Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1177

[MS/Generic] E-Mail-Wurm Novarg/Mydoom verbreitet sich massiv
(2004-01-27 11:25:22.148964+00)

Quelle: http://www.cert.org/incident_notes/IN-2004-01.html

Der E-Mail-Wurm "Novarg/Mydoom" verbreitet sich derzeit rasant. Nach Infektion eines Systems installiert der Wurm eine Hintertür im befallenen System, die es potentiell in eine Angriffsplattform gegen weitere Systeme verwandelt. Die derzeit in Umlauf befindliche Version wird von befallenen Systemen aus am 2004-02-01 einen DoS-Angriff gegen Systeme der SCO-Group starten. Diese Version wird am 2004-02-12 seine Weiterverbreitung selbst stoppen.

Betroffene Systeme

Einfallstor
E-Mail Attachment, P2P-Netzwerk (KaZaA)

Auswirkung

Typ der Verwundbarkeit
E-Mail-Wurm

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Wurm Novarg/Mydoom verbreitet sich via E-Mail mit den nachfolgenden Charakteristika sowie über das P2P-Netzwerk KaZaA, indem sich der Wurm in den KaZaA-Ordner mit einem der folgenden Dateinamen kopiert:

Gegenmaßnahmen
Entfernung des Wurmes:

Hinweis für Mitglieder der Universität Stuttgart
Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter

Generelle Empfehlung (Wh)

Aliases

Charakteristika
Die Nachrichten, mit denen sich der Novarg/Mydoom-Wurm verbreitet, haben folgende Charakteristika:

Absender
Der Wurm ist in der Lage, Headerzeilen zu fälschen.
Unter anderem enthalten die From:-Zeilen (Absenderadresse) infektiöser Nachrichten gefälschte Inhalte.

Betreffzeile
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, eine der folgenden Betreffzeilen (Subject)

Attachment
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, ein Attachment mit einem der folgenden Namen:

Die Attachments haben eine der folgenden Dateiendungen:

Textkörper
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, einen der folgenden Textkörper (weitere sind möglich):

  • Mail transaction failed. Partial message is available.
  • The message contains Unicode characters and has been sent as a binary attachment.
  • The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.

Revisionen dieser Meldung

Weitere Information zu diesem Thema

(tf)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1177