p>
<p>W32.Novarg.A@mm ist ein Internet-Wurm, der sich in Dateien
mit den Endungen .bat, .cmd, .exe, pif, .scr und .zip versendet.
Zusätzlich verbreitet er sich über
<abbr lang="de" title="selbst-organisierendes Netzwerk im Internet">
KaZaA</abbr>.</p>
<p>Bei der Infektion des Systems installiert der Wurm ein
<span lang="en">Backdoor</span>-Programm, das die
<acronym lang="en" title="Transmission Control Protocol">TCP</acronym>-<span lang="en">Ports</span>
3127 bis 3198 öffnet. Damit hat ein Angreifer die Möglichkeit,
den infizierten Rechner fernzusteueren. Außerdem kann dieses
<span lang="en">Backdoor</span> weitere Dateien aus dem Internet
laden.</p>
<p>Am 1. Februar startet der Wurm eine <span lang="en">Denial of
Sevice (DOS)</span> Attacke gegen eine bestimmte Internetseite.
Ab dem 12. Februar verbreitet er sich nicht weiter.</p>
<p>Der Wurm erzeugt die Datei <strong>shimgapi.dll</strong> im
Systemverzeichnis von Windows.<br>
Dieses Programm öffnet die <span lang="en">TCP-Ports</span> 3127
bis 3198 und arbeitet als <span lang="en">Proxy-Server</span>.</p>
<p>Durch den Registrierungs-Schlüssel<br>
<span lang="en">
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
"(Default)" = %SysDir%\shimgapi.dll</span> </p>
<p>wird die Datei gestartet, wenn Explorer.exe geöffnet wird.</p>
<p>Die Datei <b>taskmon.exe</b> wird im
Windows-Systemverzeichnis erzeugt. Existiert diese Datei schon,
wird sie <strong>durch eine Kopie des Wurms ersetzt</strong>.</p>
<p>Diese startet automatisch durch den Registrierungs-Schlüssel<br>
<span lang="en">
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run</span><br>
oder<br>
<span lang="en">
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run</span><br>
mit dem Wert<br>
TaskMon = %System%\taskmon.exe</p>
<p>Weiterhin wird die Datei <strong><span lang="en">message</span></strong>
im Temp-Verzeichnis angelegt.</p>
<p>In Dateien mit den Endungen</p>
<p class="marginleft15">.htm <br>
.sht <br>
.php <br>
.asp <br>
.dbx <br>
.tbb <br>
.adb <br>
.pl <br>
.wab <br>
.txt</p>
<p>werden <span lang="en">E-Mail</span>-Adressen zur weiteren
Verbreitung gesucht. Dabei werden keine Adressen aus der
<span lang="en">Top-Level-Domain</span> <b>.edu</b> verwendet.
Novarg.A verwendet zur Verbreitung seine eigene
<acronym lang="en" title="Simple Mail Transport Protocol">SMTP</acronym>-Maschine.</p>
<p>Die <span lang="en">E-Mail</span> hat folgende
Charakteristik:</p>
<p><strong>Von:</strong> <Adresse gefälscht></p>
<p><strong>Betreff:</strong> <eine der folgenden></p>
<p class="marginleft15">test<br>
hi<br>
<span lang="en">hello<br>
Mail Delivery System<br>
Mail Transaction Failed<br>
Server Report</span><br>
Status<br>
<span lang="en">Error</span></p>
<p><strong>Nachricht: </strong></p>
<p lang="en">Mail transaction failed. Partial message is
available.<br>
The message contains Unicode characters and has been sent as a
binary attachment.<br>
The message cannot be represented in 7-bit ASCII encoding and
has been sent as a binary attachment.</p>
<p><strong>Name des Anhangs:</strong> <einer der folgenden></p>
<p class="marginleft15"><span lang="en">document<br>
readme<br>
doc<br>
text<br>
file<br>
data<br>
test<br>
message<br>
body</span></p>
<p>Datei-Endung</p>
<p class="marginleft15">pif<br>
scr<br>
exe<br>
cmd<br>
bat<br>
zip</p>
<p><strong>Größe des Anhangs:</strong> 22.528 <span lang="en">
Bytes</span></p>
<p>Novarg.A kopiert sich ausserdem in das Download-Verzeichnis
von KaZaA, als Datei</p>
<p class="marginleft15"><span lang="en">winamp5 <br>
icq2004-final <br>
activation_crack <br>
strip-girl-2.0bdcom_patches <br>
rootkitXP <br>
office_crack <br>
nuke2004</span></p>
<p>mit der Dateiendung</p>
<p class="marginleft15">pif <br>
scr <br>
bat <br>
exe</p>
<p><b>Hinweise zur Entfernung des Wurms</b></p>
<p>Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie
vor der Entfernung die
<a href="http://www.bsi.de/av/texte/wiederher.htm">
Systemwiederherstellung</a> deaktivieren, und den Computer im
<a href="http://www.bsi.de/av/texte/winsave.htm">abgesicherten
Modus</a> starten.</p>
<p>Den Wurm auf einem infizierten Rechner lokalisieren und
entfernen können Sie über eines der kostenlosen Entfernungstools
von </p>
<p><b>NAI</b> (stinger.exe):
<a target="_blank" href="http://download.nai.com/products/mcafee-avert/stinger.exe">
Direkt-Download</a>
<img height="10" alt="externer Link" src="http://www.bsi.de/picnav/extern.gif" width="13" border="0">
oder <a target="_blank" href="http://vil.nai.com/vil/stinger/">
Download mit Informationen</a>
<img height="10" alt="externer Link" src="http://www.bsi.de/picnav/extern.gif" width="13" border="0"></p>
<p> </p>
<p><strong>Generelle Hinweise:</strong></p>
<p>Bei <span lang="en">E-Mail</span> auch von vermeintlich
bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text
der Nachricht auch zum Absender passt (englischer Text von
deutschem Partner, zweifelhafter Text oder fehlender Bezug zu
konkreten Vorgängen <abbr lang="de" title="und so weiter">etc.</abbr>)
und ob die Anlage (<span lang="en">Attachment</span>) auch
erwartet wurde.</p>
<p>Das BSI empfiehlt, den Versand / Empfang von ausführbaren
Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien,
die Programmcode enthalten können (Extend .DO*; XL*, PPT,
VBS...) vorher telefonisch abzustimmen. Dadurch wird
abgesichert, dass die Datei vom angegebenen Absender geschickt
und nicht von einem Virus verbreitet wird. </p>
<p>(Erstellt: 27.01.2004) </td>
</tr>
</table>
</td>
</tr>
</table>
<br><br>
Quelle: http://www.bsi.de/av/index.htm
<br><br> Weiter Infos:
http://www.heise.de/security/news/meldung/44035<br>
http://www.tagesschau.de/aktuell/meldun…22_REF1,00.html
