Geschrieben von Cerberus am 09.02.2004 um 10:49:
Windows 2000/XP: MyDoom.A/MyDoom.B WorkaroundDie Mailfächer quellen über vor Trojaner-Mails und somit zeigen wir adäquate Möglichkeiten, um sich schnell und effektiv von den ungebetenen Gästen zu verabschieden.
W32/MyDoom-A ist ein Wurm, der sich per E-Mail verbreitet. Wenn das infizierte Attachment gestartet wird, sucht der Wurm nach E-Mail-Adressen in Adressbüchern und in Dateien mit folgenden Erweiterungen: WAB, TXT, HTM, SHT, PHP, ASP, DBX, TBB, ADB und PL.
W32/MyDoom-B legt die Dateien Message (%Temp%\Message) und Explorer.exe (%System%\Explorer.exe) an.
Message enthält nicht lesbare Zeichen und wird bei der Infektion mit dem Windows-Programm Notepad angezeigt, Explorer.exe enthält das Wurmprogramm.
Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich aber im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.
W32/MyDoom-B verwendet zufällig gewählte E-Mail-Adressen in den Empfänger- und Sender-Feldern sowie eine zufällig gewählte Betreffzeile. E-Mails, in denen dieser Wurm verbreitet wird, haben folgende Merkmale:
Betreffzeilen:
- error
- hello
- hi
- mail delivery system
- mail transaction failed
- server report
- status
- test
- zufällig gewählte Zeichen
Texte:
- test
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.
Attachment-Namen:
- body
- data
- doc
- document
- file
- message
- readme
- test
- zufällig gewählte Zeichen
Die angehängten Dateien haben die Erweiterungen BAT, CMD, EXE, PIF, SCR oder ZIP.
Eine Infektion des Computers durch die Internetwürmer MyDoom.A bzw. MyDoom.B wird mit Viren-Schutzprogrammen festgestellt, kann aber auch ohne aktuelles Viren-Schutzprogramm erkannt werden. Dazu wird die Existenz der Wurm-Dateien geprüft:
Dazu muß man als Administrator angemeldet sein und ruft die Eingabeaufforderung auf: Start ->Ausführen ->cmd
Hier geben wir cd \ ein, um ins Hauptverzeichnis zu wechseln und geben anschließend dir shimgapi.dll /a /s
Wenn die Meldung erscheint: "Datei wurde nicht gefunden", ist der Rechner nicht infiziert.
Wenn jedoch etwas gefunden wird, dann ist der Wurm MyDoom.A vorhanden.
Über die Befehlszeile dir ctfmon /a /s überprüfen wir, ob MyDoom.B ebenfalls vorhanden ist.
Einmal mit der B-Variante infiziert, wird es für den Anwender schwierig sich überhaupt Rat, Hilfe und Updates bei den meisten AntiVirus Firmen einzuholen. Denn Mydoom.B modifiziert die eigene Hostdatei dahingehend, dass eine hohe Anzahl von Webadressen bzw. Domains nicht mehr zu erreichen sind.
Dazu müßen adminstrative Rechte vorhanden sein, die Systemwiederherstellung deaktiviert sein (Rechtsklick auf den Arbeitsplatz ->Eigenschaften ->Systemwiederherstellung).
Für die Entfernung des Wurms laden wir uns entsprechende Tools von Bitfender herunter und wechseln zum weiteren Vorgehen in den abgesicherten Modus von Windows 2000/XP.
Download Removetool für MyDoom.A (Novarg.A)
Download Removetool für Mydoom.B@m (Win32.Novarg.B@mm)
Anschließend führen wir die beiden Remove-Tools entsprechend aus und eliminieren die Würmer von der Festplatte.
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Es emphiehlt sich, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird sichergestellt, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
Die regelmäßige Aktualisierung des Virenscanners ist ebenso Pflicht, wie das Einspielen der aktuellen Betriebssystem-Patches.
Symantec RemoveTools
Virus Protection Features in Outlook Express 6 nutzen