Der E-Mail-Wurm "Novarg/Mydoom" verbreitet sich derzeit rasant. Nach Infektion eines Systems installiert der Wurm eine Hintertür im befallenen System, die es potentiell in eine Angriffsplattform gegen weitere Systeme verwandelt. Die derzeit in Umlauf befindliche Version wird von befallenen Systemen aus am 2004-02-01 einen DoS-Angriff gegen Systeme der SCO-Group starten. Diese Version wird am 2004-02-12 seine Weiterverbreitung selbst stoppen.

Betroffene Systeme

• Microsoft Windows (praktisch alle Versionen)

Einfallstor
E-Mail Attachment, P2P-Netzwerk (KaZaA)

Auswirkung

• massive Weiterverbreitung des Wurmes
• Der Wurm kopiert sich selbst in das Systemverzeichnis
  • %system%\taskmon.exe
    (%system% entspricht üblicherweise c:\windows\system32 (Windows XP), c:\winnt\system32 (Windows NT/2000) bzw. c:\windows\system (Windows 9x/Me))
  und erzeugt folgende Einträge in der Registry um sicherzustellen, bei jedem Systemboot gestartet zu werden.
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  mit dem Eintrag
  • TaskMon = %System%\taskmon.exe
• Der Wurm installiert eine Hintertür um Dateien auf dem infizierten Host zu speichern und auszuführen. Diese Hintertür auf den TCP-Ports 3127-3198 fungiert offenbar auch als Proxy-Server um einem Angreifer Zugriff auf Netzwerkresourcen des infizierten Host zu ermöglichen.
  %system%\shimgapi.dll
  Diese Hinterfür wird durch nachfolgenden Registry-Eintrag über EXPLORER.EXE ausgeführt.
  HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 "(Default)" = %System%\shimgapi.dll
• Der Wurm als auch die Backdoor werden ggf. im %temp%-Verzeichnis abgelegt. Offenbar wird die Backdoor auch dann installiert, wenn der Benutzer keine Schreibrechte auf %system% hat.
• Denial of Service Angriff gegen www.sco.com im Zeitraum 1.2.2004-12.02.2004.

Typ der Verwundbarkeit
E-Mail-Wurm

Gefahrenpotential
mittel bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Der Wurm Novarg/Mydoom verbreitet sich via E-Mail mit den nachfolgenden Charakteristika sowie über das P2P-Netzwerk KaZaA, indem sich der Wurm in den KaZaA-Ordner mit einem der folgenden Dateinamen kopiert:

• nuke2004
• office_crack
• rootkitXP
• strip-girl-2.0bdcom_patches
• activation_crack winamp

Gegenmaßnahmen
Entfernung des Wurmes:

• Aktualisierung der Anti-Viren-Software
• Einige Anti-Viren-Hersteller stellen kostenlose Programme zur Entfernung des Wurmes zur Verfügung:
  • Stinger (NAI/McAfee)
  • W32.Novarg.A@mm Removal Tool (Symatec)

• http://wb.rus.uni-stuttgart.de/AntiVirus/default.asp (Zugriff nur für Mitglieder der Universität Stuttgart)

Generelle Empfehlung (Wh)

• Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
• Kein ernstzunehmender Hersteller von System- oder Antivirussoftware verschickt Werkzeuge zur Entfernung irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine gefälschte Nachricht handelt.
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Aliases

• W32.Novarg.A@mm (Symantec)
• W32/Mydoom@MM (McAfee)
• Win32/Shimg (CA)
• WORM_MIMAIL.R (TrendMicro)

Charakteristika
Die Nachrichten, mit denen sich der Novarg/Mydoom-Wurm verbreitet, haben folgende Charakteristika:

Absender
Der Wurm ist in der Lage, Headerzeilen zu fälschen.
Unter anderem enthalten die From:-Zeilen (Absenderadresse) infektiöser Nachrichten gefälschte Inhalte.

• test
• hi
• hello
• Mail Delivery System
• Mail Transaction Failed
• Server Report
• Status
• Error

Attachment
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, ein Attachment mit einem der folgenden Namen:

• document
• readme
• doc
• text
• file
• data
• test
• message
• body

• .pif
• .scr
• .exe
• .cmd
• .bat
• .zip

Textkörper
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, einen der folgenden Textkörper (weitere sind möglich):

Mail transaction failed. Partial message is available.

The message contains Unicode characters and has been sent as a binary attachment.

The message cannot be represented in 7-bit ASCII encoding and has been sent as
a binary attachment.

Revisionen dieser Meldung

• V. 1.0 (2004-01-27)
• V. 1.1 (2004-01-27) Symantec-Werkzeug zum Entfernen des Wurms, Hinweise bzgl. der Kopie in %temp%

Weitere Information zu diesem Thema

• W32.Novarg.A@mm (BSI)
• CERT/CC Incident Note IN-2004-01

Weitere Artikel zu diesem Thema:

• [MS/IE] Schwachstelle im Internet Explorer - Malware in Umlauf (Update: Patches verfügbar) (2004-12-02)
  Eine Pufferüberlaufschwachstelle im Code zur Verarbeitung von FRAME, IFRAME und EMBED-Elementen des IE Version 6 unter Windows 2000 und XP Service Pack 1 kann dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des Benutzers auf dem beherbergenden System auszuführen. Es sind bereits diverse Varianten des Mydoom-Wurmes in Umlauf, die diese Schwachstelle aktiv zur Infektion verwundbarer Systeme ausnutzen. Microsoft stellt mittlerweile Patches bereit, die diese Schwachstelle beheben.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/