PC-Experience - IT-Portal für Reviews, Artikel, Windows Tipps und Problemlösungen -

PC-Experience
Registerdie Foren-Regelndie 2016 überarbeiteten FAQs für unser CMS und das ForumImpressum und DatenschutzSearchKalenderMitgliederlistezu unseren ArtikelnTutorialsZur Startseitezur Forenübersicht

PC-Experience » Artikel und Workshops: » Windows NT, 2000, XP, Tipps und Tricks: » Windows 2000/XP: MyDoom.A/MyDoom.B Workaround » Hello Guest [Login|Register]
Last Post | First Unread Post Print Page | Recommend to a Friend | Add Thread to Favorites
Post New Thread Thread is closed
Go to the bottom of this page Windows 2000/XP: MyDoom.A/MyDoom.B Workaround
Author
Post « Previous Thread | Next Thread »
Cerberus $posts[username] is a male
Chefredakteur


Registration Date: 23.07.2002
Posts: 11,816
Herkunft: Lübeck

Achtung Windows 2000/XP: MyDoom.A/MyDoom.B Workaround Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

Die Mailfächer quellen über vor Trojaner-Mails und somit zeigen wir adäquate Möglichkeiten, um sich schnell und effektiv von den ungebetenen Gästen zu verabschieden.

W32/MyDoom-A ist ein Wurm, der sich per E-Mail verbreitet. Wenn das infizierte Attachment gestartet wird, sucht der Wurm nach E-Mail-Adressen in Adressbüchern und in Dateien mit folgenden Erweiterungen: WAB, TXT, HTM, SHT, PHP, ASP, DBX, TBB, ADB und PL.

W32/MyDoom-B legt die Dateien Message (%Temp%\Message) und Explorer.exe (%System%\Explorer.exe) an.
Message enthält nicht lesbare Zeichen und wird bei der Infektion mit dem Windows-Programm Notepad angezeigt, Explorer.exe enthält das Wurmprogramm.
Achtung:
Explorer.exe ist (auch) ein Windows-Programm. Das originale Programm Explorer.exe befindet sich aber im Windows-Verzeichnis, nicht im Windows-System-Verzeichnis.


W32/MyDoom-B verwendet zufällig gewählte E-Mail-Adressen in den Empfänger- und Sender-Feldern sowie eine zufällig gewählte Betreffzeile. E-Mails, in denen dieser Wurm verbreitet wird, haben folgende Merkmale:

Betreffzeilen:

- error
- hello
- hi
- mail delivery system
- mail transaction failed
- server report
- status
- test
- zufällig gewählte Zeichen

Texte:

- test
- Mail transaction failed. Partial message is available.
- The message contains Unicode characters and has been sent as a binary attachment.
- Mail transaction failed. Partial message is available.


Attachment-Namen:

- body
- data
- doc
- document
- file
- message
- readme
- test
- zufällig gewählte Zeichen

Die angehängten Dateien haben die Erweiterungen BAT, CMD, EXE, PIF, SCR oder ZIP.

Eine Infektion des Computers durch die Internetwürmer MyDoom.A bzw. MyDoom.B wird mit Viren-Schutzprogrammen festgestellt, kann aber auch ohne aktuelles Viren-Schutzprogramm erkannt werden. Dazu wird die Existenz der Wurm-Dateien geprüft:

Dazu muß man als Administrator angemeldet sein und ruft die Eingabeaufforderung auf: Start ->Ausführen ->cmd
Hier geben wir cd \ ein, um ins Hauptverzeichnis zu wechseln und geben anschließend dir shimgapi.dll /a /s
Wenn die Meldung erscheint: "Datei wurde nicht gefunden", ist der Rechner nicht infiziert.
Wenn jedoch etwas gefunden wird, dann ist der Wurm MyDoom.A vorhanden.
Über die Befehlszeile dir ctfmon /a /s überprüfen wir, ob MyDoom.B ebenfalls vorhanden ist.
Einmal mit der B-Variante infiziert, wird es für den Anwender schwierig sich überhaupt Rat, Hilfe und Updates bei den meisten AntiVirus Firmen einzuholen. Denn Mydoom.B modifiziert die eigene Hostdatei dahingehend, dass eine hohe Anzahl von Webadressen bzw. Domains nicht mehr zu erreichen sind.


Entfernung des Wurms MyDoom.A und MyDoom.B:


Dazu müßen adminstrative Rechte vorhanden sein, die Systemwiederherstellung deaktiviert sein (Rechtsklick auf den Arbeitsplatz ->Eigenschaften ->Systemwiederherstellung).
Für die Entfernung des Wurms laden wir uns entsprechende Tools von Bitfender herunter und wechseln zum weiteren Vorgehen in den abgesicherten Modus von Windows 2000/XP.

Download Removetool für MyDoom.A (Novarg.A)

Download Removetool für Mydoom.B@m (Win32.Novarg.B@mm)


Anschließend führen wir die beiden Remove-Tools entsprechend aus und eliminieren die Würmer von der Festplatte.









Fazit:


Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.
Es emphiehlt sich, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird sichergestellt, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.
Die regelmäßige Aktualisierung des Virenscanners ist ebenso Pflicht, wie das Einspielen der aktuellen Betriebssystem-Patches.



weiterführende Links:

Symantec RemoveTools

Virus Protection Features in Outlook Express 6 nutzen




Cerberus
09.02.2004 10:49 Cerberus is offline Homepage of Cerberus Search for Posts by Cerberus Add Cerberus to your Buddy List
Tree Structure | Board Structure
Post New Thread Thread is closed
PC-Experience » Artikel und Workshops: » Windows NT, 2000, XP, Tipps und Tricks: » Windows 2000/XP: MyDoom.A/MyDoom.B Workaround


Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2020 PC-Experience.de