Die hier archivierte Mail kann, muss sich aber nicht auf den Themenkomplex von Oekonux beziehen.
Insbesondere kann nicht geschlossen werden, dass die hier geäußerten Inhalte etwas mit dem Projekt Oekonux oder irgendeiner TeilnehmerIn zu tun haben.
Message 00614 | [Homepage] | [Navigation] | |
---|---|---|---|
Thread: choxT00614 Message: 1/1 L0 | [In date index] | [In thread index] | |
[First in Thread] | [Last in Thread] | [Date Next] | [Date Prev] |
[Next in Thread] | [Prev in Thread] | [Next Thread] | [Prev Thread] |
Diese Meldung aus dem heise online-Newsticker wurde Ihnen von "Helmuth Supik <helmuth.s gmx.li>" gesandt. Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel an der Authentizität des Absenders haben, ignorieren Sie diese E-Mail bitte. -------------------------------------------------------------------- Auf jede Aktion folgt eine Reaktion, wenn das System im Gleichgewicht bleiben soll (Sir Isaac Newton) -------------------------------------------------------------------- Neuer Wurm Novarg/Mydoom verbreitet sich schnell Ein neuer Mail-Wurm, der Windows-Rechner befällt, verbreitet sich gegenwärtig rasant im Internet. Die Novarg oder Mydoom genannte Variante des Mimail-Wurms weist einige Besonderheiten auf -- unter anderem versucht er wie einige Mimail-Varianten[1], eine DoS-Attacke zu starten, dieses Mal aber auf die Server der SCO Group[2]. Die Firma ist momentan in Rechtsstreitigkeiten vor allem mit IBM[3] und mit Novell[4] verwickelt über Vorwürfe, im Linux-Kernel befinde sich unzulässigerweise Code aus Unix System V, auf das SCO die Copyrights beansprucht. Es gab schon in der Vergangenheit DoS-Angriffe[5] auf die SCO-Webserver, die die Firma in Zusammenhang[6] mit diesen juristischen Auseinandersetzungen brachte. Die Antiviren-Firmen haben mittlerweile die Gefährlichkeit des Wurms hochgestuft, da er sich offensichtlich sehr schnell verbreitet. Auf den Mail-Servern des Heise-Verlags löste er beispielsweise bei den eingehenden Mails bereits den Wurm Sober.c in der Häufigkeit des Auftretens ab. Für die Verbreitung scheint förderlich zu sein, dass sich der Wurm in Mails versteckt, die nicht mit den üblichen Angeboten etwa für Filme, private Photos oder Pornobildchen daherkommen. Vielmehr erwecken die Mails mit Subjects wie "Mail Delivery System", "Mail Transaction Failed", "Server Report", "Status" oder "Error" den Eindruck, technische Verwaltungsmails zu sein. Im Body der Mail finden sich dann Texte wie "Mail transaction failed. Partial message is available", "The message contains Unicode characters and has been sent as a binary attachment" oder "The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment", die den Eindruck noch stützen sollen. Anscheinend fallen daher auch einige eher technisch orientierte Anwender, die mit den üblichen Wurm-Mails eigentlich umgehen können sollten, auf die neue Variante herein. Der Wurm verbreitet sich von infizierten Rechner aus selbsttätig per E-Mail an Adressen, die er auf dem lokalen Rechner findet. Er ignoriert aber beispielsweise E-Mail-Adressen in .edu-Domains; diese sind für Bildungseinrichtungen reserviert. Der Schädling verankert sich in der Registry, sodass er beim Start von Windows aktiviert wird und kopiert sich zudem unter verschiedenen Dateinamen in das Download-Verzeichnis der Tauschbörsen-Software von Kazaa. Auf den befallenen Systemen öffnet der Wurm eine Backdoor auf den TCP-Ports 3127 bis 3198, sodass sich Angreifer Zugang zu den infizierten Rechnern verschaffen können. Ab dem 1. Februar sollen vom Wurm befallene Systeme eine DoS-Attacke auf www.sco.com, Port 80, starten. Sowohl der Verbreitungsmechanismus als auch die DoS-Attacke haben ein Enddatum 12. Februar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits eine detaillierte Beschreibung[7] des Wurms herausgegeben. Auch die Antiviren-Hersteller haben ihre Signatur-Dateien für die Virenscanner aktualisiert und geben in den Infos zu dem Wurm Hinweise zu seiner Entfernung. Weitere Informationen zum Schutz vor Viren und Würmer finden sich auf den Antiviren-Seiten[8] von heise Security. [9]Siehe dazu auch: Vireninfo W32.Novarg.A mm[10] des BSI Antiviren-Seiten[11] von heise Security Vireninfo W32.Novarg.A mm[12] bei Symantec Vireninfo W32/Mydoom MM[13] bei Network Associates Vireninfo Novarg/Mydoom[14] bei F-Secure Vireninfo Mimail.R/Mydoom/Novarg[15] bei TrendMicro (jk[16]/c't) URL dieses Artikels: http://www.heise.de/newsticker/data/jk-27.01.04-000/ Links in diesem Artikel: [1] http://www.heise.de/security/news/meldung/41652 [2] http://www.sco.com [3] http://www.heise.de/newsticker/data/jk-23.01.04-000/ [4] http://www.heise.de/newsticker/data/jk-20.01.04-013/ [5] http://www.heise.de/newsticker/data/tol-24.08.03-003/ [6] http://www.heise.de/newsticker/data/jk-07.05.03-004/ [7] http://www.heise.de/security/artikel/44038 [8] http://www.heise.de/security/dienste/antivirus/ [9] http://www.heise.de/security/artikel/44038 [10] http://www.heise.de/security/dienste/antivirus/ [11] http://www.symantec.com/avcenter/venc/data/w32.novarg.a mm.html [12] http://vil.nai.com/vil/content/v_100983.htm [13] http://www.f-secure.com/v-descs/novarg.shtml [14] http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R [15] jk ct.heise.de -------------------------------------------------------------------- Copyright 2004 by Heise Zeitschriften Verlag _______________________ http://www.oekonux.de/
[English translation] | |||
Thread: choxT00614 Message: 1/1 L0 | [In date index] | [In thread index] | |
---|---|---|---|
Message 00614 | [Homepage] | [Navigation] |