PC-Experience - IT-Portal für Reviews, Artikel, Windows Tipps und Problemlösungen -

PC-Experience
Registrierungdie Foren-Regelndie 2016 überarbeiteten FAQs für unser CMS und das ForumImpressum und DatenschutzSucheKalenderMitgliederlistezu unseren ArtikelnTutorialsZur Startseitezur Forenübersicht


PC-Experience » Artikel und Workshops: » Windows NT, 2000, XP, Tipps und Tricks: » Windows 2000/XP: MyDoom.A/MyDoom.B Workaround » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Thema ist geschlossen
Zum Ende der Seite springen Windows 2000/XP: MyDoom.A/MyDoom.B Workaround
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Cerberus Cerberus ist männlich
Chefredakteur


Dabei seit: 23.07.2002
Beiträge: 12.049
Herkunft: Lübeck
Achtung Windows 2000/XP: MyDoom.A/MyDoom.B Workaround Auf diesen Beitrag antworten Zitatantwort auf diesen Beitrag erstellen Diesen Beitrag editieren/löschen Diesen Beitrag einem Moderator melden       Zum Anfang der Seite springen
Die Mailfächer quellen über vor Trojaner-Mails und somit zeigen wir adäquate Möglichkeiten, um sich schnell und effektiv von den ungebetenen Gästen zu verabschieden.

W32/MyDoom-A ist ein Wurm, der sich per E-Mail verbreitet. Wenn das infizierte Attachment gestartet wird, sucht der Wurm nach E-Mail-Adressen in Adressbüchern und in Dateien mit folgenden Erweiterungen: WAB, TXT, HTM, SHT, PHP, ASP, DBX, TBB, ADB und PL.

W32/MyDoom-B legt die Dateien Message (%Temp%\Message) und Explorer.exe (%System%\Explorer.exe) an.
Message enthält nicht lesbare Zeichen und wird bei der Infektion mit dem Windows-Programm Notepad angezeigt, Explorer.exe enthält das Wurmprogramm.
Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich aber im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.


W32/MyDoom-B verwendet zufällig gewählte E-Mail-Adressen in den Empfänger- und Sender-Feldern sowie eine zufällig gewählte Betreffzeile. E-Mails, in denen dieser Wurm verbreitet wird, haben folgende Merkmale:

Betreffzeilen:

- error
- hello
- hi
- mail delivery system
- mail transaction failed
- server report
- status
- test
- zufällig gewählte Zeichen

Texte:

- test
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.


Attachment-Namen:

- body
- data
- doc
- document
- file
- message
- readme
- test
- zufällig gewählte Zeichen

Die angehängten Dateien haben die Erweiterungen BAT, CMD, EXE, PIF, SCR oder ZIP.

Eine Infektion des Computers durch die Internetwürmer MyDoom.A bzw. MyDoom.B wird mit Viren-Schutzprogrammen festgestellt, kann aber auch ohne aktuelles Viren-Schutzprogramm erkannt werden. Dazu wird die Existenz der Wurm-Dateien geprüft:

Dazu muß man als Administrator angemeldet sein und ruft die Eingabeaufforderung auf: Start ->Ausführen ->cmd
Hier geben wir cd \ ein, um ins Hauptverzeichnis zu wechseln und geben anschließend dir shimgapi.dll /a /s
Wenn die Meldung erscheint: "Datei wurde nicht gefunden", ist der Rechner nicht infiziert.
Wenn jedoch etwas gefunden wird, dann ist der Wurm MyDoom.A vorhanden.
Über die Befehlszeile dir ctfmon /a /s überprüfen wir, ob MyDoom.B ebenfalls vorhanden ist.
Einmal mit der B-Variante infiziert, wird es für den Anwender schwierig sich überhaupt Rat, Hilfe und Updates bei den meisten AntiVirus Firmen einzuholen. Denn Mydoom.B modifiziert die eigene Hostdatei dahingehend, dass eine hohe Anzahl von Webadressen bzw. Domains nicht mehr zu erreichen sind.


Entfernung des Wurms MyDoom.A und MyDoom.B:


Dazu müßen adminstrative Rechte vorhanden sein, die Systemwiederherstellung deaktiviert sein (Rechtsklick auf den Arbeitsplatz ->Eigenschaften ->Systemwiederherstellung).
Für die Entfernung des Wurms laden wir uns entsprechende Tools von Bitfender herunter und wechseln zum weiteren Vorgehen in den abgesicherten Modus von Windows 2000/XP.

Download Removetool für MyDoom.A (Novarg.A)

Download Removetool für Mydoom.B@m (Win32.Novarg.B@mm)


Anschließend führen wir die beiden Remove-Tools entsprechend aus und eliminieren die Würmer von der Festplatte.









Fazit:


Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Es emphiehlt sich, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird sichergestellt, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
Die regelmäßige Aktualisierung des Virenscanners ist ebenso Pflicht, wie das Einspielen der aktuellen Betriebssystem-Patches.



weiterführende Links:

Symantec RemoveTools

Virus Protection Features in Outlook Express 6 nutzen




Cerberus
09.02.2004 10:49 Cerberus ist offline Homepage von Cerberus Beiträge von Cerberus suchen Nehmen Sie Cerberus in Ihre Freundesliste auf
Baumstruktur | Brettstruktur
Neues Thema erstellen Thema ist geschlossen
PC-Experience » Artikel und Workshops: » Windows NT, 2000, XP, Tipps und Tricks: » Windows 2000/XP: MyDoom.A/MyDoom.B Workaround


Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2023 PC-Experience.de